Sécurité : où sont les projetsdocs.media.bitpipe.com/io_10x/io_108885/item_951685...recrutement...
23
Sécurité : où sont les projets ? PRÉSENTATION CONTEXTE TÉMOIGNAGES
Transcript of Sécurité : où sont les projetsdocs.media.bitpipe.com/io_10x/io_108885/item_951685...recrutement...
Sécurité : où sont les projets ?
1 KEINE ZEIT
MEHR VERLIEREN
2 DIE FÜNF TOP-THEMEN
BEI DER SEPA-UMSTELLUNG
3 SAP ERP IN DREI
SCHRITTEN FRIST-
GERECHT UMSTELLEN
4 WAS BEI SEPA-DIENSTEN AUS
DER CLOUD ZU BEACHTEN IST
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 2
JUILLE T 2014 Contrôle des accès physiques et
logiques, sécurisation des systèmes de contrôle
industriels, gestion des risques, sécurisation des
échanges électroniques, SSO, authentification forte, ou
encore supervision de la sécurité avec un système de
gestion des informations et des événements de
sécurité… Autant de sujets clés de la sécurité des
systèmes d’information modernes abordés ici au
travers de témoignages récoltés tout au long de
l’année.
CYRILLE CHAUSSON
Rédacteur en chef ,
TechTarget / LeMagIT
Présentation
PRÉSENTATION
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 3
1. Sécurité : temps et budgets encore trop négligés
S’appuyant sur le sondage de près de 3000 entreprises
à travers le monde, Kaspersky Labs tire - une nouvelle
fois - la sonnette d’alarme : temps et budgets alloués à
la sécurité semblent largement insuffisants face une
menace de plus en plus prégnante
2. Sécurité : la pénurie de compétences touche le monde
entier
La France ou encore le Royaume-Uni ne sont pas
les seuls pays concernés par les difficultés de
recrutement en matière de sécurité informatique.
3. Le numérique, une révolution en marche pour les RSSI
La nouvelle révolution du numérique, portée par
la consumérisation, le Cloud, les réseaux sociaux,
l’interconnexion croissante des systèmes
d’information, entre autres, commence à
transformer radicalement le métier des RSSI.
1. SÉCURITÉ : TEMPS ET BUDGETS ENCORE TROP NÉGLIGÉS
S’appuyant sur le sondage de près de 3000 entreprises à
travers le monde, Kaspersky Labs tire - une nouvelle fois
- la sonnette d’alarme : temps et budgets alloués à la
sécurité semblent largement insuffisants face une menace
de plus en plus prégnante.Il faut faire plus, semble
indiquer l’étude réalisée par B2B International pour
Kaspersky auprès de près de 3000 entreprises du monde
entier, dont une petite centaine en France. Ainsi, en
Europe, seulement 38 % des sondés estiment disposer
d’un temps et d’un budget suffisant pour développer leurs
politiques de sécurité IT. L’éditeur souligne que 32 % des
sondés ont en outre indiqué que les personnels de leurs
organisations peinent à se conformer aux règles de
sécurité en place. Des règles incomprises pour 38 % des
sondés. Et pourtant, 60 % des personnes interrogées ont
indiqué faire circuler régulièrement des bulletins
d’information visant à sensibiliser les utilisateurs. Mieux
: 58 % des sondés proposeraient des programmes de
formation ciblés. Las, seulement 46 % indiquent pouvoir
infliger des sanctions aux utilisateurs ne respectant pas
les règles de sécurité en place.
Contexte
CONTEXTE
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 4
Sécuriser le périmètre humain semble encore difficile. Et
tant pis s’il n’a rien de négligeable. Car si les
vulnérabilités et failles dans les logiciels des entreprises
on reculé en deux ans - rencontrées par 47 % des sondés
en 2011, elle ne le sont plus que par 39 % en 2013 - , les
fuites et les partages de données accidentels par les
utilisateurs restent stables - reconnus par 32 % des
sondés. Il faut ajouter à cela les pertes et vols de
terminaux mobiles, reconnus par 30 % , les vols/fuites de
données intentionnels (19 %), les partages inapropriés (18
%), ou encore les défaillances de partenaires et de
fournisseurs (15 %). En tout, 24 % des entreprises
interrogées ont souffert de pertes de données métiers dues
à des facteurs internes, avec, dans 6,5 % des cas, la perte
de données sensibles.
L’étude commandée par Kasperky montre en outre que le
BYOD a des conséquences bien réelles en matière de
sécurité : 95 % des sondés auraient ainsi fait l’expérience
d’un incident de sécurité lié à des terminaux mobiles au
cours des 12 derniers mois.
Et dans 38 % des cas, cela s’est soldé par la fuite de
données internes importantes. L’éditeur russe le souligne
: «les menaces mobiles poussent les entreprises à
déployer des règles de sécurité supplémentaires pour les
terminaux mobiles. Toutefois, cela ne se concrétise pas
dans toutes les entreprises.» Selon les résultats de l’étude,
seules 14 % des entreprises disposeraient de règles de
sécurité totalement déployées pour les terminaux
mobiles. Le déploiement serait en cours dans 41 % des
entreprises. Reste 45 % qui en sont complètement
dépourvues.
Mais le monde de l’entreprise semble totalement divisé
quant à l’approche à adopter en matière de BYOD. 35 %
des entreprises de l'étude veulent interdire ou essayer de
limiter le plus possible le phénomène. 31 % des sondés
l’acceptent, et 34 % le considèrent comme une fatalité
impossible à éviter.
Las, faute de prévoir et d’anticiper, la gestion des
incidents de sécurité a un coût. Kaspersky estime ainsi à
13 000 $ le coût de recours à des services tiers
additionnels pour une PME, et à près de 110 000 $ pour
une grande entreprise. Mais ce n’est qu’une moyenne.
Le BOYD encore peu abordé
CONTEXTE
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 5
L’éditeur relève que des PME ont eu à débourser jusqu’à
350 000 $ pour faire face à un incident de sécurité, contre
7,5 M$ pour de grandes entreprises. Et c’est sans compter
les pertes liées à l’activité car, dans 60 % des cas, les
fuites de données auraient «significativement» perturbé
l’activité et, pour près de 30 %, provoqué la perte de
contrats ou d’opportunités commerciales. Le tout pour un
montant estimé à 22 000 $ en moyenne pour une PME, et
150 000 $ pour une grande entreprise. En parallèle,
Kaspersky estime que, en moyenne, renforcer le
recrutement dans le domaine de la sécurité coûterait 9
000 $ pour une PME, et 57 000 $ pour une grande
entreprise.
Financièrement, la pire menace semble être celle des
attaques ciblées, avec un coût total moyen estimé à 2,4
M$ pour une grande entreprise, et 92 000 $ pour une
PME. Viendrait juste après l’intrusion réseau, à 1,67 M$
et 73 000 $ respectivement. —Valéry Marchive
2. SÉCURITÉ : LA PÉNURIE DE COMPÉTENCES TOUCHE LE MONDE ENTIER
Recruter des compétences en sécurité informatique n’est
pas chose facile, relève Reuters. Nos confrères soulignent
ainsi que, dans le monde entier, «la demande en faveur de
spécialistes [de la sécurité informatique] dépasse
largement le nombre de personnes qualifiées», poussant à
l’inflation des salaires dans une vive compétition entre
entreprises mais également entre celles-ci et les
gouvernements. Et de rappeler que le Cyber Command de
l’armée américaine entend recruter 4 000 spécialistes
d’ici la fin 2015 pour doubler ses effectifs. Interrogé par
nos confrères, Chris Finan, ancien directeur de la cyber
sécurité à la Maison Blanche, constate simplement que
«en définitive, c’est une question de capital humain et
nous n’en avons pas assez.»
Les recrues se permettent donc d’être pointilleuses,
«choisissant où elles travaillent en fonction du salaire, du
mode de vie, et de l’absence de bureaucratie oppressante
ce qui rend particulièrement difficile le recrutement dans
le secteur public.»
CONTEXTE
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 6
Outre Atlantique, les salaires iraient ainsi de 110 000 $ à
140 000 $ par an pour les spécialistes «bien» qualifiés,
voire 200 000 $ pour les plus talentueux.
En Europe, le Royaume-Uni vient de lancer un
partenariat public-privé pour renforcer l’émergence de
compétences en cyber-sécurité. En juin dernier, BAE
Systems indiquait s’investir pour former plus de
compétences dans le domaine.
Et en France, la concurrence pour le recrutement de
compétences est rude. Lors des Assises de la Sécurité,
début octobre à Monaco, Patrick Pailloux, directeur
général de l’Anssi, rappelait encore ses ambitions en la
matière. Dans un entretien accordé à Security Defense
Business Review, le Contre-Amiral Arnaud Coustillière,
Officier général «cyberdéfense» évoquait récemment la
création de 350 postes à créer, d’ici 2019, dans la chaîne
SSI du Ministère de la Défense.
En janvier 2013, c’était le Général d’armée et directeur
du Centre de recherche de l’Ecole des officier de la
Gendarmerie Nationale, Marc Wattin-Augouard, qui
interpelait sur le manque d’experts en sécurité formés en
France, rejoignant déjà Patrick Pailloux.
Mais dès début 2011, Frost & Sullivan tirait la sonnette
d’alarme dans une étude conduite pour (ISC)2, évoquant
1,15 million d’emplois liés à la sécurité informatique
dans la région EMEA à l’horizon 2015. —Valéry
Marchive
3. LE NUMERIQUE, UNE REVOLUTION EN MARCHE POUR LES RSSI
Une fois de plus, les Assises de la Sécurité, qui se
déroulaient la semaine dernière à Monaco, ont été
l’occasion de dresser un état des lieux de la fonction SSI
(sécurité des systèmes d’information) au sein des
entreprises. Et la mutation du numérique, entraînée par la
consumérisation, le Cloud, et les réseaux sociaux,
notamment, semble bien là. Caroline Apffel, consultante
chez Spencer Stuart, relève ainsi, selon les résultats d’une
étude conduite par le Cercle Européen de la Sécurité
auprès de 300 RSSI, que les impacts de cette mutation,
s’ils restent naissants, n’en sont pas moins réels. Les
notions de service et d’élasticité gagnent ainsi en
importance, avec «une attente plus importante sur le
niveau de service que doit apporter l’entreprise» à ses
collaborateurs. Surtout, la dépendance à la disponibilité, à
CONTEXTE
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 7
l’intégrité et à la confidentialité des informations va
croissante. Alors même que la surface d’attaque
potentielle ne fait que s’étendre.
Olivier Daloy, Ciso du groupe LVMH, ne contredit pas
ces tendances. Pour lui, le point clé tient au «passage
d’un risque technique à un risque lié aux données et à
l’identité des utilisateurs.» C’est la fin de la sécurité
périmétrique et le début d’un recentrage sur «la donnée
elle-même.» Ce qui ne manque de faire ressortir des défis
peut-être un peu ignorés par le passé : «cela a un impact
humain sur l’entreprise. La sensibilisation et la
communication sont plus que jamais nécessaires avec les
utilisateurs, car c’est là que se concentre le risque pour
l’entreprise.» Mais l’enjeu dépasse la sécurité et touche à
l’activité même de l’entreprise, souligne-t-il, précisant
qu’il est devenu important «de montrer l’efficacité de ses
processus de protection de données à ses clients.» De
quoi donner au RSSI une nouvelle dimension, lui
permettant de se positionner comme véritable facilitateur
de l’activité économique de l’entreprise.
Amir Belkhelladi, directeur conseil technologique chez
Accenture, va plus loin, relevant que «l’entreprise
numérique est devenue, pour certaines organisation, un
coeur de métier», «un enjeu important de l’activité»,
même si les niveaux de maturité varient sensiblement
d’une entreprise à l’autre.
Piquant, Pierre-Luc Refalo, ancien du cabinet Hapsis
devenu récemment directeur de l’activité conseil en
sécurité de Sogeti France, souligne la futilité d’une
résistance à des tendances de fond appelées à s’amplifier.
Et de prendre l’exemple du BYOD : «aujourd’hui, le
discours anti-BYOD, je ne sais pas à quoi ça rime et
pourtant on l’entend encore beaucoup.» Reste que, selon
lui, tout cela contribue à construire de «l’instabilité» dans
la fonction SSI, voire même DSI. Ce qu’estiment
d’ailleurs deux tiers des professionnels sondés dans le
cadre de l’étude. 72 % des sondés assurent en outre revoir
leurs approches de la sécurité pour se recentrer sur la
protection des informations stratégiques, quand 68 %
d’entre eux renforcent leurs efforts sur le contrôle des
risques et la conformité.
CONTEXTE
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 8
Mais cette instabilité n’est pas si mauvaise. Caroline
Apffel relève ainsi qu'unanimement, les RSSI sondés
estiment que leur fonction ressort confortée, sinon
renforcée. Beaucoup auraient ainsi gagné en
indépendance. Et dans les grands groupes, la question de
la sécurité des systèmes d’information aurait tendance à
s’inviter au conseil d’administration, s’émancipant du
comité de direction. Ce qui n’est toutefois pas sans créer
de nouveaux défis, rendant «la fonction plus complexe»
et exigeant un effort d’adaptation de la communication,
comme le relève Olivier Daloy. Pour lui, le RSSI gagne
bien en visibilité, intéressant désormais le PDG. Mais
cela impose de savoir «lui parler de ce qui le concerne, de
ce qui l’empêche de dormir la nuit.» —Valéry Marchive
CONTEXTE
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 9
1. L'organisation, la clé de la sécurité des Scada pour le
CEA à Cadarache
Interrogé par la rédaction à l’occasion de la
dernière édition des Assises de la Sécurité, début
octobre, à Monaco, Patrick Baldit, DSI du centre
de Cadarache du CEA insiste sur le volet
organisationnel de la sécurisation des systèmes
Scada.
2. VW : une seule carte pour le contrôle des accès
physiques et logiques
A l’occasion des Assises de la Sécurité, qui se
déroulaient début octobre à Monaco, le groupe
Volkswagen a montré comment il unifiait le
contrôle des accès physiques et logiques sur une
seule carte avec les solutions Nexus.
3. GDF Suez consolide la gestion des risques avec
Skybox
Christophe Long, RSSI adjoint de GDF Suez, a
détaillé la manière dont le groupe gérait de
manière intégrée ses risques informatiques.
4. La Cnaf sécurise ses échanges électroniques avec
Axway
La Caisse Nationale d'Allocations Familiales a
retenu les appliances Axway pour implémenter
son standard interne de sécurisation des échanges
synchrones avec ses partenaires.
5. Leroy-Merlin ajoute le SSO à ses postes de travail
virtualizes
Leroy-Merlin devrait achever fin 2014 la
virtualisation de l’ensemble de ses postes de
travail. Un projet auquel l’enseigne a ajouté une
couche d’ouverture de session (SSO) unifiée afin
d’améliorer l’adhésion des utilisateurs.
6. Paybox supervise sa sécurité avec le SIEM de
LogRhythm
Connu pour ses solutions de paiement
électronique sécurisé, Paybox a choisi en 2012 de
moderniser la supervision de la sécurité de ses
infrastructures en s’appuyant sur le système de
gestion des informations et des événements de
sécurité de LogRhythm.
Témoignages
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 10
1. L'ORG ANISA TION, LA C LE DE LA SEC URITE
DES SCA DA POUR L E C E A A C ADAR ACHE
C’est une organisation quelque peu avant-gardiste
dont profite le centre de Cadarache du CEA
(Commissariat à l'énergie atomique) pour la gestion de
son informatique. De fait, la DSI ne se contente pas de
couvrir les aspects classiques des systèmes d’information.
Patrick Baldit, à sa tête, explique ainsi piloter quatre
laboratoires. Les trois premiers touchent à des domaines
classiques : réseaux et télécommunications, infrastructure
serveurs, centres de calcul et postes de travail, et enfin
développement, maintenance applicative et veille
technologique. Le quatrième, également rattaché
directement à la DSI, concerne la télésurveillance et les
systèmes de contrôle commande. L’informatique
industrielle, donc, avec les systèmes Scada. « Nous
sommes organisés ainsi depuis une dizaine d’année. Et
lorsqu’il y a des problèmes d’arbitrage, c’est moi qui
tranche », explique Patrick Baldit. Et si force est de
constater que « la culture est très différente entre ceux qui
viennent de l’automatisme et ceux qui viennent de
l’informatique », cette organisation lui a permis « de bien
avancer en matière de sécurité. Et lorsque j’observe les
débats actuels sur la protection des Scada, je me sens
conforté dans mon organisation ». Une organisation qui a
permis de dépasser les questions de cultures et de profils.
Parce que les automates programmables ont évolué, se
dotant de cartes réseaux : « perplexes initialement, les
experts de l’automatisme ont pu aisément se rapprocher
de leurs collègues du réseau. Et si, pour nous, cela n’a pas
toujours été simple, j’imagine que cela doit être difficile
lorsque l’on est organisé différemment. »
La même logique s’étend déjà à la sécurité : « depuis
deux ans, à l’intérieur de notre DSI, nous avons monté
une équipe cyber-sécurité, avec un expert dans chaque
thématique. » Mais Patrick Baldit envisage d’aller plus
loin, dès le début 2014, pour composer une équipe
cybersécurité autonome, « compte tenu de l’ampleur que
prend le sujet. La sécurité devient le donneur d’ordre des
métiers de l’IT. Avant, on leur demandait simplement de
prendre en compte le sujet. Désormais, nous devons
d’abord faire de la sécurité, applicative, réseau et
infrastructure. C’est un changement récent, mais si on ne
le fait pas, on ne peut pas résister ».
Une approche consolidée de la sécurité
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 11
Mais ce ne sera pas facile : Patrick Baldit cherche des
profils très spécifiques, capables d’aborder tant les
problématiques réseaux qu’infrastructure - « pas très
faciles à trouver ».
Mais la maturité des fournisseurs semble aussi poser
question. Si les spécialistes des systèmes Scada
collaborent au groupe de travail de l’Anssi (Agence
nationale de la sécurité des systèmes d'information) sur le
terrain, « il faut encore passer la barrière de l’avant-
vente » pour aborder des interlocuteurs compétents et
concernés par la question de la sécurité. « Et nous avons
des installations nucléaires. On ne peut pas se permettre
d’avoir un incident parce qu’une ventilation tombe en
panne à cause d’un attaquant! »
Et ceux qui viennent de l’informatique ne sont pas
forcément infaillibles. « En début d’année, nous avons eu
un incident avec un prestataire pour la tierce maintenance
applicative. Il devait mettre à jour le firmware d’un
automate, sur le réseau industriel, isolé du réseau
bureautique. Las, il l’a téléchargé sur un PC vérolé, et
installé à partir d’une clé USB qui a infecté l’ordinateur
du réseau utilisé pour l’application de la mise à jour. » Un
incident qui ne va pas sans rappeler la manière dont
Stuxnet s’est initialement propagé dans l’usine de Natanz,
en Iran.
Alors pour éviter cela, la DSI met en place de nouveaux
processus, sensibilise et montre la réalité de certains
incidents : « c’est indispensable. Il est essentiel de se
donner les moyens de traduire de manière opérationnelle
le plan de sécurité du système d’information. Si on ne le
fait pas, il ne sert à rien de l’écrire. » Par exemple, les
données à diffusion restreinte sont chiffrées avec les
outils de Prim’X, retenus pour leurs fonctionnalités et
leur facilité de mise en oeuvre, avec ZoneCentral dans un
premier temps, pour les dossiers et fichiers partagés, puis
ZonePoint, pour le partage de documents avec les
partenaires. Mais pas question de déployer des outils sans
l'organisation adaptée pour garantir leur utilisation : pour
s’assurer que les outils sont bien utilisés, les équipes de
Patrick Baldit ont mis en place des workflows et intégré
la supervision du chiffrement à l’outil d’IAM (Identity
Access Management) de la DSI. —Valéry Marchive
Des fournisseurs pas encore complètement mûrs
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 12
2. VW : UNE SEULE CAR TE POUR LE C ON TR OL E
DES A CCE S PHYSIQUE S ET L OGIQUES
Avec plus de 700 000 utilisateurs répartis dans le monde
entier, le groupe Volkswagen ne peut pas se permettre de
multiplier les solutions et les couches de gestion des
identités et des accès, physiques comme logiques - à rien
moins que 2 200 applications -, ne serait-ce que pour des
questions de coûts. Il y a donc longtemps que le
constructeur automobile travaille à la gestion unifiée des
identités et des accès. Mario Baermann, chef de projet
sécurité chez Volkswagen, explique ainsi que le groupe
s’est doté d’une infrastructure PKI dès 2002. Mais celle-
ci n’était qu’une base pour aller plus loin et permettre
l’authentification à deux facteurs pour l’accès logique
aux applications clés. Et suivant différents moyens : carte
à puce à insérer dans un lecteur ad-hoc sur les postes de
travail, en complétant d’un code PIN ou d’un code
personnel à usage unique, mais aussi RFID pour les accès
physiques aux locaux et le règlement des repas à la
cantine, ou encore bande magnétique pour l’accès à
d’autres services comme le remplissage de réservoirs de
voitures. Le tout avec, pour les services logiques, une
fonction de SSO afin d’éviter les authentifications
multiples et fastidieuses. L’utilisation de codes barres est
également envisagée dans des cas spécifiques, tels que le
déploiement initial rapide de l’offre de service sur un site
donné. Mais l’équipe de Mario Baermann pense déjà au
futur : « les ordinateurs de demain n’auront pas
forcément leur carte à puce. Et nous devrons supporter de
nouveaux terminaux. Nous réfléchissons donc aux
moyens de communication sans contact. »
Au total, le groupe compte déjà 230 applications de coeur
de métier supportant la carte d’accès unique, « avec une
tendance à la croissance », et 300 000 badges déployés,
avec un objectif de 700 000. Mais là, rien n’est simple,
compte tenu de l’échelle du projet : « le déploiement
n’est pas toujours très simple. Il faut les capacités IT
requises, la formation, le support, etc. […] Et nous
devons travailler conjointement avec les chargés de la
sécurité, de la sureté et de l’exploitation des sites. Et il
n’y a pas de telles unités à l’échelle du groupe. » Autant
de clients aux spécificités avec lesquelles il faut donc
composer, en plus des différents fuseaux horaires ou des
barrières linguistiques. D’où des équipes dédiées et des
Une échelle impressionnante
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 13
consoles de gestion des cartes dans chaque fuseau horaire
où le groupe est présent, « pour accélérer le déploiement
et l’adoption ». Heureusement, les retours sont plutôt
positifs, faisant notamment état d’une véritable
simplification. Mais la personnalisation reste un point
difficile, de même que la gestion du cycle de vie des
cartes : « les processus associés sont complexes et
susceptibles de générer des erreurs ».
C’est donc à leur simplification et à leur industrialisation
que travaille actuellement le groupe. Jan-Patrick Feige,
chef de projet sécurité chez Volkswagen, souligne
l’importance, dans ce cadre, de communiquer avec les
utilisateurs finaux, pour produire un service qui réponde à
leurs besoins : « pour eux, la technologie doit être
invisible alors qu’elle compte beaucoup pour nous. Nous
avons donc besoin de processus flexibles et supportant
une grande échelle de déploiement. Ainsi que
d’importantes capacités d’intégration avec d’autres
applications et services. » En outre, le groupe a besoin
« de processus robustes, c’est-à-dire stables dans l’instant
et stables dans le futur, même si l’environnement
utilisateur change ». Et la gestion des cartes d’accès
communes s’appuie sur quatre piliers : la gestion des
identités et des rôles, associée à celles des droits et
restrictions, la gestion des accès, la gestion du cycle de
vie des identités et des rôles, et enfin l’authentification.
« Nous réévaluons ces quatre services de base dans le
cadre d’un processus d’amélioration continue », explique
Jan-Patrick Feige. Mais également, dans ce contexte, les
workflows de production des cartes à puce au sein des
différentes entités du groupe : « chaque entreprise peut
avoir son propre workflow, souvent avec les mêmes
étapes, mais réalisées dans un ordre différent. Nous
travaillons à atteindre un seul workflow simplifié »,
notamment pour réduire les coûts et simplifier le travail
des utilisateurs.
D’où l’utilisation de Nexus Credential Manager, qui
« propose un moteur de workflow solide et moderne. Il
dispose de toute la flexibilité dont nous avons besoin
pour construire nos processus en nous concentrant sur le
client et l’utilisabilité ».
Simplifier et industrialiser
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 14
En outre, grâce à son architecture multi-tenant, Nexus
Credential Manager supporte des subtilités « à l’échelle
du groupe, comme d’une seule équipe ». Et si cela peut
« paraître simple dit comme cela, c’est très difficile »,
souligne Jan-Patrick Feige, précisant que le projet a du
être divisé en plusieurs sous-projets. Mais à la clé, le
groupe pourra même implémenter un portail de self-
service de ses cartes pour ses utilisateurs finaux et
disposer d’outils robustes de suivi et de reporting des
accès.
« Mais ce n’est pas la fin du voyage. Nous avons utilisé
un temps la combinaison nom d’utilisateur/mot de passe.
Nous savons que ce n’est plus sûr aujourd’hui. Le couple
PKI/OTP l'est davantage aujourd’hui. Mais les attaquants
ne se reposent pas sur leurs lauriers. Nous devons donc
penser à la suite, à la biométrie par exemple. Et
Credential Manager est prêt pour cela. » —Valéry
Marchive
3. GDF SUEZ C ONSOL IDE L A GE STION DE S
RISQUES A VEC SKYBOX
Le groupe GDF Suez est fort d’une très longue histoire,
marquée au final par des activités extrêmement variées.
Certaines sont bien connues, d’autres moins, comme
l’installation de radars ou encore l’administration de
prisons, rappelait ainsi Christophe Long, RSSI groupe
adjoint, de GDF Suez, en introduction à son témoignage
lors de la dernière édition des Assises de la Sécurité, qui
se déroulaient début octobre à Monaco. Au final, il faut
ainsi compter avec cinq branches d’activités et 3 500
entités juridiques. Pour gérer de manière cohérente la
sécurité de ses systèmes d’information, le groupe dispose
d’une RSSI groupe « qui assure un rôle transverse ».
Avec humour, Christophe Long relève que « pendant
longtemps, je disais que la sécurité informatique, c’était
80 % de bon sens et 20 % de savoir. Mais si le bon sens
est partagé par tous, c’est aussi pour cela qu’il y en a
aussi peu par personne ». Pas question, donc, de la laisser
reposer sur le seul bon sens des individus. Las, les
évolutions de l’environnement IT, des usages, ont conduit
à une multiplication des risques, tant au niveau des
infrastructures IT que des applicatifs, « de manière un
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 15
peu anarchique ». Pour gérer le risque touchant aux
infrastructures, le groupe s’appuie donc sur des contrôles
internes, sur un système de gestion des informations et
des événements de sécurité (SIEM), sur un centre de
sécurité opérationnelle (SOC), et sur Skybox. Un outil,
relève le RSSI groupe adjoint, qui a permis de développer
une vision globale du risque.
Et de fournir une solution en environnement complexe,
fort de plusieurs milliers de serveurs, adossés à une
« construction télécoms qui a été un peu complexe ».
Face à cela, obtenir une vision complexe du risque
s’avérait difficile : « il y a bien des solutions sur le
marché mais toutes étaient trop chères », hormis Skybox,
complété par le scanner de vulnérabilités applicatives
Nessus. « Là, on peut regrouper les plates-formes
techniques et disposer d’une vision complète sur les
vulnérabilités applicatives », explique Christophe Long.
Et de prendre l’exemple de la plateforme Omega, « qui
gère la clientèle particuliers de GDF Suez. Ce sont 400
serveurs avec autant de configurations différentes.
Aujourd’hui, nous sommes capables d’identifier les
vulnérabilités et de dire si les correctifs ont été appliqués
ou non. Avant, c’était impossible ».
En outre, Skybox permet de définir précisément le
périmètre de reporting « pour répondre aux besoins
spécifiques des entités hébergées sur notre réseau ». La
solution permettrait même de développer une visibilité en
temps réel mais « pour l’instant, nous nous contentons
d’un scan par mois, parce que chaque scan génère des
logs et la configuration de certains serveurs ne le
supporterait pas ». L’objectif, à terme, est d’arriver à un
scan de vulnérabilités par semaine. En outre, dans sa
configuration actuelle, Skybox s’avère peu
consommateur de ressources humaines - « une personne
deux à trois heures par jour pour gérer tout cela. »
Plus loin, la RSSI groupe entend intégrer la cartographie
de son réseau au sein de Skybox. Ce qui lui permettra de
disposer d’une visibilité plus fine sur le cheminement
d’incidents dans son infrastructure.
Une vision intégrée du risque
De premiers résultats
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 16
Et Skybox n’a pas mis plus de cinq minutes après son
déploiement pour livrer ses premiers résultats : des
partages de fichiers ouverts sur des serveurs bureautiques.
Des partages dans lesquels se trouvent des fichiers
d’installation d’applications, avec identifiant et mot de
passe administrateur… en clair. Des partages temporaires
qui n’avaient pas été refermés. Skybox a permis de
déterminer les priorités pour traiter les différents cas.
Mais aussi souple et apparemment efficace que soit le
duo Skybox/Nessus, Christophe Long insiste sur
l’importance de la communication auprès des managers :
« il faut que la sécurité soit intelligible et disposer de
mesures, d’indicateurs. » Pour lui, « il faut être habité par
le principe de réalité : les managers ne comprennent pas
la sécurité informatique, ils comprennent la réalité ; il
faut donc présenter la sécurité de manière terre à terre,
offrant de véritables résultats mesurables ». —Valéry
Marchive
4. LA CNAF SEC URISE SE S EC HANG E S
ELEC TRON IQUE S AVEC A XWAY
Thierry Guiot, architecte sécurité à la Cnaf, rappelle le
contexte de la caisse : sa mission consiste à verser des
prestations d’aide aux familles et à lutter contre la
précarité. En tout, elle doit distribuer 80 Md€ par an,
répartis en 120 millions de virements. Mais tout cela ne
se fait pas seul. En tout, la Caisse Nationale d’Allocations
Familiales interagit électroniquement avec trois
partenaires financiers, 12 types de partenaires de
protection sociale - pour 88 flux de données -, 20 types de
partenaires publics - pour 86 flux - et 27 partenaires
privés et prestataires - pour 89 flux. Un total de près de
300 flux de données qui nécessitent d’être sécurisés.
L’enjeu s’avère d’autant plus grand que «l’enjeu des
prochains mois sera dans la coproduction des données,
leur certification et la lutte contre la fraude», explique
Thierry Guiot. Et de donner un exemple : «nous avons
besoin de vérifier les SIREN/SIRET en nous appuyant
sur un service Web délivré par l’Insee.» La lutte contre la
fraude s’appuiera quant à elle sur la construction «d’un
référentiel interbranches pour réaliser des contrôles
croisés et identifier d’éventuelles anomalies de
déclaration ».
SAP-ERP
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 17
Tout cela «implique une intensification des échanges
synchrones» entre la Cnaf et ses partenaires. Une
intensification qui impose «d’être agile dans l’exposition
du métier tout en garantissant l’intégrité du système ».
D’où la naissance, dès 2004, d’un standard dédié aux
échanges entre organismes de la sphère sociale : Interops.
Issu d’un projet initié par la Direction de la Sécurité
Sociale, il vise à «définir une manière d’échanger
sécurisée et standardisée», et est arrivé en version 2.0 en
2012. «Il repose sur la confiance », explique Thierry
Guiot, précisant que «l’authentification et l’habilitation
[des personnes morales l’utilisant, NDLR] sont déléguées
aux organismes clients » ; ce qui permet de limiter les
coûts d’administration. Le standard permet en outre de
tracer de bout en bout les échanges pour en assurer le
contrôle à posteriori. Lui-même repose sur des standards
techniques connus et éprouvés : SAML, SSL, «pour
assurer sa portabilité, car chaque organisme est libre de
son implémentation », précise Thierry Guiot.
Par construction, le standard est conforme au référentiel
général de sécurité de l’Anssi, mais c’est
l’implémentation qui fera la conformité du système.
Le standard Interops prévoit plusieurs typologies
d’échanges. Thierry Guiot précise qu’il n’est pas «intrusif
vis à vis du métier : lorsque l’on va vouloir développer un
service métier exposé, l’équipe concernée n’a pas besoin
de connaître Interops parce qu’il est basé sur des proxy et
des reverse-proxy qui s’intègrent au sein de la chaîne de
liaison et qui prennent eux-même le standard en charge ».
Depuis la fin 2012, la branche famille utilise ainsi le
standard en s’appuyant sur quatre appliances Axway
«pour la gestion des échanges synchrones ». L’un des
impératifs était de disposer d’une solution capable
d’évoluer en volume «pour industrialiser la sécurisation
de ces échanges ».
Un standard taillé sur mesure Sécuriser les flux
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 18
Les appliances retenues fournissent ainsi «une
approche sur étagère avec de nombreux filtres de
sécurisation. Elles sont modulaires, flexibles et intègrent
de nombreuses possibilités de manipulation de flux XML,
utiles pour les échanges SOAP ». En outre, Thierry Guiot
indique avoir été séduit par les «capacités d’interfaçage»
des appliances : «anti-virus, annuaire LDAP, bases de
données, serveur Radius... Nous avons pu les intégrer
véritablement à notre système d’information». Et de
résumer sa description à une solution «hybride entre pare-
feu applicatif et ESB ». —Valéry Marchive
5. LEROY-M ERLIN A JOUTE LE SSO À SES POSTE S
DE TR AVA IL VIRTUALIS É S
C’est fin 2010 que Leroy-Merlin a lancé les premières
études visant à virtualiser ses postes de travail. Un projet
qui s’inscrit dans une démarche globale de «centralisation
de l’infrastructure IT de nos magasins,» explique
Thibault Lehoucq, chef de projet. Historiquement,
précise-t-il, les postes de travail dans les points de vente
de l’enseigne «étaient partagés. Un utilisateur ouvrait une
session Windows le matin et celle-ci restait ouverte toute
la journée.»
Une approche qui interdisait toute forme de
personnalisation et pouvait poser des problèmes de
confidentialité, souligne-t-il.
En virtualisant, «nous apportons des sessions de travail
personnalisées avec ouverture de session par badge. Et un
même utilisateur peut se déconnecter/connecter sur
n’importe quel poste sans perdre son travail.» Un vrai
confort, renforcé par le SSO, qui permet à un utilisateur
de s’identifier une fois pour toutes à l’ouverture de
session, sans recommencer au lancement de chaque
application métier : «nous l’avons intégré au projet dès le
départ pour favoriser l’adhésion et éviter le rejet.
Historiquement, chaque utilisateur pouvait saisir jusqu’à
30 fois par jour son mot de passe. Avec le SSO, il gagne
en temps et en confort.» Pour parvenir à ses fins, Leroy-
Merlin a donc ajouté à son environnement Citrix
XenDesktop la solution de SSO du français Ilex, ainsi
que la solution de personnalisation de l’environnement
utilisateur Vuem de Norskale. Cette dernière permet
notamment de gérer «les connexions des lecteurs réseau
Le SSO pour renforcer l’adhésion
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 19
et les raccourcis vers les applicatifs. Et l’on gagne en
rapidité à l’ouverture de session,» explique Tibault
Lehoucq, tout en précisant que l’environnement
utilisateur est personnalisé en fonction de la mission de
l’utilisateur en magasin, à partir d’une image système
unique pour tous.
La centralisation de l’infrastructure doit aussi permettre à
Leroy-Merlin de réduire les coûts de maintenance liés
aux postes de travail : «le recours au help-desk est réduit.
Et partant d’une seule configuration, la gestion des mises
à jour est simplifiée. Les magasins réalisent aussi des
économies du fait du passage de postes lourds à des
clients légers, dont la durée de vie est plus longue.» Au
total, il estime pouvoir diviser par deux le coût associé
aux postes de travail. Mais la virtualisation des postes
de travail permettra aussi à l’enseigne de gagner en
flexibilité et de penser à des évolutions métiers. Thibault
Lehoucq explique ainsi que des études sont en cours sur
le paiement directement en point de conseil, ou encore
sur le déplacement à domicile de conseillers pour, par
exemple, préparer un projet de cuisine directement chez
un prospect.
Actuellement, trente magasins Leroy-Merlin sont déjà
passés au poste de travail virtualisé. L’objectif est
d’achever le déploiement à l’horizon fin 2014. Mais un
tel projet ne va pas sans difficultés. En particulier,
Thibault Lehoucq relève «les nombreuses couches
technologiques impliquées, tant en termes
d’infrastructure que de logiciels». Pour aboutir, un tel
projet nécessite donc «beaucoup de compétences
différentes et décloisonnées». Et concrètement, «parvenir
à une infrastructure stabilisée prend du temps». Une
période de stabilisation qu’il qualifie de «plutôt longue»,
sans entrer dans le détail. Et puis la faisabilité d’un tel
projet nécessite une connectivité de qualité. de se côté,
Leroy-Merlin s’était organisé à l'avance en lançant peu
avant un projet de raccordement de ses magasins à ses
centres de calcul par fibre optique, avec liens de secours
en SDSL. —Valéry Marchive
Réduire les coûts de maintenance
De nombreux défis
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 20
6. PA YB OX SUPER VISE SA SECUR ITE A VEC LE
SIE M DE L OGRHYTHM
Connu pour ses solutions de paiement électronique
sécurisé, Paybox a choisi en 2012 de moderniser la
supervision de la sécurité de ses infrastructures en
s’appuyant sur le système de gestion des informations
et des événements de sécurité de LogRhythm.
Jusqu’au début de l’année 2013, Paybox s’appuyait sur
des outils développés en interne pour superviser la
sécurité de ses infrastructures. Une approche qui ne
manquait pas de souffrir de certaines limites et qui a
conduit Marc Thomas, directeur technique de Paybox, à
chercher un système de gestion des informations et des
événements de sécurité, un SIEM. «Nous utilisions une
solution de consolidation des logs, syslog, sous Linux,
pour récupérer les logs de l’ensemble de nos serveurs
pour les centraliser. Et cela sur chacun de nos trois sites
d’hébergerment. En réponse à nos besoins métiers, nous
avions développé des scripts en interne permettant de
remonter des alertes en fonctions d’événements
spécifiques.» Selon le niveau de criticité de l’événement
relevé, l’alerte pouvait être adressé à la personne
d’astreinte par e-mail, voire par SMS, sur son
mobile. Une approche efficace «pour des événements très
ciblés orientés métiers» mais qui, de l’aveu même de
Marc Thomas, pouvait toucher à ses limites lorsqu’il
s’agissait de repérer «des comportement un peu
suspects». Trop «artisanal », donc. De quoi le pousser à
chercher des solutions.
Paybox a commencé à se rapprocher de différents
éditeurs de SIEM, «un monde que l’on connaissait mal».
Finalement, son attention s’est porté sur la solution de
LogRhythm, préconisée par le groupe Point dont fait
partie Paybox : «les équipes de LogRhythm nous ont
confirmés que leur solution intégrait des éléments
préconfigurés répondant à nos besoins, notamment pour
les audits annuels de conformité PCI DSS.» Dès lors, les
équipes de Marc Thomas ont transmis à l’éditeur des
fichiers de logs «pour voir comment se comportait leur
solution avec nos logs applicatifs ». Des logs hétérogènes
dans leur structure du fait de développements historiques
personnalisés. Et là, Paybox a constaté que «l’on pouvait
mettre en place facilement des expressions régulières
pour créer des alertes, voire des rapports répondant bien à
nos besoins ».
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 21
C’est durant cette phase de test que LogRhythm a
développé les filtres d’analyse des logs spécifiques aux
applicatifs de Paybox et à ses pare-feu Arkoon et Netasq
[tous deux absorbés depuis par Cassidian CyberSecurity,
NDLR]. Un travail «rapide», précise LogRhythm,
soulignant que les filtres étaient disponibles et
opérationnels pour le déploiement. Le dimensionnement
de la solution s’est fait sur la base d’un tableur Excel
renseigné par les équipes de Paybox avec les données
relatives à la volumétrie de logs sur chaque système,
chaque application et chaque équipement réseau de son
infrastructure. Au final, le spécialiste du paiement en
ligne utilise trois appliances regroupées dans un seul de
ses trois centres d’hébergement : la première assure la
collecte, la mise en forme et l’indexation des logs; la
seconde se charge de la corrélation avancée des
événements; et la troisième gère la production des alertes,
des rapports, des tableaux de bord, ainsi que la
configuration globale du SIEM.
L’ensemble du projet s’est déroulé très rapidement : après
une commande ferme adressée début 2013, le
déploiement a commencé au début du printemps. Des
agents spécifiques ont été installés «sur tous nos serveurs
et tous les équipements réseau. Ils transmettent les logs à
l’appliance de collecte. Et quand ils ne le peuvent pas, ils
stockent les données en local ». Ce délai très bref a même
permis à Paybox de s’appuyer sur les rapports du SIEM
de LogRhythm pour son audit PCI DSS, en juin dernier.
Pour l’heure, par sécurité, Paybox continue d’exploiter en
parallèle son système historique de gestion des logs et
son SIEM. Mais celui-ci ne pose pour autant pas de
problème. Mieux encore, Paybox envisageait
initialement de déployer en parallèle une solution de
surveillance de l’intégrité de fichiers (File Integrity
Monitoring, FIM). Là, un agent dédié, connecté au SIEM
de LogRhythm assure cette surveillance - «peut-être avec
des fonctionnalités moins avancées qu’une solution
dédiée mais cela répond à nos besoins.»
Des filtres spécifiques Un projet rapide et vivant
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 22
Les rapports prédéfinis permettent en outre à Paybox de
disposer quotidiennement de rapports «type PCI DSS».
Et «maintenant que l’on a bien pris en main cet outil,
après déploiement de nos scripts historiques, on va plus
loin », explique Marc Thomas : «Nous travaillons avec
notre équipe de recherche et développement pour obtenir
des informations pertinentes et utiliser le SIEM afin de
produire des indicateurs de production.» —Valéry
Marchive
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
SÉCURITÉ : OÙ SONT LES PROJETS ? 23
AUTEUR
VALERY MARCHIVE Ce spécialiste du poste de travail et des
problématiques liées à la mobilité et aux télécoms, a participé à de
nombreux titres de la presse informatique et généraliste dans
l’Hexagone, toujours avec le souci de décrypter les technologies.
Valéry est l’auteur de plusieurs ouvrages consacrés à Mac OS X.
Pour LeMagIT, il décortiquera l’évolution du poste de travail et les
enjeux de la convergence numérique.
Le document consulté provient du site www.lemagit.fr
Cyrille Chausson | Rédacteur en Chef
Valery Marchive | Journaliste
Linda Koury | Directeur Artistique
Neva Maniscalco | Designer
Mathilde Haslund | Assistante Marketing [email protected]
TechTarget 22 rue Léon Jouhaux, 75010 Paris
www.techtarget.com
©2014 TechTarget Inc. Aucun des contenus ne peut être transmis ou reproduit quelle que soit la
forme sans l'autorisation écrite de l'éditeur. Les réimpressions de TechTarget sont disponibles à
travers The YGS Group.
TechTarget édite des publications pour les professionnels de l'IT. Plus de 100 sites qui proposent
un accès rapide à un stock important d'informations, de conseils, d'analyses concernant les
technologies, les produits et les process déterminants dans vos fonctions. Nos
événements réels et nos séminaires virtuels vous donnent accès à des commentaires et
recommandations neutres par des experts sur les problèmes et défis que vous rencontrez
quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours
avec vos pairs et des experts du secteur.
