De la sécurité par l’obscurité aux APT en passant par le ROI, le Cercle Européen de la Sécurité s’est intéressé hier soir aux mythes et réalités de la sécurité informatique. De nombreux concepts, fumeux ou pas, et de nombreux « buzzwords » à la mode ont été encensés ou, au contraire, démontés par les quatre intervenants de la table ronde : Renaud Bidou (DenyAll), Ludovic Blin (SecuObs), Patrick Chambet (Bouygues Telecom) et Frédéric Raynal (MISC).

Alors, mythe ou réalité ?

La sécurité par l’obscurité
« Ca existe et ça fonctionne, mais ce n’est ni nécessaire ni suffisant » , résume à la façon d’un Normand Frédéric Raynal (MISC). Et de préciser tout de même : tout ce qui peut contribuer à ralentir l’attaquant est bon à prendre, mais il ne s’agit pas d’en faire un dogme.

Bien entendu, il convient également de mesurer le gain de sécurité apporté par l’obscurité (changer les ports par défaut de services souvent attaqués, par exemple) face aux problèmes d’exploitation que cela peut amener (configurations d’autres outils à modifier, etc…).

Statut : réalité.

« Ca ne m’est jamais arrivé, donc ça ne me concerne pas« 
Est-ce parce qu’un incident s’est jamais produit qu’il doit être ignoré ? Egalement appelée « syndrome de l’Autruche » , cette pratique est difficilement justifiable.  « Ca ne vous est jamais arrivé ou vous n’avez pas été capable de détecter l’incident ? » , fait remarquer Patrick Chambet (Bouygues Telecom). Dans certaines intrusions, de plus en plus discrètes, l’attaquant entre et repart en refermant discrètement la porte derrière lui. Il est possible qu’une telle intrusion passe totalement inaperçu. On ne doit donc pas rejeter un risque a priori, sans un minimum d’analyse.

Statut : mythe.

Advanced Persistent Threat (APT)
Une menace finalement comme une autre ? Il ne s’agit en fait que d’une intrusion ciblée, élaborée, et qui s’est maintenue suffisamment longtemps dans l’entreprise pour avoir permis l’accès à des ressources précieuses (cf Bercy). « L’APT peut servir d’excuse : j’ai été victime d’une APT, je n’avais aucune chance » , s’amuse Renaud Bidou (Deny All), modérateur de ce débat. Pour le reste, l’assemblée ne semblait pas terriblement inquiète des APT. Les participants ont fait observer qu’il ne s’agit en définitive que de techniques connues, même si leur usage est parfois original et efficace.

Attention cependant : le son de cloche est très différent parmi les participants à notre dernier CSO Interchange de Paris : ils étaient 75,5% a considérer que les APT sont une menace sérieuse.

Statut : réalité, à mitiger.

Dépérimétrisation
Le périmètre est-il entrain de vivre ses dernières heures ? Si l’on en croit toujours notre propre sondage lors du CSO Interchange Paris 2011, c’est le cas : 69% des RSSI interrogés penchaient pour cette hypothèse. Mais selon Patrick Chambet il convient de remettre les choses dans leur contexte : « on parle de dépérimétrisation depuis les conférences BlackHat de 2001, soit depuis 10 ans déjà ! » , explique-t-il à juste titre. Si l’idée est toujours là dix ans après, c’est qu’elle n’est pas si mauvaise. Reste à la voir mise en oeuvre… Car la dépérimétrisation ne consiste pas à supprimer la sécurité aux frontières de l’entreprise (firewalls, IDS/IPS, …). Au contraire: en plus de se protéger contre l’extérieur, on considère que des éléments hostiles peuvent se trouver sur le réseau interne de l’entreprise. Il faut donc mettre en place une défense en profondeur, en ajoutant notamment une protection logique à la protection réseau. Globalement, au lieu de localiser la protection loin des données sensibles de l’entreprise comme autrefois, il faut rapprocher la protection au plus près des données (data centers, serveurs, bases de données, chiffrement de tables dans les bases).

Statut : réalité.

Return on investment (ROI)
Difficile d’aborder les mythes de la sécurité sans parler du ROI des mesures de sécurité. Alors, un équipement de sécurité peut-il faire gagner de l’argent ? « Non, mais il permet de ne pas en perdre… selon des probabilités qu’on ne pourra jamais vraiment calculer de manière exacte » , explique Patrick Chambet. Il peut être difficile d’expliquer à un DG que plusieurs millions d’Euros auraient eu de grandes chances de s’évaporer si des vulnérabilités n’avaient pas été corrigées; mais c’est pourtant la réalité. Le ROI en sécurité n’existerait-il donc pas en soi ? En revanche, la sécurité peut faire gagner de l’argent à la marge, notamment par les gains de productivité qu’elle permet (provisionning / deprovisionning, reset automatique de mots de passe, IAM, etc…). Après tout, des salariés opérationnels plus rapidement lorsqu’ils intègrent l’entreprise, ça on sait en calculer le bénéfice. Problème : c’est de la IT et pas uniquement de la SSI.

Statut : mixte.

Cloud Computing
Pour Patrick Chambet, le Cloud Computing peut être une bonne chose comme une chose catastrophique pour la sécurité. En effet, le passage au Cloud est un moment privilégié pour lancer une démarche de classification des données sensibles de l’entreprise. Ensuite, il convient de définir ce qui peut être placé dans un Cloud externe (avec les moyens de protection adaptés, notamment du chiffrement et de la traçabilité), et ce qui doit en être exclu, par exemple ce qui constitue le coeur du business de l’entreprise.

En revanche, si aucune précaution n’est prise concernant le Cloud, certaines conséquences sont à prévoir: par exemple, les données nominatives de l’entreprise ne sortent-elles pas de la Communauté Européenne ? Si c’est le cas, les déclarations à la CNIL seront à revoir.

Statut : mixte.

Certifications
Ludovic Blin introduit les différents types de certifications : des personnes, des organisations et des produits (CSPN). Les intervenants sont tous d’accord pour dire que les certifications n’ont rien d’obligatoire en France, notamment pour les personnes dont les compétences sont connues et reconnues, mais qu’elles ont toutefois deux avantages (pour ISO 27001 ou PCI-DSS par exemple) : elles obligent à adopter de bonnes méthodes (notamment un processus de management de la sécurité et une amélioration continue) et elles fournissent un catalogue de bonnes pratiques issues de nombreuses années d’expérience et sur lesquelles un large consensus a été obtenu.

Statut : mixte.

Gouvernance
Finalement, la gouvernance en sécurité s’intègre totalement dans la démarche de gouvernance du SI dans son ensemble.  « Et même dans l’architecture d’entreprise elle-même » , précise Patrick Chambet. La sécurité doit en faire partie intégrante. Et inversement, une architecture d’entreprise qui n’a pas pris en compte la sécurité est incomplète.

Statut : réalité.

D’accord ou pas d’accord avec cette classification ? En tout état de cause l’objectif initial de cette table ronde, qui était de bousculer les idées reçues, a été atteint ! Et vous, quels sont vos mythes de la sécurité ?

(Article rédigé avec l’aimable assistance de Patrick Chambet)