Graeme Nash, Fortinet : «la question de l’auditabilité du Cloud est difficiles à faire avancer»
Consumérisation de l’IT, transformation du rôle des DSI, adoption du Cloud Computing... Graeme Nash, directeur des solutions stratégies chez Fortinet, fait le point avec nous sur quelques uns des défis actuels de la sécurité informatique.
LeMagIT : Les analyses se multiplient sur la consumérisation de l’IT. Mais la constatez-vous, chez vos clients ?
Graeme Nash: Le phénomène est clairement marqué, en France comme ailleurs. Les smartphones, les iPad sont très répandus. Je vous cite un exemple. Lors d’un récent forum sur la sécurité, sur les APT, notamment, avec le gouvernement de la Malaisie, une question est régulièrement revenue : «mon Pdg veut utiliser son iPad dans l’entreprise, que fait-il ?» En France, c’est exactement le même problème. Dès qu’un nouveau produit tel que l’iPad est disponible - ou une tablette Android - la problématique est de nouveau poussée.
LeMagIT : Toujours à lire les études sur le sujet, les DSI donnent l’impression d’être quelque peu démunis, pris de vitesse par le phénomène...
G.N : Ils sont responsables de la gestion des parcs technologiques, donc cela relève de leurs responsabilités. Mais il y a aussi l’accès distant au système d’information. Toutefois, aujourd’hui, la problématique est élargie : il faut prendre le phénomène en compte au sein des processus relatifs à la gestion des risques. Et c’est toute la difficulté : le rôle de la DSI est élargi. Plusieurs facteurs nous mènent à cela. Ce n’est pas à proprement parler nouveau, mais cela participe à l’évolution du rôle des DSI.
LeMagIT : Cela dit, lorsque l’on suit l’actualité des menaces informatiques, et notamment celle du premier semestre, très marquée par les attaques par phishing ciblé, le risque induit par la consumérisation paraît quelque sur-évalué...
G.N : Le spear phishing n’est qu’un vecteur d’attaque. Mais non, le problème de la consumérisation n’est pas surjoué. Les DSI doivent prendre en compte que le périmètre qui les concerne est élargi. Certes, il y a des exploits probablement surmédiatisés. Mais la menace des APT n'est pas exagérée; et il faut une réponse qui soit à la fois orientée technologie, métiers, et formation. Ce qu’il est important de considérer, c’est l’évolution et la diversification des plateformes.
Et la question de l’hétérogénéité n’est pas prête d’être close. Il y a toujours eu deux approches philosophiques différentes : soit on opte pour un environnement complètement homogène et l’on prend le risque d’exposer toute son infrastructure à un éventuel exploit, soit l’on mise sur un parc hétérogène et l’on peut minimiser l’impact d’un éventuel exploit. Ou du moins le périmètre concerné. Et, objectivement, il y aura toujours de nouvelles technologies à prendre en compte pour permettre à l’entreprise de les exploiter. Mais il faut calculer le risque au niveau de l’activité - risque légal, risque financier, continuité... - autant qu’au niveau technologique.
LeMagIT : Reste que cette consumérisation survient alors même que l’IT est poussée à se transformer, notamment sous la pression des utilisateurs et de la montée du Cloud Computing...
G.N : Oui, absolument. Et cela ne fait que complexifier la tâche des DSI. Dans ce cadre, la sécurité doit être abordée en changeant de perspective : il ne faut plus penser, à plat, à sécuriser un périmètre et des actifs IT; il faut intégrer la sécurité dans une perspective orientée service.
Il y a pour cela ITIL, qui a notamment pour but de bien définir ce qu’est un service (vu de son consommateur, etc.). En s’appuyant là-dessus, du point de vue de la sécurité, il faut avoir une approche à travers les différentes couches de technologie impliquées. Par exemple, pour un service Web : il faut penser à la sécurité de la base de données, du réseau et du serveur applicatif. Cela implique d’intégrer toutes ces couches dans le calcul de risque. Et ce n’est pas simple : cela induit de faire cohabiter UTM, pare-feu applicatif (WAF), IPS, sécurisation des bases et de leurs données... et de faire en sorte de créer une représentation du risque et la réponse associée. En somme, on peut avoir une notion de qualité de service - plus ou moins définie par ITIL - et lui associer une notion de qualité de sécurité. C’est un sujet qui fait actuellement l’objet de nombreuses discussions, notamment en raison du développement du Cloud.
LeMagIT : Justement, le Cloud, et en particulier les offres SaaS, ont parfois l’air de boîtes noires.
G.N : Effectivement. Disposer des accès nécessaires, chez les fournisseurs de service pour audit, par exemple, c’est un peu difficile. Et si cela ne pose pas de problème technique, cela peut poser des problèmes légaux. C’est pour cela que la gestion de l’utilisation des services Cloud est quelque chose de très important.
La plupart des entreprises sont soumises à des règles de conformité. Et dans la plupart des réglementations, on retrouve la notion d’audit. Avant d’aller vers des services Cloud, l’entreprise doit faire une étude sur les parties de son SI qui sont concernées par les obligations réglementaires d’audit. Et si la conformité réglementaire ne peut pas être obtenue dans le Cloud, il est impossible d’y aller. C’est clairement un grand frein au développement du Cloud.
Toutefois, la Cloud Security Alliance est en train de bâtir des recommandations pour essayer de répondre à cette problématique. Mais la question des audits de conformité constitue l’une des briques les plus difficiles à aborder.