Version PDF - Herve Schauer Consultants

Transcription

Quelles opportunités en sécurité
des systèmes d'information ?
Forum Leonardo Finance
21 septembre 2005
Hervé Schauer
<[email protected]>
Hervé Schauer Consultants
Société de conseil en sécurité informatique depuis 1989
Prestations intellectuelles en toute indépendance
Pas de distribution, ni intégration, ni infogérance, ni régie, ni investisseurs
Prestations : conseil, études, audits, tests d'intrusion, formations
Domaines d'expertise
Sécurité Windows/Unix/embarqué
Sécurité des applications
Les transparents sont
disponibles sur
www.hsc.fr
Sécurité des réseaux
TCP/IP, PABX, réseaux opérateurs, réseaux avionique, ...
Organisation de la sécurité
Etude de nombreux projets ou sociétés en sécurité
2 / 21
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Plan
Chiffres
Opportunités du marché de la sécurité
Edition de supports pédagogiques
Services
Edition de logiciels
Protection du PC ou poste de travail
Protection des autres équipements
Mobilité et nomadisme
HTTP/HTTPS
Fusion internet et telecom
Gestion des données de la sécurité
Autres sujets
Conclusion
3 / 21
Chiffres ?
Les statistiques indiquent toujours et perpétuellement un
marché de la sécurité des systèmes d'information en
croissance
Les statistiques incluent un grand nombre de produits qui ne
devraient plus être comptés dans le marché de la sécurité
Comment un PC sous Windows peut se passer d'un anti-virus ou d'un
firewall personnel ?
Ces produits sont de la bureautique, ce sont des produits grand public
Comment le réseau avec ses routeurs, commutateurs, répartiteurs de
charges, etc, peut-il se passer de firewalls ?
Ces produits sont du réseau et ne sont plus clairement différentiables
entre eux
Comment un serveur de messagerie internet peut-il se passer d'un
anti-virus et d'un logiciel anti-spam ?
4 / 21
Chiffres ?
Ces marchés ne sont plus des marchés de la sécurité
Plus différentiables, plus acquis sur des budgets sécurité
Ce qui concerne réellement la sécurité n'a pas la croissance
que le laisse entendre les chiffres
Les budgets propres à la sécurité ne sont pas nécessairement
en croissance
Seule une réglementation imposée et contrôlée fera croître le
marché
Pourquoi avez-vous des extincteurs ?
Parce que la loi l'oblige et l'inspecteur du travail va le vérifier lors de
son contrôle et que cela va me coûter une amende et...
Pourtant c'est une mesure de sécurité pour réduire les dommages en
cas d'incendie
5 / 21
Opportunités
Services
Editions de logiciels
6 / 21
Sensibilisation à la sécurité
Demande du marché
Pour le client
Supports interactifs qui permettent la vérification de la compréhension par
chaque employé
Tableau de bord de suivi pour le responsable de la sécurité des systèmes
d'information (RSSI)
Pour le fournisseur
Possibilité de modèle de facturation à l'usage
Possibilité de fonctionnement en mode ASP simple
═► Marge envisageable
Enseignement à distance de manière plus générale
Logiciels de gestion documentaire spécialisés
ISO17799/ISO27001 : Callio
7 / 21
Services
Externalisation ou infogérance ou tierce-maintenance de la
sécurité
Demande du marché
Opérateurs d'infrastructures et marchés de niches
Métiers classiques des SSII et des intégrateurs
═► Marge du service et forte concurrence
Services propres au marché de la sécurité
Tests de vulnérabilités en mode ASP
Qualys, Vigilante, Intexxia, Intranode
Infogérance de firewalls et VPN
Netcelo
Infogérance d'anti-virus et d'anti-spam
8 / 21
Dolphian, Oktey, Twentyfive Technology
Edition de logiciels
Rappel du modèle économique
Logiciel vendu ═► logiciel loué à l'usage
Logiciel à installer ═► logiciel en appliance
═► L'édition de logiciels concentre les opportunités à forte
marge
Nombreux échecs
Logiciels structurants pour le client
Logiciels impossible à déployer en production
Logiciels imposant un agent sur chaque poste
Des opportunités
Protection des PC, mobilité et nomadisme
HTTP/HTTPS, Fusion internet et telecom
9 / 21
Protection du PC ou poste de travail
Au-delà de l'anti-virus et du firewall personnel
Contrôle de l'usage des périphériques amovibles
Logiciels espions et malveillants (spyware, malware), renifleurs
de clavier (keyloggers), robots
═► La protection du poste de travail demeure une bonne
opportunité
Inconnue : jusqu'où ira Microsoft dans le système de base
Exemple : outils de chiffrement (MSI, PrimX, ...)
Entrée dans le marché parfois difficile
Possibilités de revente ou d'OEM (Securewave/Neovalens, ...)
Safeboot, Skyrecon
10 / 21
Protection des autres équipements
Assistants personnels, téléphones portables, voitures, ...
Chiffrement des données
PalmOS, Symbian, WindowsCE, ...
Virus / vers preuves de concepts
Vulnérabilités réelles
Modèle économique qui repose plus sur l'opérateur que
pour le PC
PC embarqués
═► Opportunité peut-être plus coté infrastructure
qu'utilisateur final
11 / 21
Mobilité et nomadisme
Toujours une difficulté en entreprise
Ordinateur portable, assistant personnel, téléphone, ...
Une organisation, un service de support, des procédures d'alerte, un
inventaire temps réel du parc connecté
Une authentification de l'employé et une connexion au SI par tunnel chiffré
Contrôle d'intégrité et mise en quarantaine avant la reconnexion au réseau
d'entreprise
Une politique de protection locale du mobile ou nomade lui-même
Firewall + anti-virus + anti-spyware + ... gérés de manière centralisée
Chiffrement des données (indispensable contre le vol)
Maintien à niveau des moyens de protection lorsque le nomade est à
l'extérieur
═► Opportunités dans la cohérence globale
12 / 21
HTTP/HTTPS
Le protocole de base sur Internet est HTTP/HTTPS
HTTP et HTTPS sont les protocoles autorisés dans les
entreprises avec le DNS par le firewall entre le réseau
privé à protéger et l'Internet
HTTP : protocole du web
HTTPS : version chiffrée de HTTP
internet
http
firewall
http
DNS : correspondance entre les noms (www.hsc.fr) et les
adesses IP (217.174.211.25)
La politique de sécurité appliquée par le firewall IP est
contournée par la ré-encapsulation de tous les trafics dans
les protocoles HTTP et HTTPS
Offre déjà développée pour les firewalls ou proxy
protégeant les serveurs web de l'internaute
Deny-All, NetsecureOne, Axiliance, Beeware
13 / 21
http
http
HTTP/HTTPS
Le firewall doit donc filtrer les logiciels de contournement
potentiel de sa politique de sécurité par encapsulation
dans HTTP/HTTPS
Logiciels réencapsulant volontairement
Microsoft avec RPC over HTTPS, Outlook 2003, etc
VPN-SSL, ssltunnel, stunnel, http-tunnel, etc
WebEx, Interwise, MeetingOne
Courrielweb (Webmail), systèmes d'EDI, XML
Logiciels de messagerie instantanée, de messagerie et partage
d'agenda : AOL, MSN, Blackberry, etc
Logiciels basés sur les Web Services
Logiciels poste à poste (P2P:Peer-to-Peer) : Skype
═► Le firewall HTTP demeure une bonne opportunité
14 / 21
HTTP/HTTPS
Une forme de firewall HTTPS en sortie est possible
Le type de trafic même chiffré peut se reconnaître
SSL VPN connection multiplexing techniques
http://www.hsc.fr/ressources/presentations/upperside05fw/
Filtrage d'URL
Utile à la lutte contre les spywares en entreprise
Innovations encore possibles, OEM envisageables
Quelques acteurs du firewall :
Arkoon, Ipdiva, Netasq, Neotip, Olfeo, Oxyan, Qosmos, Wallix
15 / 21
Fusion télécoms et internet
Les télécommunications et l'Internet ne font qu'un
Le PABX classique est un ordinateur Unix qui interroge l'annuaire
d'entreprise
La télémaintenance par liaison téléphonique en PPP ne sert qu'à
contourner le firewall sur les liaisons IP
SAN
Le photocopieur est un PC avec scanner/imprimante sur le réseau d'entreprise et
télémaintenu par une ligne téléphonique
Les liaisons séries des immeubles intelligents passent aussi à IP
RS232 devient Telnet sans authentification
Les protocoles propriétaires (LonTalk, BACnet) sont ré-encapsulés sur IP
Voix sur IP / Téléphonie sur IP / GSM sur IP ...
Le PABX ou Centrex remplace toutes les strates de firewalls IP
═► Opportunité pour un firewall global télécoms + internet
16 / 21
Gestion des données de sécurité
Centralisation et analyse des journaux (SIM)
Génération d'alarmes, d'alertes, tableaux de bord
Consolidation et archivage
Visualisation pour les exploitants
Détection d'intrusion (IDS), prévention des intrusions (IPS)
Déjà beaucoup d'offres existantes
Dont une offre de logiciels libres : Snort, Prelude
RTE, Netreport, Infovista, Prelude-IDS, NetsecureOne, Exaprotect, IV2
Repose sur les individus
Beaucoup de déception avec les offres de logiciels
17 / 21
Autres sujets
Réseaux sans fil : la sécurité est intégrée dans l'infrastructure
Ucopia, Wave-storm
Voix sur IP / Téléphonie sur IP
La sécurité est en cours de normalisation et sera à terme intégrée à
l'infrastructure
Infratructures à clés publiques, archivage légal, biométrie, ...
Cecurity, CryptoGram, Dictao, IdealX, Kotio, Lexbox, Safelogic,
Scrypto, Sigillum, Trustycom, Xelios
Lutte contre le spam
Offre liée à la lutte anti-virus + logiciel libre
Gestion des droits des oeuvres numériques
Autres : Criston, Entelligence, Everbee, Livo
18 / 21
Conclusion
Panorama non-exhaustif
Rappel : la sécurité n'est qu'un nice to have, jamais un must
Toujours un équilibre entre une prise de risque et une réduction du
risque
Donc sensible à l'économie en général
Questions ?
[email protected]
www.hsc.fr
19 / 21
Prochains rendez-vous
Formation sécurité windows : 13-14 octobre, Paris
http://www.hsc.fr/services/formations/
Formation BS7799 Lead Auditor : 24-28 octobre, Paris
Certifiée par LSTI, en cours d'accréditation COFRAC
Conférence "ISO17799 et ISO27001 : expériences et
perspectives" : 24 novembre, Paris
Et trois tutoriels sur la sécurité
http://www.hsc.fr/conferences/reed2005_bs7799exp.html.fr
Formations SecurityCertified : 13-17 & 27-31 mars 2006
Permettant de passer la certification SCNP
20 / 21
Ressources
Sur www.hsc.fr vous trouverez des présentations sur
Infogérance en sécurité
Sécurité des réseaux sans-fil
Sécurité des SAN
Sécurité des bases de données
SPAM
BS7799
etc
Sur www.hscnews.com vous pourrez vous abonner à la
newsletter HSC
21 / 21

Version PDF - Herve Schauer Consultants

Transcription

Documents pareils

Introduction - Herve Schauer Consultants