ISSN : 2354-4635
DÉCEMBRE 2014
DISRUPTIVE
Le Nouveau Souffle JEAN-LUC MARTINO, BANQUE RAIFFEISEN CIO OF THE YEAR 2014
LE MAGAZINE ET LE GUIDE DU CIO ET DU DÉCIDEUR ICT AU LUXEMBOURG
Dossier spécial sécurité
P.24
Dossier Digital Lëtzebuerg
P.46
Focus start-ups
P.58
Guide des entreprises
P.67
DOSSIER SÉCURITÉ
La sécurité, une cause commune La sécurité informatique ne peut désormais plus se limiter à la protection de ses systèmes. Face à des attaques ciblées, mais aussi à une panoplie de risques divers, les questions de sécurité doivent être appréhendées de manière globale. Pour lutter contre les intrusions, entre autres, les acteurs doivent désormais mieux communiquer et partager l’information. C’est la clé de la maturité.
Face à des acteurs malveillants, des pirates informatiques extrêmement bien organisés, les entreprises peinent le plus souvent à bien se protéger. Si les enjeux de sécurité sont mieux appréhendés par les fournisseurs de services IT, il est toujours très difficile de lutter contre un pirate très déterminé. Mieux y faire face exige de réviser la manière dont la plupart des entreprises envisagent la notion de sécurité des systèmes. « On a trop longtemps opposé sécurité ICT et sécurité physique. Cela n’a pas de sens. Les acteurs malveillants, eux, ne font pas la distinction entre les deux et profitent des failles qui existent tant dans le monde réel qu’au niveau des systèmes pour arriver à leurs fins, précise Régis Jeandin, Head of Security Services chez EBRC. A quoi bon protéger ses systèmes d’attaques extérieures si une personne étrangère à la société peut facilement accéder à un terminal, comme un poste de travail, pour s’introduire dans le système et accéder à des documents ? La sécurité doit être appréhendée plus globalement. »
ENTRE FORTERESSE ET BASTION Pendant longtemps, on a protégé les systèmes ICT en établissant des forteresses complexes autour d’eux, en accumulant les remparts – firewall, antivirus… « On prend conscience que ce n’est peut-être pas la meilleure école. On a vu des attaques utiliser ces systèmes périphériques pour justement mieux pénétrer le système central. La complexité des systèmes rend difficile la maîtrise de la sécurité informatique. A cette approche de type forteresse s’oppose désormais celle du bastion, l’école de la simplicité et de l’agilité dans la lutte contre les intrusions », commente Alexandre Dulaunoy, Spécialiste
26
2014
Régis Jeandin, Head of Security Services chez EBRC
de la Sécurité Informatique et des réseaux au sein du Computer Incident Response Center Luxembourg (CIRCL). Bien appréhender la sécurité ne passe donc pas uniquement par la protection. « La détection est aussi un facteur clé. Face à une attaque ciblée, une protection avancée est certes nécessaire… mais récolter des évidences ainsi que des traces liées à ces attaques, est crucial. Cela permet de pouvoir identifier les vecteurs d’attaque et les cibles, et de pouvoir agir en conséquence », précise Régis Jeandin.
LA CLÉ DE LA MATURITÉ, C’EST LE PARTAGE Pour que la Place gagne en maturité en matière de gestion des risques informatiques, il est nécessaire que l’on puisse disposer d’une meilleure connaissance du type et du niveau d’attaques auxquelles les acteurs font face. « Pour cela, les entreprises doivent mieux partager et communiquer les indicateurs de compromissions, mais aussi de nombreuses autres informations relatives aux attaques dont ils sont victimes », commente Régis Jeandin. EBRC, par exemple, mène une analyse des menaces sur l’ensemble de ses clients et trouve un réel intérêt et des bénéfices à partager des informations techniques sur les attaques avec d’autres acteurs, par le biais de CIRCL notamment, afin de renforcer en permanence sa connaissance de la menace et de pouvoir améliorer la sécurité de l’ensemble de ses services. « Gérer sa sécurité seul, en mode insulaire, ne permet pas d’apporter des réponses satisfaisantes pour que chacun, et donc la Place dans son ensemble, puisse relever l’enjeu de la sécurité », explique Alexandre Dulaunoy. Dans un pays qui a longtemps cultivé le secret et la confidentialité, les acteurs ne partagent
Alexandre Dulaunoy, Spécialiste de la Sécurité Informatique et des réseaux au sein du Computer Incident Response Center Luxembourg (CIRCL)
pas volontiers l’information, et encore moins celle qui à trait aux attaques dont ils sont victimes. « Cela demande du courage et de la maturité, mais les bénéfices sont réels », poursuit Alexandre Dulaunoy. Face à des entreprises et, au final, une Place économique toujours mieux armée pour les détecter, les hackers seront sans doute moins prompts à attaquer. « La gestion de la sécurité inhérente à l’entreprise doit se gérer de bout en bout. Elle dépend aussi bien de ceux chargés d’opérer les systèmes que du end-user, sans oublier les prestataires ou les sous-traitants dans le domaine informatique ou autres… », conclut Régis Jeandin. La sécurité, c’est l’affaire de tous. Sébastien Lambotte