Tout sous contrôle, vraiment?

«Savez-vous avec qui vous communiquez?» lance d’entrée de jeu Diederijk Klijn, Regional Sales Manager BeNeLux, M86 Security. «Détrompez-vous: le hack est passé de mode. Aujourd’hui, les risques proviennent de votre bureau. Celui qui a le navigateur en main à tous les pouvoirs! Savez-vous aussi qui de vos collaborateurs est sur un réseau social? Et ce qu’il écrit à l’instant précis? facebook, c’est géant et privé. Sauf que vous ouvrez vos pages à vos amis, aux amis de vos amis, etc. Au total, les portes et fenêtres de votre entreprises sont grandes ouvertes!»

A force de parler sécurité, on imagine que tout est sous contrôle, qu’il n’y a plus de danger, que la ligne de défense est bonne, les fortifications imprenables, la garde en veille. Et pourtant, les agresseurs ne désarment pas et leurs assauts sont toujours plus sévères. Les nombreux intervenants du Storage Security Forum Luxembourg, qui s’est tenu le 15 septembre au Légère Premium de Münsbach, en ont apporté la preuve.

En point de mire, toujours selon le spécialiste de M86 Security, les téléchargements et, en arrière-plan, les menaces larvées qu’ils peuvent véhiculer. «Vérifiez ce que vous acceptez et assurez-vous bien que le message de mise à jour qui apparaît sur votre écran n’est pas un faux. Laujourd’hui, les attaques sont conçues pour vaincre les meilleures technologies de défense!», insiste Diederijk Klijn. Tout aussi important est de savoir ce qui sort et ce qui tourne sur la machine. Qui a envoyé l’information? A-t-elle été adressée à la bonne personne? Pouvait-elle être adressée à cette personne? Ce jour et à cette heure? Des interrogations et des dizaines d’autres encore pour lesquelles il est important d’apporter les bonnes réponses. «Si vous ne savez pas qui communique, qui est sur le média social, qui est sur la machine, qu’est ce qui a été téléchargé et ce qui tourne sur la machine, alors le diable est dans le détail… de ce que vous avez demandé» conclut avec conviction Diederijk Klijn.

Plus loin que la sécurité périmétrique. «Qui dit virtualisation pense immédiatement économie, agilité, qualité accrue, meilleur retour sur investissement, rappelle Jean-Hubert Antoine, Client Services BDM, Dimension Data. «C’est vrai. En même temps, la montée en puissance de la virtualisation, n’est pas sans danger. Et ce n’est pas sans raisons qu’on la voit encore avec méfiancenotamment au Grand-Duché...» Un combat d’arrière-garde? Sans doute. En 2009, le nombre de machines virtuelles a dépassé celui de machines physique et Gartner estime que, en 2014, quelque 15% de la charge IT sera sur le cloud. «Le cloud computing exploite la technologie existante pour faire les choses différemment. C’est, par exemple, différencier infrastructure et application. D’où les atouts du cloud et son envolée. Pour qu’il perce au Luxembourg, il faut que sa version ‘private’ puisse remplacer le data center, qu’elle donne le même niveau de sécurité et de contrôle, garantisse la confidentialité des données et soit en accord avec les aspects légaux».

D’autres interrogations éveillent l’intérêt de Jean-Huber Antoine comme le BYOD (Bring Your Own Device), «tendance encouragée par toujours plus d’entreprises... mais qui soulève des problèmes de sécurité lors des connexions au data center.» Configuration, intégration et mélange de données sensibles avec des informations ordinaires sont généralement les sources d’inquiétude les plus citées. «La sécurité traditionnelle dite périmétrique ne suffit plus, il faut une sécurité à travers le cloud. A tout concentrer dans le cloud on crée et désigne une cible de choix, augmentant l’importance du risque. Ce qui explique, pourquoi, les attaques sont de plus en plus ciblées. Aux risques classiques, s’ajoutent l’arrivée des nouveaux types d’appareils, explosant une fois encore le périmètre classique de sécurité. Pour pallier ces menaces, la sécurité s’oriente davantage sur les données et se rapproche des utilisateurs… Ces tendances qui simplifient la sécurité, rendent celle-ci plus efficace, car plus humaine», termine Jean-Hubert Antoine.

A la corbeille, vraiment? «Les données ont un cycle de vie et leur sécurité doit être assurée de leur création à leur destruction. Or, 40% des disques durs achetés sur eBay contiennent encore des données» s’étonne Alexandre Gosnet, Marketing & Communications, Kroll Ontrack. Pourtant, une directive européenne réglemente sévèrement la collecte, le traitement et l’échange de données personnelles. Selon ce texte, le responsable de la destruction de données doit tout mettre tout en œuvre sur le plan technique, confidentiel et péremption de données afin que celles-ci soient bien détruites.

Si la tâche paraît simple, il n’en est rien. «Mettre à la corbeille un fichier ne fait que... le mettre à la corbeille. Effacer un fichier via l’OS n’est, le plus souvent, pas un effacement! Le formatage ne détruit pas les données. Seule la démagnétisation apporte la sécurité absolue», prévient Alexandre Gosnet. Tout le monde est concerné par le problème, précise l’orateur: prestataire de services, entreprises, recycleurs... «Si on protège les données au cours de leur vie, on oublie leur importance au moment de leur effacement. On s’inquiète peu ou pas du tout de savoir ce que devient le matériel une fois recyclé ou vendu!»

Si accuser l’extérieur est la première réaction en cas de problème, c’est oublier qu’on est parfois l’artisan de ses malheurs! Aujourd’hui, 90% de l’information est numérisé. Et une fois numérisée une donnée est comme liquéfiée, donc difficilement contrôlable. 76% des fuites viennent de l’intérieur. Par erreur, par insouciance... L’information et les données quittent le périmètre sécurisé et percolent dans l’entreprise, les capacités de stockage grossissent sur des supports toujours plus petits. En gros évolution rime avec danger! Ainsi, avons-nous aujourd’hui des données en mouvement, au repos, en utilisation, au-delà des frontières… Autant de formes, autant de périls!

Focus sur la DLP. «Un outil taillé pour le Luxembourg, pays dont l’essor économique repose sur le cumul de volumes de données sensibles», estime pour sa part Jeroen De Corel, Security Engineer, Check Point Software. «Si aucun système n’empêchera la perte de données, on se doit néanmoins de faire tout pour limiter les risques!»

L’offre de Check Point Software ne touche pas ici à la lutte contre l’espionnage industriel, mais à la parade de manœuvre aux effets secondaires désastreux pour l’entreprise ou ses clients. D’un côté, la machine qui ne sera jamais qu’une machine; de l’autre, les collaborateurs avec leur charge de travail et leur exposition à toujours plus de données sensibles. Deux challenges, une réponse: Check Point 3D Security, logiciel capable de faire sauter un pop-up aux yeux de l’utilisateur à chaque fois que celui s’apprête à envoyer des données sensibles. A lui, alors, de savoir s’il arrête ou poursuit l’envoi. Moteur de détection, règles de gestion simples et contrôle et déploiement unifié font la perspicacité des rouages de cette solution qui entend «prévenir les fuites, imposer le respect des règles, éduquer et alerter les utilisateurs», note encore Jeroen De Corel.

Démarche globale. Sur base de la plate-forme de Kaseya, FleXos propose de contrôler et de gérer les infrastructures à distance, de manière proactive, à partir d’une console d’administration centralisée «full web».«L’infogérance, c’est le mode curatif, l’extinction du feu par les pompiers, explique Stéphane Haubray, Director Kaseya France. Mais, il y a aussi le préventif, le sprinkler en quelque sorte...»

L’idée du client étant le «100% up time», la maintenance proactive a de beaux jours devant elle. «Les interventions in situ font place à l’automatisation de la maintenance des infrastructure IT. Le but du jeu est d’automatiser le plus grand nombre de tâches. Passer de la faux à la moissonneuse batteuse!», conclut Stéphane Haubray. «Simplement! Avec comme réponse concrète une console unique, un service 24/7, 365 jours par an. Des SLA définis, un engagement de moyens et de résultats», ajoute Pascal Cornet de FleXos. Agissant de la sorte, Flexos se targue de résoudre à distance 90% des problèmes de ses clients!

Reportage: Jean-Claude Quintart