Sécurité Globale de l'IT : assurer la résilience dans un monde incertain
Le 17 novembre 2020, CIO a diffusé la CIO.expériences « Sécurité Globale de l'IT : assurer la résilience dans un monde incertain » en partenariat avec Check Point, Darktrace, Infoblox, Lookout, Okta, Splunk et Thales.
PublicitéLa cybersécurité est évidemment tout au sommet des priorités des entreprises. Celles-ci sont devenues dépendantes de l'IT pour leur fonctionnement quotidien et la résilience de l'entreprise est donc, pour commencer, celle de son informatique. Mais il serait dangereux de limiter la résilience IT au seul sujet de la cybersécurité. Il faut en effet intégrer des sujets tels que la sécurité physique (face à des menaces telles que incendie, inondation, casse, vol...), la sécurité juridique (du RGPD aux contrats fournisseurs), la sécurité fournisseurs (fournisseurs défaillants notamment) et, on l'a appris avec la crise sanitaire Covid-19, enfin, la sécurité systémique. C'est pourquoi CIO a diffusé le 17 novembre 2020 la CIO.expériences « Sécurité Globale de l'IT : assurer la résilience dans un monde incertain » en partenariat avec Check Point, Darktrace, Infoblox, Lookout, Okta, Splunk et Thales. La Rédaction a, à cette occasion, présenté les résultats de l'étude « Comment fournir des services IT sécurisés et résilients ? ».
Cette CIO.expériences a permis d'entendre les témoignages de Amré Abou Ali (RSSI du Groupe Hospitalier Universitaire Paris Psychiatrie et Neurosciences), Thomas Cuelho (Responsable Infrastructure Systèmes et Réseaux, Ecole Nationale de la Magistrature), Christiane Féral-Schuhl (Avocate associée du Cabinet Féral-Schuhl / Sainte-Marie, Présidente du CNB) et Nicolas Massey (Responsable du Pôle Exploitation-Support, Ville de Colomiers). Philippe Cotelle, Président de la Commission Cyber-risques de l'AMRAE (Association pour la Management des Risques et des Assurances en Entreprise), était le Grand Témoin de la matinée. Enfin, en partenariat avec MyFrenchStartUp, François Esnol-Feugeas, Président Fondateur, a présenté la start-up Oxibox.
« Comment intégrer la cybersécurité dans ce nouveau paradigme » a été expliqué par Xavier Duros, Directeur Technique France chez Checkpoint.
La cybersécurité reste la première marche de la sécurité globale de l'IT. Et, dans la situation actuelle, elle est même une brique essentielle de la résilience des entreprises. « Pour résister à la crise, les entreprises ont dû se reposer sur le numérique, du click and collect au télétravail. Si le numérique est bloqué, c'est toute l'entreprise qui l'est » a ainsi souligné Xavier Duros, Directeur Technique France chez Checkpoint. La résilience de l'entreprise est donc avant tout celle de l'IT. Pour la garantir, il faut être capable d'analyser les risques dans un environnement qui évolue très vite, tant en lien avec la crise qu'à cause de l'évolution technologique. Analyser les risques suppose de connaître son SI : où est hébergé quoi, comment circulent les informations, quelles sont les contraintes réglementaires, etc.
PublicitéXavier Duros estime : « il faut se positionner autant côté utilisateur que côté applicatif ». Les utilisateurs vont ainsi disposer d'accès à des ressources à partir de postes maîtrisés ou non. Les applicatifs, de leur côté, vont exposer des services, collecter et traiter des données. La logique générale à adopter est bien sûr celle du « zero trust » avec des contrôles les plus granulaires possibles. La cybersécurité est difficile simplement parce que son périmètre est vaste et sa mise en oeuvre complexe. Il faut ainsi couvrir les serveurs centraux, les services cloud, les réseaux, les terminaux (y compris mobiles), sans oublier l'IoT (source d'attaques par rebonds)...
« Préparez-vous aujourd'hui, protégez-vous demain avec l'approche Zero Trust pour une cybersécurité de bout en bout » a plaidé Nicolas Aneas, Pre-Sales Manager chez Thales.
Le « zero trust » suppose d'avoir une approche de bout en bout, sans rien négliger, sans rien valider par défaut. C'est ce qu'a ensuite expliqué Nicolas Aneas, Pre-Sales Manager chez Thales. Identité et données sont deux points de particulière vigilance. « 69 % des brèches proviennent de vols d'identités, 95 % impliquent des données non-chiffrées » a-t-il rappelé. L'adoption des bonnes pratiques voire tout simplement le respect des réglementations posent problème dans de nombreux cas, des manquements étant révélés dans 47 % des audits de conformité.
L'approche « zero trust » n'est pas neuve et on peut dater l'origine du terme de plus de dix ans, même si la maturité de cette approche a évidemment progressé. Trois piliers soutiennent cette approche : les identités, les données et les flux. Nicolas Aneas a rappelé que la règle est simple : « toujours vérifier et ne jamais faire confiance ». La première étape est donc justement d'éliminer la confiance lorsqu'il y a une demande d'accès à des données ou des services, la deuxième d'évaluer le niveau d'assurance en fonction du contexte et de la sensibilité de la demance et la dernière de superviser en continu.
Christiane Féral-Schuhl, avocate associée du Cabinet Féral-Schuhl / Sainte-Marie et actuelle Présidente du CNB, a témoigné sur comment anticiper le risque de perte de maîtrise du SI.
La cybersécurité au sens restreint est très loin d'être la seule condition de la sécurité globale de l'IT. Avec Christiane Féral-Schuhl, avocate associée du Cabinet Féral-Schuhl / Sainte-Marie et actuelle Présidente du CNB (Conseil National des Barreaux), nous avons pu faire un récapitulatif de quelques risques souvent négligés. Le premier est la dépendance de l'entreprise vis-à-vis d'un salarié disposant des « clés du SI » (mots de passe, clés de chiffrement...), ce salarié pouvant être le DSI ou un de ses collaborateurs. Or ce salarié peut partir en litige avec son employeur ou, simplement, être victime d'une maladie ou d'un accident. « Le responsable est le chef d'entreprise mais il confie souvent les clés au DSI qui obtient de ce fait une place particulière dans la continuité de l'entreprise » a rappelé Christiane Féral-Schuhl. Le scénario du départ ou de l'indisponibilité d'un « maître des clés » doit être anticipé, y compris par des clauses contractuelles avec les fournisseurs ou par des précautions sur la détention des clés (mots de passe...). Casser un chiffrement, même par le fournisseur de la clé, peut constituer un délit pénal.
Le recours à des procédures judiciaires peut s'avérer vain. Christiane Féral-Schuhl a ainsi rappelé : « la longueur des procédures peut être incompatible avec la survie de l'entreprise et il faut donc avoir conscience de ce risque pour l'anticiper dans le contrat. Il est étonnant que, aujourd'hui encore, des contrats soient signés sans que la fin du contrat soit prévue, ce que l'on appelle la réversibilité ! » Et autant le cas où il y a trop d'accès aux données (notamment violation de données personnelles), le cas où un accès aux données est bloqué en rendant l'exploitation de l'entreprise impossible engage la responsabilité personnelle du chef d'entreprise, notamment en cas de faillite. « Aujourd'hui, aucun chef d'entreprise ne peut dire 'je ne savais pas', ce n'est plus possible » a martelé Christiane Féral-Schuhl. Au cours de son intervention, elle est revenue sur diverses bonnes pratiques pour maîtriser au mieux les risques.
Question auditeur : Quelles clauses doit-on prévoir dans un contrat d'infogérance ?
Au sens littéral, votre question va évidemment bien au-delà du sujet de la conférence et nécessite une réponse bien plus volumineuse. En l'occurrence, deux familles de clauses ont été évoquées ici : celles relatives à la fin de contrat avec la récupération des données de l'entreprise et celles sur les droits d'accès avec les conditions de récupération de ces accès si l'administrateur déclaré quitte l'entreprise.
« Une entreprise agile dans un contexte de crise : comment simplifier et sécuriser sa transformation numérique » a détaillé Philippe Elie, Regional Director and General Manager, Southern Europe chez Infoblox.
Minimiser les risques, c'est aussi s'adapter aux situations, faire preuve d'agilité. « Un bon exemple est, dans le cadre de la crise sanitaire et pour réduire les risques de contamination, de recourir au travail à distance, à des vidéoconférences, au paiement sans contact, au e-commerce... » a ainsi relevé Philippe Elie, Regional Director and General Manager, Southern Europe chez Infoblox. Rien n'est véritablement neuf dans les actions mises en place, sauf que tout cela a été déployé souvent dans l'urgence. Philippe Elie a constaté que « il y a deux types d'entreprises : celles qui avaient anticipé, par exemple en adoptant le cloud, et celles qui ont été surchargées au mois de mars par le besoin de recourir en urgence au télétravail. La transformation numérique est nécessaire pour répondre à la crise mais aussi saisir les opportunités à sa fin. »
Au-delà des enjeux humains, la problématique de la sécurité dans le cadre d'un SI aux ressources distantes est majeure. La complexité des réponses à cette problématique devient elle-même une problématique. Beaucoup d'entreprises ont accumulé des outils divers. « Cette accumulation devient un frein à la transformation d'une part à cause de sa lourdeur mais aussi, d'autre part, à cause de son coût » a pointé Philippe Elie. Or le premier objectif d'une entreprise qui a recours au cloud est la flexibilité, la capacité à recourir à de la ressource à la demande. Pour accéder à ces ressources élastiques, il faut aussi que le réseau soit lui-même élastique, tout comme la sécurité associée : le garantir est l'objectif d'Infoblox.
Amré Abou Ali, RSSI du Groupe Hospitalier Universitaire Paris Psychiatrie et Neurosciences, est revenu sur comment garantir la résilience IT en milieu très contraint.
Un bon exemple d'adaptation dans l'urgence a été fourni par Amré Abou Ali, RSSI du Groupe Hospitalier Universitaire Paris Psychiatrie et Neurosciences (GHU PPN). Les 5600 agents du GHU PPN, organisme distinct de l'AP-HP, sont répartis sur 170 structures et 94 sites interconnectés dans toute l'Île-de-France. Le stockage des données de santé répond à des contraintes légales fortes. L'externalisation suppose de recourir à des prestataires certifiés. Au GHU PPN, les données patients sont centralisées et sécurisées dans un datacenter interne. Au mois de mars 2020, brutalement, il a fallu basculer en télétravail, obligation qui n'avait pas été anticipée.
Certaines tâches administratives pouvaient être faites à distance. Mais il aurait fallu disposer de PC portables et les préparer. Plusieurs acteurs ont été pro-actifs pour proposer des solutions « zero trust ». Une a été choisie, celle de Systancia, qui a pu être déployée en deux jours pour 300 utilisateurs simultanés. Amré Abou Ali a soupiré : « cette solution nous posé un seul problème, elle a été victime de son succès et nous avons dû effectuer plus de déploiements que ce que nous avions prévu. » La solution, hébergée dans un cloud souverain (en l'occurrence OVH), permet à un utilisateur quelconque de se connecter, via un simple navigateur, à son poste physqieu resté dans les bureaux où a juste été installée une brique pour le relier au service cloud. Comme le GHU PPN a les infrastructures nécessaires, le recours au cloud n'était pas utile et la solution a donc été installée en interne. Le référencement de la solution dans des centrales d'achat public a facilité la rapidité du projet, des appels d'offres n'ayant pas été nécessaires.
Question auditeur : Quelle est la solution OVH mise en place par l'hôpital qui permet d'avoir un bureau par une simple URL ? Cette solution permet d'avoir un accès directement au serveur de l'hôpital ou juste accès à un vps ovh ?
La solution est hébergée en l'occurrence chez OVH mais il s'agit de Systancia Gate. Cette solution permet bien d'avoir accès au SI on premise de l'hôpital.
« L'accélération du télétravail et la montée en puissance des risques mobiles associés » ont été analysées par Bastien Bobe, Security Engineer Europe du Sud chez Lookout.
Le brutal confinement du printemps dernier et le recours massif et rapide au télétravail ont eu un effet évident : la croissance des cybermenaces sur les terminaux, notamment les terminaux mobiles (PC portable, smartphone...). C'est ce qu'a rappelé Bastien Bobe, Security Engineer Europe du Sud chez Lookout. « Il y a une vraie corrélation entre le phishing mobile et la recherche d'outils de télétravail » a-t-il souligné. Depuis une dizaine d'années, des opérations de sensibilisation ont lieu contre le phishing par mail. Mais la vigilance est bien moindre sur des phishing par SMS ou Whatsapp. Bastien Bobe a précisé : « le taux de clic est très élevé, une chance sur deux, pour qu'un utilisateur suive le lien et accepte d'installer une application malveillante ».
Alors les DSI doivent bien sûr continuer à sensibiliser en adaptant la communication à ces nouvelles formes de phishing. Mais il lui faut aussi mettre en place des solutions de sécurité adaptées à ce type de risque, pour détecter mais aussi bloquer. Tous les terminaux, y compris mobiles, se connectant au SI doivent respecter les mêmes normes de sécurité. Si certaines entreprises étaient déjà équipées en amont de la crise sanitaire, Bastien Bobe a admis que de nombreux prospects avaient acquis des solutions adaptées lors du premier confirnement au printemps 2020.
Philippe Cotelle, Président de la Commission Cyber-risques de l'AMRAE, a présenté les approches de l'Association pour le Management des Risques et des Assurances de l'Entreprise pour passer des cyber-risques à la gestion des risques.
Le risque frappant les terminaux mobiles n'est finalement qu'une des familles de risques IT. Le Grand Témoin de la matinée était Philippe Cotelle, Président de la Commission Cyber-risques de l'AMRAE, association qui regroupe 1500 gestionnaires de risques de 750 organisations. Son activité est un point de rencontre entre les responsables de risques, de la sécurité, des assurances, de l'audit interne, etc. « Nous croyons que quand les risques sont gérés, l'entreprise est durable » a plaidé Philippe Cotelle. L'AMRAE diffuse également de nombreuses publications, notamment, il y a un an, une publication commune avec l'ANSSI.
Rendre les entreprises résilientes, cela signifie les rendre capables de résister à un choc, à une crise. Pour Philippe Cotelle, « il ne s'agit pas d'être imperméable à une attaque mais d'être en mesure de résister à une attaque qui va potentiellement arriver ». Mais comme le numérique est dans toutes les activités de l'entreprise (voire au-delà), réagir ou se préparer aux menaces sur le numérique ne peut pas se limiter à une réponse technique, à la cybersécurité au sens traditionnel du mot. Avoir une gestion par les risques, c'est précisément faire le lien entre l'activité réelle de l'entreprise, le numérique et les menaces pesant sur ce dernier avec des impacts sur le premier. Au cours de son interview, Philippe Cotelle est aussi revenu sur le rôle du cyber-assureur, sur les tendances en matière de risques ainsi que sur le rôle de l'IT pour, cette fois, gérer les risques (au travers des SIGR, systèmes d'information de gestion des risques).
« Comment concilier transformation des modes de travail et sécurité du SI ? » s'est interrogé Nicolas Petroussenko, Country Manager France d'Okta.
Parmi les tendances sur les risques soulignées par Philippe Cotelle, les transformations des modes de travail étaient en bonne place. C'est précisément sur ce type de risques qu'est intervenu Nicolas Petroussenko, Country Manager France d'Okta. « La crise a révélé des risques qui étaient déjà identifiés, notamment le fait que les collaborateurs ne se connectent plus seulement au SI sur leur lieu de travail mais aussi de chez eux ou n'importe où, avec des terminaux de leur entreprise comme avec des outils personnels » a-t-il mentionné. Si le « périmètre » de l'entreprise est plutôt bien protégé, ce n'est pas le cas de l'utilisateur, surtout quand il est chez lui.
Bien sûr, avec la crise sanitaire, les entreprise ont voulu mettre en oeuvre des outils pour permettre la continuité de la collaboration, en général dans le cloud (Teams, Zoom...). Comme Nicolas Petroussenko l'a relevé, il s'agit d'empêcher que, via ces outils, des gens non-habilités aient accès à des données auxquelles ils ne devraient pas accéder : « comment vérifier que la personne qui se connecte est bien celle qu'elle prétend être et que ses droits sont appropriés ? » Bien entendu, cela est d'autant plus vrai avec les applicatifs métiers. Et les technologies de type VPN peuvent être vite débordées en cas de télétravail massif et brutal. Surtout, ces technologies ne verrouillent pas un mauvais comportement des utilisateurs (comme cliquer sur un phishing par exemple). La première préoccupation doit donc être de gérer les identités et les accès, tant en interne que pour les partenaires externes. Et cela sans remettre à plat dans l'urgence des pans entiers du SI et sans, non plus, imposer trop de contraintes aux utilisateurs qui, dès lors, seraient tentés de les contourner.
Thomas Cuelho, Responsable Infrastructure Systèmes et Réseaux de l'Ecole Nationale de la Magistrature, a expliqué comment l'ENM a établi et fait évoluer son plan de continuité d'activité.
Au-delà des risques de type cyber-menaces, il ne faudrait pas négliger ceux liés aux dysfonctionnements, aux pannes et aux autres catastrophes. Sur ce sujet a témoigné Thomas Cuelho, Responsable Infrastructure Systèmes et Réseaux de l'Ecole Nationale de la Magistrature (ENM). Basée à Bordeaux, l'ENM forme tous les magistrats, y compris la formation continue, des magistrats non-professionnels (tribunaux de commerce, conseil des prud'hommes...) ou des magistrats étrangers. Le double datacenter interne héberge 150 machines virtuelles. « C'est souvent dans les cas critiques que se prennent les décisions » a remarqué Thomas Cuelho. De fait, à l'ENM, c'est un grave incident qui est à l'origine de la prise de conscience, il y a quelques années. Comme le système de sauvegarde était précisément en train d'être remplacé lors de l'incident, une partie des données avait été perdue.
Une solution pérenne a ainsi pu être mise en place avec définition d'un PCA et d'un PRA pour le SI. La principale faiblesse du SI, à l'époque, était sur le stockage. C'est donc ce point faible sur lequel, surtout, les efforts ont porté. Thomas Cuelho a insisté : « il fallait un bon compromis entre disponibilité et performance, en mêlant du NVMe, du SAS pour le tout-venant et du SATA pour de l'archivage avec faible performance. » Ce type de choix standard permet de choisir les fournisseurs sans trop de contraintes ainsi que de gérer aisément le stockage en ne comptant que sur des compétences internes. Même si l'ENM ne stocke pas de données judiciaires confidentielles, les règles du Ministère de la Justice interdisent de recourir à des stockages externalisés, notamment dans le cloud.
« Sécuriser la nouvelle organisation du travail avec la Cyber IA » a pointé Hippolyte Fouque, Directeur Commercial de Darktrace.
Hippolyte Fouque, Directeur Commercial de Darktrace, est ensuite revenu sur le brutal changement qu'a constitué l'adoption massive du télétravail à l'occasion de la crise sanitaire. « Avec les 4000 entreprises clientes de nos technologies, nous avons pu constater ce phénomène, avec la gestion de bien plus d'informations de façon numérique sur des terminaux très divers, des lieux nettement plus variés et avec des connexions avec des partenaires également en augmentation » a-t-il relevé. Garder la main sur son propre SI et ses propres données est donc devenu de plus en plus complexe, l'employé isolé chez lui étant à la merci de phishings de plus en plus sophistiqués et ciblés (y compris grâce à de l'intelligence artificielle).
Hippolyte Fouque a ajouté : « ces dernières semaines, nous avons bloqué des centaines de milliers de messages malveillants parfois très bien réalisés. » Pour faciliter le télétravail, la migration de données dans le cloud a été massive mais précipitée. Et la surveillance de ces environnements n'est pas toujours suffisante. Trop souvent, les acteurs de la cybersécurité continuent de réfléchir en termes de menaces précisément définies antérieurement, par silos, alors que ces menaces évoluent à grande vitesse. Les forces d'une solution de sécurité à base d'IA sont d'une part son adaptabilité et sa capacité à tenir compte de l'expérience mais aussi, d'autre part, à réagir vite et sans épuisement.
Nicolas Massey, Responsable du Pôle Exploitation-Support de la Ville de Colomiers, a témoigné comment cette commune a mis en place PCA et sauvegarde.
Pour éviter qu'un incident n'ait des conséquences trop grave, il faut savoir mettre en oeuvre un PCA/PRA, parfois en tenant compte de contraintes particulières. C'est ce qu'a fait la ville de Colomiers, dans l'agglomération de Toulouse, deuxième ville de son département. Avec 39 000 habitants, il s'agit d'une commune relativement importante qui dispose d'une quarantaine de sites (écoles, crèches, CCAS ; EHPAD municipal, accueil citoyen...) pour accueillir l'exercice de 130 métiers. Nicolas Massey, Responsable du Pôle Exploitation-Support de la Ville de Colomiers, s'est souvenu : « il y a deux ans, notre infrastructure à base de SAN Fiberchannel, qui datait de 2012, n'en pouvait plus et on n'avait plus de marge de manoeuvre pour permettre de redémarrer un serveur virtuel sur un autre ordinateur. »
Vue son âge, étendre l'infrastructure en place n'était pas pertinent. Fin 2018 a été lancé un marché public par dialogue compétitif. « Avec les technologies d'hyper-convergence Nutanix, nous avons pu mettre en oeuvre un PCA et pas seulement un PRA comme nous l'envisagions au début » a relevé Nicolas Massey. La gestion de l'infrastructure en a été simplifiée tout en permettant de mettre en oeuvre deux salles redondantes en actif-actif puis un troisième site pour une sauvegarde via Veeam Backup selon la règle 3-2-1 (trois copies, deux supports disques/LTO dont une déportée), tous les sites étant sur le territoire de la commune et reliés par fibre optique.
« Sécuriser ou périr : quand cybersécurité rime avec risque métier » a soulevé Lionel Gonzalez, EMEA Security Specialist chez Splunk.
De la même façon que les communes, comme l'a confirmé Lionel Gonzalez, EMEA Security Specialist chez Splunk, « les entreprises ont bien conscience du besoin de se sécuriser, les cyber-risques arrivant cette année pour la première fois en tête des risques menaçant les entreprises dans le rapport de l'assureur Allianz. » Et ce ne sont pas toujours les seules PME qui ont besoin d'investir massivement. « Traduire la prise de conscience en investissements est par contre plus compliqué » a dénoncé Lionel Gonzalez. Ce alors que la période de la crise sanitaire a vu une croissance des attaques de 600 % et que les nouveaux usages se sont développés de façon brutale et souvent non-préparée.
Lionel Gonzalez a recommandé : « une bonne manière d'approcher la question est de se rapprocher des équipes métiers pour traduire en termes business les risques encourus. » Les agences de notation ont d'ailleurs annoncé qu'elles vont prendre en compte les cyber-risques dans leurs jugements sur les entreprises, avec impact financier direct. Cette approche par l'impact métier permet de prioriser les interventions en se focalisant en premier lieu sur les risques à plus fortes conséquences.
En partenariat avec MyFrenchStartUp, François Esnol-Feugeas, Président Fondateur d'Oxibox, a présenté sa solution pour garantir la résilience IT.
Pour terminer la matinée, en partenariat avec MyFrenchStartUp, François Esnol-Feugeas, Président Fondateur d'Oxibox, a présenté sa solution pour garantir la résilience IT. Fondée en 2014, cette start-up permet de garantir la résilience après une cyber-attaque, c'est à dire un retour rapide à la normale. Oxibox verrouille et protège une enclave pour protéger les sauvegardes historisées, uniquement accessibles en lecture. Trois protections successives sont déployées : un chiffrement de la connexion, la protection en écriture et enfin un leurre de détection des activités anormales. La solution existe autant en format cloud que on premise ou hybride.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire