RSA Conférence : la sécurité oui, mais pas à n’importe quel prix !

Car l’un des soucis majeurs est de savoir quel ROI appliquer à un investissement qui a la fâcheuse tendance de croître exponentionnellement d’année en année. D’où l’absolue nécessité de définir le plus juste ratio entre investissement et niveau de risque acceptable. À ce propos, une remarque préliminaire s’impose : hormis quelques grands comptes, personne n’est aujourd’hui à même de supporter l’effort financier que supposerait la prise en compte de différents environnements et d’une multitude d’applications réparties entre les filiales et les succursales d’une même entreprise (tant il est vrai qu’une architecture vraiment homogène est encore rare de nos jours). C’est pourquoi, tout comme le piano, la sécurité nécessite une approche tempérée. Deux règles devraient être retenues dans ce cadre. En premier lieu, pour qui veut augmenter ses marges, la réduction des coûts d’infrastructure est une priorité absolue. Autrement dit, tout se négocie, même en matière de sécurité. Ceci suppose une étude préalable (et dûment circonstanciée) des risques réellement encourus tant en interne qu’en externe. Et c’est justement là où le bât blesse, car les audits et autres tests de brèches et autre joyeusetés menaçant l’entreprise insouciante ne sont pas, eux-aussi, sans souci. En effet, une étude menée récemment par le Meta Group a prouvé que dans environ 20 % des cas l’audit de sécurité faisait plus de mal que de bien. Désordre dans les données suite à une irruption intempestive sur le réseau, porte dérobée installée et? oubliée, rapport d’audit incomplet ou laissant certaines failles critiques sans procédure de correction, la liste est ici trop longue pour être totalement circonstanciée. Alors que faire ? Avant tout s’informer et se former et utiliser des services externes qui soient suffisamment détaillés et agréés pour ne poser que le minimum de problèmes. Ensuite, prendre en compte les véritables menaces, i.e. les virus, le spamming et les attaques en déni de service. Le spoofing, le hacking pur et simple du site Web ou de la base de données sont plus rares, mais tout dépend alors en fait de la valeur des informations pouvant être atteintes. En second lieu, une fois la part des choses faite, si possible avec l’aide des autres directions de l’entreprise (notamment pour valuer les informations de l’entreprise et l’impact que leur perte ou leur altération pourrait avoir sur l’activité de l’entreprise), il faut définir ce qui importe en premier et quelles procédures on appliquera (pas à pas) pour atteindre non pas un niveau de sécurité idéal (et jamais atteint), mais un degré de sécurité au-delà duquel le risque s’avère relativement négligeable. Ceci implique d’une part la réalisation d’investissements les plus pérennes possibles (donc pas de produits exotiques dont le côté génial n’aura d’égal que l’éphémère durée de vie) et d’autre part la formation continue (et on insistera jamais assez sur ce point) du personnel concerné tant par leur administration que par leur utilisation. Cette question des procédures est certainement ce qui «pèche» le plus dans bon nombre de groupes. Bien sûr, sur le papier tout est clairement défini, mais lorsqu’un sinistre survient c’est encore trop souvent la panique et le qui fait quoi comment, phase élémentaire de toute réflexion sécuritaire, cède le pas à un «c’est pas moi c’est lui» du plus mauvais aloi. Raison pour laquelle, aussi, l’emploi de systèmes fortement automatisés est ici à recommander, même si ceux-ci ne peuvent pas tout prévoir. C’est d’ailleurs dans cette veine que les approches de Microsoft et de Cisco non seulement se complètent, mais aussi se complètent, puisqu’un accord d’interopérabilité entre leurs solutions respectives vient d’être conclu. De quoi s’agit-il ? Dans le cas de Microsoft, l’approche Trusted Computing s’assortit désormais d’une gestion des correctifs non seulement automatisée (soit via les serveurs de l’éditeur, soit via un serveur dédié dans l’entreprise, ce qui a pour notable avantage de désencombrer la bande passante) mais aussi étendue. Plus question en effet de se limiter à de simples patchs corrigeant uniquement les défaillances constatées dans le système d’exploitation (lesquelles ont d’ailleurs une très nette tendance à diminuer, puisqu’entre l’arrivée de Windows 2000 et aujourd’hui la version SP2 de XP, elles sont passées d’une bonne quarantaine ou une petite dizaine), il faut désormais aussi s’occuper des applications? et plus particulièrement des applications Microsoft (à tout seigneur tout honneur). C’est ainsi que dès le début de l’année prochaine, les patchs de sécurité affecteront (en bien) les bases de données SQLServer ainsi que les principales applications de l’éditeur. Car, une macro malveillante incluse dans une pièce jointe fait parfois plus de mal qu’un virus dont l’isolement est quasi automatique, même si sa signature n’est pas encore connue. Pourquoi, toutefois, ne pas déporter cette problématique de sécurité à un autre niveau, celui du réseau ? C’est l’approche qu’a adopté Cisco avec son système de défense directement intégré au réseau. L’objectif est de déporter sur le firmware du réseau un certain nombre d’opérations autrefois traitées par les logiciels de sécurité. But du jeu : gagner de la bande passante et notamment éviter les attaques en déni de service en reroutant le trafic vers une «gare de triage» filtrant de manière intelligente le bon grain de l’ivraie. L’image la plus proche de ce concept est celle d’une éponge absorbant le trafic parasitaire et restituant uniquement vers le réseau le trafic normal. Ceci implique, bien entendu, de nouveaux investissements en matière de matériel réseau, mais si ce concept fait ses preuves il y a de fortes chances pour que le jeu en vaille la chandelle. À suivre?