LA SécURIté DES DonnéES - Association Télécom Bretagne | Alumni

Transcription

LA REVUE DES DIPLômés de telecom bretagne
Numéro 42 - Février 2014
la sécurité des données
Sécurité sur un cloud
Impact du matériel
Cybersécurité
LTE
Direction
Thierry Oisel
Rédacteurs en chef
03 EDITO
04 Sécurité des données
Sébastien Bonnet
Marc Watiez
04 Retour sur les événements sécurité de l'année
Contributeurs
10 La sécurité appliquée aux DSI
Lionel Arbey
Sébastien Bonnet
Guillaume Duc
Fabien Germont
Isabelle Kraemer
Brieg Le Dean
Christian Le Gall
Jong-Hyouk Lee
Guillaume Ninot
Sébastien Payoux
Marc Watiez
Fabrication
Sébastien Weisskopp
Couverture
Sébastien Weisskopp
Publication
La revue de Télécom Bretagne Alumni
37 rue Dareau
75014 Paris
www.aitb.org
Impression
A.Print Imprimeurs
23, rue Lacharrière
75011 Paris- 01 42 22 33 33
Tirage
400 exemplaires
Phare Ouest • Numéro 42 • Février 2014
07 Interview de Guillaume Ninot
14
Sécurité des données bancaires
18
La sécurité du LTE…
22
Impact du matériel sur la sécurité des données
24
Cybersécurité et Centre de supervision des Menaces
26
Cybersécurité de l'espace aérien
28
OS cloisonnant et multi-niveaux
32 Data Security in Cloud Computing
33 Enquète carrière
50 Plein phare association
3
EDITO
Plus que jamais d’actualité, la sécurité des données est le thème que nous
avons choisi d’aborder dans ce numéro de Phare Ouest. En 2013, les révélations de l’affaire Snowden ont permis au grand public de prendre conscience de
l’ampleur du phénomène. En 2011 déjà Sony avait été victime d’une spectaculaire attaque sur Internet : des données personnelles provenant d’environ
77amillions de comptes du Playstation Network avaient ainsi été piratées. Ce
ne sont que des exemples, voire la partie émergée de l’iceberg…
La numérisation des données (texte, son, image, vidéo, géolocalisation, etc.) s’est
généralisée lors de cette décennie. Dorénavant, l’Internet est un espace qui fait
partie de notre vie quotidienne. L’individu, connecté en permanence, doit faire
un effort conscient pour se déconnecter.
Certains acteurs de l’Internet collectent silencieusement nos données personnelles pour savoir où nous sommes, ce que nous faisons, ce que nous achetons,
quels sont nos amis, etc. Théoriquement, nous pouvons nous déconnecter mais notre mode de vie a basculé
dans le tout numérique. Sans numérique, point de paiement par carte bancaire, de transports en commun, de
téléphone, d’assurance maladie, etc.
A tel point que la gendarmerie a lancé le 12 décembre 2013 « le permis Internet » pour les enfants de classe
de CM2 afin de sensibiliser cette population à la sécurité des données.
Nous sommes passés d’un concept d’échange d’informations
entre personnes respectueuses d’autrui à l’intrusion du
Pour les cotisants,
numérique dans la vie de tout un chacun. Nous constatons
l’apparition d’usages imprévus et la nécessité de les réglementer téléchargez votre phare ouest
puisque la « nétiquette » des années 1990 est complètement
En version numérique
dépassée par l’évolution des services numériques. De plus, un
http://www.aitb.org/publications/
petit nombre d’acteurs gère une énorme masse de données
phare - ouest/archives - phare - ouest/
personnelles avec les problèmes de sécurité associés.
Dans ce contexte, l’ingénieur télécom a un rôle important
à jouer pour proposer des solutions et rappeler que ces
nouveaux usages s’appuient sur une infrastructure technique
qu’il convient de remettre au service de l’éthique.
▪
Thierry OISEL, Promo 1983
[email protected]
Président de Télécom Bretagne Alumni
Vidéos du colloque
« The Futures of Privacy »
organisé par l’Institut
MINes -télécom le 17 octobre
http://tinyurl.com/pgfrs5x
Bibliographie
Catherine Dartiguepeyrou, “The Futures of Privacy”,
séminaire de la Fondation Télécom dans le cadre du think
tank Futur numérique de l'Institut Mines-Télécom, 17
octobre 2013
4
LA Sécurité des données
Retour sur lES événements
sécurité de l’année
Quel est pour vous le feuilleton de l'année ? House of card,
Game of Thrones...? Vous n'y êtes pas du tout ! Éteignez vos
télés et suivez plutôt la première saison du feuilleton « Edward
Snowden », diffusé principalement par les quotidiens « The
Guardian » et « The Washington Post » ! Tous les ingrédients
sont réunis : suspense, démentis, lutte contre le terrorisme,
espionnage industriel… Je vous propose dans cet article de
revenir sur les principales révélations apportées par E. Snowden
et d'en tirer les leçons qui s'imposent.
Programme d’enregistrement
des métadonnées
téléphoniques
Vous passez un coup de téléphone
vers les États-Unis ou depuis les
États-Unis ? Alors les métadonnées
de votre appel, fixe ou mobile, ont
probablement été transmises à la
NSA par les opérateurs téléphoniques
basés sur le sol américain. On entend
par métadonnées le contenant de
l'appel (numéros des participants, date
et durée de l'appel...), le contenu de
l'appel n'étant pas enregistré.
Le quotidien « The Guardian » qui
fait ces révélations[1] s'appuie sur
un document officiel de la « Foreign
Intelligence Surveillance Court »
(« FISC »). Cette cour fédérale américaine
créée en 1978 et réorganisée en 2001
dans le cadre du Patriot Act, est chargée
de vérifier la légalité des demandes
de surveillance électronique émanant
notamment de la NSA. Les décisions
de cette cour sont gardées secrètes
pendant 30 ans et leur pertinence
juridique ne peut donc être contestée
par aucune autre autorité judiciaire[2].
Ainsi, la décision qui a fuité dans
la presse impose à l'opérateur
télécom Verizon Business de trans-
mettre de manière quotidienne à la
NSA les métadonnées de l'ensemble
des appels téléphoniques provenant
ou à destination des États-Unis. La
nature de l'autorisation est stupéfiante,
puisque tout appel est concerné, que
les participants soient suspectés ou
non. L'autorisation révélée par « The
Guardian » était valable d'avril à juin
2013, mais il semblerait que cette
autorisation type soit renouvelée
depuis 2006. Et que des mandats
similaires existent pour la plupart
des opérateurs télécoms ayant des
activités aux États-Unis, de sorte que
99% des appels seraient concernés[3].
Programme PRISM
Votre boîte mail personnelle ou
professionnelle est hébergée par
Yahoo, Gmail ou MSN/Outlook ? Vous
hébergez vos données sur iCloud ou
Google Drive? Vous téléphonez avec
Skype ? Vous avez un profil Facebook
que vous pensiez avoir suffisamment
protégé ? Sachez que selon les
documents rendus publics par Edward
Snowden[4], la NSA est en capacité
d'aller récupérer toutes les données
des comptes utilisateur des sociétés
suivantes : Microsoft, Yahoo, Google,
Facebook, PalTalk, Youtube, Skype, AOL
et Apple. C'est le fameux programme
PRISM, mis en place progressivement
depuis 2007.
Sur le plan juridique, c'est de nouveau
la FISC qui autorise ce programme,
par des mandats valables un an et
reconduits pour l'instant tous les ans.
La NSA n'a donc pas besoin d'obtenir
de mandat individuel de la cour pour
accéder à la totalité des données d'un
utilisateur. Attention, l'autorisation
délivrée par la FISC impose des
conditions : la NSA ne doit pas cibler
les citoyens américains ou les individus
situés sur le sol américain. Pas de quoi
rassurer un Européen !
Programme
TEMPORA et MUSCULAR
Vous pensiez que le VPN MPLS de votre
entreprise suffisait à garantir la confidentialité de vos données sensiblesa?
Vous hébergez vos données sur un
datacenter en Grande-Bretagne ?
Sachez que les services secrets britanniques, le GCHQ, écoutent les contenus
des échanges circulant par les câbles
transatlantiques de leur territoire, et
souhaitent à terme être en capacité
d'écouter 90% de ce trafic.
5
Selon « The Guardian »[5], le GCHQ
aurait en effet passé des « partenariats forcés » avec sept opérateurs
du Royaume qui exploitent les câbles
transatlantiques : British Telecom,
Vodafone Cable, Verizon Business,
Global Crossing, Level 3, Viatel et
Interoute. L'accord permet d'accéder
grâce à des démultiplexeurs optiques
à 200 fibres optiques de 10Gb/s. Mais
des limitations techniques empêchent
le GCHQ d'exploiter plus du quart
de ces fibres de manière simultanée.
Les données sont conservées pendant
3ajours tandis que les métadonnées
sont conservées 30 jours.
Le GCHQ partage une partie de
ces informations (l'équivalent de
20Gb/s) avec la NSA dans le cadre
du Programme MUSCULAR. La NSA
récupère ainsi des données sur... les
utilisateurs de Google et Yahoo[6]
dans un cadre juridique encore moins
contraignant que le programme PRISM.
En effet, comme la NSA récupère les
données à l'étranger, elle n'est plus
tenue de passer par la FISC, il suffit
que l'organisme allié autorise ce
type d'accord. Et sur ce point, des
avocats du GCHQ auraient déclarés à
la NSA : « Nous avons une structure
de supervision légère par rapport aux
Etats-Unis »[7]. Ça promet ! Les services
de renseignement français auraient
d'ailleurs des accords similaires avec
leurs homologues américains[8]
de collaborer avec les services secrets
britanniques et américains ne font
qu'appliquer la loi (c'est un point
discutable) et ont interdiction formelle
de révéler l'existence des programmes
de surveillance. Ça sent les longs
combats juridiques.
parce que leurs appels téléphoniques
(métadonnées) ont été passés au
crible ? Impossible de donner une
réponse précise à toutes ces questions.
Qu'importe, elles sont plus que jamais
d'actualité et légitimes, et imposent
une réaction.
Mais finalement,
quel est le problème ?
Quelles mesures s'imposent
Les sociétés forcées
de collaborer n'ont pas
le droit de communiquer
Pourquoi faudrait-il s'indigner si ces
programmes sont mis en place pour
lutter contre le terrorisme ? Évidemment,
si ces programmes permettaient de
répondre exclusivement à leur objectif
officiel, en garantissant la vie privée
de chaque individu, il serait difficile
de s'y opposer. Mais n'y a-t-il pas
un risque que ces outils surpuissants,
qui permettent la collecte et l'analyse
massive de données, soient utilisés à
d'autres fins ? Les garanties aujourd'hui
semblent bien minces, tant le nombre
de personnes pouvant potentiellement avoir accès à ces outils est
immense - estimé à 850 000 pour les
États-Unis et la Grande-Bretagne[9] et tant les contrôles semblent faibles
- des parlementaires américains de
tout bord s'inquiètent de ce dernier
point[10]. Qu'est-ce qui garantit
qu'une personne mal intentionnée
ayant accès aux systèmes d'écoute ne
mette pas à profit sa situation pour
partager ses informations avec une
officine privéea? Le fait qu’E. Snowden
ait été en capacité de sortir autant
d'informations laisse penser que le
risque n'est pas totalement maîtrisé.
Vous pensiez avoir fait l'essentiel en
imposant des clauses de confidentialité
dans vos contrats avec des prestataires télécoms / informatiques, ou en
leur imposant de vous communiquer
le moindre incident de sécuritéa?
Ces clauses pourraient s'avérer peu
efficaces si vos données venaient à
être récupérées par des agences de
renseignement : les sociétés forcées
Combien d'entreprises françaises ont
perdu des contrats parce que leurs
commerciaux ont échangé par mail
des informations susceptibles de faire
basculer un appel d'offres ? Combien
d'années de recherche et développement ont été gagnées par des
sociétés concurrentes pour les mêmes
raisonsa? Combien de journalistes
se sont faits repérer leurs sources
… au-delà des annonces marketing
pour rétablir la confiance et redresser
les ventes des sociétés éclaboussées Cisco affiche une baisse de 25% de ses
ventes en Chine, au Brésil et en Russie
suite à l'affaire E. Snowden.
Les mesures réglementaires
L'interdiction de la surveillance électronique reviendrait à inciter les services
de renseignement à mettre en place des
programmes illégaux et non contrôlés.
L'enjeu est donc plutôt de garantir
le bon usage des enregistrements :
limitation des données remontées aux
services de renseignement ; diminution
du nombre des personnes habilitées
à accéder à ces données ; autorisation individuelle accordée par un
juge ; renforcement des contrôles de
l'utilisation des outils de surveillance ;
pénalités en cas de dérive ; protection
des données collectées afin qu'elles
ne soient pas exploitables par d'autres
moyens que ceux affichés.
‑
Les mesures à l'échelle d'une entreprise
Il devient difficile d'affirmer sans
conséquence « je ne chiffre pas mes
données sensibles car il y a peu de
chance qu'elles soient interceptées ».
Vous devez mettre en cohérence vos
pratiques avec la sensibilité de vos
données. Vous pouvez influer sur les
décisions et pousser pour que les
systèmes soient mieux sécurisés.
Quelques mesures s'imposent :
allocation d'un budget plus important
à la sécurité, chiffrement systématique
6
et robuste des échanges sensibles sur
Internet et sur le réseau interne de
votre entreprise, conservation de la
maîtrise de vos données en limitant les
cas d'externalisation... Si vous songez
héberger vos données personnelles ou
professionnelles aux États-Unis, par
exemple dans le Cloud, évaluez les
impacts en cas de compromission de
vos données, et ne donnez aucune
valeur à des promesses du type : « on
vous chiffre vos données ». Microsoft
partage par exemple certaines de
ses clés de chiffrement avec la NSA
selon des documents révélés par « The
Guardian ».
▪
Référence
[1] Décision de la FISC concernant Verizon : http://www.theguardian.com/world/2013/
jun/06/nsa-phone-records-verizon-court-order
[2] Polémique sur le mode de fonctionnement de la FISC : http://www.theguardian.com/
commentisfree/2013/jul/29/end-nsa-secrecy-fisa-court-oversight
[3] Détails sur la surveillance du réseau téléphonique des Etats-Unis : http://online.wsj.com/
news/articles/SB10001424127887324049504578543800240266368
[4] Synthèse de PRISM réalisée par le Washington Post : http://apps.washingtonpost.com/g/
page/national/inner-workings-of-a-top-secret-spy-program/282/
[5] Programme TEMPORA : http://www.theguardian.com/uk/2013/jun/21/gchq-cablessecret-world-communications-nsa
[6] Écoute des échanges de Google ou Yahoo : http://www.washingtonpost.com/blogs/theswitch/wp/2013/11/04/how-we-know-the-nsa-had-access-to-internal-google-and-yahoocloud-data/
[7] Programme TEMPORA : http://www.theguardian.com/uk/2013/jun/21/gchq-cablessecret-world-communications-nsa
[8] Programme de la DGSE/DCRI : http://www.lemonde.fr/technologies/article/2013/11/29/
la-france-precieux-partenaire-de-l-espionnage-de-la-nsa_3522653_651865.html
[9] Habilitations au programme Tempora : http://www.theguardian.com/uk/2013/jun/21/
gchq-cables-secret-world-communications-nsa
[10] Réflexions des parlementaires américains sur l'efficacité des contrôles de la FISC :
http://www.theguardian.com/commentisfree/2013/jul/29/end-nsa-secrecy-fisa-court-oversight
[11] Microsoft partage ses clés de chiffrement : http://www.theguardian.com/world/2013/
jul/11/microsoft-nsa-collaboration-user-data
Brieg LE DEAN
Promo 2006
[email protected]
Consultant en Sécurité des
Systèmes d'Information,
Brieg travaille dans la
sécurité des SI depuis
sept ans et réalise essentiellement des missions
d’audit, d’analyse de risques
et d’accompagnement à la
mise en place de la sécurité. Ses sujets du
moment sont le Cloud, la mobilité, la visioconférence / télé-présence et les réseaux opérateurs.
7
Interview de Guillaume, Analyste
Support technique chez Esker
par sébastien bonnet
GUILLAUME NINOT
PROMO 2010
guillaume.ninot @ gmail.com
Cette interview a été réalisée début 2013.
Aujourd'hui Guillaume a quitté Esker pour s'installer au Canada.
Bonjour Guillaume, tu es diplômé de
Telecom Bretagne depuis deux ans
maintenant. Peux-tu te présenter et
nous décrire ton parcours scolaire et
professionnel ?
non techniques : commerciaux, chefs
de projet, « account manager » et
bien sûr auprès des clients eux-mêmes.
Mes missions dans l’équipe d’experts
locaux étaient multiples dans une
organisation à taille relativement
limitée : démonstrations clients, audits,
suivi de projet, support clients, support
utilisateurs…
‑
J’ai suivi la formation d’Ingénieur en
partenariat, en alternance avec une
filiale d’Orange Business Services,
spécialisée dans les systèmes de
téléphonie pour les salles de marchés.
J’ai travaillé les deux premières années
au siège de l’entreprise à Paris, au sein
de l’équipe de support et validation.
J’étais principalement chargé de
réaliser les campagnes de tests de
validation des nouveaux produits et
versions afin de s’assurer d’une qualité
optimale lors de la mise sur le marché.
En troisième année, lors de la dernière
période entreprise de six mois, j’ai
travaillé au sein de la filiale anglaise
à Londres. Outre l’activité de support
niveau 2 quotidien, mon expérience
précédente dans l’équipe de support
à Paris en contact permanent avec la
R&D, m’a permis de jouer un rôle de
référent technique pour les métiers
A la suite de cette alternance et de
l’obtention de mon diplôme à Télécom,
j’ai souhaité revenir en France et plus
précisément à Lyon, tout en restant
dans un contexte international. J’ai
donc intégré Esker qui ne réalise que
30% de son chiffre d’affaires en France
et environ 50% aux Etats-Unis. Dans
l’équipe de support technique international de 8 ingénieurs, je dois d’abord
aider les ingénieurs des filiales lors
de la mise en place des projets chez
les clients. Mais également traiter les
problèmes remontés par les ingénieurs
niveau 1.
Quel est le domaine d'expertise
d'Eskera? Quels types d'entreprises
ciblez-vous ?
Esker est un éditeur de logiciels, leader
mondial des solutions de dématérialisation des processus documentaires,
notamment le traitement des factures
clients, fournisseurs, des bons de
commande et plus globalement de la
diffusion de documents par courrier,
fax, SMS ou e-mail.
Nos clients sont des entreprises ou
des organisations de toutes tailles et
de tous domaines (Industries, santé,
télécoms, services publics…) qui
utilisent nos solutions pour une partie
ou l’ensemble de leurs processus. Des
cibles très variées donc, principalement
en Amérique du Nord, Europe, Australie,
Malaisie et à Singapour.
On peut retenir deux différentes
solutions pour la dématérialisation. Le
"cloud" et le "on premises".
Quelles sont leurs points communs et
différences ? Quelles sont les raisons
qui vont pousser une entreprise à se
tourner vers une des deux solutions ?
8
Bien que certaines fonctionnalités
soient réservées à la solution « Cloud »
(Esker On Demand) qui bénéficie de
mises à jour plus régulières, le logiciel
en lui-même reste le même dans les
deux cas.
La solution « OnPremises » (Esker
DeliveryWare) est la solution historique.
A l’inverse la solution Cloud est plus
récente mais bat des records de trafic
chaque année.
La tendance s’oriente donc plutôt vers
le « Cloud », bien que les raisons
qui poussent un client à choisir une
solution plutôt qu’une autre sont
propres à chacun d’entre eux.
En mode « OnPremises », le logiciel
est installé chez le client sur son
propre matériel. Même s’il a la possibilité de souscrire à un contrat de
support, l’administration du serveur, y
compris logicielle, reste entièrement
à sa charge. Les données sont donc
stockées en local et la plupart du
temps ne sortent jamais de l’entreprise.
Le principal avantage pour le client
est souvent le sentiment de maîtrise
du risque. En effet, une fois le système
installé, configuré, testé et validé par
les utilisateurs, il peut décider de
garder la configuration figée afin de
réduire au maximum le risque d’un
impact quelconque sur la production
qui pourrait perturber le travail des
utilisateurs.
OnDemand, Cloud, Saas, de nombreuses
terminologies existent pour nommer
ce mode d’exploitation largement
popularisé par SalesForce dans le
monde professionnel ou par Google,
Amazon et Yahoo pour tous les internautes. Dans ce mode, Esker héberge
l’installation du produit et assure la
maintenance, les mises à jour et la
sécurité des données. Les utilisateurs
peuvent accéder à leurs documents par
l’intermédiaire d’un navigateur internet
ou même en web services.
Les avantages de cette solution sont
nombreux pour le client et pour l’éditeur.
Tout d’abord la mise en place est très
rapide. Le délai entre la définition des
besoins et la mise en production est
raccourci puisqu’il n’est pas nécessaire
Dans un contexte économique
actuel plutôt morose, où les
entreprises hésitent beaucoup
avant d’investir de grosses
sommes, ce fonctionnement
séduit”
d’acheter le matériel ni d’installer et
de configurer le système d’exploitation
et le logiciel. Il ne reste en fait que
l’implémentation du workflow pour
correspondre aux besoins du client
et du flux documentaire qu’il a choisi
de dématérialiser. Ensuite les utilisateurs bénéficient automatiquement
de toutes les dernières mises à jour
installées régulièrement par une
équipe dédiée. On peut aussi noter
que le support aux utilisateurs est
largement facilité et donc souvent
plus rapide par rapport à une solution
OnPremises. En effet toutes les informations de diagnostic (traces, logs,…)
sont directement accessibles par les
équipes de support. Il y a également
une équipe d’exploitation dédiée qui
surveille en permanence l’ensemble
du système pour détecter le moindre
dysfonctionnement. Des économies
d’échelles permettant à Esker d’assurer
une disponibilité du service maximum
24h/24, 7j/7, impossible avec les seules
ressources IT d’une entreprise.
Ces deux types de solutions se
différencient aussi au niveau des coûts.
Une installation sur site nécessite
en général un investissement assez
conséquent au démarrage du projet. En
effet le client devra acquérir le matériel,
l’installer, acheter une licence et payer
les frais d’implémentation. Ensuite,
il faudra encore assurer la maintenance du matériel et l’administration
du serveur ainsi que le contrat de
support qui permet de bénéficier
de toutes les ressources disponibles
d’Esker pour investiguer tout problème
survenant après la mise en production.
A l’inverse, la solution OnDemand ne
nécessite qu’un faible investissement
pour être mise en œuvre. Après quoi le
client paye à la consommation ou sous
forme d’abonnement, généralement en
fonction du nombre de documents
traités ou envoyés par fax ou par
courrier. Le retour sur investissement
est donc quasi-immédiat. Dans un
contexte économique actuel plutôt
morose, où les entreprises hésitent
beaucoup avant d’investir de grosses
sommes, ce fonctionnement séduit.
Ces nouvelles technologies au service
des entreprises ont fait émerger de
nouveaux risques pour vos clients. Par
exemple, la sécurité des données, leur
intégrité, leur confidentialité, mais
aussi leur disponibilité.
Certaines données stockées sont
classées comme étant sensibles. Quels
sont vos dispositifs de fiabilisation du
service ?
Tout d’abord, la fiabilisation du service
se situe à plusieurs niveaux afin de
répondre aux multiples aspects de la
sécurité des données. Les dispositifs
mis en place sont bien sûr principalement techniques mais pas
seulement, ils sont aussi par exemple
organisationnels : accès physique aux
serveurs, politique de droit d’accès aux
données…
Le plus important à retenir est
que l’ensemble de ces dispositifs
s’accompagne de très nombreuses
certifications et de cadres légaux incon-
9
tournables. Ces certifications valident
non seulement la pertinence des
moyens mis en place mais également
leur efficacité.
• Pour la partie technique, les procédés
restent globalement les mêmes que
pour tout système d’information,
notamment :
• Pour l’intégrité : la réplication des
données en temps réel à différents
lieux géographiques permettant la
restauration du système à tout moment.
Pour la confidentialité : une chaîne
de confiance entre l’émetteur et le
récepteur par le biais de certificats
garantissant l’identité du propriétaire.
Pour la disponibilité : la réplication
des serveurs web permettant la restauration du service à tout moment.
• Pour la sécurité informatique :
transfert des données par protocole
sécurisé (SSL) assurant la protection
des échanges.
• Pour la sécurité physique : surveillance de l’infrastructure physique
(hébergement en salle blanche, contrôle
de la température, du taux d’humidité
et de pression, infrastructure électrique
avec générateurs de secours…) pour
prévenir tout problème matériel.
missions des données
Existe-t-il des certifications permettant
d'assurer à vos clients votre savoirfaire ?
25 contrôles ont été mis en œuvre en
interne pour satisfaire ces objectifs,
parmi lesquels :
Esker est certifié SSAE 16 (Statement on
Standards for Attestation Engagements)
et ISAE 3402 ( International Standard
on Assurance Engagements) pour ses
solutions de dématérialisation à la
demande. Ces certifications valident la
qualité et l’intégrité des processus de
contrôles internes d’Esker auprès de
ses clients.
• sécurité des datacenters
Nos clients nous confient le traitement
de leurs documents de gestion
et de leurs données financières.
Pour garantir la sécurité et l'intégrité
des informations transitant sur notre
infrastructure, un audit indépendant a
été mené et Esker a pu être certifié sur
la base de points de contrôle, incluant :
• environnement de contrôle
• sécurité physique et gestion des
risques • sécurité environnementale
• opérations informatiques
• sécurité de l'information
• surveillance de l’infrastructure
• accès logistique
• fonctionnement optimal de
l’infrastructure
informatique
(sauvegardes, reporting, conservation
et disponibilité des données) ‑
• Recrutement
Nous avons également obtenu la certification « Safe Harbor » délivrée par
le département du Commerce des
Etats-Unis. Cette certification fournit
un cadre et une protection juridique
pour le transfert sécurisé de données
personnelles des pays européens
vers les Etats-Unis. Cela nous permet
de garantir à nos clients américains
que nous respectons les conditions
de protection et de confidentialité
exigées par la norme européenne sur
la protection des données collectées
dans l’UE.
▪
• développements applicatifs et trans-
10 LA Sécurité des données
La sécurité appliquée aux DSI
L'inconscient collectif associe quasiment systématiquement la sécurité informatique aux images vues
dans les films d'espionnage, mettant en scène de jeunes
hackers forçant des systèmes en quelques secondes, ou
des hauts dignitaires pénétrant dans des salles après
s’être authentifiés grâce à leurs empreintes digitales. Ce
n'est bien entendu qu'une partie infime et assez caricaturale du sujet qu'est la sécurité des données.
Une sécurisation
de l'information
plus que des données
Ce domaine vise, comme son nom
l'indique, à protéger des données.
Mais au-delà de la donnée, qui n'est
qu'un vecteur, l'enjeu est avant tout
de protéger l'information qu'elle
véhicule. Et finalement, la protéger
contre quoi ? Contre un hacker qui
revendrait l'information ? Oui. Mais
également contre un incendie qui
détruirait son stockage, contre une
coupure électrique qui limiterait son
accès, contre un employé maladroit qui
la divulguerait dans un lieu public, ou
contre une personne malveillante qui
récupérerait des documents auprès de
l'imprimante. La liste est longue.
Ces quelques exemples mettent en
lumière les trois composantes de la
sécurité de l'information : l'entreprise
va chercher à garantir la confidentialité1, la disponibilité2 et l'intégrité3 de
ses informations. Et il serait faux de
penser que l'objectif de confidentialité
prévaut systématiquement sur les deux
autres. Par exemple, il est bien plus
important que des preuves comptables
soient intègres que confidentielles.
Dans le secteur médical, l'importance
de la disponibilité et de l'intégrité
des informations relatives aux patients
croît avec le développement de
l'information hospitalière.
L'entreprise va
chercher à garantir
la confidentialité,
la disponibilité et
l'intégrité de ses
informations.”
L'analyse de risque :
la clé de l'efficience
en matière de sécurité
de l'information
L'entreprise va chercher à obtenir
cette garantie de protection grâce
à des dispositifs, techniques ou
organisationnels, de sécurisation de
l'information. Aussi, la performance de
ces dispositifs sera évaluée avant tout
au regard de leur efficacité. Mais dans
un contexte où la Direction du Système
d'Information s'organise de plus en
plus en fournisseur de services auprès
des métiers, l'efficience du dispositif
devient un enjeu clé.
Cette tendance est visible dans
l'orientation prise par la norme ISO
20 000 ("Gestion des services informatiques") qui incite avant tout l'entreprise
à dimensionner ses ressources en
fonction de ses justes besoins. Cet
objectif vise notamment à limiter le
surdimensionnement des infrastructures et des systèmes au détriment
1
Propriété selon laquelle l'information n'est pas rendue accessible ou divulguée à des personnes, entité ou processus non autorisés (ISO/CEI 27001 : 2005)
2
Propriété d'être accessible à la demande par une entité autorisée (ISO/CEI 27001 : 2005)
3
Propriété de protection de l'exactitude et de l'exhaustivité des actifs (ISO/CEI 27001 : 2005)
11
des métiers (ie. des clients des services
de la DSI) qui voient le coût refacturé
augmenter en conséquence.
Ainsi, l'objectif n'est pas de chercher
à sécuriser toute l'information de
l'entreprise mais de proportionner
les efforts au regard des enjeux. Et
afin de pouvoir identifier ces enjeux
et les informations qui y contribuent,
il apparaît impératif de réaliser une
analyse de risque.
Cette analyse de risque peut être
conduite à un niveau local, dans
le cadre d'un projet. Elle prendra
cependant tout son sens si elle est
menée au niveau de l'entreprise dans
le cadre d'une sécurisation globale (et
donc plus cohérente) de l'information.
Quelle que soit la méthodologie
utilisée, l'analyse de risque doit
permettre de classifier les informations
ayant de la valeur pour les métiers en
fonction de l'impact sur les objectifs
de l'entreprise d'une mise en défaut de
la confidentialité, de la disponibilité
ou de l'intégrité. Cette approche donne
ainsi une vision claire et exhaustive du
patrimoine informationnel.
Une fois cette classification établie,
il devient possible d'identifier, en
fonction des vecteurs portant ces
informations (serveur, poste de travail,
application, personne physique, tiers,
etc.), et de leurs vulnérabilités, les
risques qui pèsent sur l'information de
l'entreprise.
La cartographie des risques :
l'outil essentiel de
gouvernance de la sécurité
de l'information
La cartographie des risques ainsi établie
est un outil primordial dans la gouvernance de l'entreprise en général et de
la sécurité du système d'information
en particulier. En effet, elle permet
à la direction de se prononcer, pour
chaque risque identifié, sur le niveau
d'acceptation souhaité et constitue
donc une feuille de route pour la DSI.
Cette feuille de route, priorisée en
fonction de la criticité des rigsques
à réduire, permet ainsi une sécurisation efficiente de l'information. Il est
d'ailleurs fréquent que la cartographie
des risques portant sur l'information
de l'entreprise soit utilisée comme
source principale pour l'élaboration du
schéma directeur de la sécurité du SI.
La
cartographie
des
risques
élaborée selon le processus détaillé
précédemment considère l'information
véhiculée et non le vecteur qui la
porte. Aussi, les actions définies (dans
un schéma directeur ou un plan
La cartographie des
risques ainsi établie
est un outil promordial
dans la gouvernance de
l'entreprise en général
et de la sécurité du
système d'information
en particulier"
d'actions) pour réduire les risques
pesant sur l'entreprise couvrent à la
fois des problématiques de sécurité
des données, des problématiques de
sécurité des personnes et des problématiques de gouvernance de la
sécurité.
Les actions relatives à la sécurité des
données vont avoir trait principalement
à la mise en oeuvre ou au renforcement
de dispositifs de contrôle d'accès, de
chiffrement des données, à la sécurisation des postes de travail ou des
serveurs, à l'élaboration de systèmes
de sauvegarde, de partage sécurisé
des données, ou à l'externalisation de
parties du SI (solutions de cloud).
Les actions relatives à la sécurité des
personnes vont concerner majoritairement la sensibilisation et la
formation des collaborateurs aux
enjeux de sécurité de l'information.
Enfin, en matière de gouvernance
de la sécurité, les actions menées
viseront notamment la définition de
l'organisation de la sécurité (définition
des acteurs, de leurs rôles et de leurs
responsabilités, classification des
informations, etc.), la mise en oeuvre
du socle documentaire (formalisation
des politiques, directives, chartes, etc.)
et le respect des exigences règlementaires.
La PS SI au coeur de la démarche
sécurité de l'entreprise
L'initialisation d'une démarche sécurité
au sein de l'entreprise passe en premier
lieu par la définition de la politique
de sécurité du système d'information
(PSSI).
Ce document, dont la finalité est de
définir les objectifs ainsi que les règles
édictées en matière de sécurité, vise
à délimiter le niveau de sécurité que
l'entreprise s'engage à respecter.
Ce niveau est constitué d'un socle
minimal établi en fonction des bonnes
pratiques en matière de sécurité mais
également en fonction des exigences
règlementaires. A ce socle s'ajoutent
13
permet de la faire entrer dans le cadre
d'une boucle d'amélioration continue
("roue de Deming").
L'ensemble de ces éléments constitue
le cadre global d'un "système de
management de la sécurité de
l'information" (SMSI). Un tel système
peut donner lieu, si l'entreprise le
souhaite à une certification au titre de
la norme ISO 27001.
En conclusion, les principes constituant
la norme ISO 27001 incitent les entreprises à aborder la sécurité sous un
angle plus large que la seule donnée.
De plus, elle préconise la mise en
oeuvre d'une gouvernance efficiente
de la sécurité basée sur une analyse
des risques SI de l'entreprise révisée
périodiquement. A ce titre, et même
si la finalité de toute entreprise n'est
pas de se faire certifier, ces principes
de bonne gouvernance méritent d'être
considérés.
▪
des règles complémentaires prenant
en compte les attendus spécifiques des
métiers de l'entreprise relativement à
la sécurité.
feuille de route en matière de sécurité,
l'entreprise a les éléments pour initier
une démarche globale de sécurité de
l'information.
La PSSI constitue, avec la charte
utilisateur qui décrit les droits et
devoirs des collaborateurs, le sommet
de la pyramide documentaire relative
à la sécurité de l'information.
Pour s'inscrire dans la durée, une
telle démarche doit s'appuyer sur la
révision périodique de la cartographie
des risques pour prendre en compte
les évolutions du contexte, évolutions
dues notamment aux résultats des
travaux de sécurisation menés durant
la période considérée.
‑
La PSSI, qui décrit le "quoi", est ensuite
déclinée en directives et procédures
opérationnelles décrivant, elles, le
"comment".
Lionet ARBEY
Il a consacré la première
partie de se carrière à
conseiller les entreprises
pour
leur
permettre
d'appréhender au mieux
La révision périodique
de la carTographie :
vers une système
de management de la
sécurité de l'information
Cette révision doit s'accompagner d'une
mise à jour des objectifs souhaités en
matière de sécurité de l'information
via la confirmation par la direction
du niveau d'acceptation de chaque
risque présenté dans la cartograhie
des risques.
Une fois établis le cadre documentaire, la cartographie des risques et la
Dès lors qu'une telle démarche est
engagée, l'ajout de missions de contrôle
la gouvernance de la
sécurité de leur SI. D'abord
consultant chez Solucom
puis manager chez Logica Business Consulting,
il a intégré l'Inspection Générale de La Banque
Postale en 2013. Lionel ARBEY est certifié CISSP
et ITILv3 et est l'auteur d'un livre blanc sur le
"Bring Your Own Device".
Panorama de la sécurité
des données des Cartes Bancaires
par sébastien Payoux
Cet article vise à présenter un panorama des mesures de sécurité mises en œuvre pour
protéger les données des cartes bancaires et des systèmes monétiques ; les moyens de
paiement privatifs (ex. cartes de magasin, carte de fidélité) ne seront pas abordés car liés
à des enjeux de sécurité moindres.
Comme tout système d’information, les systèmes monétiques disposent des mesures de
sécurité informatique « classiques ». Cependant, le caractère vital pour l’économie des
systèmes de paiement par carte nécessite des mesures de sécurité complémentaires et
souvent spécifiques. Cet article s’intéressera donc plus particulièrement à ces mesures.
Étant donné le caractère souvent confidentiel de certaines implémentations, nous nous
limiterons parfois volontairement dans la description de certains mécanismes.
La sécurité
des cartes bancaires,
enjeu vital pour l’économie
Dans un premier temps nous présenterons succinctement l’écosystème
monétique français mis en perspective
dans un environnement international, dont le niveau de sécurité
global compte parmi les plus hauts,
les principaux acteurs et les modes
d’utilisation de la carte bancaire,
notamment les nouveaux usages.
Une fois le contexte posé, nous
aborderons plus en détail les biens
sensibles et les données à protéger
en présentant les enjeux de sécurité
associés. Nous identifierons ensuite
les principaux risques qui pèsent sur
les données sensibles. Sans chercher
l’exhaustivité, nous traiterons surtout
les risques de fraude liés à la compromission des données.
En conclusion, nous présenterons
les principales mesures de sécurité
spécifiques aux cartes bancaires et
aux systèmes monétiques ainsi que
quelques programmes de contrôle mis
en place par les différents organismes
de surveillance.
L’écosystème de l’industrie de
paiement par carte bancaire
Les cartes bancaires sont devenues
depuis plusieurs années le premier
moyen de paiement pour les consommateurs. Les systèmes de paiement par
carte sont considérés par les services
gouvernementaux comme des actifs
vitaux pour l’économie française. Tous
les acteurs de l’écosystème participent
donc à garantir un haut niveau de
sécurité afin de maintenir la confiance
des consommateurs et des commerçants dans les moyens de paiement
par carte.
Au premier rang de ces acteurs se
trouvent bien évidemment les banques
qui émettent les cartes, réalisent
les contrôles permettant d’autoriser
les transactions et garantissent les
paiements aux commerçants. La fabrication des cartes à puce pour le compte
des banques est assurée par un petit
nombre d’industriels dont les leaders
mondiaux sont français.
Les commerçants acceptent les
paiements par carte, que ce soit en
proximité sur leurs terminaux de
paiement ou en vente à distance via
les sites Internet, par téléphone (voire
même par courrier…).
Pour assurer le transport des transactions et les échanges d’informations
entre les différents acteurs, les réseaux
de paiement servent d’intermédiaires.
Certaines sociétés encadrent les
paiements internationaux comme Visa
ou MasterCard ou bien domestiques
comme le Groupement des Cartes
Bancaires « CB » (GCB) [1] en France.
Ces intermédiaires édictent les règles
de compensation entre les acteurs,
les modalités de transfert de responsabilité en cas de fraude et également
les règles de sécurité.
Enfin en France, la Banque de France
est l’organisme de tutelle en charge de
la surveillance du niveau de sécurité
des systèmes de paiement [2].
Les usages de la carte bancaire sont
désormais nombreux et continuent
d’évoluer. Les plus connus sont
bien évidemment les paiements de
proximité, par Internet et les retraits
15
sur les automates bancaires. Enfin, de
nouveaux usages comme le paiement
sans contact par carte ou par mobile
commencent à se développer.
En France, et plus généralement
en Europe, tous les paiements de
proximité et les retraits réalisés avec
des cartes françaises (et la majorité
des cartes européennes) s’opèrent avec
la puce contrairement aux paiements/
retraits réalisés en Amérique du
Nord qui utilisent seulement la piste
magnétique. Le continent nordaméricain entame cependant une
migration vers des cartes à puce.
De plus, tous les retraits réalisés dans
le monde nécessitent la saisie du code
confidentiel qui est systématiquement
contrôlé par la banque du porteur de la
Le cryptogramme visuel (CVx2) de la
carte dont la saisie est obligatoire
pour les paiements à distance, avec
quelques exceptions. Pour tous les
commerçants vente à distance français,
sauf exception, la saisie du CVx2 est
obligatoire. Ce cryptogramme (i.e.
résultat d’un calcul cryptographique
réalisable et vérifiable uniquement par
la banque ayant émis la carte) assure
l’intégrité et l’authenticité du couple
de données cartes : PAN et date de fin
de validité.
Il convient de constater que ces
données sont statiques, inscrites sur
la carte sans protection particulière.
Unitairement, le risque sur le moyen de
paiement carte est négligeable mais
le transport ou le stockage massif et
centralisé de ces données augmente
très fortement le risque de compromission et les préjudices en cas
d’utilisation frauduleuse. Ces données
se trouvent concentrées : chez les
banques, les fabricants de cartes, les
commerçants et les prestataires de
services de paiement.
carte préalablement à la délivrance de
l’autorisation.
Enfin, les paiements à distance nécessitent seulement la saisie du numéro
de carte, la date de fin de validité
et éventuellement le cryptogramme
visuel si le commerçant le requiert.
La piste magnétique et la puce d’une
carte bancaire. Elles contiennent
également le PAN et la date de fin
de validité. Ce couple de données est
associé à des cryptogrammes (CVx1
et iCVx respectivement) assurant leur
intégrité et leur authenticité à l’instar
du CVx2 pour la vente à distance.
Les paiements acceptés avec la seule
piste magnétique sont majoritaires
localisés en Amérique du Nord mais
également en France par dérogation
pour les péages autoroutiers ou de
parkings.
La piste magnétique est très facilement
copiable : la captation de cette donnée
par skimming (lecture des données
d’une carte bancaire à l’insu du porteur
au moyen de dispositifs frauduleux)
puis la fabrication de clones permettent
une utilisation frauduleuse dans les
pays acceptant les paiements piste.
Ce type de fraude nécessite cependant
Biens et données à protéger,
r i s q u e s po rta nt s u r l e s
données des cartes bancaires
Les usages présentés ci-dessus
permettent donc d’identifier les
données cartes à protéger tout au long
du cycle de vie d’une carte bancaire :
Le numéro de la carte (PAN) associé à
sa date de fin de validité. Ces données
sont nécessaires et parfois suffisantes
pour réaliser un paiement à distance
(internet, téléphone, courrier).
des moyens logistiques importants et
locaux : pour le skimming dans les
pays cibles, la duplication massive des
cartes et enfin l’utilisation frauduleuse
dans les pays acceptant la piste.
Le code confidentiel, à la fois une
mesure de sécurité et un bien
à protéger. Comme indiqué sur les
courriers des banques, il est personnel
et confidentiel. Il est obligatoire pour
tous les retraits et pour la majorité
des transactions utilisant la puce.
Son objectif est double : il assure la
non-répudiation d’un paiement ou d’un
retrait et l’authentification forte du
porteur.
La compromission du code confidentiel
permet donc des retraits frauduleux,
qui sont bien évidemment plus intéressants pour les fraudeurs car cela
permet d’obtenir du cash directement
sans recourir au recel.
Les codes confidentiels sont conservés
par les banques émettrices des cartes
(uniquement pour assurer le renouvellement) et dans les puces des cartes
bancaires (pour le contrôle local du
code confidentiel en paiement de
proximité). La compromission du code
confidentiel n’intervient en pratique
que via le fishing au moyen d'une
caméra ou en espionnant le porteur au
moment de la saisie.
La puce électronique. Elle contient,
comme évoqué précédemment, les
données d’identification de la carte
(PAN, date de fin de validité, cryptogramme), le code confidentiel et
également l’application de paiement
EMV [3].
La contrefaçon d’une puce de carte
16 La sécurité des données
bancaire permettrait donc de réaliser
des transactions frauduleuses de
paiement et de retrait potentiellement
autorisées par les banques comme
légitimes.
Enfin, les transactions de paiement.
Elles contiennent toutes les données
cartes citées précédemment, le montant
des transactions et les informations
d’identification du commerçant.
La modification frauduleuse ou le rejeu,
durant le processus d’autorisation, des
montants ou des informations nécessaires aux imputations comptables
ultérieures peut causer des préjudices
financiers aux commerçants ou aux
porteurs.
Quels moyens pour couvrir
ces risques ?
Nous voyons donc que les enjeux
de confidentialité, d’intégrité et
d’authenticité sur les données des
cartes bancaires sont très forts. Pour
répondre à ces enjeux et couvrir les
risques évoqués ci-dessus les mesures
de sécurité sont multiples. Nous
présenterons donc les principaux
moyens techniques et les programmes
de contrôle visant à protéger les
données cartes.
Comme évoqué en introduction, tous les
mécanismes de sécurité des systèmes
d’information sont appliqués sur les
systèmes monétiques (protection des
réseaux, des systèmes, des applications, des bases de données, gestion
des habilitations et des contrôles
d’accès physiques et logiques, plan
de secours et de continuité d’activité).
Nous nous intéresserons donc principalement aux mesures spécifiques aux
systèmes monétiques.
Pour répondre aux enjeux de confidentialité, d’intégrité et d’authenticité,
les systèmes monétiques utilisent
massivement la cryptographie.
Les cryptogrammes d’intégrité et
d’authenticité (CVx1, CVx2, iCVx)
présents dans la piste et la puce
permettent de garantir la non-contrefaçon des données cartes (mais pas
leur copie !)
Le code confidentiel est stocké et
transporté
systématiquement
chiffré par des hiérarchies de clés
cryptographiques dédiées.
Les transactions de paiement sont
scellées et les éventuelles données
confidentielles transportées sont
chiffrées par des hiérarchies de
clés cryptographiques dédiées. De
plus, le standard EMV [3] des cartes
à puce définit des mécanismes
cryptographiques
assurant
les
propriétés suivantes :
• l’authentification de la carte vis-à-vis
du terminal pour les transactions
offline (mécanismes de cryptographie
asymétriques DDA ou CDA)
• l’intégrité et l’authenticité des
données de la transaction (cryptogramme ARQC) contrôlées par la
banque émettrice de la carte
• l’intégrité et l’authenticité de la
réponse à la demande d’autorisation
(cryptogramme ARPC) contrôlées par
la carte.
Tous les calculs cryptographiques
monétiques utilisent des algorithmes
standards reconnus et sont réalisés
par des équipements matériels dédiés
(HSM : Hardware Security Module)
respectant les niveaux de sécurité
nationaux et internationaux (MEPS,
FIPS 140-2 [4])
Les systèmes monétiques doivent
respecter les exigences de gestion des
éléments cryptographiques édictées
par les réseaux de paiement internationaux et nationaux (Visa, MasterCard
et CB).
Enfin, les cartes à puce disposent de
certifications de sécurité délivrées
par des laboratoires accrédités par
les services gouvernementaux (par
exemple les CESTI en France [5])
selon des méthodes d’évaluation de la
sécurité internationales telles que les
Critères Communs [6] ou encore selon
les méthodes des réseaux de paiement
internationaux.
A noter également, que l’algorithme de
la clé de Luhn disponible publiquement
sur Internet n’est en aucune façon
un mécanisme de sécurité. Il s’agit
seulement d’un mécanisme de contrôle
de l’intégrité du numéro de carte
permettant d’éviter les erreurs de
saisie !
Afin de lutter contre la fraude en vente
à distance, les réseaux internationaux
de paiement (Visa et MasterCard)
ont conçu le standard 3D Secure [7]
permettant aux commerçants inscrits
à ce service d’obtenir auprès de la
banque du client une authentification
de celui-ci. Ce mécanisme permet
en outre au commerçant de ne plus
supporter le coût de la fraude : la
banque du porteur de la carte, chargée
d’authentifier ses porteurs, ne pourra
plus transférer la responsabilité de la
fraude.
En plus de ces mesures de sécurité
logiques, la communauté bancaire
a développé des standards de lutte
contre le fishing et le skimming en
collaboration avec les fabricants de
terminaux et d’automates notamment.
Il s’agit des normes AFAS (Anti Fishing
Anti Skimming) [8].
L’application de ces mesures de
sécurité logiques et physiques est
contrôlée périodiquement chez les
17
différents acteurs de l’écosystème
(banques, commerçants, industriels,
fabricants, prestataires de services) par
les instances de régulation (Banque
de France, Groupement des Cartes
Bancaires, réseaux internationaux
de paiement). Sans être exhaustif,
nous pouvons citer par exemple les
documents de référence suivants :
• les référentiels de sécurité des
agréments des sites de personnalisation des cartes bancaires élaborés
par le GCB [1], Visa, MasterCard et le
PCI SSC [9].
• les référentiels de protection du
code confidentiel élaborés par Visa,
MasterCard.
• le référentiel d’évaluation de la
sécurité de l’industrie des paiements
par carte : PCI DSS [10] élaboré par le
PCI SSC [9] qui est une émanation des
réseaux de paiement Visa, MasterCard,
American Express, Discover et JCB.
sécurité des applications de paiement :
PA DSS [11] élaboré par le PCI SSC [9].
sécurité des terminaux de paiement :
PCI PTS [12] élaboré par le PCI SSC [9].
Les programmes d’application des
référentiels de sécurité régis par les
réseaux de paiement internationaux
Visa [13], MasterCard [14], American
Express [15], Discover [16], JCB [17]
qui concernent les commerçants et les
prestataires de services.
Corpus d’exigences de sécurité sur les
systèmes de paiement par carte de la
Banque Centrale Européenne [18].
Référence
[1] Groupement des Cartes Bancaires « CB », http://www.cartes-bancaires.com
Conclusion
Les cartes bancaires de par leur place
centrale dans l’économie font l’objet
d’attaques et de fraudes récurrentes.
Cependant, tous les acteurs du secteur
bancaire veillent à limiter ces fraudes
à un niveau acceptable. Nous avons
vu qu’aux mécanismes de sécurité
informatique classiques viennent
s’ajouter des moyens cryptographiques
complexes qu’il faut maintenir à l’état
de l’art. L’industrie des paiements par
carte fait partie des secteurs dotés du
plus grand nombre de référentiels de
sécurité et de programmes de contrôle.
Tous ces éléments contribuent à faire
de la carte bancaire un des moyens de
paiement les plus sûrs et dans lequel
les utilisateurs ont le plus confiance.
▪
Sébastien PAYOUX
Promo 2003
[email protected]
[2] OSCP : Observatoire de la Sécurité des Cartes de Paiement, http://www.banque-france.fr/
Sébastien
observatoire/index.htm
Telecom Bretagne 2003,
[3] EMV : https://www.emvco.com
Directeur de Mission
[4] FIPS 140-2 : http://www.nist.org/nist_plugins/content/content.php?content.48
chez PW Consultants,
[5] CESTI: http://www.ssi.gouv.fr/fr/certification-qualification/cesti/
Auditeur PCI DSS certifié
[6] Critères Communs : http://www.ssi.gouv.fr/fr/certification-qualification/cc/
(QSA),
[7] 3D Secure : http://fr.wikipedia.org/wiki/3-D_Secure
dards.org/
[10] PCI DSS : Payment Card Industry Data Security Standard, https://www.pcisecuritystan-
s.payoux@
pw-consultants.com.
[8] AFAS : Anti Fishing Anti Skimming, http://www.cartes-bancaires.com/spip.php?article71
[9] PCI SSC : Payment Card Industry Security Standard Council, https://www.pcisecuritystan-
Payoux,
Il a commencé sa carrière dans le service
sécurité monétique d’une grande banque
dards.org/security_standards/documents.php
française pendant 5 ans, en tant que consultant
[11] PA DSS : Payment Application Data Security Standard, https://www.pcisecuritystan-
puis chef de projet.
Au sein de PW Consultants depuis 2008, il a
[12] PCI PTS: Payment Card Industry PIN Transaction Security, https://www.pcisecuritystan-
effectué des missions d’analyse de risques,
d’assistance à maîtrise d’ouvrage en sécurité et
[13] Programme Visa Europe AIS : Account Information Security, http://www.visaeurope.ch/
cryptographie mais également d’audit sécurité
fr/visa_cote_commercant/programme_ais.aspx
[14] Programme MasterCard SDP : Site Data Protection, http://www.mastercard.com/us/
company/en/whatwedo/site_data_protection.html
[15] Programme American Express Data Security : https://www209.americanexpress.com/
merchant/singlevoice/dsw/FrontServlet?request_type=dsw&pg_nm=home&ln=en&frm=US
[16] Programme Discover DSIC : Discover Information Security & Compliance, http://www.
discovernetwork.com/merchants/data-security/disc.html
[17] Programme JCB Data Security Program : http://partner.jcbcard.com/security/jcbpro-
de systèmes d’information monétiques chez des
clients grands comptes du secteur bancaire et
des titres spéciaux de paiement.
PW Consultants est un cabinet de conseil de
50 personnes spécialisé dans la monétique et
moyens de paiement, la sécurité des systèmes
gram/index.html
d’information et la gestion de risques opéra-
[18] Oversight Framework for Card Payment Schemes - Standards: http://www.ecb.europa.
tionnels.
eu/pub/pdf/other/oversightfwcardpaymentsss200801en.pdf
www.pw-consultants.com
La sécurité du LTE…
Ou pourquoi ce n’était pas mieux avant
par isabelle kraemer
La 4G s’est imposée comme LA grande innovation technologique des télécoms en
2013. Presque inconnue du grand public l’année précédente, on ne parle déjà plus
que d’elle et elle ne manque pas de susciter de nombreux débats… Nous verrons
qu’au-delà des promesses d’un très haut débit, elle apporte une sécurité plus robuste
que les générations passées, empêchant l’attaque triviale des communications de
l’abonné.
E
n effet, la conception d’une
nouvelle technologie telle
que le LTE (Long Term
Evolution) permet d’améliorer
les mécanismes de sécurité en
œuvre jusqu’alors sur les technologies
antérieures. C’est ainsi que la 3G a permis
de remédier à certaines failles de la
2G : les mécanismes d’authentification
ont été repensés, des algorithmes
plus robustes adoptés, les anciennes
cartes SIM vulnérables remplacées
par des cartes USIM embarquant des
algorithmes cryptographiques plus
sûrs.
‑
Figure 1 - Architecture simplifiée 2G/3G
Quels sont donc les constats qui ont
guidé la conception des mécanismes
de sécurité de la nouvelle génération
LTE ? Quelles ruptures amènent-ils ?
Quelles sont les améliorations qui
en découlent ? Qu’a-t-on choisi de
conserver du monde de la 3G ?
Architecture 2G/3G
Pour appréhender les enjeux du LTE,
il faut d’abord bien comprendre les
concepts et architectures préexistants.
C’est là une étape essentielle pour
discerner évolutions et révolutions
dans les topologies et les mécanismes
en place.
L’architecture de la 2G, comme celle de
la 3G, se divise en deux parties : d’une
part, le réseau d’accès ; d’autre part,
le cœur de réseau. Le réseau d’accès
est composé d’antennes (« BTS » en
2G et « NodeB » en 3G), qui sont
sous l’autorité des contrôleurs radios
(« BSC » en 2G et « RNC » en 3G).
Au-delà de leur rôle de concentrateur,
les contrôleurs assurent également
les fonctions intelligentes du réseau
d’accès : ils gèrent l’allocation de
ressources radio et certaines fonctions
19
Figure 2 - Architecture basique LTE
de mobilité. Le cœur de réseau, lui, est
aussi scindé en deux : la voix transite
en mode circuit via le MSC puis le
GMSC, tandis que les données sont
prises en charge en mode paquet par
le SGSN et le GGSN.
Architecture LTE
L’architecture du LTE, aussi appelé
« Evolved Packet System » (EPS),
se compose d’un cœur de réseau, le
« Evolved Packet Core » (EPC) et d’un
réseau d’accès radio, le « Evolved
Universal Terrestrial Radio Access
Network » (E-UTRAN).
Le changement majeur par rapport aux
architectures mobiles précédentes –
2G et 3G – concerne essentiellement le
réseau de transport. En LTE, il n’y a plus
de contrôleur radio : l’eNodeB assume
le rôle d’antenne, mais embarque
également assez d’intelligence pour
gérer ponctuellement handovers et
contextes de sécurité. L’eNodeB est
directement relié au cœur de réseau.
Plus précisément, l’eNodeB est relié
au « Mobility Management Entity »
(MME) pour la signalisation, et au
« Serving Gateway » (SGW) pour le
trafic utilisateur. Avec la disparition
des contrôleurs radios, l’architecture
du réseau mobile devient « plate »,
et tous les équipements possèdent
une connectivité IP. Ce nouveau type
d’architecture permet par exemple
de réduire la complexité du réseau
et d’améliorer les performances –
notamment lors de handovers.
En termes de sécurité, l’architecture
tout-IP du LTE permet d’appliquer
tous les mécanismes de sécurité IP
(pare-feu, établissement de tunnels,
etc), mais elle expose aussi les équipements à toutes les menaces classiques
du monde IP.
En LTE, le mode « circuit » qui existait
jusqu’à présent disparait, et laisse la
place à un réseau « paquet » tout IP.
Pour le mode « paquet », l’EPC n’est
pas en rupture par rapport aux architectures plus anciennes, c’est plutôt
une évolution logique, permettant de
meilleurs débits. On trouve en LTE
l’équivalent du GGSN, équipement
utilisé dès la 2G. Le GGSN est remplacé
par le « Packet Data Network Gateway »
(PGW). Ce-dernier alloue une adresse
IP au mobile, gère la QS (Qualité de
Service), joue le rôle de passerelle
vers les réseaux externes. Le SGSN,
équipement présent également dès le
3G, assumait jusqu’alors deux rôles :
d’une part, il assurait le routage des
paquets, d’autre part il gérait des
tâches plus complexes (gestion de la
mobilité du mobile, de ses identités
temporaires, de son authentification,
etc). En LTE, il est remplacé par deux
équipements qui reprennent chacun
l’un de ses rôles : la SGW tient lieu de
routeur tandis que le MME concentre
l’intelligence du réseau.
Adaptation des mécanismes
de sécurité
Un modèle en couches
Avec cette nouvelle architecture,
il devient nécessaire d’adapter les
mécanismes de sécurité utilisés jusque
là. En effet, en 3G, le trafic provenant du
mobile, qu’il s’agisse de la signalisation
ou des données utilisateur, est protégé
en intégrité et en confidentialité entre
le mobile et le contrôleur radio (RNC)
par une technique de chiffrement. Mais
avec la disparition des contrôleurs
radio, jusqu’où protéger le trafic en
LTE ? La question est d’autant plus
ardue que les RNC sont déployés dans
des lieux physiquement sûrs, alors que
les eNB, plus nombreux que les RNC,
sont souvent moins bien protégés
contre les attaques physiques. En cas
de compromission d’un eNB, il faut
minimiser les conséquences pour le
réseau et les risques de nuisance.
Pour comprendre les choix de design
retenus, analysons les besoins propres
à chaque type de flux.
La signalisation est un flux essentiel
à protéger, en confidentialité comme
en intégrité. En effet, une attaque
utilisant des messages de signalisation
forgés peut impacter ponctuellement
ou durablement le fonctionnement du
réseau d’accès – les eNB – et du cœur
de réseau. Le chiffrement de ces flux
permet en outre d’éviter le traçage
des utilisateurs et de protéger leur vie
privée. Par conséquent, la signalisation
provenant du mobile est protégée de
bout en bout, en confidentialité et en
intégrité : au niveau radio, elle est donc
protégée entre le mobile et l’eNB ;
à plus haut niveau, la signalisation
dite NAS (« Non Access Stratum ») est
protégée entre le mobile et le MME.
Dans ce dernier cas, le trafic transite
par l’eNB de manière transparente :
même si l’eNB est compromis, il ne
pourra pas déchiffrer ni modifier la
signalisation NAS.
Le flux des données utilisateur est
chiffré pour des impératifs de respect
de la vie privée, mais, comme en 3G,
leur protection en intégrité n’est pas
indispensable. En effet, le risque qu’une
attaque basée sur la modification de
ces données (chiffrées) réussisse est
faible. Ainsi, la protection des données
utilisateur est obligatoire uniquement
entre le mobile et l’eNB, et seule la
confidentialité du flux est assurée.
De plus, et bien que la norme ne
l’impose pas, il est recommandé de
protéger certains flux supplémentaires : les données utilisateur mais
surtout la signalisation transitant entre
l’eNB et le MME et entre eNB. Cette
opération est coûteuse, notamment en
termes de latence. Mais en l’absence
de chiffrement sur ces liens, l’attaquant
peut écouter les échanges – en clair !
– entre les eNB et le cœur de réseau
d’une part, et entre eNB d’autre part.
Sans garantie d’intégrité, il peut
également provoquer des dénis de
service sur les terminaux utilisateurs,
sur des eNB, et même sur des équipements du cœur de réseau. La norme
préconise donc l’établissement d’un
tunnel IPsec ESP en mode tunnel sur
le lien eNB/eNB (lien X2) et sur le lien
eNB/MME (lien S1).
Finalement, c’est donc un modèle de
sécurité réparti sur différentes couches
qui a été adopté. A chaque niveau
de protection correspondent des clés
spécifiques, toutes dérivées de la
clé maîtresse de session. De cette
manière, on assure une séparation
cryptographique des différentes
couches.
Cette sécurité en couches permet de
garantir des degrés de sécurité adaptés
aux menaces. Par exemple, à chaque
fois qu’un mobile change de cellule,
de nouvelles clés sont dérivées, de
sorte qu’un eNB compromis a peu
de conséquences sur la sécurité des
communications établies avec l’eNB
précédent et l’eNB suivant.
Mais ce modèle de sécurité amène
aussi une hiérarchie de clés beaucoup
plus complexe qu’en 3G (et a fortiori,
qu’en 2G).
Une authentification mutuelle
avec cartes USIM
Parmi les mécanismes 3G, ceux qui
ont fait leur preuve sont réutilisés
en LTE. Et tout comme en 3G, l’accès
au réseau repose sur une authentification mutuelle entre l’utilisateur et
le réseau : personne ne veut payer
pour des appels qu’il n’a pas passé,
personne ne veut s’accrocher à une
fausse antenne qui interceptera toutes
ses communications.
L’algorithme utilisé en 3G pour cette
authentification mutuelle, appelé
EAP-AKA, s’avère robuste : il est
conservé en LTE. Ainsi, comme en 2G
et en 3G, les associations de sécurité
reposeront sur un secret partagé entre
la carte (U)SIM et le HLR. L’algorithme
EAP-AKA est implémenté sur les cartes
USIM, c’est-à-dire les cartes 3G.
Comme les cartes USIM supportent un
algorithme cryptographique de bonne
qualité et qu’elles sont largement
répandues, elles seront également
utilisées en 4G.
L’une des faiblesses de la 3G réside
dans le fait que l’on peut s’authentifier
auprès d’un réseau 3G avec une
carte SIM, c’est-à-dire une carte 2G,
garante d’une sécurité moindre. Tous
les mécanismes de sécurité introduits
par la 3G sont alors inapplicables, du
fait de ce repli vers une technologie
vulnérable. Pour pallier cette faiblesse,
l’authentification auprès du réseau 4G
ne pourra se faire qu’avec une carte
USIM.
Finalement, les clés dérivées lors de
l’authentification EAP-AKA permettront
de dériver une clé maîtresse de
session, Kasme, de laquelle seront
déduites les clés nécessaires pour
21
chaque couche de sécurité.
Authentification du réseau visité
Au-delà
de
l’authentification
mutuelle entre le mobile et le
réseau nominal, le LTE introduit un
mécanisme d’authentification du
réseau visité. La clé maîtresse de
session, Kasme, dont il est question
plus haut, dépend, entre autres, des
paramètres du réseau visité. Ainsi,
un jeu de clés LTE est valable pour
une seule carte USIM, appartenant à
un opérateur bien déterminé, et en
roaming auprès d’un opérateur explicitement identifié. En liant fortement
ces trois paramètres, les risques de
fraudes et d’attaques sont réduits.
Une sécurité homogène pour des
réseaux d’accès hétérogènes
Parmi
les
technologies
sans
fil existantes, la plupart sont
standardisées. Certaines, comme le LTE,
sont normalisées par le 3GPP (« 3rd
Generation Partnership Project »),
groupe de standardisation réunissant
les acteurs des télécoms. On distingue
donc les technologies 3GPP (2G, 3G,
LTE, par exemple) et les technologies
non 3GPP (Wifi, WiMAX…).
Le LTE est interopérable avec ces
deux types de technologies, afin
d’améliorer l’expérience utilisateur :
de cette manière, un utilisateur 3G
pourra s’accrocher à un point d’accès
LTE et profiter des avantages de
cette technologie. Le LTE prévoit des
méthodes de mapping, permettant
de dériver un contexte de sécurité
LTE à partir du contexte 2G/3G en
cours d’utilisation. Il est cependant
recommandé de se ré-authentifier au
réseau LTE lors d’un handover de ce
type afin de profiter du meilleur niveau
de sécurité possible : les contextes
mappés sont considérés comme moins
sûrs car établis par des méthodes
d’authentification moins robustes.
Référence
Spécifications sécurité 3GPP :
Série 33
Conclusion
En conclusion, les mécanismes de
sécurité utilisés en LTE sont plus
complets qu’en 3G mais ils sont
aussi plus complexes, entrainant une
certaine lourdeur lors de la configuration des politiques de sécurité. La
nouvelle topologie tout IP du LTE en
fait sa force : les protocoles en usage
sont mieux connus, l’architecture de
l’ensemble est plus simple. Mais c’est
aussi là que réside sa faiblesse : les
attaques du monde IP, avec leurs
outils rodés, concernent directement
ce nouveau réseau. De nouvelles
antennes, comme les relais LTE ou les
femtocells 4G introduisent également
de nouveaux risques : par leur nature,
l’opérateur ne maîtrise pas ces équipements déployés chez le particulier.
De même, le grand nombre de types
de réseaux avec lesquels le LTE est
interopérable augmente la surface
d’attaque : réseaux non-3GPP, réseaux
3GPP d’ancienne génération, interfaces
de roaming, sont de nouveaux points
d’entrée dans les réseaux mobiles. Enfin,
les smartphones posent aujourd’hui de
nouveaux défis…
Le LTE répond donc à un besoin
utilisateur certain en permettant
des débits plus importants, mais il
introduit de nouvelles architectures
et de nouvelles menaces qui sont
autant de défis à relever pour les
ingénieurs sécurité pour assurer la
pérennité de cette technologie et du
réseau opérateur.
Sécurité 3G : TS 33.102
Sécurité 2G : TS 43.020
Sécurité EPS : TS 33.401
(et TR 33.821 pour l’historique)
Security aspects of non-3GPP accesses :
TS 33.402
IP network domain security :
TS 33.210 and TS 33.310
Sécurité IMS : TS 33.203, TS 33.328
‑
▪
Isabelle KRAEMER
Promo 2011
Diplômée de Promotion 2011, Isabelle a intégré
Orange quelques mois après la fin de ses
études. Elle y occupe depuis un poste technique
d'ingénieur sécurité réseaux mobiles, dans le
département dédié à l'Innovation. Son rôle
consiste à assister les projets, tout au long de
leur cycle de vie, pour qu'ils prennent en compte
au mieux la sécurité dans la conception et
l'opération des réseaux mobiles.
Impact du matériel
sur la sécurité des données
Depuis de nombreuses années, l'informatique tend à s'abstraire le plus possible du matériel,
notamment via la virtualisation et l'informatique en nuage. Au point d'arriver à penser parfois qu'il
n'y a plus de matériel, ou du moins qu'il n'y a plus besoin de s'en préoccuper. Or ce matériel, support
de l'exécution de toute application, est toujours présent et pose, du point de vue de la sécurité des
données, de sérieux problèmes qui sont souvent ignorés.
Dans le domaine de la sécurité, on cite souvent l'adage : la sécurité d'un système est similaire à
celle d'une chaîne, c'est-à-dire qu'elle est équivalente à celle de son plus faible maillon. Il faut donc
prendre en compte tous les maillons, y compris le matériel et nous allons voir que dans de nombreux
cas, il peut être justement ce maillon faible et mérite donc que l'on s'y intéresse de plus près.
Les attaques contre les
composants électroniques
Tout
programme
informatique
(hyperviseur, système d'exploitation,
pilote de périphérique, application...)
est exécuté par un processeur. Ce
processeur peut être extrêmement
simple comme celui d'une carte à
puce, ou très complexe comme les
processeurs modernes pour serveurs
de calcul. Ce processeur peut être
un composant (une « puce ») discret
ou intégré à un composant plus
complexe appelé System-on-Chip (SoC,
un circuit électronique contenant un
ou plusieurs cœurs de processeur et
des modules (IP) pour effectuer des
traitements particuliers : traitement
du signal, encodage/décodage vidéo,
accélérateur cryptographique, etc.).
‑
Attaques non intrusives
Le processeur (et la puce qui le
contient) va être une première cible
pour un adversaire. Prenons le cas d'une
carte à puce effectuant des opérations
cryptographiques (par exemple une
signature numérique, comme dans le
cas des cartes bancaires) à l'aide d'un
secret (souvent appelé clé) inscrit à
l'intérieur du composant et supposé ne
jamais pouvoir « sortir » du composant.
Les canaux « officiels » de communication avec ce composant sont les
entrées et sorties normales de la carte
à puce. Or, lorsqu'un composant électronique fonctionne, il va influer sur son
environnement via des canaux dits
« auxiliaires ». Par exemple, lorsqu'un
circuit électronique fonctionne, il
va consommer de l'énergie, et cette
consommation va, le plus souvent,
dépendre des calculs effectués (une
addition consomme généralement
moins qu'une multiplication) et des
opérandes manipulés par ces calculs
(une addition avec 0 va consommer
moins qu'une addition avec un autre
nombre).
Donc quelqu'un qui fait fonctionner
la carte à puce et qui enregistre la
consommation de la carte pendant
ses calculs (opération extrêmement
simple à réaliser) va pouvoir obtenir de
l'information sur les calculs effectués
par la carte et les données qu'elle
manipule, et notamment la clé. La
consommation d'un circuit n'est pas
le seul canal auxiliaire exploitable : le
rayonnement électromagnétique émis
par le circuit peut également révéler
beaucoup d'informations notamment
grâce à la possibilité de cibler une
partie précise du circuit à l'aide d'une
sonde (antenne) de petite taille. Le
temps nécessaire pour effectuer un
calcul peut également révéler des
informations sensibles. Ces attaques
par analyse des fuites d'information
sur des canaux auxiliaires (baptisées
SCA, Side-Channel Analysis) sont
extrêmement
performantes
et
redoutables contre des cartes à puce
et des petits systèmes embarqués. De
plus, ces attaques sont entièrement
passives, c'est-à-dire que l'adversaire
ne modifie pas le composant électronique, n'y laisse aucune trace et le
composant lui-même n'a aucun moyen
de détecter l'attaque.
Attaques intrusives
Le processeur peut également être
victime d'attaques plus intrusives
pouvant remettre en cause la sécurité
23
des données qu'il manipule. La première
catégorie d'attaques intrusives vise à
observer le fonctionnement interne
du circuit, notamment par l'usage de
micro-sondes sur un circuit décapsulé.
Ces micro-sondes vont permettre à un
adversaire d'espionner des données qui
circulent sur des bus internes au circuit
(et qui sont censées rester inaccessibles dans le cadre du fonctionnement
normal du composant).
La deuxième catégorie concerne les
attaques par perturbation. Leur but est
de perturber le bon fonctionnement
d'un circuit afin de lui faire commettre
une faute qui pourra être exploitée
ensuite pour obtenir des informations.
Certains algorithmes cryptographiques
très répandus sont extrêmement
vulnérables aux fautes (il suffit par
exemple de quelques fautes bien
placées pour retrouver la clé d'un
chiffrement avec l'algorithme AES ou
RSA). L'injection de ces fautes peut
se faire de nombreuses manières :
exposition du circuit à un rayonnement
laser, modification de l'environnement
de fonctionnement du circuit (tension
d'alimentation, fréquence d'horloge,
température), exposition du circuit à des
particules énergétiques (rayonnement
alpha et bêta)...
La dernière catégorie d'attaques
concerne les attaques par modification
du circuit, notamment à l'aide d'un
FIB (Focused Ion Beam), une machine
(très chère) permettant d'effectuer des
opérations de micro-chirurgie sur un
circuit électronique (couper une piste
métallique ou en construire une). Il
est ainsi possible de complètement
modifier un circuit, et par exemple,
restaurer un fusible pour remettre le
circuit en mode test usine ou désactiver
un capteur de sécurité intégré.
Les attaques au niveau
cartes électroniques
Le processeur n'est pas le seul
composant vulnérable. La mémoire
principale peut également être prise
pour cible. Le code de toutes les
applications et les données qu'elles
manipulent sont stockées dans cette
mémoire et peuvent être récupérées,
voire même modifiées, via plusieurs
techniques. La première, baptisée
Cold Boot Attack, consiste à refroidir
la mémoire afin de prolonger le
phénomène de rémanence et de
permettre de la débrancher et de la
rebrancher dans un autre système et
de lire son contenu. Il est également
possible d'espionner directement le
bus mémoire à l'aide d'un analyseur
de protocole permettant ainsi de
récupérer son contenu à la volée.
Plus généralement, toutes les communications entre le processeur et ses
périphériques externes peuvent
également être interceptées au niveau
de la carte électronique, voire même
altérées.
Est- ce grave ?
Ces attaques ciblant le matériel ne
sont pas nécessairement à prendre en
compte tout le temps. Elles doivent
l'être quand la personne qui a accès,
soit légitimement (utilisateur, administrateur système, etc.), soit illégalement
(dans le cas d'un vol par exemple),
au matériel (carte à puce, système
embarqué, ordinateur, serveur, etc.)
n'est pas le propriétaire des informations (au sens large : code et données
des applications) qui sont manipulées
sur ce système.
secrets de l'opérateur et qui sont dans
les mains d'un utilisateur qui peut être
désireux de les extraire afin de cloner
la carte (sans payer l'option ad hoc) ou
d'un voleur qui souhaiterait se faire
passer pour l'utilisateur légitime.
Le second exemple est celui des
set-top boxes qui peuvent contenir
des secrets liés à la gestion des droits
sur les œuvres numériques et qui sont
dans les mains d'un utilisateur qui peut
avoir envie ou intérêt à contourner les
restrictions imposées.
Le dernier exemple est celui d'un
serveur chez un fournisseur de service
d'informatique en nuage sur lequel
sont manipulées des données ou des
applications appartenant à divers
clients. Ce serveur est physiquement
accessible à des techniciens et des
administrateurs systèmes qui peuvent
être corrompus et ainsi vouloir voler ou
altérer les données des clients.
Conclusion
Les attaques réalisées au niveau
matériel peuvent être extrêmement
efficaces et relativement simples
à mettre en œuvre. Il s'agit d'un
domaine de recherche très actif et
heureusement, de nombreuses contremesures existent pour réduire le risque,
mais encore faut-il avoir connaissance
de son existence.
▪
Guillaume DUC
Promo 2004
[email protected]
Suite à son diplôme
d'ingénieur,
Voici quelques exemples de situations
où ces problèmes sont à prendre
en compte. Le premier exemple est
celui des cartes à puce bancaires qui
contiennent des secrets de la banque
émettrice et qui peuvent être volées à
leur utilisateur légitime, ou celui des
cartes (U)SIM qui contiennent des
Guillaume
a obtenu une thèse à
Telecom Bretagne en 2007.
Depuis 2009, il est Maître
de Conférences en Sécurité
des Systèmes Embarqués
à
Télécom
ParisTech
(département Communications et Électronique)
Cybersécurité et Centre de
supervision des Menaces
La sécurité des données est un domaine qui n’a été approfondi
initialement que par les experts en Sécurité des Systèmes
d’Information, ou leurs clients les plus matures, tels que
responsables de systèmes stratégiques, ou financiers.
Pendant longtemps, le reste des entreprises et du grand
public ne s’intéressait au sujet que par intermittence souvent
lors de la propagation massive d’un virus, ou après un
piratage informatique d’ampleur exceptionnelle.
L
’actualité récente a montré
que le grand public (suite à la
généralisation des menaces de
type phishing, par exemple) et
l’ensemble des entreprises étaient de
plus en plus exposés à des activités
malveillantes liées à de la cybercriminalité organisée, du cyber-espionnage
industriel ou étatique, ou encore à des
attaques en Déni de Service Distribué
(DDOS).
Une première étape a vu le renforcement
des moyens de défense traditionnels,
mise en place de pare-feu, gestion
plus systématique et rigoureuse des
autorisations d’accès aux données,
déploiement d’outils et de procédures
pour la gestion des vulnérabilités et
les dispositifs anti-virus, etc.
Ce mouvement s’est accéléré, tout en
oscillant entre panique et résignation,
au fur et à mesure que les organismes
de contrôle et de régulation, face
à la multiplication des menaces et
des attaques, mettaient en place
des référentiels de conformité («
compliance ») qui s’imposaient de fait
ou de droit aux acteurs et opérateurs
« d’infrastructures critiquesa», et
plus généralement à toute entité
manipulant les données personnelles
de ses usagers ou clients.
Dans le même temps, les moyens
techniques d’attaque à la disposition des personnes malveillantes se
sont multipliés à l’infini ou presque
(framework d’attaque, fuzzing, etc…)
jusqu’à culminer avec les attaques de
type APT (Advanced Persistent Threat),
parfois traduites par « attaques par infiltration », où des agresseurs touchent
une cible précise par un enchainement
d’attaques techniques plus ou moins
discrètes, pouvant impliquer des cibles
accessoires pendant la progression
jusqu’à l’objectif final.
‑
Les défenses et protections traditionnelles perdent une grande partie de
leur efficacité contre ce type d’attaques
ciblées, réfléchies et préparées.
Ainsi, les opérateurs publics ou
privés d’infrastructures critiques les
ont depuis quelques années progressivement complétées par des centres
de supervision de plus en plus sophistiqués. Alcatel-Lucent possède un tel
centre, appelé aussi SOC (Security
Operation Center), à Nozay en région
parisienne, offrant ces services de
sécurité à des opérateurs télécom ou à
de grandes entreprises.
Au cœur de ces centres se trouvent les
SIEM (Security Information and Event
Management), logiciels permettant
de collecter les évènements signalés
par les équipements et les logiciels
qui journalisent certaines activités. Ils
permettent d’analyser en temps réel
ou a posteriori un certain nombre
d’actions (rejets, autorisations) qui sont
la conséquence des décisions prises
par les équipements de protection
en fonction de leur configuration
préalable. Ils permettent de corréler
plusieurs évènements entre eux, pour
vérifier la cohérence des décisions
25
prises, ou identifier un enchainement
illogique, voire suspect.
Ces systèmes signaleront à des
opérateurs, postés 24h/24, 7j/7, des
évènements classés selon des critères
de criticité répondant à des paramètres
techniques environnementaux, ou
métiers, ou alimenteront une base de
connaissance qui pourra se révéler
cruciale.
Le système (et ses opérateurs humains)
fourniront également des tableaux de
bord et des rapports permettant de
donner une visibilité sur la situation du
l’analyse en différé permet
également de mesurer
l’impact d’une attaque
réussie, ce qui est mieux que
rien puisqu’une réaction
opérationnelle, commerciale
ou juridique appropriée
peut limiter l’utilisation des
données compromises”
système d’information, sa vulnérabilité,
sa perméabilité, son exposition aux
attaques.
Ces « reportings » seront formatés
en fonction des interlocuteurs, de
leur profil (du technique au décideur)
de leur responsabilité, et seront
souvent la base d’une démarche de
conformité, puisqu’ils permettront à
tout moment de confronter l’état réel
à un référentiel, et de présenter des
éléments d’appréciation factuels à
des autorités de contrôle internes ou
externes.
De même que pour l’analyse des
logs, le reporting aura aussi bien
une dimension temps réel qu’une
dimension temps différé.
Le « temps réel » permet de contrer
une attaque quasiment au moment où
elle se produit, en la détectant, mais
aussi en disposant rapidement des
outils de compréhension concernant
son chemin, ses objectifs probables, et
d’un système d’aide à la décision pour
déployer les bonnes parades.
Le « temps différé » permet d’améliorer
sa protection préalable, en corrigeant
des réactions inappropriées des
équipements, détectées grâce à des
évènements sans gravité, ou d’identifier
une phase initiale hostile qui n’a pas
encore réussi à percer les défenses,
mais dont la source ou la cible sont des
informations vitales.
L’analyse en temps différé, réalisée
par des analystes experts permettra
ainsi d’analyser pour les détecter les
«asignaux faibles », laissés par des
phases exploratoires, par une première
étape sans importance initiale, ou
par une fuite de données progressive,
dont le volume a été volontairement
maintenu bas (mais sur une longue
période) afin de ne pas attirer
l’attention.
décision, sont des profils rares, nécessitant des compétences multiples et un
vécu important dans le domaine de la
sécurité et de l’IT.
Il n’est pas rare que les responsables d’infrastructure se tournent
aujourd’hui vers un opérateur externe
qui saura mettre en commun certaines
ressources matérielles et humaines,
faisant indirectement bénéficier les
uns du vécu des autres, car en matière
de cyberdéfense, on ne progresse
jamais aussi vite qu’en ayant subi une
cyber-attaque, ce qui reste un parcours
pédagogique aussi désagréable
qu’efficace …
▪
Christian LE GALL
[email protected]
A la sortie de l'école j'ai
passé 16 mois en tant
que coopérant au Service
des Communications des
Ambassades de France à
Bruxelles. Puis j'ai choisi
de
Enfin, malheureusement, l’analyse en
différé permet également de mesurer
l’impact d’une attaque réussie, ce
qui est mieux que rien puisqu’une
réaction opérationnelle, commerciale
ou juridique appropriée peut limiter
l’utilisation des données compromises.
Les différents systèmes décrits
réclament une forte expertise, aussi
bien pour une mise en place préalable
adaptée aux environnements (et
activités) à protéger, que pour leur
opération au quotidien, où l’on se doute
bien que les experts qui cherchent à
détecter une attaque, puis à prendre le
plus rapidement possible la meilleure
rejoindre
Alcatel-
Alstom, au service interne
IT du groupe. Au bout de 4 années à Vélizy, j'ai
été expatrié pendant 3 années à Dallas dans
notre filiale aux USA, période durant laquelle
Alcatel a acquis d'autres compagnies à intégrer
à son réseau (DSC, Newbridge, etc), et d'autres
nous ont quitté (Alstom, Saft, ...). Après ces
années à dominante IT, je me suis spécialisé
dans la Sécurité pour les projets Opérateurs ou à
destination les Marchés Verticaux., valorisant le
Security Operation Centre d'Alcatel. Actuellement
je suis dans l’entité Strategic Industries, plus
spécifiquement sur la branche Public Sector,
en charge d'offres à destination des gouvernements, plus particulièrement en charge des
sous-systèmes IT, Sécurité et technologies Cloud.
Cybersécurité de l'espace aérien
Cet article vise à présenter un domaine peu connu du grand public : l'air C4I (Computerized Command, Control Communications
& Intelligence) et les problématiques de sécurité qui en découlent. La collaboration France (THALES) – USA (RAYTHEON) a donné
naissance en 2001 à la joint-venture ThalesRaytheonSystems (TRS), spécialisée dans les systèmes de contrôle et de commandement aérien, dont les activités sont réparties entre la France et les Etats-Unis.
Présentation du domainE C4I
Centres fixes
Les événements de ces dernières
années ont conduit les armées à
moderniser la surveillance des espaces
aériens, que ce soit au niveau français
(DGA) ou au niveau international.
A l'échelle européenne, l'OTAN s'est
dotée de l'Air Command and Control
System (ACCS). Au niveau national, la
France est équipée depuis 20 ans du
Système de Commandement et de
Conduite des Opérations Aériennes
(SCCOA). Basés sur des fonctionnalités
et des centres différents, ces deux
systèmes permettent aux opérateurs
des armées de surveiller et contrôler
le ciel.
Ce métier revêt différents aspects
alliant la planification des missions
sur plusieurs jours et la coordination
des moyens, au contrôle en temps réel.
Les informations circulent entre les
différents acteurs (centres physiques,
radars, awacs...) via des liaisons de
données tactiques.
amateurs égarés ou subissant des
avaries matérielles. En cas de non
réponse, le protocole peut entraîner
l'envoi d'un chasseur afin d'établir un
contact visuel, et si besoin faire atterrir
l'aéronef.
L'objectif principal est d'assurer la
sécurité de l'espace aérien, appelée
PPS (Posture Permanente de Sûreté)
en s’assurant qu’aucune collision entre
aéronefs ne survienne. Tout aéronef
présent dans le ciel, appelé piste,
doit être identifié et suivre un plan de
vol prééetabli. Le rôle des opérateurs
est de s'assurer que chaque piste
affichée sur son écran est à sa place.
Si une piste est inconnue du système,
l’opérateur doit entrer en contact avec
elle pour l'identifier et connaître ses
intentions. Dans la grande majorité
des cas, il s'agit simplement de pilotes
Centres mobiles
Les
programmes
évoqués
précédemment
concernent
des
centres fixes pour des espaces aériens
déterminés. Comment gérer dans ce
cas des missions ponctuelles, sur des
théâtres extérieurs ? L'intervention
française au Mali, la protection de
différents sommets inter-gouvernementaux (G20...) sont des exemples
justifiant l'existence de moyens déployables mobiles. Au niveau français,
ThalesRaytheonSystems a développé
pour l'armée de Terre le système
Maillage Antiaérien des Radars
Tactiques pour la lutte contre les
Hélicoptères et les Aéronefs (MARTHA).
En ce qui concerne l'OTAN, il a été
demandé d'intégrer au programme
ACCS des centres déployables, qu'il
s'agisse de centres de commandement
(partie planification) ou de contrôle
(partie temps réel). Ceux-ci permettent
d'élargir le périmètre d'opérations en
dehors des zones OTAN.
Emergence d'une cyber- menace
Figure 1 - Vu d'un AWACS, un système de commandement aéroporté
Un contrôleur visualise la situation
aérienne à travers son poste opérateur
(IHM) et prend ses décisions en
conséquence. Que se passe-t-il si ces
données sont erronées ? Durant des
27
ayant une structure fixe, elle permet
aussi de remarquer des erreurs de
syntaxe. Les agents intégrés dans la
CybAIR Radbox ont la connaissance
d'un trafic "normal" et peuvent ainsi
reconnaître toute anomalie par rapport
à cette norme connue. L'opérateur
peut ainsi commencer à investiguer la
source du problème grâce aux indications données par la CybAIR Radbox, et
intervenir en cas de nécessité.
L'offre CybAIRVision®
Figure 2 - Exemple d'interface de supervision aérienne
exercices militaires réalisés en 2010 au
Proche-Orient, des centres de contrôle
ont vu diverses pistes non identifiées
apparaître sur les IHM des opérateurs.
Lorsque des chasseurs ont été envoyés
sur place, les pilotes ont constaté
l'absence d'aéronef. De fait, ces pistes
fictives avaient été insidieusement
injectées dans le système. Plus grave
encore, en falsifiant des données,
un cyber attaquant aurait la possibilité de faire disparaître une piste,
la rendant invisible à tout contrôle.
Pour répondre à cette menace, en plus
de proposer des services de sécurité
des systèmes d'information classiques,
ThalesRaytheonSystems a développé
une offre spécifique aux opérations
aériennes, nommée CybAIRVision®.
CybAIRVision®,
qu'est- ce que c'est ?
L'objectif de cette ligne de produits
CybAIRVision® est d'assurer l'intégrité
des données nécessaires et critiques
à l'exécution d'une mission aérienne.
L’approche CybAIRVision® se base sur
l'analyse des données transitant sur
les différentes liaisons tactiques entre
plusieurs centres et radars et sur la
détection d’anomalies de ces données.
Par opposition à une attaque exécutée
sur des données C4I peut engendrer la
multiplication de pistes détectées ou
l’altération de flux radars. Non détectés
par des outils de sécurité classiques, ces
comportements spécifiques au métier
C4I sont détectés par la CybAIRVision®.
ThalesRaytheonSystems s'est appuyé
sur son expertise du domaine C4I
afin de développer ces outils d'analyse
dynamique. Ceux-ci fournissent une
supervision à différents niveaux
du système depuis les flux radars
jusqu'aux échanges inter-centres. L'un
des composants de base de l'offre
CybAIRVision® est CybAIR Radbox
qui se base sur différents agents
qui l'écoutent et analysent en temps
réel le flux de données fourni par le
radar. La CybAIR Radbox doit réaliser
notamment une analyse syntaxique et
sémantique en temps réel de ces flux.
Si une anomalie est détectée (telle
que l'apparition d'une nouvelle piste
suspecte, la disparition soudaine d'une
piste, des informations erronées dans
une piste existante...) la CybAIR Radbox
lève une alerte et met en exergue
les conséquences opérationnelles de
l'attaque. Les messageries utilisées
Afin d'être au plus proche des besoins
de ses clients, ThalesRaytheonSystems
a développé une offre complète pour
sa ligne de produits CybAIRVision®,
CybAIR Radbox teste un des produits.
Celle-ci se présente sous la forme d'un
caisson et se connecte directement
à un radar. A un plus haut niveau, on
trouve la CybAIR Multilink qui agrège
les flux de différentes CybAIR Radbox
et analyse ainsi des données au niveau
d'un centre de contrôle. Enfin, la CybAIR
Picture est à destination d'une nation
ou d'un corps d'armée et fournit une
supervision globale d'un système du
point de vue technique, opérationnel
et cyber.
Depuis 2013, la CybAIR Radbox est en
cours d'évaluation par l'armée de l'air
française et par la DGA.
▪
Sébastien BONNET
Promo 2012
[email protected]
Sébastien (promo 2012)
est
ingénieur
dével-
oppement chez Thales
Raytheon
Systems
depuis l'obtention de son
diplôme. Il travaille dans
le domaine des liaisons
de données et systèmes
de communications. Cet article a été écrit en
collaboration avec des ingénieurs spécialisés
dans la cyberdéfense.
Sécurité des données :
OS cloisonnant et multi - niveaux
par FABIEN GERMONT
UnE PROBLématique
multi - niveaux:
quelques exemples
Cloud
Le Cloud engendre la mutualisation
des ressources matérielles des serveurs
et des mémoires de masse accessibles
par location.
Toutes les entreprises et toutes les
personnes physiques, qui exploitent
le Cloud, définissent autant d’entités
différentes ayant des niveaux de
sécurité différents à cause du besoin
d’en connaître associé à leurs données.
Il est en effet impensable qu’une entité
puisse accéder de façon erronée ou
malveillante aux données d’une autre
entité. Le Cloud doit donc protéger
en confidentialité et en intégrité les
données de toutes les entités ayant
accès à ce service par un cloisonnement.
Confier ses données nécessite la
confiance dans le fournisseur du
Cloud. La saga PRISM n’a fait que
mettre en évidence cette nécessité. Et
pour répondre à cette nécessité, deux
groupements industriels proposent
chacun un service de Cloud sécurisé
en France, Cloudwatt par Orange et
Thales (https://www.cloudwatt.com/)
et Numergy par SFR et Bull (https://
www.numergy.com/).
Smartphone
Le Smartphone avec le Bring Your Own
Device (BYOD) mutualise les ressources
privées et professionnelles.
L’entreprise et la personne physique,
utilisant les Smartphones avec
l’approche BYOD, définissent au moins
deux niveaux de sécurité différents à
cause du besoin d’en connaître associé,
d’une part aux données de l’entreprise
et d’autre part aux données privées.
Le smartphone devient un vecteur
d’attaque pour tenter d’accéder
illégalement à l’entreprise en exploitant
son utilisation privée. Un smartphone
utilisé dans un contexte BYOD doit
donc protéger tous les droits d’accès
professionnels ainsi que les données
de l’entreprise en confidentialité et
intégrité par un cloisonnement.
Il est à noter que l’ANSSI (Agence
nationale de la Sécurité des Systèmes
d’Information) ne recommande pas
l’utilisation des smartphones privés en
entreprise (voir http://www.ssi.gouv.fr/
IMG/pdf/NP_Ordiphones_NoteTech.pdf,
Recommandations de sécurité relatives
aux ordiphones).
Pour les besoins de smartphones
sécurisés en entreprises avec une utilisation privée, THALES offre la solution
de sécurité Teopad pour smartphones
et tablettes (http://www.thalesgroup.
fr/Teopad_fr/). Bull offre la solution
Hoox de smartphones sécurisés pour
des besoins d’entreprises seuls (http://
www.bull.fr/hoox). Et pour des besoins
de classifié défense, THALES offre la
solution Teorem.
L’automobile
La mutualisation des ressources
dans l’automobile va croissante. Les
fonctions qui auparavant utilisaient
des ressources logiquement et
physiquement séparées s’exécutent
maintenant sur les mêmes ressources
matérielles.
Ainsi, les fonctions de signalisation, de
lumière, de confort, d’écran, de caméra,
de contrôle, de vitesse des roues, de
freinage, de moteur, de radio, de GSM,
de connexion bluetooth et wifi etc.
peuvent être exécutées sur le même
CPU.
Ces fonctions définissent des niveaux
de sécurité différents à cause de leurs
criticités différentes dans le véhicule.
Du fait de la mutualisation des
ressources, des fonctions non critiques
pourraient servir de vecteur d’attaque
pour accéder aux fonctions critiques du
véhicule. Pour protéger en intégrité les
fonctions critiques, il est nécessaire de
cloisonner les fonctions critiques des
fonctions moins critiques.
L’avionique
La mutualisation des ressources va
aussi croissante dans l’avionique. Un
système avionique comporte un réseau
AFDX assurant la sécurité du système
au sens safety (protection de la vie des
personnes) et non sécurité des systèmes
d’information. Plusieurs équipements
sont connectés à ce réseau, le CIDS
(Cabin Intercommunication Data
System) gère les alarmes, la lumière,
les informations cockpit, etc. ; les RDC
(Remote Data Concentrator) sont des
concentrateurs pour les capteurs ; les
REU (Remote Electrical Unit) qui sont
des RDC légers. L’équipement CIDS est
composé d’un serveur OWS (Open World
29
Server) avec plusieurs unités de calcul
CPM (Core Processing Module) toutes
connectées au réseau AFDX. Le serveur
OWS exécute plusieurs fonctions ATA
(Air Transport Association) et plusieurs
fonctions de gestion. Les équipements
RDC/REU/CPM exécutent plusieurs
fonctions ATA et de gestion.
Du fait de la mutualisation des
ressources, les fonctions ATA et de
gestion pourraient être exécutées
sur le même CPU que ce soit dans
le serveur OWS ou dans les équipements RDC/REU/CPM. Du fait de leurs
criticités différentes, ces fonctions
doivent être protégées en intégrité par
un cloisonnement.
Plusieurs solutions
possibles selon
le choix d’architecture
Des solutions
Pour cloisonner des données, il est
possible de réaliser cette fonction
de sécurité par un cloisonnement
physique. Il s’agit d’associer des
ressources matérielles et logicielles distinctes interdisant le risque
de divulgation, par exemple par des
données résiduelles entre traitements
successifs. Cette solution est de moins
en moins possible avec la mutualisation des ressources qui est exigée.
Le
cloisonnement
peut
être
cryptographique. A chaque besoin
d’en connaître est associée une clé de
chiffrement et le chiffrement interdit
la divulgation des données. Cependant,
pour qu’une fonction cryptographique
soit efficace, il faut la protéger en
intégrité et en confidentialité. Et pour
que cette protection de la fonction
cryptographique soit efficace, il faut
revenir à un cloisonnement physique
et logique avec un cryptoprocesseur
matériel dédié. Cette approche est plus
difficile à mettre en œuvre du fait de
la mutualisation des ressources sans
parler de la gestion des clés dans les
systèmes.
Il reste le cloisonnement mis en œuvre
par des OS et plus particulièrement
cloisonnants avec une approche
MILS (Multiple Independent Levels of
Security). L’objectif est de garantir un
cloisonnement efficace. Il faut donc
réaliser un partitionnement spatial
et temporel des applications, spatial
pour garantir l’absence de divulgation
des données par les contrôles d’accès
aux points mémoire, et temporel pour
garantir l’absence de divulgation des
données par l’utilisation des ressources
partagées (par exemple par la présence
de données résiduelles dans des
registres de travail d’un CPU).
Un besoin de preuve
Pour qu’un OS soit évaluable, il faut
que le nombre de lignes de code soit
le plus petit possible comme pour
certains qui avoisinent les dix-mille.
Un évaluateur peut faire des preuves
semi-formelles et formelles et une
analyse de vulnérabilité méthodique
et avancée (voir Critères Communs
Partiea3) sur une telle quantité de
lignes de codes pour un haut niveau
de sécurité afin de garantir le niveau
de confiance.
Le comportement doit être prédictible
spatialement et temporellement
pour des applications avioniques ou
de transport en lien avec la safety,
notamment avec un WCET (Worst Case
Evaluation Time) fixe et borné. Il y a
aussi des besoins temps réel à garantir
pour les Télécoms et les réseaux.
Il existe des OS répondant à ce cahier
des charges, c’est-à-dire cloisonnant,
temps réel, ayant obtenus des certifications avioniques (DO178), automobiles
(EN26262), transport (EN50128),
ou Critère Communs : un seul est
européen PikeOS de SYSGO (http://
www.sysgo.com/products/pikeos-
rtos-and-virtualization-concept/) et
trois sont américains, Lynx Secure de
Lynuxworks, (http://www.lynuxworks.
com/virtualization/hypervisor.php),
VxWorks de WindRiver (http://www.
windriver.com/products/vxworks/),
Integrity de Green Hills (http://www.
ghs.com/products/r tos/integrity.
html). Il est à noter que seul PikeOS
correspond à un produit unique
répondant à l’ensemble des certifications, les trois autres correspondent
à trois gammes déclinant sous un
même nom des produits différents
pour chaque certification.
‑
Comment utiliser
un OS cloisonnant
Définir la problématique de sécuritéa:
exemple de la cible de sécurité de
PikeOS
Les biens à protéger
Que ce soit dans le Cloud, le
smartphone,
l’automobile
ou
l’avionique, il y a une coexistence de
données avec des niveaux de sécurité
différents définis par le besoin d’en
connaitre ou leur criticité. Du point
de vue de l’utilisateur, ses données
et applications critiques devront
être protégées par le cloisonnement
apporté par PikeOS en les plaçant
dans des partitions différentes. Pour
que ce cloisonnement soit efficace et
bien que les applications et données
sont de confiance pour l’utilisateur,
elles sont considérées comme non
de confiance, voire malveillantes, par
PikeOS. En effet, PikeOS doit garantir
que des données cloisonnées par ses
partitions ne puissent pas, par erreur
ou par malveillance, atteindre en confidentialité, intégrité ou disponibilité les
applications et les données d’une autre
partition, par exemple en réussissant
une escalade de privilèges sur les
droits de l’OS.
Les menaces
PikeOS contre :
• la divulgation des données de
l’utilisateur ou celles de PikeOS afin de
garantir leur confidentialité ;
• la modification des données de
l’utilisateur ou celles de PikeOS afin de
garantir leur intégrité ;
• la perte de ressources afin de garantir
leur disponibilité ;
• l’exécution afin d’interdire l’accès à
des services non autorisés.
Toutes ces menaces sont définies par
rapport aux biens à protéger.
Les politiques de sécurité
Il faut considérer un OS cloisonnant
comme étant un des maillons de la
chaîne de sécurité. Même si PikeOS
peut apporter un haut niveau de
sécurité, celui-ci s’exécute sur un circuit
intégré contenant un ou plusieurs CPU.
Le matériel ne doit pas remettre en
cause la sécurité apportée par l’OS.
PikeOS impose donc des politiques
de sécurité à son environnement dont
une spécifiquement au matériel sur
lequel il s’exécute. Elle comprend des
exigences sur la présence d’au moins
deux niveaux d’exécution et d’une MMU,
le contrôle du jeu d’instructions et
du mécanisme de commutation entre
Figure 1 - Exemple d’un Smartphone ou tablette.
exécution privilégiée et exécution non
privilégiée, d’un état connu à la mise
sous tension, etc.
Les objectifs techniques et les exigences
fonctionnelles de sécurité
Les biens à protéger, les menaces
sur ces biens et les politiques sur
l’environnement forment un ensemble
cohérent définissant la problématique de sécurité à laquelle PikeOS se
propose comme une solution. PikeOS
met en œuvre des objectifs techniques
de sécurité qui sont spécifiés de façon
semi-formelle par des SFR (Security
Functional Requirements) définis par
les critères Communs Partie 2. Ce
sont ces SFR qui sont implémentés
dans le code de PikeOS comme le
contrôle d’accès total, l’allocation des
ressources, la priorité, etc.
Mise en œuvre d’un OS cloisonnant
Smartphone et tablette
Les deux niveaux de sécurité différents
définis par les domaines entreprise
et privé peuvent être cloisonnés dans
deux partitions utilisateur distinctes.
Cela permet de les protéger en confidentialité, intégrité et disponibilité
entre eux (Figure 1). Cela réduit les
vecteurs d’attaque notamment ceux
issus de l’utilisation qui en est faite
dans le domaine privé. Il est aussi
judicieux de séparer les gestions
des deux domaines d’emploi. L’OS
cloisonnant assure aussi l’accès
sécurisé aux ressources partagées du
smartphone ou de la tablette par les
deux domaines d’emploi.
L’automobile
Les fonctions de contrôle du véhicule,
Figure 2 - Exemple d’un système automobile.
31
Figure 3 - Exemple d’un système avionique
de signalisation ou de communication
définissent des niveaux de sécurité
différents. Afin de protéger leur
intégrité entre elles, il est judicieux
de les regrouper dans des partitions
différentes notamment en fonction de
leur criticité. Les fonctions assurant la
safety seront donc dans une partition
distincte pour être protégées des
fonctions de communication qui
pourraient servir de vecteur d’attaque
(Figure 1).
L’avionique
Les différentes fonctions ATA et
fonctions de gestion, qui s’exécutent
sur le serveur OWS et les équipements
RDC/REU/CPM, forment des ensembles
de niveaux de sécurité différents définis
aussi par leur criticité. Les regrouper
dans des partitions distinctes en
fonction de leur criticité pour l’avion
permet de les protéger en intégrité
(Figure 2). Cela permet d’éviter que
des pannes se transmettent ou que
certaines fonctions puissent être
utilisées comme vecteur d’attaque.
En résumé
Les OS cloisonnants peuvent apporter
une solution en termes de sécurité tout
en répondant à plusieurs exigences
fréquentes comme la mutualisation
des ressources, des niveaux de sécurité
différents et des besoins temps-réel.
Ils possèdent un avantage très
important dès que l’on vise un haut
niveau de sécurité, à savoir leur
nombre de lignes de code restreint, de
l’ordre de dix-mille. Cela permet de les
évaluer que ce soit dans un processus
de certification pour la safety (DO178)
ou la sécurité (Critères Communs).
Ayant peu de lignes de code, ils sont
donc moins riches en termes de
fonctions mais cela est compensé par la
virtualisation d’OS dans les partitions.
En général, Linux et Androïd sont
virtualisés, plus rarement Windows.
‑
Les OS cloisonnants sont utilisés
dans de nombreux domaines, les
télécoms, l’avionique, le transport
pour leurs propriétés de sûreté de
fonctionnement. Ils sont désormais
utilisés dans ces mêmes domaines
pour la sécurité qu’ils sont capables
d’apporter en termes de confidentialité, d’intégrité et de disponibilité des
données et des applications tout en
étant simultanément une réponse au
multi-niveaux de sécurité.
▪
Fabien GERMAIN
[email protected]
Fabien est expert en
sécurité des systèmes
d’informations
à
SYSGO SAS, pôle de
compétence mondial
de THALES pour les
OS. Il travaille dans
la sécurité depuis
1998 développant son expertise de sécurité
en conception, audit, conseil et analyse de
vulnérabilités notamment à la DCSSI (ANSSI
aujourd’hui) où il a mis en place des activités
de recherche en sécurité microélectronique.
Sa thèse sur ce sujet se trouve sur http://
www.ssi.gouv.fr/archive/fr/sciences/fichiers/
lti/these-germain.pdf. Il a aussi reçu une
formation en intelligence économique à
l’IHEDN étendant son expertise de sécurité
à l’entreprise dans sa globalité.
32 La
Enquête
sécurité
carrière
des données
Data Security in Cloud Computing
Do you feel your data is safer in a cloud?
C
loud computing is the latest
buzz phrase in IT business
and services. It provides a
set of convenient services
with the concepts of infrastructure
as a service, platform as a service,
software as a service, and network as a
service. Rather than buying expensive
IT computing machines and hiring
experts to operate those machines,
more and more companies are buying
the services being provided by clouds.
It means that the companies become
customers of cloud service providers
and data of the companies is thus
stored at the clouds.
Some people may say that data
stored at a cloud is much safer than
data stored in an in-house computer
system. It would seem right as cloud
service providers like Amazon, Google,
Microsoft, Dropbox, etc. would provide
the world’s top level IT services.
However, unfortunately it is not that
simple. Data security is still the top
concern in cloud computing.
In order to think about data security
concerns correctly in cloud computing,
we should first look at what cloud
computing does. The use of a cloud
means that we outsource our data to a
third party [1]. We do not know how our
data is stored and processed. We only
see results of processing on our data
by the third party. In other words, we
do not have control on our data as long
as our data is in the cloud. We also
cannot prevent nor even know whether
our data is being abused by the cloud
service provider. For instance, your data
stored in a cloud may be being used
as statistical materials. Think about
advertisements at your gmail account.
Another feature of cloud computing is
multi-tenancy which means that multitudinous customers share resources
of a physical machine. A cloud service
provider tries to maximize resource
utilization from a limited physical
machine, by utilizing virtual machine
technologies. However, such a resource
sharing has to be provided with
strong access control mechanisms and
policies. Otherwise, other customer
may inappropriately gain access to your
sensitive data. A representative cloud
storage service provider, Dropbox, had
a security bug that allows anyone
to log in to any of its 25 million
customers’ accounts and access any
data [2]. This security glitch reported
on June 20th 2011 was caused by a
system code update.
As the resource sharing is in the heart
of cloud computing, virtual machine
technologies are widely used. Your
data or even application code runs in
a virtual machine as like running in its
own operating system and hardware.
Whenever you need to upgrade performance of your system (i.e., your virtual
machine), you just need to pay more
and you immediately get the upgraded
system. But, here is a question mark.
How your virtual machine containing
your all data and application code is
well separated and managed apart
from other virtual machines running
in the same physical machine? Major
cloud service providers for instance
Amazon say that your virtual machine
is safely kept and virtually isolated
from those of other customers. Surely?
No. A recently conducted research [3] by
Thomas Ristenpart and his colleagues
at the University of California and
MIT demonstrated that an attacker
may have a chance to put his virtual
machine to the same physical machine
where legitimate virtual machines run.
Then, the attacker would gain access
to some sensitive points like shared
memory, cache information, and traffic
input and output information. Those
kinds of accesses allow the attacker to
analyze any sensitive information and
launch serious attacks. For instance,
for better performance, frequently used
information including identifications
and cryptography keys is cached. Then,
the attacker may be able to obtain
those security credentials and thus
gain access any data even encrypted.
Clouds are always there but it’s not
always sunny in cloud computing.
So many companies and organizations these days move to cloud
computing as it provides great access
to all required services with affordable
prices. However, cloud computing is
still an evolving paradigm. In other
words, there are still some concerns
and issues to overcome. As briefly
introduced in this article, a concern of
data security is one of them. We have
a long way to go for this evolutionary
development.
▪
Référence
Jong-Hyouk LEE
[1] H. Takabi, J. B. D. Joshi, and G.-J. Ahn, “Security and Privacy Challenges in Cloud Computing
[email protected]
Environments,” IEEE Security & Privacy, vol. 8, no. 6, pp. 24–31, November 2010.
[2] C. Cachin, M. Schunter, “A Cloud You Can Trust,” IEEE Spectrum, December 2011.
Jong-Hyouk est un ancien enseignant de l'école
[3] T. Ristenpart, E. Tromer, H. Shacham, S. Savage, “Hey, You, Get Off of My Cloud: Exploring
au département RMS, à Rennes. Il enseigne
Information Leakage in Third-Party Compute Clouds,” In Proc. of ACM CCS, November 2009.
désormais à Sandmyung University, en Corée
33
EnQuête carrière 2012,
quelles évolutions pour les
anciens de télécom bretagne ?
Cette enquête restitue une image de l'activité des ingénieurs diplômés de Télécom Bretagne au 1er
semestre 2013 et fait le bilan de l'année 2012, avec mise en regard, sur certains points, avec l’enquête
2012 du CNISF (Conseil National des Ingénieurs et Scientifiques de France).
Marc WATIEZ
Promo 1992
[email protected]
Contrairement aux années précédentes (et comme l’année dernière), les 5 dernières promotions
(2008-12), et non plus les 2 dernières, ont été interrogées au travers de l’enquête menée par l’Ecole,
elles ne sont donc pas couvertes dans la première partie de ce dossier (l’analyse sur les dernières
promotions vient en seconde partie) car les questions des 2 enquêtes ne sont pas toutes les mêmes
et surtout car le nombre élevé de réponses via l’enquête de l’Ecole conduirait à une surreprésentation
des dernières promotions et donc une déformation des résultats globaux.
L’exhaustivité des résultats sera présentée sur le site Web de l’Association (www.aitb.org).
Devenir ingénieur télécom Bretagne
En préambule, gardons à l’esprit
que nos formations font partie de
la 1ère spécialité des ingénieurs en
France, puisque les STIC (Sciences et
Technologies de l’Information et de
la Communication) représentent 22%
des spécialités à l’issue des formations
d’ingénieur, contre 19% pour les
formations généralistes ou 15% pour
la mécanique/production (enquête
CNISF).
Derrière le terme STIC on entend :
La formation
des ingénieurs diplômés
Plus de 90% des Anciens possèdent
le diplôme d'ingénieur (dont 7% par
apprentissage), 5% un mastère, un plus
de 2% une thèse.
70% des ingénieurs sortent de classes
préparatoires. Viennent ensuite les
admis sur titre pour 21% (formation
initiale sous statut d’étudiant autre que
prépa), puis l’apprentissage à 6,5% et
la formation promotionnelle pour 2%).
automatisme, électricité, électronique,
électrotechnique, génie logiciel, informatique, mathématiques appliquées et
télécommunications
Les compétences
complémentaires
Parmi les ingénieurs (hors promotions
2008-12), 20% annoncent également
un autre diplôme du supérieur (contre
30% l’année dernière) et, parmi ceux-ci
: 14% une thèse, 8% un diplôme d’une
école de gestion/commerce et 8% un
MBA (mêmes proportions qu’en 2012).
L’espace professionnel
La situation vis à vis de l'emploi
La situation globale de mars 2013 reste stable et très bonne : 96% des Anciens ayant répondu (hors promos 2008-12) occupent
des emplois à durée indéterminée (CDI, fonctionnaires ; soit +5%), aucun n’annonce être en CDD (4% en 2012), et 2,3% sont en
recherche d’emploi (en petite baisse).
La tendance semble donc (étonnamment) meilleure que l’année dernière.
34 Enquête carrière
Conditions de travail
Temps de travail hebdomadaire
La moyenne France est stable (légère
décroissance de 14 min à 44h31), la
moyenne étranger croît un peu plus (de 42
min) et atteint 45h07) ; les deux sont au
niveau général des cadres (9h en moyenne
par jour).
Jours de congés
Grande stabilité avec logiquement pas
ou très peu de RTT pour les Anciens à
l’étranger, ce qui fait la principale différence
en termes de jours possibles de congés au
total : 39,5 jours en France (comme en
2012), 23,1 à l’étranger (soit -0,6).
Temps partiel
1,1% en bénéficient (autant d’hommes que
de femmes, plutôt des managers de petites
équipes, et plutôt dans les études et la
R&D), soit -2,4%, et la valeur la plus basse
ces dernières années.
Sur une échelle de 1 à 10, le niveau de
stress moyen des Anciens continue sa
légère croissance à 5,4 (hors promos 08-12).
On retrouve un graphe au « formata»
habituel, avec une répartition ressemblant
à la somme de deux gaussiennes décalées,
l’une autour de 3, la seconde autour de
7.
La création et
la reprise d’entreprise
La croissance notée l’année dernière s’arrête en
2012 (difficultés liées à la crise économique ?),
avec une part d’Anciens indiquant avoir créé leur
entreprise retombant à 2,4% (contre 5% l’année
dernière), hors promos 2008-12 ; on s’éloigne donc
à nouveau des valeurs relatives à l’ensemble des
ingénieurs (5,8% sont dans une entreprise qu’ils
ont créée ou reprise, d’après l’enquête CNISF 2012).
35
Les entreprises qui nous emploient
Localisation
On note toujours une forte présence en
Ile-de-France : 60% des Anciens basés en
métropole s’y trouvent (-1%), ce qui souligne
une spécificité de nos emplois par rapport
à la population des ingénieurs français,
dans l’enquête CNISF, 42% des emplois de
France métropolitaine se trouvent en région
parisienne.
Les Hauts-de-Seine, à égalité avec Paris,
tiennent la tête (à eux deux, presque 24% du
total France). Viennent loin derrière l’Ile-etVilaine (9,9%), la Haute-Garonne (5,4%), les
Yvelines (4,4%) et le Val de Marne (3,9%) qui
échangent leurs places.
En province, la tendance de ces dernières
années se poursuit avec un basculement sur
la région Bretagne, cœur de la localisation
de l’Ecole ; l’Ile-et-Vilaine tire son épingle
du jeu et croît même légèrement, par contre
Finistère et Côtes d’Armor sont à présent à 3%
du total métropole.
La région Bretagne reste cependant en
seconde position en France (18%) devant
Midi-Pyrénées et PACA (5,4%).
Localisation (toutes promos sauf pr 2008-12)
7,6%
15,6%
6,8%
1,1%
0,0%
3,0%
3,4%
22,1%
4,9%
4,2%
0,8%
46,8%
5,7%
Ile-de-France
Nord-Ouest
Sud-Est
Sud-Ouest
Nord/Nord-Est
Outremer
Union Europ.
Afrique
Etats-Unis
Asie & Moyen-Orient
Europe hors UE
Amériques (hors USA)
Europe (UE et autres)
(toutes promos sauf pr08-12
35%
30%
25%
20%
Enfin, la présence d'Anciens à l'étranger reste
stable à 18% (contre 15,2% pour l’ensemble
des ingénieurs, d’après l’enquête CNISF).
En termes de contrat de travail, 88% sont en
contrat local (stable) et 11% avec le statut
d’expatriés (+2%).
Si on observe les Anciens hors promos
2008-12, la Suisse tient la tête en Europe, la
Grande-Bretagne reculant fortement.
15%
10%
5%
0%
Nature
Globalement, 88% travaillent dans le secteur privé (+2%), 6% dans le secteur public (+1%).
Secteur d’activité
Les opérateurs sont stables avec une avance relative sur les
secteurs suivants.
Plusieurs évolutions sont à souligner : baisse notable des
constructeurs (-4,3% et perte de 2 places, avec l’impact
certain de la crise), de la finance / banque (qui retrouve
sa valeur d’il y a 2 ans), ainsi que de l’électronique et du
Secteur d'activité de l'entreprise (hors pr 08-12)
secteur des administrations (-2% environ).
A l’inverse, les éditeurs et intégrateurs de logiciels gagnent
presque 4% (et 3 places !).
Les SSII, gros recruteurs de jeunes diplômés, maintiennent
leur 4ème position (à égalité avec les constructeurs).
Les autres secteurs varient peu.
opérateur en télécommunications
éditeur / intégrateur de logiciels
12,2%
11,1%
cabinet de conseil
constructeur télécoms / informatique
10,3%
15,6%
SSII
finance / banque / assurance
énergie
enseignement / formation / recherche
autres industries (chimie, automobile, BTP, ...)
10,3%
3,1%
défense
électronique / optique (prof., grand public,micro.)
autre tertiaire (logistique,transport, distrib., commerce, santé)
1,1%
1,9%
5,3%
1,9%
3,1%
3,4%
3,4%
5,0%
3,8%
3,8%
Nombre de salariés de la société
(toutes promos sauf 2008-12)
4,6%
aéronautique / spatial
admin. (d'Etat, territoriale,etc.) / régulation
ingénierie / bureau d'études (non informatique)
médias (cinéma, presse, radio, TV, web)
autre
Groupe international
100%
Groupe national
35%
Secteurs France, IdF vs province
toutes promos sauf 2008-12
90%
IdF
80%
province
70%
30%
60%
25%
40%
20%
20%
50%
30%
10%
0%
15%
10%
5%
0%
1 à 19
20 à 499
500 à 1999
2000 à 9999
10000 à
49999
> 50000
TAILLE
La majorité des Anciens (hors promos 2008-12) restent toujours salariés de grandes entreprises à dimension internationale (on retrouve les valeurs d’il y a 2 ans).
Ainsi, 43,4% (-1,1%) se trouvent dans des sociétés de plus de 10000 personnes ; 70,7% dans des sociétés de plus de 500
personnes (-4,3%).
71% se trouvent dans des sociétés à dimension internationale (-6%).
37
Caractéristiques des emplois des ingénieurs diplômés
Resp. hiérarchiques France, IdF vs province
Position hiérarchique (toutes promos sauf pr08-12)
1,9% 1,2%
2,3%
1,2%
ingénieur/commercial/analyste...
sans resp. d'encadrement
1,2%
2,3%
7,8%
32,2%
chef de projet
80%
responsable d'équipe
70%
expert fonctionnel ou technique
resp. de département / de service
13,6%
province
60%
50%
40%
directeur d'unité/
d'établissement/de centre
30%
dir. exécutif/de branche
20%
direction d'entreprise (PDG, DG)
10%
enseignants (yc chercheurs),
doctorants
15,5%
IdF
0%
indépendant
20,9%
autre
Positionnement hiérarchique
et responsabilités
Le déséquilibre de taille entre les
premières et dernières promotions
continue à jouer directement sur les
niveaux de responsabilités identifiés
dans notre enquête ; on observe de
fait une part toujours limitée d’Anciens
avec des responsabilités managériales
directes.
Le second graphe souligne la prise de
responsabilités plutôt croissante au fil
des années, somme toute logique, avec
cependant une remontée (importante)
de la part d’Anciens sans encadrement
parmi les premières promotions ; mais
le nombre limité de réponses associées
reste insuffisamment représentatif pour
en tirer une conclusion sûre (on peut
Activité principale (toutes promos sauf 08-12)
Nombre de personnes encadrées
(toutes promos sauf 08-12)
cependant imaginer
100%
l’évolution de certains
90%
de postes à dimension 80%
managériale vers des 70%
postes plus trans- 60%
50%
verses).
40%
Au total, 48,9% des 30%
> 1000 p.
201 à 1000 p.
Anciens annoncent 20%
41 à 200 p.
11 à 40 p.
10%
1 à 10 p.
0
avoir des respon0%
80-84
85-89
90-94
95-99 2000-04 2005
2006
2007
sabilités managériales
(contre 51% pour
l’ensemble
des
de règle évidente permettant d’en
ingénieurs – enquête CNISF), soit
tirer des conclusions immédiates ; en
+5,9%.
termes de pourcentages, la part IdF est
cependant plutôt en décroissance par
Enfin, quand on compare ente province
rapport à l’année dernière.
et Ile-de-France, on ne trouve pas
études/ projets/ R&D non fondamentale
conseil
1,5%
1,1%
1,5%
0,8%
0,8%
3,4%
commercial / technico-com. / vente
développement logiciel
1,5%
exploitation/ support
26,1%
1,9%
informatique interne
2,7%
recherche (fondam., enseignants-ch.)
3,0%
marketing
3,8%
test / validation / recette
direction/ Dir.Gle/ création d'entreprise
4,9%
stratégie/ planification
production/ fabrication
compta. / gestion / finance
6,1%
logistique/ achat/ transport
15,2%
6,4%
intégration
qualité/ sécurité
9,5%
9,8%
installation/ mise en service
autre
Domaine d’activité
Pour ce qui concerne la palette des
domaines d’activités, études/projets et
conseil se trouve toujours en tête.
Quelques évolutions sont à signaler :
commercial/vente remonte de presque 4%,
la recherche de presque 2%, le développement logiciel croît de 1,6%.
A l’inverse, l’informatique interne baisse
de 2,4%, stratégie de 2,3%, exploitation/
support de 2% et test/ validation de 1,8%.
Les autres domaines sont plus stables ou
sur des variations plus faibles.
En termes de répartition des métiers
entre Ile-de-France et province, on
note des résultats variables, avec les
mêmes catégories plutôt en IdF ou en
province.
Activités France, IdF vs province
90%
80%
IdF
70%
province
60%
50%
40%
30%
20%
10%
0%
LA MOBILITE ET LES CHANGEMENTS PROFESSIONNELS
L’ancienneté et le nombre d’employeurs
On retrouve ici les tendances classiques
et habituelles (ancienneté croissante
avec l’âge).
Au global, 59,5% des Anciens ayant
répondu indiquent n’avoir eu qu’un
ou deux employeurs (+7,5%)... alors
que cette valeur est de 66% pour
l’ensemble des ingénieurs français
d’après l’enquête CNISF.
En complément, l’ancienneté dans la
même entreprise s’avère corrélée à la
Nb de postes (gauche) / d'employeurs (droite) (tous pays)
sauf promos 2008-12
Ancienneté dans l'entreprise (tous pays)
sauf promos 2008-12
100%
100%
90%
90%
80%
80%
70%
70%
>= 10 ans
60%
5 à 10 ans
50%
2 à 4 ans
50%
<2 ans
40%
40%
30%
20%
10%
10%
2006
2007
2 ou 3
1
0%
Ancienneté > 10 ans
0%
6 à 10
4 ou 5
20%
80-84 85-89 90-94 95-99 2000- 2005
04
>10
60%
30%
0%
taille de cette entreprise.
Cela s’illustre au travers de la répartition des Anciens affichant une
ancienneté supérieure à 10 ans ou un
seul employeur.
Avec 1 seul employeur,
hors promos 2008-12
5%
21%
13%
1 à 19
20 à 499
43%
9%
500 à 1999
1 à 19
9%
51%
500 à 1999
2000 à 9999
2000 à 9999
10000 à 49999
10000 à 49999
19%
9%
20 à 499
15%
> 50000
7%
> 50000
39
Perdre son emploi et Changer d’employeur
Temps de recherche (mois)
tous pays, toutes promos sauf 2008-12
Sur l’ensemble, les mobilités sur 2012
et début 2013 montrent toujours des
évolutions notables par catégories de
promotions.
35%
sans emploi qd recherche
30%
en poste qd recherche
25%
Toutes promotions confondues, deux
raisons viennent largement en tête
: la recherche de responsabilités et
perspectives de carrière (46,4%, soit
-1,6%), devant l’intérêt du poste et
l’enrichissement des compétences
(20%, soit +2,6%).
Suivent les conditions de travail
(13,6%, +2,7%), la rémunération (6,4%
soit -1,2%), les fins de mission (5,6%)
et les réorientations prof. (4%, soit
+2,9%, hausse peut-être liée à la crise
économique).
En termes de moyens de recherche,
plusieurs catégories connaissent des
variations par rapport aux années
précédentes, à commencer par
les deux qui arrivent en tête : les
relations croissent de 2,5%, et les
candidatures spontanées reprennent
2,7% (après une baisse conséquente
l’année dernière).
On peut également noter que les
propositions internes à l’entreprise
chutent de 3,5% (signe de crispation
de la mobilité interne), que les cabinets
de recrutement baissent de 2,6% et
les créations/rachats d’entreprise de
2,2% (effet crise, encore).
20%
15%
10%
5%
0%
0
<=1
<=2
<=3
<=5
<=6
<=12
Raisons du changement, toutes promos (tous pays)
sauf pr 2008-12
<=18
<=24
>24
100%
retour après arrêt (chômage,
congé, etc.)
90%
création / rachat d'entreprise
80%
faillite / cession / santé entreprise
70%
réorientation prof. / études
60%
rémunération
50%
licenciement / réorg. / arrêt activité
40%
fin mission/contrat/projet/thèse
30%
conditions travail / qualité vie
20%
intérêt poste, métier /lien
compétences
10%
niveau de resp. / promo. / carrière
0%
80-84
85-89
90-94
95-99
200004
2005
2006
Méthodes pour trouver son poste actuel
(tous pays, toutes promos sauf 08-12)
1,6%
2,8%
1,2% 0,8%
0,4%
2007
relations (perso., prof., cooptation)
candidature spontanée (interne/ext.)
cabinet de recrutement
2,0%
site Internet spécialisé d'offres d'emploi
3,2%
26,1%
4,8%
Pour ce qui concerne le temps de
recherche, il remonte légèrement de
3,1 à 3,3 mois pour ceux en poste
au moment de la recherche, et est
presque stable pour les autres à 3,2%.
<=4
5,2%
annonces (presse)
Prop. entreprise externe (client ; fournisseur ;
suite mission, VSNE, etc.)
proposition entreprise interne (promo,
mutation,...)
stages/thèses en entreprise
APEC/ANPE
forums/salons
6,4%
création/rachat d'entreprise
concours
6,8%
contact ancien AITB
15,7%
7,2%
7,6%
8,0%
service emploi / rel entreprises / site Internet
Ecole
service Carrière AITB ou service Ecole
autre
Les mobilités interentreprises et inter- fonctionnelles
Les promotions les plus anciennes
affichent des mouvements en moins
grand nombre (avec le temps, les
contraintes personnelles rendent plus
compliquées les évolutions successives…) mais la tendance est moins
marquée que les années précédentes.
Tendance confirmée par l’enquête
CNISF : stabilité des ingénieurs dans
leurs entreprises une fois passées les
phases d’insertion dans le 1er emploi
et d’obtention d’un poste adapté aux
attentes.
Par contre, contrairement à l’année
dernière, on est plus sur des souhaits
de mobilité (courant 2013), ce qui est
cohérent avec les forts niveaux de
changements en 2011 affichés dans
l’enquête précédente.
Mais globalement, on est plutôt sur
des valeurs de changement en baisse
(effet de la crise et/ou des mobilités
de 2011).
Changement de poste, toutes promos (tous pays)
sauf 2008-12
40%
35%
30%
25%
20%
15%
10%
2012 ou début 2013
à venir dans l'année
5%
0%
80-84
85-89
90-94
95-99
2000-04
2005
2006
2007
Perception du métier
Les satisfactions professionnelles
Pour ce qui concerne la satisfaction
dans le poste, les évolutions sont
limitées. On peut cependant noter
(pour très satisfait + satisfait) que
la rémunération regagne 8% sans
compter sa forte baisse l’année
dernière et le degré d’autonomie croît
de 5% ; à l’inverse, l’intérêt technique
continue à baisser (-5%), tout comme
l’encadrement d’équipe (-4%).
50%
45%
40%
35%
30%
25%
20%
15%
10%
5%
Enfin, le taux de satisfaction global
remonte légèrement à 64% (tous pays,
satisfaits ou très satisfaits ; +1%)
les Anciens à l’étranger restant plus
satisfaits (19 points d’écart contre 10
l’année précédente).
0%
Satisfaction dans le poste
tous pays, toutes promos sauf 2008-12
très satisfait
satisfait
moyennement satisfait
peu satisfait
très peu satisfait
41
FEmmes ingénieures
Encadrement
En termes d’encadrement, on note
de forts déséquilibres entre femmes
et hommes sur pratiquement toutes
les catégories d’âge.
Malheureusement, dès la tranche
35-39 ans, les réponses des
Anciennes reviennent vite sur de
petits volumes, il reste donc difficile
d’en tirer des conclusions.
Nb de personnes encadrées selon âge et sexe
femmes (gauche) / hommes (droite)
(tous pays, hors promos 2008-12)
100%
90%
80%
70%
60%
50%
Plus de 1000 p.
40%
201 à 1000p
30%
41 à 200p
20%
11 à 40p
1 à 10p
10%
0
0%
Revenus
Pour ce qui concerne les écarts de
revenus, on retrouve le même biais
que ci-dessus.
On note des écarts importants dès
les tranches d’âge les plus jeunes
: autour de 20% pour la moyenne
sur les plages 25-29 ans et 30-34
ans par exemple. Il semble y avoir
ensuite un petit resserrement mais
le nombre limité de réponses pour
les Anciennes ne permet d’en déduire
une conclusion.
On peut penser, au contraire,
que les moyennes s’écartent de plus
en plus, en défaveur des Anciennes.
Les médianes semblent suivre une
tendance moins marquée (mais
probablement toujours en raison
de réponses pas forcément toujours
représentatives).
Fixe+variable femme/homme
tous pays, toutes promos sauf 2008-12 (euros, 2012)
100000
95000
90000
85000
Moyenne F
Moyenne H
Médiane F
Médiane H
80000
75000
70000
65000
60000
55000
50000
45000
40000
25-29 ans
30-34 ans
35-39 ans
40-44 ans
45-49 ans
Salaires et avantages annexes
Les revenus 2012 :
fixe + variable
Note : les revenus des temps partiels
ou temps d'activité inférieurs à 12
mois ont été ramenés à leur équivalent
temps complet sur 12 mois.
On constate évidemment que les
rémunérations progressent avec
l’ancienneté… même si les taux de
réponse, insuffisants pour certaines
promotions ne permettent pas
d’afficher les montants pour chaque
promotion.
Avec une promo 2010 légèrement
en-dessous de celle qui la suit (pour
la médiane).
L’écart entre moyennes et médianes
indique parfois un étalement un peu
Parts fixe+variable, France,
par groupes de promos (brut 2012 euros)
100000
95000
90000
85000
80000
75000
70000
65000
60000
55000
50000
45000
40000
35000
moyennee
médiane
plus grand au-dessus des valeurs des
médianes qu’en-dessous.
médianes, ce qui traduit des rémunérations plutôt un peu plus élevées, toutes
choses égales par ailleurs.
Note : les courbes intégrant les Anciens
à l’étranger, non détaillées, présentent
le même profil, mais avec des écarts un
peu plus importants entre moyennes et
Vue “activité exercée”
En termes d’activité exercée, pas de gros
changement à constater. Il y a toujours la
même "hiérarchie" générale : plus on se trouve
près des centres de décision managériaux
ou financiers, ou près des clients, plus la
rémunération présente des chances d’être plus
élevée.
On note cependant toujours quelques «
exceptions » comme la mise en service, la
production ou l’informatique interne. Leur
positionnement peut être dû à une part élevée
d’Anciens avec responsabilités managériales
dans ces catégories, conjointement ou pas avec
un nombre limité de réponses (et donc une
représentativité discutable).
Vue « secteur de l’employeur »
L’analyse par secteurs fait ressortir de moindres
écarts (hors extrêmes), l’activité exercée joue
finalement plus sur le niveau de rémunération
que le secteur d’activités de l’employeur.
130000
115000
Fixe+variable, par activités exercées
France, toutes promos sauf 2008-12 (euros, 2012)
"moyenne"
"médiane"
100000
85000
70000
55000
40000
85000
Fixe+variable, par secteurs
80000
moyenne
75000
médiane
70000
65000
60000
55000
50000
45000
40000
43
Vue “positionnement
hiérarchique”
Fixe+variable, par positions hiérarchiques
140000
la courbe est classique et monte en fonction
du niveau de responsabilité. Les écarts grandissants entre moyennes et médianes traduisent
une plus grande dispersion (notamment vers
le haut) pour les catégories concernées, liée
aussi, généralement, à un facteur d’âge et
d’ancienneté dans la vie professionnelle.
On notera le positionnement de l’expertise, au
niveau du management en termes de moyenne,
avec cependant une valeur médiane inférieurea; cela souligne une plus grande dispersion
probablement en raison d’une « reconnaissance » plus subjective et moins évidente
de l’expertise, tant côté salarié qu’employeur,
et donc une valorisation également moins
évidente.
125000
moyenne
110000
médiane
95000
80000
65000
50000
Dir.d'entreprise (PDG, DG)
Dir. exécutif/de branche
Directeur d'unité /
d'établissement / de centre
Resp. de département
Responsable d'équipe
Expert fonctionnel/technique
Chef de projet
Ingé./consultant/commercial…
sans resp. hiérarchique
Indépendant
20000
Enseignant/doctorant
35000
Fixe+variable IdF/province
toutes promos sauf 2008-12 (euros, 20121)
90000
Moyenne IdF
Moyenne province
Médiane IdF
Médiane province
85000
80000
75000
70000
Vue “IdF / PROVINCE”
65000
les écarts entre moyennes croissent avec
l’ancienneté des promotions : 15,4% pour les
25-29 ans (-6%), 25,5% pour les 30-34 ans
(-2,4%), 32% pour les 35-39 ans (+1,4%). Au-delà
de 40 ans, le nombre de réponses semble un
peu insuffisant pour être représentatif.
60000
55000
50000
45000
40000
25-29 ans3
0-34 ans
35-39 ans4
0-44 ans
45-49 ans>
50 ans
Vues « resp. managériale »
et « tranche d’âge »
Dans ces deux cas, une corrélation logique
apparaît entre le niveau de rémunération d’une
part, les responsabilités ou l’âge d’autre part.
Fixe+variable, par classes d'âge
Fixe+variable, par nb de personnes encadrées
85000
80000
moyenne
médiane
moyenne
75000
70000
médiane
65000
60000
55000
41 à 200
personnes
11 à 40
personnes
1 à 10
personnes
45000
aucune
50000
40000
<25 ans2
5-29 ans
30-34 ans3
5-39 ans
40-44 ans
Le salaire variable
La part des Anciens qui déclarent un
variable non nul continue à croître, ce
qui souligne la généralisation de la
pratique au sein des entreprises qui
recrutent nos Anciens.
Cette proportion atteint 76% en
France, et 72% en intégrant les postes
à l’étranger (+2% dans les deux cas).
Fait remarquable : dans l’enquête
CNISF, seul un ingénieur sur deux a
perçu une part variable.
Les écarts sont faibles entre France
et étranger, avec des pourcentages
(un peu) plus élevés pour les promos
les plus anciennes (de pair avec des
responsabilités croissantes).
Le pic sur les années 2004, 2008 et
2009 est dû à des réponses atypiques
(parts variables importantes dans
le management dans le domaine
commercial/vente ou le trading) ; en
enlevant ces réponses on reviendrait
au même niveau que les catégories
adjacentes.
Par contre, on retrouve comme les
deux années précédentes, un creux sur
les promotions 2004 et 2005.
Evolution de salaire
On reste sur une part non négligeable
d’Anciens indiquant ne pas avoir eu
d’augmentation, mais cette valeur est
en décroissance (-4% à 19,5%).
On note cependant, comme l’année
dernière, une tendance générale à une
certain contraction ; ainsi, la proportion
des augmentations au-dessus de 10%
continue à reculer (8,3% soit -2,3%) ;
même évolutions sur la tranche 5-10%
(18,3% soit -3% après une hausse
l’année dernière.
Augmentation part fixe,
toutes promos sauf 2008-12, tous pays (%)
>20%
sans changement
chgt emploi
chgt entreprise
15 à 20% inclus
10 à 15% inclus
5 à 10% inclus
4 à 5% inclus
3 à 4% inclus
2 à 3% inclus
1 à 2% inclus
0 à 1% inclus
0% ou baisse
Comme la tranche 0-1% baisse à
moins de 2% alors que celles entre 2
et 5% augmentent, on pourrait donc
penser que si la modération salariale
reste de mise, les entreprises ont
privilégié plus d’augmentations (au
détriment des augmentations fortes
ou nulles, quitte à choisir parfois la
voie d’augmentations générales (mais
modérées).
0%
5%
10%1
5%
20%
45
Autres éléments de revenu
Parmi les autres éléments de revenu,
les plus courants (hors primes diverses)
restent de deux ordres :
- ceux orientés « accompagnement »
des vies prof. et privée : prévoyance
santé, CET ou PEE,
- et ceux orientés matériel de travaila;
ordinateur portable et Blackberry/
iPhone.
(actions gratuites ou à prix réduits,
participation au capital, stocks options)
et ceux attachés à des postes en
général bien identifiés (voiture de
fonction, logement).
En comparaison de l’ensemble des
ingénieurs (enquête CNISF), nos Anciens
sont plus « gratifiés » à l’exception de
la voiture de fonction (a priori car
nos Anciens ont proportionnellement
moins de resp. managériales).
Sont moins courants les éléments
relatifs au capital de l’entreprise
Enfin, pour ce qui concerne
l’intéressement/participation,
il
s’écroule véritablement à 35% (-17% !!),
avec une tendance à plus de linéarité,
avec baisse des extrémités : moins de
2000€ pour 46% (-4%), plus de 6000€
pour 13% (-4%).
Autres éléments de revenu, tous pays, sauf pr 2008-12
logement
stock options
voiture de fonction utilisable à titre personnel
avantages en nature
cplts divers (primes, astreintes...)
participation au capital
actions gratuites ou à prix réduits
intéressement/ participation
Compte Epargne Temps
abondement Plan Epargne Entreprise
Blackberry, iPhone ou équivalent
prévoyance santé
0%
10% 20% 30% 40% 50% 60% 70% 80%
Intéressement/participation, tous pays (euros),
sauf promos 2008-12
30%
25%
20%
15%
10%
5%
0%
<=10001
000 à
2000
inclus
2000 à
3000
inclus
3000 à
4000
inclus
4000 à
5000
inclus
5000 à
6000
inclus
6000 à
7000
inclus
7000 à
8000
inclus
8000 à
9000
inclus
9000 à
10000
inclus
>10000
Enquête premier emploi ,
promotionS 2008-12
Cette partie de l’enquête est basée sur le questionnaire de l’Ecole, elle intègre des éléments traitant de thèmes sur lesquels l’Ecole
est amenée à se positionner dans le cadre national (avec une évolution des questions par rapport à l’année précédente). Les
données ci-dessous viennent en complément de la synthèse globale ci-dessus.
Devenir ingénieur télécom Bretagne
Critères de choix 1er poste
De la formation à l’emploi
STAGES
La somme des stages (hors mois de
césure) pour les promotions 2008-12
s’élève en moyenne à plus de 10 mois
(contre 9 l’année dernière).
Premier poste
et intégration
En termes de critères de choix, on
observe que les jeunes diplômés
mettent
largement
en
avant
l’adéquation du poste avec leur
projet professionnel (-5%), devant
l’intérêt du travail (+4%). Loin derrière
Critères de choix 1er poste
3%
viennent les autres
2%
6%
critères, la localisation
géographique passant 9%
avant la rémunération
ou le plan de carrière
proposé. 87% (+4%) 9%
considèrent que leur
emploi correspond au
secteur disciplinaire
29%
de leur formation, 94%
(+3%) à leur niveau de qualification.
Par ailleurs, les 5 dernières promotions
affichent des temps de recherche
du premier poste plutôt stables par
Les conditions De travail
Le taux de satisfaction global (4 et 5 sur une échelle de 1 à
5) est à 82% (+6%), bien au-dessus des autres promotions. Par
ailleurs, pour ce qui concerne les cinq catégories ci-contre,
toutes sont en croissance de 1% (conditions de travail) à plus
de 3% (autonomie/resp.), à l’exception de la localisation de
l’entreprise (presque -5%).
2%
adéquation avec projet prof.
intérêt du travail
40%
lieu géogr. (hors étranger)
perspectives croissance entreprise
notoriété entreprise
montant salaire proposé
politique globale des RH
autre
rapport à l’année dernière : ainsi, 53%
ont trouvé avant la fin de leur scolarité
(-5%), et 83% en moins de 2 mois
(+1%).
Taux de satisfaction, tous pays, promos 2008-12
Rémunération
Localisation entreprise
Niveau d'autonomie/ de resp.
Cond. de travail
Relations avec collègues
0% 10%2 0% 30%4 0% 50%6 0% 70%8 0% 90%
L’espace professionnel
La situation vis - à- vis de l’emploi
Début 2013, la situation des jeunes
Anciens (dont 45% indiquent avoir fait
une année Jeune Ingénieur, soit +9%)
semble meilleure que début 2012 :
ainsi, plus de 79% annoncent être
en CDI ou assimilable (+4%), 10% en
poursuite d’études (+1,5%), moins de
4% de CDD (-2%), 3,7% en volontariat
(+0,7%)... et 2% en recherche d'emploi
(-3%).
Ces résultats sont plus positifs que
ceux relatifs à l’ensemble des jeunes
ingénieurs (enquête CNISF 2012).
47
Les entreprises qui nous emploient
Localisation
En termes d’implantation régionale en métropole, on
retrouve après l’IdF (60% à -2%) les mêmes régions que pour
)
le reste des Anciens (avec une forte baisse pour la Bretagnea:
Bretagne (11% soit -9%), PACA (7%), Rhône-Alpes (6% soit
+1%), Midi-Pyrénées (4%) et Pays de Loire (4%, soit +1%). Par
ailleurs la part des postes à l’étranger diminue légèrement
à 16,7% (-1,3%), ce qui est une proportion assez importante.
Quand on cible la présence à l’étranger des jeunes anciens
selon leur nationalité, on peut noter des répartitions fort
différentes.
Reste monde (hors Europe) -p romotions 2008-12
Europe (UE et autres) - promotions 2008-12
25%
25%
nationalité française
20%
autres nationalités
15%
nationalité française
20%
autres nationalités
15%
10%
10%
5%
5%
0%
0%
Secteur d’activité
Les technologies de l’information restent largement en tête (à -2%) mais perdent un peu de terrain sur leur suivant immédiat
(+2%).Pas d’évolution majeure, cependant. Les autres plus fortes évolutions concernent l’industrie autom/etc. (+3,5%) et
l’enseignement / formation / recherche encore en baisse (-3,5%). La répartition des secteurs selon la découpe IdF / province
montre des résultats contrastés.Comme l’année dernière, les secteurs d’ordre public ou administratif apparaissent plus répartis
sur le territoire, les plus concentrés en IdF étant les secteurs relatifs aux domaines financiers ou au conseil (comme pour les
plus Anciens).
Secteur d'activité de l'entreprise (promos 2008-12)
1,5%
1,0%
technologies de l'information (service)
6,9%
société de conseil/audit
1,7%
2,0%
23,7%
2,0%
2,2%
industrie des technologies de l'information
institution financière/banque/assurance
2,5%
industrie autom., aéronautique, navale, ferroviaire
médias, édition, art, culture, luxe, com, pub
7,7%
administration (d'Etat, territoriale,etc.) / régulation
90%
Secteurs France, IdF vs province
promos 2008-12
80%
IdF
70%
province
60%
50%
40%
30%
20%
10%
0%
énergie
autres secteurs industriels
9,1%
21,7%
transports
18,0%
tourisme, loisirs, hôtellerie-restauration
autre
Taille
Nombre de salariés de l'entreprise,
promos 2008-12
35%
La part des jeunes Anciens dans des entreprises de taille petite à moyenne (<2000 30%
p) est pratiquement au même niveau qu’il y a un an (42,4%) et donc plus proche des 25%
20%
15%
valeurs des promotions plus anciennes.
10%
Cette proportion est probablement due à deux éléments, les mêmes que l’année 5%
dernière (mais pas des années antérieures) : le passage de l’enquête de 2 à 5 jeunes 0%
promotions (donc moins focalisée sur le premier poste), et la crise économique avec
une préférence naturelle pour les grandes entreprises, plus rassurantes que les plus
petites, plus fragiles (l’enquête CNISF souligne d’ailleurs que les ingénieurs des très grandes entreprises ont deux fois moins
de risques de perdre leur emploi que ceux des entreprises de 250 à 2000 salariés…).
Nature
93% travaillent dans le secteur privé (+5%), 9% dans des entreprises ou structures publiques (-1%).
Caractéristiques des emplois des ingénieurs diplômés
L’interclassement reste stable par rapport à l’année dernière, sauf pour les catégories à petit pourcentage qui restent
proches les unes des autres. Pour ce qui est des évolutions sur un an, il convient surtout d’en mettre deux en exergue, qui
se compensent probablement (question d’interprétation) : études – conseil et expertise gagne 7,8% alors que R&D, études
scientifiques et techniques perd 8%. Enfin, en termes de répartition des métiers entre Ile-de-France et province, on note des
résultats très en faveur de l’Ile-de-France).
Fonction exercée (promos 2008-12)
90%
Activités France, IdF vs province
promos 2008-12
80%
IdF
70%
province
réseaux, internet/intranet, télécom.
études - conseil et expertise
0,2%
0,7%
1,7%
2,2%
60%
études et dvlpt en systèmes d'information
informatique industrielle et technique
2,4%
2,6%
R&D, études scientifiques & techniques (non
informatique)
exploitation/ maintenance informatique
2,9%
50%
3,1%
40%
24,9%
maîtrise d'ouvrage
3,4%
30%
direction générale
20%
3,6%
10%
0%
administration, gestion, finance, comptabilité,
achats
marketing
4,6%
production/ exploitation/ assist. technique
commercial/ vente/ ingé. d'affaires
4,6%
qualite, sécurité, methodes, maintenance
6,2%
audit
21,8%
autre
15,1%
LA MOBILITE ET LES CHANGEMENTS PROFESSIONNELS
Perdre son emploi et changer d’employeur
Pour trouver leur poste actuel, les jeunes Anciens utilisent
une palette d’options relativement large.
Les évolutions sont moindres que l’année dernière et
se stabilisent, tant en termes de valeur qu’en termes
d’interclassement. Quelques modifications sont cependant
à souligner : les stages de fin d’études compensent leur
retrait d’il y a un an (+2,3%), alors qu’à l’inverse les sites
internet spécialisés perdent 5% et 3 places.
On notera également au passage la croissance des
réseaux sociaux, qui prennent 3,6%.
Trouver son poste actuel
(tous pays, promos 2008-12)
Trouver son poste actuel (tous pays, promos 2008-12)
3%
2%
1%
Site Internet/Intranet entreprise
4%
Candidature spontanée (interne/ext. hors
via site internet)
stage de fin d'études
18%
4%
Site Internet spécialisé dans les offres
d'emploi
Cabinet de recrutement/chasseur de têtes
(démarché ou candidature spontanée)
apprenti(e) : embauché(e) par l'entreprise
d'apprentissage
Réseau anciens élèves/Contact Ancien
5%
5%
15%
5%
Forums/salons
stage année de césure
réseaux sociaux (Viadeo, LinkedIn)
6%
Service Emploi / site Internet Ecole
11%
10%
11%
Relations (personnelles, professionnelles)
Concours
Autre
49
FEmmes ingénieures
PROPORTIONS
La proportion des jeunes Anciennes est
de 21,3% et remonte donc au niveau
d’il y a 2 ans. Elle reste cependant
toujours en deçà de la proportion de
femmes diplômées dans les écoles
d’ingénieurs (plutôt 27%) ou parmi les
ingénieurs de moins de 30 ans (26%)
d’après l’enquête 2012 du CNISF.
Salaires et avantages annexes
Ces données viennent en complément de celles déjà présentées dans l’enquête générale, plus haut.
Revenus 2012
Note : pour les 2 courbes ci-dessous,
n’ont pas été prises en compte les
valeurs correspondant à des activités
ou des expériences en décalage
avec celles de jeunes ingénieurs
sortant d’école : alternance/volontariat, etc. Même chose pour les
thèses et mastères (mais montants
précisés plus bas).
En termes de revenus parts
fixe+variable France sur l’année
2012, on observe que les promotions
2008 à 2012 sont proches, avec
des moyennes et médianes
pratiquement confondues (répartitions homogènes).
Remarque : les graphes parts
fixe+variable ont été retraités des
cas particuliers avec valeurs très
faibles ou très fortes. En général,
cela correspond à des activités
de type chefs d’entreprise qui
démarrent (comme pour la promo
2011) ou jeunes enseignants.
Dans le même genre, les deux
barres qui se distinguent dans le
graphe sur les parts variables sont
relatives à quelques jeunes Anciens
à l’étranger avec de fortes parts
variables en pourcentage.
Enfin, presque 84% des jeunes
Anciens en France déclarent une
part variable non nulle (hausse de
4%), confirmant ainsi lourdement la
tendance identifiée pour les autres
promotions.
75000
70000
65000
60000
55000
50000
45000
40000
35000
30000
25000
20000
15000
45%
Parts fixe+variable, France,
promos 08-12 (brut 2012, euros)
moyenne
minimum
maximum
médiane
2008
2009
2010
2011
2012
Moyennes/médianes des parts variables non nulles,
promos 2008-12
moyenne tous pays
moyenne France
médiane tous pays
médiane France
40%
35%
30%
25%
20%
15%
10%
5%
0%
2008
2009
2010
2011
2012
Les revenus 2012 et 1er emploi
promotions 2011-12 ( moyenne tous revenus : parts fixe + variable + autres revenus )
Revenus 2012
Fixe
Promotion 2011
Revenus 1er emploi
Fixe
Promotion 2011
France
41049
France
39669
Tous pays
41346
Tous pays
40656
Promotion 2012
Promotion 2012
France
39562
France
39834
Tous pays
39732
Tous pays
39971
50 PLEIN PHARE ASSOCIATION
AITB NEWS
Les grands rendez- vous auxquels vous avez assisté
15 octobre 2013
Le dîner
Fundraising Le 15 octobre 2013, au restaurant La
Coupole, à Paris, a eu lieu la seconde
édition du dîner de collecte de dons
organisé conjointement avec les
écoles de Télécom (Télécom ParisTech,
Télécom SudParis et Management,
Télécom Lille) la Fondation Télécom
et l’Institut Mines Télécom. L’invité
d’honneur était Bernard Charlès,
Directeur général de Dassault
Systèmes. Aux côtés de Pierre Musso,
Professeur à l’Université de Rennes 2 et
à Télécom Paris Tech (animateur de la
chaire « Modélisations des imaginaires,
innovation et création), il est intervenu
sur le thème « Piloter l’entreprise par le
rêve et l’innovation par l’imaginairea! »
La participation au dîner, sous forme de
don à la Fondation Télécom, a permis
de récolter des fonds pour financer
des bourses d’excellence à caractère
social pour les étudiants des écoles
de Télécom, dont Télécom Bretagne.
La soirée a réuni 170 convives
(23adonateurs pour Télécom Bretagne)
et rapporté presque 30 000 euros,
somme répartie entre les écoles selon
les participations respectives. ▪
14 novembre 2013
Le forum des
start-up
des incubateurs
Le 14 novembre 2013 fut le coup d’envoi
de cette manifestation organisée sous
l’égide de la Fondation Télécom. Cette
première édition a permis de mettre en
valeur l'engagement de la Fondation et
des écoles Télécom de l'Institut MinesTélécom en faveur de l’entrepreneuriat.
Du côté de Télécom Bretagne, 5 start-up
incubées à Rennes ou à Brest, étaient
présentes : Cityzen data, Energiency,
Excense, Fitnext, OpenFlex.
▪
en mode projet ...
Projet : Appel à
participations…
Les groupes régionaux et internationaux se constituent et n’attendent
que vous pour prendre de la hauteur
et de l’ampleur ! Comme Julien Cloâtre
(2005) installé à Genève, qui a organisé
une rencontre entre diplômés en
septembre 2013 ou Pierre Duverneuil
(1988) en décembre (2013) à Montréal
ou encore Michelle Wetterwald (1982)
en janvier (2014) à Sophia Antipolis,
vous pouvez retrouver
et animer
votre réseau Télécom Bretagne. Vous
êtes installé en région, expatrié, en
mission à l’étranger ? Vous auriez
plaisir à échanger avec des anciens
de l’école ? Nous vous proposons de
Projet : un dîner
de promos 8x…
vous aider dans cette démarche en
vous fournissant un fichier et une
aide logistique pour l’organisation de
Quand la promotion se conjugue au
votre événement (pour la commupluriel, cela donne un événement
nication notamment). De plus, en
rassemblant les diplômés des
synergie avec les écoles sœurs de
promotions des années 80 à 89 : soit les
l’Institut Mines-Télécom, en particulier
neuf premières promotions de Télécom
les écoles des Télécom, des rencontres
Bretagne. Vous souhaitez participer à
hors de l’hexagone (Toronto, Singapour,
cette soirée ? Nous aider à l’organiser ?
New York, Shangaï…) sont organisées
Rejoignez l’équipe projet !
régulièrement et n’attendent plus que
Contactez-nous vite : Thierry Oisel (1983)
votre participation.
[email protected]
Renseignements : [email protected]
ou [email protected]
01 42 22 02 28
01 45 81 82 12Tel : 01 42 22 02 28
01 45 81 82 12
▪
▪
51
Projet : « Vis ma vie :
une journée avec
un diplômé »
Télécom Bretagne Alumni souhaite,
en accord avec l’école, proposer aux
élèves de première année de contacter
un ancien pour passer une journée
avec lui et pouvoir échanger sur son
expérience en entreprise ou ailleurs.
Cela permettra aux élèves de réaliser
l’existence du réseau en établissant
des contacts personnalisés. Pourront
être sollicités tous les anciens qui
ont mis à jour leurs coordonnées
dans la base de données. Cela peut
être aussi une façon, pour les élèves,
comme pour les diplômés, d’être sensibilisés à la question de l’importance
de l’actualisation de leurs fiches dans
l’annuaire… La première session est
prévue pour la rentrée 2014.
Renseignements :
[email protected]
Grand Prix de l’Électronique Général
Ferrié 2013. Pascal Pagani se voit
récompensé pour ses travaux sur les
communications haut-débit sur les
réseaux d’énergie.
Lampiris
France
indépendant d’énergie).
▪
En bref...
Disparitions
précoces
Nous avons appris avec une très grande
tristesse la disparition accidentelle de
trois jeunes diplômés : le 21 avril 2013
celle de Gabriel Cuvelier (2011) IT
consultant , le 24 septembre 2013 celle
de Vincent Bruyère (2002), ingénieur
logiciel qui participait activement
à la vie de l’association, notamment
à l’élaboration de Phare Ouest et le
10 novembre 2013, celle de Cédric
Blancher (2000) chercheur en sécurité
informatique.
Talents
Nominations / récompenses • Pascal Pagani (2002), enseignantchercheur au département Micro-ondes
de Télécom Bretagne est le lauréat du
• Philippe Denys (1991) nommé
Associé chez Ailancy. Diplômé de HEC
et Télécom Bretagne (promotion 1991)
Philippe Denys a rejoint Ailancy en
2009 après avoir été directeur pendant
huit ans d’Eurogroup.
• Bruno Valet (1988) a été nommé
Directeur Général Adjoint en charge
des opérations France et du secteur
public chez Kurt Salmon (cabinet
conseil en management international).
• Julien Tchernia (1993) nommé
directeur du développement de
(fournisseur
• Camille Cacheux (2000) est désormais
Directeur Général de Coreye, opérateur
français de cloud computing sécurisé
(Groupe Pictime).
• Marianne Laurent (2007) a remplacée
Stéphanie Fen Chong au poste de
chargée de mission innovation à
l’incubateur rennais de Télécom
Bretagne.
Save the date 2014 : Les 11 et 12
juillet prochains, Télécom Bretagne et
l’AITB vous invitent à revenir à Brest
pour vous retrouver sur le campus.
Une redécouverte de l’école que vous
pourrez partager avec votre famille si
vous le souhaitez.
déménagement
Cela ne vous a pas échappé : l’association a déménagé et s’est installée depuis le
18 octobre 2013 dans l’un des locaux de l’Institut Mines Télécom à Paris.
Pour nous joindre et venir nous rendre visite à notre nouvelle adresse :
Télécom Bretagne Alumni (AITB)
37-39 rue Dareau
75014 Paris
Métro : Glacière ou Saint-Jacques (ligne 6), Denfert Rochereau (ligne 4/RER)
Pièces DA004/ DB 103
Horaires ouverture permanence (DB 103)
Lundi, mardi, jeudi, vendredi : 9h -13h /14h-18h
Mercredi : 9h-12h
Et n’oubliez pas de soutenir
les actions et initiatives
de l’association en
devenant membre cotisant !
Vous pouvez le faire
via notre site www.aitb.org
ou en nous contactant
à la permanence.

LA SécURIté DES DonnéES - Association Télécom Bretagne | Alumni

Transcription

Documents pareils

8082 ATN catre postale.indd

11 dii yacht Princesse Alice, par S. A. S. Je. Prince Albert de Monaco

Les caractéristiques d`Ar Men

3 Doc 600 Hornet 05

Jeux d`Evasion ESCAPE HUNT PUY DU FOU PROMOS

Phare d`Ar-Men sur la chaussée de l`Ile de Sein dans le

Optimiser vos relations avec vos partenaires

80% de réduction sur la collection Blanc d`hiver

Remplacer le phare carré TW (type 1) par un phare rond de