Bulletin d’information n° 18 / 2009 1

Nouveaux adhérents 1

Réunion du groupe de travail d’ABILab sur le Centre d’alerte 1

Un stage de légalité informatique pour les

établissements scolaires 2

Le vol de données d’entreprise 3

Trouver des budgets adéquats demeure un défi 3

Respecter la réglementation 4

Savoir tirer parti de la technologie 4

Sécurisation des données au repos (Data at Rest – DAR) 5

Sécurisation des données en mouvement (Data in Motion – DIM) 7

Master Déontologie et sécurité 8

Bonne année ! 9

Le Comité de direction et le président de l’association vous

présentent leurs meilleurs voeux pour Noël et le nouvel An. 9

La société Mediaservice.net nous a rejoints en tant que Membre de soutien. Le Comité directeur souhaite la bienvenue au nouvel adhérent.

Le groupe de travail s’est à nouveau réuni le 16. Parmi les thèmes abordés :

l'évolution de la fraude informatique au niveau national et international, les nouveaux logiciels malveillants, le programme d’activités pour 2010. Signalons à cet égard la création d’un service de signalement des fraudes informatiques.

Au cours de la réunion, ABILab a présenté et analysé les principales conclusions de la récente enquête de l’ANSSAIF sur la perception de la sécurité par le client. Celleci n’a en effet jamais été couverte par les études réalisées par l'ABI, qui ont à l’inverse toujours porté jusqu’ici sur la vision de la sécurité par les banques, avec des outils technologiques, sans prendre en compte la dimension psychologique du problème.

Nous avons été heureux qu’ABILab nous donne acte du caractère novateur et spécifique de notre enquête.

Cette initiative a été mise en avant par le président de l’ANSSAIF, Anthony Wright, au cours de l’émission « Sulla scena del crimine » (Sur la scène du crime) intitulée « Il lato oscuro di Facebook » (Le côté obscur de Facebook), qui a été diffusée sur les chaînes TeleRoma56 e GBR.

Il en ressort clairement que les actes de vengeance des employés venant de quitter l’entreprise et le manque de budgets adéquats alloués à la sécurité sont en train de devenir la préoccupation majeure des responsables informatiques.

Lors de l’enquête, qui a recueilli l’avis d’environ 1900 cadres dirigeants dans plus de 60 pays, 75 % des interrogés se sont montrés sérieusement préoccupés par les actions de malveillance susceptibles d’être menées par les employés dont l’entreprise s’est récemment séparée.

« Les systèmes informatiques sont une cible de plus en plus fréquente pour le personnel, et le vol de données est également répandu. Il est donc primordial que les entreprises engagent des actions spécifiques d’analyse des risques pour évaluer leur exposition et mettre en oeuvre les contre-mesures adaptées. »

Allouer un budget suffisant à la sécurité des systèmes d’information continue à être un défi pour les responsables de la sécurité : 50 % des interrogés (45 % à l’échelle italienne) considèrent cette question comme un challenge « important » ou « significatif », soit une hausse notable de 17 points par rapport à 2008. Cet élément est particulièrement révélateur si l’on considère que 40 % des interrogés ont indiqué qu'ils comptaient augmenter la part de l’investissement annuel en sécurité des systèmes d’information dans les dépenses totales tandis que 52 % prévoient de maintenir cette part au même niveau. Cette situation est largement confirmée par les constatations faites en Italie, où seulement 5 % des interrogés disent vouloir réduire leurs dépenses de sécurité.

L'enquête a révélé que la conformité réglementaire est l’une des grandes priorités pour les responsables de la sécurité des SI et reste un moteur important des améliorations en matière de la gestion de la sécurité.

De fait, 55 % des interrogés ont répondu que leurs dépenses consacrées à la mise en conformité avaient entraîné une augmentation qualifiée de « modérée » à « significative » de leur budget global de sécurité informatique, alors qu’ils ne sont que 6 % à prévoir une baisse de leurs coûts de « compliance » dans les 12 prochains mois. En Italie, la conformité réglementaire fait l’objet d’encore plus d’attention, et 77 % des interrogés ont signalé une augmentation importante de leurs dépenses de sécurité visant à respecter des obligations légales ou des réglementations sectorielles spécifiques.

À cet égard, l'un des constats les plus surprenants de l’étude est le faible nombre d’entreprises qui chiffrent les données stockées sur les ordinateurs portables des employés. Seuls 41 % des interrogés déclarent pratiquer le chiffrement, et ils ne sont que 17 % à projeter de le faire l’an prochain. En Italie, le pourcentage d’entreprises chiffrant le contenu des ordinateurs portables tombe à seulement 26 %. Ce sont des chiffres étonnants si l’on considère, d’une part, le nombre d’atteintes à la sécurité occasionnées par la perte et le vol d’ordinateurs portables et, d’autre part, le fait que cette technologie est désormais à la fois accessible et économique, avec un impact relativement faible sur les utilisateurs lors du déploiement et qui ne devrait donc plus constituer un obstacle à son adoption.

La sécurisation des données enregistrées sur les ordinateurs portables devient un problème crucial, et on comprend facilement pourquoi : de plus en plus puissant, l’ordinateur portable se transforme souvent en une véritable banque de données d’entreprise nomade – et cela peut engendrer bien des tentations. Car ce sont ces informations, plus que l’appareil en lui-même, qui font toute la valeur d’un portable et, en cas de vol, les conséquences pour l’entreprise peuvent être dramatiques.

Il est possible de protéger nos informations importantes : il suffit de chiffrer les données mémorisées. La solution peut même être trouvée dans des outils Open Source lorsqu’il s’agit d’un ordinateur à usage personnel. Il en va tout autrement lorsque le chiffrement doit intervenir dans le cadre d’une entreprise. Les besoins sont différents, et il n’est pas envisageable qu’une organisation complexe se résolve à ce que les clés de chiffrement soit dans les seules mains de l’utilisateur. L’entreprise courrait alors un double risque : d’une part, elle pourrait perdre purement et simplement les données chiffrées si l’utilisateur venait à oublier les identifiants d’accès et, d’autre part, des utilisateurs pourraient stocker n’importe quoi sur leur portable sans craindre d’être découverts puisque l’entreprise n’y aurait pas accès.

Bref, le remède serait pire que le mal ! Il est donc nécessaire de recourir à des solutions professionnelles permettant au service informatique de l’entreprise de contrôler la génération des clés et d’être en mesure de récupérer, à tout moment, les données enregistrées sur un ordinateur portable, au besoin sans la coopération de l’utilisateur.

On privilégiera les solutions assurant un chiffrement intégral du contenu du disque, car un chiffrement partiel ou limité aux fichiers sensibles laisse subsister BEAUCOUP d’informations en clair.

Pour conclure, nous énumérons ci-après, compte tenu de notre expérience, les principales fonctionnalités que doit couvrir une solution de chiffrement des ordinateurs portables :

1) chiffrement complet du disque avec, dans la mesure de sa disponibilité, le codage XTS, beaucoup moins vulnérable aux attaques 

2) mot de passe au démarrage (pre-boot authentification) des ordinateurs portables pour interdire l'accès aux données chiffrées à toute personne ne possédant pas les droits d’accès

3) intégration avec les systèmes d’authentification forte

4) chiffrement de second niveau des fichiers ou des dossiers afin d’empêcher le vol d’informations par des chevaux de Troie résidant sur le disque

5) pour les environnements les plus sensibles (administration, recherche et développement, services financiers…), présence de clés de chiffrement à la demande, qui ne sont actives QUE lorsque le portable est connecté au réseau protégé de l’entreprise. Ce mécanisme rend impossible l'accès aux données et aux documents sensibles lorsque l’ordinateur est à l’extérieur de la zone protégée : l'utilisateur ne détient jamais la clé, qui est émise à la demande

6) intégration avec les principaux systèmes de courrier électronique et possibilité de chiffrer les e-mails (texte et pièces jointes) sans faire appel à une autre solution

7) possibilité de gérer des groupes fermés pour l’échange de données sensibles – qui ne seront donc utilisables que par les utilisateurs autorisés

8) contrôle des équipements amovibles pour empêcher la copie de données sensibles sur des supports USB (clés, disques externes, assistants personnels, etc.)

9) fonctions de journalisation des opérations effectuées sur des données sensibles

10) activation du dispositif à distance en cas de perte des identifiants (mot de passe et/ou jeton), après vérification de l’identité de l’utilisateur et avec possibilité de temporisation, de façon à permettre l’utilisation du portable jusqu’au retour au siège

La protection des données, pendant la connexion entre les utilisateurs et le siège, et parfois même au sein du siège (par exemple, dans les services de l’Administration ou les environnements de recherche), est l’un des premiers grands problèmes que les entreprises – et notamment les banques – ont gérés avec l'adoption de solutions VPN (Virtual Private Network – Réseau privé virtuel) et d’équipements dédiés qui

sont venus s’adosser au pare-feu.

2) Un VPN classique permet toujours de remonter à l’adresse de l’appelant et de l’appelé, ce qui donne le moyen à un éventuel pirate de tenter – et potentiellement de réussir – une attaque par interception de type « Man in The Middle ».

4) La dégradation des performances (de l’ordre de 30 % à 50 % suivant le protocole de chiffrement adopté) nécessite presque toujours l'installation de coûteux dispositifs d’accélération dont la configuration et la maintenance ne sont pas toujours aisées.

5) Pour les connexions qui n’utilisent pas les ports standards (80, 110, 443, 53), comme c’est le cas avec Citrix, il n’est pas toujours possible d’obtenir des opérateurs internationaux l'ouverture des ports écessaires – et lorsque c’est possible, c’est souvent moyennant un important surcoût.

6) Les VPN classiques prévoient l’ouverture des ports, sur les pare-feu des entreprises, à la fois en entrée et en sortie. Bien que « normal », c’est un point faible dans la mesure où cela fournit une prise aux  attaquants potentiels.

Sans trop nous attarder, il nous semble qu’il serait intéressant de se tourner vers des solutions :

1. permettant de n’ouvrir qu’en sortie les ports des pare-feu,

2. assurant l’accélération automatique – jusqu’à 300 % – de la transmission des données,

3. transparentes par rapport à la structure de l’entreprise,

4. procédant à l’authentification des équipements de manière à restreindre l’accès à ceux qui sont autorisés,

5. capables de rerouter les ports de communication sur les ports standards etgarantissant en outre la connexion indépendamment de l’opérateur (afin qu’elle fonctionne même dans les pays qui filtrent les connexions),

6. indépendantes des DNS, avec une tolérance aux pannes native, et intégralement gérables à partir d’une console centrale quelle que soit lalocalisation des serveurs et des équipements (PC/portables).

C’est à Milan que s’est tenue les 11 et 12 décembre l’assemblée convoquée par les initiateurs de ce Master qui vise à définir le nouveau cadre Déontologie et sécurité triple A (Alimentare-Ambientale-Aziendale – alimentaire, environnementale et entrepreneuriale).

La proposition : le projet pour le premier Master d’une durée d’un an prévoit 200 heures de cours, 40 heures de travaux personnels encadrés et 500 heures de stage en entreprise. Des crédits de formation sont prévus. Le concours financier du MIUR, de l’Union européenne et d’Expo 2015 sera sollicité.

Trois niveaux ont été programmés :

1. Professional : avec 26 participants sélectionnés parmi des nouveaux diplômés et des professionnels dans les secteurs de la sûreté, de la sécurité et de la sécurité environnementale.

2. Middle Management : avec 17 spécialistes ayant au moins 5 ans d’expérience dans le domaine.

3. Executive : avec 8 directeurs de la sécurité désireux de confronter leurs points de vue et leurs expériences pour aller plus loin et élaborer les nouvelles méthodes qui leur permettront d’affronter les défis internationaux.  Les cours devront être dispensés à l'Aquila.