|
|
Sécurité |
Sapphire
: les administrateurs coupables ? |
Les administrateurs serveurs sont montrés du doigt suite à la propagation du virus, le patch étant disponible depuis six mois. Gros plan sur un métier complexe
(Lundi 3 février 2003) |
|
Pourquoi le ver Sapphire s'est-il
propagé aussi rapidement alors que le patch de
Microsoft était disponible depuis juillet 2002
? Une question posée aux administrateurs des serveurs
touchés. Mais la réalité est bien
plus complexe qu'il n'y paraît. Et Sapphire, littéralement
"le frappeur", a peut-être rendu un grand
service à la profession.
Confrontés à des systèmes hétérogènes,
à des versions de logiciels parfois incompatibles
entre elles, à une information cloisonnée
et des procédures insuffisantes, les administrateurs
n'ont pas la tâche facile pour se prémunir
de tous les dangers potentiels qui menacent leur système
informatique. Alors que Microsoft est disculpé
- pour une fois - leur responsabilité est directement
mise en jeu avec Sapphire.
Manque
de réflexion et d'organisation
"Il n'est
pas normal que des serveurs de bases de données
soient directement accessibles depuis Internet, si le
ver a pu agir aussi facilement, c'est que l'architecture
globale n'est pas structurée en niveaux, avec par
exemple un serveur web, un reverse proxy, un serveur d'applications
et derrière, seulement, un serveur de bases de
données", tempête Hervé Schauer,
PDG du cabinet HSC,
spécialisé en sécurité.
Et d'ajouter : "la sécurité se réfléchit,
il s'agit d'un manque cruel d'organisation dans le cas
présent ! Le ver a selon moi essentiellement touché
les PME qui achètent des suites logicielles toutes
faites dans le commerce, ont une approche minimaliste
de la sécurité et sont obnubilées
par les coûts !" Et il est vrai que nombre
de serveurs de bases de données ne sont pas protégés
par un simple pare-feu qui, dans le cas présent,
aurait suffit à faire passer son chemin au ver
malicieux.
Manque de procédures et de moyens
Même constat
chez Thales
Secure Solutions, filiale de Thales spécialisée
dans l'intégration, le conseil et l'administration. "Les
sociétés ne définissent pas suffisamment
de procédures sécurité. En cas de
faille identifiée, un administrateur doit savoir
précisément qui avertir, comment tester
le patch, sur quel serveur, qui détient les autorisations
nécessaires pour, le cas échéant,
redémarrer le système et interrompre la
production et ce, de jour comme de nuit", précise
Philippe Bouvier, directeur de missions en charge des
audits de sécurité et de la veille.
"Généralement,
l'administrateur des serveurs, dans les petites sociétés,
est celui qui s'y connaît le mieux en informatique,
mais pas forcément quelqu'un disposant de toutes
les compétences indispensables à la bonne
gestion des serveurs", renchérit Philippe
Bouvier. Un effort de formation, de rigueur et d'allocation
de ressources qui se traduit pour les petites sociétés,
plus que pour les grands comptes, par des coûts
additionnels. Des coûts souvent "indigestes"
que l'on fait passer après d'autres priorités,
pariant sur le caractère hypothétique du
danger.
Mais
dans la jungle des versions et des "packages"...
Des critiques parfaitement
fondées mais qu'Yves Leroux, directeur des solutions
sécurité chez Unisys
relativise cependant : "nous avons fait un test chez
un de nos grands comptes : avec sept systèmes différents,
ce sont pas moins de 1350 notifications de patches, failles,
hoax et autres nouveaux virus qui sont reçues par
an ! Comment gérer autant d'informations ?".
Sans compter que certaines versions de logiciels ou d'applications
sont incompatibles avec les plus récentes versions
d'autres logiciels ! Or, la mise à jour des versions
est le "b-a-ba" de la lutte contre les failles,
les nouvelles versions réparant les failles précédentes.
"Un autre aspect des choses explique que Sapphire
se soit diffusé aussi rapidement : beaucoup de
sociétés ignoraient qu'elles utilisaient
la technologie SQL Server de Microsoft ! Cela est dû
aux packages logiciels qui l'intégrent sans que
le client le sache..." Une position à pondérer
cependant car le travail d'un administrateur est quand
même de savoir ce qui "tourne" sur ses
serveurs mais qui témoigne bien de la complexité
à laquelle sont confrontés les professionnels
de l'administration.
Audits
et externalisation : une parade ?
Selon
Marc Blanchard, directeur du laboratoire européen de Trend
Micro, "entre un et trois audits sont nécessaires
par an. Cela permet de se faire une idée précise
de la carte des risques. Après, la société
décide du niveau de risque qu'elle souhaite prendre
ou qu'elle ne peut dépasser. Mais, globalement,
il faut reconnaître que la culture sécurité
n'est pas encore bien ancrée au sein des directions
d'entreprise".
Audit oui, mais aussi externalisation de la surveillance,
24 heures sur 24 et 7 jours sur 7, externalisation, abonnement
à des services de veille pour recevoir l'information
digérée et adaptée à son architecture...
autant de solutions efficaces qui ont un certain coût,
voire un coût certain. Mais qui aident grandement
les administrateurs à faire correctement leur travail.
|
|
|