sept grands groupes face aux défis de la...

Sept grands groupes face aux défis de la sécurité Sept groupes expliquent comment ils adaptent l’approche de la sécurité de

leurs systèmes d’information face aux menaces actuelles et aux nouvelles

exigences des métiers.

Des témoignages recueillis à l’occasion des Assises de la Sécurité 2012 et des

RIAMS 2013.

of 20

Sept grands groupes face aux défis de la sécurité

Dans cet E-guide

Europe Airpost : un SI modernisé au pas de charge

ArcelorMittal mise sur le Cloud pour l'authentification

SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre

Natixis prépare le renforcement de la traçabilité des identités

Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "

Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD

Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires


Fabrice de Biasio, DSI d’Europe Airpost, dresse le portrait d’une

entreprise qui a considérablement changé avec le temps. Un temps

exclusivement dédiée au transport aérien du courrier entre Paris et la

province, l’entreprise s’est ouverte au transport de passagers jusqu’à ce qu’il

représente près de la moitié de son activité, avec près d’un million de

passagers par an, pour des tours operators - «nous sommes la seconde

compagnie aérienne de l’Hexagone derrière Air France », affirme ainsi

Fabrice de Biasio. Cette évolution menée à un rythme soutenu a impliqué de

nombreux défis. A commencer par une réorientation radicale de l’IT : «passé

d’un centre de coûts à une démarche de centre de profits», dans une optique

«d’alignement sur la stratégie du groupe ». Cela s’est traduit, en 2008, par

«une refonte complète du réseau», avec le déploiement d’outils Websense,

F-Secure et Proofpoint pour sa sécurité, et d’équipements Cisco, dont «deux

cœurs de réseau alimentant chacun une salle de production informatique -

nous avons des salles en redondance actif/actif dans deux bâtiments

distants, interconnectés par un lien gigabit », explique le DSI de l’entreprise.

Rattrapé par la consumérisation

Mais l’environnement informatique plus général a aussi évolué : «l’arrivée

des iPhone et des tablettes ont fait émerger de nouvelles problématiques et

nous avons du trouver les moyens de donner satisfaction à nos utilisateurs »,

explique Fabrice de Biasio. Cela impliquait en particulier de leur donner un

accès à Internet, ne serait-ce que pour supporter la mise à jour des

terminaux. Les outils de sécurité précédemment déployés ont alors montré

leurs limites : «on gérait les règles de sécurité en fonction des adresses IP

mais il nous fallait les gérer en fonction des applications.» En outre, Europe

Airpost devait se conformer à certaines règles légales, «au niveaux des logs

de connexion et de leur conservation, notamment ». C’est ce qu’ont permis

les outils de Palo Alto Networks : «c’est fiable et la gestion des règles se fait

suivant les applications. C’est une réponse simple et efficace à nos

problématiques.» D’autant plus simple que, souligne-t-il, tout l’équipement de

sécurité est ici «réduit à deux appliances. Nous avons supprimé de

nombreux équipements actifs, ce qui a réduit les risques et les coûts. Nous

of 20


Dans cet E-guide








avons fait mieux, plus efficace et moins cher ». Un déploiement «assez

court, en deux mois» et surtout «quasiment sans coupure; on a presque fait

de la migration à chaud », explique Fabrice de Biasio. Qui souligne au

passage que ce choix permet «de rationaliser et de sécuriser les accès à

Internet tout en gérant la problématique des terminaux mobiles et des invités

». Un accès à Internet qui n’était assuré que par deux liens à 2 Mbps il y a

quelques années et qui offre aujourd’hui une bande passante d’un gigabit -

«les précédentes appliances de sécurité constituaient un goulot

d’étranglement ».

Une infrastructure totalement virtualisée

L’approche centrée sur l’efficacité et la réduction des coûts a été étendue à

d’autres domaines : «nous avons virtualisé l’ensemble de l’infrastructure. En

2008, environ 25 serveurs sur une centaine étaient virtualisés, avec un peu

de Citrix. Nous avons choisi de passer à 100 % sur VMware.» Le tout avec

des serveurs lames et une infrastructure de stockage «à l’identique, avec

DataCore pour lui ajouter une couche de virtualisation ». En 2010, Europe

Airpost a poursuivi le travail, «en virtualisant les postes de travail avec

VMware View dans une optique de standardisation de l’environnement. Les

applications ont été virtualisées avec ThinApp. Aujourd’hui, lorsque l’on

installe un poste de travail, c’est une question de quelques clics, en somme

». Les fruits d’un chantier lourd qui a duré rien moins que deux ans, malgré

le recours à PowerFUSE, de Res Software, pour fluidifier la conduite du

changement et la gestion des environnements utilisateur. La sécurité des

postes de travail virtuels est assurée par l’anti-virus de Kaspersky - «nous

sommes en train de migrer vers sa version adaptée à vShield; nous pourrons

supprimer les agents résidents dans les VMs ».

Fluidifier l’administration

Depuis la fin 2012, l’entreprise a même entrepris de supprimer les clients

lourds : «on propose d’échanger le couple portable/dock par un client léger

Wyse doublé d’une tablette tactile.» Et à ceux qui s’inquièteraient de la

connectivité, il répond simplement que «la 3G et le WiFi sont largement

disponibles ; notre personnel est très rarement déconnecté. Je ne me

of 20


Dans cet E-guide








souviens pas d'avoir utilisée ma carte 3G au cours des douze derniers mois

». En outre, sur les tablettes, Europe Airpost mise sur la dualité entre

applications utilisables en mode connecté - applications Web et VDI - et

applications natives supportant un mode déconnecté. Plus loin, l’entreprise

commence à passer sur Office 365, misant donc sur les applications en

mode SaaS. Un dispositif de SSO a d’ailleurs été déployé pour simplifier

l’utilisation de l’environnement, avec une solution d’Imprivata. Et tout à sa

logique d’optimisation de son infrastructure, tant pour les utilisateurs que

pour l’exploitation, Fabrice de Biasio explique avoir récemment fini la mise en

place de ServiceNow «comme portail de gestion de l’IT».

of 20


Dans cet E-guide









Présentant son projet sur les Riams, Michaël Fiey, responsable groupe des

programmes IT Security, souligne la variété des populations représentées

chez ArcelorMittal : 250 000 employés dont 25 000 mobiles, répartis dans

plus de 60 pays, avec des équipes métiers et IT, des personnels fixes et

d’autres hyper-nomades, certains équipés en outils informatiques et d’autres

pas. Jusque là, le groupe apportait des «réponses hétérogènes aux besoins

de sécurisation des accès distants et l’absence de solution groupe pouvait

constituer un frein à l’ouverture demandée ». Sous la pression d’une menace

externe de plus en plus pressante - le géant de l’acier aurait fait l’objet «d’un

certain nombre d’attaques en 2012» -, sécuriser l’accès aux applications et à

la messagerie devenait essentiel. D’autant que «énormément d’informations

très sensibles sont échangées» par courrier électronique. Dans cette même

logique, le projet d’authentification forte d’ArcelorMittal devait aussi répondre

à des objectifs de flexibilité, pour permettre, par exemple, l’enrôlement dans

le SI de personnels non équipés de postes informatiques, depuis l’extérieur,

à l’instar d’ouvriers souhaitant accéder au portail RH depuis leur domicile.

Le choix d’une solution Cloud

Michaël Fiey s’est donc retrouvé dans l’obligation de trouver une solution

répondant «de manière globale aux besoins du groupe, sous la forme d'un

service » : la construction d'une offre packagée capable de s'adapter aux

nouveaux usages comme la mobilité, le BYOD et le travail à domicile. Le

tout, avec une contrainte forte de rapidité de déploiement et une «partie

budgétaire évidemment très regardée, avec un objectif d'économies

d'échelle ». C’est donc vers la solution d’authentification forte en mode Cloud

de CA Technologies qu’il s’est tourné : «le Cloud a permis de minimiser les

investissements en phase de démarrage, notamment» mais aussi de réduire

les phases d’architecture et de test de charge, tout en offrant une mise en

production rapide, avec une structure de coûts flexible. Pour autant, «les

divisions gardent le contrôle des autorisations». Seule l’authentification forte

est ici externalisée dans le Cloud et «la délivrance et la révocation des accès

of 20


Dans cet E-guide








sont gérées via le référentiel central des identités du groupe ». Peu de

données se retrouvent in fine gérées dans le nuage de CA Technologies.

Une contractualisation très complexe

En fait, le volet technique ne semble pas avoir été le plus lourd, car Michaël

Fiey fait état sans ambages d’une «partie contractualisation

cauchemardesque ». Et d’expliquer que les discussions ont été nombreuses,

notamment sur l’évaluation de la sécurisation de l’offre, en partie impossible

avant la signature du contrat en raison de la certification SAS 70. Une clause

au contrat a ainsi été ajoutée, permettant de le dénoncer si jamais

l’évaluation, à postériori, ne s’avérait pas satisfaisante. Les échanges ont

également été importants autour des questions «de devoir d’alerte en cas de

compromission de leur plateforme, en lien avec la protection des données

personnelles ». Et en particulier sur le délai d’alerte. «Nous souhaitions être

alertés très rapidement», explique Michaël Fiey. Le délai exact ne sera pas

mentionné, tout juste saura-t-on qu’il est «relativement acceptable» mais

«très loin» des 4h. En attendant, le responsable groupe des programmes IT

Security d’ArcelorMittal semble satisfait des durées maximales d’interruption

de service (RTO) et de la fenêtre de sauvegarde en cas de panne (RPO) :

moins de 4 et 8 heures respectivement. Sans compter sur un engagement

pris sur les délais d’authentification : moins d’une seconde pour 90 % des

cas; et 100 % des cas inférieurs à 2 secondes. En cas de non respect du

niveau de service, «pas de notion de pénalité mais plutôt de rupture comme

une non facturation du service ».

Un déploiement progressif

Au final, Michaël Fiey reconnaît avoir eu des exigences «très élevées,

probablement plus que pour un projet on-premise ». Ce qui a conduit à une

réécriture massive du contrat. Et CA Technologies le reconnaît bien

volontiers : «c’est un marché jeune; on apprend aussi avec nos clients,

même si l’on a besoin d’un cadre de départ.» Cadre que l’éditeur affirme

d’ailleurs avoir fait évoluer à la suite de ses échanges avec son client. Le

projet d’ArcelorMittal est actuellement en phase pilote. Le déploiement

«corp» est prévu de juillet à janvier 2014 avec, en parallèle, le déploiement

of 20


Dans cet E-guide








en Europe, jusqu’à l’automne 2014. Le reste des implantations du groupe

suivra, le temps d’impliquer les équipes locales et de suivre le déploiement

de son système de gestion des identités et des accès, démarré en 2011.

of 20


Dans cet E-guide









L’impulsion est venue du service de l’inspection, explique Jean-Marc Cir, de

la Banque de France, à l'occasion d'un atelier sur les RIAMS qui se sont

déroulés fin mai à Saint-Tropez. Il précise que la gestion des traces

informatiques de l’organisme manquait alors, début 2012, «de sérieux ». Et

de dresser rapidement les grandes lignes d’un système largement

hétérogène composé «d’une multitude d’outils», à la maintenance complexe

et consommatrice de ressources. Et puis, «collecter et agréger des traces,

c’est très compliqué. Nous ne pouvions pas le faire avec nos outils. Et il

fallait aussi normaliser les traces ».

Et pour y remédier, il a fallu faire vite : «grosso modo, nous avons eu six

mois» avec une exigence de mise en production d’un véritable système de

gestion des informations et des événements de sécurité (SIEM) à fin 2012.

La réflexion a tout de suite éveillé un vif intérêt : «nous nous sommes

aperçus qu’avec un SIEM, on pouvait aller plus loin, au-delà de

l’investigation, vers de l’archivage légal» - six mois aujourd'hui, mais un an,

sinon plus, à terme - ou encore obtenir «des alertes en temps réel. C’est

aussi quelque chose d’important; avec les outils précédents, nous étions

plutôt à J+1 ».

Le choix d’une solution évolutive

La contrainte des délais a conduit Jean-Marc Cir et ses équipes à se tourner

vers le catalogue de l’Ugap et, partant, vers Sentinel de NetIQ. Cette solution

a notamment été retenue pour son évolutivité, tant technique que

commerciale : «elle s’appuie sur des collecteurs déportés et on peut donc

faire évoluer l’architecture à mesure que l’on étend le périmètre couvert»,

mais également segmenter les rôles des serveurs entre consolidation et

corrélation/présentation. Des serveurs peuvent également être ajoutés pour

gérer la croissance de la charge. En outre, «les licences sont facturées en

fonction du nombre d’incidents par seconde traités» et donc, encore une fois,

en fonction du périmètre concerné. Ce qui a permis à la Banque de France

de commencer «avec une architecture vraiment minimaliste», centrée sur

of 20


Dans cet E-guide








quelques serveurs Unix, quelques pare-feux, le système de gestion des

identités des accès (IAM) et, surtout, l’application «très sensible» Target II -

«un système reliant des banques centrales européennes et qui gère en

temps réel toutes les opérations en règlement brut ». Pour l’heure,

l’application traite 350 000 opérations par jour pour un volume de l’ordre de

200 Md€.

Une mise en œuvre difficile

Compte tenu de la culture maison et de la sensibilité des applications,

l’externalisation n’était pas envisageable. Mais le déploiement en interne n’a

pas été un long fleuve tranquille. Jean-Marc Cir le reconnaît volontiers :

«honnêtement, tout seul, ce n’est pas possible.» Et de saluer la disponibilité

et la réactivité des équipes de NetIQ, tout en soulignant l’importance du

«balisage du périmètre couvert» et de la «définition de l’architecture» : des

étapes qu’il qualifie de «fondamentales. Si c’était à refaire, j’y consacrerai

plus de temps, quitte à finir en retard ».

Sentinel n’est ainsi pas livré sous forme d’appliance mais d’application. Et là,

la configuration joue un rôle clé. Les services de NetIQ ont ainsi été

fortement impliqués dans l’optimisation du système d’exploitation utilisé par

le serveur Sentinel pour améliorer l’utilisation de la mémoire vive ou encore

réduire les pertes de traces, notamment sur l’agent Snare pour Windows -

utilisé dans l’attente de Sentinel 7.1.

Mais les équipes de NetIQ sont également intervenues pour développer un

parser de traces pour les équipements de Palo Alto - module désormais

intégré à l’offre Sentinel et à son cycle de développement. Mais à la mise en

production début janvier, la solution n’était pas encore totalement

satisfaisante. Finalement, c’est un sous-dimensionnement de l’architecture

qui a été diagnostiqué et il a été décidé de dissocier, sur deux serveurs, la

collecte, d’une part, et le reporting et la présentation, d’autre part. Une

architecture effectivement déployée depuis la fin mai. Entre temps, le module

de présentation avait dû être désactivé.

of 20


Dans cet E-guide








La version 7.1 de Sentinel devrait sensiblement améliorer la situation avec

une capacité de traitement bien supérieure, à configuration égale, et

l’intégration d’agents pour les serveurs Windows supportant le parsing, la

compression et le chiffrement des traces remontées.

De premiers résultats

Si Jean-Marc Cir fait état de résultats pour l’heure limités, il souligne des

apports techniques : «cela nous a permis d’identifier des manques

d’optimisation dans la configuration de pare-feux qui renvoyaient des

quantités considérables d’événements.» Un lot deux doit consister en un

élargissement du périmètre, avec tous les serveurs Windows, les anti-virus,

les IPS (Intrusion Prevention System), et plus généralement toute

l’infrastructure sur laquelle reposent les accès à Internet. Et, pour fiabiliser

l’ensemble, la Banque de France prévoit de mettre en place une architecture

à haute disponibilité de type actif/actif et distribuée. Surtout, la corrélation

des événements de sécurité est attendue avec ce second lot du projet.

of 20


Dans cet E-guide









Michel Wurtz, responsable Maîtrise d’ouvrage sécurité chez Natixis, dresse

le tableau : le groupe bancaire compte plus de 22 000 utilisateurs, répartis

sur de nombreux sites, en France métropolitaine comme à l’international, au

sein d’une myriade d’entités. Et là, il faut compter avec de nombreux

référentiels, «inexistants» ou qui existent mais sont «parfois incomplets», et

même des processus variés «parfois conflictuels.» De manière synthétique,

il résume une situation peu glorieuse : la traçabilité est «quasi inexistante et

en tout cas faible.» Quant au provisionnement des utilisateurs, il n’est guère

plus tendre : «un existant multiple et varié» entre véritables outils de

provisioning et simples éléments de «synchronisation.» Et de conclure, sans

appel : «au final aucune vision consolidée des droits, des accès, des

personnes. Du pain béni pour les auditeurs.» C’est donc là qu’intervient le

projet Thor de Natixis, lancé début 2012 : il doit permettre de maîtriser

l’accès aux applications et données critiques tout en répondant aux besoins

d’audit internes et externes, et en unifiant pratiques et processus

d’habilitation. Dans son document de référence 2012, le groupe explique que

ce projet «vise à améliorer, dans le cadre d’une automatisation accrue, les

processus de délivrance d’habilitations, de maintenance des référentiels

d’habilitation, et de contrôle.» Tout en indiquant que «le déploiement par

métier est prévu en 2013 et 2014.» Concrètement, la mise en production est

aujourd’hui prévue pour la mi-juin après validation d’un pilote lancé au sein

de Banque Privée 1818.

Miser sur les utilisateurs

Michel Wurtz souligne l’attention portée aux utilisateurs finaux : «l’objectif est

que l’outil soit accepté par les utilisateurs.» Dès lors, l’ergonomie a été

définie comme l’un des critères les plus importants pour le choix de la

solution : «nous avons confronté des utilisateurs aux différents outils

sélectionnés et ce sont eux qui ont fait le proof of concept.» En clair :

l’expérience de six utilisateurs, sur deux jours, a piloté le choix de l’outil. Et

c’est une solution Dell Software (anciennement Quest) qui a finalement été

retenue. Et tant pis si cela a nécessité le développement d’un connecteur

of 20


Dans cet E-guide








spécifique avec Tivoli Identity Manager, l’outil de privisioning principal du

groupe, avec lequel les systèmes de production ont une «forte adhérence.»

A cela se sont ajoutées des briques de gestion des habilitations, de

recertification, et une autre de «création de valeur ajoutée pour le

correspondant de sécurité logique» pour la gestion du modèle d’habilitation

«qui lui ne sera plus là pour donner les droits aux personnes mais pour aider

le métier à modéliser le profil de ses utilisateurs.»

Un apprentissage laborieux

Si le projet apparaît essentiel tant sur le plan de la sécurité pure que de la

conformité - une entité dont relève Michel Wurtz -, il n’a pas été sans

difficultés : «on a eu plusieurs échecs», reconnaît le responsable de maîtrise

d’ouvrage sécurité. Et de relever un premier écueil : «on s’y prenait tantôt par

l’outil informatique» ou par les workflows mais «ça n’a jamais vraiment

fonctionné; nous avions des problèmes de déploiement.» Pas question

d’abandonner pour autant ni de chercher à aller trop vite : «on a tout posé et

laissé murir pendant environ un an.» Et de construire une équipe spécifique

en maîtrise d’ouvrage, chargée notamment de la conduite du changement.

Et donc, de miser sur les utilisateurs. Fort de son expérience, Michel Wurtz

identifie un premier point clé - «facile à dire, pas facile à faire,» reconnaît-il :

«bien choisir son pilote.» Et cela veut dire ne pas retenir, selon lui, une entité

trop petite car l’expérience risque de souffrir d’un manque de

reconnaissance. Ni une entité trop grande car ce serait trop difficile... «Il n’y a

pas de recette miracle pour un bon pilote.» Une entité trop mature peut

également s’avérer problématique, du fait d’une confiance trop grande dans

le modèle existant. Et «s’il n’y a rien, c’est très chronophage.» Bref, le pilote

doit être choisi en fonction de la capacité des utilisateurs à être...

«volontaires.» Surtout, il faut trouver les bons sponsors pour le projet. Dans

le cas de Natixis, «ce qui ne bouge pas, c’est l’inspection générale.» Un

sponsor stable dans le temps et auquel personne ne peut dire non. Une clé

en or.

of 20


Dans cet E-guide









Gilbert Paccoud est responsable sécurité IT du groupe Schneider depuis 3

ans. Trois ans durant lesquels il indique avoir appris une chose : "il faut avoir

un profil un peu humble" en matière de sécurité informatique. Dès lors, plutôt

que de parler d'avance, il "préfère dire que [Schneider Electric] a adopté une

approche proactive pour adresser la menace" en déployant la solution de

SIEM [système de gestion des événements et des incidents de sécurité]

d'Alien Vault pour superviser, en continu, la sécurité de ses infrastructures

IT. Un projet lancé en 2009 dans le cadre d'une stratégie plus large, qui

intègre la création d'un SOC, centre opérationnel de sécurité, mais

également le développement de compétences de test d'intrusion,

d'investigation, etc. Et qui reste, selon ses propres termes, "plus un voyage

qu'une fin en soi." Chronologie du projet SIEM de Schneider

Electric.[/caption] Le lancement de ce projet a été motivé par plus de

facteurs. D'une part, le groupe est "leader mondial dans nombreux secteurs,

ce qui en fait une cible naturelle ", explique Gilbert Paccoud. En outre, ses

activités évoluent vers les mondes de l'IT et du logiciel, avec le virage du

Smartgrid, mais également l'expansion du groupe dans le domaine des

Scadas. Il y a trois ans, "nous avons donc réalisé que notre manque

d'anticipation était suffisamment élevé pour que l'on déclenche un

programme spécifique." La consolidation de la fonction IT à l'échelle du

groupe a simplifié le lancement de la démarche. Le projet de SIEM à

proprement parler a démarré mi-2011 et le groupe est actuellement en phase

de roll out.

Gagner en visibilité sur les menaces actuelles et… à venir

Vincent Jaussaud, Global Technical Security Officer, explique que ce projet

doit en priorité permettre de "détecter ce que l'on ne voyait pas. Nous ne

pouvions nous permettre de rester aveugles face à la menace", mais

également de générer des rapports de traçabilité et de conformité PCI. En

outre, il devait permettre de réduire le coût des investigations. Car ni Gilbert

Paccoud ni Vincent Jaussaud ne sont dupes : "des attaques, nous en aurons

of 20


Dans cet E-guide








toujours. Un outil comme celui que nous déployons nous permettra de mieux

réagir." Mieux, et plus vite.

Telvent n'était pas encore protégé par la solution Alien Vault

Mi-septembre, Telvent, devenu filiale de Schneider Electric à l'issue de son

acquisition fin 2011, a annoncé avoir été victime d'une intrusion dans son

système d'information. Interrogé sur le sujet à l'occasion de l'atelier durant

lequel il témoignait sur le déploiement du SIEM d'Alien Vault, Gilbert

Paccoud nous a indiqué que, "pour le moment, [Telvent est] toujours dans sa

configuration IT initiale, c'est à dire pas intégré à l'informatique du groupe."

Comprendre qu'ils ne sont donc pas dans le périmètre couvert par la solution

Alien Vault. "Bien entendu, comme vous l'avez écrit, nous avons apporté nos

compétences dans la gestion de la crise, pour les assister." De son côté, la

concomitance de l'annonce d'une offre de sécurité Scada développée avec

Industrial Defender ne semble être qu'une coïncidence.

Concrètement, Schneider Electric a déployé dans les entités concernées des

appliances chargées de superviser le trafic réseau, de récupérer et de

normaliser les logs de systèmes identifiés comme clés, avant de les

remonter dans les centres de calcul du groupe où les informations sont

corrélées pour générer des alertes. Vincent Jaussaud fournit quelques

éléments de quantification : "dans un groupe comme Schneider Electric,

présent dans 200 pays, ce sont quasiment 100 millions d'événements de

sécurité qui sont remontés chaque mois. Après corrélation, ils génèrent une

dizaine d'alertes par jour." De quoi se forger une petite idée des apports de

la solution : "sur de tels volumes, la surveillance serait impossible sans

corrélation." A date, le SOC ne mobilise d'ailleurs qu'un temps plein - chiffre

qui devrait doubler une fois la solution totalement déployée. Certains

résultats concrets soulèvent l'étonnement : "avec le SIEM, nous avons

identifié quasi immédiatement plus de 200 machines en interne infectées par

des botnets - mariposa, conficker, etc." Des machines qui étaient par ailleurs

protégées par un anti-virus récent doté d'une base de signatures à jour… En

outre, "nous avons observé des effets de bord intéressants, comme la

découverte d'équipements réseaux mal configurés" qui entraînaient une

surconsommation de bande passante. Surtout, le SIEM a déjà permis

d'identifier des menaces en devenir : "des tentatives d'intrusion ciblant les

équipements de voix sur IP, venant souvent de Chine ou de Russie. Les

attaquants ne sont pas encore en phase offensive; ils semblent essayer

of 20


Dans cet E-guide








d'établir une cartographie." Une menace nouvelle et préoccupante que

Schneider Electric prend très au sérieux.

L'attrait de l'Open Source

Après avoir évalué de nombreuses solutions, Schneider Electric a retenu

celle d'AlienVault tant pour les modules de détection d'intrusion (IDS) que

pour le SIEM : "nous les avons retenus notamment sur le critère d'intégration

- un outil, une console." Mais le facteur économique a également joué :

"nous avons économisé au moins 30 % sur le coût total du projet",

notamment en évitant la multiplication des appliances. L'open source apporte

une cerise supplémentaire au gâteau : "l'évolutivité. Ainsi, nous ne sommes

pas figés dans un environnement propriétaire." Et les apports de la

communauté peuvent profiter rapidement au groupe.

of 20


Dans cet E-guide









Le Bring Your Own Device, tendance qui consiste en la prolifération des

équipements informatiques personnels dans l’environnement professionnel,

continue de nourrir les débats des événements liés à la sécurité. C’est sans

surprise qu’un atelier lui était ainsi consacré lors des Rencontres de l’identité,

des accès et du management de la sécurité (RIAMS), qui se déroulaient la

semaine dernière à Saint-Tropez. Hervé Dubillot, responsable de la sécurité

des systèmes d’information de Danone, part d’un constat simple, montrant,

s’il le fallait encore, que le phénomène s’avère incontournable : «le BYOD

est surtout apporté par des personnes qui ont un certain pouvoir» et

auxquelles, de fait, il s’avère impossible de dire «non». Parce que leur dire

«non» ne les empêchera pas d’essayer à tout prix d’utiliser leur smartphone

flambant neuf ou leur tablette personnelle à l’insu de la DSI. Et même si

celle-ci explique au préalable que l’utilisateur ne bénéficiera d’aucun support,

«ils appelleront le support technique et celui-ci ne pourra s’interdire de leur

répondre, quitte à y passer des jours ». Dans l’assistance, un participant

ironise, évoquant le cas de matériels offerts par les constructeurs : même s’il

ne s’agit pas d’un appareil personnel dans la mesure où il n’a pas été acheté

personnellement, la problématique n’est pas différente pour autant. Et il n’est

question là que de considérations techniques parmi de nombreuses autres :

«RH, légales, etc.» Bref, pour les participants, la situation semble claire : «en

informatique, il y a des usages, des transformations sociologiques qui

s’imposent d’elles-mêmes et contre lesquelles il ne sert à rien de lutter. [...]

Le numérique joue un rôle dans nos vies, dans nos sociétés. On ne peut pas

faire comme si cela n’existait pas.»

Un défi technique et... social

Mais embrasser le BYOD n’est pas trivial pour autant. Pour Hervé Dubillot,

l’offre ad hoc - entre solutions de gestion des terminaux mobiles (MDM) ou

de contrôle des accès au réseau (NAC) - est désormais vaste. Mais la mise

en oeuvre apparaît comme un passage délicat, l’occasion d’une douloureuse

prise de conscience : «on se rend compte que le poste de travail a été

négligé pendant des années », qu’il souffre d’un empilement de technologies

of 20


Dans cet E-guide








pas forcément actualisées - «on retrouve même des traces de Windows NT4

et 2000 parce que le nettoyage nécessaire n’a jamais été accompli ».

Certaines applications métiers ont encore besoin d’Internet Explorer 6 ou 7,

d'anciennes versions de Java... Dès lors, les coûts cachés liés à la mise à

niveau de l’existant peuvent être conséquents. Et si la virtualisation du poste

de travail peut apparaître comme une solution, elle n’a rien d’idéal : «le coût

est énorme.» Mais Hervé Dubillot relève un autre risque : «l’entreprise a

l’obligation légale de fournir au salarié un outil de travail. En adoptant le

BYOD, on crée une discrimination» entre les personnes qui ont des moyens

élevés et ceux dont les budgets personnels sont contraints. Quant à fournir

une enveloppe pour l’achat d’une machine, comme certaines entreprises le

font outre-Atlantique... : «on ne peut pas proposer la même enveloppe au

VIP, au chef de service ou à l’ouvrier sur la chaîne d’assemblage.» Certaines

susceptibilités pourraient ne pas l’apprécier, est-on tenté de comprendre en

filigrane. En outre, certains salariés pourraient être tentés de se sous-équiper

pour garder à d’autres fins une partie de l’enveloppe. Du coup, chez Danone,

«on résiste deux ou trois semaines pour gagner du temps et... après, on

avance ».

Accepter la réalité d’une sécurité imparfaite

Reste que, pour embrasser, encore faut-il se préparer. Bernard Ourghanlian,

Directeur technique et sécurité de Microsoft France, dresse la liste des

étapes du processus. En tête de liste : la classification du patrimoine

numérique de l’entreprise et la segmentation des utilisateurs - «deux points

fondamentaux», essentiels à une approche pragmatique de la sécurisation et

de l’ouverture du SI. Une ouverture indispensable car, pour lui, «un système

d’information qui n’est pas ouvert sur le reste du monde ne sert à rien. La

logique du château-fort a vécu ». Et de donner la mesure de l’effort de

pragmatisme consenti par Microsoft : «il y a des logiciels malveillants dans

notre système d’information. On le sait. On essaie de les éradiquer mais

c’est impossible. Les mathématiques ont montré qu’il est impossible de créer

un anti-virus parfait. Alors si supprimer la menace est impossible, il faut

apprendre à vivre avec.» Ce qu’il traduit concrètement par une protection par

niveaux des éléments à protéger en fonction de l’impact sur l’activité de

l’entreprise. Et très logiquement, «ce qui a un impact élevé sur l’activité n’a

of 20


Dans cet E-guide








pas le droit de fuiter ». Une approche qui a manifestement convaincu

Danone qui a opéré une classification par enjeux économiques, avec les

métiers : «on ne peut pas classifier à contre-courant des métiers; ça ne

fonctionne pas.»

of 20


Dans cet E-guide









C’est entre le printemps et la fin de l’année 2012 que Scor a déployé la

solution ControlMinder de CA Technologies. Une solution de gestion des

accès qui doit répondre aux impératifs spécifiques d’activités où les données

sensibles sont centrales et où la réglementation s’avère particulièrement

contraignante. En octobre dernier, à l’occasion des Assises de la Sécurité,

qui se déroulaient à Monaco, Henri Guiheux, RSSI du groupe Scor,

expliquait que le réassureur était amené à manipuler « énormément

d’informations de ses clients potentiellement sensibles », soulignant un «

contexte complexe », notamment pour « un groupe de taille modeste ». La

mise en place d’un programme de « protection des données sensibles des

clients, de nos données financières et de notre savoir-faire » devait

permettre d’assurer « clients, régulateurs et actionnaires de la sécurité des

processus et des données ainsi que de la traçabilité ». Et de souligner qu’en

tant que réassureur, Scor peut être perçu par ses clients comme un « sous-

traitant » sur lequel ils doivent propager leurs propres contraintes de sécurité

et réglementaires. Avec une « exigence exacerbée » de la part des clients du

monde anglo-saxon. Le tout dans un contexte de « transformation numérique

de l’entreprise », une transformation qui induit des risques - avec «

l’augmentation de la fréquence des cyberattaques » - justifiant « la mise en

place de contrôles ».

Contrôler et tracer les activités sensibles

Henri Guiheux expliquait ainsi être confronté à une population variée entre

utilisateurs, administrateurs et prestataires externes. ControlMinder a été

retenu parce qu’il « s’intégrait bien dans notre référentiel de contrôles » avec,

notamment, deux objectifs : « assurer des mécanismes sécurisés pour les

accès administrateurs » et « assurer la confidentialité et la traçabilité ». Et

l’outil permet de centraliser la gestion de l’ensemble, il supporte aussi « la

distribution des politiques au niveau des serveurs, suivant les rôles » des

utilisateurs. Il autorise aussi des dérogations, « suivant un processus de

validation », pour les accès en urgence hors de la zone de compétence

nominale d’un utilisateur. Surtout, toutes les activités des administrateurs

of 20


Dans cet E-guide








sont enregistrées - « en vidéo compressée, en noir et blanc ». C’est le volet

traçabilité. La prévention est assurée par les politiques, « ControlMinder

interdit certaines actions pour lesquelles on peut remonter des alertes ».

Une approche pragmatique centrée sur les risques

Mais pas question de partir la fleur au fusil et de dépenser sans compter.

Henri Guiheux explique avoir mis en place une organisation permettant

notamment d’éviter l’écueil du « combat d’experts ». La démarche est donc

partie du sommet de la hiérarchie, en 2011, tout en impliquant les métiers : «

nous avons défini les risques et vu avec chaque division métier les points

susceptibles de poser problème pour ensuite élaborer un plan d’action et

définir les priorités. » C’est la mise en place d’une structure en hubs qui a

permis notamment de récolter les informations, « par exemple sur les

contraintes réglementaires dans différents pays », en intégrant tant les

spécificités régionales que métiers. L’une des priorités était d’identifier les

applications qui touchent aux données sensibles : « il est important de partir

des processus de base pour aller à la pêche de tous les éléments »,

soulignait à l’automne dernier Henri Guiheux. Pour lui, cette approche partie

de la tête « permet de mettre en place de la sécurité qui répond à des

besoins, en ligne avec la stratégie du groupe ». Et donc d’éviter la dispersion

et les inefficacités.

of 20


Dans cet E-guide








Des ressources gratuites pour les professionnels IT TechTarget publie des informations techniques ciblées multi-support qui

visent à répondre à vos besoins de ressources lorsque vous recherchez les

dernières solutions IT, développez de nouvelles stratégies ou encore

cherchez à faire des achats rentables.

Notre réseau de sites internet experts vous donne accès à du contenu et des

analyses de professionnels de l'industrie. Vous y trouverez également la

bibliothèque spécialisée en ligne la plus riche : livres blancs, webcasts,

podcasts, vidéos, salons virtuels, rapports d'études et bien plus, alimentée

par les fournisseurs IT. Toutes ces ressources sont basées sur les

recherches R&D des fournisseurs de technologie pour répondre aux

tendances du marché, défis et solutions.

Nos événements réels et nos séminaires virtuels vous donnent accès à des

commentaires et recommandations neutres par des experts sur les

problèmes et défis que vous rencontrez quotidiennement. Notre

communauté en ligne "IT Knowledge Exchange" (Echange de

connaissances IT) vous permet de partager des questionnements et

informations de tous les jours avec vos pairs et des experts du secteur.

Pourquoi choisir TechTarget ? TechTarget est entièrement centré sur l’environnement IT de l'entreprise.

Notre équipe d'éditeurs et notre réseau d'experts de l'industrie fournissent le

contenu le plus riche et pertinent aux professionnels et managers IT. Nous

exploitons l'immédiateté du Web, les opportunités de rencontre en face à

face, via le networking ou les événements virtuels, et la capacité à interagir

avec les pairs. Ceci nous permet de produire une information irréfutable et

directement exploitable par les professionnels du secteur dans toutes les

industries et sur tous les marchés.

Sites Internet du réseau TechTarget

http://www.lemagit.fr/






sept grands groupes face aux défis de la...

Documents