Les risques liés à l'externalisation des équipes IT
Par Marc Balasko, Consultant technique senior de Wallix
Depuis les 5 dernières années, de grandes sociétés françaises ont décidé d’externaliser tout ou partie de la gestion de leur parc informatique via des prestataires dont les centres de services sont basés dans des pays émergents (Inde, Maroc...).
Le principal avantage de cette opération est budgétaire : une entreprise française pourrait ainsi réaliser près de 50% d’économie en faisant le choix de l’externalisation.
Toutefois, l’utilisation intensive de centres de services basés à l’étranger présente de nombreux défis dont le principal est un turn-over très rapide. Par exemple, le taux annuel de turn-over des salariés d’Infosys était de 25% en 2010 (source Infosys) !
Ce chiffre très élevé a pour principale conséquence un niveau technique des équipes souvent moyen en raison du nombre important de techniciens débutants. La conséquence directe étant de fortes probabilités d’erreurs de manipulation lors des opérations de maintenance. En complément, compte tenu compte tenu des faibles salaires des personnels du prestataire et de la valeur des informations accessibles, il existe un risque élevé de fuites d’informations.
Ces différents éléments font que l’externalisation est souvent envisagée avec une certaine inquiétude par les RSSI qui sont confrontés à ce cas de figure... mais alors que peut un RSSI face à un DAF !!!
Il suffit d’évoquer quelques exemples pour mesurer la vulnérabilité des systèmes d’information de l’État. Le rapport Romani sur la Cyberdéfense, daté de 2008, pointe les faiblesses structurelles de ses systèmes : « Les structures en charge de la politique de la sécurité des systèmes d'information ne disposent ni de l'autorité, ni des moyens qui leur permettraient d'en assurer efficacement la mise en oeuvre», «Leurs effectifs sont cinq fois inférieurs à ceux des services équivalents de l'Allemagne ou du Royaume-Uni. La France ne possède pas de capacité centralisée de surveillance des flux informatiques dirigés vers les réseaux de l'État. »
Pour l'administration, chargée de veiller au bon fonctionnement des institutions, les NTIC ont été immédiatement perçues de manière positive comme un outil de modernisation et de rationalisation. Mais si elles ont aujourd’hui, pour la plupart, relevé le défi des nouvelles technologies, elles ont par là même multiplié les sources de vulnérabilité et de fuite d’informations sensibles.
Là encore comme dans le cas des entreprises la question de la vulnérabilité du Système d’Information s’impose, tant face aux problématiques d’administration interne que dans le cas d’une externalisation partielle. Les risques politiques peuvent être importants en fonction de l’administration touchée.
« De l'invocation des risques de “guerres cybernétiques”, à la volonté d'écarter un concurrent sur un marché important, de nombreuses failles pourront être exploitées par ceux qui aurons la maitrise de l'accès aux serveurs, aux codes sources, aux données. » (Professeur Jean-Jacques Lavenue, L'E-sécurité au risque de l'externalisation dans la société numérisée, Université de Lille II.)
Les prestataires informatiques tant internes qu’externes sont au premier chef les personnels visés par une politique de sécurité active visant à protéger les intérêts nationaux, puisqu’ils disposent d’informations confidentielles permettant l’accès au SI.
De la Gouvernance d’Entreprise à la Gouvernance IT
Aujourd’hui, se protéger contre les risques IT par la mise en place d’une bonne gouvernance est devenu une activité primordiale pour maintenir la capacité opérationnelle de l’entreprise. Grâce à l'utilisation de référentiels et la mise en œuvre de solutions appropriées pour s'assurer le contrôle et la traçabilité des opérations, les entreprises peuvent garantir un haut niveau de sécurité du SI.
Au cours des années 2000, afin de faire face à la crise financière américaine et pour rétablir la confiance des acteurs économiques, les États-Unis ont renforcé les dispositifs assurant la sécurité financière grâce au Sarbanes Oxley Act.
SOX entérine légalement sur le territoire américain l’application des règles de la Corporate Governance (gouvernance d’entreprise). Cette notion désigne les processus, réglementations, lois et institutions concourant à la direction, l’administration et au contrôle des entreprises. En imposant un tel dispositif, Sarbanes-Oxley, rédigé en 2002 par Paul Sarbanes et Mike Oxley, a redéfini les règles de fonctionnement et de gestion des entreprises. Or ces changements ont indirectement influencé et modifié la vision des infrastructures IT sur lesquelles repose leur fonctionnement. En particulier, parmi les 66 articles de la loi, s’impose le renforcement du contrôle et de la traçabilité des opérations effectuées sur le système d’information financier.
La sécurité de ses systèmes appelle une vigilance toujours plus grande, qu'il s'agisse de la gestion des serveurs ou de la protection du poste de travail, a fortiori si celui-ci héberge un serveur SSH. Partant de ce constat, voici 5 moyens faciles de sécuriser son système de manière un peu plus avancée.
Premier moyen : La suspension du compte (account locking)
Cette solution permet de suspendre le compte au bout d’un nombre d’essais infructueux (paramétrable) ce qui de-facto met l’utilisateur « à la porte du serveur ou du poste de travail »
Deuxième solution : Restreindre les planificateurs de tâches :
Mettre en place des restrictions sur les planificateurs de tâches tels que Cron ou AT pour n’autoriser que ROOT à les configurer.
Troisième parade : Rejeter tout par défaut
Cette solution radicale consiste à paramétrer le fichier /etc/hosts.deny en y insérant la ligne suivante : ALL : ALL. Ceci aura pour effet de rejeter toutes les connexions venant d’autres adresses que celles que vous aurez préalablement renseignées dans le fichier /etc/hosts.allow avant de vous déconnecter.
Quatrième moyen : Ne pas autoriser les connexions SSH en ROOT
Déjà évoqué à plusieurs reprises sur ce blog et ayant même fait l’objet de mini polémiques dans les commentaires. Dans le cas qui nous intéresse ici, il s’agit plus de traçabilité pour l’administrateur du système que de sécurité à proprement parler.
Cinquième et ultime solution : Changer le port par défaut du serveur SSH
La fuite de données confidentielles : un enjeu préoccupant pour les RSSI
Régulièrement, l'actualité nous informe de nouveaux vols de données confidentielles et de grandes entreprises font souvent les grands titres avec des histoires relatant la perte ou le vol d'énormes quantités d'informations client confidentielles. Selon le type de données perdues, les dégâts peuvent ternir la réputation d'une entreprise, lui faire perdre du chiffre d'affaires ou lui faire payer des pénalités financières exorbitantes suite à des amendes ou des poursuites judiciaires. Les coûts peuvent rapidement atteindre des millions d'euros.
La majorité de ces pertes sont accidentelles
Avec les courriels contenant plus de 80 % des coordonnées professionnelles d'une entreprise, il n'est pas surprenant que la crainte principale des entreprises soit la perte de données confidentielles via la messagerie électronique. 95 % de ces pertes de données via courriel ne sont pas intentionnelles : par exemple, lorsque quelqu'un +choisit accidentellement le mauvais destinataire en utilisant la fonction de recherche automatique du client de messagerie. Malheureusement, les avis de non-responsabilité concernant les destinataires involontaires et la confidentialité ne réduisent pas l'importance qu'accordent les médias à la situation et n'atténuent pas vraiment la responsabilité légale de l'entreprise.
La majorité de ces pertes sont accidentelles sauf que…
«Voyons les choses en face ! Si un employé mécontent ou un sous-traitant mal intentionné décide de s'emparer des données confidentielles de l'entreprise, vous ne pouvez pas faire grand chose pour l'arrêter. La perte de données à des fins malveillantes ne se fait pas par courrier électronique mais par photocopies, par lecteurs USB, gravage des données sur CD/DVD et par vol de la propriété physique. Aucun système de prévention de fuite de données n'est parfait !», déclare Jean-Noël de Galzain, Président de Wallix.
La gestion des accès et des identités est un point névralgique de la sécurité du système d’informations. Face à la multiplication des terminaux, des utilisateurs potentiels et des risques, son rôle est de plus en plus important.
USBsploit: PoC for dumping files from remote USB drives on multiple targets at the same time. It works through Meterpreter sessions with a light (24MB) modified version of Metasploit. The interface is a modified version of SET. usbsploit.rb can be used with the original Metasploit Framework.
La "guerre contre le terrorisme" n'est plus de mise avec l'Administration Obama. Elle définit spécifiquement Al Qaïda comme l'adversaire principal des Etats-Unis, et ne fait plus référence à la guerre contre le terrorisme. Selon le site suisse www.romandie.com www.romandie.com, la Maison-Blanche va publier jeudi la "stratégie de sécurité nationale". "Ce n'est pas une guerre mondiale contre une tactique - le terrorisme - ou une religion -l'islam-, "précise le texte, qui abandonne "la (...) - Tribunes
Toit de la Grande Arche En présence de John Day, pionnier du projet arpanet et Professeur à l'université de Boston, de Michel Riguidel, Louis Pouzin, inventeur du projet Cyclades, et de Michel Riguidel, Professeur à Télécom Paris Tech. renseignements et inscriptions : www.forumatena.org - Agenda
Sur le thème : "la veille environnementale, informelle et stratégique. Plus value pour la SSI". Hôtel Park Hyatt Paris Renseignements : www.lecercle.biz - Agenda
