Entretiens

Inscrivez-vous

Agrandir l'image

Opinion

« Interdire l'usage est une erreur »

Olivier Dunand est directeur technique du laboratoire d'expertise en sécurité informatique Lexsi. La société offre aux entreprises des services de conseil, d'audit, de veille, de formation et de supervision.

Les outils visant à protéger les réseaux informatiques des entreprises se multiplient, mais il est impossible pour une PME de tout déployer. Quelle doit être sa priorité ?

Olivier Dunand : L'outil numéro 1 est le pare-feu. Il y a encore des petites entreprises qui n'en sont pas dotées. Pourtant, sans pare-feu, n'importe quel type de flux peut entrer sur le réseau local. Ensuite, on constate que le premier vecteur de propagation de codes malicieux est la messagerie. Il faut donc déployer des antivirus sur une passerelle et sur les PC. Ils auront pour tâche d'analyser les messages et les fichiers qui leur sont joints. Et attention à ne pas oublier les boîtes aux lettres grand public consultées par les salariés depuis le réseau de l'entreprise.

Malgré ces précautions, est-on vraiment à l'abri ?

O.D. : Non. Depuis 2005, même de très grandes entreprises équipées d'antivirus performants connaissent des épisodes d'infection virale importante. Les éditeurs ont beaucoup de mal à trouver des antidotes en temps réel et les logiciels de protection ne sont pas toujours bien paramétrés. Parfois, ces derniers vont chercher les mises à jour de signatures de virus quotidiennement voire hebdomadairement alors qu'ils devraient le faire chaque heure ! Si un code mutant arrive sans autre niveau de protection que l'antivirus, l'entreprise est donc largement touchée. Dans les PME, des failles dans le paramétrage apparaissent aussi très souvent au niveau des pare-feu. Par défaut, beaucoup de flux sont bloqués, mais pour ne pas paralyser l'activité de l'entreprise, il faut ouvrir des plages de ports et, avec le temps, des défauts de configuration apparaissent.

Comment être sûr d'avoir un système de protection correctement paramétré ?

O.D. : Il existe trois cas de figure. Soit l'entreprise achète sa solution de sécurité à un intégrateur compétent qui se charge de l'installation. Soit c'est l'un de ses collaborateurs qui choisit le produit et le paramètre, ce qui demande à celui-ci une importante expertise technique. Soit enfin la PME fait appel à une société spécialisée qui va gérer sa sécurité. C'est évidemment ce que nous préconisons chez Lexsi. Il y aurait bien une quatrième possibilité qui consisterait à installer antivirus et pare-feu, puis à faire auditer son réseau auprès d'un spécialiste, mais cette solution ne concerne que les entreprises capables ensuite d'appliquer les recommandations de l'audit. De plus, ces prestations sont souvent assez chères.

La mobilité complique encore un peu la tâche de l'administrateur puisque certains travailleurs nomades ne bénéficient pas toujours des outils de protection, par exemple lorsqu'ils se connectent à Internet depuis chez eux...

O.D. : Oui, et la prise en compte des nomades est d'autant plus importante qu'un PC infecté pourra contaminer le réseau interne lorsqu'il reviendra dans l'entreprise. Encore une fois, tout est une question de paramétrage. On peut forcer les utilisateurs à effectuer leurs mises à jour d'antivirus avant de se connecter à Internet. Se pose aussi le problème des collaborateurs qui se branchent sur le réseau avec leur PC personnel ou encore des partenaires qui viennent avec des portables dont l'entreprise ne domine pas la composante sécurité. Mais là, il n'y a qu'une solution : les bannir. Dans une PME, ça devient difficile à gérer techniquement. Il faut donc une solution organisationnelle qui passe par une charte de sécurité.

Que met-on dans une telle charte ?

O.D. : Il faut y inscrire les droits et les devoirs de l'utilisateur, c'est-à-dire les fonctionnalités qui lui sont offertes et les règles de bonnes pratiques. On pourra par exemple recommander l'utilisation de mots de passe complexes et non visibles pour le prémunir contre l'usurpation d'identité, définir les plages horaires d'utilisation d'Internet... D'une manière générale, l'information donnée aux collaborateurs est importante. Activer des filtres de contenu qui limitent la navigation Web sans l'expliquer aux utilisateurs sera par exemple vécu comme une vexation et ne sera pas compris comme une mesure de sécurité préventive. Evidemment, la politique à mener dépend de l'activité. Les chefs d'entreprise n'apporteront pas tous les mêmes réponses aux mêmes questions, mais ils ne doivent pas oublier de se les poser.

Faut-il interdire les nouveaux services, comme la messagerie instantanée, qui séduisent de plus en plus de salariés en entreprise mais qui peuvent compromettre l'intégrité du réseau ?

O.D. : Interdire l'usage est une erreur. A chaque fois qu'un nouvel usage apparaît, comme le chat (NDLR : dialogue en direct) ou la clé USB, il ne faut pas oublier qu'il peut être source de productivité pour le collaborateur. Il ne faut donc pas l'interdire, mais identifier les risques. Dans le cas de la messagerie instantanée, on pourra par exemple opter pour un antivirus qui intercepte les fichiers échangés pour les analyser.

Bon nombre de contenus malveillants exploitent des failles des équipements informatiques. Comment gérer les correctifs que proposent les éditeurs ?

O.D. : Pour le système d'exploitation Windows et les applications de Microsoft, l'outil WSUS (Windows Server Update Services) permet d'automatiser la mise en place des correctifs avec une très bonne réactivité, mais d'éventuels problèmes d'incompatibilité avec d'autres applications peuvent apparaître. Dans les grandes entreprises, on peut mener des tests pour qualifier les correctifs. En PME, on est souvent obligé de faire sans. Du moins pour les PC car pour la partie serveurs, il faut absolument chercher des éditeurs qui garantissent la compatibilité des applications avec les mises à jour du système d'exploitation. La bonne approche, c'est d'intégrer cette responsabilité pour l'éditeur dans le contrat de maintenance pour s'affranchir des tests.

Dans le choix des équipements de sécurité, la plupart des routeurs affichent aujourd'hui des fonctions de pare-feu avancées. Sont-ils satisfaisants ?

O.D. : C'est un premier niveau de protection efficace. Les fonctions proposées par ces routeurs vont notamment vérifier que les adresses IP source et destination sont bien autorisées et que les protocoles réseau sont bien respectés, mais les pare-feu des éditeurs leaders sont évidemment beaucoup plus fins dans l'analyse des entêtes des paquets IP voire de la conformité des applications.

Que penser des produits de sécurité « tout en un » ?

O.D. : Nous avons conçu un produit de sécurité « tout en un » pour nos offres de sécurité télé-administrée. Nous jugeons donc qu'ils ont un sens en PME. Malgré tout, par souci de simplification, l'interface d'administration de la plupart des produits du marché perd parfois beaucoup en finesse. D'autre part, certaines fonctions ne pourront pas être utilisées par la petite entreprise. Ainsi, une sonde de détection d'intrusion (IDS) collecte des alertes de sécurité, mais elle ne sert à rien si personne au sein de la PME ne traite l'information ! Le système de prévention d'intrusions (IPS) a, quant à lui, peu d'intérêt à l'entrée du réseau puisque le pare-feu bloque déjà les flux illicites. Et sur le réseau local, il est plutôt destiné aux sites d'au moins 100 ou 200 machines.


Sur le même sujet :

Comprendre : Cinq briques pour bien se protéger.

Témoignage : On ne badine pas avec les mises à jour.

Stratégie : Le nomade de tous les dangers.