Jean-Marc Boursat

Le cloud computing ou l’informatique dans les nuages est un concept porteur en 2010. L’avenir de cette plate-forme est encore incertain pour certains, mais de nombreuses entreprises utilisent ou souhaitent utiliser des services Cloud ou du moins les technologies sous-jacentes. De ce fait, des RSSI, confrontés aux choix de leur entreprise, se posent (ou devraient se poser) la question : quelles sont les avantages et les inconvénients d’un point de vue sécurité du cloud omputing pour une entreprise ?

Lire la suite de l’article »

Christian Rolland

Lire la suite de l’article »

Jean-Marc Boursat

Cet article est une synthèse de la conférence organisée par le Clusif le 15 Octobre 2009.

28% des entreprises effectuent une évaluation financière des incidents de sécurité d’après le dernier rapport “Menaces informatiques et Pratiques de sécurité en France”. Contrairement à d’autres pays, les entreprises françaises ne sont pas obligées de déclarer les incidents de sécurité qui pourraient impacter leurs clients ou fournisseurs. Par conséquent, il y a très peu de communications sur le sujet et encore moins de statistiques fiables. Au USA, le rapport annuel 2008 de l’IC3 (Internet Crime Complaint Center) fait état d’une perte globale (tous incidents rapportés) de 264,6 Millions de Dollars en 2008. Le CSI (Computer Security Institute) donne quelques chiffres dans son rapport d’enquête 2008 en prévenant que seulement une petite partie des sondés ont bien voulu donner des chiffres : “the most expensive kind of incident on average was financial fraud, with an average reported cost of $463,100, followed by dealing with “bot” computers within the organization’s network, reported to cost an average of $345,600 per respondent. As a point of interest, dealing with loss of either proprietary information or loss of customer and employee confidential data averaged at approximately $241,000 and $268,000, respectively.”

Pourquoi faire une évaluation financière d’un incident de sécurité ? La sécurité informatique n’est pas une finalité mais elle a un coût. Ce coût doit être comparé avec les estimations de pertes financières effectuées lors d’une analyse de risque. Les évaluations financières des incidents (avérés) de sécurité permettent de confirmer ou corriger les estimations (démarche RoSI orienté incident). De façon plus pragmatique, un RSSI doit justifier ses investissements et l’évaluation financière d’un incident peut aider à débloquer des budgets. Enfin, si le sinistre est assuré, l’évaluation financière fait parti du processus d’indemnisation.

L’évaluation doit prendre en compte les dommages “directs” sur le matériel et les données, et les dommages “indirects” sur le fonctionnement de l’entreprise. En général, ce sont les dommages “indirects” qui sont les plus importants et les plus difficiles à évaluer. Dans le cas d’un incident de sécurité logique (intrusion, infection virale, …), l’évaluation est complexe et les participants à cette conférence ne sont pas reparti avec une formule toute faite.

Ce que je retiens des débats est que l’évaluation financière doit être pragmatique et justifiée. Elle englobe 4 parties :

• l’évaluation des coûts de reconstitution matérielle (remplacement des équipements, des infrastructures, des bâtiments, …)
  La technologie évoluant très vite selon la fameuse loi de Moore, l’évaluation doit prendre en compte la valeur de remplacement des équipements perdus, à capacité égale (CPU, Disque, …)
• l’évaluation des coûts de restauration des données et/ou programmes
  Ces coûts dépendent fortement des moyens de sauvegarde mise en oeuvre. Dans le cas d’un incident entraînant une obligation de fournir des traces, la recherche des données peut coûter très cher si le système d’information n’est pas outillé pour le faire.
• l’évaluation des coûts métiers (impact sur le chiffre d’affaire de l’entreprise)
  Ce sont les coûts les plus difficiles à évaluer. Les assureurs se focalisent sur l’évaluation de la perte de chiffre d’affaire. Ces pertes doivent être justifiables, basées sur les chiffres de l’entreprise et de son secteur d’activité. Dans le cas d’un incident de sécurité portant atteinte à l’image de la société, il est proposé de s’intéresser à l’évolution de la part de marché de l’entreprise pour estimer la part de la clientèle qui s’est reporté sur la concurrence.
• l’évaluation des coûts de traitement de l’incident (main d’oeuvre supplémentaire, location, frais juridique, …)

Selon l’incident, les 4 parties de l’évaluation ne seront pas obligatoirement concernées. Par exemple, un incident virale ne nécessite pas de remplacer le contenu d’un datacenter. Autre exemple, une intrusion ayant entrainée une divulgation de données confidentielles devra être évaluée en prenant en comptes les coûts métiers et les coûts de traitement.

La même méthode peut être utilisé lors d’une phase d’estimation financière de l’occurrence des risques lors d’une analyse de risques. Dans ce cas, l’exercice est encore plus difficile car de nombreuses variables inconnues rentreront dans les équations, et certaines valeurs vont dériver dans le temps. C’est certainement pour cette raison que les normes ou guides (ISO27005 par exemple) ne donnent pas de recettes miracles, tout en préconisant de faire ces estimations.

En conclusion, l’évaluation et plus encore, l’estimation financière d’un incident de sécurité est complexe et cette complexité entraîne même certaines sociétés a ne pas faire l’exercice. Je reste cependant convaincu que l’évaluation financière est un moyen de communication auprès de sa direction pour obtenir des moyens. Mais le plus important reste la prévention des incidents de sécurité, et comme la prévention ne peut être infaillible, il faut être en mesure de détecter l’occurrence d’un incident de sécurité. Est ce toujours le cas ?

Jean-Marc Boursat

Le Symposium sur la Sécurité des Technologies de l’Information et de la Communication (SSTIC) est un événement important pour la communauté sécurité francophone. L’édition 2009 a regroupé 440 personnes du 4 au 6 Juin dans un amphi de l’université de Rennes. Le détail des conférences est sur le site du SSTIC; l’objet de cet article n’est pas de décrire ou paraphraser les conférences, mais d’essayer de faire un lien entre les présentations parfois très techniques ou du domaine de la recherche avec les problèmes que nous rencontrons régulièrement en tant que consultants sécurité.

Lire la suite de l’article »

Philippe VIALLE

Comme régulièrement dans l’histoire informatique, il semble que la presse se soit emparée d’une alerte, parmi tant d’autres pourtant : l’affaire « virus Conficker », présentée quelque peu comme la dernière terreur du monde numérique.

Commençons par le bruit médiatique.

Google renvoie presque 20 millions de résultats pour la recherche du mot « conficker », ce chiffre parle tout seul. On notera d’ailleurs que certaines structures n’ont pas hésité à acheter le mot clef « conficker », et des sites internet tels www.downadup.org , www.webroot.fr , www.pctools.com ou encore www.mcafeestore.com apparaissent dans les liens « commerciaux » des réponses Google, c’est à dire en tête des résultats !

On remarquera aussi l’apparition de certains domaines un peu plus étranges comme www.conficker.com , resté pendant au moins 2 mois dans les 10 premières réponses Google.

Ce site, en plus d’accorder visiblement une relative importance à la publicité (Google Adwords), ne fait que relayer partiellement des informations sur Conficker, et renvoie sur une société de services assez obscure. Il peut également être intéressant de s’interroger sur l’enregistrement du nom de domaine conficker.com : il semble que l’organisme référencé soit quelque peu opaque ( http://www.domaincrawler.com/domains/view/conficker.com « Domains by proxy », une branche de GoDaddy, spécialisée dans les services Internet sous anonymat) et il en est de même avec le domaine www.digitalperfections.com : http://www.domaincrawler.com/domains/view/digitalperfections.com/

Pourquoi rester anonyme pour relayer (partiellement) une information déjà si diffusée ?

Lire la suite de l’article »