Technical Development Manager le grand dossier Sécurité Jeu, set et patch Après huit ans de tests d’intrusion et la mise en place de nombreuses infrastructures sécurité, Telindus constate que les entreprises luxembourgeoises sont généralement bien protégées contre les agressions externes. Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Selon Telindus, citant Gartner, 80 % des entreprises subiront des attaques au niveau applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par l’intégrateur vont dans le même sens : les risques sont moindres de voir les menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité de ses clients, Telindus place les priorités à deux niveaux : les individus et les applications. «Chaque employé constitue une brique dans le bouclier contre les hackers», explique Daniel Soriano, Sales Department Manager, Consulting & Engineering Services chez Telindus. «Les entreprises veulent utiliser des solutions pour diminuer le risque posé par le facteur humain, explique Jean-Pierre Henderyckx, Department Manager, Network & Security Solutions, Consulting & Sales chez Telindus. Il faut agir en amont du réseau pour protéger correctement les outils et scanner le matériel avant de l’intégrer au système interne. Nous devons, progressivement, mettre ensemble les Unified Communications et la sécurité.» TESTS ET DéTECTIONS BOOSTéS «Au niveau des applications, parfois, la fonctionnalité de l’application prime sur les contrôles sécurité implémentés, explique Daniel Soriano. De nouvelles techniques permettent aujourd’hui d’analyser entièrement, d’un point de vue sécurité, le code source de ces applications, afin de détecter les menaces présentes.» Il est tout aussi probable de détecter des erreurs de programmation (bugs permettant un buffer overflow,…) que des menaces plus ou moins volontaires (chevaux de Troie, backdoors,…). «La revue de code sécurisé présente un bon complément au test d’intrusion, explique Daniel Soriano. Elle peut être lancée alors que le développement n’est pas encore finalisé et mettre en évidence des éléments imperceptibles de l’extérieur.» La CSSF préconise que les sites web transactionnels soient testés après chaque mise à jour majeure. «Par rapport à la norme ISO/IEC 27001:2005, le Luxembourg est un peu en retard par rapport à d’autres pays, dit Daniel Soriano. À l’heure actuelle, une seule entreprise est certifiée ISO 27001… alors que plus de 200 entreprises ont décroché l’ISO 9000, qui date, il est vrai, de 1987.» PATCHER «à LA VOLéE» Enfin, la multiplicité et la diversité des applications présentes dans les environnements physiques et virtuels rendent difficile, voir impossible, l’application de la totalité des patchs sécurité proposés par les éditeurs. «Il existe des solutions innovantes IPP (Inline Patch Proxy) permettant de patcher les flux ‘à la volée’ et donc de pouvoir consolider les fenêtres de maintenance sur des cycles plus espacés», indique Jean-Pierre Henderyckx. 38 AVRIL 08
Daniel Soriano, Sales Department Manager Consulting & Engineering Services chez Telindus AVRIL 08 39