La dernière étape du parcours de notre RSSI mystère sur les Assises de la sécurité 2009 lui fait croiser la route de Loglogic, Qualys, Telindus et Zscaler. Et il lui reste encore assez d’énergie pour faire une compilation de ses petites phrases préférées entendues dans les traverses monégasques. Bravo à lui.

Qualys posait la question le web 2.0 a-t-il besoin d’une sécurité 2.0 ?

A défaut d’avoir une réponse définitive, nous avons pu apprécier le positionnement de Qualys dans la détection des attaques et leur anticipation. Par son offre in the cloud, Qualys s’adresse à de grosses entreprises aussi bien qu’aux plus petites et jusqu’aux majors comme eBay, Google ou encore Microsoft, qui utilisent l’outil pour la sécurité de leur centres de données.

Ces sociétés peuvent vérifier ainsi qu’elles sont  » aux normes  » et suivre les plans de remédiation en fonction des SLA convenus. Un tableau de bord est construit pour offrir une bonne vision de l’évolution dans le temps de la sécurité. L’automatisation des tests permet en outre de baisser les coûts.

Toutefois les interventions manuelles restent indispensables. Elles ne peuvent pas être aussi régulières, mais elles sont nécessaire dans le cadre de l’évolution des menaces.

Innovant et secure à la fois, c’est possible ?

« Innovation et sécurité : concurrence ou synergie ». Tel était le sujet de réflexion que nous proposait Jean-Marc Chartres, de Telindus.

Prendre des risques pour réussir n’est pas contraire à la sécurité. En revanche faire abstraction des menaces qui nous entourent est préjudiciable à la réussite. La revue de presse 2009 nous démontre une fois de plus que nous ne sommes pas à l’abri de nouvelles menaces comme conficker qui n’était pourtant qu’une simple menace virale…

Qu’en sera-t-il en 2019 ? Déjà les serveurs distribués sur Internet et les mashup font exploser les barrières sécuritaires des SI, l’indisponibilité liée aux malversations et attaques diverses représentent 1 à 2% du temps de services, et les nouveaux moyens de protection s’orientent vers l’analyse comportementale.

Vu ce qui nous attend d’ici à dix ans on peut légitimement se poser la question suivante : a-t-on été assez loin dans le processus de sécurité ? Est-ce que le modèle statique que nous avons établi est vraiment suffisant ? Face à une menace qui exploite une vulnérabilité et entraîne un risque, nous ne faisons encore qu’identifier des solutions ponctuelles. N’a-t-on finalement pas créé qu’une sécurité réactive basée sur la défense ?

Tout cela n’est pas suffisant, il faut se mettre dans un système adaptatif, reconnaître l’ennemi, déclencher l’attaque et utiliser des politiques de réactions face aux aléas, en faisant face à l’imprévisible. Durant la présentation, ces propos sont illustrés par la multitude de couches de défense mises en oeuvre sur un poste de travail et les services de virtualisation qu’il faudrait délivrer pour maîtriser la conformité du même poste.

A titre d’exemple, le DLP nous montre que la protection doit être au plus près de l’objet à protéger, et que classifier et analyser le cycle des données au préalable est indispensable pour en assurer la protection. Tout cela s’anticipe : la sécurité ne doit pas être le gadget qui arrive après coup. Mais pour être intégrée d’emblée, et naturellement, aux projets, la sécurité se doit d’être innovante et performante, sinon elle sera laissée pour compte dans tous les nouveaux projets.

Les journaux, ça s’organise !

« Visibilité et intelligibilité des logs pour un ROI optimisé », nous propose Loglogic.

Les besoins de journaux et de traces sont poussés par la gestion des processus opérationnels, la validation des contrôles, les normes industrielles et la loi.

Loglogic présentait ses recommandations pour démarrer un projet de gestion des logs :

Identifier les besoins

Clarifier les moteurs de décision

Développer une politique de logs

Déclarer à la CNIL

Déterminer le degré d’importance de l’information

-> pour quels équipements,

-> pour quels événements,

Fixer les priorités dans les alertes

Activer les logs

Synchroniser les horloges

Déterminer quels sont les rapports dont le business et les infrastructures ont besoin

Grouper les logs en zone critique et en fonction des risques

Définir les normes de fonctionnement nominal

Utiliser une appliance de collecte dédiée capable d’encaisser un volume de logs conséquent en cas d’attaque

Configurer les équipements en mode push ou pull

Sécuriser l’envoi des logs.

La navigation passe par le SaaS

« Contrôle et sécurité lié au web 2.0 ». Plutôt que d’empiler des boîtiers qui vont répondre individuellement à plusieurs enjeux (protection contre les malwares, filtrage d’URL, contrôle de la bande passante, fuite d’information, reporting et logs consolidés, mobilité), Zscaler propose une solution tout en un en mode SaaS (voir à ce sujet notre article, ndlr)

Il ne s’agit pas d’une solution en services managés car l’entreprise garde le contrôle et la maîtrise de la configuration. Les infrastructures sont déployées dans le monde entier et la navigation est contrôlée au plus près de la localisation géographique de l’utilisateur.

Le DSI d’ALD a fait le déplacement pour nous expliquer pourquoi il a choisi Zscaler :

La latence est très réduite,

Le nombre de noeuds déployés par Zscaler dans le monde est important,

Le décryptage SSL à la volée est possible,

Les logs peuvent être conservés sur 1 an,

Les nomades ont la même politique de protection que les postes à l’intérieur de l’entreprise,

La bande passante est contrôlée,

L’administration est à la fois globale mais peut aussi être déléguée,

Zscaler a capacité à développer des fonctions spécifiques.

Tant les utilisateurs (sur la performance) que les administrateurs (sur l’administration) sont satisfaits de la solution. Le retour d’expérience d’ALD fait état de jusqu’à 50% de bande passante économisée sur le WAN privé. Enfin le reporting par drill-down est jugé très convivial et permet de descendre à un niveau de détail très appréciable.

Par exemple lors du rapport sur l’utilisation du webmail, Zscaler indique si ce dernier est utilisé pour de la consultation ou pour de l’envoi. Une exportation des logs au format csv est possible, toutefois la richesse des rapports fournis semble suffisante.

L’heure du bilan en 8 idées fortes

Voici pour conclure les idées fortes que je retiendrais de cette neuvième édition des Assises de la sécurité :

Les réseaux sociaux nous incitent à passer, au sein de l’entreprise, d’une structure de décision pyramidale à une structure en forme de pancake

Prévoir les imprévus et faire face à l’imprévisible

Le stress c’est la capacité d’éliminer des contraintes extérieures, ce n’est pas une pathologie

Une technologie n’est ni bonne ni mauvaise en elle-même : c’est son usage qui peut se révéler catastrophique

Le juriste n’a pas de lunettes assez grosses pour voir l’objet de sa réflexion

Si on renonce à son intimité et que l’on détruit le patrimoine personnel alors on mutile le patrimoine naturel

Il faut se mettre dans un système adaptatif, reconnaître l’ennemi, déclencher l’attaque et utiliser des politiques de réactions face aux aléas en faisant face à l’imprévisible

Plus la sécurité sera innovante et performante, plus naturelle sera son intégration au sein des projets