Vers une gestion des risques raisonnée
-
Upload
zdnet-france -
Category
Technology
-
view
950 -
download
0
Transcript of Vers une gestion des risques raisonnée
Vers une gestion des risquesraisonnée
L’évolution des attaques en réseau suit l’adoption des usages web, des infrastructures et des services clouds. Les politiques et pratiques de sécurité doivent s’adapter.
Depuis 2005, le nombre de co-
des malveillants téléchargés à
l’insu de l’utilisateur ne cesse
d’augmenter. Ces logiciels espions (key-
loggers, virus ou chevaux de Troie), té-
moignent d’une activité croissante, sous-
terraine et parrallèle aux transactions
légitimes. Internet fourmille de forums
d’échanges où l’on vend des toolkits
paramétrables, des informations privées
et de faux sites Web, prêts à l’emploi, en
tous points semblables aux services de
votre banque en ligne. Un courriel vous
demande une vérifi cation de routine ?
Attention au piège ! Sans soupçonner le
moindre subterfuge, de nombreux inter-
nautes dévoilent quotidiennement leurs
identifi ants personnels sur un site qui
n’est pas celui qu’il prétend être.
Les attaques en provenance d’Internet
exploitent volontiers les dernières failles
pour aiguiller l’utilisateur vers un site illi-
cite ou enregistrer des sessions à distan-
ce. Chaque version de navigateur web et
chaque version de plug-in connaît ses
vulnérabilités. Autre menace classique
désormais, le cross-site scripting (XSS) :
cette vulnérabilité, enfouie dans un site
web, fait passer un code externe pour un
service licite et en profi te pour dérober
les cookies de session de l’utilisateur.
des piègespatiemment préparés
Dernièrement, les menaces persis-
tantes avancées (APT) ont fait couler
beaucoup d’encre car elles ciblent des
ministères (Bercy, le Quai d’Orsay...), de
grands comptes de l’énergie (Areva) ou
de l’électronique (Sony). Associées aux
techniques de contournement, elles dé-
jouent l’anti-malware et l’outil de préven-
tion d’intrusions par leurs nombreuses
combinaisons et variantes possibles.
Les opérations d’espionnage électroni-
que sont préparées en plusieurs étapes
autour de ces codes mutants. Le hacker
cible d’abord un objectif, un serveur puis
son réseau. Il y infi ltre un ver patiemment,
octet par octet, pour passer inaperçu. Il
s’appuie ensuite sur ce malware pour
escalader les privilèges et obtenir des
droits d’administration sur une machine
non mise à jour d’où il exportera les don-
nées secrètes ou privées.
Faute de plateformes coordonnées et
d’une stratégie de protection globale,
la chaîne de services de l’entreprise est
rarement sécurisée de bout en bout.
Les attaques APT- qui forment une me-
nace sérieuse sur la propriété intellec-
tuelle - capitalisent sur cette carence.
En pratique, les hackers tirent avantage
successivement des failles d’exploita-
tion (les patchs tardifs), des brèches
d’architecture réseau et de la perméabi-
lité des applications web. Ils s’appuient
sur les places de marché underground,
sur une surveillance des messageries
publiques, des chats ou des réseaux
sociaux pour obtenir des renseigne-
ments préalables. Dans ce contexte,
il devient diffi cile de garantir l’intégrité
de l’environnement système et celle du
réseau d’entreprise. Pour reprendre le
contrôle du système, l’entreprise doit
imposer à l’infrastructure globale et aux
traitements informatiques une confor-
mité stricte à ses règles d’échanges.
L’entRepRISe SanS CeSSe ConFRontÉe auX nouveLLeS MenaCeS
Face aux cyber-menaces plus fré-
quentes, l’entreprise doit trans-
former ses défenses ponctuelles
en une gestion plus large de la sécurité
des informations. En terme de sécurité,
il ne s’agit pas d’investir au-delà de la
valeur des activités à protéger. Le RSSI
gagne à mieux détecter les événements
survenant sur le parc IT. Il améliore sa
perception des vulnérabilités, des sys-
tèmes et des confi gurations. L’analyse
des risques, fondée sur des métriques
effi caces, contribue ensuite à résoudre
les incidents les plus dommageables
pour l’entreprise. Ce modèle de maturité
assure que les accès, les traitements et
les données confi dentielles ne tombent
pas entre de mauvaises mains.
Qu’ils agissent localement, de façon auto-
nome, ou dans le respect des consignes
d’un siège international, les responsables
de la sécurité peinent à cerner tous les
risques provenant d’Internet. A présent,
ils sont confrontés à une prolifération de
terminaux mobiles, de versions d’environ-
nements et de brèches à colmater.
En outre, les responsables métiers adop-
tent, ponctuellement, des services hé-
bergés en modèle SaaS (Software as a
Service). Faute de gouvernance globale
des risques et de la sécurité, le système
d’information gagne en souplesse en ce
qui concerne la mobilité ou la réactivité,
mais perd en cohérence car il devient un
ensemble de silos, chacun porteur de ris-
ques et vulnérabilités, sans possibilité de
visibilité globale.
un trampoline entreles serveurs
Le hacker dispose d’un arsenal d’outils
pour l’ingénierie sociale, les attaques fur-
tives et l’exploitation de brèches systè-
mes. Associé aux renseignements glanés
sur la toile, il usurpe rapidement les droits
d’accès aux applicatifs et aux données
numériques pour capter puis revendre
des informations confi dentielles.
Les dernières attaques, plus délicates
à repérer, n’agissent pas seulement par
e-mail. Elles se servent de l’infrastructure
en place comme d’un trampoline pour
rebondir entre les serveurs jusqu’aux
données les plus sensibles.
L’entreprise oriente parfois son expan-
sion sur Internet. Dans ce cas, la sé-
curité des transactions du commerce
électronique devient sa priorité. Avec la
dématérialisation des procédures, toute
société est amenée à ouvrir son réseau
sur la toile mondiale, ne serait-ce que
pour accomplir des formalités légales ou
administratives.
Dès lors, une vigilance continue s’im-
pose pour vérifi er les fl ux de données
numériques, porteurs de menaces ou de
malveillances éventuelles.
Le cloud computing et la mobilité font voler en éclat les frontières du réseau d’entreprise.Celle-ci doit revoir sa stratégie de sécurité IT avec des outils et des procédures coor-donnés.
deS RISqueS LIÉS au CLoud et À La MobILItÉ
« Le RSSI devIent ReSponSabLe de La geStIon deS RISqueS »
Les attaques Internet ont-elles changé
de cible et de forme ?
Les attaques mafieuses très sophisti-
quées ont initialement ciblé le monde de
la banque en raison de la possibilité de
monétisation immédiate. Même si elles
continuent à être une cible importante, les
banques sont désormais habituées à cet-
te menace depuis plusieurs années. Ce
qui a changé aujourd’hui, c’est le fait que
les attaques ciblent maintenant une entre-
prise, un groupe industriel en particulier,
pour en dérober la propriété intellectuelle.
Elles font peu de bruit pour être difficiles
à détecter. La clé de voute de toute dé-
fense est alors l’analyse de risques. Grâce
à elle, on gère les investissements en
sécurité en fonction des risques métier. Il
s’agit de mettre en œuvre des protections
adaptées à la criticité de chaque activité.
Cette approche par les risques est aussi
un préalable, pour que l’entreprise soit en
mesure de connaître rapidement quelles
sont les conséquences business d’une
attaque, une fois qu’elle a eu lieu.
Comment évolue le métier du respon-
sable de la sécurité informatique ?
Le RSSI devient responsable de la ges-
tion des risques. Hier encore, c’étaient
deux fonctions différentes voire deux
entités distinctes dans l’entreprise. Main-
tenant, le RSSI peut partir de l’analyse
des risques pour décider des investisse-
ments à faire en terme de sécurité. Pour
maîtriser ses deux fonctions, il voit dans
l’équipe RSA un vrai partenaire. Ses be-
soins de reporting intègrent dorénavant
deux points de vue : technique et métier.
Parvient-il à cloisonner les sphères pro-
fessionnelles et privées des utilisateurs ?
C’est une priorité à présent en ce qui
concerne les terminaux mobiles. Ils se
connectent sur n’importe quel site, ré-
seau social ou service hébergé et de
retour au bureau, ils peuvent infecter le
réseau d’entreprise. La virtualisation du
poste de travail, permet de traiter les im-
pératifs de sécurité, en aidant à dissocier
la couche physique de la couche logi-
que. Le chiffrement des données sensi-
bles complète ce dispositif.
Comment renforcer les accès et surveiller
tout ce qui se passe sur le réseau?
En terme de sécurité des accès, la ligne
de protection des identités de RSA offre
un large choix de moyens d’authentifica-
tion pour répondre à toutes les contrain-
tes et types de populations accédant aux
informations de l’entreprise. L’approche
par le risque est un élément majeur
aussi dans les solutions d’authentifica-
tion RSA, puisque nous proposons une
authentification forte basée sur le risque
qui ne nécessite aucun déploiement de
tokens. Elle est particulièrement adap-
tée aux entreprises ayant un besoin de
sécuriser l’accès de très larges popula-
tions vers des portails par exemple (por-
tail bancaires, site e-commerce..) mais
également pour les PME en raison de
sa facilité de gestion et sa transparence
pour l’utilisateur final. Pour surveiller les
attaques complexes non détectables
par les approches traditionnelles de sé-
curité (anti-virus, anti-intrusion, ..), RSA
NetWitness propose la capture de tous
les paquets réseaux et des analyses
très avancées. On détecte ainsi tous les
comportements anormaux, les activités
suspectes, les logiciels malveillants y
compris les malwares ‘zero day’, encore
inconnus des antivirus. Et, si un incident
est identifié, les traces et la possibilité de
rejouer les sessions permettent non seu-
lement de connaître les impacts, mais
aussi les causes pour mettre en place
très rapidement une remédiation.
La protection contre les fuites de don-
nées restera-t-elle un projet de longue
haleine ?
En Europe et en France, on rencontre
maintenant des projets concernant des
sociétés industrielles soucieuses de pro-
téger leur propriété intellectuelle. Ils pren-
nent plus de temps que les projets de
conformité menés aux USA car ils sont
construits dans le temps ; ils exigent une
vraie classification de données et une vé-
ritable analyse de risques.
Philippe Fauchay, DG RSA France
un SoCLe de gouveRnanCeet de SÉCuRItÉ ItFace aux risques émergents, imbriqués les uns dans les autres, RSA aide l’entreprise à garder le contrôle avec une visibilité continue et une traçabilité des activités ayant lieu sur le système d’information.
Déterminés, organisés, bien ren-
seignés et très outillés, les cy-
bercriminels peuvent s’introdui-
re dans les systèmes d’informations les
mieux protégés et y puiser les données
stratégiques, de propriété intellectuelle,
ou autre qu’ils jugent monnayables sur le
marché de l’underground.
Une véritable gestion des risques s’im-
pose désormais avec une visibilité com-
plète sur les incidents de sécurité et in-
formatiques et leurs conséquences sur
les services métier. Il s’agit de surveiller
tout ce qui se passe réellement sur le
réseau et d’offrir des parades adaptées
à chaque risque identifi é. C’est exacte-
ment ce que propose la plate-forme RSA
Archer eGRC : un socle de gouvernance
pour tous les domaines constituant l’en-
treprise, à savoir l’informatique, la fi nan-
ce, le juridique,…. Il présente sous forme
de tableaux de bord les informations de
suivi et de visibilité attendues par les
divers responsables. Pour les équipes
informatiques et sécurité RSA Archer
eGRC permet d’avoir une vision claire via
ces tableaux de bords de la conformité,
de la sécurité des fl ux d’informations,
des incidents et de leur remédiation.
La gestion desincidents
de sécurité
Les clients de la plateforme Archer
eGRC bénéfi cient d’un suivi des inci-
dents de sécurité diffusant l’évolution
des menaces, grâce au workfl ow inté-
gré. Ils peuvent mesurer précisément
l’impact de chaque menace sur leurs
activités. Ils sont aussi en mesure de
vérifi er la conformité des confi gurations
de leurs serveurs et de leur infrastruc-
ture. Enfi n, ils rationalisent les réponses
aux incidents grâce à la coordination
des solutions RSA.
En cas d’attaque ou de comporte-
ment anormal sur une application ou
un accès aux données, l’alerte est
immédiatement déclenchée. Le moin-
dre incident est journalisé. Du coup,
des rapprochements permettent de
déterminer la sévérité du risque et de
traduire son impact sur les échanges
métier de l’entreprise. Pour chaque ni-
veau de risque, des procédures et des
outils sont alors mis en place afi n de
régler automatiquement le problème
ou d’en atténuer les effets. En coulisse,
les solutions d’authentifi cation basées
sur le risque, de monitoring continu
du réseau, de SIEM, et de prévention
contre les fuites de données (DLP) de
RSA sont coordonnées. Les règles de
fi ltrage évoluent avec le temps pour
renforcer le réseau d’entreprise tandis
que les échanges confi dentiels avec
les partenaires et les utilisateurs mo-
biles sont chiffrés selon les règles pro-
pres à l’organisation. Le comportement
de l’infrastructure suit enfi n les priorités
propres à chaque métier.
La traçabilité de bouten bout
Grâce à Archer eGRC, l’administrateur
dispose d’outils de surveillance bien
plus puissants que de simples jour-
naux. Des analyses comportementales
et une corrélation d’informations pro-
curent les bons leviers au bon moment
pour optimiser le fi ltrage XML, rétablir
ou basculer des services endomma-
gés, le plus souvent, de façon transpa-
rente pour l’utilisateur. Toute la chaîne
de services de l’entreprise est sécuri-
sée de bout en bout. En outre, la traça-
bilité des fl ux de données devient com-
plète ; elle s’étend aux prestataires du
système d’informations. Ainsi, chacun
sait qui accède à quel service, quand
et depuis quel emplacement.
Avec RSA Archer eGRC, l’ensemble
des technologies, solutions et services
mis en œuvre dans le système d’infor-
mation sont placés sous surveillance,
y compris les prestataires de l’infras-
tructure et des services cloud. Contrats
d’engagement et niveaux de services
sont ainsi vérifi és et comparés aux tra-
fi cs en temps réel.
RSA est le premier éditeur de so-
lutions de sécurité, de gestion
du risque et de la conformité. En
aidant les entreprises à relever leurs défi s
les plus complexes et les plus critiques
en matière de sécurité, RSA contribue
au succès des plus grandes entreprises
mondiales. Ces défi s incluent la gestion
des risques opérationnels, la protection
des accès mobiles et de la collaboration,
la preuve de conformité et la sécurisation
des environnements virtuels et cloud.
Combinant des contrôles critiques mé-
tiers – dans la gestion des identités, la
prévention des pertes de données, le
chiffrement et la tokenisation, la protec-
tion contre la fraude, ainsi que le SIEM
– à des fonctions de GRC et des services
de consulting, RSA apporte la visibilité et
la confi ance à des millions d’identités uti-
lisateurs, aux transactions qu’elles réali-
sent et aux données générées.
RSA – Immeuble River Ouest – 80 quai
Voltaire – 95870 Bezons – France
Tel : 01 39 96 90 00 – Fax : 01 39 96 97 77
france.rsa.com
Contact :
Yamina Perrot : [email protected]
Béatrice Petit : [email protected]
À pRopoSde RSa