Sécurité des réseaux et des SI - Orange Business Services

La semaine dernière les heureux possesseurs de comptes mail Gmail ont vu automatiquement apparaître le mot Buzz dans leur barre de menu. 

Buzz, ou Google Buzz est le nouveau réseau social mêlant les particularités de Twitter et Facebook.

Ce réseau va encore plus loin car il utilise le compte mail pour communiquer avec le monde entier et de façon publique. Le compte mail qui était le dernier endroit de vie privée des utilisateurs devient désormais public.

Imaginez les petits soucis des entreprises utilisant des comptes Gmail ou ceux utilisant leur compte mail pour mélanger mails pro et perso.

Même si Google a déjà revu quelques paramètres de confidentialité, vos activités et contacts ont désormais de grandes chances de devenir publiques si vous n'utilisez pas correctement ce nouvel outil. 

Google mentionne même qu'il s'autorise, lors de l'utilisation de Google Buzz sur votre téléphone portable, à relever votre position géographique, à enregistrer votre "saisie vocale" autrement dit votre empreinte vocale.

Pour illustrer les excellents propos des articles du Figaro et de ZdNet, je vous invite à visionner cette petite vidéo de 5 minutes faisant un rapide tour du propriétaire (vidéo capturée le 15/02/2010) et vous apportant déjà quelques recommandations.

Alors que les scientifiques annoncent la fusion nucléaire contrôlée pour 2050, les fusions des vies, informations, logiciels, matériels informatiques et technologiques privés et professionnels ont déjà débuté. Malheureusement, la fusion des sphères d'informations privées et professionnelles se fait de manière incontrôlée grâce à l'explosion des outils du Web 2.0 et notamment des réseaux sociaux. Nous avons déjà évoqué les dangers liés à une utilisation naïve et non maîtrisée de ces outils (cf.post 1 et post 2).

Cependant, ces outils et cette évolution de l'éthnographie numérique représentent l'avenir et sont désormais incontournables comme le rappelle fort justement l'article du Monde en date du 22 janvier 2010 Assiste-t-on à une "démocratisation" de la vie privée ? Les réseaux sociaux offrent de nombreuses opportunités pour le développement des entreprises (e-reputation, marketing, RH, recueil et partage d'informations métier etc.). Nous évoquerons d'ailleurs dans un prochain post ces opportunités d'utilisation des réseaux sociaux qui peuvent s'avérer être une bonne stratégie de sécurité.

Face à l'ampleur et à la rapidité du phénomène, le principe de précaution pris par la majorité des directions de sécurité a été d'interdire leur utilisation. Cette interdiction n'est pas applicable et va à l'encontre du développement individuel et des entreprises.

Les responsables de la sécurité qui sont déjà conscients des risques doivent désormais prendre conscience des opportunités liées aux réseaux sociaux et accompagner leurs dirigeants et personnel à les utiliser de façon maîtrisée. Il ne faut pas renier les bases de la sécurité, mais adapter le discours afin de ne plus être une entité vue comme un centre de coût et un frein à l'innovation mais plutôt comme un guide accompagnant tout à chacun vers une utilisation des nouvelles technologies de façon opportune, maîtrisée et consciente. Cet accompagnement doit donc se faire au quotidien en prônant le « je vous ai compris : utiliser les réseaux sociaux et pour cela je vais vous servir de guide ». Une sécurité porteuse d'innovation s'intégrera mieux en amont des projets et de façon plus naturelle dans la stratégie d'entreprise.

Il va sans dire, qu'une charte fixant le cadre et les limites d'utilisation est indispensable. Mais celle-ci doit être complétée par un guide de bonnes pratiques didactique et proche de la majorité des utilisateurs.

Je vous propose donc une petite vidéo permettant d'accompagner les utilisateurs et donc les employés de vos entreprises pour leur apprendre à mieux paramétrer leur compte Facebook. Cette vidéo ne présente pas de manière exhaustive l'ensemble des paramètres mais permet aux utilisateurs d'y voir un peu plus clair dans le paramétrage de confidentialité Facebook.

Impossible de leur interdire l'utilisation à partir de leur poste privé alors autant leur apprendre à mieux l'utiliser. Les vies privées et professionnelles étant en pleine fusion, protéger la vie privée de ses employés permet également de protéger les informations à caractère professionnel. La formation du personnel est devenue une priorité. 

Dans le prochain épisode, comment Facebook pourrait être utilisé pour diffuser ces bonnes pratiques aux employés et surtout comment créer le dialogue sur les médias qu'ils utilisent en masse.

PS : Depuis le vendredi 5 février, Facebook migre petit à petit les comptes vers une page d'accueil différente. La fin de la vidéo présente cette nouvelle page et les principales nouveautés en termes de paramètre de confidentialité.

Les données sont devenues la cible de toutes les convoitises. L'une des grandes tendances de ces dernières années porte sur le "glissement" de la sécurité depuis les couches bases (réseau/OS) vers les couches applicatives (développements en PHP, Java, ...).

Sécuriser ses applications web contre les attaques est un réel challenge pour de très nombreuses entreprises. On pourrait dire que ce problème commence uniquement à montrer le bout de son nez et encore. Une écrasante majorité des directions métiers en charge du développement des applications ne sont même pas conscientes de la signification de base d'expression comme "SQL Injection", "Cross-Site Scripting" ou encore "Cross-Site Requests Forgeries". Les plus pessimistes diront que ça sent le sapin : Quelque part ils ont raison car tôt ou tard ca pétera au nez de quelqu'un : les plus habiles sauront s'écarter au bon moment. :-)

Au même titre que des firewalls permettent de contrôler les flux réseaux et de bloquer les flux non-autorisés ; les serveurs de base de données peuvent être protégés contre des requêtes malicieuses visant à voler leurs précieuses données. Bienvenue dans le monde des "database firewall" ou "firewall applicatifs pour bases de données".

Pour des moteurs de base de données commerciaux comme Microsoft SQL Server ou Oracle, il existe sur le marché des logiciels comme ceux proposés par Imperva et Guardium (pour n'en citer que quelques-uns).

Si au contraire votre choix s'est porté sur des moteurs OpenSource comme MySQL ou PostgreSQL, hormis des solutions "intrusives" nécessitant une mise à jour du code applicatif, c'était un peu la traversée du désert sans gourde ni chameau... Mais depuis environ un an, les choses ont changé : La solution GreenSQL compatible avec MySQL (avec PostgreSQL dans la roadmap) semble particulièrement intéressante comme solution de "database firewall"

Une fois le balayage des problématiques effectué - identifiant les populations, les situations et les usages - en s'appuyant sur les macro-critères vus dans l'article précédent, il convient de comprendre l'état du marché et ses principaux drivers ainsi que les solutions technologiques disponibles, leurs périmètres d'application, leurs maturités et leurs pérennités.

Facebook souhaite offrir de nouvelles fonctionnalités pour protéger la vie privée de ses membres.

Ces derniers pourront, selon Facebook, dévoiler tel ou tel aspect de leur vie privée selon la catégorie à laquelle appartiennent les visiteurs qui consultent la page (amis d'amis, famille, collègues etc.).

Peut-être est-ce la conséquence de nos vidéos !!!

voir l'épisode 1  voir l'épisode 2

Ou plus exactement un pré-requis pour gérer la nouvelle fonctionnalité de micro-blogging afin de concurrencer Twitter !

Cependant, Facebook est sûrement le site offrant le plus d'options permettant de maîtriser les informations que l'on veut publier. Malheureusement, toutes ces options ne sont pas activées par défaut et font pâle figure face à la course aux amis qui alimente même les débats politiques ou certains se vantent d'avoir plus d'amis virtuels que ses concurrents !

Ces options sont un peu comme une ceinture de sécurité qui ne sert à rien si on ne l'utilise pas et ne servent à rien, encore une fois, si l'on peut avoir accès facilement à votre compte.

La semaine dernière j'ai encore eu un témoignage d'une utilisatrice qui s'est fait pirater son compte Facebook où le pirate la faisait passer pour une fille plutôt facile... Ce piratage aurait été plus difficile si son adresse mail ne servait pas à la fois de login et de mot de passe... CQFD.

Il n'est plus besoin de convaincre que le cloud computing est un sujet d'actualité (annonces fournisseurs, conférence RSA 2009...). Je lisais hier encore l'annonce d'un groupe industriel du domaine de la conception/fabrication de composants pour l'industrie automobile en la matière : "les 30 000 salariés connectés à Internet du Groupe ont désormais accès à une nouvelle plateforme de travail collaboratif et de communication".
L'adoption du modèle cloud computing par les entreprises renforce ainsi la posture sécurité de l'utilisateur final.

   Nous avons déjà dit dans l'article Chiffrement total des disques : de nouveaux standards qu'il fallait bien prendre le chiffrement total de disque pour ce qu'il est réellement, à savoir une protection des données contre la perte/le vol du support de stockage. La transparence semble au rendez-vous que ce soit en terme de performance, de charge d'installation/administration, d'interaction avec l'utilisateur (un mot de passe à renseigner au démarrage). Mais aucune solution n'est parfaite comme le souligne le commentaire particulièrement détaillé de Florent, qui met bien en lumière les problèmes liés au chiffrement matériel du disque dur.

   Vous connaissez tous le syndrome du "il a dit a un ami qui a dit à un ami...", syndrome qui peut avoir des conséquences embarrassantes dans la sphère personnelle. A cause des réseaux sociaux, ces conséquences peuvent être encore plus sérieuses dans la sphère professionnelle.

Après l'épisode 1, qui démontrait comment il est facile de rentrer dans votre vie privée grâce aux informations que vous mettez sur les sites de réseaux sociaux, cet épisode montre comment un attaquant peut, à partir de là, facilement rebondir sur le système d'information de votre société.

Trois scénarios d'attaque sont exposés. Ces scénarios sont simples afin de prouver que nous en sommes tous potentiellement la cible.

Malheureusement, une infinité d'autres scénarios peuvent être trouvés, cela dépend seulement des compétences de l'attaquant et surtout de son imagination.



Alors, avant tout, maîtrisez votre information ! Cela ne veut pas dire de ne pas communiquer, au contraire, pourquoi ne pas sur-communiquer pour influencer le marché ou noyer dans la masse les attaquants, concurrents ou autres ? Temps que cela répond à une stratégie aux risques bien évalués, cela ne posera sans doute aucun problème.

Mais pour évaluer l'ensemble de ces risques n'oubliez pas de prendre en compte les informations disponibles vous concernant afin de mieux évaluer les scénarios d'attaques et prendre vos précautions en amont.

La sécurité de l'information, n'est pas seulement liée à la sécurité informatique, mais doit être globale en incluant les hommes qui la traite, la communique, la crée etc. Cela veut dire qu'un audit technique seul, ne peut pas offrir une vision globale de la sécurité, tout comme un audit organisationnel. Cela est un tout qui doit également inclure cet aspect humain. Désormais, les pirates ne dissocient pas leurs compétences, alors ne dissocions pas les nôtres pour mieux nous défendre.

Après ces petites vidéos de sensibilisation, nous aborderons la manière dont nous pouvons traiter ces risques et tirer au mieux partie de cet outil en sachant :
- comment effacer les informations indésirables
- ou, en fonction de votre stratégie, comment se servir de ces outils pour ne plus être sur la défensive mais en avoir la maîtrise et le lead.
 

Souvenez-vous de notre article du 24 novembre 2008 (http://blogs.orange-business.com/securite/2008/11/vive-les-reseaux-sociaux.html)... Nous abordions les dangers liés aux multiples informations privées et professionnelles mises en ligne particulièrement par le biais des réseaux sociaux.

Le problème c'est que l'on a beau dire de ne pas mettre les doigts dans la prise car ça va faire mal, ou encore exposer de belles théories, mais temps que l'on n'a pas reçu notre premier choc électrique ou vu la démonstration des théories, nous restons sceptiques.

Nous vous proposons une démonstration vidéo en deux épisodes de deux parties chacun qui va vous mettre les doigts dans la prise. Rassurez-vous le courant est de faible intensité, le choc sera bien réel mais pas létal !

Voyons le premier épisode, avec en première partie la preuve du danger et en seconde partie, nos recommandations pour utiliser cette merveilleuse invention en toute sécurité (n'oubliez pas de mettre le son !).

Comme nous l'indiquons, il ne s'agit pas de critiquer cette belle invention que sont les réseaux sociaux mais de sensibiliser sur le fait que nos comportements sur le Web peuvent avoir des répercussions bien réelles. Il ne s'agit donc pas d'interdire leur usage mais d'éduquer les utilisateurs pour que les réseaux sociaux ne deviennent plus un danger mais un véritable allié.

Le second épisode démontrera comment il est facile de rebondir sur les informations secrètes de ce laboratoire et apportera des recommandations aux dirigeants d'entreprises pour mieux protéger leurs informations secrètes et leur personnel et exploiter au mieux et en toute sécurité
les fonctionnalités du Web 2.0.
En attendant, SURFEZ COUVERT !

voir l'épisode 2