7 vérités sur la sécurité des réseaux d'entreprise
Les responsables sécurité doivent connaître 7 vérités sur la protection de leurs réseaux, affirme Joshua Corman, stratège principal en sécurité pour IBM-ISS. Il n'hésite pas à jouer contre son camp - celui des vendeurs - lors de sa conférence durant le salon Interop de Las Vegas.
« Il vaut mieux cultiver un certain scepticisme à propos de ce que déclarent les vendeurs de sécurité, avertit Joshua Corman, stratège principal et expert en sécurité pour IBM-ISS, bien qu'il soit lui-même un vendeur, lors d'une conférence organisée durant le salon Interop de Las Vegas.« Les vendeurs ont parfois plus investi dans les interfaces graphiques que dans de nouvelles fonctionnalités, et ils ont une tendance à n'ajouter des fonctionnalités que lorsque les clients les réclament. L'objectif des vendeurs de sécurité n'est pas de sécuriser, mais de faire de l'argent, a-t-il ajouté. Il en a profité pour lister 7 vérités bonnes à dire en matière de sécurité : 1. La certification des anti-virus est un leurre. En ce qui concerne les anti-virus, les standards de certification ne concernent que les codes malveillants qui se répliquent. Or, les nouvelles attaques proviennent à 75% de codes qui ne se répliquent pas, tels que les chevaux de troie, et seulement à 25% de codes se répliquant. D'où le peu d'intérêt des certifications. 2. Le périmètre ne signifie rien. Les vendeurs proclament que le périmètre du réseau de l'entreprise doit être défendu. Or, la plupart des données qui sont perdues ne passent pas par le pare-feu. La moitié des brèches résultent soit de la perte d'un PC portable soit de la perte d'une unité de disque amovible ou d'une bande. En fait, ce sont les processus métiers qu'il faut resserrer au moins autant que le périmètre du réseau. « Croire à la défense périmètrique, c'est comme croire au Père Noël, affirme Joshua Corman. Photo : Joshua Corman, stratège principal en sécurité pour IBM-ISS 3. L'analyse de risques et les vendeurs de sécurité ne font pas bon ménage. Les vendeurs de sécurité veulent que les entreprises achètent ce qu'ils vendent, ils poussent donc des produits qui bloquent des menaces spécifiques. Le NAC (Network Access Control) par exemple, peut résoudre un vrai problème. Mais si ce problème n'a qu'un impact mineur sur les priorités métiers de l'entreprise, il est probablement inutile de le résoudre. La gestion de risques peut décider qu'il suffit d'améliorer les processus métiers ou de durcir les configurations des équipements existants. « Il faut comprendre le contexte, et les priorités de l'entreprise, résume Joshua Corman. 4. Il y a plus risqué que les failles logicielles. Les vendeurs de sécurité poussent à se protéger contre les vulnérabilités logicielles, mais ces défauts ne constituent pas le coeur des attaques réussies. Des mots de passe insuffisamment complexes, des équipements dont le paramétrage n'est pas assez durci (conservation des configurations par défaut), ou des personnels trop naïfs (facilement victimes de « social engineering ») sont les principaux problèmes, déclare Joshua Corman. « Si les logiciels étaient parfaits, nous aurions de toute façon des virus ou des chevaux de troie, qui n'ont pas besoin de vulnérabilités pour leurs attaques, résume-t-il. 5. La conformité réglementaire menace la sécurité. Si la conformité en soi n'est pas une mauvaise chose, se conformer aux standards de sécurité qu'ils soient établis par le gouvernement (HIPAA, ...) ou par des industries (PCI, ...) ne suffit pas à sécuriser les réseaux. Pire, les réglementations créent des conflits sur les budgets et les ressources, entre ce que la mise en conformité exige et ce que les responsables du réseau estiment être nécessaire pour réellement sécuriser l'activité de l'entreprise. En outre, respecter ces standards, indique aux hackers potentiels ce à quoi ils doivent s'attendre comme type de défense. 6. Les « angles morts » des vendeurs permettent aux attaques de réussir Les défenses mises en place par les entreprises permettent de vérifier les machines qui ont été infectées par des « bot » (robots), mais il n'existe pas de protection équivalente pour les réseaux des particuliers. « Les attaques de masse reconnaissent les angles morts dans les antivirus et les utilisent, et emploient du social engineering, résume Joshua Corman. 7. La sécurité s'est développée bien au-delà du « faites-le-vous-même ». Les vendeurs de sécurité s'emploie à convaincre les métiers que la sécurité est si compliquée qu'ils ne peuvent pas s'en occuper eux-mêmes. Mais les besoins en sécurité des lignes métiers sont si spécifiques que simplement choisir un produit est insuffisant. « Cela ne suffit pas d'avoir le bon outil, il doit être installé et paramétré selon le contexte, et cela sera fait au mieux par les équipes informatiques, conclut Joshua Corman.