La Lettre Sécurité. Dossier



Documents pareils
PASSI Un label d exigence et de confiance?

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Vers un nouveau modèle de sécurité

politique de la France en matière de cybersécurité

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Référentiel Général de Sécurité

Note technique. Recommandations de sécurité relatives aux ordiphones

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Les ressources numériques

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

INDICATIONS DE CORRECTION

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

n spécial Assises de la Sécurité 2009

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Prestations d audit et de conseil 2015

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

La Lettre Sécurité. Dossier

Panorama général des normes et outils d audit. François VERGEZ AFAI

L IDENTITÉ NUMÉRIQUE MULTISERVICES EN FRANCE : LE CONCEPT IDÉNUM

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

La réponse aux enjeux des RH du 21 ème siècle

LOGICIELS PHOTOCOPIEURS DÉVELOPPEMENT FORMATION ASSISTANCE MATERIELS

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

Les pratiques du sourcing IT en France

Homologation ARJEL : Retour d expérience

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Portail collaboratif Intranet documentaire Dématérialisation de processus

GUIDE OEA. Guide OEA. opérateur

HySIO : l infogérance hybride avec le cloud sécurisé

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

AUDIT CONSEIL CERT FORMATION

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Projet Sécurité des SI

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Déjeuner EIM Enterprise Information Management. Mardi 16 novembre 2010 Restaurant l Amourette Montreuil Thomas Dechilly CTO Sollan

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Dématérialiser les échanges avec les entreprises et les collectivités

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise

Réussir le choix de son SIRH

Accenture accompagne la première expérimentation cloud de l État français

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Solution. collaborative. de vos relations clients.

Rapport technique n 8 :

Jean-Marc Rietsch, PCI DSS Roadshow Paris juillet

Etude d Exchange, Google Apps, Office 365 et Zimbra

Big Data : se préparer au Big Bang

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Maîtriser les mutations

MICROSOFT DYNAMICS CRM & O Val

Synthèse du «Schéma Directeur des Espaces Numériques de Travail» A l attention du Premier degré (doc réalisé par Les MATICE 76)

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Standard de contrôle de sécurité WLA

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation?

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

de la DSI aujourd hui

Comment réussir son projet de Master Data Management?

SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE QUALITE 2 UNE ORGANISATION PROFESSIONNELLE FORTE ET GARANTE DE SES MEMBRES 3 NOTRE SMQ

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Software Asset Management Savoir optimiser vos coûts licensing

Compte Rendu Club Utilisateurs. Marseille 08/10/2014 GINTAO CU 2. Page 1 de 9

MDM : Mobile Device Management

Excellence. Technicité. Sagesse

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Meilleures pratiques de l authentification:

ibelem Solutions d EMM : l accompagnement d un partenaire expert, clef du succès du projet Livre blanc IBELEM - Enterprise Mobility Management

Novembre Regard sur service desk

BYOD : Suppression des frontières numériques professionnelles

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Le Dossier Médical Personnel et la sécurité

Solution. collaborative. de vos relations clients.

Signature électronique. Romain Kolb 31/10/2008

Gestion des Incidents SSI

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION

Classification : Non sensible public 2 / 22

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

Systèmes et réseaux d information et de communication

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

LIVRE BLANC. Dématérialisation des factures fournisseurs

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Livre blanc Compta La dématérialisation en comptabilité

Transcription:

n 22 - Septembre 2010 La Lettre Sécurité Édito Trois sujets au programme de cette lettre. Tout d abord un dossier sur le référentiel général de sécurité (RGS). L Agence nationale de sécurité des systèmes d information (ANSSI) l a publié en mai 2010. Patrick Pailloux, son Directeur général, a bien voulu répondre à nos questions sur ce référentiel et je l en remercie. Deux sujets d actualité ensuite : d une part, la sécurité des smartphones et les nouvelles stratégies pour les intégrer au SI en maîtrisant ses risques ; d autre part, les nouvelles réglementations en matière de sécurité pour les opérateurs de jeux en ligne. Je profite de cette lettre pour vous rappeler que comme tous les ans, Solucom sera présent aux Assises de la Sécurité à Monaco du 6 au 9 octobre 2010. Nous y animerons cette année un atelier sur les 15 dernières années de la sécurité et les perspectives pour les années à venir, au travers d une table ronde qui réunira Gil DELILLE (RSSI du Crédit Agricole), Thierry OLIVIER (RSSI de SFR) et Sylvain THIRY (RSSI de la SNCF). Je vous invite tous à y participer et à venir nous rencontrer sur notre stand. Bonne lecture à tous! Dossier Le référentiel général de sécurité : applicable à l administration, utile pour tous Le développement de l administration électronique est l un des fers de lance de la politique de modernisation de l État. De nombreuses administrations ont mis en place des services en ligne à destination de leurs usagers (impôts, changement d adresse, casier judiciaire, emploi, paiement des amendes...) ou des entreprises (télétva, déclarations sociales, compte fiscal...) La sécurité de ces services en ligne est un élément fondamental pour garantir la confiance des utilisateurs. C est pour répondre à cet enjeu qu a été élaboré le référentiel général de sécurité (RGS). Périmètre et objectifs du RGS Le référentiel général de sécurité (RGS) a été officiellement approuvé par arrêté du Premier Ministre le 6 mai 2010. Ce texte, résultat d un travail conjoint entre l Agence nationale de la sécurité des systèmes d information (ANSSI) et la Direction générale de la modernisation de l État (DGME) a pour objectif de développer la confiance des usagers et des administrations dans leurs échanges numériques. Par «autorité administrative» on entend les administrations de l État, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant les régimes de protection sociale et les organismes chargés de la gestion d un service public administratif. Le RGS concerne aussi l ensemble des éditeurs de produits et prestataires de services de confiance (PSCO) souhaitant voir leurs produits ou services être qualifiés et être ainsi choisis par les autorités administratives voulant sécuriser leurs téléservices. Contenu du RGS La première partie du RGS pose un cadre général pour gérer la sécurité des systèmes d information au sein des autorités administratives. Ce cadre s appuie sur les bonnes pratiques du marché en matière de sécurité (ISO 27001, ISO 27005) et sur les documents de référence publiés par l ANSSI (méthode EBIOS d analyse de risques, guide de maturité SSI, PSSI type, guide d intégration de la sécurité dans les projets...). Frédéric GOUX Directeur practice Sécurité & risk management Le RGS vise à améliorer le niveau de sécurité de toute autorité administrative mettant en œuvre des systèmes d information susceptibles d échanger des informations avec des usagers ou avec d autres autorités administratives. Le RGS édicte six grands principes en matière de sécurité des systèmes d information (voir encart page 2). S imposent notamment : La mise en place d une approche de la sécurité «pilotée par les risques». Il s agit Suite en page 2 DÉCRYPTAGES P4 Jeux en ligne : pas de bluff sur la sécurité P6 Ouvrez votre SI aux smartphones!

Dossier notamment de conduire systématiquement une analyse de risques lors de la conception ou de l évolution d un système d information, afin d identifier en amont les mesures de sécurité à implémenter par rapport aux enjeux et aux besoins de sécurité. L homologation de sécurité d un système d information préalablement à sa mise en service opérationnelle. Cette homologation, à conduire par une «autorité d homologation» habituellement au sein de l autorité administrative, permet de vérifier que le système d information est protégé conformément aux objectifs de sécurité fixés suite à l analyse de risques. Cette homologation doit être motivée et justifiée, généralement par l analyse d un dossier de sécurité. Dans le cas d un téléservice, l attestation d homologation doit être rendue accessible aux usagers. Le recours, chaque fois que possible, à des produits de sécurité et des prestataires de services de confiance labellisés pour leur sécurité. Le processus de labellisation («qualification») des produits et prestataires de services est piloté par l ANSSI. La suite du RGS fournit des règles de sécurité plus précises pour plusieurs fonctions de sécurité. La version en vigueur du RGS (version 1.0 du 6 mai 2010) couvre les fonctions d authentification, de signature électronique, de confidentialité et d horodatage. Pour chacune de ces fonctions, les règles fournies par le RGS sont différenciées selon plusieurs niveaux de sécurité (*, **, ***) qui permettent d adapter les mesures de sécurité aux enjeux et aux besoins spécifiques de chaque système d information. La version 1.0 du RGS a repris les documents qui constituaient l ancienne PRIS (Politique de référencement intersectoriel de sécurité) dans sa version 2.3. Il est intéressant de noter que le RGS déconseille sans pour autant la bannir l utilisation d un simple couple «identifiant / mot de passe» pour assurer la fonction d authentification. Le RGS introduit par ailleurs de nouvelles exigences, relatives à : La fourniture d un accusé de réception élec- «Témoignage Patrick PAILLOUX Directeur général de l Agence nationale pour la sécurité des SI (ANSSI, www.ssi.gouv.fr) Qu est ce qui a motivé la mise en place du RGS? Devant l essor des téléservices, il paraissait naturel que l État se dote des règles permettant de garantir la sécurité de ses systèmes d information, au-delà du périmètre des informations classifiées dont la protection était encadrée depuis de nombreuses années. L objectif du RGS est de définir un texte à portée générale, applicable par l ensemble des autorités administratives, quels que soient leur taille et leurs enjeux. En effet, le RGS doit permettre à la fois de sécuriser le site internet d une petite mairie, tout comme des systèmes d information très complexes et à forts enjeux tels que les déclarations fiscales des entreprises et des particuliers. L élaboration du RGS a-t-elle été complexe? La validation d un tel texte nécessite de suivre un parcours assez chronophage : consultation publique, notification à la Commission européenne, avis de la Commission consultative d évaluation des normes (CCEN), etc. Au-delà de ce premier point, la principale complexité a été de parvenir à un texte apportant des réponses concrètes en matière de sécurisation des systèmes d information, tout en restant suffisamment général pour s adapter à tous les types d entités concernés. Comment évaluez-vous la maturité actuelle des autorités administratives par rapport à ce texte? La maturité est évidemment très inégale, mais les enjeux et les risques sont très variés selon les autorités administratives. Le RGS permet justement d aider les autorités administratives à positionner le juste niveau d exigence en matière de sécurisation. Pour des systèmes d information à forts enjeux, les mesures de sécurité à implémenter seront relativement poussées. Pour les systèmes à enjeux moindres, il ne faut pas se faire une montagne du RGS : on se contentera d actions élémentaires de sécurisation, telles que la mise en place d une politique de mots de passe, le déploiement de correctifs de sécurité, etc. 2 La Lettre Sécurité N 22 Septembre 2010

tronique et, le cas échéant, d un accusé d enregistrement électronique pour toute demande, déclaration ou production de documents adressée par un usager à une autorité administrative par voie électronique. La validation par l ANSSI des certificats électroniques utilisés dans le cadre de services en ligne. Cette validation est fondée sur l analyse d un dossier de «demande de validation», éventuellement complétée par la réalisation d audits sur place. Calendrier de mise en œuvre du RGS Le calendrier de mise en œuvre du RGS vise une mise en conformité de l ensemble des systèmes d information concernés d ici à mai 2013 : Les systèmes d information existant à la date de publication du RGS doivent être mis en conformité dans un délai de trois ans (échéance : mai 2013). Les systèmes d information créés dans les six mois qui suivent la publication du RGS doivent être mis en conformité dans un délai de 12 mois (échéance : fin 2011). Analyse Le référentiel général de sécurité apporte enfin un cadre général, complet et pérenne en matière de sécurité des SI, obligatoire pour toutes les autorités administratives françaises et recommandé plus largement pour l ensemble des entreprises françaises. Il constitue de ce fait un réel outil à la disposition du RSSI pour légitimer sa démarche et améliorer au fil du temps le niveau de sécurité de son organisation. Pour autant, même s il amène quelques exigences nouvelles, le RGS n est pas une révolution : il s appuie en particulier sur les normes internationales et les publications de l ANSSI qui guident les actions des RSSI depuis de nombreuses années ; il laisse par ailleurs la latitude et la responsabilité à chaque entité de choisir le niveau de sécurité à implémenter en fonction de ses enjeux et de ses risques. D un point de vue technique, le RGS augmente le niveau d exigences minimales requises, notamment en ce qui concerne les infrastructures cryptographiques (tailles de clés, algorithmes utilisés...). De nombreuses autorités administratives ont déjà lancé des actions d alignement avec le RGS. Tout laisse à penser que ce dernier deviendra rapidement le livre de chevet de beaucoup de RSSI, y compris en dehors de l administration! Guillaume DURAND En savoir plus : www.ssi.gouv.fr/rgs Quel est le rôle de l ANSSI vis-à-vis du RGS? L ANSSI a pour mission d assister les autorités administratives dans la mise en œuvre du RGS. L ANSSI veille par ailleurs à faire évoluer le RGS dans le temps, en l enrichissant de nouveaux contenus et en apportant les ajustements qui s avéreront nécessaires. L objectif est de maintenir au fil du temps un référentiel complet et à jour, en intégrant des guides et des recommandations sur des sujets spécifiques. Nous travaillons par exemple actuellement sur les problématiques de sécurité dans l externalisation des SI. Des actions de contrôle, voire des sanctions en cas de non-conformité, sont-elles prévues? Le RGS a été conçu pour aider les autorités administratives dans l amélioration progressive de leur niveau de sécurité. Les exigences du RGS seront naturellement intégrées dans le cadre des inspections SSI réalisées par l Agence, mais clairement l objectif de ce texte n est pas de sanctionner. Le RGS préconise le recours à des produits et à des prestataires labellisés pour leur sécurité. Des actions sont-elles prévues pour enrichir ce référentiel? Concernant les produits de sécurité, l ANSSI a créé récemment le label CSPN (certification de sécurité de premier niveau) qui permet de labelliser un produit au terme d une expertise moins formelle que celle des Critères Communs. La charge pour obtenir un label CSPN est de 25 à 35 hommes / jour. Depuis août 2008, 11 certificats sur 23 demandes ont déjà été accordés, soit environ 50% de réussite. D ailleurs la plupart des candidats qui échouent représentent leur produit, qu ils ont renforcé grâce au rapport de certification. D autres opérations de certification sont actuellement en cours. L ANSSI a également mis en place un circuit de labellisation des prestataires de services : «la qualification». En version 1.0 du RGS, deux familles de prestataires peuvent être qualifiées : les prestataires de services de certification électronique et les prestataires de services d horodatage. Des travaux sont en cours sur les prestations d archivage électronique et les prestations d audit et de test d intrusion. Les initiatives actuelles autour d une identité numérique «fédérée» vontelles dans le sens du RGS? Le RGS pose une trajectoire visant à augmenter le niveau de sécurité de nos systèmes d information ; nous sommes bien entendu très favorables à toutes les initiatives allant dans ce sens. C est notamment le cas de projets tels que le label IDéNum ou le projet de Carte nationale d identité électronique (CNIE). Quels sont les autres grands sujets d actualité pour l ANSSI, un an après sa création? L activité de l agence est forte, avec notamment la mise en place du centre opérationnel de détection des attaques informatiques, des actions sur la résilience des infrastructures vitales de la France (notamment les infrastructures télécoms), la mise en place de produits pour garantir un haut niveau de sécurité aux télécommunications de l administration, des actions de communication plus régulières, etc. L effectif de l Agence est d environ 150 personnes aujourd hui, nous prévoyons d être 250 en 2012 : le recrutement et l intégration des nouveaux embauchés fait aussi partie des challenges de l ANSSI dans les années à venir! Propos recueillis par Frédéric GOUX et Guillaume DURAND Septembre 2010 La Lettre Sécurité N 22 3

Focus Dossier projets La sécurité toujours au cœur des projets métiers ASSURER LA CONFIDENTIALITÉ ET L INTÉGRITÉ DES MESSAGES ÉLECTRONIQUES, UN ENJEU MAJEUR Le ministère des Affaires étrangères et européennes souhaite constamment améliorer le niveau de sécurité des échanges de données entre ses agents. À ce titre, le ministère a décidé d offrir un service de messagerie sécurisée à ses 15 000 agents basés en France ou à l étranger, ainsi qu à du personnel d autres entités (Élysée, Matignon, autres ministères). Ce service leur permettra de signer et de chiffrer leurs courriels à l aide de certificats électroniques. L enjeu est de taille : une visibilité du projet au niveau du secrétariat général du ministère et un planning d étude et de mise en œuvre très ambitieux. Aujourd hui, Solucom accompagne le ministère dans la mise en place de sa solution technique de messagerie sécurisée et de son infrastructure de gestion des clés (IGC). Cette dernière comprend notamment le développement d un portail de gestion des certificats électroniques destiné à simplifier au maximum les opérations des utilisateurs (demandes de certificats, renouvellement, révocation, recouvrement de clés). Solucom fait intervenir une équipe de consultants multi-compétences (direction de projets, experts fonctionnels et techniques, développeurs) pour adresser l ensemble des problématiques techniques et organisationnelles du projet. Dans ce cadre, une attention particulière est portée au respect des exigences règlementaires, notamment celles concernant le rattachement de l IGC du ministère à celle de l administration française (IGC/A), ainsi que le respect du référentiel général de sécurité (RGS) récemment publié. UNE ANALYSE DE RISQUE PROSPECTIVE Mener une analyse de risques, c est d abord identifier les risques qui pèsent aujourd hui sur l activité de la société, mais il faut également se poser la question de l avenir : quels seront mes besoins demain? Quelles évolutions de mon activité dois-je anticiper au niveau du SI? Quelles nouvelles contraintes, nouvelles réglementations vais-je devoir respecter?... Une entreprise de transport public a souhaité être accompagnée par Solucom afin de réactualiser l expression des risques liés à son métier de vente (une vingtaine d applications majeures) en s inscrivant dans cette logique prospective. En effet, confrontée à un environnement en forte évolution (réglementaire, technologique, stratégique ), l enjeu de la démarche réside autant dans la capacité à anticiper les changements afin de prioriser les évolutions que dans la prise en compte de l existant. Se pencher sur l avenir implique bien sûr une part d incertitude. La mobilisation des différents experts, la confrontation intelligente des points de vues, la comparaison avec des cas similaires permettent de la réduire. L avenir nous dira si le pari était gagnant. QUELLE PLACE POUR LA SÉCURITÉ SUR UN RÉSEAU OPÉRATEUR? Nous accompagnons actuellement un opérateur dans la réalisation de son schéma directeur sécurité. Comme beaucoup d autres, ce dernier est confronté à une très forte augmentation des usages sur son réseau (internet mobile, vidéo à la demande, flux multimédia ), aux contraintes de nouvelles réglementations et à de futures ruptures technologiques importantes (LTE, multicast, IPv6 ). Solucom l accompagne dans une réflexion sur la place de la sécurité dans ses futures évolutions et dans la définition des principes qui vont sous-tendre les orientations à venir (Centralisation/décentralisation des fonctions de sécurité? Quelles fonctions de sécurité sur le réseau mobile? Comment allier performance et filtrage?). Cette étude débouche sur la définition du schéma directeur à 3 ans, incluant à la fois des volets techniques et organisationnels en relation avec les différentes entités MOE et MOA. 4 La Lettre Sécurité N 22 Septembre 2010

Décryptage Jeux en ligne : pas de bluff sur la sécurité L ouverture du marché du jeu en ligne en France a entraîné la promulgation d une nouvelle loi et la définition de mesures de sécurité innovantes et exigeantes. Tour d horizon d une évolution qui pourrait bien toucher d autres secteurs d activités. La loi relative à l ouverture à la concurrence et à la régulation du secteur des jeux d argent en ligne, promulguée le 12 mai 2010, a instauré une nouvelle entité : l Autorité de régulation des jeux en ligne (ARJEL). Cette entité définit les jeux autorisés, contrôle et sanctionne l activité des opérateurs et surtout délivre les licences d exploitations, sésame nécessaire pour entrer sur le marché français légalement. Des mesures exigeantes... Le cahier des charges de l ARJEL définit un ensemble de mesures de sécurité qui impactent l ensemble des processus métiers et en particulier le système d information : Des exigences organisationnelles : au-delà des multiples règles sur les processus métiers (enregistrement des joueurs, gestion des partenaires, de la fraude ), il est notamment demandé de formaliser l ensemble des processus de maintien, de contrôle et d évaluation de la sécurité dans le temps. Architecture d interconnexion entre l ARJEL et les opérateurs de jeux Des exigences sur les infrastructures techniques de jeux : très techniques, ces mesures décrivent la manière dont l ensemble des éléments doit être sécurisé. Bien que la majorité des mesures soit des bonnes pratiques classiques (cloisonnement, séparation production/développement, sécurité dans les projets ), la profondeur de l application est ici exemplaire et des technologies peu courantes doivent être mises en œuvre (contrôle d intégrité des plate-formes à la fois sur la configuration et les journaux ). Des exigences portant sur les applications : il s agit de garantir le caractère équitable du jeu (égalité entre les joueurs, principe de redistribution des gains, fiabilité des générateurs de nombres aléatoires pour le poker ) : fourniture de l ensemble du code source des applications à l ARJEL, réalisation régulière d audits fonctionnels et techniques (analyse du code source et tests d intrusion)... et des innovations! Au-delà des mesures de sécurité «classiques», l ARJEL impose une exigence plus innovante : la mise en place d un coffrefort électronique, garantissant la traçabilité des transactions entre joueurs et opérateurs afin d assurer la protection des joueurs, mais aussi la lutte contre le blanchiment d argent. Ce coffre-fort, propre à chaque opérateur et financé par lui, capte l ensemble des informations circulant entre le joueur et la plate-forme de jeux et conserve des traces de transactions : données de jeu (paris, mains de poker ), données des joueurs (inscription, modification et suppression de compte ) et dépôts/retraits d argent. Ces éléments doivent être chiffrés, signés et horodatés et seule l ARJEL peut accéder aux données archivées dans le coffre-fort. Il s agit bien d un mécanisme innovant, rarement rencontré dans d autres contextes et qui donne ainsi une visibilité importante à l ARJEL sur les opérations. Une sécurité contrôlée Au-delà de la définition des exigences et de l accès au coffre-fort, l ARJEL dispose de droits de contrôles importants. Audits organisationnels et techniques, revues de code, homologation des nouvelles plate-formes ou encore reporting très fréquent (incidents, changements majeurs ) garantissent ainsi que les opérateurs conservent un haut niveau de conformité dans le temps et que l ARJEL est au courant des déviances potentielles. Même si les retours d expérience sont encore jeunes et les premières utilisations complexes, l ARJEL a réussi à imposer pour la première fois des mesures précises, des contrôles pointus et la mise en place d infrastructures de traçabilité, directement accessibles par une autorité de régulation. Est-ce une direction que l État souhaite suivre pour l ensemble des régulations à venir dans le secteur du SI? Seul l avenir nous le dira, mais la voie est ouverte. Matthieu GARIN et Vincent NGUYEN Septembre 2010 La Lettre Sécurité N 22 5

Décryptage Ouvrez votre SI aux smartphones! durcissement et des restrictions multiples qui limitent l utilisation au cadre professionnel. Cette méthode, appliquée depuis des années aux postes de travail de l entreprise, n est pas envisageable pour des terminaux dont les principaux attraits sont précisément la polyvalence et l aspect ludique : en contraindre l usage peut créer une frustration chez l utilisateur. Et les risques restent les mêmes, en particulier en ce qui concerne le vol ou la perte du terminal. Un silo applicatif sécurisé Une nouvelle approche permet de répondre à cette situation : l utilisation d un silo applicatif sécurisé sur le terminal. 1) Il s agit de concentrer la protection sur les données sensibles en les isolant des autres dans une application dédiée (messagerie, application métier, intranet ). L explosion des ventes de smartphones, et en particulier de l iphone, depuis deux ans ne se dément pas et les utilisateurs des grandes entreprises exercent aujourd hui une pression importante pour pouvoir utiliser ces terminaux dans un cadre professionnel. Il est nécessaire d y apporter une réponse fonctionnelle satisfaisante tout en garantissant la sécurité. L utilisation de smartphones en entreprise est aujourd hui entrée dans les mœurs. Cependant, l arrivée des nouveaux terminaux multimédia provoque une rupture dans les habitudes des entreprises. Les cadres dirigeants aimeraient abandonner leurs terminaux précédents de type BlackBerry ou Windows Mobile. Les collaborateurs les plus jeunes, issus d une «génération connectée», souhaitent retrouver en entreprise un terminal aussi riche que dans leur sphère privée. Cela est vrai pour l ensemble des nouvelles plateformes, mais la pression la plus importante est centrée sur l iphone. Une sécurité perfectible Cependant, le terminal d Apple n a pas été initialement conçu pour l entreprise. Les outils natifs (messagerie, agenda...) sont compatibles avec les messageries Microsoft Exchange, mais ne prennent pas en charge certaines fonctions avancées pourtant très utiles (suivi des messages, gestion avancée de l agenda, synchronisation des tâches...). Par ailleurs, il n existe pas nativement de solution de gestion de flotte : les fonctions restent limitées et complexes à mettre en œuvre. De plus, les systèmes de sécurité de l appareil restent perfectibles : chiffrement du stockage, authentification, utilisation de VPN, durcissement par profil de sécurisation... Des progrès notables sont apparus au fil des versions et Apple travaille sur ces sujets. Cependant, tous les verrous qu il est possible de poser ne sont plus efficaces sitôt l appareil «jailbreaké*» : l utilisateur peut alors, en quelques secondes, accéder au système et modifier les configurations à sa guise. La première approche - réflexe historique - serait de verrouiller le terminal à travers un 2) Toutes les données contenues dans ce silo sont protégées avec des mécanismes indépendants du système : chiffrement du stockage et des échanges, mot de passe spécifique L application peut être configurée finement pour respecter les politiques de sécurité de l entreprise. 3) Il est possible de garder la maîtrise à distance des données : si par exemple le terminal est perdu ou volé, l application détruira les données à la prochaine tentative d ouverture du silo. S il est «jailbreaké», vulnérable à une faille ou ne possède pas la bonne version de système d exploitation, il sera possible de lui bloquer l accès au service. Il s agit là d un vrai changement de modèle : on ne force pas techniquement l application des politiques de sécurité sur le parc de terminaux, mais on interdit à ceux qui ne les respectent pas d accéder aux données. Des éditeurs, comme Good Technology ou Sybase, proposent aujourd hui des solutions permettant d implémenter ces mécanismes pour les fonctions liées à la messagerie (email, contacts, agenda ). L arrivée d applications métiers est prévue pour les mois à venir. Ces * «Jaibreak» est le terme désignant l opération de débridage de l iphone. 6 La Lettre Sécurité N 22 Septembre 2010

solutions embarquent également des modules de gestion de flotte permettant d intégrer des terminaux variés, au-delà de l iphone, et d avoir un fonctionnement homogène avec Android et Windows Mobile par exemple. Principe de ségrégation des données professionnelles et non-professionnelles sur un smartphone Autoriser de nouveaux usages Ces solutions émergentes amènent également une réponse à un besoin naissant des collaborateurs : pouvoir utiliser leur terminal personnel en entreprise. Appliquer des restrictions fortes à ce terminal est alors illusoire : il ne peut être question de couper l appareil photo ou la connectivité Bluetooth sur un terminal personnel. Le principe de silo permet alors de conserver un haut niveau de sécurité sur les données professionnelles tout en permettant un usage personnel libre. Autre avantage pour l entreprise : l usage qui est fait en dehors du silo est toujours sous la responsabilité de l utilisateur (surf internet, stockage de médias...). Voila un cas concret où la sécurité est centrée autour de la donnée et portée par l application plutôt que par les terminaux et l infrastructure. C est un exemple qui montre que cette approche permet d autoriser simplement et en toute sécurité de nouveaux usages. Chadi HANTOUCHE et Gérôme BILLOIS «En utilisant un silo applicatif sécurisé sur le terminal (...), on ne force pas techniquement l application des politiques de sécurité sur le parc de terminaux, mais on interdit à ceux qui ne les respectent pas d accéder aux données.» Septembre 2010 La Lettre Sécurité N 22 7

L actualité commentée Rachat de McAfee par Intel Nouvelle inattendue de l été, le constructeur de processeurs Intel a racheté l éditeur de solutions de sécurité McAfee pour la coquette somme de 7,68 milliards de dollars. Un des objectifs de cette opération serait de permettre l intégration de la sécurité dans les nouvelles plate-formes matérielles qui sont amenées à se connecter à internet : ordinateur portable, mais aussi smartphones, tablettes, télévisions, voitures L avis de Gérôme BILLOIS Cette opération a été une réelle surprise pour le marché : il est en effet difficile d imaginer des synergies entre ces deux sociétés œuvrant sur des cœurs de métiers très éloignés. Néanmoins, les ambitions affichées par ce nouveau couple sont alléchantes : intégrer la sécurité dès le niveau matériel afin de garantir la fiabilité des couches basses des systèmes et ainsi renforcer la protection des utilisateurs et des services connectés à internet. Mais c est aussi un message fort d un acteur majeur du marché sur le fait que la sécurité constitue désormais un enjeu clé pour les systèmes d information dans le cadre de l ouverture sur internet. Reste à voir dans les prochains mois comment se concrétisera cette fusion et si de nouvelles solutions de sécurité innovantes, intégrées dans les plate-formes matérielles, feront leur apparition sur le marché Solucom maintient sa certification ISO 27001 sur les prestations d audits de sécurité des systèmes d information En septembre 2008, l offre audit du cabinet Solucom a été auditée et certifiée ISO 27001 par l organisme LSTI, accrédité par le COFRAC. Il s agissait d une première en France pour des prestations d audit. Cette certification a été à nouveau confirmée suite à un audit de surveillance deux ans après la certification initiale. Ce succès souligne la maturité du Système de Management de la Sécurité de l Information (SMSI) de Solucom. Solucom présents aux Assises de la Sécurité Comme tous les ans, Solucom participe aux Assises de la Sécurité à Monaco, du 6 au 9 octobre 2010. À cette occasion, nous présenterons un atelier sur le thème «15 ans de sécurité de l information : bilan et perspectives». La sécurité de l information a connu des mutations importantes depuis sa généralisation dans toutes les grandes entreprises dans les années 1995 avec l explosion des réseaux d entreprise et l arrivée d internet. Aujourd hui, l ouverture généralisée du SI, son extension en dehors des murs de l entreprise (off-shore, cloud), les attaques ciblées rendent insuffisants les mécanismes de protection historiques et obsolètes certains réflexes sécurité. Le RSSI se doit d adopter un nouveau positionnement, entre garant du patrimoine informationnel, offreur de solutions de sécurité et facilitateur des nouveaux usages. Cet atelier sera l occasion de découvrir et de partager autour des enjeux futurs et des sujets clés pour préparer l évolution de la fonction de RSSI dans les prochaines années. Il sera basé sur les retours d expériences de Solucom et avec l intervention de RSSI de grands groupes français (Gil DELILLE, RSSI du Crédit Agricole ; Thierry OLIVIER, RSSI de SFR ; Sylvain THIRY, RSSI de la SNCF). Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme BILLOIS, Guillaume DURAND, Matthieu GARIN, Chadi HANTOUCHE, Vincent NGUYEN, Laurent PERRUCHE. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN 1995-1975 La Lettre Sécurité revue trimestrielle de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, 100-101 terrasse Boieldieu La Défense 8 92042 Paris - La Défense solucom@solucom.fr http://www.solucom.fr abonnement : lettresecurite@solucom.fr

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back