PricewaterhouseCoopers fait partie des quatre plus importants
prestataires en France dans le domaine de l'audit et du
conseil en matière de sécurité informatique,
avec KPMG, Andersen Consulting et EDS. Le cabinet international
issu de la fusion en 1998 entre Pricewaterhouse et Coopers
& Lybrand, vient de lancer aux Etats-Unis une offre
de tiers de confiance, beTRUSTed, destinée à
la certification des échanges en ligne. Actuellement
en cours de déploiement dans les pays nordiques,
celle-ci pourrait bien débarquer prochainement en
France. A l'occasion des récentes vagues d'attaques
en tout genre (DoS, virus...), Tuyen Vu, manager, nous présente
l'activité Technology Risk Services dont il a la
charge, aux côtés de Valérie Flament-Chabbert, associée,
chez PwC pour la France, nous définit le contexte
actuel et décrit les enjeux et les stratégies
à adopter en matière de sécurité
e-business.
Propos recueillis le 4 mai 2000 par François
Morel
JI:
Que représente l'entité Technology Risk Services
dont vous êtes le responsable ?
Tuyen Vu : Elle se compose de trois lignes de services.
La première s'intéresse à la sécurité
de l'e-commerce, c'est-à-dire aux transactions, aux
problèmes liés aux cartes bancaires, mais
aussi aux infrastructures à clef publique comme la
solution technique PKI, et aux "Trusted Third Parties",
ou tiers de confiance. Tous ces aspects ne sont pas propres
à la notion d'e-business. Ils ne sont pas nouveaux
non plus, car ils existaient déjà avec le
Minitel, mais ils se sont amplifiés avec le Web.
Aujourd'hui, on parlera plutôt de la notion de PAIN.
"P" pour "privacy" signifie la non-divulgation
des données personnelles et confidentielles. "A"
s'adresse au concept d'authentification, la vérification
de l'identité des participants. "I" représente
l'intégrité, qui consiste à s'assurer
que les données ne sont pas modifiées. Enfin,
le "N" est celui de la non-répudiation.
Lorsque l'entreprise a mis en place les garanties nécessaires,
le client ne doit plus pouvoir répudier la transaction
ou l'engagement qu'il a consenti.
Quelles
sont les autres lignes de services ?
La
deuxième concerne la sécurité dans
son ensemble, c'est-à-dire la sécurité
classique des réseaux. Nous aidons les entreprises
à auditer leur sécurité et à mettre en place une architecture
de sécurité adaptée. A partir d'une approche d'analyses
de risques, nous pouvons définir leur politique de
sécurité des systèmes d'informations.
Aujourd'hui, nous définissons cette politique globale
pour plusieurs multinationales. Nous devons donc tenir compte
des différentes législations qui ne sont pas
les mêmes en France, qu'aux Etats-Unis ou même
en Chine. Jusqu'à présent, nous étions
considérés comme une entreprise d'audit et
de conseil, mais nous allons maintenant jusqu'à l'assistance
et l'implémentation de solutions sécurisées.
Nos équipes en place disposent aujourd'hui des compétences
nécessaires à la mise en place des solutions
de sécurité, parfois dans le contexte plus
large de l'implémentation de solutions e-business.
Enfin, notre troisième ligne de services est destinée aux
opérateurs de télécommunications. Nous leur proposons de
l'audit et de l'optimisation de leurs processus du marketing
jusqu'à la facturation. L'objectif est d'optimiser la chaîne
de la valeur pour s'assurer que les services sont vendus
ce qu'il faut, et juste ce qu'il faut. A titre d'exemple,
un grand opérateur international dont je tairai le
nom aurait environ 200 millions de francs de manque
à gagner sur sa facturation.
En clair, quelles sont les principales
problématiques de l'e-business en matière
de sécurité aujourd'hui ?
La problématique n'est pas nouvelle et tourne autour
du concept CID (Confidentialité, Intégrité,
Disponibilité). Tous ces phénomènes
s'amplifient car autrefois, les systèmes tournaient
sur des Unix propriétaires et peu de monde y avait
accès. Aujourd'hui, avec l'arrivée de Linux
et du protocole IP, tout le monde a accès à
de l'information qui est de plus en plus facile à
obtenir. L'on observe un phénomène de convergence du savoir-faire.
En plus de la notion de PAIN pour l'E-commerce s'en profile
une autre : la fiabilité de la mesure d'audience. Lorsque
l'entreprise sait exploiter les logs, elle peut en déduire
un certain nombre d'informations sur les visiteurs du site.
Les mesures d'audience permettant notamment de servir de
base à la valorisation d'un site, elles doivent être fiables.
Evidemment, il y aura des conflits au niveau des lois sur
la vie privée, mais cela revient à placer
une caméra de surveillance dans une salle. Les notions
règlementaires qui vont entrer en jeu appuieront
les procédures internes pour ne pas rentrer en conflit
avec la loi. Prenons un schéma simple avec un firewall
entre l'intranet et Internet. La plupart des personnes qui
transitent laissent une trace dessus au passage. Aujourd'hui,
certaines entreprises qui disposent d'enregistrements de
ce type ne les ont pas déclarés à la CNIL.
Les
entreprises ont-elles bien compris l'enjeu en matière
de sécurité ?
La
problématique du CID n'est pas seulement technique,
mais d'abord fonctionnelle et business. La plupart du temps,
les entreprises vont chercher un "Monsieur Sécurité"
qui s'occupe d'abord de la sécurité physique,
comme les portes blindées, et de la sécurité logique
sur les systèmes centraux, mais qui oublie parfois le côté
des réseaux Internet, des modems et des portables
connectés au réseau de l'entreprise. Avec
une patte à l'intérieur et une patte à
l'extérieur, les informations passent plus facilement.
La sécurité doit être considérée
sur un plan global et adaptée au business et aux
processus métiers.
Comment
répondez-vous à cela ?
Il
convient d'abord de définir la stratégie globale
de l'entreprise, de laquelle va découler la stratégie
informatique. A partir de celle-ci, nous en déduisons
les enjeux et les menaces, nous analysons les risques, nous
les qualifions, les classifions et leur donnons des priorités.
Ensuite, nous entrons dans la seconde phase qui est la partie
fonctionnelle de la chose. C'est le moment de se poser les
questions "est-ce que je crains une faille dans la
sécurité de mon business ?" et "comment
vais-je le protéger ?". Nous récupérons
ainsi toutes les informations nécessaires pour définir
la doctrine de sécurité, qui contient la charte
utilisateurs, la politique de sécurité de
l'entreprise, la gestion des aspects liés aux télécommunications,
aux développements, à la politique d'archivage,
et ainsi de suite. Il s'agit de balayer l'ensemble des technologies
et des processus de l'entreprise.
Enfin, nous passons à la troisième phase,
de mise en place de la doctrine de sécurité.
Cette partie procédurale logique ne réclame
pas un travail énorme. La partie technique qui va
suivre représente par contre une charge plus importante.
Il convient de savoir, par exemple, quel paramétrage
effectuer sur les plates-formes (NT, Unix...) pour répondre
aux objectifs de sécurité minimale ou optimale
selon la politique de l'entreprise en matière de
sécurité. Cela concerne la sécurité
de tous les systèmes d'informations, aussi bien les
technologies que les bâtiments ou des documents au
format papier.
Effectuez-vous
des tests d'intrusion ?
Souvent,
d'un côté sont présentés les
analyses de risques, et de l'autre les tests d'intrusions.
Mais l'un ne va pas sans l'autre. La différence avec
une SSII spécialisée dans la sécurité
est que nous abordons les problèmes dès l'origine.
Nous observons le métier du client et nous nous assurons
bien que les solutions que nous proposons sont en adéquation
avec son business. Pour les tests d'intrusion, nous avons
une méthodologie qui garantit au client, à
l'aide d'une panoplie de scénarios, la connaissance
des risques qu'il court en matière de déni
de services (les attaques de DoS). Certaines sociétés
de services ne prennent pas suffisamment de précautions
lorsqu'elles effectuent ces tests. Avec de la chance, tout
se passe bien, mais parfois les tests font tomber un serveur,
voire le réseau tout entier. Or, avec un minimum
de méthodologie, on prend les précautions
nécessaires. Avant même d'effectuer les tests,
nous pouvons avertir des risques et donner le choix de continuer
ou non la procédure.
Y
a-t-il des secteurs plus sensibilisés que d'autres
?
Certaines
activités disposent de responsables de la sécurité
des systèmes d'information. Cette fonction existe
depuis des années au niveau des banques parce que
la culture s'y prête bien. Elle est peu représentée,
en revanche, dans les entreprises industrielles, sauf celles
qui s'appuient sur des technologies à haute valeur
ajoutée ou sensibles. Mais les responsables oublient
souvent qu'il est possible d'attaquer une cible pas seulement
en direct mais aussi par rebond, en touchant ses fournisseurs,
ses clients, etc. C'est d'ailleurs généralement
comme cela que fonctionnent la plupart des attaques sur
Internet.
En fait, la demande est très limitée par rapport
au besoin. Les gens prennent conscience petit à petit,
grâce à la télévision qui parle
du Web. Aux Etats-Unis, le marché est en plein essor,
et est dans la troisième phase de son cycle de vie.
En France, nous sommes seulement sur la première
phase. Le marché français compte peu de sociétés
de services spécialisées, dont en gros moins
de 10 compétentes sur la place.
Quelles
prestations demandent les entreprises françaises ?
Les
tests d'intrusion sont très peu demandés en
France. Les entreprises réclament d'abord des audits
de sécurité, des conseils, puis la mise en
place de solutions. Il va falloir qu'elles changent leur
conception, car l'expérience montre que l'audit de
sécurité ne suffit pas. Lorsque nous effectuons
des tests, de l'extérieur ou de l'intérieur,
nous pénétrons le système dans 80 %
des cas. Il existe même des outils de piratage utilisables
à partir de PDA en libre distribution.
Quels
sont les freins dans les grands groupes ?
La
sécurité est paradoxale par rapport aux notions
de performance et de business. Le "Monsieur Sécurité"
est souvent vu comme un empêcheur de tourner en rond
qui vous empêche de travailler. Ceci dit, les entreprises
du secteur des nouvelles technologies se montrent mieux
averties et convaincues. Mais les anciennes industries classiques
comme le textile et le bâtiment se suffisent en général
d'un firewall en oubliant le reste.
Existe-t-il
des solutions techniques en terme d'infrastructure ?
Il n'y
a pas de solution miracle. Quand on pose simplement un firewall,
on oublie les connexions qui ne passent pas par ce canal
sécurisé. La meilleure solution compose les
parties technique et fonctionnelle. Aujourd'hui, trois solutions
existent au niveau du réseau : des pare-feux Unix
ou NT couplés à des serveurs avec un logiciel
de sécurité, des routeurs ou des switchs avec
un logiciel de sécurité embarqué, ou
un mariage entre pare-feux et switches.
La fonction d'un firewall, qui réagit au mieux à
100 Mbit/s, est de tout interdire sauf ce que l'on
autorise. Celle d'un switch, qui laisse passer quelques
dizaines de Gbit/s, est de tout laisser passer et d'interdire
seulement ce que l'on définit à l'avance.
Dans ce dernier cas, il faut être en mesure de recenser
tout ce que l'on interdira. La troisième solution
s'avère la plus satisfaisante, puisqu'elle répond
à la fois aux contraintes de performance et de sécurité,
qui est un frein à la performance. Aujourd'hui, de
plus en plus de constructeurs sortent des switchs équipés
de logiciels. Pour l'instant, nous n'avons pas assez de
recul, mais il semblerait que ces solutions s'avèrent
déjà efficaces. Evidemment, cela ne vaut pas
le coup pour une entreprise qui enregistre peu de connexions
par mois.
Quelles
tendances voyez-vous émerger ?
En ce moment, la tendance va vers
le haut débit et la question se pose quant à
son mariage avec la sécurité. En ce qui
concerne la cryptographie, le haut débit va amener
beaucoup d'informations au même moment dans un même
endroit. Donc, le "hacker" aura plus de possibilités.
En faisant du "distributed cracking", les hackers
se mettent ensemble et se partagent la puissance de calcul
de milliers de serveurs en réseau. Le hacking organisé
existe et se fait de plus en plus.
En
France, le marché des tests d'intrusion va se développer,
car les responsables sont en train de prendre conscience
des risques. Mais les relations entre l'intérieur
et l'extérieur évoluent elles-aussi. Par
conséquent, même si l'on a implémenté
un système de sécurité efficace,
il faut regarder régulièrement si tout ce
que l'on a mis en place est toujours performant. Les techniques
d'attaques évoluent, et derrière évoluent
aussi les techniques de défense. Les tests d'intrusion
sont le meilleur moyen en temps réel pour effectuer
des tests de sécurité. Mais encore faut-il
trouver la bonne pointure pour effectuer ces tests sans
casser le système.
En
tant que responsable de l'activité "Technology
Risk Services" chez PricewaterhouseCoopers pour la
France, Tuyen Vu encadre une équipe de 10 personnes,
20 d'ici décembre, en charge des problématiques
de sécurité dans les entreprises. L'activité
au niveau mondial représente environ 1.000 personnes.
Auparavant, il a supervisé des missions d'étude et coordonné
la mise en place de systèmes d'information et d'architecture
réseaux au CIC Paris jusqu'en 1998. A 36 ans, Tuyen Vu
est diplômé d'un MBA à l'Ecole Supérieure de Commerce
de Paris, d'une MIAGE et d'une Licence de Mathématiques
Appliquées à l'Université de Paris-Dauphine.
Toutes nos interviews