mag securs inter n¡3

Transcription

.com
curs
t
uillo mag-se
G
s
i
t@
ço
Fran is.guillo
co
fran
O
EDIT
Les PME/PMI,
nouvel Eldorado de
l’informatique ?
Aujourd’hui, de nombreuses offres ciblent les PME/PMI, voire même sur les TPE. Aucune
d’entre-elles n’échappe à la convoitise des professionnels de l’informatique et des télécoms :
éditeurs, constructeurs, opérateurs, distributeurs, intégrateurs... Il est vrai qu’elles constituent un
marché de quelques 3,5 millions de prospects. Une aubaine pour des fournisseurs en panne de
croissance. Leur clientèle de prédilection jusqu’alors, les grands comptes, étant plutôt, aujourd’hui, dans un cycle de renouvellement et d’attente de reprise économique. Toutefois, ce nouvel
Eldorado ne semble pas si facile à conquérir. Les dirigeants sont très méfiants. L’an 2000 et l’ASP
ont laissé des traces indélébiles dans l’esprit de tous… De plus, les commerciaux de l’informatique
n’ont pas l’habitude de « s’équiper de bottes » pour aller dans « les campagnes profondes »
et surtout d’argumenter à l’aide d’un langage simple et accessible au commun des mortels. C’est
pourtant la clé de la réussite dans ce secteur constitué de néophytes exigeants.
Certains pensent toutefois que ce sont les grands comptes qui vont inciter leurs petits
fournisseurs à passer à l’ERP, ou tout au moins à des Systèmes d’Information plus homogènes.
C’est peut-être vrai ! D’ailleurs, même l’Etat s’y met. Nous avons par exemple découvert dans
le courrier qui accompagnait notre déclaration de TVA, une « information » pour nous inciter à
passer à la Télé-TVA incluant un règlement sécurisé. Bien entendu, pour mettre en place ce
système, tout le monde doit s’équiper d’Internet et aussi sécuriser les transactions à l’aide de
certificats. Jacques Sauret, directeur de l’ADAE (Agence pour le Développement de l’Administration Electronique), a annoncé lors d’une conférence de presse au Club de la Presse des NTC
que l’objectif de l’Etat, au travers du projet ADministration ELEctronique 2004/ 2007 - « ADELE
pour simplifier la vie », est de faire passer un maximum d’entreprises à la télé-déclaration d’ici à
deux ans. Demain, donc notre coiffeur après nous avoir coupé les cheveux devra connecter son
PC sécurisé pour envoyer par courriel sa TVA... avec les problèmes de Systèmes d’Exploitation,
de liaisons Internet, de virus... Il y aura peut-être de quoi s’arracher les cheveux !
Avec les informations contenues dans notre dossier et tirées de l’expérience d’utilisateurs, les
fournisseurs, comme les PME/PMI pourront réfléchir à la mise en œuvre des prochaines
Télé-déclarations sécurisées.
Are SMEs the new Information
Technology Eldorado?
Today, SMEs and even micro enterprises, are being targeted by a number of offers. None escape the covetous desires of the
information technology and telecom professionals which include: software publishers, manufacturers, operators, distributors, integrators etc. Not surprising considering that the SME market represents some 3.5 million prospects and is just the opportunity for
suppliers with flagging growth. Until now, corporate customers were the preferred clients but their spending has generally been
restricted to equipment replacement while they wait for an economic upturn. However, the new Eldorado doesn’t seem to be as
easy as that to conquer because SME managers are extremely wary.The Y2k and ASP experiences have left indelible marks on
everyone’s mind. Not only that, but information technology salesmen are not used to putting on their walking shoes and going out
into the “back country”.They are even less used to explaining things in simple terms that can be understood by the man in the
street. Nevertheless, this is the key to success in a sector largely made up of demanding novices.
However, certain suppliers think that corporate clients will encourage the smaller suppliers to adopt ERP applications or at least
move to more homogeneous information systems. That has yet to be proven! Moreover, even the French administration is
getting involved. For example, in a letter attached to our sales tax declaration form, we have discovered a piece of “information”
encouraging us to adopt online sales tax declarations with secure payment facilities. Of course, to be able to do this, everyone
has to be connected to the Internet and be able to use certificates to increase transaction security. During a press conference
at the NTC (new information and communication technologies) press club, Jacques Sauret, ADAE director (agency for the
development of the electronic administration) announced that the French administration’s goal was to have the majority of
companies making online sales tax declarations within two years through the 2004/2007 electronic administration project
called “Simplify your formalities with ADELE”.Tomorrow, when the local hairdresser has finished cutting his customers’ hair, he
will have to log on with his secure PC and send his sales tax declaration by email as well as having to cope with problems with
operating systems, Internet connections, viruses etc. Enough to make him want to tear his hair out!
With the information contained in this issue and compiled from user experience, suppliers and SMEs will be able to reflect
on the implications of setting up the pending, secure, online declaration facilities.
LE MAGAZINE EUROPEEN DE LA SECURITE
I N F O R M AT I Q U E • R E S E A U X • T E L E C O M • I N T E R N E T
n_003
Revue trimestrielle
N° 3 mars - avril - mai 2004
http://www.mag-securs.com
ISSN : 1761-9823
Commission Paritaire : 1105 K 84223
Dépôt légal : à parution
Edité par Editions de la Communication
RCS 449 613 611 Nanterre
17 avenue Marcelin Berthelot
92320 Châtillon
Tél.: +33 1 40 92 05 55
Fax : +33 1 46 56 20 91
e-mail : [email protected]
RÉDACTION
Directeur de la Publication :
Dominique Ciupa
Rédacteur en chef :
Marc Jacob
Ont collaboré à ce numéro :
Maurice Louis, Sylvain Luckx,
Olivier Itéanu
Assitante :
Sylvie Levy
Traduction :
Wayne Sutton
Comité scientifique :
Pierre Bagot
François Guillot
Wayne Sutton
PUBLICITÉ
SIM Publicité
Tél. : +33 1 40 92 05 55
Fax : +33 1 46 56 20 91
CRÉATION ET
MAQUETTE
SRG - 77 rue fbg. St-Jacques
75014 Paris
Tél.: +33 1 47 07 28 00
IMPRESSION
France Quercy
113 rue André Breton
BP 49
46001 Cahors Cedex
Tél. : 33 5 65 23 58 58
ABONNEMENT
Prix au numéro : 17 € TTC
Abonnement annuel : 50 € TTC
P. 1
RE
I
A
M
SOM
P. 1
Editorial
P. 5
P. 6
Agenda
François Guillot
Le RSSI a t’il encore droit au sommeil ?
Olivier Itéanu avocat à la cour, Cabinet Itéanu & Associé
P. 8
des
ccord
ue l’a us droits
q
li
p
s im re de to es les
t
photo
b
s ou duction li ni de tou à la
e
t
x
e
t
u
o
r
s
m
s
p
e
e
e
it
d
r
air
so
e
oi
L’env s pour un uteur se t nécess
n
r
l’a
é
auteu pose que ntuelleme
ublicit
de p s un
e
p
v
u
e
é
s
m
t
s
r
n
e
n
e fo sont da
isatio
aucun
le
autor n.
epte es citées uit.
c
c
io
t
’a
u
n
u
tout
,
q
at
s
par
r
r
r
g
a
, de
Secu
titre
es m
Mag nnelle. L tion et à p a r t i e l l e terdite.
a
in
tio
rédac t d’inform n m ê m e azine est
u
g
o
l
seu b p r o d u c t i ans le ma
e
d
L a r l publié
rie
é
t
a
m
Sécurité du SI :
Le rappel des règles
doit être quotidien !
Marc Jacob : interview de Patrick Bizot, DSI
et de Bruno Boco RSSI de l’IEDOM
CONTENT
Editorial
François Guillot
Sleepless nights in store for the CSO?
Olivier Itéanu, Attorney
Information System Security :
A daily reminder of the rules!
Patrick Bizot (information systems director) and Bruno
Boco (chief security officer), IEDOM
P. 12
« Ma première priorité :
Eviter les Virus ! »
“My top priority is to avoid
viruses!”
Patrick Bacquart, information systems director
of Elvia PCB
Marc Jacob: interview de Patrick Bacquart, DSI d’Elvia PCB
P. 14
Towards a merciless fight against
organized cybercrime?
Vers une lutte sans merci contre le cybercrime organisé ?
Sylvaine Luckx : interview de Catherine Chambon,
Commissaire Principal, responsable de l’OCLCTIC
(Office Central de Lutte contre la criminalité liée aux
technologies de l’information et de la Communication)
P. 17
Pourquoi l’authentification ?
P. 18
Dossier Chiffrement/Authentification :
P. 28
Alertes : Les vers font du
« social Engineering » !
Par Maurice Louis
Catherine Chambon, Chief superintendent
of the OCLCTIC (central bureau for the fight against
communication and information-technology-based crime)
Why is authentication necessary?
By Maurice Louis
Special Feature:
Authentication and encryption
The view of the University
The view of the experts
The view of CSO: Company managers have
their say a supply glut and faltering demand!
Alert: "Worms using social
engineering tricks!"
By Marc Jacob (December 2003 to February 2004)
Career:
- “We want to cover all facets of the
service” Dominique Boumont HA Manager
of Quantic
- “The continuous training department at
ENST Paris expands its training program.”
Serge Krief, in charge of the teaching
program.
Par Maurice Louis et Marc Jacob
Paroles d’Enseignants
Paroles d’Experts
Paroles d’entreprises : une offre pléthorique, une demande hésitante !
Par Marc Jacob
P. 33
Carrières :
Par Marc Jacob
- Dominique Boumont, DRH de Quantic :
« Nous souhaitons couvrir toutes les facettes du service ».
- Interview de Sertge Krief, responsable Formation continue
à l’ENST : « Paris La F.C. de l’ENST Paris enrichit son offre
de formation »
n_003
LISTES DES ANNONCEURS
F-Secure
Microsoft
NetSec
PandaSofrtware France
Tegam
Webcible.com
Xélios
P. 3
p. 26
2ème de couverture
p. 4
3ème de couverture
p. 2
p. 10
4ème de couverture
Le salon de toutes
les solutions de
Sécurité Informatique,
Sauvegarde et
Stockage.
Avec
30 - 31 MARS
et 1er AVRIL 2004
Paris Expo - Porte de Versailles
Pour exposer : [email protected]
Demande d’invitations/programme de conférences : www.groupesolutions.com
L’AGENDA SECURS
Mars
Avril
22-24 mars 2004
Forum Eurosec 2004
14-15 avril 2004
Philadelphia SecureWorld Expo
15ème Forum sur la sécurité des systèmes
d’information organisé par XP Conseil.
Le déroulement du Forum se fera autour de
conférences sur :
• des sujets d’actualité ou des fondamentaux à
longue trajectoire
• des sessions parallèles et des cercles de
réflexion abordant des aspects plus ciblés ou
plus techniques
• des ateliers pratiques avec simulations ou
mises en situation animés par des experts
reconnus.
Renseignement : XP Conseil
Tél.: +33 1 41 05 29 00
Fax : +33 1 41 05 29 05
Email : [email protected]
www.xpconseil.com/eurosec2004/index.htm
Valley Forge Convention Center
Conférence sur la sécurité entre les
utilisateurs privés et publics et les leaders
des technologies.
Renseignement : Secure World Expo
Tél.: 00 1 503 274 09 70
Fax : 00 1 503 224 9771
E-mail : [email protected]
www.secureworldexpo.com
Quels sont les organismes de standardisation
impliqués ?
Quelles architectures réseaux sont proposées ?
Quels sont les produits existants ?
Les experts les plus réputés dans ce domaine
apporteront des réponses techniques
détaillées aux questions relatives à la qualité
de service, la sécurité et le roaming.
Renseignement : Upperside
Tél.: + 33 1 53 46 63 80
Fax : + 33 1 53 46 85
www.upperside.fr
27- 29 Avril 2004
Infosecurity Europe - 2004
Juin
30-31 mars et 1er avril 2004
Paris Porte de Versailles
SETI qui comprend :
FITH Toutes les technologies de l’information
et solutions d’entreprises
ONLINE - SOLUTIONS CRM Internet
e-business et relation client NETSEC Sécurité,
Sauvegarde et stockage PUBLISHING &
IMAGING L’image et le document de la
conception à la diffusion.
Renseignement :
Groupe Solutions Infopromotions
Tél.: +33 1 44 39 85 00
Fax : +33 1 45 44 30 40
www.groupesolutions.fr
Grand Hall Olympia, London - U.K.
Renseignement :
Reed Exposition France
Tél.: +33 1 41 90 47 02
Fax : +33 1 41 90 47 69
www.infosec.co.uk
Mai
25 au 26 mai
Hôtel Sofitel Bercy Paris
Wi-Fi Voice 2004
Aujourd'hui marché de niche, la voix sur
WLAN est appelée à se généraliser
via les offres de VoIP et la diffusion de
systèmes WLAN capables de
supporter la voix.
Quelles sont les perspectives de marché ?
Quelles sont les expérimentations en cours ?
Quelle est la régulation en vigueur ?
1 au 2 juin 2004
Infosecurity Canada - 2004
TBC
Renseignement : Reed Exposition France
Tél.: +33 1 41 90 47 02
Fax : +33 1 41 90 47 69
www.infosecurityevent.com
8 au 10 juin 2004 Paris La Défense
CNIT
Infosec
Renseignement : MCI
Tél.: +33 1 44 53 72 20
Fax : +33 1 44 53 72 22
www.mci-salons.fr/infosec
L’agenda international sur :
www.mag-securs.com
LE
I
S
S
R
E
R
O
C
N
E
A T ’ IL
?
L
I
E
M
M
O
S
U
A
DROIT
Le Responsable de
la Sécurité des Systèmes
RSSI,
d’Information de l’entreprise, dit
nde de
mo
du
tral
devient un personnage cen
rises
rep
ent
l’entreprise. Il est vrai que les
des réseaux et
sont de plus en plus dépendantes
ance exige un
de l’informatique. Cette dépend
pas le cas de la
réseau stable et sécurisé. Tel n’est
Internet n’a pas
voie publique Internet. Le réseau
simplement pas
été créé dans ce but et n’est tout
un réseau sécurisé.
formation
Or, l’ouverture des systèmes d’in
i une
’hu
urd
des entreprises est aujo
de
réalité sur laquelle il paraît difficile
riés,
revenir. L’entreprise, via ses sala
flux
des
r
éch ang e ave c l’ex tér ieu
vent
entrants et sortants. Ces flux peu
type
contenir des éléments malsains de
iillic
us
ten
con
virus ou constitués des
ème
syst
tes. La porte entrouverte vers le
t tenter
d’information de l’entreprise peu
recherche
des individus malveillants à la
d’un accès frauduleux.
pagne d’un
Cette évolution des risques s’accom
ime peut
vict
La
glissement juridique étonnant.
ses éventuelles
désormais, compte tenu de
juridique
défaillances, devenir le responsable
a pourtant
des actes de malveillance qu’elle
subies.
P. 6
© Photo Olivier Iteanu
Olivier ITEANU
Avocat à la cour
Le RSSI coincé
entre le marteau
et l’enclume de la loi
I l l u s t ro n s n o t re p ro p o s d e
quelques exemples. Tout d’abord,
la Loi avec l’article 226-17 du
Code Pénal. Ce texte prévoit que
« Le fait de procéder ou de faire
procéder à un traitement automatisé d'informations nominatives
sans prendre toutes les précautions utiles pour préserver la
sécurité de ces informations et
notamment empêcher qu'elles ne
soient déformées, endommagées
ou communiquées à des tiers non
autorisés est puni de cinq ans
d'emprisonnement et de 300.000
euros d'amende. » En clair, toute
entreprise qui collecte des
données à caractère personnel
dans son système d’information, ce
qui est presque toujours le cas,
endosse une obligation de résultat
sur la sécurité de ces données.
On exige de l’entreprise qu’elle
prenne « toutes précautions utiles ».
Si elle est piratée et que l’acte
de piratage a endommagé ces
données, sa responsabilité pourra
être engagée.Autant le dire tout de
suite, ces précautions utiles sont
essentiellement techniques et du
ressort du RSSI. Autre glissement
révélateur, en jurisprudence cette
fois-ci, l’affaire Kitetoa. Dans un
arrêt rendu par la Cour d’appel de
Paris le 30 Octobre 2002; les juges
ont relaxé un journaliste poursuivi
pour s’être rendu dans des parties
non publiques du site Internet
d’une grande société. La motivation retenue par les juges est sans
ambiguïté : « il ne peut être reproché à un internaute d'accéder ou
de se maintenir dans les parties
des sites qui peuvent être atteintes par la simple utilisation d'un
logiciel grand public de navigation,
ces parties de site, qui ne font
par définition l'objet d'aucune
protection de la part de l'exploitant du site ou de son prestataire
de services, devant être réputées
non confidentielles à défaut de
toute indication contraire et de
tout obstacle à l'accès ». Le
message est clair et il revient à dire
« vous avez négligé votre sécurité,
assumez en les conséquences ».
Un message qui va droit au cœur
du RSSI …
n_003
SÉCURITÉ JURIDIQUE
Mais pour autant, la loi ne laisse pas
au RSSI les mains libres. Il agit dans
sa mission en terrain miné. Par
exemple, les libertés individuelles
et collectives des salariés de
l’entreprise sont une limite. C’est
ce que lui ont rappelé les Tribunaux
dans l’arrêt Nikon : « l’employeur
[le RSSI] ne peut dès lors sans
violation de cette liberté fondamentale prendre connaissance des
messages personnels émis par
le salarié et reçus par lui grâce
à l’outil informatique mis à sa
disposition pour son travail et ceci
même au cas où l’employeur aurait
interdit une utilisation non professionnelle de l’ordinateur ». Sans
quoi, le RSSI se rendrait coupable
du délit de violation de la
correspondance privée prévu par
l’article 226-15 du Code Pénal et
puni de un an d'emprisonnement
et 45.000 euros d’amende.
D’un côté, on exige du RSSI des
prouesses techniques, de l’autre on
semble le brider dans son action. Il
est évident que la difficulté est
passagère et que Loi et Tribunaux
d ev r a i e n t d o n n e r d a n s l e s
prochains mois un nouvel équilibre
à la fonction. Dans l’intervalle, le
RSSI vit comme les remous de la
situation. Comment peut il dès lors
limiter son risque ?
De quelques
précautions
juridiques à prendre
Lorsqu’il est internalisé, le RSSI a
un contrat de travail comme tout
salarié.
n_003
Ce contrat devra être particulièrement soigné. En premier lieu, le
périmètre de la fonction devra
être très précisément décrit. Dans
l’hypothèse où ce périmètre venait
à évoluer, un avenant devrait être
signé avec l’employeur. Le contrat
devra également préciser la
situation hiérarchique du RSSI : en
clair, le RSSI devra reporter son
travail à un supérieur disposant
d’un pouvoir de décision suffisant
pour faire face à des situation de
crises aigues. Le RSSI devra être
soumis à une clause de confidentialité spécifique. Celle-ci rappellera qu’il ne peut lui être demandé
de violer la correspondance privée
de salariés au sein de l’entreprise
et que s’il a connaissance de contenus personnels aux salariés dans sa
mission de surveillance (hypothèse
plus que plausible), il n’a pas
d’obligation à le rapporter à son
employeur.
La possibilité de déléguer les
pouvoirs à un RSSI est une tentation forte de la part des directions
générales, face à un risque pénal
accru. Le RSSI devra veiller à ce
que cette délégation, pour être
valide, réponde à trois critères
cumulatifs. En premier lieu, le
délégataire doit disposer de
l’autorité suffisante pour agir de
manière autonome. Il doit également disposer des compétences
dans sa fonction : une formation
adéquate et complémentaire peut
être à tout moment exigée. Enfin,
et peut être surtout, il doit
disposer des moyens de son action
autonome. C’est souvent sur
l’attribution des moyens que le bât
blesse. Ainsi, la validité d’une
délégation en matière d’hygiène et
de sécurité a été refusée au motif
que le salarié ne disposait pas de la
faculté de passer seul les commandes de matériel de sécurité. Dans
un autre cas,la même solution a été
retenue au motif que le salarié
pouvait passer quelques commandes pour des fournitures courantes mais ne disposait pas d’un
p o u vo i r a u t o n o m e p o u r l e
matériel de sécurité faisant défaut.
La délégation doit être écrite et
elle doit être unique. Si la délégation a été donnée deux fois, elle
peut provoquer des interférences
et « restreindre l’autorité » des
délégataires.
Oui, il serait très exagéré de
dire que le RSSI n’a plus droit au
sommeil, mais... d’un œil seulement.
Sleepless nights in
store for the CSO?
The chief security officer, or CSO, is becoming a central figure
in the business environment as companies become increasingly dependent on computer networks. This dependency
means that these networks have to be stable and secure.
However, this is not the case for the public Internet because
it simply wasn’t set up as a secure network in the first place.
Nevertheless, external access to company information systems is now a reality and it would be difficult to turn the clock
back. Companies send and receive information to and from
the outside world through their employees and this information flow can contain undesirable elements in the form of
viruses or illegal content. The entry point to a company’s
information system is a half-open door, which could tempt
unscrupulous individuals to seek unauthorized access.
The changing risk situation is accompanied by some quite
extraordinary legal developments. As of now, the victim can
be held legally responsible for having failed to take the necessary measures to prevent the malicious attack to which he
has been subjected.
P. 7
DOM :
uno Boco (RSSI) de l’ IE
Br
et
)
SI
(D
t
zo
Bi
k
ic
rt
Pa
:
I
S
u
d
E
t
i
r
SEcu
Le rappel des rEgles
doit Etre quotidien b!
Propos recueillis par Marc Jaco
© Photo IEDOM
Patrick Bizot
DSI
MS : Pouvez-vous nous présenter
l’IEDOM et son organisation ?
Patrick Bizot : l’IEDOM est
l’Institut d’Emission des
Dépar tements d’Outre Mer.
Nous dépendons directement de
la Banque de France. D’ailleurs,
notre conseil de surveillance est
présidé par le Gouverneur de la
Banque de France. Notre institut a
de multiples fonctions. Notre
première mission est d’agir en tant
que banque centrale « au nom,
pour le compte et sous l’autorité
de la Banque de France ». C’est la
formule consacrée. Nous nous
occupons de la mise en circulation
des billets et de la monnaie métallique, de leur qualité et de leur
destruction. Nous sommes aussi
un relais des autorités bancaires
européennes et nationales. Nous
P. 8
L’Institut d’Emission des Départements d’Outre Mer
situé dans le 12ème arrondissement de Paris est le
pivot du système bancaire des DOM. Cet organisme
peu connu est pourtant le représentant unique de
la Banque de France dans les six collectivités qu’il
gère: Réunion, Martinique, Guadeloupe, Guyane,
Mayotte et Saint-Pierre et Miquelon. Partick Bizot
son DSI et Bruno Boco son RSSI, nous font découvrir
cet établissement pour lequel ils assurent le fonctionnement du SI avec méthode et rigueur.
avons des missions d’intérêt
général telles que la gestion des
comptes du Trésor Public, le secrétariat des commissions d’examen
des situations de surendettement
et la collecte des informations
concernant le calcul du taux de
l’usure dans notre zone d’intervention. Enfin, nous avons un rôle
d’observatoire économique dans
notre zone de compétence. Nous
assurons un suivi de la conjoncture
de notre zone d’intervention à
l’aide d’enquêtes.
MS : Comment avez-vous organisé
votre service informatique ?
Patrick Bizot : Vingt deux
personnes travaillent pour les
Systèmes d’Information de l’IEDOM
dont dix à Paris et douze réparties
dans les agences (excepté à Saint-
Pierre et Miquelon et à Mayotte
qui n’ont pas d’informaticiens
permanents). Au siège se trouvent
la Direction Informatique de
l’Institut, le Pôle Etude et
Développement de l’IEDOM ainsi
qu’un Pôle Support Exploitation
et Réseaux.Au niveau des agences,
les services informatiques sont
principalement des centres de
production.
Nous avons une organisation dans
laquelle les fonctions de DSI et de
RSSI sont clairement séparées
même si bien entendu nous
agissons de concert. En tant que
DSI, je dois mettre en œuvre les
directives du RSSI (Bruno Boco).
Le RSSI quant à lui définit les règles
de sécurité.
MS : Comment avez-vous organ_003
MS : Quels sont les partenaires,
fournisseurs, opérateurs, intégrateurs, pour faire fonctionner vos
réseaux ?
Patrick Bizot : Une grande partie de notre SI utilise encore un
réseau X25. Historiquement, il
assurait la connexion entre nos
mainframes BULL du siège et des
agences. Nous utilisions Equant
comme opérateur du fait de nos
situations géographiques.
Aujourd’hui, le SI de l’IEDOM est
en pleine évolution. D’ici la fin du
premier trimestre 2004 nous
aurons basculé notre réseau X25
d’interconnexion siège/agences
vers du VPN ADSL (nous utilisons
n_003
MS : Quel budget représente
votre système d’information ?
Patrick Bizot : Notre budget
annuel est de l’ordre de 2 millions
d’euros.
MS : Comment voyez-vous les
questions de sécurité ?
Bruno Boco : Nous avons mis en
place une nouvelle approche
depuis deux ans. Avant, le système
était départementalisé : il y avait
une gestion locale et donc une
certaine indépendance en termes
de choix de solutions. Nous avons
redéfini une nouvelle démarche
mettant en avant une stratégie de
fédération des systèmes. Notre
approche se veut globale et
transversale avec des choix qui
sont été arrêtés au niveau central
puis déployés et appliqués au
niveau de chaque site. Nous avons
défini des principes généraux avec
une charte, des règles et usages
à respecter notamment sur la
confidentialité des mots de passe.
Afin de mieux appréhender notre
situation, nous avons effectué un
audit de notre SI. Les résultats
nous ont conforté dans notre
démarche. Ils ont validé la poursuite de nos efforts en termes de
protection environnementale. Une
particularité de notre SI est sa
dispersion géographique. Celle-ci
ne facilite pas la mise en œuvre
stratégie de communication en vue
d'une meilleure sensibilisation des
utilisateurs. La sécurisation des SI
est un processus long qui nécessite un rappel régulier des règles et
procédures, d’où l'importance du
rôle de nos GLS. Notre démarche
n’est pas achevée et je pense
que le domaine est par essence
toujours perfectible.
Patrick Bizot : En terme de
matériels, nous avons « toute la
batterie d’outils habituelle » :
Proxy, Firewall à deux niveaux
(chez notre fournisseur d’accès et
un sur notre serveurs), anti-virus,
anti-hoaxes, anti-spams, login, mots
de passe … mais, je pense qu’une
politique de sécurité doit aussi, et
même surtout, mettre l’accent sur
la sensibilisation du personnel.
INTERVIEW
des routeurs CISCO ainsi que
du matériel BINTEC dans nos
agences). Dans les DOM et les
Collectivités Territoriales, nous
avons toutefois du mal à trouver
des offres de services réseaux
aussi diversifiées qu’en métropole.
Il n’y a pratiquement pas d’opérateurs alternatifs. Par exemple,
même France Telecom n’offre pas
de point d’accès ADSL à Mayotte
et à Saint-Pierre-et-Miquelon pour
des raisons de rentabilité. Pour
la mise en place de notre VPN,
c'est-à-dire le paramétrage des
routeurs et l’installation d’un
système de supervision à distance,
nous avons fait appel au Groupe
SIRIUS, une société très présente
dans les DOM qui comprend bien
nos difficultés locales et qui sait
nous apporter des solutions bien
adaptées.
Autre évolution d’importance en
voie d’achèvement : le remplacement de nos architectures systèmes Unix et GCOS 7 (Bull
DPS7000) par du full WINDOWS
Server.
© Photo IEDOM
nisé votre système d’information ?
Patrick Bizot : Nous avons en
fait deux systèmes d’information
complémentaires. Le premier est
celui de la Banque de France.
Le second est propre à notre
établissement. Notre SI traite
trois métiers : La comptabilité et la
finance, les études et statistiques
économiques et pour une partie
des collectivités (Mayotte et SaintPierre-et-Miquelon), la gestion
d’un fichier réglementaire des
comptes bancaires des particuliers
et des entreprises qui correspond
au FICOBA (Fichiers des comptes
bancaires de la Direction Générale
des Impôts). Notre Système
d’Information est distribué.
C'est-à-dire que nous avons une
consolidation au siège et une
distribution locale sur nos six
agences. De ce fait, c’est à la fois un
système central et local. Au siège,
nous fixons la politique et la
stratégie informatique globales
tant à mon niveau qu’à celui du
RSSI.
Bruno Boco : J’ajouterais que
nous avons des relais dans chaque
site qui assurent la mises en œuvre
et le suivi des directives de
sécurité; ce sont nos collègues du
Contrôle interne dans leurs
fonctions de Gestionnaires Locaux
de Sécurité (GLS).
Bruno Boco
RSSI
Patrick Bizot (information systems
director) and Bruno Boco
(chief security officer),
IEDOM : Information System
Security : A daily reminder
of the rules!
The IEDOM is a French public institution, which works for
and under the Banque de France in the French overseas
départements. It is located in the 12th arrondissement in
Paris and is the hub of the banking system for the overseas
départements This little-known organization is however the
only Banque de France representative in the six local-body
areas in which it operates: Réunion, Martinique, Guadeloupe,
Guyana, Mayotte and Saint-Pierre and Miquelon. Patrick
Bizot, the information systems director, and his chief security
officer, Bruno Boco, present the organization and the
methodical and rigorous approach which they bring to the
information systems function.
P. 9
MS : Et pour le risque interne ?
Bruno Boco : Nous avons mis en
place une charte permanente dans
le domaine de la sécurité. Nous
avons tout de même, en tant qu’établissement bancaire, une culture
de la sécurité. Dans tous les cas,
nous avons en interne un triple
niveau de contrôle.
MS : Quelles sont vos priorités ?
Bruno Boco : Nous sommes très
attentifs à la continuité de service
et notamment à la gestion des
sauvegardes. Il nous faut développer les mesures préventives
(travail en amont) pour éviter
justement de recourir aux mesures d’urgence. Il faut sans cesse
anticiper, approfondir et améliorer
nos dispositifs.
MS : Subissez-vous régulièrement
des attaques ?
Bruno Boco : Comme dans pas
mal d'entreprises : Mydoom est
arrivé mais il est reparti bredouille !
MS : Ces attaques ont-elles occasionné des conséquences négatives (indisponibilité momentanée)
sur votre réseau ?
Patrick Bizot : Non, nous n’avons
jamais eu de problème de ce type.
MS : Procédez-vous régulièrement à des audits de vos vulnérabilités et si oui quel système
utilisez-vous ?
Bruno Boco : Bien sûr. Dans le
cadre du dernier audit, nous avons
n_003
acquis un produit de chez ISS.
Celui-ci permet de renouveler
régulièrement des analyses de nos
réseaux dans le but d’améliorer
nos principes de sécurité.
MS : Avez-vous des projets
d’investissement dans le domaine
de la sécurité pour 2004 ?
Bruno Boco : Cette année, nos
principaux investissements sont la
mise en place du VPN et l’achat
de matériels pour poursuivre
l'uniformisation de notre SI.
MS : Actuellement dans de
nombreuses administrations les
DSI se tournent vers Linux, qu’en
pensez-vous ?
Patrick Bizot : Nous y avons
réfléchi mais nous sommes une
trop petite équipe pour nous
orienter vers ces solutions. La mise
en place de Linux nécessite un
investissement important en
terme d’acquisition de compétences
qui ne figure pas dans nos priorités
actuelles.
De plus, le problème de Linux et
des Open Sources en général est
la difficulté pour maîtriser leurs
é vo l u t i o n s ; p o u r p re u ve l e
développement actuel de sociétés
spécialisées dans la TMLL (Tierce
Maintenance de Logiciels Libres) !
MS : On a l’habitude d’entendre
que le DSI et/ou le RSSI sont dans
« des tours d’ivoire » qu’en
pensez-vous ?
Patrick Bizot : Dans une structure de taille moyenne comme la
notre, le DSI n’a guère l’occasion
de s’isoler dans cette fameuse
« tour d’ivoire », peut-être
fréquentée par certains de mes
confrères !
Effectivement, nous ne sommes
pas toujours perçus par nos
utilisateurs comme des « facilitateurs » au quotidien! Il est vrai que
dès qu’on essaie d’imposer des
règles et des méthodes relativement strictes cela pose quelques
problèmes de compréhension. Ces
INTERVIEW
D’ailleurs, tous les ans nous organisons un séminaire de sensibilisation des responsables informatiques régionaux dont un des
thèmes est la sécurité. L’IEDOM
est membre du groupe Bouhot
LeGendre (Gar tner Group)
dans le cadre du Cercle des
Informatiques du Secteur Public
(CISP) qui est pour nous une
source importante d’échanges et
de réflexions notamment sur la
Sécurité.
dernières peuvent être d’autant
plus contraignantes que les
« métiers » que nous gérons sont
sensibles !
Bruno Boco : Il est vrai que nos
utilisateurs recherchent des outils
très pratiques. Ils oublient trop
souvent que derrière une belle
ergonomie graphique, il y a une
technologie complexe qui véhicule
ses propres failles et peut donc
être source de « bugs». La vigilance
et la rigueur sont justifiées mais
pas toujours comprises. Par
ailleurs, nous nous devons de
rappeler les règles de sécurité
surtout avec l’avènement de
l’Internet. Par exemple, ils oublient
qu’en « surfant » sur le web, ils
laissent des traces comme celle de
notre domaine « …@ iedom.fr ».
Ce nom est celui de notre
entreprise qui doit être irréprochable du point de vue de l'éthique
et de la moralité.
IEDOM en chiffres :
6 Départements ou Collectivités d’Outre Mer :
Guadeloupe
Guyane
Martinique
la Réunion
Saint-Pierre-et-Miquelon
Mayotte
300 personnes
450 postes informatiques
300 connectés au réseau interne
150 connectés au réseau de la Banque de France
Nombre de sites : 7
Opérateur : Equant et France Telecom (ADSL)
Routeurs : Cisco et Bintec
Anti-virus :Trend
Patrick Bizot
Âge 44 ans
Poste DSI
Bruno Boco
Âge 49 ans
Poste RSSI
P. 11
ia PCB :
art ,
v
u
l
q
’E
c
d
a
B
e
Patrickur Informatiqu
Directe
E
t
i
r
o
i
r
p
e
r
E
i
m
e
r
!
p
s
u
Ma
r
i
V
s
Eviter le
Marc Jacob
Propos recueillis par
MS : Pouvez-vous nous présenter
Elvia-PCB et son organisation ?
PB : ELVIA Printed Circuit Boards
est un ancien site de production
d’Alcatel dédié à la production de
Circuits Imprimés multicouches
de hautes densités (Lamination
séquentielle , perçage laser,
Flex-rigid, etc …). Nos marchés
sont principalement les télécommunications, l’avionique, le militaire
et l’informatique.
Filialisé en 2000, nous venons tout
juste de prendre notre indépendance, puisque l’usine a été rachetée dans le cadre d’un MBO par le
PDG Bruno Cassin et quatre cadres de la Direction. Nous sommes
à ce jour le plus important site de
production en France.
MS : Vous venez de racheter
l’usine d’Alcatel Coutances, quels
sont vos projets ?
PB : Personnellement, je ne fais
pas partie des acheteurs. Mais pour
Elvia, la priorité est d’augmenter sa
présence en France et en Europe
sur les marchés « hors Alcatel »
pour inverser sur trois ans le poids
d’Alcatel dans notre C.A. Nous
sommes aussi présents dans la
zone dollar, mais la parité euro/
dollar actuelle nous freine pour
l’instant.
P. 12
-Circuit Board
Elvia Printed
e production
ancien site d
s
s imprimé
de circuit
ient d’être
d’Alcatel v
se s ca d re s.
ra ch e té p a r
e 160 person
Cette usine d
u
un résea
nes abrite
h é té ro g è n e ,
to ta le m e n t
uar t, respon
Patrick Bacq
u
o
a ti q u e n s
sa b le In fo rm
se a u et se s
d éc ri t so n ré
2004.
projets pour
MS : Comment avez-vous organisé votre système d’information ?
PB : Notre système d’information
repose sur un réseau éthernet 10
ou 100 mégabits. Nous avons
installé des baies réseaux qui
dialoguent entre elles à une vitesse
de 1 gigabits. Sur notre architecture
sont connectés 160 équipements
divers dont 70 postes de type
PC bureautique. Concernant nos
systèmes d’exploitation nous
avons un réseau totalement hétérogène : l’ERP fonctionne sur un
VAX/VMS ; les PC de bureau sont
sous Windows ; les équipements
de CFAO utilisent différentes
versions d’UNIX et de LINUX.
L’authentification sur le réseau
est gérée par un domaine sur un
serveur Windows.
MS : Quel budget représente
votre système d’information ?
PB : Jusqu’à présent notre budget
était d’environ 300.000 euros hors
salaires. Ce qui représente environ
1% de notre chiffre d’affaires.
MS : Quels sont les partenaires,
fournisseurs, opérateurs, intégrateurs, pour faire fonctionner vos
réseaux ?
PB : Nous n’avons pas de prestataire. Nous réalisons tout en
interne. Nous faisons appel ponctuellement à des prestataires pour
l’installation de nouvelles applications.
MS : Comment voyez-vous les
questions de sécurité ?
PB : Pour notre organisation, la
sécurité est un point important à
ne pas négliger mais nous ne
sommes pas des paranoïaques.
Historiquement, nous étions
connectés au réseau d’Alcatel avec
une liaison spécialisée. La sécurité
était donc « gérée » par Alcatel
notamment en ce qui concerne
la messagerie. Nous utilisons
n_003
maintenant notre ligne ADSL pour
communiquer avec « l’extérieur ».
Sur cette ligne nous avons classiquement installé un routeur, un
anti-virus, un Proxy ainsi qu’un
pare-feu. Ce dernier fonctionne
sous Linux : c’est un soft installé
sur un PC qui jusqu’à présent nous
a permis d’éviter un grand nombre
d’attaques virales en particulier
celle de la fin janvier 2004.
MS : Quelles sont vos priorités ?
PB : Ma première priorité est
d’éviter les virus ! Jusqu’à présent
nous y avons réussi.
MS : Quels sont les risques les
plus forts ?
PB : Les risques les plus important
sont les mails que nous recevons
et les portables de nos collaborateurs qui viennent se connecter
sur le réseau.
MS : Subissez-vous régulièrement
des attaques et de quels types
(virus, intrusion, Spam, sur la
vulnérabilité des équipements…) ?
Ces attaques ont-elles occasionné
des conséquences négatives
sur votre réseau en terme par
exemple d’indisponibilité de
réseau ?
PB : Les tentatives d’intrusion de
virus et autres vers sont courantes, mais nos solutions anti-virales
remplissent parfaitement leur rôle.
Aucune autre intrusion n’a été
détectée en aval du pare-feu.
Pour les spams, nous ne sommes
pas concernés à ce jour, car cela
n_003
reste marginal. J’ai une solution
anti-spams disponible, mais je ne
l’activerai que si nécessaire.
MS : Procédez-vous régulièrement à des audits de vos vulnérabilités et si oui quel système
utilisez-vous ?
PB : Non pas régulièrement. J’ai
juste une application qui surveille
les flux sur le réseau. En fait, notre
pare-feu est configuré de telle
manière que nous avons parfois du
mal à envoyer certains types de
fichiers. Par exemple, nous avons
bloqué quasiment tous les accès
FTP sortant et entrant pour
l’ensemble du personnel.
MS : Avez-vous des projets
d’investissement dans le domaine
de la sécurité pour 2004 ?
PB : Nous avons plusieurs projets
d’investissement pour 2004. Tout
d’abord nous allons réaliser une
messagerie car celle d’Alcatel bien
sûr a été supprimée. Aujourd’hui
nous utilisons une solution provisoire via un hébergeur. Nous souhaitons donc la réaliser en interne.
Je suis d’ailleurs en phase de prospection. Notre second projet, qui
est même le plus important pour
cette année, est un changement
d’ERP. Nous devrons d’ailleurs,
à cette occasion revoir notre
sécurité pour mettre en place des
liaisons de type VPN.
MS : La sécurité informatique
est-elle un avantage concurrentiel ?
PB : A mon avis dans notre
domaine, la sécurité n’est pas un
avantage concurrentiel mais plutôt
un des éléments du système
d’information.
Elvia PCB en chiffres :
Personnes 215
Postes informatiques 160 dont 70 PC
switchs - routeurs - équipements de production
Anti-virus :Trend Micro
Firewall : Netmax
Cœur de réseaux :Alcatel
Nombre de sites 1 à Coutances (50)
Personnes au service Système d’information : 1
Patrick Bacquart
Âge : 33 ans
Diplômes :
Ecole National d’Ingénieur de Tarbes +
DESS CAAE IAE Caen
Carrière :
1995 Philips Evreux
1999 Alcatel aujourd’hui Elvia.
My top priority is to
avoid viruses!
Patrick Bacquart,
information systems director, Elvia PCB
Elvia Printed-Circuit Board, the former Alcatel
PCB production site, has just been bought by the
management staff.The factory employs 160 people
and has a completely heterogeneous network.
Patrick Bacquart, who is in charge of information
technology, describes the network and outlines his
plans for 2004.
P. 13
INTERVIEW
PCB
© Photo Elvia-
Catherine Chambon
Commissaire Principal,
responsable de l’OCLCTIC
(Office Central de Lutte contre
la criminalite liee aux technologies
de l’information et de la Communication)
Vers une lutte
sans merci contre
le cybercrime organise ?
Propos recueillis par Sylvaine Luckx.
© Photo SL
Discrète, peu loquace, Catherine
Chambon n’aime pas les sunlights.
Cette femme à poigne, que l’on
devine inflexible sous un dehors
effacé, préside depuis 2001 aux
destinées de l’OCLCTIC (Office
Central de Lutte contre la
Criminalité liée aux Technologies
de l’Information et de la
Communication). Au moment où
les attaques logiques se sont
multipliées sur les systèmes
d’information, il nous a paru
intéressant de connaître l’avis
d’une spécialiste de la traque du
cybercrime.
Mag Securs : Même créée depuis
plus de deux ans, l’OCLCTIC reste
une structure relativement peu
connue hors des cercles de police,
et notamment mal identifiée par les
responsables de systèmes d’information. Quels ont exactement ses
objectifs ?
Catherine Chambon : L’OCLCTIC est rattaché à la sous-direction
des Affaires Economiques et
Financières de la Direction Centrale
de la Police Judiciaire, laquelle
dépend directement du Ministère de
l’Intérieur. L’Office a pour principale
P. 14
mission la mise en œuvre opérationnelle de la lutte contre la criminalité
liée aux technologies de l’information, et, sur tout le territoire national. Il assure aussi un rôle de soutien
à la police, à la gendarmerie, aux
Douanes, à la DGCCRF (Direction
Générale de la Concurrence et de la
Répression des Fraudes) sur tous les
sujets qui mettent en œuvre les
NTIC. Il a aussi un rôle d’information
et de sensibilisation auprès des
entreprises et du public. Une impulsion particulière a été donnée à une
approche partenariale dans la lutte
contre des fraudes technologiques.
Il est né en fait d’un service préexistant, la Brigade Centrale de
L u t t e c o n t re l a C r i m i n a l i t é
Informatique, qui avait été créée
dans un but très précis, et notamment pour répondre aux besoins
des services financiers de police
d’effectuer des recherches dans le
domaine informatique. Bref, c’est
l’Office qui joue un rôle de pivot,
au niveau national et en terme
de coopération internationale,
sur la lutte contre le crime
informatique.
n_003
Catherine Chambon, grande patronne de la lutte contre le
cybercrime, a suivi la filière d’études classique de tout commissaire de police. Après l’école des Commissaires de Police au
Mont d’Or, elle opte pour la PJ (Police Judiciaire), et devient
commissaire de police à Orléans. De 1991 à 1993, elle est mutée
aux Affaires Criminelles. Ce jeune commissaire, que rien ne
rebute, et surtout pas la difficulté, rejoint ensuite la Division
Financière de la Police Judiciaire en Corse de 1994 à 1996. Elle
devient ensuite adjointe à la l’Office Central de Répression du
Faux Monnayage, et rejoint l’OCLCTIC dont elle prend les
rênes en 2001.
De ces différentes expériences, et notamment dans le domaine
financier, elle retire une conviction très forte qu’elle n’a de cesse
de marteler : il faut privilégier une approche transversale du
crime organisé : pas un réseau criminel n’existe sans un financement, sans des moyens ou une organisation. Et les nouvelles
technologies constituent un terrain de prédilection pour ces
domaines.Autrement dit, il faut croiser les approches (informatiques et financières via les réseaux bancaires, notamment), pour
mener des opérations de lutte véritablement efficaces.
Des attaques
de plus en plus
organisées
MS : Les affaires récentes de machines infectées par des vers (MyDoom
et autres) ont fait penser à des
attaques extrêmement organisées,
peut-être menées à un niveau international. Qu’en pensez-vous ?
CC : Il nous parait évident qu’il y a
derrière ces attaques, notamment au
niveau des vers, des organisations
constituées : les spécialistes de ce
type d’attaques ont souligné qu’ils
pensaient qu’il y avait une ou des
structures puissantes derrière ces
offensives, de par leur niveau et leur
potentiel. Sur des attaques de ce
niveau, nous n’avons plus affaire à des
pirates du dimanche qui s’amusent,
mais bien à des réseaux extrêmement structurés. S’y attaquer un
niveau strictement national est une
gageure.
MS : Doit-on pour autant parler de
cyberterrorisme ?
CC : Ces notions ne sont surtout
pas à exclure, mais il faut en parler
avec une extrême prudence. On ne
peut pas parler de terrorisme sans
n_003
que des bombes aient explosé, et le
cyberterrorisme supposerait une
attaque organisée, et à grande
échelle, des systèmes d’information.
Maintenant, comme je vous l’ai déjà
dit, rien n’est à exclure dans ce
domaine, et nous prenons toutes ces
affaires avec le plus grand sérieux, et
professionnalisme.
Vers
une coopération
internationale
renforcée
MS : Cette question pose aussi celle
de la coopération internationale
renforcée. Quel est le rôle de
l’OCLCTIC dans ce domaine ?
CC : Vous avez raison, la coopération internationale s’est renforcée
de manière significative dans la lutte
contre le crime informatique. Il y a
une forte réactivité des Etats sur ce
sujet. En ce qui concerne l’Office,
nous collaborons avec les instances
du G8, et des organismes policiers
internationaux comme Interpol et
Europol.A l’occasion de la signature
de la convention « cybercrime », en
novembre 2001 à Budapest, les Etats
signataires ont décidé de créer un
réseau avec des points de contacts
nationaux opérationnels 24h/24, que
l’on a baptisé « réseau H 24 ».
L’Office est le point de contact H 24
pour la France, par exemple. Il ne
faut surtout pas sous-estimer l’intérêt que les différents Etats portent à
ce sujet. Il y a actuellement beaucoup
de discussions au niveau national et
international, et de plus en plus
d’interlocuteurs sont concernés.
C’est un sujet qui, au niveau international, est en pleine évolution. On ne
peut pas lutter au niveau local contre
la cybercriminalité.
Catherine Chambon
Chief superintendent of the OCLCTIC (central
bureau for the fight against communication
and information-technology-based crime)
Towards a merciless fight
against organized
cybercrime?
Discrete and not very talkative, Catherine Chambon doesn’t like
the limelight. In charge of the OCLCTIC (central bureau for the
fight against communication and information-technology-based
crime) since 2001, this firm-handed, yet modest woman, gives
the impression of being unbending in her resolve. At a time of
increasing software attacks on information systems, we thought
it would be useful to have the opinion of a specialist in cybercrime investigation.
p. 15
INTERVIEW
Des commissariats de
police a la lutte contre le
cybercrime
des vers de plus en plus
dangereux
Les bulletins d’alertes du CERT Renater pour la deuxième
semaine de février sont particulièrement éloquents, et laissent
une place sans équivoque aux dégâts du vers/ virus MyDoom et
de ses dérivés. Deux nouvelles variantes sont apparues après
les ravages causés par MyDoom A et B. Il s’agit, selon le CERT,
de Vessel/Dead/Hat-A, suivie d’une version plus récente et
similaire B. Ces vers scannent le réseau, tente de se connecter
sur les ports infestés par MyDoom, installent une « backdoor »,
se mettent en écoute sur le port 2766/tcp et attendent les
connexions clientes.
DoomJuice/myDoom.C ne repère ses cibles qu’au moyen de
scans sur le port TCP (3127), et est capable de lancer une
attaque en déni de service sur le site www.microsoft.com. De
plus, il installe sur chaque système qu’il infecte le code source
du vers MyDoom.A
Enfin, DoomHunter tente de nettoyer les systèmes infectés par
MyDoom A ou B. Il a mis fin aussi aux processus associés à
Blaster.
Sur les statistiques virales du CERT Renater, on compte, pour la
deuxième semaine de février, 128516 virus interceptés sur
491167 mails (soit plus d’un quart des mails infectés...) Le
vers.virus MyDoom A obtient largement la palme, avec 122380
mails infectés.
MS : On a l’impression que, côté
entreprises, l’attitude est plus timide,
et la prise de conscience du risque
est moindre...
CC : Je pense qu’avec les récentes
affaires qui ont eu lieu, les entreprises vont commencer à avoir envie
de se protéger, et ne vont plus
sous-évaluer ce risque ! Mais vous
avez raison : lorsque nous renconp. 16
trons des RSSI (responsables de la
sécurité des systèmes d’information
dans les colloques), nous essayons de
leur faire passer deux messages
principaux : le premier, c’est d’être
moins timide au niveau de la
plainte : lorsqu’une entreprise est
attaquée, elle rechigne à le faire
savoir, alors que nous pourrions
l’aider, et lutter ainsi avec plus
d’efficacité contre le crime informatique, qui, je vous le rappelle, est très
difficile à chiffrer : on parle toujours
du fameux « chiffre noir » des
attaques (cf Mag Securs N°1,
interview de Pascal Courtin), mais
en pratique, il est très difficile à
connaître de manière précise. Il est
d’autant plus difficile à évaluer, que,
dans la plupart des attaques isolées
d’entreprise (je parle de piratages
et non pas d’attaques logiques,
comme les vers et autres Chevaux
de Troie), elles sont le plus souvent
le fait d’anciens salariés malveillants
qui veulent se venger de leur
société. Et les entreprises ne sont
pas très enclines à faire de la
publicité sur ce sujet !
Le deuxième message que je
voudrais faire passer aux RSSI , c’est
qu’il est indispensable d’augmenter
le niveau de sécurité de leur
entreprise, en ne rognant, ni sur les
budgets de la sécurité, ni sur les
budgets de la maintenance informatique. Une simple sous-évaluation du
problème peut leur coûter très cher,
et les entreprises françaises sont
parfois trop vulnérables et pas assez
sensibles à ce sujet..
MS : C’est au niveau des directions
générales que ce type de message
doit passer...
CC : Il faut que les directions
générales en prennent conscience, et
que les RSSI en soient les relais
permanents. C’est sûrement difficile,
mais une partie de la pérennité de
l’entreprise passe par une politique
de sécurité accrue...
n_003
?
n
o
i
t
a
c
i
f
i
t
hen
t
u
a
’
l
i
o
u
q
r
Pou
Par Maurice Louis
Jusqu’à présent réservé à des applications très peu
nombreuses, l’authentification est pourtant un besoin
essentiel pour faire fonctionner convenablement l’économie
numérique. Une prise de conscience des risques et des
besoins devrait permettre de créer un véritable marché.
L’émetteur
peut être
un usurpateur
Le problème de l’authenticité des
émetteurs d’e-mail est plus
critique que ne le pense la majorité des utilisateurs de courriers
électroniques. Aujourd’hui, tout
utilisateur, ou presque, considère
qu’un e-mail avec un sujet cohérent émane effectivement de la
personne ayant mis son adresse email dans le champs émetteur.
Il n’en est rien. Pour envoyer un
e-mail avec une adresse d’émetteur fantaisiste, tout utilisateur
d’Outlook n’a qu’à créer un
nouveau compte e-mail : Menu
Outils – Comptes, puis ajouter
courrier. Là, il peut saisir une
identité au gré de son humeur du
moment, fantaisiste ou usurper
une identité existante. Dans le
choix des serveurs, il prendra, par
exemple un serveur POP3. Pour
le serveur entrant, il mettra
n’importe quoi et ne pourra pas
recevoir les mails du compte créé.
Pour le serveur sortant, il lui
suffira de déclarer un serveur smtp
existant d’un grand ISP. Il ne
sélectionnera pas l’option
d’authentification sécurisée, ce qui
ne posera pas de problème. Très
peu d’ISP la requière aujourd’hui. Il
aura ainsi créé un nouveau compte
e-mail, fantaisiste ou usurpé, et
pourra envoyer les messages qu’il
veut à qui il veut en se faisant
passer pour un autre. Le serveur
smtp par lequel il transitera sera
celui de l’ISP qui lui fournit un
accès Internet, ou de n’importe
quel ISP qu’il squattera.
n_003
La personne qui répondrait à un
e-mail ayant usurpé une identité
retournerait sa réponse au
véritable propriétaire de l’e-mail
qui, lui, n’aura rien envoyé.
Une telle usurpation peut toutefois
se retourner contre son auteur.
Le message envoyé comprend,
dans ses propriétés, des indications
sur le serveur smtp emprunté.
Il est ensuite possible retrouver
l’adresse IP de l’émetteur en
interrogeant ce serveur et de
poser quelques questions à
son utilisateur. Les mauvais
plaisantins doivent donc être
conscients du risque qu’ils
encouraient à faire n’importe
quoi.
Des risques
réels
Aujourd’hui, de nombreux vers
utilisent cette possibilité d’usurpation d’identité pour envoyer de
faux e-mails ressemblant à des
vrais. Si vous recevez un e-mail
provenant, apparemment, de votre
collègue de bureau avec pour titre
« Notre document de travail » et
une pièce jointe, il est tout à fait
possible que vous l’ouvriez sans
crainte. Or, ce faux mail peut
contenir une pièce jointe exécutant un programme. Les vers qui
ont fait l’actualité de ce début
d’année ont pour objet principal
de se reproduire. Un e-mail avec
une identité usurpé peut aussi
permettre à un hacker d’ouvrir
discrètement un port sur votre
PC pour ensuite en prendre le
contrôle.
Une nouvelle
dynamique
de marché
Pour de nombreuses applications
professionnelles, il n’est pas concevable de courir le risque de se faire
submerger par des problèmes de
gestion de fausses identités. Il faut
donc recourir à des moyens
d’authentification fiables. Ce
besoin n’est pas aujourd’hui pris en
compte dans la grande majorité
des entreprises. C’est un danger
qu’il ne faut pas ignorer.
L a t e n d a n c e d u m a rc h é d e
l’authentification va cependant
peut-être évoluer prochainement
très rapidement. D’une part les
attaques répétées des virus
mettent en évidence des risques
que les dirigeants ne peuvent pas
ne pas voir. La prise de conscience
d’un danger est donc en train de
se faire. D’autre part, les administrations ont beaucoup à gagner au
passage à l’administration électronique. Elles vont alors imposer les
moyens d’authentification nécessaires au bon fonctionnement du
système. Et ainsi, les systèmes
d’authentification devraient se
mettre en œuvre à grande échelle.
Why is authentication
necessary?
Authentication is essential if the digital economy is to function correctly, but until now, it has been limited to a very
small number of applications. .
Greater awareness of the risks and requirements should
allow this market to develop in its own right.
p. 17
d
s
le
o
r
Pa
ts
n
na
g
ei
s
’ En
Authentification
et chiffrement
Dossier réalisé par Maurice Louis et Marc Jacob
La sécurité des réseaux et systèmes suppose que l’on
puisse à la fois connaître l’expéditeur d’un message de façon
fiable, et que certains contenus ne soient pas lisibles par
tous. Ceci est évident pour les applications comprenant un
acte de paiement, mais aussi pour accéder à de nombreuses
données de l’entreprise. Mag Securs a demandé à Sophie
Gastellier-Prévost et à Maryline Laurent-Maknavicius,
enseignant-chercheurs à l’INT-Evry de présenter l’état de
l’art des techniques d’authentification
et de chiffrement et d’esquisser
une analyse prospective.
Authentification :
L’authentification
est nécessaire :
- pour les entreprises pour vérifier
l’identité des utilisateurs qui
souhaitent se connecter au réseau
en local, ou pour ses télétravailleurs qui auraient besoin de
bénéficier d’une connexion à
distance à leur réseau/intranet. En
général, lors de l’accès à distance
d’un télétravailleur, l’authentification est complétée par l’établissement d’une connexion sécurisée
entre le poste du télétravailleur et
le site de l’entreprise via diverses
techniques d’encapsulation ou de
P. 18
chiffrement des données, plus
communément regroupées sous le
terme VPN (réseau privé virtuel).
- pour les FAI qui souhaitent authentifier leurs clients lors de l’établissement d’une connexion Internet.
L’authentification des clients
s’effectue le plus couramment par
login/mot de passe auprès d’un
serveur RADIUS ou d’une base
LDAP.
Il existe deux familles de mots
de passe :
- le mot de passe laissé au choix
de l’utilisateur : c’est une chaîne
de caractères de taille libre ou
imposée (si imposée, généralement
le minimum requis est d’au moins
6 caractères). En outre, d’autres
règles de sécurité peuvent compléter l’utilisation d’un mot de passe
libre, en imposant un renouvellement de mot de passe à intervalle
régulier (par exemple : renouvellement toutes les 6 semaines et
interdiction de réutiliser l’un des 6
derniers mots de passe)
- le mot de passe généré à l’aide d’un
équipement annexe (appelé token)
qui est fourni à l’utilisateur.
G é n é r a l e m e n t , l e t o ke n s e
présente sous la forme d’une petite
calculatrice. L’utilisateur doit
rentrer un code PIN qui lui a été
fourni à la délivrance du token, et
n_003
DOSSIER
ce dernier génère alors un mot de
passe dynamique à usage unique
(d’au minimum 6 caractères) afin
de s’authentifier. En cas d’erreurs
de code PIN, la calculatrice est de
plus en plus longue à régénérer un
mot de passe, allant même jusqu’à
se bloquer.
Les technologies émergentes
dans ce domaine sont :
- en ce qui concerne les mots de
passe, la tendance vise à remplacer
les mots de passe par la biométrie
(reconnaissance des utilisateurs
par empreinte digitale, iris, …)
- en ce qui concerne les serveurs
d’authentification utilisés, le
protocole Diameter remplacera à
terme le protocole RADIUS, car il
facilitera la vie des clients en leur
permettant de se connecter à
Internet depuis n’importe quel FAI
tout en s’authentifiant auprès de
leur FAI d’origine, et ce grâce à des
changes inter-FAI définis par
Diameter.
Chiffrement :
Le chiffrement est utilisé :
- pour préserver la confidentialité
des communications inter-sites.
Une entreprise, géographiquement
distribuée sur plusieurs sites
distants, peut vouloir sécuriser ses
échanges avec certains de ses
fournisseurs ou clients, au travers
d’un réseau public (typiquement,
Internet). Dans ce cas, il faut établir
un réseau privé virtuel (VPN) avec
n_003
les sites distants. Ce VPN s'apparente à un conduit virtuel sécurisé
où tout le trafic échangé entre sites
distants est chiffré et encapsulé, et
le protocole IPsec est très souvent
utilisé pour assurer la confidentialité et l'authenticité des échanges.
- pour chiffrer les communications
entre le poste d'un télétravailleur
et son réseau d'entreprise .
Un télétravailleur a besoin de
retrouver le même environnement
de travail que lorsqu’il est sur site
entreprise. Il a besoin d'accéder
à certains ser veurs, dont le
serveur de messagerie en particulier. Certaines informations échangées entre le poste du télétravailleur et son entreprise peuvent
être sensibles et nécessitent donc
l'établissement d'un VPN chiffré, via
IPSec.
- pour le paiement sécurisé sur un
site Web. Lors d'un paiement en
ligne, l’acheteur doit fournir son
numéro de carte bancaire ainsi que
la date de validité associée. Durant
les échanges sur Internet, ces
informations doivent être chiffrées
pour éviter leur divulgation. Le
protocole utilisé pour assurer la
protection des ces échanges est
SSL. L'activation de ce protocole
est facilement repérable par les
utilisateurs, puisqu’elle se matérialise par la transformation de la
bannière http en https (pour http
sécurisé) dans le navigateur
Internet. SSL est très facile à utiliser
car il est intégré par défaut dans
tous les navigateurs classiques.
- pour protéger les données
stockées dans un PC, portable…
Pour s'assurer que les données
stockées sur un ordinateur ne
seront pas divulguées, il existe des
solutions de chiffrement permettant d'assurer la confidentialité des
données stockées. Les techniques
utilisées comprennent entre autres
le chiffrement par clé USB.
L’utilisation du protocole SSL est
aujourd’hui très répandue de par
l’apparition des achats en ligne sur
Internet.
Par contre, la mise en place de mécanismes de chiffrement est nettement
moins répandu dans les entreprises
que l’authentification, qui elle, est
inévitable.
Pour diverses raisons :
- L’aspect légal : pour une entreprise
qui souhaiterait faire du chiffrement inter-sites, il y a un certain
nombre de règles à respecter avant
de pouvoir chiffrer les données, et
notamment un certain nombre
© Photo Alladin
© Photo AudioSmartCard
© Photo Vasco
Authentication &
encryption
Network and system security assumes that for a given message,
the sender’s address can be reliably identified and that certain
parts of the content cannot be read by all and sundry. This is
obvious for applications involving payment transactions, but it
also applies in a variety of cases concerning access to company
data. Mag Securs asked Sophie Gastellier-Provost and Maryline
Laurent-Maknavicius, both research lecturers at the Evry INT, to
present the state of the art for authentication and encryption
techniques and to outline their views on future developments in
this area.
P. 19
GLOSSAIRE :
FAI : Fournisseur d’Accès Internet.
LDAP : Lightweight Directory Access Protocol. Base de données contenant les informations de login/mot de passe pour
chaque utilisateur.
RADIUS : Remote Authentication Dial-In User Service.
Serveur d’authentification et d’autorisation des utilisateurs qui
se connectent à distance. Il collecte les infos en provenance des
équipements réseaux, relatives à la connexion des usagers à des
fins de taxation.
SSL : Secure Socket Layer. Ce protocole de communication
sécurisé est très souvent utilisé sur les serveurs Web pour permettre aux client et serveur de chiffrer leurs échanges et d'en
assurer l'authenticité.
VPN : Virtual Private Network.
de procédures administratives,
telles que des déclarations ou des
demandes d’autorisations de
chiffrement.
- Le chiffrement est de par son
principe, un peu plus compliqué à
mettre en œuvre qu’un mécanisme
d’authentification, et nécessite
quelques connaissances dans le
domaine afin de pouvoir établir un
tunnel chiffré. C’est pourquoi,
beaucoup de moyennes entreprises se tournent vers les offres des
opérateurs qui gèrent eux-mêmes
l’équipement VPN déployé dans
l’entreprise pour effectuer le
chiffrement inter-sites.
- Le chiffrement n’est pas adapté à
tous types de trafic et à toutes les
architectures réseaux, car chiffrer
des données signifie rajouter un
traitement supplémentaire au
niveau des paquets, et les ralentir. Il
faut donc faire attention au débit
des machines présentes sur le
réseau et aux types de liaisons
utilisées. Par exemple, chiffrer les
données peut s’avérer incompatible avec un trafic multimédia temps
réel (e.g.Voix sur IP)
- Vous parler de la fin des serveurs
Radius pour quand ? Il est difficile
de parler de la fin des serveurs
RADIUS. Pendant une longue
période, il y aura coexistence des
serveurs radius et diameter.
Paroles d’Experts :
Mag Securs a demandé à quatre experts, Xavier Assouad,
consultant expert en Certification au Groupe SoluCom.
Laurent Combémorel consultant chez Exedis, Loup Gronier,
terme de chifdirecteur des opérations, XP Conseil, Groupe Devoteam et
frement, je
Hervé Schauer consultant et fondateur du cabinet HSC,
pense que les
d’analyser les besoins du marché en terme d’authentification
entreprises
et de chiffrement. Ces technologies sont en pleine émergence
n'ont pas
avec une multitude de solutions techniques (PKI, biométrie,
nécessairement
VPN, Certificats…) déjà mise en place
besoin directeou en cours de développement chez
ment d'expriles grands comptes.
mer des souhaits. Le chiffrement
Ces technologies commencent
doit être plutôt perçu d’une manière
aussi à répondre aux besoins
générale comme une base technique
de certaines PME/PMI.
Mag Securs : aux outils de sécurité. Pour l'authenAuthentification et
chiffrement, quel est la
situation de ces marchés aujourd’hui ?
Loup Gronier : La situation est très
contrastée entre l’authentification et
le chiffrement. En effet, l’authentification est aujourd’hui une fonction
de sécurité tellement répandue que
c’est plutôt son administration et la
qualité des authentifiants qui est
source de problèmes.A contrario, le
chiffrement est encore et toujours
faiblement utilisé.
Hervé Schauer : Effectivement, en
P. 20
tification, les besoins d'une entreprise sont généralement d'avoir un
minimum de contrôle d'accès et
de traçabilité sur son système
d'information. Pour bénéficier de ce
contrôle d'accès et de cette traçabilité il faut authentifier. Dans un
système d'information, il est généralement possible d'authentifier, au
niveau du réseau, au niveau du
système d'exploitation, et dans une
application. Il est possible d'authentifier un ordinateur, une application,
ou un utilisateur. Toutes les combi-
naisons ou presque seront possible.
Laurent Combémorel : Concernant
le chiffrement, les entreprises ont
besoin de connaître les différentes
législations pour rester dans le cadre
des lois lors des échanges internationaux tout en s’assurant de la
meilleure protection autorisée.
L’interopérabilité des applicatifs
autour de standards comme IPSEC
est alors indispensable.
Mag Securs : quels sont les besoins
clés des entreprises que vous
identifiez à travers votre activité de
Conseil et Architecte en Sécurité
des Systèmes d'Information ?
Xavier Assouad : Aujourd’hui,
nous voyons trois catégories de
besoins émerger. Le premier
concerne le nomadisme (authentification forte pour l'accès au SI et
protection des postes par chiffrement des données) qui est depuis
quelques années une problématique
récurrente sur le marché. Le second,
n_003
DOSSIER
concerne les problématiques de
sécurisation de messagerie. Enfin, les
bénéfices associés à la dématérialisation des flux papiers (notamment
pour les échanges avec les clients et
partenaires) motivent un nombre
croissant de projets ayant de forts
enjeux d'authentification et de
chiffrement.
Loup Gronier : Effectivement, dans
la plupart des projets de télétravail
ou de télé-administration nécessitant un accès distant vers des
ressources sensibles du système
d’information de l’entreprise, une
authentification forte est souvent
couplée au chiffrement des données
transitant sur le réseau. On retrouve
ces technologies dans un nombre
croissant de projets de mobilité
pour pallier les risques d’intrusion.
Par exemple, pour les ordinateurs
portables dont le vol peut entraîner
des risques considérables dans
ce cas le chiffrement mis en œuvre
est un chiffrement des données
stockées. Les secteurs d’activité
concernés le plus fréquemment sont
ceux ayant des contraintes de
sécurité fortes comme les banques,
les hôpitaux, etc.
L’usage du chiffrement est également
de plus en plus fréquent dans les
échanges sur Internet vers des sites
marchands. Par contre, dans ces
derniers, l’authentification forte est
rarement requise.
Hervé Schauer : Il me semble que
les entreprises recherchent des
systèmes simples et performants, qui
permettent de n'avoir qu'un nombre
minimal de bases de données
d'individus à gérer. Pour cela, les
serveurs d'authentification comme
les serveurs utilisant le protocole
radius ou le logiciel Microsoft Active
Directory, vont interroger un
annuaire LDAP. Les mécanismes
d'authentification sur Unix en feront
de même avec pam_ldap, ainsi que
les applications utilisant un portail
web. L'authentification des utilisateurs au travers des accès distant, ou
de l'accès à un port Ethernet sur le
n_003
réseau (avec ou sans-fil), utilisera
une interrogation vers les serveurs
Radius.
Laurent Combémorel : En matière
d’authentification, les entreprises
souhaitent pouvoir utiliser le
référentiel existant de l’entreprise
(LDAP) afin de ne pas gérer de
multiples bases d’utilisateurs et
diminuer les coûts d’administration
des utilisateurs.
Mag Securs : Qui voyez-vous
comme principaux acteurs de ce
marché ?
Loup Gronier : Ce marché est trop
vaste. Il existe des acteurs pour le
marché des VPN, du chiffrement de
données, pour la centralisation et
l’identity management...
Laurent Combémorel : A mon
avis ce marché est de plus en plus
large. Ainsi, on trouve des éditeurs
de firewalls (CheckPoint, Cisco, etc.),
éditeurs de solutions d’authentification fortes (RSA, ActivCard, etc.),
éditeurs d’annuaires, le logiciel
libre...
Hervé Schauer : D’une manière
générale, il faut prendre en compte
les annuaires et les ser veurs
d'authentification. Il y a aussi des
sociétés qui se positionnent, notamment pour aller au-delà de l'authentification avec la gestion des
autorisations, et cela rejoint les
infrastructures de clés. Je recommanderais aux entreprises de faire
attention, il ne me semble pas très
pertinent d'acquérir un logiciel
propriétaire coûteux à l'achat, en
maintenance et surtout en exploitation, pour remplacer ce qui est
vendu par Microsoft dans Windows.
L'intérêt de construire une architecture d'authentification est d'être
indépendant des fournisseurs, en
utilisant les protocoles standard et
un schéma d'annuaire indépendant
de tout système ou application.
Mag Securs : Effectivement, nous
avons recensé en France plus 110
entreprises qui ont une offre de
produits ou services dans ce
domaine. Mais qui sont les leaders de
ce marché ?
Xavier Assouad : A chaque technologie ses acteurs leaders. Les
acteurs spécialisés (Entrust,
ActivCard, RSA, Utimaco, MSI, etc.)
conservent une longueur d'avance,
mais il ne faut pas perdre de vue les
éditeurs généralistes qui lorgnent
sur ce marché depuis plusieurs
années et offrent des solutions de
plus en plus crédibles (en particulier
Microsoft, qui intègre désormais
nativement dans ses OS des
solutions de VPN, de login par carte
à puce, de chiffrement de fichiers,
etc).
Mag Securs : Quels sont les systèmes
qui sont réellement utilisés dans les
entreprises et les administrations ?
Xavier Assouad : Les authentifiants
de type "calculette" (ActivCard, RSA
SecurID...) sont assez largement
répandus lorsqu'il s'agit de faire de
l'authentification forte. Les solutions
de chiffrement de fichier comme MSI
SecurityBox bénéficient également
d'un parc installé important. On
assiste toutefois à la montée en
force des technologies PKI (éventuellement utilisées conjointement
avec une carte à puce ou un "dongle
USB") qui possèdent un périmètre
d'application beaucoup plus large :
authentification, mais aussi chiffrement, non répudiation...
Laurent Combémorel : Pour
l’authentification, je rajouterai
TACACS, RADIUS et les acteurs de
la biométrie. Pour le chiffrement je
Hervé Schauer
Cabinet HSC
Laurent Combémorel
Exedis
Loup Gronier
XP Conseil
Xavier Assouad
Groupe SoluCom
The view of the experts
Mag Securs asked four experts, Laurent Combémorel, a consultant with Exedis, Loup Gronier, operations director at XP
Conseil,The Groupe Devoteam and Hervé Schauer, a consultant
and founder of HSC, to analyse the long term market requirements for authentication and encryption.These fast-developing
technologies use a multitude of technical solutions (PKI, biometry,VPN, certificates) which have already been implemented or
are being developed by corporate users.These technologies are
also starting to address the requirements of certain SMEs.
P. 21
vois les leaders des VPN de firewalls
(CheckPoint, Cisco), de l’OpenSSL et
de l’OpenSSH.
Hervé Schauer : Pour mois, les
systèmes les plus utilisés sont ceux
fournis avec Microsoft Windows.
Pour les authentifications sur les
équipements réseaux, je pense que
le protocole Radius fait l'unanimité.
La migration des applications vers un
client/serveur Web permet souvent
d'homogénéiser l'authentification via
un portail. Nous avons également
des clients qui ont commencé à
interfacer l'authentification des
utilisateurs avec leur annuaire LDAP.
Loup Gronier : Si les VPN et
l’authentification forte sont les
technologies les plus utilisés pour les
accès distants. Les solutions SSL,
chiffrement et authentification
faibles sont tout à fait adaptées pour
les sites marchands. Aujourd’hui, les
outils de centralisation et de gestion
de compte sont en cours de déploiement.
Mag Securs : Quels sont les points
forts de ces technologies ?
Loup Gronier : Les points forts de
ces technologies sont doubles. Tout
d’abord, elles traitent correctement
une problématique limitée comme
les accès distants. Elles commencent
à offrir des approches plus globales
au travers de l’Identity Management.
Xavier Assouad : Le point fort
des "calculettes" à mot de passe
dynamique est clairement la
mobilité (pas de lecteur de
carte à puce à installer...) Les PKI
permettent quant à elles de
répondre à des besoins fonctionnels
plus diversifiés (messagerie sécurisée, signature électronique de
documents, chiffrement de fichiers,
etc.) et grâce à cela commencent à
prendre le pas sur les solutions
dédiées à un usage unique. Les
éditeurs de solutions de chiffrement de fichiers l'ont d'ailleurs
compris et intègrent désormais les
certificats numériques dans leurs
logiciels.
P. 22
Mag Securs : Quelles en sont leurs
limites ?
Loup Gronier : Elles sont souvent
encore utilisées pour adresser un
problème technique ponctuel alors
qu’une approche globale devrait être
mise en place. L’arrivée des produits
« d’Identity Management » et de
gestion centralisée est symptomatique de cette approche, on génère
des identifiants/authentifiants
partout dans le SI et ensuite on se
préoccupe de les gérer essentiellement pour des raisons de ROI au
niveau du helpdesk et pas pour
améliorer le niveau de sécurité ! Le
problème n’est clairement pas au
niveau des produits et des solutions
mais plutôt au niveau de la maturité
des organisations dans les entreprises.
Xavier Assouad : Les limites des
« calculettes » proviennent de leurs
utilisations uniquement dédiées au
seul service d'authentification. Pour
la PKI, Les implémentations produites ne sont toutefois pas encore
totalement mûres et éprouvées
lorsque l'on sort des sentiers battus
(messagerie dans des environnements hétérogènes, roaming...) et il
faut s'attendre alors à essuyer
quelques plâtres.
Laurent Combémorel : Les
points forts et les limites de ces
technologies repose sur leurs
administrations, leurs interopérabilités et leurs coûts.
Hervé Schauer : À mon sens tout
repose sur les Hommes. Ainsi,
la situation change d'une entreprise
à l'autre, mais l'important est
l'organisation et les équipes, pas les
outils. Une bonne équipe saura
choisi les outils pour répondre aux
besoins du management. Je pense
également que le management ne
gagne pas toujours en imposant un
outil qui lui a été vendu sur des bases
de tableaux de retour sur investissement parfois fantaisistes.
Mag Securs : Ces systèmes
peuvent-ils, ou sont-ils, utilisés dans
les PME/PMI, et pour quels types
d’activités ?
Hervé Schauer : La plus part des
PME-PMI n'ont pas toujours des
besoins de sécurité élevés. Elles
doivent en priorité faire face aux
virus et penser à faire leur
sauvegarde. En général cela n'est pas
facile...
Loup Gronier : Ces systèmes
peuvent être utilisés plutôt dans le
cadre se solutions packagées d’accès
distant pour les accès d’itinérant ou
la télémaintenance et pour des
solutions de sécurisation de serveur
d’e-commerce. On ne trouve quasiment pas de mise en place de chiffrement.
Laurent Combémorel : Je ne suis
pas de l’avis d’Hervé Schauer, ni tout
à fait de celui de Loup Gronier ! Les
PME/PMI ont besoin de réduire les
bases d’utilisateurs et diminuer les
coûts d’administration. Donc, elles
sont amenées à mettre en place des
solutions d’authentification. Quant
au chiffrement, il est utilisé par des
PME/PMI pour des sites webs BtoC
en particulier, du style de suivi de
commande, ou pour l’accès au
réseau interne depuis l’extérieur
(webmail par exemple).
© Photo Thales e-Security
Mag Securs : Avez vous constaté
des fraudes ?
Loup Gronier : Tout dépend de
votre définition de la fraude, si
l’accès et l’usage indu d’un SI sont
une fraude, oui, nous en constatons.
Xavier Assouad : Relativement
peu lorsque la protection repose sur
de l'authentification forte. Lorsque
fraude il y a, c'est plus souvent en
contournant le système (en général
grâce à une faiblesse humaine : mot
de passe oublié sur un post-it
ou fourni par téléphone à un
faux représentant du ser vice
informatique) qu'en exploitant une
vulnérabilité technique.
n_003
DOSSIER
Hervé Schauer : J’ai recensé six
principales possibilités de fraudes :
- L'utilisateur peut taper son mot de
passe alors qu'une tierce personne
regarde son clavier ;
- L'utilisateur peut communiquer,
souvent sans intention de nuire,
son mot de passe au voisin ;
- Il n'est pas rare qu'un utilisateur
note son mot de passe sous son
clavier, sur un carnet, etc. ;
- Un pirate peut « écouter » le mot
de passe passant en clair sur le
réseau dans un protocole comme
HTTP, POP3, IMAP, Telnet, FTP,
SQLnet, etc. ;
- Le système d'exploitation peut
être victime d'un cheval de Troie,
qui utilise la phase d'authentification pour voler le mot de passe, par
exemple une écoute de l'écran
sous X11 ou un serveur SSH modifié par le pirate ; La base de données des mots de passe peut être
volée et soumise à plusieurs logiciels de craquage de mot de passe.
Mag Securs : Quelles sont les
fraudes les plus répandues ?
Xavier Assouad : Les indiscrétions
par usurpation d'identité sont assez
courantes, et certaines peuvent être
lourdes de conséquences lorsqu'
elles sont liées à des informations
confidentielles. Elles interviennent
en grande majorité lorsque la
protection repose sur de simples
mots de passe (ils sont observables,
et peuvent éventuellement être
cassés plus ou moins simplement).
Loup Gronier : Ce n’est pas si simple que cela ! Il est aujourd’hui
encore complexe de constater une
fraude. La fréquence des attaques en
provenance d’Internet est énorme
mais la plupart des sociétés adresse
ce problème. A contrario, les
modems et les réseaux sans fil sont
encore aujourd’hui de points d’accès potentiels souvent mal protégés.
Une fois à l’intérieur du réseau local,
il n’y quasiment jamais les moyens
de détecter une attaque réussie sauf
a posteriori et sans aucune certitude
n_003
sur le biais utilisé pour la perpétrer.
Mag Securs : Comment y fait-on
face ?
Xavier Assouad : Il est indispensable
d'identifier clairement les données
sensibles manipulées par l'entreprise, et de s'assurer que les moyens
de protection sont adaptés au niveau
de risque, tant sur le plan technique
qu'organisationnel (quelle valeur a
une carte à puce si elle n'est délivrée
qu'avec une vérification sommaire
de l'identité de son porteur ?). Une
fois la fraude constatée, tous les cas
sont particuliers, mais une constante
demeure : pour être réactif, il vaut
mieux avoir prévu à l'avance la
composition de la cellule de crise, le
rôle qu'elle tiendra (investigation,
action corrective, communication...),
à qui elle en référera, etc...
Loup Gronier : Tout d’abord on
doit essayer d’identifier l’origine
(analyse forensic).
La sécurisation des équipements est
la base mais elle n’est pas toujours
mise en place... Pour les attaques plus
complexes, il est nécessaire de faire
appel à des ressources spécialisées.
© Photo ActivCard
Mag Securs : Quelles technologies
émergentes voyez-vous pour les
années futures d’ici un à trois ans ?
Hervé Schauer : Je ne sais pas s'il
y aura des évolutions technologiques
majeures. En 1986, Bull annonçait la
généralisation de la carte à puce sur
les PC.Au début des années 90, nous
avons eu les « authentifieurs » (ou
tokens), les protocoles LDAP et
Radius existaient déjà, ainsi que la
biométrie qui s'est principalement
développée pour le contrôle d'accès
physique ces 10 dernières années.
Le bus USB a permis d'avoir les
token USB, peut-être que nous
verrons le développement de l'usage
des certificats à l'avenir.
Laurent Combémorel : Pour le
marché de l’authentification, les
éléments biométriques : clavier ou
token USB à scanner d’empreinte
digitale, etc. sont vraiment des
technologies qui devraient se
démocratiser.
Pour le marché du chiffrement, les
lois plus restrictives en matière de
libertés individuelles ouvrent le
marché des tiers de confiance, chez
qui les clefs seront déposées pour
pouvoir être utilisées par la justice
en cas de nécessité.
Loup Gronier : Je vois cinq grandes
technologies émerger. Tout d’abord
la signature en particulier pour
la messagerie devrait s’imposer
rapidement. En second lieu, la
professionnalisation des personal
firewall va s’en doute prendre une
importance non négligeable. Les
dispositifs de gestion, test et
diffusion de correctifs de sécurité
sont en cours de développement.
Une extension des PKI et plus
globalement l’Identity Management
devrait s’imposer. Enfin les outils de
corrélation de log et de supervision
de la sécurité sont des technologies
d’avenir.
Xavier Assouad : Nous allons
probablement voir les technologies
PKI s'installer de manière plus
omniprésente, avec la maturation
des implémentations logicielles.
En outre, les technologies dites de
"carte à puce virtuelle" (les clés des
utilisateurs sont opérées par un
serveur central) vont sans doute
commencer à être utilisées à grande
échelle. Sur un plan un peu plus
spécifique, essentiellement bancaire,
on voit déjà émerger les premières
applications de la "cryptographie
quantique". Mais le gros enjeu de ces
prochaines années reste la question
du recouvrement des données
chiffrées (que se passe-t-il lorsque
je perds ma carte à puce ?) :
les réponses de l'état de l'art
demeurent encore aujourd'hui
peu satisfaisantes sur le plan opérationnel.
P. 23
Paroles d’entreprises :
Mag Securs a recensé plus de 50 entreprises en France
capables de fournir une solution d’authentification.
(cf.www.mag-securs.com).
Devant cette offre pléthorique les entreprises ont bien du
mal à faire leur choix. Nous avons pu interviewer différents
responsables sur leurs besoins en matière d’authentification.
Connaître son interlocuteur n’est pas une exigence nouvelle
et l’authentification semble correspondre à une véritable
demande des professionnels.
Pour autant, les diverses expériences
laissentapparaître des approches
gies. Pour réaliser les circuits imprimultiples et peu concordantes.
més, nous avons besoin de donnés.
Les solutions existent, mais les
Historiquement, les premiers envois
standards ne sont pas toujours
numériques ont été réalisés avec des
visibles. Le marché est-il
liaisons modem, puis par Numéris.
mature, ou seulement encore
Aujourd’hui, la majorité des
seulement émergeant malgré
échanges se fait sur courrier
un besoin réel ?
électronique.
Une offre
plethorique,
une demande
hesitante !
Nos interviewés : Patrick Bacquart,
DSI de Elvia PCB, fabricant de
Circuits Imprimés.
Jacques Lebahann, Directeur Général
et Alexis Coudeyras, Directeur
Technique de l’éditeur de logiciels
Amalthis. Hervé Schauer consultant
et fondateur de HSC qui a mis
en place un projet requérant des
fonctions d’authentification pour
une grande administration. Philippe
Thevenot, IT manager de l’Univers
de l’Emballage, industriel spécialisé
dans la fabrication de produits de
conditionnement pour l’industrie et
la distribution de fruits et légumes. Et
Robert Vainchtein PDG d’Alifax,
distributeur de matériel de électronique (Appareils photos, caméscopes, lecteur DVD…).
Mag Securs : Pourquoi avez-vous
été amené à utiliser des outils
d’authentification ?
Patrick Bacquart, Elvia :
Pour nous, l’utilisation de ces outils
est liée aux évolutions des technoloP. 24
Les circuits imprimés sont de plus en
plus complexes. Les fichiers de plus
en plus gros, et dépassent maintenant les capacités « standards »
des boîtes mail (10 Mo pour nous, et
parfois seulement 2 Mo pour nos
clients). Nous avons donc du mettre
en place des serveurs FTP, et des
moyens d’authentification.
Certains clients dans le domaine
militaire ou de l’avionique exigent un
niveau de sécurité supérieur. Thalès
a mis en place EXINDUS (EXtranet
for INDUStry) qui utilise une
authentification par carte à puce
nominative et PIN code. D’autres
fournissent simplement un nom
d’utilisateur et un mot de passe pour
se connecter sur leur site web
ou FTP.
De notre côté, nous avons mis en
place un serveur accessible en
HTTPS et fournissant un certificat
SSL pour la communication. L’accès
é t a n t re s t re i n t p a r u n n o m
d’utilisateur et un mot de passe.
Nos certificats sont basés sur un
système de clé publique RSA (1024
bits).
Jacques Lebahann,Amalthis :
Pour notre part, c’est pour répondre
à des demandes de clients d’accéder
à notre application en mode
Extranet. Nous les utilisons depuis
deux ans.
Hervé Schauer,
Consultant pour une grande
administration :
Comme pour tout organisme
d'envergure, l'objectif d'une administration est de construire un infrastructure d'authentification capable
de s'adapter aux besoins actuels et
futurs, des applications jusqu'aux
composants système : serveurs,
routeurs, bien sur les accès distants,
etc. Le périmètre inclue généralement l'ensemble des agents. Pour les
administrations conscientes des
enjeux plus politiques, elles recherchent une infrastructure neutre,
respectueuse des normes et
standards du marché, dans le sens
qu'elle n'engage pas l'administration
dans un logiciel propriétaire, dans un
système limité ou contrôlé par un
tiers, avec une licence annuelle et
une certaine forme de dépendance.
Philipe Thevenot,
L’Univers de L’emballage :
Le réseau installé dans notre groupe
date de 1989, bien entendu celui-ci
a évolué depuis, passant d’une
architecture propriétaire à une
architecture plus ouverte. Ceci
nous a contraint de prendre des
n_003
DOSSIER
Patrick Bacquart
Elvia-PCB
dispositions de sécurité qui n’ont
j a m a i s c e s s é e d ’ é vo l u e r. L a
nomadisation de nos collaborateur
est devenu depuis 5 ans un des
problèmes majeurs. Le marché est
aujourd’hui dynamique et demande
une forte réactivité. Nous travaillons
largement avec des intervenant
externe tel que Sistech (the greenbow vpn), Idepro (Check Point et
Zyxel), SFR et Cegetel (GPRS et
IP/MPLS)...
Notre politique est aussi de favoriser largement les développements
internes et de favoriser l’I.H.M.
(interface Homme/Machine). Parce
que l’Internet est devenu central, les
outils de chiffrement et d’authentifications sont les solutions que nous
ayons pour garder une pérennité de
notre activité.
Robert Vainchtein,Alifax :
Nous avons une trentaine de PC
dont 3 portables. 4 boutiques (2
sites à Paris – 1 à Neuilly – 1 à Lyon).
Nous utilisons Securilis d’All
Computing qui est un service
d’abonnement offrant une solution
de sécurité intégrée “tout en un” :
Matériel plus logiciels plus Services
(administration distante, maintenance sur site, assistance téléphonique…). All Computing nous
fournit un rapport mensuel détaillé
qui justifie la présence de sa solution
(virus supprimés, attaques bloquées,
statistiques d’utilisation d’internet,
Section conseils...). Ainsi nous
payons à chaque fin de mois les
services rendus sans aucun investissement de départ.
Mag Securs : Sur quel périmètre
utilisez-vous ces outils ?
Ces outils ne sont utilisés que pour
n_003
les échanges de données avec nos
clients. Cela représentait environ
4.000 échanges en 2003
Une application sur un serveur pour
300 clients Web environ.
Mag Securs : quelles solutions
d’authentification utilisez-vous ?
Philippe Thevenot,
Notre moteur de gestion est SAP
R/3. Cet outil est supporté par 2
serveurs Proliant Quadri Processeurs
équipé d’un volume de 200 Go et de
5 Go de RAM et d’une librairie de
backup d’un volume global de 1050
Go. 9 serveurs, dédié à des taches
spécifiques entourent ce système,
20 routeurs, 2 firewall’s, nous
permettent d’offrir un accès VPN de
qualité aussi bien par RTC, Internet,
Internet-GPRS (20 utilisateurs). Je ne
désire cependant pas m’exprimer
sur les solutions d’authentification
que nous utilisons. Nos fournisseurs
principaux dans ce domaine sont
Sistech (www.thegreenbow.fr),
I d e p r o ( w w w. i d e p r o . c o m ) ,
Cegetel/SFR (www.sfr.net), France
Télécom ainsi, bien entendu que
SAP (www.sap.com) et BVD (Bureau
Van Dijk www.bvdep.com).
80% du développement et de
l’intégration est réalisé par nousmêmes.
Hervé Schauer,
Consultant pour
une grande administration :
Une solution simple est de
construire un annuaire dans le but
de gérer les identifications et
authentifications. La grande majorité
des systèmes d'authentification
sauront interroger un annuaire
LDAP. Pour Active Directory, un
Jacques Lebahann
Amalthis
annuaire-relais intermédiaire avec
une traduction de schéma permet
de s'affranchir des spécificités
Microsoft, tout en gardant un
annuaire générique comme base
d'authentification globale.
Les applications web pourront
interroger l'annuaire, directement
ou via un portail, de même que les
serveurs Radius authentifiant les
accès distants.
Il est possible de sécuriser la transaction avec SSL/TLS, de répartir la
charge sur plusieurs annuaires, de
répliquer les annuaires, etc...
Jacques Lebahann, Amalthis :
Les deux systèmes d’authentification
sont Lotus Domino (gestion de
session ou non) avec tâche SSL.
Mag Securs : Quelles sont les
principales qualités qui vous ont
amené à retenir ces solutions ?
Nous cherchions quelque chose de
simple à administrer, peu onéreux basé sur des logiciels libres (plateforme Linux) - et répondant bien sur
à nos critères de sécurité.
Philippe Thevenot
L’Univers de
L’emballage
Hervé Schauer
Cabinet HSC
Robert Vainchtein
Alifax
Company managers have
their say
A supply glut and
faltering demand!
Mag Securs has identified more than 50 companies in France
capable of supplying authentication solutions. (cf. www.magsecurs.com). However, businesses have difficulty choosing when
faced with too many offers.We interviewed a number of managers to find out more about their authentication requirements.
Needing to know who you are dealing with is not new and therefore authentication would seem to correspond to a real
requirement as far as professionals are concerned. Despite that,
the various experiences show that there are a number of diverging approaches to the problem. Solutions exist but standards
are lacking. Has the market matured or is it still emerging
despite a real requirement?
P. 25
DOSSIER
N o u s avo n s p u r é a l i s e r u n e
intégration directe de la solution
avec notre serveur d'application
Philipe Thevenot,
Les qualités principales de ces
solutions, ne reposent pas essentiellement dans leur technologies. C’est
avant tout les hommes qui les
animent. Si la technologie des
produits que nous utilisons est
majeure dans nos applicatifs, elle ne
représente rien face aux qualités
d’intuitions et de réactivités de nos
intervenants externes. C’est ce que
nous avons trouvé dans les services
que Sistech, Idepro et bien d’autres
nous apporte.
Robert Vainchtein,Alifax :
L’intérêt pour nous qui ne sommes
pas des informaticiens, c’est que
nous bénéficions d’un système peu
onéreux qui fonctionne en permanence sans avoir besoin d’un responsable informatique. Avec cette solution, nous n’avons jamais été attaqué
par aucun virus et toutes les tentatives d’intrusion ont été bloquées. « Il
m’est même arrivé de ramener
cet été Slammer en revenant de
vacances. Ce dernier a été automatiquement bloqué et mon PC décontaminé à mon retour au bureau. »
Mag Securs : Que pensez-vous des
évolutions proposées aujourd’hui par
les constructeurs et les éditeurs ?
Lesquelles vous paraissent les plus
intéressantes ?
Actuellement, la grande mode est
n_003
aux solutions biométriques. Mais
pour faire du transfert de fichiers, je
ne vois pas l’utilité d’aller vers de telles solutions d’authentification. Par
contre, mettre en place un système
d’authentification par empreinte
digitale sur les PC portables nomades, parallèlement à un cryptage des
données sur le disque dur me parait
quelque chose de sensé, surtout
pour les postes des commerciaux.
De plus ces solutions deviennent de
moins en moins coûteuses.
Philipe Thevenot,
Pour ma part, je privilégie le
relationnel avec mes prestataires
sans oublier bien sûr l’aspect
technique. Ainsi, la qualité d’un
intervenant externe repose dans sa
propension à « savoir écouter ».
C’est par le travail de base sur le
terrain que l’on peut faire naître de
grandes idées et les mettre en
applications. L’art de comprendre un
problème c’est avant toutes choses
être à l’écoute de celui-ci.
Mag Securs : Avez-vous de
nouveaux projets d’authentification
et/ou de chiffrement pour 2004 ?
En 2004, notre gros projet est le
changement d’ERP. Dès que ce
dernier sera choisi, je regarderai
de plus près les solutions de connections à distance - Type VPN par
exemple.
Philipe Thevenot,
Oui, mais pas en VPN. Nous
travaillons sur un site web clients. Le
site sera crypté en séquence de lien
générant une cause. Il y aura aussi un
cryptage en permanence de clé avec
une progression liée à des étapes
logiques. La clé sera sur 256 octets.
Nos clients ont besoin d’une triple
confidentialité sur leur packaging. Ils
ont besoins d’avoir accès à leur
maquette, au suivi de leur compte.
Nos commerciaux utilisent des PC
portables et ont besoin d’avoir des
informations en temps réel sur le
stock, les délais... Ils arrivent en VPN
sur tous les applicatifs de la société
d’un « seul clic de souris ». Notre
problème est l’utilisateur final qui
travaille en temps réel et doit avoir
une connexion sécurisée.
Le produit de la série sécurité
appliance de la génération Safe
Office de Check Point est un peu
difficile à implanter avec des produits
externes à Check Point. Par contre,
lorsque toutes les fonctions seront
installées, on devrait avoir un produit
qui gère les virus, l’anti-spam et le
VPN à grande vitesse. En effet, on
peut monter un tunnel avec un
PMCIA 2,5s. et en moins de 10s. une
application VPN !
Retrouvez notre liste de
fournisseurs sur
www.mag-securs.com
P. 27
©
Ph
ot
o
Al
ca
te
l
s
opho
oto S
© Ph
Par Marc Jacob
Les vers font du
!
g
n
i
r
e
e
n
i
g
n
E
l
a
i
soc
(1 er decembre 2003 au 16 fevrier 2004)
Les vers, virus, spams… cuvée 2004 vont encore plus vite et
sont plus malins qu’en 2003, comme prévu par les principaux
experts des laboratoires des éditeurs d’anti-virus et les consultants spécialisés. Mydoom_A et B sa suite DoomJuice, appelé aussi
« Deadhat » par les spécialistes du Cert IST, ont battu le triste
record de leurs prédécesseurs, avec selon les uns pour Mydoom
plus de 100 millions de mail infectés en 36 heures, selon les autres 200 emails atteints par seconde… Il sera sans doute dépassé
par la prochaine attaque : le nombre de PC connectés qui croit
de façon exponentielle n’y est certes pas pour rien. Cependant, il
semble que les défaillances humaines soient en ce début d’année
la cause principale de la diffusion ultra rapide de ces nouveaux
vers. Les attaques ont d’ailleurs été si virulentes que des opérateurs n’ont pas hésité dans certains cas à faire un déni de service à une partie de leurs abonnés qu’ils jugeaient suspects.
Tous les spécialistes s’accordent à
dire que les mois de décembre 2003
à février 2004 n’ont pas été de tout
P. 28
repos, même si une fois n’est pas
coutume, la Saint-Valentin a connu
plus de «roses que d’épines» ! Il est
vrai que cette année la fête des
amoureux tombait un samedi « ceci
explique cela ». Si trois principaux
vers sont apparus entre mi-décembre et début février avec dans
l’ordre Dumaru AA, Baggle A et le
déjà célèbre Mydoom A et B, avec
son complément DoomJuice, se sont
propagés à des vitesses de plus en
plus stupéfiantes, les techniques
d’attaques n’ont semble-t-il pas
beaucoup évoluées quant à leur
méthode de propagation. Pour
Damase Tricart, chef produit grand
public et PME/PMI de Symantec, cela
confirme les tendances débutées en
2003 : les pirates ont une véritable
stratégie de propagation qui passe
par une phase de préparation et une
utilisation ultra rapide des failles
découvertes. La seule nouveauté
n_003
ALERTE
Eugénio Correnti
F-secure
viendrait, selon Marc Blanchard,
directeur européen du laboratoire
anti-virus de Kaspersky, de l’automise à jour de Mydoom par
Domjuice sur les postes infectés. Et
Michel Lanaspèze, directeur marketing de Sophos, de rajouter : « la
charge virale est la pire de toutes
celles observées dans cette période !
Non seulement le ver infecte les
systèmes et se propage vers toutes
les adresses e-mail qu'il arrive à
trouver, mais il ouvre des portes
dérobées sur les systèmes, qui permettent aux auteurs de regarder
vos actions, vos fichiers, télécharger
vos documents et voler des informations confidentielles. Il a exploité
également les systèmes infectés
pour mener une attaque sur le site
Web de SCO, transformant ces
systèmes en "zombies" ».
Le spam à l’honneur
Ces vers utilisent toutes les techniques du spam et leur associent
celles de pirates et de hackers. Selon
Eugenio Correnti, directeur technique de F-Secure : « les Spams pour
les messageries des particuliers,
entreprises et FAI induisent la création de vastes réseaux d'ordinateurs
détournés afin d'être potentiellement utilisés comme relais anonyme.
Le phénomène de spam semble
arriver à une phase industrielle pour
ce qui est de la création et de la
propagation. ». Et David Kopp,
directeur européen du Trend Labs,
de compléter : « la menace principale
au niveau des codes malicieux
vient des vers. Rappelons qu’en
n_003
Robert Daré
Panda Software
2003, 93% des alertes déclarées,
l’ont été à propos de vers. Encore
une fois, le vecteur principal de
propagation reste la messagerie
électronique. Toutefois ces vers
font appel à d’autres technologies
pour augmenter leur vitesse de
propagation en particulier le « social
engineering » qui vise à duper
l’utilisateur final quant à l’authenticité du courriel reçu ou au but de
l’email (qui reste malicieux). Ils
utilisent aussi les réseaux de partage
Peer to Peer (P2P) comme autre
moyen de propagation en déposant
dans les répertoires de partage de la
machine infectée leurs propres
copies sous des noms attrayants
pour duper encore une fois les
u t i l i s a t e u r s ( p a r e xe m p l e :
winamp5.exe, office_crack.bat).»
Toujours selon David Kopp : « les
spameurs semblent avoir rejoint
les familles d’auteurs de virus et
hackers ». Le problème est que rien
ne peut empêcher un utilisateur de
cliquer sur un fichier qui semble
provenir d’une adresse connue ! Et
c’est bien là où réside la « nouvelle »
faille. Cette efficacité viendrait, selon
Robert Daré, responsable technique
vente directe de Panda Software, de
la combinaison fonctionnelle de
l’ensemble de l’arsenal viral (backdoor + outils de hacking + serveur
smtp + serveur proxy UDP +
mutex). Ce dernier serait associé à
une préparation et une fragilisation
des systèmes pour des attaques
ultérieures. L’objectif serait de
réaliser des tentatives de plus en
plus précises et ciblées d’exporter
des données sensibles vers l’Internet
Cyril Voisin
Microsoft
Michel Lanaspèze
Sophos
ou vers d’autres réseaux, la capacité
d’exploiter la moindre vulnérabilité,
et la moindre faille de sécurité.
Dans quel but ?
Il semble que le but de ces attaques
soit en premier lieu, actuellement, le
déni de service. Cette fois-ci, c’est
tout d’abord la société SCO qui en a
fait les frais en devant re-localiser
son site web sur une nouvelle
adresse. Microsoft de son côté a subi
une attaque équivalente mais en
résistant mieux compte tenu du
dimensionnement de ces serveurs.
P o u r C y r i l Vo i s i n , c h e f d u
programme sécurité de Microsoft,
la cible SCO pourrait faire penser à
un acte politique lié au procès sur la
défense de la propriété intellectuelle
d’Unix. Pour une fois, Microsoft a
échappé au déni de service, il semble
que les pirates n’y soient pas arrivés
"Worms using social
engineering tricks!"
As predicted by the top experts in the anti-virus company laboratories and specialized consultants, the 2004 crop has produced worms, viruses and spam that are faster and more devious
than in 2003. Mydoom_A and the subsequent Doomjuice, also
known as “Deadhat” by the Cert-IST specialists, have beaten
the sad record set by their predecessors. More than 100 million
mail messages were infected by Mydoom in 36 hours according
to some sources. Others put the figure at more than 200 mail
messages per second.These figures will no doubt be surpassed
in the next attack.The fact that the number of connected PCs
is growing exponentially is certainly a factor. However, as from
the beginning of the year, it would appear that human failing has
become the main cause of these new worms being propagated
at ultra high speed. The attacks have been so virulent that in
some cases, operators have not hesitated to deny service to certain customers considered to be suspect.
P. 29
Marc Blanchard
Kaspersky
David Kopp
Trend Micro
Les conseils
d’Yves Leroux, Security
Technology Strategist,
Computer Associate
Gestion des vulnérabilités :
Les 4 étapes
la roue de Deming
1. Evaluer et Valider
- Faire un inventaire complet des systèmes et des logiciels
utilisés dans l’entreprise. Il conviendra de connaître les
« rustines » installées et celles non installées
- Posséder une archive des décisions motivées de non
changement de configurations et de non installation
- Définir une configuration normale minimum
- Posséder une base de connaissance à jour sur
les vulnérabilités et les risques
2.Traiter
- Estimer les risques système et métier induits par
la nouvelle vulnérabilité
- Déterminer si ces risques justifient un changement dans
l’état de la sécurité
- Réfléchir aux actions curatives
- Préparer un plan de travail et les procédures de contrôle
du changement
3. Remédier
- Créer et tester les actions curatives
- Distribuer aux seuls systèmes concernés le plan d’action
curatif avec ,si nécessaires, les « rustines » et changement
de configuration correspondants
- Exécuter le plan d’action
4.Adapter
- Vérifier que si des risques similaires arrivaient dans le futur
on puisse améliorer la réponse
- Si nécessaire, changer les politiques d’usage acceptable
des moyens informatiques
- Si nécessaire, arranger les règles de corrélation des audits
de sécurité afin d’améliorer la détection.
- Si nécessaire, lancer des actions de sensibilisation et
d’éducation des utilisateurs
Gábor Szappanos
Virus Buster
selon Cyril Voisin. Toutefois, chez
Microsoft, il n’y a pas de triomphalisme et on s’inquiète surtout de
l'ouverture d'une porte dérobée sur
les systèmes infectés, le port 3127.
Elle a en particulier servi de relais au
virus DoomJuice, ce qui peut donner
à augurer qu’il y a une volonté d’aller
bien au-delà d’un déni de service.
Le second but, selon Olivier Palyart,
responsable technique du laboratoire des menaces de Clearswift,
serait le vol de mots de passe pour
accéder au système d’exploitation
de la machine à distance. Cependant,
pour Robert Daré, même si le but
délictueux reste la bonne approche,
il devient carrément « criminel »
dans le cadre professionnel d’installer au sein d’un réseau d’entreprises
des utilitaires de téléchargement,
d’utiliser le Peer to Peer, de mettre
en place des plugs-in, ou des skins, ou
des fonds d’écran, de mettre en
service des logiciels de « chat »,
d’écouter des radios sur Internet. En
bref, tout ce qui sort du cadre
strictement réglementé de licences
dûment acquittées et reconnues, et
des droits d’auteur, dans le cadre
privé, le téléchargement de musique
ou de film, et surtout leur mise à
disposition en répertoire partagé
sur le net dans le cadre du P2P est
devenu très risqué, et depuis le
Mydoom pratiquement suicidaire !
atteindre leurs buts. Pour David Kop,
la rapidité de propagation de
Mydoom provient de la récupération et l’exploitation des adresses
dans le carnet d’adresses de l’utilisateur qui seront de nouvelles cibles.
Le virus parcours aussi le disque dur
à la recherche d’autres adresses
auxquelles il pourra se propager.
Non content de récolter ces adresses, il isole les noms de domaines,
pour ensuite construire sa propre
liste d’adresses en préfixant aux
domaines trouvés une liste de
prénoms très usités. Ainsi, admettons que le virus ait trouvé l’adresse
[email protected] sur
votre machine , il va retenir
domaine.com comme nom de
domaine, puis construire les nouvelles adresses [email protected],
[email protected],
[email protected] augmentant
ainsi le nombre de cibles.
Pour augmenter sa vitesse de
propagation, il n’utilise pas le serveur
de mail local par défaut, mais essaye
de se connecter à ceux relatifs aux
domaines récoltés en essayant des
combinaisons de noms largement
utilisés. Ce qui implique en utilisant
l’exemple ci-dessus, qu’il va tenter de
se connecter directement aux
serveurs de messageries d’adresses
mx.domaine.com, mail.domaine.com,
smtp.domaine.com.
Les ruses des pirates
Olivier Palyart a repéré une nouveauté intéressante employée par
Mimail.N pour inciter les utilisateurs
Les pirates multiplient les ruses pour
P. 30
n_003
ALERTE
Controles exhaustifs
et management
des vulnerabilites
sont indispensables
pour assurer
la securite
des entreprises
à l’installer : « Les auteurs ont
envoyé un spam de “phishing”, qui
offrait aux clients PayPal la
possibilité d’avoir un bonus de 10%
de la valeur de leur compte, s’ils
enregistraient pour cette offre
spéciale limitée. A la validation du
formulaire, l’attachement télécharge
une copie du virus Mimail, suivie
d’une propagation par une réexpédition massive aux contacts de
l’utilisateur. Cette technique rusée
a permis de contourner certaines
défenses anti-virales. »
Ces exemples significatifs montrent
bien comme le souligne Stéphane
Pacalet, directeur des activités
Corporate d’Editions Profils distributeur des produit BitDefender
Entreprise : « que la première faille
exploitée par les pirates est la faille
humaine ! C’est vraiment la plus
difficile à contrer. Novarg (Mydoom)
a montré une fois de plus comment
de simples astuces dîtes de « social
engineering » réussissent à piéger les
utilisateurs. Cela confirme une fois
de plus qu’une véritable politique de
sécurité ne peut s’abstenir d’une
partie consacrée à la formation des
utilisateurs et, sur ce point, il reste
d’énormes progrès à réaliser.»
Qui sont les pirates ?
Pour Eugenio Correnti, la tendance
au niveau des infections virales
semble confirmer le résultat d'une
véritable convergence entre le spam
et les vers informatiques. Il s'agirait
probablement de groupes proches
du crime organisé, qui revendent
voir louent l'infrastructure acquise
par le biais d'attaques à des diffuseurs de spam. Gábor Szappanos,
chef du laboratoire antiviral à Virus
n_003
Buster n’a, a priori, aucun suspect.
Mais il est clair pour lui, alors que
dans le passé les vers étaient seulement créés pour l'amusement et ne
faisaient rien d’autre que de se
répliquer, de nos jours ils effectuent
des actions additionnelles, installent
des backdoors sur le système
infecté, effectuent des opérations sur
le proxy, dispositifs très utiles pour
la face cachée de l’informatique.
Effectivement, Pierre Forget, chef de
projet du Cert-IST suggère que des
communautés de pirates se
professionnalisent pour montrer
l e u r s avo i r f a i re à d ’ a u t re s
communautés aux fins d’utilisations
frauduleuses.
Des pirates
venus du froid ?
Selon David Kop : “il est très difficile
de remonter jusqu’à la source
(personne ou organisation) réelle
d’un code malicieux. En effet, un
large panel de technologies sont à la
disposition de ces personnes pour
brouiller les pistes (DomJuice en est
un bon exemple). Rares sont les cas
où on retrouve le “coupable” par
rapport au nombre de codes
malicieux en circulation. Mais
l’erreur est humaine, donc il arrive
certaine fois que l’auteur d’un
code malicieux par la suite d’une
négligence (ou par provocation...)
laisse une trace, un indice permettant de le retrouver”. Il a de fortes
présomptions sur les pays de l’Est.
Ces pays assez jeunes suite au
démantèlement de l’URSS sont un
terrain propice pour le lancement
des codes malicieux. Les structures
Pour Dominique Littaye, Président
d'Intranode, le seul inventaire des
OS, patchs et applications n’est pas
suffisant. Il repose sur une approche
déclarative des administrateurs
et/ou des utilisateurs. Cette méthode
devient inexploitable dès qu'une
personne modifie un poste sans
mettre à jour la base d'inventaire.
L'expérience nous apprend que les
administrateurs et utilisateurs ont
toujours de bonnes raisons pour s'écarter des standards et
procédures définis.
Il est donc essentiel de contrôler, a posteriori, l'état de
son parc de manière systématique et récurrente.
L'analyse des vulnérabilités a cette fonction. Elle s'appuie sur une
base de vulnérabilités tenue à jour par l'éditeur et décharge
l'entreprise de la veille. Elle teste de façon systématique les
équipements pour déceler la présence de failles de sécurité.
Non pas en se basant a priori sur un inventaire, mais en
analysant chaque machine pour obtenir des informations
précises sur son état. Elle permet de refaire en permanence
l'inventaire matériel et logiciel. Les responsables vont ainsi
trouver des failles émanant :
• de nouvelles vulnérabilités identifiées récemment et non
encore prises en compte par l'entreprise ;
• de la mise en oeuvre de nouvelles machines non conformes
aux standards de l'entreprise ;
• de la modification volontaire ou non des configurations des
machines qui étaient jusqu'alors conformes à ces standards.
Ainsi, le CERT-IST soulignait, début décembre, que l'analyse des
vulnérabilités est devenue une pièce maîtresse de la lutte
anti-virus avec une recherche exhaustive, a posteriori, de failles
exploitables par les virus existants ou à venir.
Il est cependant nécessaire de hiérarchiser les vulnérabilités
identifiées pour organiser leur traitement en fonction des
risques. Des parcs importants d'équipements produisent des
rapports de vulnérabilités très volumineux. Aucune entreprise
n'a aujourd'hui de ressources suffisantes pour toutes les traiter
dans un délai raisonnable.
Or, c'est là que ce situe aujourd'hui un risque critique et c’est
là, conclue Dominique Littaye que se situe le savoir-faire de son
entreprise avec un tri des failles proposé directement par le
scanner.
internes, tant au niveau juridique
qu’au niveau technologique, ne sont
peut-être pas pour l’instant assez
fiables et puissantes. Beaucoup
parlent aussi de la mafia russe. Mais
selon lui, “tout cela ne reste que
suppositions et rumeurs sans preuve
concrète pour l’instant”. Pierre
Forget renforce cette idée par le
P. 31
Retrouvez toutes
nos informations
sur les alertes :
www.mag-securs.com
cette rubrique
est mise à jour
quotidiennement
Olivier Palyart
Clearswift
fait qu’une entreprise polonaise
proposerait
actuellement
la
possibilité d’atteindre plus de
400.000 adresses mail d’un coup.
Quelle aubaine pour tout bon
pirate ! Olivier Palyart a un avis plus
tranché : « derrière tout cela se
la saga continue des
failles de securite
Le feuilleton des failles de sécurité se poursuit, avec toutes sortes
de rebondissements. eEye Security se fait l’avocat du manque de
réactivité de Microsoft en parlant d’un peu plus d’une demidouzaine de failles connues pour lesquelles l’éditeur n’aurait pas
encore proposé de patchs correctifs.eEye Security ne publie cependant pas l’identité des failles en question par soucis de sécurité.
Microsoft, pour sa part, travaille et propose, par exemple, une
solution début février pour parer une faille, détectée au niveau de
l'affichage des URL dans la barre d'adresse d'Internet Explorer.
Celle-ci pouvait être exploitée pour afficher une adresse Internet
autre que celle du nom de domaine sur lequel est le navigateur. Un
risque de « phishing » : usurpation d’identité pour obtenir des informations confidentielles (bancaires par exemple) que des utilisateurs
donnent de bonne foi en croyant avoir à faire à un acteur connu.
Le suspens est relancé avec l’information mi-février qu’une partie
importante des codes sources de Windows circule sur le Net.
Microsoft porte plainte et confirme. La « communauté underground » de l’Internet affirme que de nouvelles failles vont être
trouvées en lisant directement ce code source et que l’éditeur
n’aura alors pas immédiatement de correctif à proposer. Que se
passera-t-il si une faille est exploitée par un ver ? Quelques jours
plus tard, un « anonyme » fait savoir sur le Net qu’une faille est
trouvée sur les fichiers bmp. Elle permet d’exécuter des codes
malicieux. Les éditeurs de logiciels anti-virus annoncent quelques
heures plus tard pouvoir détecter ces codes (cf l’information
fournie par Kapersky sur le site www.mag-securs.com). La suite
n’est pas encore connue à l’heure où nous écrivons ces lignes.
Aujourd’hui, il est parfaitement clair pour tous les professionnels
avertis que les logiciels, par nature, n’ont jamais été parfaits, ne
sont pas parfaits, et ne seront peut-être jamais parfaits. C’est un
art qui dépasse sans doute les capacités humaines ! Le « jeu » de
la recherche des failles est lancé entre les hackers et mafias d’une
part et éditeurs d’autre part. Et Microsoft intègre désormais cette
problématique au cœur de sa stratégie de sécurité. Les RSSI
doivent gérer cette situation, tant pour les environnements
logiciels propriétaires que pour les environnements open-source.
C’est une véritable question de management pour la profession.
Quasiment une question de sécurité économique à l’heure où
toute l’activité des pays développés repose sur les technologies de
l’information.
La seule véritable erreur serait de penser qu’il existe des SI non
exposés aux failles.
P. 32
Damase Tricart
Symantec
cache le crime organisée en
provenance des pays des l’Est ! »
Toutefois, sans prendre partie, il faut
noter que les premiers rapports
d’alertes concernant Mydoom sont
arrivés par le laboratoire de
Kaspersky. Marc Blanchard justifie
cette rapidité par le fait que des
ordinateurs gérés par des robots
localisés dans différentes parties du
monde chez Kaspersky et des partenaires analysent en permanence les
flux et envoient automatiquement
des bulletins d’alertes. Ainsi, avec le
décalage horaire, il y a toujours
quelqu’un pour réaliser un descriptif,
un anti-dote et nettoyer les
systèmes.
Comment
s’en protéger ?
La communauté des éditeurs est
unanime : Il faut des outils, des
procédures, et des hommes !
Pour les outils, la liste est bien
connue et s’enrichit chaque jour de
nouveaux produits toujours plus
performants : firewall, anti-virus,
anti-spams, anti-hoaxes, analyses des
vulnérabilités, systèmes de cryptage,
de gestion centralisée des remontées d’alerte, de déploiement de
patches en temps réel, le tout devant
être mis à jour quotidiennement.
Concernant les procédures, tout
doit commencer par une réelle
volonté hiérarchique. Puis, il est
nécessaire de se poser de multiples
questions : les correctifs de sécurité
sont-ils installés ? Les serveurs et
logiciels sont-ils bien paramétrés ?
Les utilisateurs sont-ils sensibilisés
aux risques de sécurité ? Un
exemple simple savent-ils (si cela est
Stéphane Pacalet
BitDefender
le cas) pourquoi leur mot de passe
doit comporter des majuscules,
minuscules, caractères spéciaux
et chiffres ?
Pour ce qui est de la « faille humaine
» les avis sont partagés. Pour les uns,
tel Eugénio Correnti, c’est la
méthode radicale qui prévaut : il
faut enlever la responsabilité à
l’utilisateur final par une véritable
sécurisation du poste par le contrôle
des applications clientes. Damase
Tricart abonde dans ce sens sur un
registre technique : « Un simple
paramétrage du serveur de messagerie afin de bloquer toute pièce
jointe avec une extension inutile au
travail comme (.scr, .pif, .exe,
.com…), limite grandement le risque
de virus du type Mydoom ! » Cette
méthode, qui a ses avantages, connaît
aussi des limites dans certaines
entreprises où il est parfois utile
d’envoyer ce type de fichiers. La
protection se transforme dans
certains cas en déni de service : un
comble ! Pour d’autres, tel Cyril
Voisin, il est important de sensibiliser les utilisateurs aux bonnes
pratiques (ne pas ouvrir les pièces
jointes) et de mette en place une
équipe de veille et des procédures
de réaction à une attaque impliquant
des personnes désignées à cet effet.
Pierre Forget recommande aussi de
bien lire les mails, de se méfier de
l’heure à laquelle ils sont envoyés et
de la cohérence du message !
L’important dans la mise en œuvre
de ces stratégies est de « tuer le
virus » à l’état embryonnaire comme
le souligne Robert Daré, pour cela,
tous les moyens sont bons !
n_003
CARRIÈRES
Propos recueillis par Marc Jacob
antic :
Dominique Boumont DRH de Qu
r
Nous souhaitons couvri service .
toutes les facettes du
“We want to cover all facets of the service”
Dominique Boumont, Recruitment Manager of Quantic
Quantic SSII de plus de 80 personnes vient de créer une division sécurité
des systèmes d’informations. Dominique Boumont, DRH et administrateur
financier présente ses perspectives de développement.
Quantic is a software house employing more than 80 people and has just set up
an information system security division. Dominique Boumont, who is the HR
director and financial administrator, outlines his development plans.
MS : Présentez-nous votre entreprise ?
DB : Notre entreprise est une SSII
constituée en 2000. Nous étions au départ
trois associés. Depuis, nous avons intégré
trois associés de plus qui détiennent environ
10% du capital. Notre projet d’entreprise est
de proposer à nos clients toutes les formes
de service dans notre créneau des infrastructures de NTIC (conseil, assistance technique, forfait, infogérence). Nos compétences des infrastructures portent sur les
systèmes et réseaux dans l’environnement
Microsoft, Novell, Unix, Linux et bien sûr
LAN et WAN. Nous avons aussi un département assistance à la maîtrise d’ouvrage et
d’œuvre dans tous les domaines techniques
sur lesquels nous travaillons (rédaction
d’appels d’offre, organisation d’Infogérance,
mouvement de plates-formes techniques)…
Fin 2003, nous avons créé une division
solutions sur le sujet de la Sécurité de
fonctionnement des Systèmes d’Information.
Cette dernière s’appuie sur notre savoir
faire pour proposer une offre complète,
service, logiciel, matériel orientée sécurité
de fonctionnement des SI.
MS : Dans le domaine de la sécurité, quelle
est votre offre ?
DB : dans ce domaine nous travaillons
en partenariat avec plusieurs éditeurs et
constructeurs dont l’offre technique répond
bien à la qualité de service que nous souhaitons offrir à nos clients. L’offre de notre
division solutions se décline sur trois axes :
- La sécurité des infrastructures. Celle-ci
MRA
Z UI N
LA
S EI N
CTUE RR NI TE ET
ILNEF O
MG
A TAI Q
E E• E
RU
E SRE O
A UPXE E
• NT E D
L EEC O
M •
n_003
repose en particulier sur des outils qui
permettent d’en détecter les dysfonctionnements et de les corriger. Ainsi, nous
intégrons l’offre de HP Openview pour
Windows, les solutions de Bindview et de
NetIQ. La disponibilité en est également
un thème important, avec des offres
de redondance active, clusters, reprise
d’activité, etc…
- La sécurité des données. Elle s’articule
pour nous autour des thèmes suivants :
sauvegarde, stockage (SAN et NAS), antivirus, cryptage etc... Dans le domaine du
stockage, par exemple, nous sommes
partenaire d’EMC2, de ADIC et de
Storagetek.
- La sécurité d’accès, comprenant les
firewalls,VPN, authentification, etc... Pour
les firewalls et VPN nous avons choisi de
travailler principalement avec Netscreen
et Check Point.
Cette division s’adresse plutôt au « middle
market » sans refuser bien entendu d’autres
catégories de clientèle.
MS : Quelle est votre politique de recrutement dans ce domaine ?
DB : Nous avons la même approche pour les
deux divisions. Nous recrutons à la demande
de nos clients des intervenants plutôt
expérimentés ayant un niveau Bac + 5 ou
DESS et aussi des Bac + 2 (BTS, DUT). Bien
sûr, il nous arrive aussi de recruter certaines
personnes sur leur compétence même si
nous n’avons pas de demande immédiate.
Carte d’identite
de l’entreprise
Date de création : 2000
Chiffre d’affaires 2003 : 6,3 millions €
Croissance 2003 : 30% du CA par
rapport en 2002
Effectif total : 85 personnes
SA constituée de capitaux privés.
MS : Comment faite vous pour recruter vos
collaborateurs ?
DB : Nous utilisons des canaux de recrutement assez classiques : la presse spécialisée,
l’APEC, quelques sites Web, la cooptation mais aussi parfois des candidatures
spontanées.
MS : Quelles sont vos perspectives de
recrutement pour 2004 ?
DB : Bon an mal an, nous intégrons environ
10% de personnes en plus. En 2004,
nous devrions engager un minimum de 10
personnes. Si nous constatons une véritable
reprise nous aurons sans doute plus de
candidats à trouver. Ces recrutements sont
réalisés en partie pour compenser les
départs qui représentent environ 5% de nos
effectifs. Le plus souvent ces défections sont
le fait de nos clients qui embauchent nos
collaborateurs. C’est le jeu ! Finalement ce
n’est pas si mal : nos anciens collaborateurs
sont nos meilleurs ambassadeurs chez
nos clients.
P. 33
Propos recueillis par Marc Jacob
La F.C.
de l’ENST Paris
enrichit
son offre
de formation Serge Krief,
responsable pedagogique
The continuous training
department at ENST Paris
expands its training program
La Formation Continue de Télécom Paris ouvre en juin 2004 une
nouvelle formation « Sécurité des réseaux ». Celle-ci est proposée soit
sous forme d’une option au Mastère « Réseaux », soit en tant que BADGE
(Bilan d’Aptitude Délivré par les Grandes Ecoles). Serge Krief, responsable
pédagogique de cette formation nous présente ces principaux objectifs.
Serge Krief,
in charge of
the teaching program
The continuous training department at Télécom Paris will introduce a new “Networks and
Security” training program in June 2004.The program will be available either as an option in
the masters degree in “Networks” or as part of the BADGE program (competence certification
program provided by the higher education institutes in France).
Serge Krief, who is in charge of the teaching program for this course, outlines his main objectives.
Mag Securs : Pouvez-vous nous présenter
la formation continue de Télécom Paris ?
Serge Krief : Nous proposons aujourd’hui une offre très variée de stages
inter-entreprises ou intra-entreprise, ainsi
que des formations qualifiantes et diplômantes : Mastères Spécialisés et BADGE
(formations accréditées par la Conférence
des grandes écoles) ainsi qu ‘un diplôme
d’université réalisé conjointement avec
l’Université de Paris 6.
Nos domaines de formation recouvrent
’ensemble des métiers des NTIC. Nos
formules vont de cycles de formation de
un à cinq jours à des formations plus
longues pouvant durer jusqu’à deux
années. Début juin 2004, nous ouvirons
une nouvelle formation centrée sur la
sécurité.
Cette formation constitue soit une option
P. 34
du Mastère Réseaux, soit un BADGE. Il
s’agit donc, et cela est nouveau, d’un
programme de développement de carrière
pluriannuel ou accéléré. Pour le BADGE
« Sécurité des réseaux », les inscriptions
seront reçues jusqu’à courant mai 2004.
MS : Quels sont les objectifs de votre
formation sécurité ?
SK : Le BADGE « Sécurité des réseaux » a
pour objectif d’apporter à des professionnels toutes les compétences nécessaires
en matière de sécurité. A cet effet, notre
programme se compose de dix modules,
qui vont de la définition des concepts
de sécurité au management de la sécurité,
en passant par la sécurité du Wi-Fi.
MS : Combien d’heures sur ce sujet sont
dispensées aux étudiants ?
SK : Notre BADGE est une formation sur
trente cinq jours étalées sur 8 mois, ce qui
correspond à deux cent dix heures de
cours.
MS : Combien d’élèves comptez-vous
former cette année et pour quels types de
poste ?
SK : Dix étudiants ont choisi l’option
sécurité du mastère Réseaux. Pour le
BADGE, nous comptons sur une dizaine de
personnes. Pour garantir un bon niveau de
formation, nous sommes très sélectifs sur
la qualité des étudiants recrutés.Ainsi, pour
les Mastères, nous recrutons uniquement
des personnes ayant Bac +5 (école d’ingénieurs ou Université), ou Bac + 4 dans le
domaine informatique ou réseaux avec une
expérience professionnelle d’au moins 3
ans. Pour les BADGE, les stagiaires doivent
n_003
CARRIÈRES
Serge Krief,
responsable
pédagogique
Carte d’identite de
Telecom Paris
(Ecole Nationale
Superieure des
Telecoms)
Date de création : 1878 pour l’ENST
Pour la Formation Continue : 1983
Sites : deux à Paris
Nombre d’ingénieurs formés en
2001/2002 : 280 à l’ENST
Pour la Formation Continue : 1.800
stagiaires en 2003
Web : www.enst.fr
©
Ph
ot
o
EN
ST
avoir au minimum Bac + 2, et cinq à dix
d’expérience en entreprise dans les domaines
de l’informatique, des réseaux, du
management...
MS : Quelles principales qualités demandez-vous à vos candidats ?
SK : Nous souhaitons qu’ils aient une
bonne vision de l’ensemble des problèmes,
car la sécurité doit être considérée comme
un métier global dans une entreprise. Les
responsables sécurité ne doivent donc pas
uniquement s’intéresser aux problèmes
purement informatiques. Il faut qu’ils aient
une grande facilité d’adaptation et de
compréhension. Il leur est aussi nécessaire
d’être à la fois souples et exigeants afin
d’imposer leurs points de vue lorsque la
sécurité des systèmes d’information de
leur entreprise est en jeu.
MS : D’après-vous quels sont les principales connaissances que doit avoir acquis un
stagiaire à la fi n de votre formation ?
SK : Une bonne politique de sécurité
comprend toujours plusieurs volets, les
connaissances acquises par les stagiaires à
la fin de notre formation seront, je l'espère,
multiples. Elles devront être techniques,
juridiques et organisationnelles.
MS : Avez-vous établi des partenariats avec
des entreprises du domaine ?
n_003
SK : L’école dispose de spécialistes reconnus dans le domaine de la sécurité et nous
faisons appel à des professionnels, experts
dans ce domaine, pour certains cours.
Sans exclure de partenariats dans le futur, il
est indispensable de préserver notre
indépendance vis à vis des fournisseurs de
solutions.
MS : Qu’est-ce qui vous différencie des
offres existantes ?
SK : Tout d’abord, la modularité de notre
offre de formation, puis, le service offert
aux étudiants. Par exemple, cette formation
bénéficie d’un dispositif de révision à
distance : certaines conférences sont
filmées sur place et les stagiaires peuvent
les revoir en ligne, de chez eux ou de leurs
lieux de travail. Nous avons aussi inclus
dans la formation l’obligation pour les
stagiaires de réaliser deux projets avec
soutenance devant les enseignants et les
autres élèves. Nous souhaitons aussi faire
comprendre à nos stagiaires le fait qu’il faut
aujourd’hui considérer la sécurité de
manière globale, un peu comme on le fait
pour l’administration de réseaux, et non
comme on l’a fait jusqu’à présent, à
savoir, comme de simples éléments complémentaires (anti-virus, pare-feu...)
que l’on rajoute.
MS : Quels sont les coûts de cette
formation (BADGE) et les possibilités de
financement pour les stagiaires et/ou les
entreprises ?
SK : Le coût du BADGE “ Sécurité des
réseaux ” est de 5.100 euros.
Pour les possibilités de financement,
tout dépend du statut de la personne et
de son entreprise. Des solutions existent,
par exemple, le congé individuel de
formation.
MS : Qui sont les recruteurs les plus
importants dans le domaine de la sécurité ?
SK : Ce sont principalement les grandes et
moyennes entreprises tous domaines
d’activités confondus (banque, assurances,
constructeurs...) et les SSII. Pour les PME, la
sécurité est en général, fait en interne par
un spécialiste de l’informatique ou des
réseaux dont la sécurité n’est pas la tache
unique.
MS : Quels sont vos projets pour 2004/
2005 ?
SK : Nous envisageons de mettre en place
un nouveau BADGE dont le thème sera la
mobilité. Cette formation traitera bien sûr
du Wi-Fi, mais aussi du GSM, du GPRS, de
l’UMTS et de toutes les technologies liées
à la mobilité, ainsi que des usages et de
l’organisation. Nous envisageons aussi un
nouveau mastère “ mobilité et sécurité ”
par capitalisation de BADGE.
P.35
Retrouvez des centaines d’offres d’emploi en partenariat avec www.webcible.com sur :
www.mag-securs.com
Pour passer vos offres d’emploi : Marc Brami
Tél.: +33 1 40 92 05 55 - [email protected]
Bulletin d’abonnement
Je m’abonne à
Je souscris
pour un an (trimestriel), soit 4 numéros.
abonnement(s).Tarif : 50 € TTC (48,97 € HT – TVA à 2,10%) pour la France Métropolitaine.
60 € hors France Métropolitaine.
Par abonnement supplémentaire (même société et titulaire différent), 30 € TTC (29,38 € HT – TVA à 2,10%)
pour la France Métropolitaine et 40 € hors France Métropolitaine.
Ci-joint mon règlement par chèque bancaire ou postal à l’ordre de « Editions de la Communication ». Une facture vous sera
adressée automatiquement en retour.
Vous pouvez agrafer votre carte de visite.
Nom
Prénom
Société
Fax
e-mail
Adresse
Tél.
Date et signature
En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au
traitement de votre commande et sont communiquées aux destinataires la traitan. Elles peuvent donner lieu
à l’exercice du droit d’accès et de rectification auprès des Editions de la Communication.Vous pouvez vous
opposer à ce que vos noms et adresses soient cédés ultérieurement.
A retourner à :
« Editions de la Communication Abonnement »
17 avenue Marcelin Berthelot – 92 320 Châtillon
tél. : +33 1 40 92 05 55 fax : +33 1 46 56 20 91
n_003

mag securs inter n¡3

Transcription

Documents pareils

La mobilité 2.0 (seconde partie)

Le serveur IDCONFIRM 1000

Disk Encryption Add-On

Connexion à la partie privée du site web

Parmi ses différentes missions, la Banque de

Tableaux comparatif de solutions logiciels pour M2L

Oracle, sécurité

Communiqué de Presse 3M SALON CARTESdecembre2010.002

AUTHENTIFICATION GMAIL PAR MOT DE PASSE D`APPLICATION

Web Access Manager