La mobilité et le nomadisme sont souvent perçus comme constituant des failles de sécurité. Hervé Schauer, dirigeant fondateur du cabinet HSC, expert en sécurité des systèmes d´information nous livre sa vision du problème.

Mag Securs : Incluez vous le WiFi dans le thème sécurité et mobilité ?
Hervé Schauer : Je pense que la mobilité inclue le nomadisme, et qu´elle soit être adressée par l´entreprise pour tous les périphériques : PC portable, assistant personnel, téléphone, mémoire USB, et pour toutes les technologies de mobilité, qui sont actuellement principalement GPRS et WiFi. Donc le WiFi est un des sujets important pour la mobilité.

MS : Quelle est la différence entre mobilité et nomadisme ?
HS : Le nomadisme décrit une connexion au réseau par à-coups, l´utilisateur change d´endroit, puis se connecte. La mobilité permet une connexion au réseau quasi permanente. Par exemple un ordinateur sur un chariot élévateur dans un entrepôt connecté en WiFi, ou un PC utilisé dans le
train connecté au réseau par un téléphone GPRS, sont des exemples de mobiles. A l´inverse, celui qui est tantôt connecté au bureau, de chez lui, où à l´hôtel, est un nomade.

MS : Quand un employé connecte son laptop au réseau de l´entreprise quand il est en déplacement, quels sont les risques ?
HS : Le principal risque est le vol du PC. Comme ce qui a le plus de valeur sont les données sur le disque, une solution pour se protéger est un contrôle d´accès au système d´exploitation du PC et un chiffrement des données sur le disque. Pour ce type de risque, un chiffrement du système de gestion de fichier ou d´une partition, tel que c´est disponible dans les systèmes Windows ou Linux actuels est une bonne solution.

MS : Et quels sont les risques lors de la connexion au réseau ?
HS : Lorsque le PC se connecte au réseau la connexion pourra être victime de déni de service dans le cas d´utilisation de réseaux WiFi. Sinon il faut veiller à ce que l´équipement qui se connecte soit intègre, qu´il n´ai pas été victime d´une infection qui va se propager dans le réseau de l´entreprise comme c´est arrivé avec Blaster : donc qu´il soit à jour, bien sécurisé avec un firewall personne qui interdit un accès autre qu´à l´entreprise. En général les gens utilisent toujours un tunnel chiffré qui élimine les risques d´écoutes et d´usurpation d´identité sur le réseau.

MS : Un PC nomade sert aussi à se connecter sur Internet, comment faire ?
HS : Un PC nomade qui se connecte tantôt à Internet directement, et tantôt au réseau privé de l´entreprise, demeurera toujours un risque car durant sa connexion Internet, rien ne dit que le PC est bien à jour et bien protégé par son firewall et son anti-virus, et qu´il n´a pas été victime d´une intrusion. Il est préférable que le nomade ne se connecte qu´à l´entreprise qui en est propriétaire et et ressorte sur Internet via les systèmes de sécurité de celle-ci.

MS : Il faut donc toujours un firewall et un anti-virus ?
HS : Sur un PC nomade, le firewall personnel et l´anti-virus sont indispensables. Ils doivent être gérés par son organisme de manière centralisée, avec des règles et des mises à jour téléchargés depuis son réseau. Le firewall personnel est même utile sur un PC de manière générale lorsque les communications par la liaison USB ou les liaisons
sans fil BlueTooth et WiFi doivent être contrôlées.

MS : Le WiFi a eu mauvaise presse en sécurité. Quelle est la situation actuelle ?
HS : La première génération des normes IEEE 802.11b n´avaient fait l´objet d´aucune relecture de la part des experts en sécurité. En conséquence elles avaient des lacunes dans la précision et des possibilités d´interprétation, ce qui a donné un chiffrement WEP sensibles à des attaques. Sur le fond le chiffrement WEP était de toutes les manière très difficile à utiliser car il n´y a pas de système de gestion des clés de chiffrement. Les systèmes actuels utilisent en cadre 802.1X et la méthode d´authentification EAP-TLS, qui permet identification des équipements par un certificat et une génération transparente et dynamique des clés.

MS Quels sont les types de clients que vous avez rencontrés qui font de la sécurité WiFi ou qui déploient ce genre de techniques ?
HS : Nos premiers clients ont étés des industriels puis les opérateurs, et notamment les opérateurs de Hot Spots. Les clients qui déploient 802.1X, soit avec Radius, soit avec Kerberos, sont plutôt des entreprises privées, comme des industriels dans tous les domaines de la pharmacie à la logistique, des banques et des assurances. Ce sont souvent des entreprises avec des usines ou des entrepôts, où alors une population assez nomade dans les bureaux, et là ajouter un réseau sans fil à l´infrastructure filaire est un gain de productivité.

MS : Peut-on remplacer l´infrastructure filaire par une infrastructure WiFi ?
HS : Dans une entreprise, l´infrastructure sans fil ne peut que s´ajouter à l´infrastructure filaire. Elle est sécurisable, elle apporte de la productivité, mais elle reste soumises à des contraintes et des risques de dénis de service, il faut donc garder son infrastructure filaire classique.

MS : Les opérateurs de la mobilité ne publient pas sur le thème de la sécurité, savez vous pourquoi ?
HS : Les opérateurs de la mobilité publient peu de manière générale. L´usage de leur réseaux ne répond peut-être pas toujours à leurs attentes, aussi bien en matière d´usage que de modèles économique. Je pense qu´il faut patienter et voir une orientation des Hot Spots comme une continuité du
GPRS, avec une authentification du client par la carte SIM dans les deux cas et un modèle économique identique sur les deux médias. Il existe également dans certains cas des possibilité d´usurpation des sessions sur les Hot Spots
avec les technique d´authentification actuelle. Quand les opérateurs maîtriseront mieux les aspects sécurité et auront une authentification par carte SIM qui aura été fiabilisée à la fois sur le WiFi et le GPRS, ils seront plus enclin à communiquer.

MS : Qu´est-ce qui est plus sécurisé : se connecter à son entreprise par le GPRS ou par un Hot Spot WiFi ?
HS : Actuellement je pense qu´il y a moins d´attaques accessibles avec le GPRS. Les attaques sur le WiFi sont plus répandue. Mais la sécurité est réalisable dans les deux cas et elle dépends de l´usage d´un VPN chiffré sur l´accès Internet, qu´il soit en GPRS ou en WiFi.

MS : Entre le GPRS et l´accès Internet par ligne téléphonique classique y a-t-il une différence en sécurité ?
HS : A mon avis il n´y a pas vraiment de différence. Dans les deux cas il est possible d´acheter auprès de son opérateur un VPN privé vers son réseau d´entreprise, sans passer par une vraie connexion Internet. Cela permet de minimiser les risques.

MS : Que conseillez vous aux RSSI comme politique de sécurité sur les mobiles et nomades ?
HS : Le RSSI doit intégrer le fait qu´il lui faut gérer des moyens de connexion hétérogènes et des systèmes d´exploitations hétérogènes. Il doit intégrer dans son espace de responsabilité les données que ses utilisateurs mettent sur les équipements qu´ils ont achetés eux-même comme les assistants personnels. Le RSSI doit rester prudent et pragmatique :
- le firewall et l´anti-virus gérés par l´entreprise sont rendus nécessaires et indispensables, mais il posent des problèmes d´exploitation au quotidien.
- Lorsque l´utilisateur est chez lui, qu´il a d´autres PC, il voudra copier un fichier de son PC personnel au portable professionnel. La politique de sécurité du firewall personnel va lui interdire. Il va alors chercher à désactiver la sécurité ou va demander une politique qui lui permet de le
faire auprès de l´administrateur de sécurité. Celà coute cher, il faut donc rechercher un juste milieu, avec une responsabilité déportée sur l´utilisateur, et une tracabilité des actions pour revenir et enquêter en cas d´incident. Le RSSI doit développer des procédure et une sensibilisation
qui permettent de gérer ce juste milieu.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143226
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI