Prism : « le révélateur de notre incapacité à gérer nos données » pour Thales

Prism, l’occasion d’une prise de conscience ? En effet, si les révélations du lanceur d’alertes Edward Snowden n’ont pas surpris les spécialistes de la sécurité (voir notamment l’interview vidéo de Renaud Bidou, de Deny All), elles doivent déboucher sur une prise de conscience des comités de direction des entreprises.

C’est en tout cas le sens de l’atelier qu’animait Thales sur les Assises de la sécurité, le grand raout des RSSI et des éditeurs spécialisés qui se tenait la semaine dernière à Monaco. « Prism est un révélateur de notre incapacité à gérer nos données », explique Stanislas de Maupeou, chef de projet cybersécurité chez Thales et animateur de cet atelier intitulé « La cybersécurité sous quel PRISM ? »

« Ce n’est que la conséquence de la domination technique et technologique des Etats-Unis et des géants comme Google et Microsoft que l’on peut présenter comme des cyber-Etats », martèle-t-il.

Face à ce constat implacable, quelle attitude adopter ? Faire l’autruche et continuer comme si rien n’était ou « accepter de regarder les choses avec une certaine honnêteté » ? Stanislas de Maupeou espère que Prism donnera le signal de la « reconquête de la confiance et de la maîtrise de nos données et des systèmes d’information ».

Avoir conscience que la sécurité a un coût

« Ce n’est pas infranchissable », estime le responsable cyber-sécurité du fournisseur de produits et solutions de sécurité cryptographiques pour divers secteurs sensibles (infrastructures critiques pour les gouvernements et les armées, grandes entreprises, industrie financière…). « Il existe des solutions de sécurité disponibles et maîtrisées. Mais il faut prendre conscience que la sécurité a un coût. »

Et d’ajouter : « Il est illusoire de faire de la sécurité sur un système que l’on ne maîtrise pas ».

La liste des lacunes flagrantes est longue et celles-ci se cumulent parfois : problème de segmentation d’architectures de systèmes, cartographie incomplète, postes de travail insuffisamment protégés, navigateurs pas mis à jour (IE 6 en entreprise, cela se trouve encore), intrusion dans les profondeurs du système en ciblant l’Active Directory ou l’annuaire en entreprise…

Pour le « nettoyage » et la « reconstruction », Stanislas de Maupeou définit plusieurs axes prioritaires d’actions. A commencer par un ordonnancement des actions (Diagnostic et surveillance => cartographie => Plan de transformation => architecture cible => exécution).

Des briques jugées essentielles doivent être remise dans le schéma global pour repartir sur de bonnes bases comme le renforcement des contrôles de proxy Internet (filtrage), la mise en place d’un réseau dédié à l’administration et le renforcement de la sécurité (mise à jour des applications).

Au-delà des systèmes d’information traditionnels en entreprise, Thales s’intéresse également aux systèmes de contrôle-commande (SCADA). Un thème fort de cette édition 2013 des Assises de la sécurité, le directeur de l’ANSSI ayant donné le ton dès l’ouverture de l’évènement.

Thales a de son côté profité des Assises pour annoncer un accord de coopération pour la cybersécurité des Scada avec Schneider Electric (spécialiste de la gestion de l’énergie).

En complément, notre couverture des Assises de la sécurité :

– Sécurité des Scada : il est urgent d’agir, selon l’Anssi

– Effet Prism : Bull lance le Hoox m2, un smartphone ultra sécurisé

– Smartphone Hoox m2 de Bull : les détails techniques et les photos

– Renaud Bidou, Deny All : « Prism ne m’a rien appris… désolé » (vidéo)