(Las Vegas) À parler avec le Britannique Bilhar Mann (photo à la droite du paragraphe suivant), VP principal responsable de la gamme de produits de sécurité de CA, on comprend que si les outils traditionnels, ces antivirus, anti-espiogiciel, anti-pourriel et autres pare-feu, sont toujours incontournables, le nec plus ultra stratégique est maintenant à un autre niveau, celui de la gestion de l’accès et de l’identité, c.-à-d. du “qui fait quoi” ou “qui vient faire quoi” sur le réseau corpo ou sur l’écosystème qui s’y rattache.
Rien ne sert en effet de claquemurer son entreprise derrière des murailles infranchissables, de redoutables champs de mines et des kilomètres de fil barbelés, si n’importe qui, de l’intérieur, a accès au trésor et peut disposer de ce qu’il y prélève. C’est aussi absurde que ces prisons sous haute surveillance où on fait parvenir la drogue dissimulée dans une balle de tennis en la jetant par-dessus les murs d’enceinte.
La théorie que m’explique M. Mann est fort simple. Plus on circonscrit l’accès, plus on s trouve à limiter les erreurs, donc, plus on arrive à diminuer le potentiel d’infiltration criminelle. Avant, l’info stratégique était entreposée dans des ordinateurs centraux ou départementaux à qui seuls les initiés “lourdement” formés savaient parler. Il pouvait alors sembler un peu superfétatoire de se préoccuper de ces questions d’accès illicite. Mais il en est tout autrement aujourd’hui, époque où n’importe qui, même des employés ne disposant d’aucune connaissance professionnelle en informatique, peuvent, théoriquement, accéder au saint des saints à partir d’un dispositif mobile.
De nombreuses études le démontrent. Les permissions d’accès aux systèmes sont très mal gérées. Les gens changent d’affectation, passent à d’autres projets, migrent vers d’autres département, quittent même l’entreprise, sans qu’on revoit leurs autorisations, permissions et droits d’accès. Pas besoin d’aller bien loin pour illustrer. Moi qui ne suis plus chroniqueur au Journal de Montréal depuis la fin de l’été 2005, je dispose encore d’une adresse de courriel particulière à ce quotidien montréalais, ce qui me vaut, de temps en temps, une note de service.
Résultat, explique M. Mann, de l’info peut couler, se perdre, être détruite, volée, revendue. Des organisations criminelles sont à l’œuvre. Elles profitent de ce que permet une certaine incurie interne. Un marché noir s’est organisé. Tous les jours, une histoire d’horreur survient quelque part. Des listes de noms, de NAS, de NIP, de numéros de cartes et j’en passe, ont été volées, égarées, oubliés, chez un vendeur en ligne, un ministère, un hôpital, une institution bancaire, etc. Pourquoi passer par midi à quatorze heures afin de hacker un système si on n’a qu’à s’assurer de la complicité ou de la bêtise d’un employé, d’un consultant, d’un pigiste ou d’un partenaire, ne demandant qu’à arrondir ses quinzaines, qu’à rendre service ou qu’à se venger ?
En juin dernier, un sondage réalisé pour le compte de CA Canada, démontrait que le nombre d’entreprises victimes de pertes d’informations confidentielles et de propriété intellectuelle avait doublé au cours des deux dernières années, passant de 10 % en 2006 à plus de 20 % en 2008. Or, un tiers des répondants au sondage avaient désigné les brèches internes comme cause principale, comparativement à moins de 5 % en 2003.
Au même moment, un deuxième sondage CA Canada nous apprenait que seulement 7 % des consommateurs canadiens disaient avoir une grande confiance envers les détaillants (0,5 %), les banques (9 %) et les gouvernements (12 %) pour la protection de leurs renseignements personnels. Autrement dit, 93 % avaient plus ou moins confiance.
Bien sûr, ce constat n’est pas nouveau. Le problème, c’est qu’il gagne actuellement en popularité, notamment en raison des applications et des services Web (SOA – Service Oriented Application) dont les entreprises se dotent à vitesse Grand V. Pour elles, il s’agit de faciliter leurs relations avec clients, partenaires et employés. C’est la mode, ça marche, c’est efficace, c’est simple, tout le monde le fait. Pourtant, déplore M. Mann, la question de l’accès à l’info est, règle générale, gérée de façon inappropriée; on préférera y aller au niveau de l’application (mode silo) et non pas de façon plus globale.
D’autres chiffres, ceux-ci provenant, encore une fois, d’un sondage récent réalisé pour CA auprès de 555 gestionnaires informatiques œuvrant en moyenne et grande entreprise dans différents pays, révèlent que si 93 % des répondants estiment que cette question est critique, seulement 43 % sont passés aux actes en implantant une solution. Autre chiffre intéressant, 57 % des répondants ont déclaré avoir dû retarder des projets de déploiement Web de type SOA en raison de ces enjeux de sécurité.
La logique du gros bon sens “serait de permettre à quelqu’un de n’accéder qu’à ce qui est nécessaire à l’exercice de son travail et à rien d’autre”, soutient le VP Bilhar Mann. Telle tâche, tel accès ! L’affectation est terminée ? En deux clics trois mouvements, on devrait pouvoir changer instantanément les privilèges de la personne sans devoir recourir aux services du département informatique, une tâche pouvant être accomplie par un gestionnaire sans contacts avec l’équipe des TI.
C’est justement ce qui est en train de se mettre en place avec les logiciels de gestion d’identité et d’accès (IAM – “Identity and Access Management”) de la multinationale informatique. On parle essentiellement d’applications Web très simple à utiliser qui permettent d’automatiser, de déléguer et de centraliser certaines procédures stratégiques concernant l’intégrité de son information.
Mais en même temps, il ne faut pas oublier les clients que l’on veut attirer sur un site ou sur son écosystème de sites, des gens normalement bien intentionnés qui doivent ne pas sentir le poids de la sécurité.
 |
C’est ainsi qu’hier, la fabricante newyorkaise ajoutait trois nouveaux produits sous le parapluie IAM, soit “Federation Manager”, “SOA Security Manager” et “Secure Web Business Enablement”, trois gros logiciels qu’elle prévoit lancer sous peu. De plus, elle annonçait un partenariat avec la géante mondiale Deloitte, afin de pousser encore plus loin et de façon plus sécuritaire que jamais, sa solution SiteMinder, un système d’accès Web (WAM – “Web Access Manager”)
Le premier des trois nouveaux produits, “Federation Manager”, se positionne autour du phénomène croissant des écosystèmes. On parle ici de cette tendance d’affaires visant à intégrer certaines fonctions informatiques entre systèmes appartenant à des entreprises partenaires. L’exemple le plus fréquent est probablement l’accès Web. “Monsieur, vous êtes authentifié sur notre site, si vous souhaitez aller sur nos sites partenaires, vous le pouvez maintenant sans devoir tout recommencer le processus d’identité”. On comprend la complexité du processus entièrement automatisé qui fait en sorte que tout est parfaitement étanche, autrement dit qu’aucune information confidentielle sur “Monsieur” ne soit inutilement transmise aux partenaires.
 |
Le second logiciel, “SOA Security Manager”, assume les diverses fonctions de sécurité dans un contexte SOA de services Web, incluant la gestion des identités, ainsi qu’une protection contre les attaques XML, une tendance en nette expansion. Au lieu de voir chaque application Web s’occuper elle-même de cette obligation, le logiciel de CA vient le faire, en couche séparée, pour toutes les applications.
Le troisième, “Secure Web Business Enablement”, se destine aux entreprises qui veulent améliorer, développer et étendre leur système transactionnel Web, tant sur les plans qualité que sécurité, cela dans un contexte de protection accrue des renseignements personnels.
On a compris que cette gamme de produits s’inscrivait dans un contexte d’affaires en expansion très rapide. Les criminels troquent de plus en plus leurs gourdins, leurs surins et leurs pétoires contre des souris, des lignes de code malicieux et une solide connaissance de la nature humaine, c.-à-d. “l’hommerie” du père Rabelais. Le Web devient plus stratégique que jamais, les entreprises le savent et les malfaiteurs s’ajustent. On parle donc de “criminalité intelligente”, l’inévitable contrepartie au développement accéléré auquel on assiste présentement sur le Web.
Bref, le marché est très important et CA entend s’y tailler la meilleure part possible.
stvcc
18 novembre 2008
21h32
Batinsse avec tout ce que dit ce mec de C.A , l’avenir est a Linux franchement non ?.= Tout ce qu’il décrit peut être fait et programmer enfin presque tout sur une version grand publique Desktop de Ubuntu , Fédora et Madriva
Les version Pro de Fedora (RedHat) propose des mesure de sécurité encore plus complète . De plus avec une version ou le code est connue , le proprio du système peut savoir comment fonctionne ses aquisition et les émissions de donnée et par ou elle transige qui y touche et comment .
Le problème ce n,est pas les logiciels qui manque mais simplement les gens compétent et ce que j’entends par compétence c’est une rigueur de travail et une conscience de l’exécutant .
Imaginez 2 seconde que vous êtes sur le service de CA mais cette fois vous tombez sur une TI zeller qui se prend pour dieu ou a lui rien n’arrive . Cette sécurité ne sera pas plus valable .
Malgré tout ce que propose C.A est une bon pas dans une économie qui explosera quand la Malaisie et autres petit pays du pacifique et de L’Afrique exploseront sur le réseau avec une expérience dérivé de l’occident sans pour autant avoir une expertise propre et que Internet sera plus que sollicité par nombre de système sans sécurité valable .
jmv1
19 novembre 2008
12h05
“Pourquoi passer par midi à quatorze heures afin de hacker un système si on n’a qu’à s’assurer de la complicité ou de la bêtise d’un employé, d’un consultant, d’un pigiste ou d’un partenaire, ne demandant qu’à arrondir ses quinzaines, qu’à rendre service ou qu’à se venger ?”
Les experts en sécurité ne cessent de le répéter : le maillon le plus faible de la sécurité informatique se trouve à 18 pouces de l’écran. Qu’il s’agisse de Ma Tante Gertrude (incompétence) ou de l’employé mécontent (vengeance), ça revient au même.
stvcc
19 novembre 2008
12h32
@jmv1
Ce que tu évoques constitue plus du 3/4 du piratage informatique dans les entreprises . Au niveau de la bêtise ces plus que majeur comme problême donc est-ce que C.A saura se protéger de la bêtise plus que d’autre j’en doutes .
C’est pour cela que je suis un partisan du contrôle immédiat des infrastructure dans une entreprise . Comme cela si ya une merde tu sais ou chercher ou bien par ou commencer .
alexanticosti
19 novembre 2008
16h51
Intéressantes questions de sécurité. Qui forcent la mise en place de solutions qui font suer les utilisateurs avancés, et les autres. Coudonc, est-ce qu’il y a des entreprises qui songent à l’éducation dans tout ça. Parce que depuis qu’on a vu des avions se transformer en missiles à l’aide d’un exacto, ou des kids faire planter les système des plus grandes corporation, me semble que c’est clair que le facteur le plus important est le facteur humain.
Ça se fait dans la fonction publique québécoie entéka, un programme de formation à la sécurité informatique a été mis en place, quelques séances de 1/2 heure avec info, questions et tests. Sur des sujet aussi simple que la protection des mots de passe (pas sur un post-it collé sur l’écran !), le contrôle des pourriels, etc.
Un système ne peut être solide sans une formation minimum des utilisateurs, là-dessus on peut construire et améliorer ensuite.
Mais le marché de la protection va demeurer florissant, ça semble plus facile et plus concret d’investir dans une solution high tech que de former les employés.
Alex
marcofsky
19 novembre 2008
20h01
Les outils sont nécessaires; la formation itou, mais la dernière pièce du puzzle, c’est le sysadmin.
Ça prend quelqu’un qui “goale”, que ce soit un parc d’une cinquantaine de machines ou un “datacenter” au complet.
Une des difficultés c’est que les parcs ne sont pas homogènes, il y a Windows (sous plusieurs moutures), des Macs aussi, et de rares Linux. Puis y’a les différents serveurs, de domaine, web, courriel, share, back-up, etc… Alors ça demande beaucoup de polyvalence et de conaissances. Or, les bons sysadmin sont rares… comme d’la m***** de Pape!
Alors, ce qui arrive trop fréquemment (et je l’ai vu à maintes reprises), c’est que l’on confie les responsabilités du sysadmin au “ti-jos-conaissant” en informatique de la boîte ou du département.
Pendant ma période de consultant dans notre belle capitale canadienne, j’ai vu ce scénario se reproduire souvent – où des gens qui n’avaient fait aucunes études en informatique se retrouvaient à gérer des serveurs, des Intranet, etc. Certains s’en tiraient plutôt bien, mais d’autres en arrachaient pas mal… Alors, hop! Ils appellaient un consultant! ;-)
nimzo
19 novembre 2008
20h04
Quelle que soit les mesures de sécurité il se trouvera toujours des conditions particulières ou un événement imprévu qui permettre à un employé d’accéder à des ressources auxquelles il n’aurait pas normalement accès.
Les scénarios de sécurité aussi sophistiqués qu’on veut ça fonctionne rarement dans ces cas “particuliers” ou on laisse tomber temporairement la sécurité pour remettre en marche la machine.
Sauf pour des agences stratégiques (police, services secrets, impôt, etc) les mesures sont toujours “adaptées” aux circonstances et souvent ça ouvre des trous béants qu’on oublie de refermer malgré les meilleures intentions.
nimzo
19 novembre 2008
20h07
@marcofsky
Même si tu as le meilleur sysadmin au monde, ça ne sécurise pas ton installation contre ce même sysadmin. ;)
gemnoc
19 novembre 2008
23h12
@ alexanticosti
Il y a plus que de la formation dans la fonction publique québécoise (mon frère en fait partie depuis 10 ans). Certaines règles sont appliquées, comme le changement des mots de passe à chaque mois, et ceux-ci ne peuvent ressembler de près ou de loin à ceux du mois précédent. Une plaie pour les utilisateurs, mais sécurité oblige…
claude-henri
22 novembre 2008
23h48
j’ai dut appeller un sysadmin dernièrement, en plus de ne vérifier aucunement mon idée en se fiant sur mes paroles, le gars m’a dit “je ne comprends pas ce que c’est ça” quand je lui ai dis “404 not found”, il m’a répondu “non, c’est un fichier destiné à l’impression” quand je lui ai dis “pdf”, et comme si c’était pas assez, il m’a répondu “non, normallement ça fonctionne” quand je lui ai dis “j’ai un problème, j’ai un ‘é’ dans mon adresse http”…
je pense que la seule fois que j’ai perdu mes illusions comme ça c’est quand j’ai compris que le père noël n’existait pas…
nimzo
23 novembre 2008
13h30
@claude-henri
Si ta description du problème à ton administrateur était aussi claire que ton message je comprends qu’il ait rien compris. LOL
im.regis
23 novembre 2008
18h26
Vous êtes vous déjà intéresser a la sécuritée dans les écoles?
Je vais au secondaire, et j’ai quelques services en TES, Orthopédaguogue.
À plusieurs reprises j’ai remarquer des papier à coter des ordinateurs, téléphone, etc donnant les mots de passes.
Pour le “fun” j’avais pris un de c’est nom d’utilisateur en note l’an passé. En lisant cet article, j’ai chercher le fichier que j’avais créer avec l’user, et le mdp, et j’ai réessayer… abérant, mais les infos marchent toujours…. ce qui veux dire que n’importe quand je peux allez voir les dossiers des élèves, de l’intérieur, je peux avoir accès au ordinateurs.
Personellement, je n’ai absolument rien fait avec c’est informations. Ils sont rester entreposer dans un fichier protéger par un mot de passe.
Mais imaginer qu’un élève mal intentionné ai mettre des notes dans le dossier de ses ennemie?
Je croit personellement que de laisser un mot de passe, facilement accessible à tout le monde devrait être un motif de renvoie, ou une faute disciplinaire GRAVE!
nimzo
24 novembre 2008
11h03
@im.regis
Oui je connais ce secteur. Je suis prêt à gager que dans une école avec disons 50 profs vous trouverez au moins 2 mots de passes qui correspondent au mot : SOLEIL. Pour d’autres de sera le nom d’un enfant ou du conjoint, etc,
“Je croit personellement que de laisser un mot de passe, facilement accessible à tout le monde devrait être un motif de renvoie, ou une faute disciplinaire GRAVE!”
Ceux qui sont en autorité pour faire les remontrances ne font pas mieux dans leur choix de mot de passe.