Spécial sécurité : Cloud et virtualisation, ça vous gratouille ou ça vous chatouille ?
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, tentent de démêler l'écheveau de la sécurité des environnements virtuels ou déportés dans le Cloud, en pointant vers une copieuse synthèse sur le sujet. Avant de se pencher sur les motivations des RSSI quand il s'agit de déployer une politique de chiffrement. Où il apparaît que l'absence dans l'Hexagone de toute obligation légale de divulgation en cas de fuite ou de perte de données a des conséquences sur les pratiques des organisations françaises.
Sommaire :
1 - Cloud et virtualisation : ça vous gratouille ou ça vous chatouille ?
2 - Chiffrement : le porte-clef n’est pas en cadeau
3 - En janvier, hacks au Saconnex
1) Cloud et virtualisation : ça vous gratouille ou ça vous chatouille ?
Les problèmes de sécurité propres – ou conséquence de - la virtualisation sont généralement difficiles à cerner. Nouvelle technologie, matraquage marketing des principaux vendeurs qui jurent leurs grands dieux de l’invulnérabilité de leurs produits (à tel point que virtualiser est parfois présenté comme une forme de protection absolue), effervescence de « solutions de sécurité » prétendant résoudre des problèmes que d’autres assurent ne pas exister. De l’antivirus au routeur filtreur virtuel en passant par les outils de déploiement, etc., il est difficile de s’y retrouver, même pour un administrateur chevronné.
Pour lui, et pour tous les DSI, CSO et RSSI en cours d’étude de faisabilité, l’Enisa vient de publier un document de plus de 120 pages, Cloud Computing, Benefits, risks and recommendations for information security. Comme d’habitude, une approche méthodologique précise, presque normative et chirurgicale de la gestion de risques dans une architecture Cloud. Les premiers chapitres s’attachent principalement à l’aspect virtualisation de la chose, puis à la notion de sous-traitance, de Saas et même de coûts. C’est un document manifestement très important, qui permet à l’architecte d’un projet en « cloudification » d’établir une priorité des tâches et des fonctions selon une perception des risques « par tranche de travaux ».
Plus « léger », mais oh combien plus compréhensible lorsque l’on n’est pas un sorcier du virtuel, ce petit papier signé Tyler sur le blog de Neohapsys. « La virtualisation : où et quand ? » décrit en moins d’une page les principaux points névralgiques, une taxinomie des problèmes potentiels que l’on peut rencontrer dans une telle opération. Ainsi le manque d’attention que l’on peut porter aux serveurs-commodités (serveurs mail, DNS, back-office, ressources de fichiers …), qui disparaissent des listes de travaux d’entretien et de surveillance une fois qu’ils ont été « mis en boîte ». Ainsi encore la trop grande rapidité que l’on a à installer un serveur de virtualisation en mode « quick and dirty », sans que l’on ait pris la peine de durcir ledit serveur. Ainsi enfin les hiatus potentiels posés par les outils de développement, la quasi impossibilité sur certaines plateformes de poser des IDS ou des firewalls à l’intérieur du réseau virtuel reliant des serveurs tout aussi virtuels et hébergeant des applications métier qui exigent parfois une certaine sécurité (l’auteur mentionne notamment des architectures contraintes par une homologation PCI-DSS).
2) Chiffrement : le porte-clef n’est pas en cadeau
PGP a commandé à l’institut Ponemon une enquête sur les tendances françaises en matière de chiffrement (inscription obligatoire). Un bilan tiré d’un panel d’un peu plus de 400 professionnels de la sécurité ou de l’informatique. Etude d’autant plus intéressante que les entreprises françaises, contrairement à leurs voisines anglo-saxonnes, n’ont pas d’obligation légale de divulgation en cas de fuite ou de perte de données. Et, par conséquence, pas de statistiques fiables quant à l’ampleur des pertes réelles. C’est donc là une étude sur le « ressenti » des utilisateurs et administrateurs plus qu’un état des lieux, ressenti toutefois marqué par la nécessité de devoir répondre à certaines contraintes règlementaires européennes ou internationales lorsque les personnes interrogées appartiennent à une grande entreprise tournée vers l’extérieur.
Qu’est-ce qui fait courir les partisans du chiffrement en France ? Tout d’abord quelques faits avérés. Telle que la disparition d’une moyenne de 733 portables chaque semaine dans la zone aéroportuaire de Charles de Gaulle. Ensuite les rumeurs d’une loi paneuropéenne souhaitée par l’EDPS (European Data Protection Supervisor). La Cnil surtout, qui représente pratiquement la seule instance liée à la gestion des fichiers nominatifs en France. La Loppsi ensuite, avec le spectre d’une chasse à tout ce qui pourrait entraîner ou être lié à une usurpation d’identité. Les autres motivations quittent le domaine du factuel et relèvent parfois du « on dit ». Ainsi, le cadre punitif d’Hadopi, techniquement dépassé au moment de son adoption, mais certes plus contraignant pour les entreprises qui doivent s’en protéger que pour les individus que cette loi prétend pourfendre. Les grandes affaires relayées par les médias également, telles que les vols de données de Deutsche Telekom et de l’administration fiscale britannique. Ce qui, au passage, fait dire au rapporteur du Ponemon « La France n’a, jusqu’à présent, pas connu de violation de données aussi sérieuses que celles-ci »… la France n’a strictement aucun outil de détection qui permette de connaître l’existence d’accidents semblables. Il serait bien étrange que, tels les nuages radioactifs, le vol de données se contente de faire pendre son linge sur la ligne Siegfried.
Cette absence de contrainte de publication est d’ailleurs assez bien illustrée par les motivations d’usage du chiffrement :
conformité : 65 % des avis
respect de la confidentialité : 55 %
protection de la marque et de l’image : 43 %
éradication des violations de données : 28 %
craintes liées à la notification de violation : 0 %
Ce qu’en Berrichon l’on pourrait traduire par « faute inavouée n’est pas à pardonner ».
Que doit-on protéger et contre qui ? Là encore, quelques réalités et beaucoup de fantasmes. Interviewées sur le degré de gravité des causes de fuite d’information, les personnes interrogées évoquent en premier lieu l’indélicatesse d’un collaborateur, l’espionnage industriel, le manque de fiabilité des services de « cloud computing » et de la virtualisation, les équipements mobiles… autant de causes qui sont généralement citées dans 50 à 60 % des cas. Les troyens ne sont considérés comme grave que dans 22 % des cas, score le plus faible. Or, un Zeus ou un Conficker fait plus de dégâts financiers immédiats qu’un fichier commercial dérobé par un technico-commercial sur le départ (lorsque ce fait est avéré). Mêmes craintes à propos des équipements mobiles –téléphones, portables -, de plus en plus susceptibles de comporter des informations confidentielles. Reste que si la crainte des « fuites mobiles » et « fuites qmartphones/PDA » (par perte ou par exfiltration) sont élevées, elles ne représentent aujourd’hui respectivement que 9 et 7 % du chiffrement par secteur d’application. Les sauvegardes, quant à elles, sont déclarées chiffrées dans 22 % des réponses.
Mais paradoxalement, alors que les motivations poussant au chiffrement sont parfois discutables ou relèvent de la crainte fantasmée, la conscience des difficultés techniques qu’entraîne une politique de chiffrement sérieuse est véritablement réelle. Surtout auprès des entreprises ayant eu à déplorer une moyenne de plus de 2 violations par an. A partir de cette limite, les stratégies partielles sont totalement abandonnées au profit d’une stratégie d’entreprise. L’étude du Ponemon insiste sur le fait que l’absence de divulgation des vols est un facteur important d’imprécision statistique. Mais une observation corollaire peut être tirée de cette tendance : plus une société parle de stratégie de chiffrement globale, plus on peut estimer qu’elle a déjà essuyé un certain nombre de revers du genre. D’autres écueils techniques sont évoqués par les personnes interrogées. A commencer par la complexité et surtout le prix des outils de gestion de clef. Cette gestion (reporting, déploiement, gestion du cycle de vie des clefs, activation des comptes, mise en œuvre…) pèse en moyenne 23 % du budget chiffrement. Des coûts qui, espèrent les répondants, seront amortis par la disparition des pertes elles-mêmes. Un prix et une complexité qui poussent d’ailleurs les principaux intéressés à opter plus majoritairement pour des solutions de chiffrement unique, mono-fournisseur et s’étendant à toute la politique d’entreprise.
3) En janvier, hacks au Saconnex
Comme chaque année, c’est à l’école d’ingénieurs HES de Genève que se déroulera la prochaine nuit Insomni’hack organisée par le SCRT. La participation à cet événement est totalement libre et gratuite, et ne nécessite qu’une inscription préalable. Renseignements et inscriptions sur le site de SCR. Bruno Kerouanton, le RSSI le plus breton d’Helvétie, avait, l’an passé, collationné les témoignages radio-télévisés effectués lors de la précédente édition.
D’un point de vue logistique, l’école HES se situe au centre de Genève, au sud du quartier du Petit Saconnex (on ne prononce pas le « x ») et à moins de 800 m de la gare principale de Cornavin et de son parking sous-terrain. Il est possible de trouver des hôtels à des prix très abordables de l’autre côté de la frontière française, sur la commune d’Annemasse – à 15mn en voiture du centre de Genève. Le 22 janvier tombant un vendredi, il est prudent de prévoir, après cette nuit d’intensif travail intellectuel, un week-end de détente à la station de sports d’hiver du Grand Bornand, également à 15 minutes d’Annemasse (le code Python nécessaire au hack des RFID intégrés dans les « forfaits journée » est à écrire soi-même… après avoir cherché quelqu’inspiration.