PricewaterhouseCoopers fait partie des quatre plus importants prestataires en France dans le domaine de l'audit et du conseil en matière de sécurité informatique, avec KPMG, Andersen Consulting et EDS. Le cabinet international issu de la fusion en 1998 entre Pricewaterhouse et Coopers & Lybrand, vient de lancer aux Etats-Unis une offre de tiers de confiance, beTRUSTed, destinée à la certification des échanges en ligne. Actuellement en cours de déploiement dans les pays nordiques, celle-ci pourrait bien débarquer prochainement en France. A l'occasion des récentes vagues d'attaques en tout genre (DoS, virus...), Tuyen Vu, manager, nous présente l'activité Technology Risk Services dont il a la charge, aux côtés de Valérie Flament-Chabbert, associée, chez PwC pour la France, nous définit le contexte actuel et décrit les enjeux et les stratégies à adopter en matière de sécurité e-business.

Propos recueillis le 4 mai 2000 par François Morel

JI: Que représente l'entité Technology Risk Services dont vous êtes le responsable ?
Tuyen Vu : Elle se compose de trois lignes de services. La première s'intéresse à la sécurité de l'e-commerce, c'est-à-dire aux transactions, aux problèmes liés aux cartes bancaires, mais aussi aux infrastructures à clef publique comme la solution technique PKI, et aux "Trusted Third Parties", ou tiers de confiance. Tous ces aspects ne sont pas propres à la notion d'e-business. Ils ne sont pas nouveaux non plus, car ils existaient déjà avec le Minitel, mais ils se sont amplifiés avec le Web.
Aujourd'hui, on parlera plutôt de la notion de PAIN. "P" pour "privacy" signifie la non-divulgation des données personnelles et confidentielles. "A" s'adresse au concept d'authentification, la vérification de l'identité des participants. "I" représente l'intégrité, qui consiste à s'assurer que les données ne sont pas modifiées. Enfin, le "N" est celui de la non-répudiation. Lorsque l'entreprise a mis en place les garanties nécessaires, le client ne doit plus pouvoir répudier la transaction ou l'engagement qu'il a consenti.

Quelles sont les autres lignes de services ?
La deuxième concerne la sécurité dans son ensemble, c'est-à-dire la sécurité classique des réseaux. Nous aidons les entreprises à auditer leur sécurité et à mettre en place une architecture de sécurité adaptée. A partir d'une approche d'analyses de risques, nous pouvons définir leur politique de sécurité des systèmes d'informations. Aujourd'hui, nous définissons cette politique globale pour plusieurs multinationales. Nous devons donc tenir compte des différentes législations qui ne sont pas les mêmes en France, qu'aux Etats-Unis ou même en Chine. Jusqu'à présent, nous étions considérés comme une entreprise d'audit et de conseil, mais nous allons maintenant jusqu'à l'assistance et l'implémentation de solutions sécurisées. Nos équipes en place disposent aujourd'hui des compétences nécessaires à la mise en place des solutions de sécurité, parfois dans le contexte plus large de l'implémentation de solutions e-business.
Enfin, notre troisième ligne de services est destinée aux opérateurs de télécommunications. Nous leur proposons de l'audit et de l'optimisation de leurs processus du marketing jusqu'à la facturation. L'objectif est d'optimiser la chaîne de la valeur pour s'assurer que les services sont vendus ce qu'il faut, et juste ce qu'il faut. A titre d'exemple, un grand opérateur international dont je tairai le nom aurait environ 200 millions de francs de manque à gagner sur sa facturation.

En clair, quelles sont les principales problématiques de l'e-business en matière de sécurité aujourd'hui ?
La problématique n'est pas nouvelle et tourne autour du concept CID (Confidentialité, Intégrité, Disponibilité). Tous ces phénomènes s'amplifient car autrefois, les systèmes tournaient sur des Unix propriétaires et peu de monde y avait accès. Aujourd'hui, avec l'arrivée de Linux et du protocole IP, tout le monde a accès à de l'information qui est de plus en plus facile à obtenir. L'on observe un phénomène de convergence du savoir-faire. En plus de la notion de PAIN pour l'E-commerce s'en profile une autre : la fiabilité de la mesure d'audience. Lorsque l'entreprise sait exploiter les logs, elle peut en déduire un certain nombre d'informations sur les visiteurs du site. Les mesures d'audience permettant notamment de servir de base à la valorisation d'un site, elles doivent être fiables. Evidemment, il y aura des conflits au niveau des lois sur la vie privée, mais cela revient à placer une caméra de surveillance dans une salle. Les notions règlementaires qui vont entrer en jeu appuieront les procédures internes pour ne pas rentrer en conflit avec la loi. Prenons un schéma simple avec un firewall entre l'intranet et Internet. La plupart des personnes qui transitent laissent une trace dessus au passage. Aujourd'hui, certaines entreprises qui disposent d'enregistrements de ce type ne les ont pas déclarés à la CNIL.

Les entreprises ont-elles bien compris l'enjeu en matière de sécurité  ?
La problématique du CID n'est pas seulement technique, mais d'abord fonctionnelle et business. La plupart du temps, les entreprises vont chercher un "Monsieur Sécurité" qui s'occupe d'abord de la sécurité physique, comme les portes blindées, et de la sécurité logique sur les systèmes centraux, mais qui oublie parfois le côté des réseaux Internet, des modems et des portables connectés au réseau de l'entreprise. Avec une patte à l'intérieur et une patte à l'extérieur, les informations passent plus facilement. La sécurité doit être considérée sur un plan global et adaptée au business et aux processus métiers.

Comment répondez-vous à cela ?
Il convient d'abord de définir la stratégie globale de l'entreprise, de laquelle va découler la stratégie informatique. A partir de celle-ci, nous en déduisons les enjeux et les menaces, nous analysons les risques, nous les qualifions, les classifions et leur donnons des priorités. Ensuite, nous entrons dans la seconde phase qui est la partie fonctionnelle de la chose. C'est le moment de se poser les questions "est-ce que je crains une faille dans la sécurité de mon business ?" et "comment vais-je le protéger ?". Nous récupérons ainsi toutes les informations nécessaires pour définir la doctrine de sécurité, qui contient la charte utilisateurs, la politique de sécurité de l'entreprise, la gestion des aspects liés aux télécommunications, aux développements, à la politique d'archivage, et ainsi de suite. Il s'agit de balayer l'ensemble des technologies et des processus de l'entreprise.
Enfin, nous passons à la troisième phase, de mise en place de la doctrine de sécurité. Cette partie procédurale logique ne réclame pas un travail énorme. La partie technique qui va suivre représente par contre une charge plus importante. Il convient de savoir, par exemple, quel paramétrage effectuer sur les plates-formes (NT, Unix...) pour répondre aux objectifs de sécurité minimale ou optimale selon la politique de l'entreprise en matière de sécurité. Cela concerne la sécurité de tous les systèmes d'informations, aussi bien les technologies que les bâtiments ou des documents au format papier.

Effectuez-vous des tests d'intrusion ?
Souvent, d'un côté sont présentés les analyses de risques, et de l'autre les tests d'intrusions. Mais l'un ne va pas sans l'autre. La différence avec une SSII spécialisée dans la sécurité est que nous abordons les problèmes dès l'origine. Nous observons le métier du client et nous nous assurons bien que les solutions que nous proposons sont en adéquation avec son business. Pour les tests d'intrusion, nous avons une méthodologie qui garantit au client, à l'aide d'une panoplie de scénarios, la connaissance des risques qu'il court en matière de déni de services (les attaques de DoS). Certaines sociétés de services ne prennent pas suffisamment de précautions lorsqu'elles effectuent ces tests. Avec de la chance, tout se passe bien, mais parfois les tests font tomber un serveur, voire le réseau tout entier. Or, avec un minimum de méthodologie, on prend les précautions nécessaires. Avant même d'effectuer les tests, nous pouvons avertir des risques et donner le choix de continuer ou non la procédure.

Y a-t-il des secteurs plus sensibilisés que d'autres ?
Certaines activités disposent de responsables de la sécurité des systèmes d'information. Cette fonction existe depuis des années au niveau des banques parce que la culture s'y prête bien. Elle est peu représentée, en revanche, dans les entreprises industrielles, sauf celles qui s'appuient sur des technologies à haute valeur ajoutée ou sensibles. Mais les responsables oublient souvent qu'il est possible d'attaquer une cible pas seulement en direct mais aussi par rebond, en touchant ses fournisseurs, ses clients, etc. C'est d'ailleurs généralement comme cela que fonctionnent la plupart des attaques sur Internet.
En fait, la demande est très limitée par rapport au besoin. Les gens prennent conscience petit à petit, grâce à la télévision qui parle du Web. Aux Etats-Unis, le marché est en plein essor, et est dans la troisième phase de son cycle de vie. En France, nous sommes seulement sur la première phase. Le marché français compte peu de sociétés de services spécialisées, dont en gros moins de 10 compétentes sur la place.

Quelles prestations demandent les entreprises françaises ?
Les tests d'intrusion sont très peu demandés en France. Les entreprises réclament d'abord des audits de sécurité, des conseils, puis la mise en place de solutions. Il va falloir qu'elles changent leur conception, car l'expérience montre que l'audit de sécurité ne suffit pas. Lorsque nous effectuons des tests, de l'extérieur ou de l'intérieur, nous pénétrons le système dans 80 % des cas. Il existe même des outils de piratage utilisables à partir de PDA en libre distribution.

Quels sont les freins dans les grands groupes ?
La sécurité est paradoxale par rapport aux notions de performance et de business. Le "Monsieur Sécurité" est souvent vu comme un empêcheur de tourner en rond qui vous empêche de travailler. Ceci dit, les entreprises du secteur des nouvelles technologies se montrent mieux averties et convaincues. Mais les anciennes industries classiques comme le textile et le bâtiment se suffisent en général d'un firewall en oubliant le reste.

Existe-t-il des solutions techniques en terme d'infrastructure ?
Il n'y a pas de solution miracle. Quand on pose simplement un firewall, on oublie les connexions qui ne passent pas par ce canal sécurisé. La meilleure solution compose les parties technique et fonctionnelle. Aujourd'hui, trois solutions existent au niveau du réseau : des pare-feux Unix ou NT couplés à des serveurs avec un logiciel de sécurité, des routeurs ou des switchs avec un logiciel de sécurité embarqué, ou un mariage entre pare-feux et switches.
La fonction d'un firewall, qui réagit au mieux à 100  Mbit/s, est de tout interdire sauf ce que l'on autorise. Celle d'un switch, qui laisse passer quelques dizaines de Gbit/s, est de tout laisser passer et d'interdire seulement ce que l'on définit à l'avance. Dans ce dernier cas, il faut être en mesure de recenser tout ce que l'on interdira. La troisième solution s'avère la plus satisfaisante, puisqu'elle répond à la fois aux contraintes de performance et de sécurité, qui est un frein à la performance. Aujourd'hui, de plus en plus de constructeurs sortent des switchs équipés de logiciels. Pour l'instant, nous n'avons pas assez de recul, mais il semblerait que ces solutions s'avèrent déjà efficaces. Evidemment, cela ne vaut pas le coup pour une entreprise qui enregistre peu de connexions par mois.