” Sur Internet, les attaques sont de plus en plus automatisées. Ce n’est pas une entreprise particulière qui est visée, mais plutôt une plage d’adresses IP qui est méthodiquement scrutée “, débute Stéphane Aubert, consultant chez HSC.“Les scripts d’attaque – tels Ramen ou Lion – se comportent désormais comme des virus “, confirme Joachim Krause, consultant chez CF6 (groupe Telindus). Ce danger venu d’Internet a toutefois des conséquences positives. “I love you a permis de sensibiliser les directions générales “, note Pascal Antonini, directeur de mission chez Ernst & Young. Pourtant, face au danger, l’inertie des entreprises semble encore bien réelle.
Potentiellement, les fraudeurs sont toujours dans l’entreprise
“Rien n’a changé dans les messageries Outlook. On ne bloque pas les fichiers VBS, s’exclame Stéphane Aubert. Je ne connais qu’une seule entreprise qui ait décidé de ne plus laisser passer que des messages de type texte.”
“Les projets de commerce électronique et de portails Internet déclenchent désormais le réflexe sécurité dans les directions générales “, reprend Pascal Antonini. Un réflexe justifié, si l’on en croit Stéphane Aubert : “Sur les cinq dernières interventions que nous avons réalisées, une attaque provenait de l’interne, quatre étaient externes.” Pourtant, l’Intranet reste particulièrement mal sécurisé. “Il est très facile de prendre la main sur un SAP, par exemple “, confirme Jean-Marc Gremy, directeur de la division Intégration et ingénierie de solutions chez Cyber Networks. Les fraudeurs sont donc toujours potentiellement à l’intérieur des murs de l’entreprise. “Les attaques internes sont souvent mal détectées, et découvertes par hasard “, ajoute Olivier Caleff, directeur technique d’Apogée Communications. “Le pire est de se faire voler des données et de ne pas s’en apercevoir “, renchérit Jean-Marc Gremy. “Le RSSI devra aussi veiller à ce que l’on ne vole pas le disque dur du portable du p.-d.g. lors d’un déplacement “, poursuit-il.
Industrialiser la sécurité
L’ouverture à Internet étant obligatoire, d’où viennent les principaux problèmes ? La réponse de Stéphane Aubert est nette : “Il n’y a aucune sécurité sérieuse chez les ISP, et France Télécom n’est pas mieux placé sur ce sujet ! Sur les machines laissées accessibles apparaissent des rootkits. Dans le cas d’une attaque de type déni de service récente (Naptha), celle-ci ne peut être bloquée par une entreprise. L’opérateur devrait l’épauler. Pour résoudre le problème, peut-être faut-il en choisir plusieurs ? “” Certains opérateurs commencent à industrialiser la sécurité “, tempère Laurent Bellefin, directeur de l’activité Sécurité de Solucom.Stéphane Aubert poursuit : “On assiste à une surenchère : on double les routeurs et les firewalls. Mais, en cas d’attaque, si un firewall tombe et qu’il y a basculement sur le pare-feu de secours, ce dernier ne tardera pas à tomber à son tour. Cela ne sert donc à rien. Par ailleurs, le temps de réparation de la LS de France Télécom est de quatre heures ! Alors, à quoi bon une architecture à haute disponibilité ? Un routeur démarré en cas de besoin est largement suffisant. “” Les responsables réseaux installent un IDS (Intrusion detection system) entre le routeur et le coupe-feu, ajoute-t-il. Or, si tout le trafic est codé en HTTPS, l’IDS ne le comprend pas ! Totalement inutile, il aura quand même coûté 80 000 F ht !”
“Il est vrai que la tendance est à mettre l’argent dans les produits, et non dans les hommes, complète Joachim Krause. En fait, lorsque l’on touche à l’organisation, cela remonte jusqu’à la direction générale car les syndicats réagissent.”
Des coûts d’exploitation et d’administration accrus
L’alourdissement des architectures accroît, pour sa part, les coûts d’exploitation et d’administration. Or, “la priorité est à la gestion de la sécurité et des composants associés, firewalls ou routeurs” affirme Pascal Antonini. “À quoi sert d’avoir le meilleur coupe-feu, s’il est mal administré ? Et c’est en général le cas “, insiste-t-il. Une masse d’informations est remontée en temps réel et archivée dans les fichiers d’historiques (fichiers de logs). On se trouve alors confronté à un double problème : identifier les alarmes pertinentes (qualifier leur niveau d’urgence, et présenter l’information de façon claire à un opérateur), et analyser en différé, en effectuant des corrélations, les fichiers de logs. “Il y a beaucoup de projets sur l’administration de ces logs “, assurent Laurent Bellefin comme Jean-Marc Gremy. “La consolidation et l’analyse des journaux sont parmi les rares pans de la sécurité – avec les antivirus – où il n’existe pas d’outils Open Source “, déplore Stéphane Aubert. De fait, il n’existe aucune normalisation du format des informations en provenance des systèmes de gestion des habilitations, des routeurs, des IDS, etc. Des produits se sont attaqués au problème. Intruder Alert, de Symantec, ou Safesuite, d’ISS, traitent les aspects temps réel. NetSpective, de Telemate ; NetSecure Log, de NetSecure Software ; ou encore, WebTrends effectuent des consolidations de logs. Pourtant, aucun ne semble remplir totalement le contrat.
La PKI mondiale n’existera pas
Autre grand chantier : les infrastructures PKI. Décolleront-elles, enfin ? “Ses partisans attendent l’application qui tue. Aujourd’hui, on s’en passe ! “, assène Stéphane Aubert. Il faut dire que les prix incitent à réfléchir. Sur un projet récent, le devis présenté par Baltimore Technologies s’élevait à 320 F ht par utilisateur. Chez Entrust Technologies, la même prestation revenait à 600 F ht, tout cela hors coût de l’organisation interne à mettre en place et du matériel ! “De toute façon, IKE (Internet key exchange) semble trop compliqué pour que cela marche, et la PKI mondiale n’existera pas. Le modèle PGP est plus rassurant. Le principe d’un réseau de confiance correspond mieux au monde du logiciel libre que l’organisation hiérarchique de la PKI “, appuie Stéphane Aubert. “L’inconvénient de la PKI, c’est qu’elle empêche le contrôle de contenu, puisque tout est chiffré. On pourrait session protégée. Le seul remède est de déporter une partie des contrôles aux extrémités, analyse Laurent Bellefin. En revanche, la PKI apporte tous les bienfaits de la signature électronique “, reconnaît-il. “La PKI offrira un ensemble de nouveaux services : l’horodatage universel, par exemple, qui est en cours de normalisation à l’IETF “, prédit Michel-Paul Bourdin, directeur Domaine sécurité chez Atos. “Cela nécessitera l’adaptation des applications existantes. C’est aussi une technologie élitiste qui, si elle est hébergée en interne, sera réservée aux grandes entreprises, un projet de PKI ne démarrant pas en dessous de 2 millions de francs. En outre, beaucoup d’entreprises ne voudront pas confier leurs clés numériques à un organisme externe.”
Le commerce B to B, avec ou sans PKI ?
La PKI serait-elle nécessaire au commerce électronique B to B ? “Aujourd’hui, on fait déjà du commerce électronique sans PKI ! “, répondent les participants. L’horodatage des transactions, leur non-répudiation et l’archivage sont possibles sans PKI. Pourtant, “dans le cadre de gros montants, pour du commerce B to B, la PKI est nécessaire “, pense Laurent Bellefin. Un avis qui se vérifie puisque GNX, la place de marché de Carrefour, a nécessité la mise en place d’une PKI. Certes, il reste à résoudre des problèmes liés à l’interopérabilité des PKI des différents partenaires commerciaux. Quitte à choisir le remède adopté par la société Schlumberger : délivrer à ses partenaires des certificats émis par son propre système de PKI. “Le monde est un ensemble de communautés. C’est au sein de chacune d’entre elles que s’établit la confiance, entre des gens qui se connaissent “, reprendMichel-Paul Bourdin. Conséquence : de nombreuses communautés auront leurs propres infrastructures PKI. Un exemple de communauté est l’initiative Identrus, qui réunit une centaine de banques au niveau international.Elle permettra à chaque banque (Crédit Lyonnais et SG, entre autres) de posséder sa propre PKI, donc de délivrer des certificats à ses clients, tout en garantissant la reconnaissance des certificats ainsi émis par l’ensemble des membres d’Identrus. Autre technologie qui tarde à percer : le Single Sign-on (SSO). Censé gérer un mot de passe unique par utilisateur pour accéder à toutes ses applications, il semble faire du surplace : “S’il offre déjà un mot de passe commun entre une base de données et un ERP, c’est bien “, explique Jean-Marc Gremy. “C’est un processus ressenti comme lourd et coûteux par les entreprises “, résume Joachim Krause. “Un SSO est livré avec un kit d’outils pour être réintégré dans les applications. Cela demande du développement “, souligne Michel-Paul Bourdin. “Le SSO peut percer lors d’une migration du système d’information vers le tout-Web, reprend Laurent Bellefin. Il s’appuiera sur un annuaire de sécurité.” Enfin, est-il possible d’établir des contrats avec engagements de résultat en matière de sécurité logique ? “Aucun prestataire ne peut signer un tel type de contrat “, estiment les participants. Le processus de définition et de contrôle des conditions d’application deviendrait, en particulier, trop complexe.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
