{"id":113158,"date":"2022-05-04T10:00:00","date_gmt":"2022-05-04T08:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=113158"},"modified":"2024-01-19T11:40:25","modified_gmt":"2024-01-19T10:40:25","slug":"repenser-la-securite","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/repenser-la-securite\/","title":{"rendered":"Repenser la s\u00e9curit\u00e9"},"content":{"rendered":"

Selon un article du Spiegel du 7 mars dernier, un rapport de situation sp\u00e9cial de l'Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 des technologies de l'information (BSI) avertit le gouvernement f\u00e9d\u00e9ral que l'Allemagne pourrait bient\u00f4t faire face \u00e0 une attaque contre des \"cibles de grande valeur\" dans le cadre de l'invasion russe de l'Ukraine : Depuis le d\u00e9but de la crise, on observe \"Les cyberattaques contre les fournisseurs d'\u00e9nergie ou les installations militaires, par exemple, sont consid\u00e9r\u00e9es par les milieux de la s\u00e9curit\u00e9 comme la plus grande menace actuelle pour l'Allemagne\".<\/em><\/p>\n\n\n\n

L'Office f\u00e9d\u00e9ral allemand de protection de la Constitution met en garde contre les capacit\u00e9s des services secrets russes \u00e0 \"saboter consid\u00e9rablement et durablement des infrastructures critiques\". Cette \u00e9volution n'est pourtant pas nouvelle : le rapport AXA Future Risks 2021 qualifie d\u00e9j\u00e0 les risques de cyberattaques de deuxi\u00e8me menace mondiale apr\u00e8s le changement climatique et avant les pand\u00e9mies.<\/p>\n\n\n\n

Architectures Kritis<\/h3>\n\n\n\n

Personne ne veut s'imaginer les cons\u00e9quences d'un piratage r\u00e9ussi pour une centrale nucl\u00e9aire ou une usine hydraulique. Ou m\u00eame si des pirates parvenaient \u00e0 couper l'\u00e9lectricit\u00e9 sur l'ensemble du territoire. Les infrastructures critiques concernent de nombreux domaines de la vie quotidienne. Outre l'\u00c9tat et l'administration, l'\u00e9nergie et l'eau, elles comprennent la sant\u00e9, l'alimentation, les transports et la circulation, la finance et les assurances, les technologies de l'information et les t\u00e9l\u00e9communications, les m\u00e9dias et la culture. La nouvelle loi sur la s\u00e9curit\u00e9 informatique SiG 2.0, entr\u00e9e en vigueur au d\u00e9but de l'ann\u00e9e, r\u00e9pond \u00e0 leur niveau de menace. <\/p>\n\n\n\n

La loi sur la s\u00e9curit\u00e9 exige des mesures proc\u00e9durales, directives et r\u00e9actives, entre autres une surveillance de la s\u00e9curit\u00e9 dans les syst\u00e8mes, des mesures de monitoring pour effectuer en amont le durcissement des syst\u00e8mes selon les normes du march\u00e9. Et il y a des obligations concr\u00e8tes sur la mani\u00e8re de construire des architectures Kritis. Il est obligatoire de d\u00e9finir l'infrastructure et les processus de mani\u00e8re \u00e0 ce qu'ils puissent \u00eatre contr\u00f4l\u00e9s et accept\u00e9s ult\u00e9rieurement au regard de la SiG 2.0. Cette qualit\u00e9 de l'architecture et des processus doit \u00eatre prouv\u00e9e tous les deux ans et suppose un changement de mentalit\u00e9 : on ne peut pas simplement continuer \u00e0 faire ce que l'on a toujours fait, mais on doit r\u00e9pondre \u00e0 des exigences concr\u00e8tes.<\/p>\n\n\n\n

\"\"
Complexe, mais pas compliqu\u00e9 : la gestion des informations et des \u00e9v\u00e9nements de s\u00e9curit\u00e9 (SIEM)<\/figcaption><\/figure>\n\n\n\n

Un point important de la loi sur la s\u00e9curit\u00e9 est que la responsabilit\u00e9 a \u00e9t\u00e9 red\u00e9finie et que les m\u00e9canismes de surveillance et de contr\u00f4le doivent \u00eatre int\u00e9gr\u00e9s et d\u00e9sormais \u00e9valuables en temps r\u00e9el. Cela correspond \u00e0 notre exp\u00e9rience de ces derni\u00e8res ann\u00e9es : la plupart des syst\u00e8mes \u00e9taient purement fonctionnels et ne disposaient pas de capteurs qui nous auraient permis d'\u00eatre d\u00e9tect\u00e9s d'une mani\u00e8re ou d'une autre lors de tests d'intrusion mandat\u00e9s. Et si nous y parvenons lors du test d'intrusion convenu, un attaquant r\u00e9el y parviendra \u00e9galement. <\/p>\n\n\n\n

En d'autres termes, les entreprises ne pouvaient jusqu'\u00e0 pr\u00e9sent constater leurs lacunes qu'apr\u00e8s un incident de s\u00e9curit\u00e9 grave - et il n'\u00e9tait pas clair depuis combien de temps cette vuln\u00e9rabilit\u00e9 \u00e9tait exploit\u00e9e. En plus du bureau de notification g\u00e9n\u00e9ral pour la s\u00e9curit\u00e9 informatique au niveau national, le BSI doit donc logiquement \u00eatre autoris\u00e9 \u00e0 d\u00e9tecter les risques de s\u00e9curit\u00e9. Le paragraphe dit de piratage permet au BSI d'\"attaquer\" des entreprises et des infrastructures pour ensuite exiger la mise en \u0153uvre de mesures techniques et organisationnelles. L'intention est claire : les programmes malveillants, les failles et les risques de s\u00e9curit\u00e9 doivent \u00eatre d\u00e9tect\u00e9s et \u00e9limin\u00e9s de mani\u00e8re proactive.<\/p>\n\n\n\n

Exemple SAP<\/h3>\n\n\n\n

L'exemple des environnements syst\u00e8me SAP montre clairement que les directives de la LSP 2.0 vont dans la bonne direction, m\u00eame pour les entreprises non critiques, mais qu'elles ne peuvent pas couvrir tous les points faibles. Pour S\/4 par exemple, les exigences ont encore chang\u00e9, la base de donn\u00e9es, l'interface utilisateur, la passerelle, les applications et les autorisations sont devenues plus \u00e9troitement li\u00e9es, l'acc\u00e8s aux donn\u00e9es importantes est devenu plus complexe - et donc plus difficile \u00e0 surveiller. SiG 2.0 exige une planification d\u00e9taill\u00e9e de la continuit\u00e9 des activit\u00e9s et des sc\u00e9narios de reprise apr\u00e8s sinistre avec l'utilisation de syst\u00e8mes de d\u00e9tection d'intrusion (IDS) conformes \u00e0 \"l'\u00e9tat de l'art\" (\u00a78a). <\/p>\n\n\n\n

Les IDS d\u00e9tectent et concr\u00e9tisent les attaques \u00e0 l'aide de fichiers journaux qui doivent d\u00e9sormais \u00eatre non seulement enregistr\u00e9s, mais aussi analys\u00e9s. Les syst\u00e8mes SIEM seront donc indispensables \u00e0 l'avenir pour identifier rapidement les cyberattaques, m\u00eame s'ils ne sont souvent pas suffisants pour SAP. En effet, ils consid\u00e8rent avant tout les infrastructures et dans ce cas, SAP, en tant que syst\u00e8me largement autonome, passe \u00e0 travers la grille de d\u00e9tection, \u00e0 moins que l'expertise des professionnels de la s\u00e9curit\u00e9 SAP et des logiciels sp\u00e9ciaux ne soient utilis\u00e9s.<\/p>\n\n\n\n

Gr\u00e2ce \u00e0 son int\u00e9gration avec l'outil SIEM, tous les incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 des paysages SAP peuvent \u00eatre consolid\u00e9s avec d'autres syst\u00e8mes informatiques pertinents et le tableau de bord int\u00e9gr\u00e9 cr\u00e9e en outre une transparence sur tous les syst\u00e8mes. Les entreprises Kritis et tous ceux qui ont un besoin r\u00e9aliste de s\u00e9curit\u00e9 obtiennent ainsi, en appuyant sur un bouton, une repr\u00e9sentation et une documentation \u00e9valu\u00e9es bas\u00e9es sur un tableau de bord de leur \u00e9tat de s\u00e9curit\u00e9 global. L'int\u00e9gration d'un partenaire de s\u00e9curit\u00e9 professionnel est donc essentielle pour la mise en \u0153uvre imm\u00e9diate de SiG 2.0 dans l'exemple de SAP. <\/p>\n\n\n\n

Ainsi, le client SAP existant rku-it, en tant que fournisseur de services informatiques pour les fournisseurs d'\u00e9nergie, a non seulement r\u00e9pondu efficacement aux exigences de la nouvelle loi sur la s\u00e9curit\u00e9 informatique 2.0, mais a \u00e9galement augment\u00e9 la s\u00e9curit\u00e9 de r\u00e9vision de l'environnement syst\u00e8me SAP. L'utilisation de la suite Sast a permis de r\u00e9aliser des d\u00e9rivations des r\u00f4les de gabarit en fonction de l'organisation des clients. Dans l'entreprise, elle sert \u00e0 valider les r\u00f4les et les autorisations en mati\u00e8re de s\u00e9curit\u00e9 et de SoD, \u00e0 analyser l'utilisation, \u00e0 optimiser davantage les r\u00f4les et les autorisations et \u00e0 utiliser la fonctionnalit\u00e9 d'utilisateur de secours pour les t\u00e2ches d'assistance des collaborateurs de rku-it.<\/p>\n\n\n\n

Probl\u00e8mes et opportunit\u00e9s<\/h3>\n\n\n\n

Le manque de concentration reste un probl\u00e8me majeur pour une strat\u00e9gie de s\u00e9curit\u00e9 globale orient\u00e9e vers SiG 2.0. La direction doit s'y consacrer avec toute l'urgence et la priorit\u00e9 qui s'imposent et, par cons\u00e9quent, focaliser et mettre \u00e0 disposition des ressources. Cela demande de l'attention, du personnel et bien s\u00fbr de l'argent. Or, on constate encore dans de nombreuses entreprises que la cr\u00e9ation de postes, de d\u00e9partements, de services d'\u00e9tat-major, m\u00eame dans une organisation qui s'occupe de disponibilit\u00e9 et de s\u00e9curit\u00e9, est encore souvent n\u00e9glig\u00e9e, comme si cela \u00e9tait facultatif. Or, au vu des \u00e9volutions actuelles, cette mise en place et cette disponibilit\u00e9 doivent tout simplement \u00eatre consid\u00e9r\u00e9es comme une exigence, et pas seulement pour les exploitants de Kritis, et elles co\u00fbtent tout d'abord un investissement top-down.<\/p>\n\n\n\n

SiG 2.0 et conversion<\/h3>\n\n\n\n

Pour revenir \u00e0 l'exemple de SAP : Dans la perspective de la SiG 2.0, une migration S\/4 imminente peut justement \u00eatre utilis\u00e9e comme une opportunit\u00e9 de faire passer sa propre s\u00e9curit\u00e9 informatique \u00e0 un niveau sup\u00e9rieur. Elle donne par exemple l'occasion de nettoyer les anciennes interfaces et surtout de les standardiser. Les op\u00e9rateurs de criticit\u00e9 comme les fournisseurs seraient un cas classique. Il y a de tr\u00e8s longues cha\u00eenes de processus, des points de mesure, des exploitants de points de mesure, des d\u00e9comptes, la s\u00e9paration de la distribution et du r\u00e9seau. Ce sont des syst\u00e8mes tr\u00e8s complexes, o\u00f9 l'on observe que le business est hautement standardis\u00e9 par des directives r\u00e9glementaires, des logiciels, des processus - et ce sont des choses que l'on peut tr\u00e8s bien faire \u00e9voluer, o\u00f9 l'on peut former de bons mod\u00e8les pour l'\u00e9nergie, le gaz et l'eau, harmoniser les interfaces et ensuite introduire les mod\u00e8les pour les autorisations, les utilisateurs et les processus. C'est un \u00e9norme gain de s\u00e9curit\u00e9 de standardiser les choses pour qu'elles fonctionnent de la m\u00eame mani\u00e8re et que les processus soient identiques.<\/p>\n\n\n\n

\n\n\n\n

Comp\u00e9tence en mati\u00e8re de s\u00e9curit\u00e9<\/h3>\n\n\n\n

Ralf Kempf et son \u00e9quipe travaillent pour environ 200 clients dans le domaine de la cybers\u00e9curit\u00e9 SAP et de la gouvernance des acc\u00e8s, dont de nombreux exploitants de Kritis : \"Nous connaissons les d\u00e9fis auxquels les exploitants de Kritis sont d\u00e9sormais confront\u00e9s et nous les aidons \u00e0 r\u00e9pondre efficacement aux exigences de la SiG 2.0 tout en renfor\u00e7ant la s\u00e9curit\u00e9 de leur environnement syst\u00e8me SAP. L'\u00e9poque o\u00f9 les entreprises pouvaient se permettre de n\u00e9gliger leur s\u00e9curit\u00e9 informatique est donc d\u00e9finitivement r\u00e9volue - et cela ne vaut pas seulement pour les exploitants de Kritis. Il est donc d\u00e9cisif d'adopter une approche et une strat\u00e9gie de s\u00e9curit\u00e9 globales qui r\u00e9unissent tous les th\u00e8mes et qui tiennent compte des sc\u00e9narios de menaces actuels.<\/em><\/p>\n\n\n\n

\"https:\/\/e3mag.com\/partners\/sast-solutions-ag\/\"<\/a><\/figure>","protected":false},"excerpt":{"rendered":"

L'un des constats de ces derniers jours est que la s\u00e9curit\u00e9 est un bien vuln\u00e9rable. Les infrastructures critiques telles que les centrales nucl\u00e9aires et les h\u00f4pitaux sont la cible d'agressions guerri\u00e8res et, parall\u00e8lement, les cyberattaques se multiplient \u00e0 une \u00e9chelle sans pr\u00e9c\u00e9dent.<\/p>","protected":false},"author":2551,"featured_media":115110,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,40563],"tags":[15055,40583,143,39537,117],"coauthors":[40607],"class_list":["post-113158","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag-22-04","tag-cyberattacken","tag-mag-22-04","tag-management","tag-sast-solutions","tag-sicherheit","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",400,180,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",600,270,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",600,270,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Eine Erkenntnis dieser Tage ist, dass Sicherheit ein verletzliches Gut ist. Kritische Infrastrukturen wie Atomkraftwerke und Krankenh\u00e4user werden zum Ziel kriegerischer Aggression und zeitgleich nehmen Cyberattacken in ungekanntem Ausma\u00df zu.<\/p>\n","category_list_v2":"Business-Management<\/a>, Mag 22-04<\/a>","author_info_v2":{"name":"Ralf Kempf, Pathlock","url":"https:\/\/e3mag.com\/fr\/author\/ralf-kempf\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/113158","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/2551"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=113158"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/113158\/revisions"}],"predecessor-version":[{"id":137537,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/113158\/revisions\/137537"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/115110"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=113158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=113158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=113158"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=113158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}