Edelweb, filiale du groupe ON-X Consulting, réalise en amont des études de sécurité et, en aval, des « bilans sécurité » (état des lieux, audits, tests, recommandations et suivi) et propose des actions correctives.


Véronique Anger : Les problèmes liés à la sécurité des réseaux représentent-ils aujourd’hui encore un frein au déploiement d’internet au sein des entreprises ; et au développement des entreprises sur internet ?
Paul-André Pays : Il est clair que les entreprises doivent intégrer les nouveaux moyens de communication pour rester compétitives. Il serait suicidaire, en effet, d’ignorer les évolutions liées à l’utilisation des technologies internet dans sa politique de développement.
Les enjeux commerciaux sont tels que les problèmes de sécurité des réseaux (et en particulier d’Internet) ne constituent plus un frein aujourd’hui. De plus, des solutions efficaces existent.
Quand on aborde le vaste sujet de la sécurité, il faut distinguer plusieurs domaines :
- La sécurité des locaux, des équipements, des stocks, … qui fait appel à des solutions techniques éprouvées (systèmes d’alarmes, accès avec badges, portes blindées, …).
- La sécurité des systèmes d’information (SI), principalement des serveurs frontaux (accès aux sites web, à la messagerie, …), qui s’appuie sur des moyens techniques et des procédures. Les solutions peuvent être coûteuses, mais elles ne posent pas de difficulté majeure.
- La sécurité des transactions (transfert de données informatiques, commerce électronique, …).
Il s’agit, dans le cas d’échanges plus ou moins formels, de « certifier », c’est-à-dire d’authentifier, de dater, d’assurer la fiabilité et l’intégrité -voire la confidentialité- des transactions.
Cet aspect est quasiment résolu grâce notamment à la certification par signature numérique, ayant valeur légale (reconnaissance de la signature électronique, donc des documents dématérialisés) devant les tribunaux. Je regrette toutefois que cette solution ne soit pas suffisamment mise en œuvre.
De mon point de vue, le terme « sécurité » est assez trompeur et trop souvent associé au mot « confidentialité ». Beaucoup pensent et installent « sécurité des réseaux et systèmes » au lieu de « certification des transactions ». De même, ils confondent « confidentialité » avec « intégrité ». L’important n’est pas de « chiffrer » les données, mais bien d’en assurer l’authenticité (par exemple : avoir la certitude que les informations reçues proviennent réellement de la base interrogée) et de permettre la traçabilité (grâce à la signature, l’horodatage, …).
- La sécurité à caractère commercial (e-commerce) dont l’objectif est de garantir la confiance entre les parties. Les solutions techniques existent, le cadre réglementaire et contractuel également.
Toutefois, le paradoxe de l’e-commerce (en particulier, BtoC*) fait qu’il est préférable pour l’acheteur de ne pas utiliser les systèmes dits « sécurisés ». En effet, l’engagement du vendeur est limité et, de ce fait, sa responsabilité sera difficile à établir (Est-on sûr que la livraison sera effectuée dans les délais ? La marchandise correspond-elle réellement au descriptif ?). De même, dans la mesure où il n’a rien signé, le consommateur peut facilement contester la transaction (c’est là tout le problème de la vente à distance, que ce soit sur le Net ou par téléphone !).
Si le consommateur choisit de signer « numériquement », il doit veiller à ce que le commerçant s’engage en contrepartie sur la qualité du produit ou de la prestation qu’il achète. Dans le cas contraire, lui seul serait engagé pour ses propres paiements, la preuve de sa signature ne faisant alors aucun doute…

VA : Où en est-on aujourd’hui ? Quels sont les principaux dangers, et quels moyens les sociétés spécialisées telles que la vôtre proposent-elles aux entreprises pour s’en préserver ?
PAP : Les réponses varient suivant le domaine de sécurité concerné. Des progrès considérables ont été réalisés en matière de sécurité active, préventive et dissuasive, dans le domaine des SI (à l’intérieur de l’entreprise, mais aussi en ce qui concerne les interfaces de communication avec l’extérieur). Les techniques et les produits disponibles sont efficaces.
Bien entendu, la sécurité ne sera jamais absolue, mais le niveau de risque résiduel est tout à fait acceptable.
En revanche, la prise de conscience de la part des entreprises et le niveau d’expertise de certains prestataires en sécurité ne suivent pas toujours…
Les fabricants de produits et les éditeurs de logiciels (Internet Explorer, Microsoft Outlook, Netscape, Windows, Mac OS, …) à la conquête perpétuelle de parts de marché supplémentaires, produisent des marchandises comportant des failles facilement exploitables par les « pirates ». La préoccupation fondamentale est d’enrichir sa base de données d’utilisateurs pour accroître sa valeur boursière. C’est une fuite en avant : envahir le marché en lançant, le plus tôt possible, des produits souvent peu sécurisés afin d’évincer la concurrence.
Avec l’explosion des technologies web, conduisant à une multiplication des applications (de messagerie et de commerce électronique, notamment) la fiabilité des produits (voire, des plate-formes) n’est pas satisfaisante. Qui, aujourd’hui, considérerait comme normal d’investir dans une automobile ou un magnétoscope ne résistant pas au crible d’un crash test ou d’un banc d’essai ? Sous prétexte de progrès économique, de jeunesse du marché, ou de mutation accélérée due à la société de l’information, les consommateurs d’informatique acceptent de payer des produits de mauvaise qualité, de plus, pour un niveau de sécurité très faible. Même les intégrateurs livrent des solutions inacceptables de ce point de vue.
Le développement massif des réseaux rend ce problème particulièrement crucial. Les attaques de février contre Yahoo ou la propagation du virus « I love you » sont très révélateurs de cette situation…
Si certains grands comptes font pression sur les fournisseurs pour obtenir des versions bridées (sans vidéo par exemple), il suffirait d’éduquer les consommateurs à devenir plus exigeants pour que les fabricants leur apportent satisfaction.
En attendant des jours meilleurs, toutes les versions livrées par défaut (Outlook, Explorer, Netscape, …) doivent systématiquement être contrôlées et sécurisées.
Pour ce qui est de la sécurité des transactions, les outils et les techniques sont également disponibles, et le contexte réglementaire précis. Les choix à effectuer sont surtout d’ordre organisationnel.
En ce domaine, les mots-clés sont « dématérialisation, certification, authenticité », et se traduisent par la signature numérique et l’authentification renforcée.
Certains prestataires pensent (ou veulent persuader leurs clients) qu’il faut déployer des dispositifs compliqués et coûteux. Or, il existe des méthodes à la fois efficaces et bon marché.
Les infrastructures à clés publiques ou infrastructures à certificats numériques (PKI, pour Public Key Infrastructure) permettent de gérer la sécurité des accès provenant de l’extérieur, mais aussi des applications en interne.
Enfin, dans le domaine des échanges commerciaux, des évolutions sont nécessaires pour rétablir la confiance et garantir la bonne exécution de la prestation. Il faut adapter lois, règles ou contrats, aux évolutions (la reconnaissance de la signature numérique en est une).
Par ailleurs, des labels « qualité de service » ou des visas « sécurité » devraient rapidement voir le jour. Edelweb travaille actuellement en partenariat avec le bureau Véritas sur un projet de label de sécurité informatique.
Quel que soit le domaine concerné, la sécurité doit être un état d’esprit permanent. A ce titre, elle réclame des vérifications et des adaptations régulières, donc un budget particulier. La politique sécurité ne se résume pas à l’installation d’un firewall, d’un antivirus et de quelques procédures. Il serait faux, en effet, d’imaginer que la politique sécurité représente un investissement ponctuel. Elle doit être intégrée dans une stratégie globale, impliquant une vision à long terme.
Je pense que les aspects techniques ou architecturaux, de la sécurité ne constituent pas le vrai problème. J’attribuerais plutôt les difficultés rencontrées au fait que les « bonnes » pratiques ne sont pas suffisamment mises en œuvre.

VA : y a quelques mois, plusieurs « attaques » ont eu lieu, notamment contre de gros providers. Selon vous, ce type d’agression est-il un vrai ou un faux problème ?
PAP : Les attaques de type « déni de service » (ou refus de service) procèdent d’un principe simple. L’idée consiste à saturer totalement le site visé en le submergeant de demandes de connexion. On peut les comparer aux actions de grande envergure menées par les routiers pour bloquer les grands axes, ou encore des agents de La Poste ou autre pour paralyser un Service. Il est toujours difficile de se protéger contre ce type d’agression. Cependant, certaines parades dissuasives rendent moins vulnérables.
La méthode consiste à analyser le trafic de manière à détecter le plus tôt possible les dysfonctionnements et à alerter immédiatement l’administrateur ou le responsable sécurité. Plusieurs schémas d’attaque ont été préalablement recensés, permettant de générer différentes alertes. Si on ne peut totalement empêcher ces attaques, on saura limiter les dégâts et assurer la continuité de service.
Ce système particulièrement dissuasif (notamment en raison de la traçabilité des flux) doit être utilisé avec pertinence. En particulier, les informations recueillies seront protégées afin d’éviter tout usage illicite. La menace d’être « attaqué » ne doit pas mener à la paranoïa : une exploitation abusive dans l’esprit « big brother » serait dangereuse bien entendu. Toutefois, les risques de dérapage sont minimes ; une surveillance de ce type serait extrêmement onéreuse !