Escolar Documentos
Profissional Documentos
Cultura Documentos
quand la DSI
perd le contrôle...
est offert
in e vou s
Ce magaz S EC UR ITY
par N XO
POLITIQUE NATIONALE
Anne Souvira, Chargée de mission aux
questions relatives à la cybercriminalité au
sein du cabinet du Préfet de Police de Paris
N°45 - Prix : 24 € TTC - Trimestriel : octobre, novembre, décembre 2018
ÉDITORIAL
DE MARC JACOB
REVUE TRIMESTRIELLE
Shadow IT :
N°45 – octobre, novembre, décembre 2018
www.globalsecuritymag.fr et
www.globalsecuritymag.com
ISSN : 1959 - 7061
Dépôt légal : à parution
vers un nouveau
Editée par SIMP
RCS Nanterre 339 849 648
17, avenue Marcelin Berthelot
92320 Châtillon
Tél. : +33 1 40 92 05 55
DE LA THÉORIE À LA PRATIQUE
DATA CENTER
©Gorodenkoff
Espace Saint-Martin - Paris
Le 25 septembre 2019 Tarif d’inscription au colloque :
Journée complète inclus les pauses
café, le repas du midi et le cocktail de
clôture : 70€ HT (TVA 20%)
L’É V O L U T
T A C E N TER Attention, le nombre de places est limité.
Le planning de la journée sera publié
COLLOQUE
De la théorie à la pratique
en partenariat avec : FRANCE DATACENTER – EUDCA – AN2V – Forum ATENA - CLUSIF
GSMAG-45-OK_Mise en page 1 13/12/18 16:23 Page3
EDITORIAL
BY MARC JACOB
Shadow IT:
launching an "IT-Titanic"?
In enterprises an IT organisation implements the deployment of nonetheless very real. It seems to me that the Gorgon is
applications, their security and more recently with ‘CILs’ (Chief embarked on a lost ship in a "fog”, with no visibility and in a
Privacy Officers) and now DPOs, the use of data. This allocation sea of icebergs, navigating with two captains, the accredited CIO
of roles has been standard practice, but has been increasingly and the unappointed amorphous pilot characterised by user
tested by users, first with BYOD and the emergence of Generation practices.
Y, who prefer to use their own mobile equipment, and now with
the widespread adoption of the Cloud. IT systems are looking What can the three allies in this galley, the CIO, CISO and DPO,
more and more like a Gorgon, with each snake-head as an do to face this challenge? Perhaps pray that there will not be
application in the Cloud, confidentially and illegally used (in any unavoidable security incidents? Sanction any security policy
relation to security policy) with corporate services lagging behind transgressors? Ban access to Cloud applications and services?
usages. Where there used to be top-down IT implementation we In any case would these provisions really be applicable and might
now seem to have a free-for-all where everyone does what they they even be counterproductive? Perhaps it would be best to
like, blithely oblivious to the risks they pose to their organisation! manage the phenomenon, while keeping users up to date on the
dangers of such practices.
A name has been given to this new, anarchic IT "organisation": Whatever, to avoid IT turning into a new "IT-Titanic", issues must
"Shadow IT", that is to say, a kind of spectral IT, which is be addressed as quickly as possible.
3
GSMAG-45-OK_Mise en page 1 13/12/18 16:23 Page4
GOUVERNANCE et
ADMINISTRATION
des IDENTITÉS
ION
SOLUT LLE Cycle de vie des Identités
UVE
DE NO TION Gestion des règles et des rôles
A
GÉNÉR Role Modeling / Role Mining
N PR EMISE Workflow d’administration (demande et validation)
O
RE
& AZU Recertification des accès
Contrôles de sécurité automatisés
Audit, traçabilité et reporting
Provisioning automatique et ouverture de tickets
Self-service de mot de passe
www.usercube.com | contact@usercube.com | 09 72 31 03 15
GSMAG-45-OK_Mise en page 1 13/12/18 16:23 Page5
SOMMAIRE
THÉMA
09 Agenda
10 POLITIQUE NATIONALE
10 POLITIQUE NATIONALE
18 THÉMA - SHADOW IT
• Shadow IT : quand la DSI perd le contrôle…
Interview d’Alain Bouillé, Président du CESIN
18
• Shadow IT : que faire quand l’anarchie s’invite en entreprise ?
Par Marc Jacob et Emmanuelle Lamandé
THÉMA
28 MALWARES BUSTERS
• 2018 : les cryptomineurs détrônent les ransomwares
Par Marc Jacob et Emmanuelle Lamandé
• 2019 : notre société elle-même devient vulnérable
Par Marc Jacob et Emmanuelle Lamandé
42 CHRONIQUE TECHNIQUE
• Compromission du protocole BLE : une porte d’entrée au
piratage d’objets connectés
Par Julia Juvigny-Nalpas, Responsable Études & Veilles
pour le CERT digital.security
28 MALWARES BUSTERS
44 NORME
• Cybersécurité et véhicule connecté : émergence de la norme
ISO-SAE 21434
Par Briag Monnier, Responsable Pôle CyberSécurité Automotive
chez SCASSI
54 SENSIBILISATION
42 CHRONIQUE TECHNIQUE
56 DATA CENTER
• Énergie solaire : un potentiel immense pour les DC en Afrique
Interview d’Antoine Boniface, CEO d’Etix Everywhere
• OpenDCIM : les bonnes raisons pour l’adopter !
Par Ludovic Gay, Directeur Général Adjoint de Stephya
sur la séc
ww w.g lob alsecu ritymag.fr
lob alsecu rity mag.com
www.g
5
GSMAG-45-OK_Mise en page 1 13/12/18 16:23 Page6
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page7
CONTENTS
THEMA
01 Édito : Shadow IT : vers un nouveau « Titanic » de l’IT ?
03 Editorial : Shadow IT: launching an "IT-Titanic"?
09 Diary
10 NATIONAL POLICY
10 NATIONAL POLICY
• In the fight against cybercrime and terrorism prompt incident
16 LEGAL BRIEFING
• Shadow IT is no friend of GDPR
By Olivier Iteanu, Avocat, Lecturer at the University
of Paris I Sorbonne
18 THEMA - SHADOW IT
18
• Shadow IT: when the CIO loses control ...
Interview with Alain Bouillé, President of CESIN
• Shadow IT: how to manage the new disorder of enterprise THEMA
systems?
By Marc Jacob and Emmanuelle Lamandé
28 MALWARES BUSTERS
• 2018: crypto-miners topple ransomware
By Marc Jacob and Emmanuelle Lamandé
• 2019: society itself is becoming vulnerable
By Marc Jacob and Emmanuelle Lamandé
42 TECHNICAL REVIEW
• BLE protocol vulnerabilities: a gateway to hacking connected
28 MALWARES BUSTERS
objects
By Julia Juvigny-Nalpas, Research & Monitoring Manager for
CERT digital.security
44 STANDARD
• Cybersecurity and Connected Vehicles: launching ISO-SAE 21434
By Briag Monnier, Head of Automotive Cybersecurity at SCASSI
56 DATA CENTER
• Solar energy: huge potential for DCs in Africa
Interview with Antoine Boniface, CEO of Etix Everywhere
• Open DCIM: some good reasons to adopt it!
By Ludovic Gay, Deputy Director General of Stephya
11
ÈME
JOURNÉES
FRANCOPHONES
DE LA SÉCURITÉ DE L’INFORMATION
ESPACE SAINT-MARTIN - 199 BIS, RUE SAINT-MARTIN - 75003 PARIS
APPEL À COMMUNICATION
« Convaincre sans contraindre »*, telle est la devise de cet événement dédié à la sécurité de
l’information. L’objectif des GS Days, Journées francophones de la sécurité, est d’établir le
dialogue entre le monde de la technique (administrateurs, experts sécurité), les RSSI, DSI et les
décideurs. Ce colloque, exclusivement en français, proposera, dans un même espace, plusieurs
cycles de conférences et de démonstrations d’exploitation de failles informatiques, sous un
angle technique, organisationnel et juridique.
La 11ème édition des GS Days, qui se tiendra Le format des conférences sera de 50 minutes,
le 2 AVRIL 2019 à l’Espace Saint-Martin - Paris dont 10 minutes de questions. Celui des démons-
3ème, s’articulera principalement autour du trations sera de 15 minutes.
thème : « Comment faire de l’humain le
maillon fort de la sécurité ? »
DATES IMPORTANTES :
L’humain est un élément essentiel pour la sécurité, • Date limite de soumission : 20 JANVIER 2019
économique comme numérique. Qu’il soit utilisa- • Uniquement par mail :
teur, manageur, développeur, administrateur, marc.jacob@globalsecuritymag.com
expert…, l’humain se trouve au cœur des dispositifs • Notification aux auteurs : 5 février 2019
de sécurité mis en place en entreprises, et des • Présentation définitive : 15 mars 2019
bonnes pratiques à appliquer au quotidien. Toute- • Conférence : 2 avril 2019
fois, l’humain, de par ses comportements et ses
actions, peut aussi s’avérer un vecteur de menaces
pour son entreprise. Lors de cette édition des GS Retrouvez tous les détails de l’appel à
Days, l’accent sera à la fois mis sur les risques communication sur le site des GS Days :
inhérents au facteur humain, mais aussi l’importance www.gsdays.fr
de la sensibilisation et de l’acculturation à la
cybersécurité et à la sécurité économique. L’objectif
sera également de mieux comprendre le compor-
tement humain et de déterminer comment en faire
un levier pour améliorer le niveau de sécurité
globale en entreprise, comme ailleurs. Mardi
2 Avril
2019
Paris
* citation de Jean-Marc Laloy, ARCSI
AGENDA
UR IT
LOBALSEC
SUR WWW.G
NotePad
POLITIQUE NATIONALE
GS Mag : En tant que Chargée de mission aux questions EN FRANCE, LES PRÉJUDICES LIÉS
relatives à la cybercriminalité au sein du cabinet du Préfet
de Police de Paris, quel est votre rôle ? À LA CYBERCRIMINALITÉ S’ÉLÈVENT
À 1,6 MILLIARD D’EUROS
Anne Souvira : Promouvoir l’organisation rationnelle de la lutte
contre la cybercriminalité et soutenir parallèlement l’organisation de GS Mag : Quel état faites-vous aujourd’hui de la menace, et
la cybersécurité par des actions de prévention conjointes, avec les plus particulièrement de la cybercriminalité, en France et
spécialistes de la sécurité des systèmes d’information (SSI) par au-delà ?
exemple.
Assurer la représentation de la préfecture de Police dans les instances, Anne Souvira : Le rapport sur la menace liée au numérique sorti
ministérielles et interministérielles, sur les sujets stratégiques pour le cette année fait état justement des remontées des services
MI, en assurant l’interface avec nos directions pour donner de la opérationnels. Les attaques dans un but lucratif, notamment par virus
cohérence aux actions, à l’information, dans un esprit de chiffreurs de données pour les organisations de tout type, se sont
rationalisation, notamment en raison des coûts du numérique tant accrues.
dans les investigations que dans le renseignement ou encore le La fraude d’escroquerie par les « autocommutateurs » téléphoniques
support technique ou SSI. a un peu décru grâce aux opérations notamment de la BEFTI de la
Etre le point d’entrée externe également sur les questions liées à la direction de la Police Judiciaire, qui a travaillé par des actions
cybercriminalité et qui sont nombreuses, tout en jouant un rôle de préventives depuis plusieurs années avec les partenaires installateurs,
relais. Cela offre une vision globale du sujet numérique dans une intégrateurs, fédérations et entreprises. Mais il faut rester vigilant, car
institution qui tient à sa modernité et à son savoir-faire, souvent pilote des systèmes d’information mal sécurisés mènent à des préjudices
et précurseur. Cela permet aussi de donner de la proximité aux importants pour les entreprises, notamment les TPE-PME.
interlocuteurs et d’incarner un sujet très transversal. Il s’agit de La cybercriminalité est bien entendu en augmentation en raison
participer à des tâches stratégiques comme la Revue de CyberDéfense, également du développement des usages et des objets connectés qui
la stratégie nationale du numérique et du ministère de l’Intérieur s’intègrent petit à petit dans les smart cities de demain. Les préjudices
déclinée au niveau de la PP ensuite. sont très élevés par entreprise ; on parle de 600 milliards de dollars
10
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page11
POLITIQUE NATIONALE
11
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page12
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page13
POLITIQUE NATIONALE
rationalise à la préfecture de Police, comme dans les directions du des données ou à l’accès à la preuve numérique. Le cadre européen
ministère de l’Intérieur qui appliquent la stratégie définie au plan est fait à la fois de reconnaissance mutuelle et de souveraineté qu’il
national et ministériel, avec chacun ses spécificités métiers. faut utiliser dans un équilibre fragile, pour satisfaire les exigences de
La rationalisation est une nécessité pour obtenir mieux à moindre coût la sécurité publique, mais en même temps celles des libertés
et rester à l’état de l’Art que l’on doit aux usagers du service public, individuelles fondamentales. Les retraits de contenus terroristes et
en raison du principe même d’adaptabilité ou de mutabilité. Cette l’arrêt télé2Sverige de la CJUE sur la non conservation des données
nécessité est d’autant plus impérieuse que le numérique est généralisées et indifférenciées en sont des exemples particulièrement
particulièrement onéreux. prégnants.
GS Mag : Quels sont les principaux objectifs de la PP et GS Mag : Enfin, quel message souhaitez-vous faire passer à
quelle sera sa stratégie pour les mois à venir ? nos lecteurs ?
Anne Souvira : Recruter des talents en cette pénurie de RH qualifiée, Anne Souvira : Ne pas hésiter à déposer plainte (les fonctionnaires
participer à la réflexion sur la structuration de la filière cyber, comme se doivent et savent être discrets) ou à signaler très rapidement des
exposée dans la Revue de CyberDéfense, et poursuivre les efforts faits de cybercrime ou même de simples anomalies, car les
entrepris pour la cybersécurité des usagers, des agents et donc de la informations peuvent avoir une importance capitale (un contenu
PP : voilà des objectifs prioritaires. Il faut faire face à la montée en terroriste ou pédopornographique). Ce sont les victimes elles-mêmes
puissance de la cybercriminalité et rendre le service aux plaignants à qui, en signalant ou en portant plainte, permettent d’avoir une juste
la hauteur de leurs attentes. connaissance de la menace. Elles apportent ainsi leur pierre à la lutte
collective contre les assaillants, de la même façon que lorsqu’elles se
GS Mag : Quels sont les axes qui restent encore, selon vous, sensibilisent pour connaître les risques, elles participent à la sécurité
à développer ou à renforcer en matière de lutte contre la globale du pays. ■ ■ ■
cybercriminalité ?
Commissaire Divisionnaire
Chargé de mission aux questions liées à la cybercriminalité
au Cabinet du préfet de Police de Paris depuis mars 2015
■ Ancien Chef de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI) de La Direction Régionale de la Police
Judiciaire de Paris de la préfecture de Police entre décembre 2008 et fin février 2015.
■ Une carrière en police judiciaire depuis 1982 aux contentieux très variés, de la presse aux atteintes aux personnes en passant par le
médical, les escroqueries ou la lutte contre l’économie souterraine comme chef du Groupe d’Intervention du Val de Marne entre 2004
et 2008.
Publications :
• Revue Sécurité et Stratégie du CDSE décembre 2012 p.86 ; Cyber-sécurité et entreprise comment se protéger ? Avec Myriam Quéméner
• Revue de la Gendarmerie Nationale 4ème Trim 2013 p.73. La cybersécurité des acteurs privés et publics
• Lettre N°1 Défis de l’INHESJ 2013 p.14. Prise en compte de la cybersécurité dans les entreprises
• Revue Lamyline.lamy.fr RLDA 4844, N° 87 p.95 ; dossier cybercriminalité novembre 2013 ; La « Cybersécurité » des Entreprises
• Revue du GRASCO N° 8-2014. P.11 Du rapport Nora-Minc à la lutte contre la cybercriminalité »
• Revue risques. Cahier des Assurances 2016 N°101
• Revue Administration 2017 N° 253 p 72 La lutte contre les escroqueries aux faux-virements
13
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page14
POLITIQUE NATIONALE
Global Security Mag : Pourquoi la Métropole de Lyon s’est-elle à travers la création du cluster IU Cyber (Industrial & Urban Cybersecurity),
saisie des sujets de cybersécurité ? dont la Métropole est membre. Les journées Scadays organisées en février
2018 à Lyon ont été une étape clé pour promouvoir et valoriser les
David Kimelfeld : Enjeu hautement stratégique pour les entreprises, solutions de cybersécurité, mais aussi pour informer les opérateurs de
les personnes et les territoires, la sécurité représente plus de 26 300 systèmes industriels sur les risques métropolitains et les solutions
emplois sur la métropole de Lyon. Ce secteur s’est littéralement existantes.
transformé ces dernières années avec de nouvelles menaces appelant de Le territoire peut compter sur ses atouts pour en faire une force d’appui
nouvelles mesures. Il est donc de notre responsabilité de garantir la à la structuration et au développement de ce secteur. La Métropole de
protection nécessaire de nos entreprises, de nos systèmes urbains et, par Lyon est la seule en Europe à réunir l’ensemble des acteurs de la filière,
conséquent, de nos habitants. de la start-up au grand groupe, de l’offreur de solutions à l’intégrateur.
Il n’y a pas de développement économique sans protection de nos Nous disposons d’un riche écosystème avec des fabricants
entreprises. Les cyberattaques ont en effet des conséquences majeures d’équipements, notamment des entreprises de l’automatisme (Siemens,
sur les entreprises et au-delà sur notre économie. Les systèmes industriels Schneider, Alstom, Thalès), des éditeurs de solutions, des intégrateurs, des
et urbains sont confrontés à des risques nouveaux en lien avec la acteurs globaux de la cybersécurité ou encore des opérateurs de systèmes
numérisation des technologies, allant parfois jusqu’à la destruction de industriels et urbains.
l’appareil de production, la pollution de l’environnement, voire la perte Des entreprises spécialisées sont également implantées (sécurité incendie,
de vies humaines. En France, le nombre de cyberattaques a progressé de surveillance, monétique et sécurité financière, etc.), ainsi que de grands
51% entre 2014 et 2015 et les budgets de sécurité des entreprises groupes industriels potentiellement consommateurs de solutions de
françaises ont augmenté en moyenne de 29%. cybersécurité. Je pense ici aux grandes entreprises de l’énergie (EDF,
Toutes les entreprises du territoire, mais aussi plusieurs services de la Framatome…), de la biosanté (Sanofi, Boehringer Ingelheim,
Métropole sont concernés par la cybersécurité : eau, voirie, gestion des BioMérieux…) et aux entreprises de la Vallée de la Chimie, mais aussi
déchets, réseaux de chaleur... des transports et de la mobilité.
La présence d’organismes publics nationaux et internationaux, tels
LE CLUSTER IU CYBER FÉDÈRE qu’Interpol, le Centre de sécurité sanitaire mondial de l’OMS, l’École
LES ACTEURS DE LA FILIÈRE nationale supérieure de la police à Saint-Cyr, ou encore le laboratoire de
la police scientifique…, est également un atout.
GS Mag : Quelles sont les actions menées par la Métropole de On peut aussi citer les nombreuses formations universitaires (master
Lyon sur cette thématique ? sécurité intérieure de l'Université Lyon 3, master spécialisé sécurité
informatique de l’INSA, etc.) et les centres de recherche qui viennent
David Kimelfeld : Nous travaillons aujourd’hui pour fédérer cette filière enrichir notre écosystème.
14
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page15
POLITIQUE NATIONALE
15
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page16
© Falko Matte
CHRONIQUE JURIDIQUE
LE RGPD N’AIME
PAS LE SHADOW IT
Par Olivier Iteanu, Avocat à la Cour, Chargé d’enseignement à l’Université de Paris I Sorbonne
On a beaucoup écrit sur le Shadow IT, ses avantages en termes précédent, d’une organisation sanctionnée par les CNIL
de créativité et d’innovations au sein d’organisations parfois européennes. Certes, le montant est important, colossal même.
lourdement processées. On a aussi beaucoup mis l’accent sur le Mais cela masque les vrais effets du RGPD. La sanction
principal inconvénient du Shadow IT, à savoir les risques qu’il fait administrative existe, mais la CNIL, les années passées, a
courir à ces mêmes organisations. Le Règlement UE 2016/679 sur sanctionné entre 8 et 15 fois par an « seulement », et, s’agissant
la protection des données personnelles, dit RGPD, apporte de des amendes administratives, elle en a prononcé moins de dix par
nouveaux arguments aux détracteurs de la pratique. On remarque, an. Sans de nouveaux moyens accordés par l’État, la CNIL et ses
en effet, que plusieurs des mesures édictées par cette Loi quelques 220 collaborateurs, ne se placera pas dans ses actions
communautaire sont directement contredites par le Shadow IT. de contrôle et de sanctions, bien au-delà de ses statistiques ante
C’est particulièrement vrai pour ceux que le RGPD nomme « sous- RGPD.
traitants », en anglais processor, ceux qui sont au contact des
données personnelles de leurs donneurs d’ordre, les hébergeurs, Le RGPD doit plutôt être vu comme un changement de mentalité.
éditeurs de logiciels en mode Saas, mainteneurs notamment. On peut faire un parallèle avec le droit comptable et financier.
Toutes organisations, même les plus petites, sont contraintes
BIEN COMPRENDRE LES EFFETS d‘établir des comptes, de conserver des justificatifs comptables
réguliers, de respecter les règles du droit comptable, les principes
DU RGPD… comptables, de déposer leurs comptes annuels, de désigner un
commissaire aux comptes au-dessus de certains seuils, de
On ne peut comprendre pourquoi le RGPD n’aime pas le Shadow répondre aux contrôles de l’administration. Or, aucune entreprise,
IT, si on n’a pas avant tout une exacte appréciation des effets du même la plus petite d’entre elles, n’oserait remettre en cause ce
RGPD. système mis en place. Ce système comptable et financier a de
fortes similarités avec celui mis en place par le RGPD. Le RGPD
Or, pendant plus de deux ans entre la date d’entrée en vigueur et n’est ni plus ni moins que la mise en place d’un comptable de la
la date d’application du RGPD, on a mis l’accent sur les seules donnée personnelle. Les organisations sont comptables des
sanctions administratives nouvelles prévues par ce règlement. De données personnelles de leurs clients, des consommateurs, des
nombreux commentateurs ont bâti toute leur réflexion et leurs citoyens, des pères de familles, de leurs salariés, etc. Comme nous
arguments sur la sanction administrative maximale prévue par le allons le voir, le Shadow IT enfreint de plein fouet ce nouveau
texte, soit les 4% du chiffre d’affaires total mondial de l’exercice système.
16
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page17
CHRONIQUE JURIDIQUE
©posteriori
Shadow IT :
quand la DSI
perd le
contrôle…
Interview d’Alain Bouillé, Président du CESIN
Par Marc Jacob et Emmanuelle Lamandé
Global Security Mag : Quelle est votre définition du Shadow IT ? étude menée en collaboration cette année [1]. Ce rapport exclusif sur
le Shadow IT dans les grandes entreprises françaises a montré un écart
Alain Bouillé : Le Shadow IT représente l’informatique hors du considérable entre la perception de la DSI et l’usage réel du nombre
contrôle de la DSI, le Cloud non officiel en quelque sorte. Ce d’applications et services Cloud. Alors que l’estimation moyenne
phénomène s’est développé avec la gratuité des services et d’applications Cloud connues par entreprise était de 30 à 40, le
applications en ligne, auxquels les utilisateurs ont souscrit sans rapport révèle une moyenne de 1 700 CloudApps véritablement
forcément avoir conscience des dangers pour le patrimoine utilisées par l’entreprise. Une fois les applications SaaS officielles
informationnel de l’entreprise. éliminées, le nombre de services inconnus par entreprise, donc en
mode Shadow, reste impressionnant.
GS Mag : Quels sont généralement les types de services et
d’applications que l’on retrouve hors du contrôle de la DSI, GS Mag : Quels sont les principaux risques et enjeux liés au
et pour quels usages ? Shadow IT ?
Alain Bouillé : Cela peut aller de la création d’un Réseau Social Alain Bouillé : Ces usages multiples et les applications qui pullulent
d’Entreprise avec des offres gratuites, comme LinkedIn ou Facebook, font jaillir des systèmes d’information parallèles, connectés au SI des
à la constitution de services collaboratifs pour des besoins ponctuels. entreprises. Cela pose un problème global de visibilité, de contrôle et
Plus alarmant, les outils de transfert d’information ou de partage de donc de sécurité du système d’information, avec des risques forts sur
fichiers volumineux, tels que Hightail et WeTransfer, les services de la confidentialité des informations liés aux phénomènes de fuites de
stockage comme Google Drive ou Dropbox en offre publique. Côté données du SI officiel.
messagerie, Outlook, Google Mail ou Yahoo Mail, souvent liés à un
usage de messagerie privée au bureau. Tumblr comme plateforme de GS Mag : Pouvez-vous nous présenter le périmètre, les
blogging, ou Pinterest et Instagram, et encore des services en ligne objectifs et la méthodologie de votre rapport sur le
comme Deezer et Giphy. Shadow IT ?
En moyenne, 1 700 CloudApps Alain Bouillé : Un certain nombre de membres du CESIN, RSSI de
grands groupes français, a participé à une analyse expérimentale, via
véritablement utilisées par la plateforme CloudSoC de Symantec, afin de déterminer quel était
l’entreprise… l’usage des applications SaaS dans les Clouds publics, et ainsi obtenir
un éclairage plus précis sur l’utilisation réelle de ces services et sur
GS Mag : Quel état faites-vous de ce phénomène au sein des l’ampleur du phénomène.
entreprises françaises ? Durant plusieurs semaines, les logs de pare-feux ou de proxys ont été
collectées et analysées, afin de constituer un rapport d’audit
Alain Bouillé : Le CESIN et Symantec ont publié les résultats d’une personnalisé et détaillé pour chaque participant. L’ensemble des
18
GSMAG-45-OK_Mise en page 1 13/12/18 16:24 Page19
THÉMA : SHADOW IT
données a ensuite été anonymisé et rassemblé par le CESIN en vue
de produire un rapport exclusif sur le Shadow IT dans les grandes
entreprises françaises.
Thema
SHADOW IT
GS Mag : Quels en ont été les principaux enseignements ?
Shadow IT: when the CIO
loses control ...
Alain Bouillé : Même si les résultats au top des classements sont
prévisibles, il convient d’évaluer la totalité des applications et services Interview with Alain Bouillé,
President of CESIN
détectés, à la fois en termes de légitimité et de risque potentiel au By Marc Jacob and Emmanue
lle Lamandé
sein de chaque entreprise.
L’utilisation même très sporadique d’un service Cloud peut suffire à Shadow IT refers to informa
tion technology used "out of
compromettre un système d’information, notamment lorsque les control or even without the
knowledge" of the CIO. This
attaques via la « Supply Chain » se multiplient. phenomenon has grown wit
h increasingly available high-
quality, free consumer app
lications and services in the
Cloud, without users necess
Les 7 Commandements du Shadow IT arily being aware of the many
risks to enterprise information
assets. How can Shadow
IT be effectively managed in
GS Mag : Quelles sont vos recommandations pour encadrer an enterprise environment
without restricting practices?
au mieux ce phénomène et limiter les comportements à Alain Bouillé provides us
with some responses to this
risque, sans pour autant freiner les métiers ? conundrum.
Alain Bouillé : En premier lieu, la DSI qui doit s’interroger sur la raison
de cette dispersion d’usages. Est-ce parce ce qu’elle ne fournit pas les
services attendus par les utilisateurs ? Est-ce parce que ces derniers
préfèreront toujours les outils qu’ils utilisent à titre privé plutôt que ceux
proposés par la DSI ? Le RSSI doit, bien entendu, s’impliquer dans ce
dispositif sinon en être le leader. Est-ce que le dispositif de filtrage est
vraiment efficace ? Est-ce qu’un processus de classification et de DLP
pourrait l’aider à mieux maîtriser les fuites de données sensibles ? Enfin,
le service juridique et le DPO : est-ce que les données ainsi exposées ne
font pas porter un risque juridique fort à l’entreprise ?
THÉMA : SHADOW IT
utilisées dans le Cloud. L’idée est de montrer par « qui » et « comment » entraîne mécaniquement une perte de maîtrise de ce que devient la
sont utilisées ces applications tout en proposant une vision globale donnée que vous confiez aux opérateurs du Cloud. Il faut donc
de l’utilisation de celles-ci, ainsi que certains conseils pour se prémunir s’outiller pour garder la maîtrise.
des principaux risques.
GS Mag : Enfin, comment devrait, selon vous, évoluer le
GS Mag : Comment ce phénomène peut-il être encadré au phénomène du Shadow IT dans les années à venir, et quels
niveau juridique (contrat, charte…) ? axes pourraient être développés pour renforcer la sécurité
face à ce type d’usages ?
Alain Bouillé : Il faut que les usages soient davantage compris pour
être mieux encadrés juridiquement. Le recours à des solutions du Alain Bouillé : Les entreprises se digitalisent et achètent de plus en
marché avec contrat d’achat à la clé participe de cette maîtrise. plus de services en mode Cloud. Ces offres s’enrichissent de jour en
jour. Vous signez un contrat pour une solution SaaS collaborative et
… et s’outiller pour garder la maîtrise c’est toute une kirielle de services qui vous sont proposés. Il faut faire
le tri, mais rester à l’écoute des usages des collaborateurs, surtout les
GS Mag : Quelles sont les clés pour garantir contrôle et nouveaux qui arrivent dans l’entreprise et qui ne retrouvent pas
visibilité sur le long terme ? toujours la panoplie qu’ils ont l’habitude d’utiliser. A l’ère de la data,
il faut revenir aux fondamentaux : connaître son patrimoine en le
Alain Bouillé : Comme pour le reste des sujets cyber, il faut classifiant. Il sera alors facile de savoir sur quel type de données
monitorer, superviser davantage ce que l’utilisateur fait des outils concentrer ses efforts à l’avenir. ■ ■ ■
qu’on lui fournit. L’ouverture vers le Cloud (officiel comme Shadow)
Les 7 Commandements du Shadow IT [3] 5. Coopérer avec les départements juridique, achat et
finance
■ Par Michel Juvin, Expert en Cyber Sécurité, membre du CESIN
La définition d’une procédure d’acquisition des solutions
informatiques est une étape clef dans le contrôle du Shadow IT.
1. Instaurer la confiance
Le RSSI doit être informé par l’un des acteurs de la demande pour
Le dialogue doit être le plus ouvert possible avec les utilisateurs afin
effectuer une analyse des risques sur l’information échangée. Il
de montrer que les services IT sont à leur disposition pour étudier
proposera un plan d’actions pour les réduire s’il estime qu’il y a
ensemble leurs attentes fonctionnelles. Les utilisateurs doivent avoir
un risque sur le capital informationnel de l’entreprise. Il est
confiance dans le fonctionnement de leur informatique et les
nécessaire que cette procédure d’acquisition soit simple
relations avec leurs partenaires pour être efficaces. La confiance
d’utilisation pour faciliter la mise en œuvre de solutions
s’appuie sur l’écoute et la compréhension des cas d’utilisation.
innovantes. A l’opposé, un processus lourd et peu agile entraînera
les employés vers le Shadow IT.
2. Analyser les flux
II est nécessaire que le DSI utilise les indicateurs qu’il a à sa
6. Éduquer les utilisateurs
disposition, notamment ceux relatifs aux logs des firewalls et autres
En parallèle, l’éveil des utilisateurs aux risques relatifs à la gestion
switchs qui permettent de filtrer les échanges vers l’extérieur. Un
des données de l’entreprise est une des actions nécessaires pour
tableau avec la description du flux va permettre de faire une analyse
réduire le risque de Shadow IT. Il est illusoire de penser qu’on
de risques sur les flux et prendre les décisions pour contrôler les
pourrait avoir un officier de sécurité surveillant toutes les actions
échanges d’information sortants de l’entreprise.
des utilisateurs, de fait, il est nécessaire de leur donner les moyens
de rester vigilant lorsqu’une action peut exposer les données de
3. Réduire le risque
l’entreprise au monde externe.
Compte tenu des échanges d’une entreprise avec d’autres
fournisseurs de services ou de partenaires, il est nécessaire de faire
7. Positionner le curseur (on-prem vs. off-prem) pour
une analyse de risques des flux les plus critiques. Le RSSI doit classer
délimiter « l’aire de jeu » [2]
les flux entre ceux déjà enregistrés pour lesquels le risque est connu L’idée est de définir pour chaque domaine si l’entreprise est capable
et accepté, ou les transférer vers des nouveaux acteurs de la sécurité. de gérer le risque de perte d’information ou de déni de service relatif
à l’outsourcing de son information, ses services, son organisation... A
4. Piloter l’infrastructure titre d’exemple, voici des domaines qui doivent être documentés pour
L’architecture et le paramétrage de l’infrastructure, clef de voûte de positionner le curseur entre « géré en interne » ou en « externe » :
tous les accès au SI d’entreprise, permettent l’existence du Shadow les terminaux, la gestion et le maintien opérationnel des serveurs,
IT ou l’interdisent. Le recours à un outil de monitoring de la sécurité les données, les applications, la gestion des identités, la supervision
des « Apps », comme une solution de type CASB (Cloud Access des solutions de sécurité... Le RSSI doit définir, en fonction de
Security Broker), est devenu une nécessité. La DSI doit, au même l’activité de l’entreprise et avec l’aide des utilisateurs, si les
titre que tous les autres accès, les filtrer et les classer dans le tableau informations, les services ou la gestion de l’information sont mieux
de suivi, pour en surveiller l’activité et être en mesure de réagir en gérés en interne ou avec l’aide d’un service hébergé dans un Cloud
cas de problème de sécurité avec un des fournisseurs. externe.
[1] https://www.cesin.fr/actu-rapport-shadow-it-france-2017-symantec-cesin.html
[2] Abrégé de l’environnement de travail des utilisateurs qui s’est étendu vers les solutions de type Cloud-as-a-Service
[3] https://www.cesin.fr/uploads/files/2018_04_Symantec_CESIN%20Shadow%20IT%20Report%20France.pdf
21
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page22
©posteriori
Shadow IT :
que faire quand
l’anarchie s’invite
en entreprise ?
Par Marc Jacob et Emmanuelle Lamandé
Bien que le Shadow IT ne soit pas un phénomène nouveau en entreprise, il s’est fortement
amplifié ces dernières années, notamment avec l’avènement du Cloud et la digitalisation
des usages. Mais que faire quand l’anarchie, pour ne pas dire l’orgie, s’invite en entreprise ?
Pour nos experts, en matière de Shadow IT, la souplesse maîtrisée est préférable à la rigidité,
qui forcément sera contournée.
Le Shadow IT représente les carte bleue alors que cela prendrait des jours, voire des semaines, avec
briques du Système d’Infor- un coût supérieur, s’il s’était adressé à l’informatique interne. C’est
mation qui échappent à la également le cas de la R&D qui a des besoins très spécifiques en
supervision, c’est-à-dire une matériel, en connexion Internet, etc. « Parmi les différentes formes du
mise en œuvre sans appro- Shadow IT, on retrouve aussi traditionnellement les logiciels non
bation de la DSI, explique maîtrisés installés sur les postes de travail, l’usage d’équipements
Gilles Garnier, Business personnels, l’accès à des ressources personnelles désormais dans le
Development Partner chez Cloud (messagerie, fichiers, etc.) », explique Cédric Lambert. Depuis
Harmonie Technologie. Ce quelques années, on remarque également la consommation par les
phénomène désigne, en effet, métiers d’applications dans le Cloud non validées par les DSI. Cet
l’usage de services IT, d’ap- usage tend à s’étendre au-delà de services SaaS, et à évoluer vers du
plications Cloud ou même PaaS, voire de l’IaaS. L’adoption des pratiques DevOps mal gérées et
de matériels hors du contrôle de plateformes Low-Code ranime, en outre, le spectre du Shadow IT.
de la DSI, complète Cédric Les DSI ont souvent du mal à trouver un équilibre entre contrôle des
Lambert, Security Practice outils, des développements, autonomie et productivité pour les équipes
Manager, Avanade. Le Sha- de développement. In fine, la DSI n’est pas impliquée.
Gilles Garnier, Harmonie Technologie dow IT est loin d’être
nouveau, avec au départ des
usages personnels (téléchargement, stockage de fichiers, installation Le Shadow IT n’épargne aucune
de logiciels personnels…), puis rapidement les premiers usages
métiers (macros, custom dev, applications installées de façon entreprise aujourd'hui…
sauvage…). Le phénomène s’est fortement amplifié ces dernières
Ce phénomène sévit aujourd'hui massivement au sein de toutes les
années avec l’avènement du Cloud, une forte pression liée à la
entreprises, quelles qu’elles soient. « Nous avons toujours été
digitalisation des usages, mais aussi à une demande croissante de
confrontés à ce phénomène dans toutes les entreprises où nous
nouveaux services et d’agilité.
intervenons », constate Cédric Lambert. « Il suffit de travailler sur des
migrations Workplace ou Cloud pour s’en rendre compte, et ce pour
A l’origine du Shadow IT, Gilles Garnier identifie notamment les
toutes les formes de Shadow IT (usages individuels, métiers).
services dont les besoins sortent du cadre habituel de ce que propose
La dernière étude du CESIN montre que là où un RSSI pense que ses
la DSI ou dont la mise en œuvre par la DSI est longue et coûteuse.
utilisateurs travaillent sur un périmètre de 30 à 40 applications, la
C'est, par exemple, le cas des services métiers ayant souvent besoin
réalité fait ressortir un usage moyen de 1 700 applications au sein de
de services hébergés, tels que Dropbox. Dans ce cas précis, le service
l’entreprise. » Cela ne fait, selon lui, que démontrer un manque cruel
métier peut obtenir son service hébergé en dix minutes à l’aide d’une
de communication entre DSI, RSSI et utilisateurs. Effectivement, « il
22
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page23
THÉMA : SHADOW IT
est désormais tellement simple de se procurer des services hébergés
sans avoir recours à la DSI que de plus en plus de personnes ou de
services cèdent à la tentation », déplore Gilles Garnier. « Le
développement du Cloud est un réel facilitateur du Shadow IT. De plus,
le fait que les services métiers et la R&D maîtrisent de manière
autonome leur budget est un facteur supplémentaire à prendre en
compte dans l’augmentation du Shadow IT. Aujourd’hui, d’après le
Thema
Gartner, 40% des dépenses IT sont faites en dehors des budgets de SHADOW IT
la DSI et il faut s’attendre à une tendance à la hausse ces prochaines
années. » Shadow IT: how to ma
nage the new disorder
of enterprise systems?
23
Protecting
organizations from
content and device
based threats.
sales@opswat.com - www.opswat.com
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page24
©posteriori
Pour Cédric Lambert, il est nécessaire de travailler sur plusieurs axes : gouvernance du SI. Certaines transformations sont opportunes
également pour réaliser de telles campagnes (exemple : migration vers
1. Tout d’abord, la prévention auprès des utilisateurs, via des Office 365). A noter que cette communication ne doit pas se limiter
campagnes de sensibilisation sur les risques informatiques, aux utilisateurs, mais doit également être étendue aux directions
adressées auprès des métiers jusqu’aux instances dirigeantes de métiers. De même, les équipes sécurité doivent être en mesure de
l’entreprise. comprendre les enjeux des métiers et d’apporter des réponses
cohérentes en termes de délais et de solutions techniques. Le « non »
2. Il convient de s’attaquer ensuite aux causes majeures, que sont ne peut pas être la seule réponse sous le prétexte de la sécurité. »
généralement le manque de compétitivité de la DSI face à des
besoins de digitalisation de plus en plus élevés, de nouveaux
usages, et des temps de mise sur le marché de plus en plus réduits. CASB : la solution la mieux adaptée au
L’amélioration et la modernisation des services et des niveaux de
services offerts sont bien sûr un axe de travail. Il s’agit aussi de Shadow IT
transformer certaines pratiques en :
Outre la sensibilisation, dif-
• Arrêtant de bloquer systématiquement les projets ou les usages
férents outils et solutions
comme cela se pratique encore et de considérer le réseau interne
techniques permettent au-
comme un sanctuaire de sécurité ;
jourd'hui aux entreprises d’en-
• Modernisant ses approches ;
cadrer ce phénomène et d’en
• Apportant des solutions et des prestations d’accompagnement ;
limiter les risques. Pour Cédric
• En se positionnant in fine comme partenaire stratégique des métiers
Lambert, la prévention du
pour ne plus subir la concurrence externe.
Shadow IT passe tout d’abord
par la maîtrise des équipe-
3. Enfin, et c’est lié au point précédent, certaines pratiques nouvelles
ments des utilisateurs pour
autour du DevOps et du Low-Code peuvent être des opportunités
en contrôler les usages.
pour la DSI d’accompagner les métiers, en encourageant et en
« Les solutions MDM, PCCLM,
encadrant ces pratiques, et ainsi de rétablir des liens avec ces
le retrait des droits adminis-
derniers. Si l’on considère le Shadow IT comme inévitable, on peut
trateurs sont des éléments
en diminuer les effets en impliquant tous les acteurs et en utilisant
nécessaires. Les contrôles de
les bons outils.
flux modernes, l’utilisation
Cédric Lambert, Avanade de solutions de type CASB
(Cloud Access Security Broker)
Shadow IT : tous les utilisateurs permettront également de lutter contre des usages non maîtrisés de
doivent être sensibilisés aux risques solutions Cloud.
Les passerelles Web sécurisées (SWG – Secure Web Gateway)
Il est effectivement important d’impliquer l’ensemble des acteurs dans permettront, quant à elles, de filtrer les sites Web autorisés (afin
cette démarche au sein de l’entreprise. Pour Gilles Garnier, les premiers d’éliminer les sources de téléchargement non connues ou réputées
acteurs concernés restent la DSI, le RSSI, le service juridique, qui ont non fiables). Enfin, la protection des données via des solutions de type
comme interlocuteurs les directions métiers, la R&D, mais aussi DLP aidera à limiter les risques de fuite de données en dehors du SI.
certains départements IT, pouvant être tentés de contourner les règles Avec une solution de type Microsoft Azure Information Protection
afin de répondre à certains besoins plus rapidement. Il ne faut pas (AIP), les données resteront protégées même en cas de fuite
non plus oublier les achats, qui ont un rôle important à jouer dans la d’information. » La solution CASB reste, selon Gilles Garnier, la plus
négociation des prix des solutions et ainsi la réduction des coûts adaptée pour lutter contre le Shadow IT. Cette solution répond au
d’acquisition. De son côté, Cédric Lambert considère que ce sujet mieux aux besoins de sécurité, de conformité et au risque de fuite de
« concerne toute l’entreprise, pas seulement la DSI. La démarche peut données, et permet une véritable cartographie du Shadow IT dans
provenir du RSSI, voire du DPO en lien étroit avec la DSI, ou les l’entreprise. Outre la solution CASB, qui est nécessaire et essentielle,
architectes Cloud. Il faut associer les métiers, les équipes juridiques, l’entreprise devra également, pour garantir la maîtrise du Shadow IT
et potentiellement les instantes dirigeantes pour les arbitrages sur le long terme, dialoguer régulièrement avec les services métiers
budgétaires. Tous les utilisateurs devront également être sensibilisés afin de vérifier leurs besoins. Elle devra, en outre, maintenir une
aux dangers et risques liés à ces usages. » campagne de sensibilisation régulière.
Cette sensibilisation doit se faire de manière régulière, explique Gilles « Du point de vue de la gouvernance, il est important d’impliquer les
Garnier. « Plutôt qu’une lourde campagne de sensibilisation à un métiers dans les réflexions sur les équipements, les besoins, les SLA et
moment donné, il faut communiquer de manière répétée tout au long les modèles opérationnels », explique Cédric Lambert. Cette gouvernance
de l’année, en donnant des exemples concrets de Shadow IT pour sera revue à intervalles réguliers pour s’assurer d’un alignement constant
assurer une meilleure compréhension. Si la sensibilisation ne marche de toutes les parties prenantes et d’aucune dérive par rapport au plan
pas, il faut mettre en place des entretiens individuels avec les initial. Il s’agit ainsi d’avoir, selon lui, un bon mixte entre :
personnes concernées afin de dialoguer. » Pour Cédric Lambert, il est • L’outillage, pour structurer et encadrer les usages ;
intéressant d’intégrer la sensibilisation aux risques liés au Shadow IT • Des revues régulières, permettant d’aborder avec les métiers les
au sein de campagnes plus globales de sensibilisation aux cyber- évolutions des besoins ;
risques. « Il existe tout un arsenal de moyens de communication • Une communication fluide pour expliquer les points de blocage
(vidéos, serious games, fascicules, campagnes de communication quand il y en a ;
traditionnelles, etc.). Ce type de campagnes est à intégrer dans la • Des indicateurs sur les SLA des équipes IT.
24
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page25
THÉMA : SHADOW IT
Un véritable changement En conclusion, quelle que soit la démarche choisie, chaque entreprise
doit aujourd'hui prendre en compte et encadrer le Shadow IT, car ce
de mentalité s’impose ! phénomène n’est pas juste un effet de mode. Il sera d’ailleurs
certainement amené à évoluer dans les années à venir. Pour Gilles
Nous l’avons vu, le Shadow IT nécessite un véritable changement de Garnier, « il est difficile de limiter le Shadow IT, surtout avec l’arrivée
mentalité, souligne Cédric Lambert. Pour accompagner cette transition, de l’IoT qui va créer des besoins inédits. Et malheureusement,
il faut que tous les acteurs de l’entreprise soient impliqués, pas l’entreprise ne répondra jamais à 100% des besoins. En effet, le
uniquement l’écosystème IT. De même, parce qu’il faut pouvoir Shadow IT est en quelque sorte le corollaire du « time to market ». Il
répondre intelligemment lorsqu’il y a manquement, il est indispensable sera toujours difficile pour l’entreprise d’avoir les solutions qui
que l’entreprise réfléchisse aux sanctions. Pour cela, la charte répondent aux besoins métiers en temps voulu, notamment en raison
d’utilisation des outils informatiques se doit d’être rattachée au des coûts et de problématiques de standardisation. Bien que d’ici
minimum au règlement intérieur de l’entreprise. Elle peut aussi être 2020 90% des Grands Comptes auront une solution CASB d’après le
intégrée en tant que document contractuel, comme annexe au contrat Gartner, la sécurité devra sans cesse innover pour limiter le Shadow
de travail. Il est, en effet, bon de souligner que le juridique intervient IT, qui lui sera en constante évolution. » Cédric Lambert considère,
en complément des moyens techniques établis pour détecter et pour sa part, que l’évolution et la consumérisation des services IT vont
canaliser le Shadow IT, explique Gilles Garnier. « Il est effectivement pousser les entreprises et les éditeurs à revoir les modèles de mise à
très difficile d’encadrer juridiquement un périmètre qui n’est pas disposition de produits et les outils pour sécuriser ces usages. « Les
maîtrisé dès le départ. Le juridique va donc avoir un rôle de protection frontières traditionnelles n’ont plus de sens en termes de sécurité. Il
des assets de l’entreprise avant tout. Ainsi, il sera possible de notifier faut désormais se concentrer sur la donnée et les ressources vitales,
l’interdiction du Shadow IT dans le règlement intérieur et dans les et prendre en considération que les solutions existantes ne sont plus
chartes de sécurité annexées au règlement intérieur. » suffisantes. Des solutions centrées sur la protection des données
utilisant l’intelligence artificielle pour déceler des usages frauduleux
deviennent aujourd'hui inévitables », conclut-il. ■ ■ ■
25
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page26
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page27
THÉMA : SHADOW IT
SHADOW IT : LE POINT DE VUE DE NOS pouvoir être en mesure d’expliquer clairement pourquoi un logiciel/une
solution/un produit spécifique (proposé par l’employé/le service) a été
EXPERTS ANTIMALWARES rejeté.
De son côté, Bogdan Botezatu recommande notamment :
En règle générale, le Shadow IT est la résultante de tentatives des • Si vous êtes à la maison, assurez-vous d'utiliser une solution de
employés pour trouver un moyen rapide et efficace de gérer leurs tâches, cybersécurité capable de détecter les tentatives de phishing et les
explique Benoît Grunemwald, Cybersecurity Leader, ESET France. Si les malwares, mais aussi de bloquer les exploits. Si vous vivez au sein
outils fournis par l'organisation sont insuffisants ou n'offrent pas les d’un foyer « intelligent », vous devez également inclure dans votre
fonctionnalités nécessaires, ces derniers peuvent en effet opter pour réseau un hub de sécurité spécifique, afin de protéger vos dispositifs
des solutions n'ayant pas été correctement approuvées par une équipe interconnectés qui ne peuvent pas être pris en charge par une solution
de sécurité compétente. Les employés/départements n’ont souvent pas de sécurité traditionnelle. Si ce n’est pas le cas, vous devriez au moins
conscience que, derrière leurs bonnes intentions (visant à effectuer leur réaliser un test permettant d’analyser les potentielles vulnérabilités
travail de la meilleure manière qui soit), c’est toute la sécurité de de votre réseau, et ce au moins une fois par mois.
l’entreprise qui peut être mise en péril. • Si vous êtes au travail, n'oubliez jamais que les règles et
Un bon exemple de Shadow IT consisterait par exemple pour un recommandations de votre équipe de sécurité informatique sont
employé à transmettre ses emails professionnels sur une adresse mises en place et appliquées afin d’aider l’entreprise à lutter contre
personnelle. On comprend bien sûr que cela lui permet de gérer les des cyberattaques dévastatrices, plutôt que pour limiter vos droits et
problèmes potentiels plus rapidement et confortablement, mais si le libertés. Respectez ces règles et n'essayez jamais de contourner la
contenu de ces emails est sensible, il existe un risque que ceux-ci soient sécurité pour des raisons de commodité - c'est un compromis coûteux
volés ou divulgués, ce qui nuirait à la réputation et aux finances de qui peut avoir un impact critique sur votre entreprise.
l'entreprise. Autre exemple de Shadow IT : les fonctions de Cloud • Enfin, si vous avez un doute, partagez l’information. Assurez-vous de
collaboratifs non vérifiées pour le partage de fichiers, de documents ou signaler les tentatives de phishing et de vishing (phishing via
d’objets. Ces outils s’avèrent pratiques pour les utilisateurs (puisqu’ils téléphone) à votre équipe de sécurité, afin qu'elle puisse alerter les
sont disponibles d'un peu partout), mais peuvent contenir une faille qui employés d’attaques ciblées en cours.
pourrait ensuite transmettre le contenu partagé à des tiers non
autorisés. Enfin, Loïc Guézo, Stratégiste Cyber-sécurité Europe du Sud, Trend Micro,
De manière générale, toute solution mise en œuvre par les employés préconise pour sa part de maintenir avant tout une bonne connaissance
et/ou services, n’étant pas correctement validée par un service de son exposition aux risques sur les actifs essentiels de son entreprise,
informatique compétent (ou une autre équipe chargée de la sécurité), incluant le facteur humain : tout le reste n’est finalement qu’une
pourrait devenir un risque non géré et parfois même invisible pour question de bonne gouvernance entre moyens humains, techniques et
l’ensemble de l’entreprise. procédures mises en œuvre. On entre toutefois dans une ère où le
classique PDCA (« Plan Do Check Act » de DEMING via l’ISO27001)
De plus, le Shadow IT est souvent supposé être sécurisé, car on le croit vertueux est insuffisant. Bienvenue dans l’ère du combat OODA
« obscur », explique Sean Sullivan, Security Advisor, F-Secure. Ce n'est (« Observ, Orient, Decide, Act » via l’US Air Force) !
malheureusement pas le cas. S'il fait partie de l'espace de domaine
d'une entreprise, les attaquants peuvent le trouver. « Le Shadow IT est
effectivement un phénomène complexe qui ouvre des portes à des
attaquants extérieurs », souligne Bogdan Botezatu, Senior Cybersecurity
Specialist, Bitdefender. Les incidents les plus courants sont liés à
l’installation de logiciels par les employés, logiciels non approuvés par
l’entreprise (un logiciel dont le service informatique ne connaît pas la
présence ne peut pas être rapidement mis à jour et/ou corrigé). Il existe
des situations plus graves, où des départements d’entreprises
enregistrent des domaines et déploient des serveurs Web pour héberger
des applications ou des services, afin d’appuyer certaines initiatives
marketing. Ces serveurs qui peuvent héberger des données de clients
ne sont pas véritablement administrés et encore moins mis à jour.
Lorsqu'ils sont ciblés par des attaques exploitant des vulnérabilités non
corrigées, des données personnelles et de la propriété intellectuelle sont
exfiltrées, et ces serveurs peuvent être utilisés comme relais pour des
campagnes de spams et de phishing, mais aussi héberger des malwares.
27
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page28
© Sebastian Kaulitzki
MALWARES BUSTERS
Dans la droite lignée de ses prédécesseurs, l’année 2018 a elle aussi connu son lot de
vulnérabilités et d’attaques en tout genre. Sur le devant de la scène cette année, on retrouve bien
sûr les ransomwares qui continuent à faire des dégâts, en entreprises comme chez les particuliers.
Toutefois, ils ont perdu de leur splendeur par rapport à 2017 au détriment des cryptomineurs, qui
ont pris du galon ! Mais la course est loin d’être finie…
2018 s’inscrit dans la droite lignée des années précédentes en Du côté des bonnes nou-
termes de cybermenaces, avec à son actif de nombreuses vulnéra- velles, il estime que 2018 a
bilités exploitées, des cyberattaques en tout genre et des fuites de connu une baisse du nom-
données à tire-Larigot ! Toutefois, pas de grands changements bre de fuites de données
dans les techniques utilisées, même si bien entendu l’année écoulée massives, tout du moins par
a elle aussi eu le droit à son lot de pépites. De manière générale, rapport à 2017. « Il est en-
« les menaces de 2018 s’inscrivent dans la continuité de ce qui core trop tôt pour dire s’il
s'est passé en 2017 », constate Benoît Grunemwald, Cybersecurity s’agit du résultat du Règle-
Leader, ESET France. Bien que toujours actives, les attaques de ment Général sur la Protec-
ransomwares ont néanmoins perdu de leur superbe au profit des tion des Données (RGPD)
cryptomineurs. ou d’une autre législation
« Les opérateurs de ransomwares déjà existants se sont « profes- similaire votée ailleurs dans
sionnalisés » dans leurs attaques. Ceux-ci ciblent des entreprises le monde, mais le nombre
et/ou organisations grâce à des PDR (Remote Desktop Protocol ou de données et documents
RDP en anglais) mal sécurisés, puis élèvent leurs droits et chiffrent volés a diminué et est au
leurs données précieuses pour les extorquer contre de l'argent. plus bas depuis trois ans.
Certains opérateurs de ransomwares ont également choisi d'utiliser Benoît Grunemwald, ESET France Toutefois, en raison de ces
EternalBlue comme principal mécanisme de distribution, recherchant règles plus strictes, nous
des systèmes non corrigés dotés du protocole vulnérable SMB. nous attendons à ce que le nombre de cas de fuites ou violations
Les cybercriminels sont également en recherche de cryptomonnaies de données signalées augmente. »
et attaquent aussi bien des plateformes de trading que des utilisa-
teurs lambda, mais aussi des entreprises en leur volant leurs infor- De son côté, Bogdan Botezatu, Senior Cybersecurity Specialist, Bit-
mations d'identification pour cryptoservices et cryptowallets. La defender, constate aussi la montée en puissance de deux types
cryptographie intégrée aux navigateurs est également une cible d’attaques majeures en 2018, sous forme de cryptomineurs et de
privilégiée des attaquants aujourd'hui. Cette tendance a peu de ransomwares. « Tout au long de l’année, les créateurs de ransom-
chance de perdre de sa puissance dans un futur proche. » wares ont ainsi développé de nouvelles techniques et tactiques qui
visaient principalement à atteindre les entreprises. Les attaquants
LES PIRATES VEULENT « GAGNER » infectent un Endpoint auquel ils ont accès, puis se connectent ma-
nuellement aux appareils de l’entreprise grâce à des applications
SUR TOUS LES FRONTS, ET AUTANT de type Remote Desktop Protocol (RDP). La deuxième étape est
QUE POSSIBLE enclenchée tout de suite après, la plupart des ransomwares utilisant
désormais des techniques de mouvement latéral pour se propager
Pour Benoît Grunemwald, le dénominateur commun pour les pirates sur un réseau d'appareils et compromettre des données sensibles.
n’est autre que la volonté de « gagner » sur tous les fronts, mais Les ransomwares qui ciblent plus particulièrement les particuliers
surtout autant que possible. Ingénierie sociale, chiffrement et continuent également à prospérer et à faire gagner des sommes
extorsion, attaques de chaînes logistiques, cryptomining… sont d’argent importantes à leurs créateurs. C'est par exemple le cas de
autant de vecteurs qui exploitent les failles et infectent les victimes GandCrab, qui est devenue la famille de ransomwares la plus
avec d’autres formes de logiciels malveillants. Tous ces malwares répandue depuis son lancement en janvier 2018. »
sont toujours actifs et continuent de rapporter de l’argent à leurs
auteurs malveillants.
28
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page29
MALWARES BUSTERS
LES ATTAQUES CIBLÉES GAGNENT Au cours de la dernière décennie, les pirates ont construit tout un
éventail d’automatisation, associé à des vulnérabilités exploitables,
EN POPULARITÉ ET GÉNÈRENT dans le but d’attaquer rapidement des cibles et d’échapper aux mesures
DES GAINS TRÈS IMPORTANTS de sécurité internes ou à la protection au niveau du réseau et des sys-
tèmes Endpoint. Cette utilisation de l’automatisation a pris une multi-
tude de formes, allant des kits d’exploit piégeant les navigateurs aux
En 2018, les SophosLabs fichiers documents office instrumentalisés, en passant par des spams
constatent l’émergence d’un malveillants qui obfusquent complètement la menace qu’ils représentent
nombre restreint mais crois- aux yeux des victimes et vis-à-vis de leur technologie.
sant de cybercriminels ou de Cette tendance est en bonne partie la conséquence de la manière
gangs qui utilisent désor- dont l’industrie de la cybersécurité, avec l’introduction de nouvelles
mais des techniques de techniques (anti-exploits, Deep Learning, détections comportementales
piratage manuel - réservées ciblées…), pousse les cybercriminels à se remettre en cause, en les
jusque-là à une petite élite obligeant à changer leurs stratégies et techniques d’attaque.
de cybercriminels plutôt
ésotériques - pour maintenir VIVRE SUR LA BÊTE (LIVING OFF THE LAND -
leurs revenus financiers
malveillants.
LOL) EST DEVENU LA NOUVELLE NORME
Sophos a suivi de près les Malgré les attaques malveillantes très médiatisées concernant
menaces en fort développe- des plateformes, telles qu’OSX, Linux et Android, le nombre de
ment provenant d’attaques malwares conçus pour cibler exclusivement des ordinateurs Win-
très ciblées, au cours des- dows domine toujours le paysage global des échantillons traités
quelles un ou plusieurs par les processus des SophosLabs pendant une période donnée.
criminels se sont introduits Nous constatons de plus en plus que les malwares adoptent les
manuellement dans l’ordinateur d’une entreprise, désactivant ou fonctionnalités intégrées du système d’exploitation Windows,
échappant aux outils de sécurité internes en temps réel, et en lançant telles que la variante MacGyver hostile et mutante, dominant
de manière synchronisée des malwares sur des réseaux entiers ainsi la machine en recourant uniquement à son intelligence et
de machines. aux outils qu’elle peut utiliser à partir des ressources locales.
29
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page30
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page31
MALWARES BUSTERS
Une configuration standard pour Windows 10 comprend généralement à laquelle un vers pouvait se propager latéralement vers d’autres ma-
PowerShell, WMI, Windows Scripting Host et d’autres outils d’adminis- chines du même réseau. En cette fin d’année 2018, on constate une
tration puissants. Au cours des deux dernières années, l’utilisation abu- utilisation très étendue de l’exploit EternalBlue au sein de l’écosystème
sive de tous ces outils (entre autres) intégrés dans les suites d’adminis- des malwares, même si Microsoft a publié une mise à jour qui protège
tration et de gestion représente une grande partie des attaques de les machines Windows peu de temps après sa divulgation.
malwares courantes. Selon le langage utilisé par les analystes qui étu- La charge virale du ransomware WannaCry a été la première utilisation
dient ce phénomène, de nouvelles versions de « scripts LoL » font ré- connue d’EternalBlue à grande échelle, après sa divulgation par Shadow
gulièrement leur apparition. Brokers, mais le ransomware ne serait pas le seul malware contenu
Le plus souvent, les attaquants utiliseront une commande ou un système dans cet exploit. La sous-culture du cryptojacking a fait un usage
administratif pour en appeler un autre. Une attaque hypothétique peut précoce et inattendu d’EternalBlue. Le minage de cryptomonnaies est
enchaîner une séquence de différents types de script, chacun s’exécutant une activité exigeante en matière de ressources et nécessite non seu-
via un processus Windows différent. Par exemple, si une victime dou- lement du temps, mais également une importante puissance de calcul
ble-clique sur un fichier .js illicite, présent dans un email, ce dernier ap- pour réaliser un travail de qualité. Les processeurs rapides coûtent cher
pellera wscript.exe et lui demandera de télécharger et de lancer un et leur utilisation à un niveau de puissance élevée, pendant de longues
script PowerShell .ps1, qui pourra ensuite télécharger et lancer, à son périodes, génère des coûts supplémentaires, du fait du surplus de puis-
tour, un fichier exécutable. La séquence et les types de fichiers utilisés sance demandé ou d’une défaillance matérielle due à des périphériques
durant l’attaque peuvent varier, mais ce type d’attaque en chaîne est soumis à des contraintes excessives. Peu de temps après que les logiciels
devenu monnaie courante. de minage soient devenus largement disponibles, des mineurs de cryp-
Dès que l’exécutable est lancé et injecte son code dans un autre pro- tomonnaies sans scrupules ont essayé d’abuser d’autres utilisateurs
cessus Windows, il pourra alors fournir et exécuter un fichier batch qui afin de tirer parti de leurs machines, au profit de leurs activités de mi-
supprimera l’exécutable, et par la suite le fichier batch lui-même, ne nage.
laissant le cas échéant, que très peu de traces de son passage. En réalité, le fait de pouvoir répandre du code de minage de crypto-
monnaies indésirable, de manière synchronisée, sur des réseaux entiers
LA CROISSANCE EXPONENTIELLE remplis d’ordinateurs constitue un avantage certain (pour le mineur
DES EXPLOITS OFFICE malveillant, bien entendu, pas pour le propriétaire de la machine cryp-
tojackée). En effet, si dix machines génèrent dix fois plus de revenus
en cryptomonnaies qu’une seule machine, alors 100 machines iden-
Le changement philosophique majeur concerne la façon dont les ana- tiques utilisant toutes des outils de minage peuvent alors en générer
lystes traitent les fichiers qui ne sont pas « exécutables » au sens encore dix fois plus.
traditionnel d’une application compilée. Les documents Office, tels que Le couplage d’EternalBlue avec un logiciel de cryptominage a transformé
les feuilles de calcul Excel, en sont un bon exemple : une feuille de ce hobby plutôt malveillant en une activité cybercriminelle à plein
calcul peut contenir un pseudo-code exécutable, sous la forme d’une temps et très lucrative. La distribution latérale signifie que le cryptomi-
« macro » Microsoft Office, ou un exploit contre une ou plusieurs neur peut se copier sur des dizaines, voire des centaines, de machines
vulnérabilités de sécurité connues et affectant Excel. supplémentaires, qui reversent toutes leurs gains sur le(s) compte(s)
Les documents Office sont au cœur des attaques depuis plusieurs de l’attaquant. Pendant ce temps, la victime doit faire face à des coûts
années, mais la plupart d’entre elles exigent que l’utilisateur active le énergétiques élevés, du fait de l’activité de minage en cours d’exécution
code de script macro incorporé dans les documents. Au cours des der- sur son processeur, et aux vitesses élevées utilisées, entraînant ainsi
nières années, les cybercriminels ont déployé des efforts considérables une usure prématurée et accrue au niveau d’ordinateurs qui se retrou-
pour élaborer et peaufiner des documents incitant ainsi les victimes à veront être au final pénalisés et dépréciés.
prendre des mesures spécifiques pour désactiver les protections conçues Au cours des deux dernières années, les malwares cryptomineurs sont
pour contrecarrer les macro-scripts malveillants. Même si la suite Office devenus l’une des formes de malwares les plus répandues lors d’at-
envoie plusieurs avertissements à destination de l’utilisateur, ce dernier taques, rejoignant les rangs des ransomwares, des RAT génériques et
peut toujours être incité à activer le script ou à désactiver le « mode
des voleurs de mots de passe au niveau du nombre brut de détections
aperçu » pour les documents Office provenant d’un téléchargement
par mois. Comme les malwares de cryptojacking peuvent être multi-
Internet ou d’une pièce jointe d’un email. plateformes, ils affectent potentiellement tous les objets connectés à
Les cybercriminels utilisent des outils spéciaux, appelés Builders, pour Internet que nous utilisons.
générer ces documents malveillants. Les outils savent comment écrire
LA MENACE CROISSANTE ET PERSISTANTE
le code de l’exploit hostile ou de la macro dans le fichier document. Au
cours des 12 derniers mois, les éditeurs de Builders ont abandonné de
manière radicale les anciens exploits, dont certains étaient utilisés DES MALWARES MOBILES
depuis de nombreuses années. Les exploits antérieurs à 2017 repré-
sentaient moins de 3% du contenu des échantillons examinés lors Alors que les malwares qui s’exécutent sur le système d’exploitation
d’une récente enquête menée par les SophosLabs sur les documents Windows dépassent largement les malwares de toutes les autres pla-
malveillants. teformes, les utilisateurs d’appareils mobiles sont de plus en plus
Trois outils Builders représentent à eux seuls les trois quarts des docu- exposés à des activités cybercriminelles qui parviennent à installer des
ments malveillants analysés lors de nos derniers tests. Chaque Builder applications malveillantes sur leurs téléphones, tablettes ou autres ap-
semble avoir sur sa liste quelques clients principaux, à savoir des pareils utilisant Android et iOS. Après tout, la plupart d’entre nous uti-
distributeurs de malwares : Threadkit est le Builder préféré des malwares lisent ces ordinateurs très puissants, présents en permanence dans nos
Trickbot, tandis que les distributeurs de FareIt et de LokiBot utilisent poches, pour sécuriser certaines données très sensibles, notamment
principalement un Builder appelé EQN_kit1. notre liste de contacts, nos gestionnaires de mots de passe, nos comptes
de réseaux sociaux, nos messages texte SMS et nos applications d’au-
DÉPLACEMENT LATÉRAL thentification à deux facteurs.
(LATERAL MOUVEMENT) : L’OMNIPRÉSENCE Depuis un certain temps, il est fréquent que des versions malveillantes
d’applications populaires se retrouvent dans des app-stores tiers. Il
D’ETERNALBLUE peut s’agir d’endroits hébergeant des versions piratées et/ou des
versions trojanisées d’applications légitimes. Le bon sens voudrait (et
Les attaques WannaCry et NotPetya ont montré la vitesse phénoménale en fait, il s’agit ici de notre recommandation) que l’on utilise les
31
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page32
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page33
MALWARES BUSTERS
app-stores officiels, mais même cette précaution peut ne pas être LES ATTAQUES CIBLANT L’INTERNET
suffisante pour vous protéger vis-à-vis des applications indésirables.
Bien que Google et Apple offrent tous deux un écosystème fermé pour DES OBJETS
la distribution des applications et analysent activement celles récemment
téléchargées, à la recherche d’extraits de code réputés malveillants, Alors que nos foyers et nos entreprises adoptent de plus en plus
leurs méthodes ne sont pas parfaites. Les développeurs d’applications d’objets connectés à Internet, et en particulier ceux qui n’avaient pas
malveillantes jouent avec le système depuis des années et leurs l’habitude de l’être, de leur côté les cybercriminels ont imaginé de
applications malveillantes apparaissent sur le magasin Google Play et nouveaux moyens de détourner ces appareils pour les utiliser comme
l’App Store d’Apple. des nœuds au sein d’énormes botnets. Les cybercriminels peuvent en-
suite exploiter ces botnets pour lancer des attaques distribuées par
déni de service, miner de la cryptomonnaie, infiltrer des réseaux à des
ANDROID : LE BON, LA BRUTE fins d’espionnage ou de vol de données, ou même créer un véritable
ET LE TRUAND chaos en « brickant » l’appareil, le mettant définitivement hors ligne
ou en réclamant une rançon pour le restaurer et lui redonner toutes
La plateforme Android est depuis longtemps une cible privilégiée pour ses fonctionnalités.
les développeurs d’applications malveillantes. La nature ouverte de la Ces types d’attaques sont difficiles à détecter, car elles sont rarement
plateforme et les faibles obstacles à l’accès des développeurs ont long- évidentes jusqu’à ce que tout se passe mal, et que le périphérique en
temps été une arme à double tranchant, facilitant en fait la création question se retrouve lui-même affecté. Dans de nombreux cas, les mal-
d’applications fonctionnelles. Nous avons suivi un certain nombre de wares ciblant les périphériques IoT ne peuvent pas établir une sorte de
campagnes malveillantes impliquant la plateforme Android en 2018, persistance. Un simple cycle de mise hors tension suffit donc pour
notamment des applications de type Trojan qui volent des identifiants « nettoyer » le périphérique, mais cela n’est pas toujours possible ni
bancaires et des mots de passe au niveau d’autres services, notamment pratique. Et si la méthode par laquelle les attaquants ont infecté le pé-
la messagerie électronique, interceptent et envoient des SMS, exfiltrent riphérique en premier lieu n’a pas été traitée d’une manière ou d’une
la liste des contacts du propriétaire, et même des mineurs de crypto- autre, ce n’est qu’une question de temps avant que ces dispositifs ne
monnaies déguisés de manière plutôt perverse en utilitaires pour éco- soient à nouveau infectés.
nomiser la batterie (quand, en fait, utiliser un cryptomineur est l’activité En 2018, les SophosLabs ont enregistré une croissance significative du
la plus gourmande en énergie que vous puissiez entreprendre avec un nombre d’attaques ciblant les objets connectés. Bien que, dans de
téléphone). nombreux cas, un changement des mots de passe par défaut utilisés
par une classe ou une marque de périphérique aurait été suffisant
pour empêcher toute réinfection, certains cas exceptionnels méritaient
toutefois un traitement particulier.
33
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page34
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page35
MALWARES BUSTERS
ride, qui a subi la perte de 340 millions d'enregistrements issus d'un De son côté, Sean Sullivan
serveur de bases de données accessibles au public. Mais l'un des cite également l’attaque
incidents les plus notoires reste sans doute l'atteinte à la protection SamSam ayant ciblé les
des données de Facebook, évoquée précédemment, au cours de systèmes de la ville d’At-
laquelle des cybercriminels ont accédé aux informations personnelles lanta [2]. « Le 28 novembre,
d'environ 50 millions d'utilisateurs, via l’exploitation d'une vulnérabilité le Ministère de la Justice
dans la fonction « view as ». américain a inculpé deux
Iraniens pour cette attaque
Sébastien Gest remarque, d'Atlanta et de nombreux
quant à lui, deux types autres crimes [3]. Ils sont
d'attaques qui sont en toujours en fuite à l’heure
recrudescence : actuelle, et représentent
• La fraude au président, à mes yeux la tendance
qui en France fait toujours future de la cybercrimina-
de plus en plus de lité. Ils ont choisi leurs
ravages ; cibles et ont fait leurs de-
• Et la fuite de données Sean Sullivan, F-Secure voirs pour pénétrer plus
personnelles de clients, profondément dans les sys-
avec cette année des tèmes ciblés. Ils ont été identifiés, mais restent en dehors de la
fuites monstres, comme juridiction américaine. Certains estiment que l'acte d'accusation
c h e z C a t h a y Pa c i f i c , aura un effet dissuasif, je pense qu'il servira plutôt de modèle pour
British Airways ou plus d'autres groupes d’attaquants. » Une évolution à surveiller de près
récemment Amazon. donc…
Sébastien Gest, Vade Secure
Malheureusement toujours en progrès, la cybercriminalité n’a
Selon Benoît Grunemwald, les cyberattaques les plus marquantes en effectivement pas connu de repos en 2018, déplore Loïc Guézo.
2018, du point de vue de la « nouveauté », sont notamment Lojax « Toutefois, les forces de police, les entreprises potentielles victimes,
(première attaque documentée contre UEFI « gracieusement offerte » mais aussi les particuliers visés ne restent pas inactifs ou sans sup-
par Sednit), et Exaramel (une backdoor sophistiquée qui relie NotPetya port : réorganisation ou optimisation de la réponse institutionnelle
à Industroyer). « On se souviendra également de VPNFilter, un logiciel (création du dispositif cybermalveillance.gouv.fr, publication des
malveillant ciblant une large palette de modèles de périphériques IoT, OSE (Opérateurs de services essentiels) par l’ANSSI, création d’une
capable de survivre à un redémarrage. Il y a bien sûr d’autres exemples réserve cyber Police Nationale…), évolution des réponses techno-
de logiciels malveillants qui ciblent des utilisateurs au niveau mondial logiques de protection, de détection et de réaction, et in fine meil-
mais qui n’ont rien de si « extravagants », comme les familles de leure sensibilisation de l’ensemble de notre société à ces
malwares que sont GandCrab, Crysis ou SamSam. Sans compter les problèmes… accentuent la difficulté pour les acteurs malveillants
importantes failles de cybersécurité mises en avant en 2018 qui de parvenir à leurs fins », conclut-il. Ce qui représente déjà une
représentent de sérieuses menaces, telles que Spectre & Meltdown. avancée significative dans la lutte contre le cybercrime et laisse
Enfin, la publication de bon nombre de nouveaux « zero-day » via les une lueur d’optimisme pour les années à venir… ■ ■ ■
médias sociaux est également à noter. »
MALWARES BUSTERS
37
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page38
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page39
MALWARES BUSTERS
était unique parmi les autres malwares IoT pour plusieurs raisons : pour se diffuser automatiquement et ajouter ces périphériques à un
• Premièrement, il était très extensible, avec une série de composants botnet pouvant être utilisé pour cibler des sites Web attaqués via
plugin auxquels il pouvait faire appel pour effectuer des tâches des attaques DDoS.
spécifiques, telles que l’exfiltration des données transitant par le Alors que Mirai vit toujours, plusieurs autres familles de bots, prêtes
routeur ou l’effacement radical du firmware d’un périphérique. à prendre la relève, ont vu le jour, dont certaines empruntent des
• Deuxièmement, il s’est avéré capable de persister sur les périphé- morceaux de code à Mirai, notamment Aidra, Wifatch et Gafgyt. Les
riques en utilisant des exploits très ciblés contre les vulnérabilités gangs criminels qui exploitent une infrastructure permettant de
des périphériques concernés. déployer ces botnets ont développé toute une gamme d’attaques
L’analyse s’est compliquée du fait de l’utilisation d’une nouvelle automatisées ciblant un large éventail de périphériques en réseau.
approche de Command-and-Control : VPNFilter récupérait ses Au-delà des routeurs peu coûteux, elles incluent désormais des ser-
instructions en visitant un site Web de partage de photos public et veurs de bases de données, des routeurs du commerce, des caméras
bien connu, et en téléchargeant des photos de charme spécialement de vidéosurveillance (CCTV) et des systèmes DVR. Wifatch est unique,
conçues, et contenant des instructions intégrées. car il agit comme une sorte de justicier et utilise les capacités de ces
types de bots pour infecter des périphériques vulnérables, puis avertit
Mirai et ses successeurs leurs propriétaires afin qu’ils les sécurisent mieux à l’avenir et
Le botnet Mirai, dont le code source avait été rendu public en 2016, résistent ainsi à de futures attaques.
utilisait les exploits de certains modèles de périphériques réseau
[1] https://www.sophos.com/fr-fr/medialibrary/pdfs/technical-papers/sophoslabs-2019-threat-report.pdf
[2] https://en.wikipedia.org/wiki/2018_Atlanta_cyberattack
[3] https://www.justice.gov/opa/pr/two-iranian-men-indicted-deploying-ransomware-extort-hospitals-municipalities-and-public
39
GSMAG-45-OK_Mise en page 1 13/12/18 16:25 Page40
© Sebastian Kaulitzki
MALWARES BUSTERS
Après une année 2018 chargée en actualités cybercriminelles, à quoi devons-nous nous attendre
en 2019 ? L’Internet des objets ne cesse de prendre de l’ampleur et le monde de demain sera
incontestablement encore plus connecté qu’aujourd'hui… et donc la surface d’attaque encore
plus grande ! C'est notre société entière qui devient ainsi vulnérable et tous ses pans seront dans
la ligne de mire des criminels : santé, industrie, e-gouvernement…
Benoît Grunemvald, ESET France, ne s’attend pas à un « changement Une catégorie spécifique
radical en 2019 par rapport à ce que nous voyons déjà en ce d’appareils de l’Internet des
moment : objets, à savoir les implants
• L’une des principales tendances sera certainement liée au volume médicaux connectés à Inter-
croissant d’objets connectés (Internet of Things) aux réseaux des net, sera de plus en plus ci-
entreprises et des utilisateurs, créant ainsi une surface d’attaque blée par les cybercriminels.
élargie et de nouveaux terrains de jeu pour les attaquants. Dans le pire des cas, des im-
• De son côté, le nombre de violations de données et de fuites plants corporels intégrant
signalées va probablement augmenter, notamment en raison des des technologies de connec-
nouvelles réglementations en vigueur ou à venir. tivité sans fil pourraient
• Nous nous attendons également à ce que les malwares, même être infectés par des
cryptomineurs, logiciels bancaires truqués et autres attaques ransomwares. Vous devrez
caractérisées basées sur des logiciels malveillants se poursuivent au alors non plus payer pour ré-
cours des mois et années à venir, tout simplement car ils se sont cupérer des données, mais
révélés être des solutions efficaces pour permettre à leurs auteurs bien pour survivre.
mal intentionnés de faire fortune.
• Enfin, l’année 2019 verra probablement aussi de plus en plus de Bogdan Botezatu, Bitdefender Pour Sébastien Gest, Vade
hoax et de fake news, avec une amélioration de leur « qualité ». Secure, « la récente chute
Grâce à l’automatisation, les guerres d’information pourront des cryptomonnaies oblige les groupes mafieux à revoir leur mode de
également gagner en intensité, tout en devenant plus rentables. » financement. Le prix du bitcoin a chuté et de nombreux acteurs du
mining stoppent leur activité faute de rentabilité. Les pirates ne
PAYEZ, NON PLUS POUR RÉCUPÉRER peuvent donc plus compter uniquement sur le cryptomining ou le
Ransomware-as-a-Service.
VOS DONNÉES, MAIS POUR Du fait des nombreuses fuites de données (plus de 1,7 milliard
SURVIVRE… d'enregistrements depuis le début de l'année 2018), il ne serait pas
étonnant de voir également de plus en plus d'arnaques, d'usurpation
Bogdan Botezatu, Bitdefender, estime quant à lui que les d'identité et de pression sur les consommateurs. En outre, le phishing
cybercriminels se concentreront davantage en 2019 sur l'utilisation et le spear phishing seront certainement plus que jamais au centre
des documents MS Office comme vecteurs d'attaques, en particulier des préoccupations des entreprises. »
quand ils cibleront les entreprises. En combinant des macros et des
exploits MS Office connus avec des tactiques d'ingénierie sociale, les UN MONDE DE PLUS EN PLUS
pirates informatiques seront probablement en mesure de diffuser plus
efficacement leurs malwares et de contourner les restrictions relatives
CONNECTÉ… ET DE PLUS EN PLUS
aux pièces jointes des e-mails. VULNÉRABLE
Une autre tendance importante sera effectivement liée à l'Internet des
objets (IdO ou IoT) et à la pénétration importante des appareils De son côté, Loïc Guézo, Trend Micro, estime que le monde de 2019
intelligents - et souvent non sécurisés – au sein des foyers et des sera incontestablement encore plus connecté que celui de 2018 ou
entreprises. Ces dispositifs rejoignent souvent des botnets et sont utilisés 2017… « La surface d’attaque, mais aussi les capacités de fraude des
par les cybercriminels pour lancer des attaques DDoS dévastatrices criminels pour faire de l’argent, n’en seront que plus grandes ; bien
contre des infrastructures sensibles ou des services critiques. au-delà de l’attaque sur l’entreprise classique ou le citoyen lambda,
40
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page41
MALWARES BUSTERS
41
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page42
CHRONIQUE TECHNIQUE
©untitled
COMPROMISSION DU PROTOCOLE
BLE : UNE PORTE D’ENTRÉE AU
PIRATAGE D’OBJETS CONNECTÉS
Par Julia Juvigny-Nalpas,
Responsable Études & Veilles pour le CERT digital.security
Le 12 août 2018, à l’occasion de la 26ème édition de la DEF CON, l’un des principaux évènements
mondiaux dédiés à la sécurité informatique, notre expert sécurité Damien Cauquil (@Virtualabs) a
présenté ses derniers travaux de recherches sur le protocole Bluetooth Low Energy (BLE) : You'd
better secure your BLE devices or we'll kick your butts! [1]. La nouvelle attaque qu’il a mise en œuvre
est une méthode de brouillage Bluetooth identifiée CVE-2018-7252 qui permet à un pirate de prendre
le contrôle de connexions Bluetooth vulnérables. Selon Damien, le matériel utilisé dans les attaques
des connexions BLE coûte très cher et les techniques sont souvent approximatives, c'est pourquoi il a
développé l’outil Btlejack [2]. Il utilise également un micro bit d’une valeur de 15 euros [3].
CHRONIQUE TECHNIQUE
attack
[3]
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/
Damien%20Cauquil%20-%20Updated/DEFCON-26-Damien-Cauquil-Secure-Your-BLE-
Devices-Updated.pdf
[4]
http://www.eweek.com/security/bluetooth-devices-at-risk-from-btlejacking-takeover-
attack
[5] https://www.lesnumeriques.com/objet-connecte/faille-bluetooth-permet-avoir-main-sur-
objets-connectes-n77115.html
[6] https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/
Damien%20Cauquil%20-%20Updated/DEFCON-26-Damien-Cauquil-Secure-Your-BLE-
Devices-Updated.pdf
[7] https://www.lemonde.fr/pixels/article/2018/08/11/decouverte-d-une-faille-touchant-les-
connexions-bluetooth-de-nombreux-objets-connectes_5341645_4408996.html
[8]
Entretien réalisé avec Damien Cauquil
[9] https://www.nextinpact.com/news/106902-une-defaut-bluetooth-low-energy-permet-
prendre-controle-dun-objet-connecte.htm
[10]
Ibid
[11] https://github.com/virtualabs/btlejack
[12] Entretien réalisé avec Damien Cauquil
[13]
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Damien%20Cauquil%20-%20Updated/DEFCON-26-Damien-Cauquil-Secure-Your-BLE-Devices-
Updated.pdf
[14] https://www.lemonde.fr/pixels/article/2018/08/11/decouverte-d-une-faille-touchant-les-connexions-bluetooth-de-nombreux-objets-connectes_5341645_4408996.html
[15]
Entretien réalisé avec Damien Cauquil
[16] https://www.developpez.com/actu/160216/BlueBorne-des-chercheurs-decouvrent-8-failles-0-day-liees-au-Bluetooth-plus-de-5-milliards-d-appareils-Android-Windows-iOS-et-Linux-
sont-exposes/
43
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page44
NORME
Cybersécurité et véhicule
connecté : émergence de
la norme ISO-SAE 21434
Par Briag Monnier, Responsable Pôle CyberSécurité Automotive chez SCASSI
A noter en préambule que l’ISO21434 se construit en accord avec la SAE ( Society of Automotive Engineers ), et pour une convergence
entre ISO et SAE. Le pendant côté SAE est jusqu’à présent le référentiel suivant : SAE J3061 [1].
L’émergence de standards est courante dans l’industrie automotive ; communication, les industriels et le secteur public construisent des
citons par exemple l’adoption du bus CAN, par tous les constructeurs standards.
internationaux, malgré l’initiative française du bus VAN. De même que Nous pourrons citer également pour l’industrie automotive AUTOSAR,
pour l’industrie des télécoms, via les groupes de travail public/privé 3GPP pour les interfaces des composants logiciels, SPICE pour le système
et 5GPP, la notion d’interopérabilité étant le principe même de la qualité, et dans une moindre mesure OSEK pour les OS temps réel.
44
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page45
NORME
Source : http://asq.org/audit/2017/10/auditing/automotive-security-challenges-standards-and-solutions.pdf
45
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page46
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page47
NORME
Petite comparaison avec l’avionique composants d’un véhicule. L’enjeu principal accidentée d'appeler instantanément les
Faisons une comparaison avec le monde de derrière le souci d’optimisation est la réduction services d'urgence tout en envoyant sa position
l’embarqué avionique cette fois. des coûts. Les architectures logicielles et précise, que ses occupants soient conscients ou
En avionique, en ce qui concerne l’impact matérielles doivent être dimensionnées au plus non, et quel que soit le pays de l'UE dans lequel
Safety, des mesures palliatives peuvent être juste au moment de la conception, car elles elle se trouve. Basé sur le « E112 » (Enhanced
un mode dégradé pendant lequel un pilote impactent des millions de véhicules pour les 112), c'est-à-dire le numéro unique d'urgence
qualifié peut suivre des procédures d’urgence. constructeurs généralistes. européen 112 amélioré de la géolocalisation,
Or, tout le monde (muni d’un permis valide Ainsi, il est primordial de pouvoir faire plus avec l’eCall permettrait une intervention plus rapide
bien entendu) peut conduire une voiture, et le même matériel ou alors de pouvoir choisir une des services d'urgence, adaptée à la sévérité de
les arbres de défaillances traitant de la plateforme avec moins de mémoire ou un l'accident et au type de véhicule impliqué,
sécurité ne peuvent prendre en considération processeur moins cher, lorsque les conditions le réduisant ainsi la mortalité et la gravité des
des mesures d’urgence appliquées par un permettent. blessures résultant des accidents de la route.
pilote hyper compétent, comme nous L’eCall est l’exemple type de la fonction de
pouvons l’imaginer sur un avion. Qu’est-ce qu’une voiture Safety, qui devrait être traitée avec une analyse
En automotive, le conducteur peut et doit être de risques de cybersécurité afin d’être certifiée
suppléé, voire il peut être lui-même l’origine connectée ? et homologuée.
du danger.
Or, malgré tous les ajouts des équipements
de confort, il ne faut pas oublier que les
équipements doivent apporter de la Safety en
termes de sûreté de fonctionnement, sécurité
des biens et des personnes, et en aucun cas
dégrader le niveau de Safety en cours.
L’interopérabilité
Le problème se pose entre autres sur les plans
logiciels et matériels, ainsi que pour l’adéquation
entre les deux. Un des problèmes importants est
l’interopérabilité entre les composants logiciels
provenant de différentes sources, mais c’est Source : https://connectedautomateddriving.eu/wp-content/uploads/2017/12/RDW-Presentation.pdf
précisément pour cela que des standards, tels
qu’AUTOSAR (évoqué précédemment) sont Au même titre que d’autres produits et d’autres Dans le contexte de cet article, un véhicule
déployés. industries, l’évolution technologique des connecté intègre des systèmes de
véhicules au cours des 20 dernières années est communications, souvent sans fil. La quasi-
Sûreté fonctionnelle énorme. Pour preuve, deux pans remarquables : totalité des modèles actuels sont connectés, ne
La sûreté fonctionnelle des composants des assistances à la conduite (ADAS), et de la serait-ce que pour respecter l’obligation
électroniques représente un problème au regard connectivité de loisirs (infotainment), avec des d’intégrer la fonctionnalité eCall, depuis mars
de la complexité des systèmes utilisés. En convergences règlementaires, telles que l’eCall. 2018. La connectivité indique donc un moyen
particulier, il peut être difficile d’évaluer la sûreté Tous les véhicules produits à partir de 2018 de communiquer, en émission et réception, sur
de fonctionnement d’un calculateur ayant une auront, par ce biais, l’obligation d’intégrer une des liens hertziens, a priori les liens télécoms,
architecture matérielle moderne et un nombre fonction de sécurité : un appel d’urgence 2G, 3G, 4G, et demain 5G. On retrouve
très important de composants logiciels multi- automatique en cas de détection de crash du également le système de navigation : GPS,
sources. C’est pour répondre à ce défi que la véhicule. Galileo, etc.
norme ISO 26262 a été définie.
L’ISO21434 reprend la même démarche, De plus en plus de fonctionnalités… Les liens hertziens de plus en plus
appliquée aux enjeux de cybersécurité : donc de complexité et de vecteurs importants
confidentialité, disponibilité, intégrité des d’attaques Ces liens hertziens permettent de rebasculer vers
données et des fonctions des calculateurs. Sur Les véhicules actuels intègrent pour la plupart le monde IP, avec une architecture Cloud que
des systèmes embarqués dans l’industrie des tableaux de bord connectés, des systèmes nous retrouvons dans d’autres environnements.
automotive, l’ISO26262 et l’ISO21434 seront de positionnement (GNSS), de la connectivité Une petite particularité du monde automotive :
liées, a priori dans les activités métiers, de vers les smartphones via le Bluetooth. le premier flux de données va dans le Cloud de
développement, mais également tout au long L'eCall [2], évoqué précédemment, est une l’OEM, c’est-à-dire la marque de la voiture, puis
du cycle de vie des composants du véhicule. initiative de la Commission européenne visant ensuite sera soit transféré vers le Cloud d’un
à introduire, dans tous les véhicules vendus dans Tier 1 (par exemple le fabricant de calculateur
L’optimisation l'Union européenne, un système d'appel d’injection), soit les données seront renvoyées
Il s’agit d’un challenge qui intervient à différents d'urgence automatique, basé sur un service vers le fabricant du Tier 1 avec l’accord de
niveaux d’échelle et pour de nombreux public. Ce système permet à une voiture l’OEM.
47
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page48
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page49
NORME
Bien sûr, toutes les données à caractère personnel sont à traiter en Un postulat : « Safety AND Security »
conformité avec le RGPD, ce qui peut parfois s’avérer complexe, si l’on La construction d’un référentiel de cybersécurité automotive repose aussi
considère qu’un horodatage, corrélé avec une donnée de positionnement sur le postulat que si un système n’est pas sécurisé (au sens cybersécurité),
ainsi qu’un numéro de pièce, constitue une donnée personnelle. il n’est vraisemblablement pas sûr ou sécuritaire (au sens de la sécurité
D’autres liaisons vont devenir de plus en plus importantes, des biens et des personnes). A ce sujet, nous vous engageons à lire l’article
vraisemblablement plus liées au déploiement de la 5G en raison des suivant, que nous résumerons ici trivialement par « If it’s not secure, it’s
latences attendues : les communications V2V et V2I, c’est-à-dire véhicule not safe » [Robin Bloomfield, Robert Stroud. Security-Informed Safety ”If
à véhicule, et véhicule à infrastructure. it’s not secure, it’s not safe”. Marc-Olivier Killijian. Safecomp 2013
Imaginons seulement l’un des pires scénarios avec la prise en main d’un FastAbstract, Sep 2013, Toulouse, France. pp.NC, 2013].
véhicule à distance, l’activation de son freinage d’urgence, communiqué
de manière quasi immédiate à son environnement, le tout sur un Un autre enjeu de la norme : couvrir tout le cycle de vie
périphérique d’une mégapole un vendredi soir au pic de circulation. Si du véhicule
les ADAS sont bien conçus, les impacts en Safety des véhicules (du moins Un autre enjeu est d’assurer la cybersécurité pendant toute la durée de
les plus récents) seront faibles, en revanche le périphérique, voire la ville vie de chaque composant de la voiture, du design à la mise au rebut
pourraient être bloqués par ce piratage. (decommissioning) : cela signifie à la fois n’importe quand dans la vie du
composant, dans les phases de conception, de développement et de
Les liens physiques ou hertziens locaux production (opérations, maintenance et mise au rebut).
Ne négligeons pas le diagnostic ni l’infotainment, qui présente également
de potentiels vecteurs d’attaques :
• Diagnostic : prise OBD2, accès aux bus de
terrain CAN, voire FlexRay, Ethernet, LIN ;
• Infotainment : USB, Bluetooth, Wi-Fi, client ou
hotspot, CD ;
• Capteurs physiques : radars, caméras…
En cas d’accès physique au véhicule, nous
devons aussi couvrir les liaisons portées par les
cartes électroniques, les liaisons séries, voire les
connecteurs JTAG/SWD laissés accessibles,
notamment pour éviter les risques de reverse
engineering.
L’ISO21434,
en convergence
avec la SAEJ3061 Les activités de cybersécurité, au cours du cycle de vie du développement d’un véhicule (source ISO)
49
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page50
G S HONES DE LA SÉCURITÉ
Da y s
11
RANCOP
NÉES F
ES JOUR N
L O
I TI 1 9
D 2 0 RIS 3 èm
e
e É I L IN - PA
èm
R
11 A AINT- V M A R T
2 ES A C
ESP
Un cycle
de conférences
techniques,
organisationnelles
et juridiques
NORME
Le but est relativement simple et de bon sens : les développements HW Ci-dessous, un autre exemple d’adaptation des menaces en cybersécurité
et SW dans la filière automotive sont maîtrisés et matures, grâce à à l’automotive :
l’ISO26262. Il est donc pertinent de suivre ce
process et d’y appliquer les activités de
cybersécurité, et de les intégrer au plus tôt
(Security by Design). Ce process structuré, pour
assurer la cybersécurité, a pour but de réduire les
risques d’attaques, et donc leur vraisemblance,
mais aussi de permettre de réagir à un
changement régulier du paysage des menaces.
51
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page52
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page53
NORME
d’un véhicule, qui pourrait être potentiellement de 7, 10, 20, 25 ans… de patcher éventuellement des firmwares, mais il peut également
Il est plus usuel de parler d’usure et d’heure de fonctionnement dans induire lui-même des vecteurs d’attaques. De plus, la conception de
l’industrie automobile. Mais quid de la robustesse d’une clé publique la cybersécurité du FOTA doit être assez souple pour garantir sa
stockée dans un répertoire sécurisé de la flash d’un ECU [5] ? robustesse dans le temps.
Cette norme ISO21434 servira vraisemblablement de référentiel pour
Fin de cycle une homologation. Des tests de cybersécurité des futurs véhicules
Ainsi, protéger le véhicule en phase de vie nominale semble « normal » connectés seront à prévoir, en plus des analyses de risques.
du point de vue de la cybersécurité. Cependant, la compatibilité avec Pour progresser dans l’évaluation de la cybersécurité, ainsi que la
les procédures de mises au rebut adéquates est moins évidente. maîtrise des process, les OEM, Tier 1 et Tier 2 devront faire appel à
Un exemple avec la CVE 2017-14937, relative à l’exploitabilité de des compétences souvent externes sur des métiers types : par exemple
l’airbag [6]. Il existe une procédure permettant de déclencher la pour des analyses de risques, ou des White Hat pentesters en soutien
détonation de l’airbag avant la mise au rebut du véhicule, et son des équipes de gouvernance, à intégrer au plus proche des projets.
recyclage. En revanche, la procédure est exploitable tout au long du Pour les OEM, Tier 1,2,3, l’ISO21434 donnera un cadre de travail
cycle de vie du véhicule, avec en prérequis d’avoir accès au bus CAN. relativement exhaustif. Cependant, il n’inclut pas les aspects de
confidentialité propres au règlement européen RGPD, à la directive
NIS, ainsi qu’au Pack de Conformité publié par l’ANSSI, auxquels les
Conclusion Responsables Sécurité des véhicules et de leurs composants doivent
se conformer.
Enfin, la norme traite de la cybersécurité des véhicules connectés. Il
La parution de la norme permettra de standardiser les pratiques, n’est pas fait mention ici des véhicules autonomes, qui promettent
d’élever in fine le niveau de cybersécurité des véhicules, durant tout également de beaux défis aux acteurs de la cybersécurité d’aujourd’hui
leur cycle de vie, et de converger ainsi avec la Safety. et de demain, en multipliant de façon exponentielle la complexité, les
L’un des défis techniques actuel et futur réside dans la maîtrise du vecteurs d’attaques et les scénarios de risques. ■ ■ ■
FOTA, car il peut s’avérer une mesure de sécurité en soi, en permettant
https://wiki.unece.org/pages/viewpage.action?pageId=40829521
[6] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14937
53
GSMAG-45-OK_Mise en page 1 13/12/18 16:26 Page54
?
le grand quizz
Testez vos connaissances sur le « Shadow IT »,
avec Michel Gérard, Conscio Technologies
(Une seule réponse possible)
?
a. La délocalisation de l’IT dans un endroit confidentiel
b. Le développement de solutions IT dans le dos de la DSI
c. Une nouvelle façon plus agile de mettre en œuvre un projet IT
?
d. La mise à l’ombre de l’IT afin d’économiser l’énergie des
climatisations
54
?
GSMAG-45-OK_Mise en page 1 13/12/18 16:27 Page55
?? ?
??
de sensibilisation
HIVER 2018
Par Michel Gérard, PDG de Conscio Technologies
10
10- En quoi le Shadow IT peut favoriser les
attaques d’ingénierie sociale ?
a. En rien, puisque les cybercriminels ne ciblent que le SI
officiel
b. Le Shadow IT peut offrir de nouvelles opportunités
d’attaques ciblant des utilisateurs vulnérables, car isolés
c. Le risque est faible, car les données qui seraient ciblées ont
peu de valeur
d. Le risque est faible, car l’utilisateur connaissant les services
choisis ne se laissera pas facilement duper
DATA CENTER
© AridOcean
Énergie solaire :
un potentiel immense
pour les DC en Afrique
Interview d’Antoine Boniface, CEO d’Etix Everywhere
Par Marc Jacob et Emmanuelle Lamandé
En 2050, près d’un quart des données produites à l’échelle mondiale seront africaines. Si aujourd'hui
bon nombre de ces données sont encore hébergées en dehors du continent africain, du fait du
manque d’infrastructures, ce ne sera certainement plus le cas dans les années à venir, le marché des
Data Centers y étant en plein essor. Pour asseoir son développement, l’Afrique pourra également
tirer parti d’alternatives présentant un fort potentiel sur son territoire, comme l’énergie solaire.
Global Security Mag : Quel état des lieux faites-vous du mobile, du mobile banking et de l’e-commerce. Les opérateurs
marché des Data Centers en Afrique francophone ? Quelles télécoms et les start-ups ont besoin d’infrastructures techniques
en sont les principales caractéristiques ? robustes pour développer des services mobiles de qualité, adaptés aux
usages des populations du continent. L’urbanisation croissante des
Antoine Boniface : Aujourd’hui, beaucoup de données africaines pays africains participe également aux besoins grandissants d’espaces
sont encore hébergées en dehors du continent, du fait du manque d’hébergement.
d’infrastructures. Les différents câbles sous-marins construits au début Les services de santé développés par les entreprises pharmaceutiques
des années 2010 ont permis d’initier le désenclavement de l’Afrique et les services de cyberadministration exigent des infrastructures
et le déclenchement de sa transformation digitale. locales sécurisées, notamment pour des raisons de gouvernance et de
Si on dénombre une centaine de Data Centers et salles informatiques souveraineté nationale.
à travers le continent africain, l’écrasante majorité des DC se situent
aujourd'hui en Afrique anglophone, et notamment en Afrique du Sud, GS Mag : Quels sont les pays les plus dynamiques dans le
ce qui s’explique simplement par le fait que l’industrie du numérique développement de ce marché ?
est actuellement dominée par des acteurs anglo-saxons. Néanmoins,
depuis quelques années, l’Afrique francophone connaît un certain Antoine Boniface : 15 pays africains génèrent plus de 80% du PIB,
développement au niveau numérique. Le Maroc, le Sénégal et la Côte parmi lesquels on retrouve l’Algérie, le Maroc, la Tunisie, la Côte
d’Ivoire ont récemment vu s’ouvrir des Data Centers sur leurs d’Ivoire, le Cameroun, le Rwanda et le Sénégal.
territoires. Les pays francophones d’Afrique de l’Ouest et les pays d’Afrique du
Nord sont actuellement les plus dynamiques sur le marché des Data
Centers, les autres pays ayant une population plus rurale et des
EN 2050, UN QUART DES DONNÉES infrastructures moins développées. Le Sénégal, la Côte d’Ivoire, le
Cameroun, le Bénin et le Maroc sont les pays les plus dynamiques et
PRODUITES À L’ÉCHELLE MONDIALE les plus avancés en termes de maturité digitale.
SERONT AFRICAINES GS Mag : Quels sont les principaux acteurs présents sur ce
GS Mag : Quels sont les principaux besoins aujourd'hui des marché ? Y a-t-il beaucoup d’opérateurs privés ? Sont-ils
entreprises et opérateurs d’Afrique francophone en matière majoritairement locaux ou étrangers ?
d’hébergement et de Data Centers ?
Antoine Boniface : Les principaux acteurs présents sur ce marché
Antoine Boniface : En 2050, un quart des données produites à sont aujourd’hui les États et les opérateurs télécoms internationaux.
l’échelle mondiale seront africaines ; les Data Centers sont donc un On peut notamment citer Orange, qui a ouvert des infrastructures au
pilier du développement du continent. On assiste désormais à une Sénégal, en Côte d’Ivoire et au Cameroun, ou encore Millicom (Tigo)
demande croissante d’espaces d’hébergement et de bande passante. qui bénéficie de deux DC au Tchad et au Sénégal.
La démographie africaine – l’âge moyen est de 17 ans sur le continent De son côté, Etix Everywhere dispose d’ores et déjà d’un Data Center
– participe beaucoup à l’adoption et à la généralisation rapide des de colocation au Maroc et quatre autres projets sont actuellement en
nouvelles technologies. On observe ainsi une croissance fulgurante du cours d’exécution (au Ghana, à Djibouti et en Ouganda).
56
GSMAG-45-OK_Mise en page 1 13/12/18 16:27 Page57
DATA CENTER
DC : UN INVESTISSEMENT
STRATÉGIQUE EN TERMES DE
SOUVERAINETÉ ET DE COMPÉTITIVITÉ
GS Mag : Quelle est l’influence des États dans le DATA CENTER
développement de cette filière ?
Solar energy: huge poten
tial for DCs in Africa
Antoine Boniface : Les États ont très vite compris l’investissement
stratégique que représentaient les Data Centers, en termes de Interview with Antoine Bon
iface,
souveraineté, de croissance et de compétitivité. De nombreuses CEO of Etix Everywhere
données africaines sont encore aujourd’hui exploitées en dehors du By Marc Jacob and Emmanue
lle Lamandé
continent. Les gouvernements ont désormais intégré l’obstacle que
cela représentait en termes de gouvernance économique et de By 2050 nearly a quarter of
the world's data output will
transparence. come from Africa. While mu
ch of this data today is still
Les États d’Afrique francophone sont de véritables catalyseurs dans hosted outside the African
continent, due to lack of
la modernisation de leurs territoires et dans la structuration de la infrastructure, this will certain
ly not be the case in the
dynamique numérique. Cela peut passer par différentes politiques de coming years, as the data cen
ter market is booming. Africa
développement, de réformes politiques ou encore le développement will also be able to take adv
antage from the development
de la cyberadministration. On peut prendre l’exemple de la Côte of alternative high-profile reso
urces, such as solar energy,
d’Ivoire qui, depuis 2012, s’est lancée dans la construction d’un réseau for future growth.
national de 7 000 km de fibre optique. Le chantier, qui finira à la fin
de l’année, permettra de connecter toutes les administrations, mais
également de démarrer de nombreux projets, jusqu’alors impossibles.
La majorité des pays d’Afrique francophone ont engagé des réformes
pour la libéralisation du marché des télécoms, ce qui a permis
l’apparition de nouveaux acteurs, la baisse des prix des services et
l’amélioration de leur qualité. Cependant, même si le nombre
d’opérateurs télécoms a augmenté depuis les années 90, la
concurrence reste actuellement limitée, et la libéralisation du marché
n’a pas concerné tous les secteurs.
Au-delà de la modernisation du pays, les Data Centers participent à
développer l’attractivité du territoire et à attirer des capitaux étrangers.
LA PRODUCTION ÉNERGÉTIQUE
REPRÉSENTE ENCORE UN FREIN
DANS CERTAINS PAYS
GS Mag : Les ressources énergétiques et Télécoms sont-elles
suffisantes pour assurer des services de haute disponibilité
tant aux opérateurs qu’à leurs clients ?
57
GSMAG-45-OK_Mise en page 1 13/12/18 16:27 Page58
GS Mag : Quelles sont les principales caractéristiques GS Mag : Y a-t-il comme en France des problèmes de main
techniques de ces Data Centers ? d’œuvre dans ces pays ? Si oui, quels sont les profils les plus
demandés ?
Antoine Boniface : Les Data Centers existants sont principalement des
DC de taille moyenne, avec une ou plusieurs salles informatiques aux Antoine Boniface : La construction d’un Data Center nécessite des
alentours de 300m2 et un niveau modéré de redondance technique. compétences très diverses (génie civil, génie électrique, génie climatique,
En ce qui concerne les technologies de cooling utilisées, les pays d’Afrique sécurité, protection incendie, informatique, etc.) qui peuvent être parfois
francophone traversent quatre types de climats : méditerranéen, tropical, difficiles à trouver dans les bassins d’emplois locaux. La rareté des profils
équatorial et désertique. Chaque climat suppose une technologie de compétents se situe principalement au niveau des profils ingénieurs en
cooling différente et adaptée. Le climat méditerranéen permet d’utiliser électricité et en climatisation. La problématique se situe également au
en partie le Free Cooling via la mise en place de groupes de production niveau de l’expérience pratique, qui manque notamment pour les
d’eau glacée. Dans la partie tropicale, on voit principalement des systèmes ouvrages du type Data Centers.
à détente directe, mais beaucoup de Data Centers ont un système de
cooling conçu sur mesure. Cela ne dépend pas que de la température, MOBILE & MOBILE BANKING
mais également de l’hygrométrie, de l’altitude, de la qualité de l’air, etc.
CONNAISSENT UNE CROISSANCE
ÉNERGIE SOLAIRE : UN POTENTIEL FULGURANTE
IMMENSE EN AFRIQUE GS Mag : Les pays d’Afrique francophone sont-ils suffisamment
digitalisés pour voir des opérateurs internationaux s’y
GS Mag : Les technologies solaires sont-elles utilisées dans ces
intéresser ?
pays ? Si oui, de quelles manières et dans quels contextes ?
Antoine Boniface : Entre 2005 et 2010, l’Afrique a enregistré un taux
Antoine Boniface : L’Afrique constitue un marché potentiel immense
de croissance de la pénétration de l’Internet annuel cumulé de 34%, soit
pour l’énergie solaire photovoltaïque, grâce à un taux d’irradiation deux
le taux plus élevé du monde. De même pour les abonnements aux
fois supérieur à celui des pays européens.
services mobiles cellulaires avec 27% en moyenne, selon les statistiques
Aujourd’hui, les principaux exemples de Data Centers alimentés par les
de l’Union Internationale des Télécom-munications (UIT). Le nombre de
technologies solaires se situent dans des pays d’Afrique anglophone,
smartphones augmente également de façon fulgurante.
comme en Afrique du Sud, au Ghana et au Kenya.
Parmi les usages digitaux de la population des pays d’Afrique
Dans les pays francophones, l’énergie solaire se développe très vite au
francophone, il faut impérativement citer le mobile banking. En 2017,
niveau rural, pour un usage privé. On voit néanmoins apparaître de plus
plus de la moitié des paiements mobiles ont été réalisés sur le continent
en plus de centrales solaires. Par exemple, le Sénégal a ouvert cette année
africain. En Afrique subsaharienne, environ 12% des adultes détiendraient
sa 4ème centrale solaire. Fin 2018, les énergies renouvelables atteindront
un compte bancaire mobile qui n’est relié à aucun compte bancaire
23% dans le mix énergétique du pays, qui a pour objectif d’atteindre les
classique. On peut citer les exemples de Wari, au Sénégal, et Mobicash
30% d’ici 2020. Il en est de même au Burkina Faso, au Rwanda, au
au Rwanda.
Tchad, etc.
Le nombre de start-ups créées est relativement élevé dans les pays les
plus dynamiques d’Afrique francophone. En 2015, le nombre de jeunes
GS Mag : Que font les opérateurs de DC pour remédier aux
pousses était de 500 en Côte d’Ivoire et 250 au Maroc. Et le secteur se
problèmes liés à la chaleur ?
dynamise de plus en plus : en 2017, le nombre de start-ups a augmenté
de 16,8% à l’échelle du continent.
Antoine Boniface : Tout d’abord, tous les pays n’ont pas la même
On assiste également au développement des smart cities, où le Data
problématique de chaleur. Un Data Center au Maroc ou au Sénégal se
Center est devenu une pièce maîtresse indispensable.
trouvera presque dans les mêmes conditions que leurs équivalents
européens. Notre Data Center de Casablanca au climat méditerranéen a
GS Mag : Quelle est la place des entreprises françaises sur ce
un taux d’efficacité énergétique comparable à celui de nos autres DC
marché ? Quels sont les acteurs français les plus présents tant
situés sur le sol français.
au niveau des opérateurs de Data Centers que des
De nombreux Data Centers se trouvent déjà dans des zones équatoriales
équipementiers ?
– Singapour, Hong Kong – et peuvent servir de modèle de développement
lors de l’implantation de DC dans des zones similaires. Ces Data Centers
Antoine Boniface : Si les entreprises françaises sont bien implantées
seront effectivement moins efficaces que les infrastructures situées dans
en Afrique francophone, elles doivent faire face à la concurrence d’autres
des pays plus frais, mais il s’agit aussi de penser la stratégie
constructeurs et opérateurs européens et internationaux, comme le
d’hébergement des données.
suédois Flexenclosure et le groupe chinois Huawei. Parmi les entreprises
De plus, de nombreuses innovations sont à étudier et à tester, comme
françaises présentes sur le marché de l’Afrique francophone, on peut citer
par exemple :
Orange, Schneider Electric, SDMO, Cap DC, etc.
• L’énergie solaire et le photovoltaïque, qui sont des solutions
envisageables pour alimenter les Data Centers. Nous sommes
actuellement en train de mettre en place cette solution pour notre DC ALIMENTATION ÉLECTRIQUE,
situé au Ghana, Etix Accra #1. NEUTRALITÉ, LATENCE : DES AXES
• Pour les pays d’Afrique subsaharienne, le froid solaire utilisé (solution
de refroidissement qui produit du froid à partir de l’énergie solaire) QUI RESTENT À AMÉLIORER…
pourrait être une solution pertinente.
GS Mag : Quels sont les principaux freins au développement
de ce marché ?
DATA CENTER
des DC en Afrique sont l’alimentation électrique, la neutralité/ … MAIS TOUS LES VOYANTS SONT
compétitivité des télécoms, les coupures administratives d’Internet et
le financement. L’alimentation électrique est l’un des principaux sujets AU VERT POUR LE DÉVELOPPEMENT
de préoccupation lors de l’implantation d’un DC en Afrique. Les Data DU MARCHÉ DES DC
Centers nécessitent une alimentation fiable et continue. De plus, la
libéralisation du marché des télécoms n’est pas totale, et par GS Mag : Enfin, quel est, selon vous, l’avenir de ce marché en
conséquent, n’a pas apporté tous les effets attendus. Par exemple, le Afrique francophone ? Et quelle place pourraient prendre les
monopole de Camtel sur la fibre optique au Cameroun empêche la entreprises françaises dans les années à venir ?
création de Data Centers neutres. Les coupures administratives
d’Internet détériorent, quant à elles, la confiance des investisseurs. Les Antoine Boniface : Que l’on regarde l’évolution des chiffres de la
déconnexions sont particulièrement fréquentes lors de périodes démographie ou celle de l’usage des smartphones, on ne peut pas ignorer
électorales. Le Togo a, par exemple, coupé Internet pendant 5 jours, le potentiel que représente le marché d’Afrique francophone pour les
au mois de septembre l’année dernière. Enfin, l’accès au financement années à venir. La question de la localisation des données et celle de la
est également souvent une entrave dans les pays d’Afrique latence vont également accélérer le développement du marché des Data
francophone. Le marché bancaire traditionnel est actuellement très Centers. L’Afrique innove également beaucoup. Tous les indicateurs sont
peu structuré, les produits de financement très peu variés et les taux donc au vert.
d’intérêts très élevés. Comme les leaders anglo-saxons de l’industrie numérique développent
les marchés des Data Centers en Afrique anglophone, les entreprises
françaises ont une place à prendre pour accompagner le développement
des infrastructures en Afrique francophone. ■ ■ ■
Sources :
http://www.jeuneafrique.com/30969/economie/gestion-des-donn-es-l-afrique-bient-t-sur-un-nuage/
https://www.deloitte-france.fr/formulaire/telechargement/barometre-de-la-maturite-digitale-des-organisations-
africaines?_ga=2.31718970.509511964.1530885376-1030849618.1530885376
https://www.financialafrik.com/2017/08/06/mobile-banking-en-afrique-moteur-de-linclusion-financiere/
https://www.journaldunet.com/solutions/expert/59412/le-developpement-des-data-centers-en-afrique.shtml
https://www.bbc.com/afrique/region-41449099
https://www.ticmag.net/accelerer-presence-data-centers-afrique/
https://www.afd.fr/sites/afd/files/2018-05-05-57-55/etude-innovation-numerique-afrique-pays-emergents.pdf
http://www.afrikatech.com/fr/telecom/etat-des-lieux-du-secteur-informatique-et-telecoms-en-afrique-en-2017/
http://perfcons.com/bibliotheque/publication/PDF/doc%20sectoriel/TelecomsAfrique.pdf
https://www.cairn.info/revue-afrique-contemporaine-2010-2-page-113.htm
59
GSMAG-45-OK_Mise en page 1 13/12/18 16:28 Page60
DATA CENTER
© AridOcean
OpenDCIM : les bonnes
raisons pour l’adopter !
Par Ludovic Gay, Directeur Général Adjoint de Stephya
Le Data Center Infrastructure Management – DCIM – est devenu en quelques années l’un des ressorts
d’efficacité de l’exploitation des Data Centers. Logiciel de supervision et de pilotage de l’activité,
les solutions DCIM permettent de mieux assurer la production IT au sein du Data Center. Ces
applications permettent également d’être au service de la criticité de la production de données, à
l’heure où de plus en plus de services et d’applicatifs métiers exigent une disponibilité totale. On ne
citera ici que la seule vente par Internet, où la moindre minute d’indisponibilité peut coûter des
millions d’euros.
Maîtriser son infrastructure nécessite tout d’abord de bien la connaître : connectivité fera l’objet des premiers efforts. Dans d’autres, c’est le
« on ne peut simplement pas gérer quelque chose qu’on ne mesure parc applicatif qui sera audité, ou encore l’ensemble des équipements
pas », dit Richard Quinn, VP Qualité de SEARS. Et de fait, en moyenne électriques qui seront inventoriés. Cette capacité à livrer un sur-mesure
10% des données d’inventaires d’un centre de données (Data Center) est importante, car elle apporte de la valeur directement perçue par
peuvent être fausses. De plus, nous avons constaté que les gestions les utilisateurs… et leurs directions.
de configuration omettent parfois jusqu’à 40% des ports. Solution souvent vue comme d’entrée de gamme, OpenDCIM n’en
Avant même l’utilisation d’un outil DCIM se pose donc la question de possède pas moins la capacité de livrer une véritable intégration,
la cartographie de l’infrastructure considérée. Sur une base bien pertinente, avec une portabilité et des possibilités d’évolutions pour
documentée cependant, les économies réalisées grâce au DCIM sur coller aux besoins et à l’état de l’infrastructure.
les coûts d’exploitation (maintenance, gestes techniques, entretien…) Si recourir à OpenDCIM implique parfois d’effectuer du
peuvent être de 20 à 30% selon les études. Chez STEPHYA, nous développement, ce dernier peut être fait « à façon », dans un process
avons mesuré une réduction moyenne des coûts d’exploitation de agile et incrémentiel. Ce développement appelle par conséquent une
12% avec l’utilisation de l’OpenDCIM, qui n’est pas la solution la plus construction par briques, qui sont des modules réutilisables, avec une
complète, mais assurément la moins coûteuse. Dans ce contexte, amélioration par itérations.
l’adoption de la solution OpenDCIM est porteuse de sens avec, nous
allons le voir, de nombreux bénéfices.
FAIRE L’INVENTAIRE ET HIÉRARCHISER
OPENDCIM : UNE SOLUTION OUVERTE SES OBJECTIFS
ET SUR-MESURE Il est d’ailleurs assez paradoxal de constater que – dans un métier où
énormément de choses font l’objet de normes très contraignantes –
Le premier avantage est celui de l’ouverture. OpenDCIM, comme son la réalité du terrain reflète une très grande diversité des besoins et de
nom l’indique, est une solution ouverte et, si elle nécessite un juste leur expression. Une solution DCIM sérieuse doit effectivement
investissement en termes de gestion de projet, elle permet d’obtenir adresser un grand nombre de sujets : actifs présents, gestion de la
un très bon outil sur mesure, interfaçable avec de nombreuses autres capacité, changement, environnement, et bien sûr énergie sous le
solutions métiers, notamment de gestion des tickets. Prenons le temps double aspect de mesure fine de sa consommation et de son contrôle.
d’insister : Open couvre nativement les premiers besoins de Face à un tel périmètre, il faut savoir très tôt hiérarchiser ses attentes
l’exploitant, permet une familiarisation avec les concepts clefs en et ses objectifs avant une implémentation : quels retours attendus,
matière de DCIM, mais surtout il s’adapte aux demandes et à la quelle hiérarchisation des objectifs, pour quels délais et sur quels
hiérarchisation des besoins des responsables d’exploitation. C’est une critères d’appréciation de performance ou de succès ?
solution bien plus souple et « sur-mesure » que la majorité des autres
solutions DCIM du marché. Dans certains cas, la couche Télécoms et Dans la plupart des missions visant à implémenter une solution DCIM
60
GSMAG-45-OK_Mise en page 1 13/12/18 16:28 Page61
DATA CENTER
SONGER À LA MAINTENANCE
QUOTIDIENNE DE L’OUTIL
Sur les couches de services les plus hautes, il faudra songer à la
maintenance quotidienne de l’outil OpenDCIM, pour préserver sa
pertinence : comment intégrer un nouveau matériel ? Quels sont les
phases et états successifs pour un même équipement ? Combien
d’interventions pour un élément ? On bâtira et fera vivre un processus
de gestion des matériels selon un statut : fournisseur, intégrateur, en
charge du support, etc. Ce sont ces données de gestion administrative
61
GSMAG-45-OK_Mise en page 1 13/12/18 16:28 Page62
PUBLI-INFO
pour gérer les équipements, leur installation et leur
consommation.
On leur reproche pourtant leurs nombreuses 3. Comment fonctionne cette suite ?
fonctionnalités ou la complexité de leur déploie-
ment. Nous avons recueilli l’avis de Gwenaël
Adine, Responsable des solutions électroniques
et logicielles chez EFIRACK. En charge des projets
de déploiement des logiciels DCIM chez les
clients, Gwenaël est également formateur sur ces
solutions.
www.efirack.com
Bureau commerciaux Z.A. Le Clos aux Pois 68, rue de la Closerie CE 4822 LISSES 91048 ÉVRY Cedex Tél : +33 (0)1 69 11 17 17 Fax : +33 (0)1 60 86 25 76
GSMAG-45-OK_Mise en page 1 13/12/18 16:28 Page63
DATA CENTER
PUBLI-INFO
qui permettent de produire les documents de type plan de prévention production de données qui sont possibles avec la simple – mais
et feuille de route pour intervenants externes. La mise en place de ces rigoureuse - utilisation d’OpenDCIM.
fonctions de back office est en elle-même un chantier à ne pas sous-
estimer, en particulier si elle comporte l’importation en masse de Enfin, signalons le prix d’achat des diverses solutions, dans un
sources et données existantes dans des fichiers tiers : rien ne se passe rapport de 1 à 20. Nous avons en effet calculé que le coût à la baie
jamais facilement à cette étape indispensable du projet avec OpenDCIM se situait entre 32 et 95 euros selon les besoins
d’implémentation. fonctionnels supplémentaires à développer. Comparativement, le
coût moyen des autres DCIM se situe entre 100 et 600 euros !
OpenDCIM va aussi gérer des droits, pour que chaque intervenant
puisse avoir un guide correspondant à ses besoins, mais restreint à En conclusion, si OpenDCIM n’est pas la solution la plus complète
eux seuls. L’accès aux racks, ou à certains locaux techniques, dépend du marché, elle peut soit suffire aux besoins de l’exploitant de Data
d’une habilitation, variable dans le temps, et de laquelle dépend à son Center, soit être la première étape vers une gestion plus rigoureuse
tour la bonne indexation des interventions effectuées et le respect des et l’acquisition à terme d’une solution plus riche. En définissant ses
normes de sécurité (ISO 20000, ISO 27001). besoins exacts à faible coût, le directeur d’exploitation peut
améliorer ses comptes rendus auprès de sa direction. Ces derniers
S’il faut chercher une limite, ou un inconvénient, il faut plutôt regarder mettront en avant les bénéfices et gains constatés, ainsi que les
du côté des contraintes inhérentes à tout projet de ce type : la nouveaux besoins éventuels pour mettre en place une spirale
nécessité de partir des spécifications, puis de réaliser le ou les vertueuse d’amélioration des frais de fonctionnement de cette
développements, et enfin d’implémenter. Un projet OpenDCIM est véritable « moelle osseuse » de l’entreprise que constituent le Data
sous cet angle un projet informatique comme les autres. C’est Center et son infrastructure réseau. ■ ■ ■
pourquoi, de la même façon, tout progiciel ou solution d’éditeur
amènera nécessairement son lot de contraintes : les solutions DCIM
les plus abouties sont extrêmement chronophages quand vient le
moment de faire le paramétrage, ou plus exactement les paramétrages
successifs. La nécessaire formation et la maintenance de ces solutions
rendent finalement l’investissement en temps tout aussi important,
voire plus important encore que pour la solution OpenDCIM avec
laquelle vous utiliserez toutes les fonctionnalités et non seulement
30% ou 50% de celles acquises par ailleurs. Et là encore, la réalité
terrain constatée est que l’adoption des solutions de DCIM les plus
puissantes passe par une phase souvent longue, pendant laquelle la
solution est bridée et le périmètre fonctionnel volontairement restreint,
pour permettre la prise en main. Les solutions sont tellement
puissantes et larges que leur compréhension est tout sauf immédiate,
ce qui conduit à les faire fonctionner en mode très dégradé. Ces
implémentations sont à comparer avec le temps moyen constaté chez
STEPHYA pour OpenDCIM : 4 mois.
63
BULLETIN D’ABONNEMENT
❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 60€ TTC (TVA 20%), 75€ hors France Métropolitaine et étranger. THE LOGICAL & PHYSICAL SECURITY MAGAZINE
❒ Abonnement annuel au format PDF du magazine 33€ TTC (TVA 20%) ❒ ou je commande le numéro : au format PDF 12€ TTC (TVA 20%)
❒ Abonnement couplé pour une durée d’un an, magazine papier et PDF au prix de 75€ TTC (TVA 20%)
❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail :
❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service
comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag. En
revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins ma carte
de visite professionnelle (agrafer ici)
et mon adresse mail : Je recevrai par mail une fois par semaine des informations ciblées
Nom Prénom Société
Adresse
Tél. Fax. E-mail
A réception de votre règlement une facture acquittée vous sera adressée par retour. A retourner à :
Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant. S IMP
17, av. Marcelin Berthelot
92320 Châtillon
Date, Signature et cachet de l’entreprise
Tél. : 01 40 92 05 55
© Adrian Grosu
E-mail : ipsimp@free.fr
marc.jacob@globalsecuritymag.com
En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant.
Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.
?
Michel Gérard, Conscio Technologies
10. b
9. a
8. d
7. a
6. a
5. d
4. c
? ?
3. c
2. a
?
1. b