“La sécurité informatique évoluant très vite, nous avons, en 2000, mis en place des audits réguliers sur ce thème”, explique Hugh Rees, responsable de l’équipe d’audit interne d’Eurotunnel, composée de quatre personnes dont un informaticien. Deux examens ont ainsi été réalisés par la SSII Transiciel ?” l’un d’août à octobre 2000 sur les applications de gestion, l’autre au printemps 2001 sur les systèmes opérationnels et le site internet. “Nous souhaitions qu’un prestataire externe apporte son expertise. D’autant que nous voulions effectuer des tests d’intrusion”, complète Hugh Rees. Le gestionnaire du tunnel sous la Manche a aussi constitué un dispositif interne adéquat.
Plan d’action à moyen terme
Depuis 1998, la direction informatique comptait un responsable de la sécurité, qui s’était doté d’un adjoint l’année suivante. Mais “cela ne suffisait pas. La sécurité informatique devait remonter à un niveau de direction”, souligne Yannick Bourlon, ancien auditeur informatique interne. En 1999 fut donc créée une instance de pilotage, la Task Force Sécurité Informatique, dirigée par un membre du comité de la direction d’Eurotunnel. Elle a décidé des actions à mener à l’issue de chaque audit et en a surveillé l’exécution.La première étude (cartographie et vulnérabilités des applications de gestion et bureautiques) a mobilisé quatre personnes ?” trois ingénieurs de Transiciel et Yannick Bourlon. Avec l’accord du groupe de pilotage, des tentatives d’intrusion ont été réalisées à l’insu du personnel. Le rapport d’audit devait conduire à un plan d’action sur trois mois. Finalement, il s’est étalé sur le moyen terme pour permettre de valider les solutions retenues. On a, par exemple, modifié l’organisation pour améliorer la surveillance des systèmes et la réaction selon la gravité des alertes. Par ailleurs, les accès du personnel à internet sont toujours soumis à une procédure d’approbation, mais les outils logiciels de contrôle ont été changés. En matière de pare-feu, il est apparu opportun de recourir à deux fournisseurs ?” il n’y en avait qu’un auparavant. L’ audit suivant portait sur le contrôle ferroviaire et le site internet. Il a impliqué deux personnes, dont Yannick Bourlon, qui explique : “Nous n’avons pas effectué de tests de vulnérabilité du système ferroviaire, pour ne risquer de provoquer un incident touchant un train. Nous avons donc procédé à une évaluation des risques d’intrusion sur les réseaux gérant ces systèmes. ” La mise en ?”uvre des remèdes préconisés par l’étude a duré jusqu’à l’automne 2001. Parmi eux, figure l’installation d’un serveur dédié au site d’Eurotunnel chez l’hébergeur, au lieu d’une machine commune à plusieurs clients. A partir de la fin de 2001, des audits plus légers doivent être réalisés tous les trimestres.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
