Vers une gestion des risquesraisonnée

L’évolution des attaques en réseau suit l’adoption des usages web, des infrastructures et des services clouds. Les politiques et pratiques de sécurité doivent s’adapter.

Depuis 2005, le nombre de co-

des malveillants téléchargés à

l’insu de l’utilisateur ne cesse

d’augmenter. Ces logiciels espions (key-

loggers, virus ou chevaux de Troie), té-

moignent d’une activité croissante, sous-

terraine et parrallèle aux transactions

légitimes. Internet fourmille de forums

d’échanges où l’on vend des toolkits

paramétrables, des informations privées

et de faux sites Web, prêts à l’emploi, en

tous points semblables aux services de

votre banque en ligne. Un courriel vous

demande une vérifi cation de routine ?

Attention au piège ! Sans soupçonner le

moindre subterfuge, de nombreux inter-

nautes dévoilent quotidiennement leurs

identifi ants personnels sur un site qui

n’est pas celui qu’il prétend être.

Les attaques en provenance d’Internet

exploitent volontiers les dernières failles

pour aiguiller l’utilisateur vers un site illi-

cite ou enregistrer des sessions à distan-

ce. Chaque version de navigateur web et

chaque version de plug-in connaît ses

vulnérabilités. Autre menace classique

désormais, le cross-site scripting (XSS) :

cette vulnérabilité, enfouie dans un site

web, fait passer un code externe pour un

service licite et en profi te pour dérober

les cookies de session de l’utilisateur.

des piègespatiemment préparés

Dernièrement, les menaces persis-

tantes avancées (APT) ont fait couler

beaucoup d’encre car elles ciblent des

ministères (Bercy, le Quai d’Orsay...), de

grands comptes de l’énergie (Areva) ou

de l’électronique (Sony). Associées aux

techniques de contournement, elles dé-

jouent l’anti-malware et l’outil de préven-

tion d’intrusions par leurs nombreuses

combinaisons et variantes possibles.

Les opérations d’espionnage électroni-

que sont préparées en plusieurs étapes

autour de ces codes mutants. Le hacker

cible d’abord un objectif, un serveur puis

son réseau. Il y infi ltre un ver patiemment,

octet par octet, pour passer inaperçu. Il

s’appuie ensuite sur ce malware pour

escalader les privilèges et obtenir des

droits d’administration sur une machine

non mise à jour d’où il exportera les don-

nées secrètes ou privées.

Faute de plateformes coordonnées et

d’une stratégie de protection globale,

la chaîne de services de l’entreprise est

rarement sécurisée de bout en bout.

Les attaques APT- qui forment une me-

nace sérieuse sur la propriété intellec-

tuelle - capitalisent sur cette carence.

En pratique, les hackers tirent avantage

successivement des failles d’exploita-

tion (les patchs tardifs), des brèches

d’architecture réseau et de la perméabi-

lité des applications web. Ils s’appuient

sur les places de marché underground,

sur une surveillance des messageries

publiques, des chats ou des réseaux

sociaux pour obtenir des renseigne-

ments préalables. Dans ce contexte,

il devient diffi cile de garantir l’intégrité

de l’environnement système et celle du

réseau d’entreprise. Pour reprendre le

contrôle du système, l’entreprise doit

imposer à l’infrastructure globale et aux

traitements informatiques une confor-

mité stricte à ses règles d’échanges.

L’entRepRISe SanS CeSSe ConFRontÉe auX nouveLLeS MenaCeS

Face aux cyber-menaces plus fré-

quentes, l’entreprise doit trans-

former ses défenses ponctuelles

en une gestion plus large de la sécurité

des informations. En terme de sécurité,

il ne s’agit pas d’investir au-delà de la

valeur des activités à protéger. Le RSSI

gagne à mieux détecter les événements

survenant sur le parc IT. Il améliore sa

perception des vulnérabilités, des sys-

tèmes et des confi gurations. L’analyse

des risques, fondée sur des métriques

effi caces, contribue ensuite à résoudre

les incidents les plus dommageables

pour l’entreprise. Ce modèle de maturité

assure que les accès, les traitements et

les données confi dentielles ne tombent

pas entre de mauvaises mains.

Qu’ils agissent localement, de façon auto-

nome, ou dans le respect des consignes

d’un siège international, les responsables

de la sécurité peinent à cerner tous les

risques provenant d’Internet. A présent,

ils sont confrontés à une prolifération de

terminaux mobiles, de versions d’environ-

nements et de brèches à colmater.

En outre, les responsables métiers adop-

tent, ponctuellement, des services hé-

bergés en modèle SaaS (Software as a

Service). Faute de gouvernance globale

des risques et de la sécurité, le système

d’information gagne en souplesse en ce

qui concerne la mobilité ou la réactivité,

mais perd en cohérence car il devient un

ensemble de silos, chacun porteur de ris-

ques et vulnérabilités, sans possibilité de

visibilité globale.

un trampoline entreles serveurs

Le hacker dispose d’un arsenal d’outils

pour l’ingénierie sociale, les attaques fur-

tives et l’exploitation de brèches systè-

mes. Associé aux renseignements glanés

sur la toile, il usurpe rapidement les droits

d’accès aux applicatifs et aux données

numériques pour capter puis revendre

des informations confi dentielles.

Les dernières attaques, plus délicates

à repérer, n’agissent pas seulement par

e-mail. Elles se servent de l’infrastructure

en place comme d’un trampoline pour

rebondir entre les serveurs jusqu’aux

données les plus sensibles.

L’entreprise oriente parfois son expan-

sion sur Internet. Dans ce cas, la sé-

curité des transactions du commerce

électronique devient sa priorité. Avec la

dématérialisation des procédures, toute

société est amenée à ouvrir son réseau

sur la toile mondiale, ne serait-ce que

pour accomplir des formalités légales ou

administratives.

Dès lors, une vigilance continue s’im-

pose pour vérifi er les fl ux de données

numériques, porteurs de menaces ou de

malveillances éventuelles.

Le cloud computing et la mobilité font voler en éclat les frontières du réseau d’entreprise.Celle-ci doit revoir sa stratégie de sécurité IT avec des outils et des procédures coor-donnés.

deS RISqueS LIÉS au CLoud et À La MobILItÉ

« Le RSSI devIent ReSponSabLe de La geStIon deS RISqueS »

Les attaques Internet ont-elles changé

de cible et de forme ?

Les attaques mafieuses très sophisti-

quées ont initialement ciblé le monde de

la banque en raison de la possibilité de

monétisation immédiate. Même si elles

continuent à être une cible importante, les

banques sont désormais habituées à cet-

te menace depuis plusieurs années. Ce

qui a changé aujourd’hui, c’est le fait que

les attaques ciblent maintenant une entre-

prise, un groupe industriel en particulier,

pour en dérober la propriété intellectuelle.

Elles font peu de bruit pour être difficiles

à détecter. La clé de voute de toute dé-

fense est alors l’analyse de risques. Grâce

à elle, on gère les investissements en

sécurité en fonction des risques métier. Il

s’agit de mettre en œuvre des protections

adaptées à la criticité de chaque activité.

Cette approche par les risques est aussi

un préalable, pour que l’entreprise soit en

mesure de connaître rapidement quelles

sont les conséquences business d’une

attaque, une fois qu’elle a eu lieu.

Comment évolue le métier du respon-

sable de la sécurité informatique ?

Le RSSI devient responsable de la ges-

tion des risques. Hier encore, c’étaient

deux fonctions différentes voire deux

entités distinctes dans l’entreprise. Main-

tenant, le RSSI peut partir de l’analyse

des risques pour décider des investisse-

ments à faire en terme de sécurité. Pour

maîtriser ses deux fonctions, il voit dans

l’équipe RSA un vrai partenaire. Ses be-

soins de reporting intègrent dorénavant

deux points de vue : technique et métier.

Parvient-il à cloisonner les sphères pro-

fessionnelles et privées des utilisateurs ?

C’est une priorité à présent en ce qui

concerne les terminaux mobiles. Ils se

connectent sur n’importe quel site, ré-

seau social ou service hébergé et de

retour au bureau, ils peuvent infecter le

réseau d’entreprise. La virtualisation du

poste de travail, permet de traiter les im-

pératifs de sécurité, en aidant à dissocier

la couche physique de la couche logi-

que. Le chiffrement des données sensi-

bles complète ce dispositif.

Comment renforcer les accès et surveiller

tout ce qui se passe sur le réseau?

En terme de sécurité des accès, la ligne

de protection des identités de RSA offre

un large choix de moyens d’authentifica-

tion pour répondre à toutes les contrain-

tes et types de populations accédant aux

informations de l’entreprise. L’approche

par le risque est un élément majeur

aussi dans les solutions d’authentifica-

tion RSA, puisque nous proposons une

authentification forte basée sur le risque

qui ne nécessite aucun déploiement de

tokens. Elle est particulièrement adap-

tée aux entreprises ayant un besoin de

sécuriser l’accès de très larges popula-

tions vers des portails par exemple (por-

tail bancaires, site e-commerce..) mais

également pour les PME en raison de

sa facilité de gestion et sa transparence

pour l’utilisateur final. Pour surveiller les

attaques complexes non détectables

par les approches traditionnelles de sé-

curité (anti-virus, anti-intrusion, ..), RSA

NetWitness propose la capture de tous

les paquets réseaux et des analyses

très avancées. On détecte ainsi tous les

comportements anormaux, les activités

suspectes, les logiciels malveillants y

compris les malwares ‘zero day’, encore

inconnus des antivirus. Et, si un incident

est identifié, les traces et la possibilité de

rejouer les sessions permettent non seu-

lement de connaître les impacts, mais

aussi les causes pour mettre en place

très rapidement une remédiation.

La protection contre les fuites de don-

nées restera-t-elle un projet de longue

haleine ?

En Europe et en France, on rencontre

maintenant des projets concernant des

sociétés industrielles soucieuses de pro-

téger leur propriété intellectuelle. Ils pren-

nent plus de temps que les projets de

conformité menés aux USA car ils sont

construits dans le temps ; ils exigent une

vraie classification de données et une vé-

ritable analyse de risques.

Philippe Fauchay, DG RSA France

un SoCLe de gouveRnanCeet de SÉCuRItÉ ItFace aux risques émergents, imbriqués les uns dans les autres, RSA aide l’entreprise à garder le contrôle avec une visibilité continue et une traçabilité des activités ayant lieu sur le système d’information.

Déterminés, organisés, bien ren-

seignés et très outillés, les cy-

bercriminels peuvent s’introdui-

re dans les systèmes d’informations les

mieux protégés et y puiser les données

stratégiques, de propriété intellectuelle,

ou autre qu’ils jugent monnayables sur le

marché de l’underground.

Une véritable gestion des risques s’im-

pose désormais avec une visibilité com-

plète sur les incidents de sécurité et in-

formatiques et leurs conséquences sur

les services métier. Il s’agit de surveiller

tout ce qui se passe réellement sur le

réseau et d’offrir des parades adaptées

à chaque risque identifi é. C’est exacte-

ment ce que propose la plate-forme RSA

Archer eGRC : un socle de gouvernance

pour tous les domaines constituant l’en-

treprise, à savoir l’informatique, la fi nan-

ce, le juridique,…. Il présente sous forme

de tableaux de bord les informations de

suivi et de visibilité attendues par les

divers responsables. Pour les équipes

informatiques et sécurité RSA Archer

eGRC permet d’avoir une vision claire via

ces tableaux de bords de la conformité,

de la sécurité des fl ux d’informations,

des incidents et de leur remédiation.

La gestion desincidents

de sécurité

Les clients de la plateforme Archer

eGRC bénéfi cient d’un suivi des inci-

dents de sécurité diffusant l’évolution

des menaces, grâce au workfl ow inté-

gré. Ils peuvent mesurer précisément

l’impact de chaque menace sur leurs

activités. Ils sont aussi en mesure de

vérifi er la conformité des confi gurations

de leurs serveurs et de leur infrastruc-

ture. Enfi n, ils rationalisent les réponses

aux incidents grâce à la coordination

des solutions RSA.

En cas d’attaque ou de comporte-

ment anormal sur une application ou

un accès aux données, l’alerte est

immédiatement déclenchée. Le moin-

dre incident est journalisé. Du coup,

des rapprochements permettent de

déterminer la sévérité du risque et de

traduire son impact sur les échanges

métier de l’entreprise. Pour chaque ni-

veau de risque, des procédures et des

outils sont alors mis en place afi n de

régler automatiquement le problème

ou d’en atténuer les effets. En coulisse,

les solutions d’authentifi cation basées

sur le risque, de monitoring continu

du réseau, de SIEM, et de prévention

contre les fuites de données (DLP) de

RSA sont coordonnées. Les règles de

fi ltrage évoluent avec le temps pour

renforcer le réseau d’entreprise tandis

que les échanges confi dentiels avec

les partenaires et les utilisateurs mo-

biles sont chiffrés selon les règles pro-

pres à l’organisation. Le comportement

de l’infrastructure suit enfi n les priorités

propres à chaque métier.

La traçabilité de bouten bout

Grâce à Archer eGRC, l’administrateur

dispose d’outils de surveillance bien

plus puissants que de simples jour-

naux. Des analyses comportementales

et une corrélation d’informations pro-

curent les bons leviers au bon moment

pour optimiser le fi ltrage XML, rétablir

ou basculer des services endomma-

gés, le plus souvent, de façon transpa-

rente pour l’utilisateur. Toute la chaîne

de services de l’entreprise est sécuri-

sée de bout en bout. En outre, la traça-

bilité des fl ux de données devient com-

plète ; elle s’étend aux prestataires du

système d’informations. Ainsi, chacun

sait qui accède à quel service, quand

et depuis quel emplacement.

Avec RSA Archer eGRC, l’ensemble

des technologies, solutions et services

mis en œuvre dans le système d’infor-

mation sont placés sous surveillance,

y compris les prestataires de l’infras-

tructure et des services cloud. Contrats

d’engagement et niveaux de services

sont ainsi vérifi és et comparés aux tra-

fi cs en temps réel.

RSA est le premier éditeur de so-

lutions de sécurité, de gestion

du risque et de la conformité. En

aidant les entreprises à relever leurs défi s

les plus complexes et les plus critiques

en matière de sécurité, RSA contribue

au succès des plus grandes entreprises

mondiales. Ces défi s incluent la gestion

des risques opérationnels, la protection

des accès mobiles et de la collaboration,

la preuve de conformité et la sécurisation

des environnements virtuels et cloud.

Combinant des contrôles critiques mé-

tiers – dans la gestion des identités, la

prévention des pertes de données, le

chiffrement et la tokenisation, la protec-

tion contre la fraude, ainsi que le SIEM

– à des fonctions de GRC et des services

de consulting, RSA apporte la visibilité et

la confi ance à des millions d’identités uti-

lisateurs, aux transactions qu’elles réali-

sent et aux données générées.

RSA – Immeuble River Ouest – 80 quai

Voltaire – 95870 Bezons – France

Tel : 01 39 96 90 00 – Fax : 01 39 96 97 77

france.rsa.com

Contact :

Yamina Perrot : yamina.perrot@rsa.com

Béatrice Petit : beatrice.petit@emc.com

À pRopoSde RSa