La jungle des certifications dans la sécurité informatique
Quotidienne, nous voyons dans les rapports des médias de données de cartes de crédit volées en grandes quantités, puis vendu pour 5 € par ensemble proposé. On voit également les mots de passe de connexion et de les sites de médias sociaux qui sont volés, même les services policiers ne sont plus à 100% à l’aise avec très recemment des noms, des photos et des autres informations étant trouvés par des possibles malveillants. Parfois, l’acte est moins nuisible que des autres fois, mais le crime sur Internet n’a cessé d’augmenter, comme chaque belge se rend compte sans doute. Comment est-il possible que, malgré d’importants investissements dans la sécurité informatique, même les banques les plus réputées ou les sociétés d’assurance sont encore piratés? Et si c’est déjà si difficile pour eux de se protéger, ce que devrait faire une PME moyenne pour garder en dehors le mauvais d’Internet? La grande question est de savoir comment les revendeurs peuvent minimiser les risques de sécurité pour ses clients dans les PME.
Souvent, le revendeur choisit de mettre en place une solution simple: un pare-feu à la périphérie du réseau et d’un anti-virus sur le PC. Malheureusement, c’est souvent une technologie de pare-feu ‘stateful’ avec sa base qui date des années ‘80. Il garde peut-être un minimum de ports réseau fermé, mais même un pirate prospective se balade en sifflant à travers de lui. Un pare-feu devrait au moins être équipé avec "deep packet inspection” ou d’un soi-disant Intrusion Prevention System (IPS). Il s’agit d’un système intelligent qui se penche sur le trafic réseau entrant et sortant. Chaque “paquet” pour le trafic du réseau est inspecté séparément et en liaison les uns aux autres. Le système se demande sans cesse si tout le trafic est éventuellement malveillant et doit être démoli pour empêcher une intrusion. Les IPS viennent dans toutes les tailles et de types, mais surtout concernant la qualité, tous les niveaux. Souvent un “pare-feu” est même présent dans un routeur de 75 €. Est-ce qu’il y a quelqu’un qui peut aider les pauvres PME à séparer le bon grain de la balle? On peut essayer de mettre la sécurité en «plug and play" au maximum, mais elle reste encore le développement le plus évolutif du secteur du crime organisé et probablement par conséquent aussi dans l’informatique en général. Voici le travail propre pour le revendeur avec "valeur ajoutée". C’est sa tâche d’expliquer à la PME et d’elle convaincre qu’un vrai pare-feu moderne (inclusif l’IPS) coûtera dans l’environ de 600 euros ou plus, et que les ventes de la sécurité d’ailleurs (et du ‘meilleur prix’ soit-à-dire) seulement sera un achat d’apparence avec tout ce que cela implique pour la PME même et pour la relation entre le revendeur et la PME là.
Heureusement il existe des organisations qui partagent des étiquettes de qualité dans la sécurité informatique afin de faire une première sélection, la CCRA (Common Criteria Recognition Arrangement) en premier. ICSA Labs est également une organisation qui distribue les etiquettes de qualité, mais comment ils peuvent fonctionner totalement indépendant et à 100% objectif avec Verizon en tant que partennaire, pour moi est un mystère total. Après cela se boitent de nombreuses organisations nationales qui veulent aussi distribuer des etiquettes de qualité pour l’utilisation de certaines solutions de sécurité informatique au sein d’environnements gouvernement national. Malheureusement, la plupart de ces organisations ne sont pas luminaires à communiquer leurs objectifs et leurs résultats à l’industrie, et en particulier aux PME.
Si vous voulez savoir qui est le meilleur pare-feu avec IPS par rapport à la CCRA, c’est quand même encore une etude étendue. Mais c’est exactement pour cela qu’on s’appele spécialiste en sécurité ou revendeur avec «valeur ajoutée», pas vrai?
La CCRA est aussi une organisation en pleine évolution, et en plus elle a pour l’instant déjà plus que 26 pays membres. Bien sûr, le plus le meilleur et le plus efficace que deviendront encore leurs "timbres de qualité” au niveau mondial. Mais les plus grand groupes sont les renseignements nationaux de ces 26 pays membres et les organisations gouvernementales n’ont simplement pas la réputation d’être les plus rapides de sa catégorie. L’évolution de cette organisation se caractérise par les versions qu’ils définissent dans le processus de certification. Vous êtes encore là? Alors, il ya environ 4 ans, on pouvait encore calmement passer avec la version 2.3 (ou même plus ancient) du processus de certification, pour atteindre une EAL 4+. Fantastic! Que vous vous-même comme un prestataire de la sécurité devrait déterminer à quels critères précis (TOE) a été certifié votre produit n’avait pas de contraintes. Et depuis, de nombreuses brochures portent l’étiquette de sécurité désiré EAL4+, sans en informer jamais à personne où il est attaint, soit sur quelle version du certification il était atteint. Le fournisseur ignore évidemment à présenter cet info supplémentaire.
Mais la CCRA fait des sauts en avant et je lui porte à coeur parce que elle est la seule organisation mondiale qui fonctionne de façon indépendante dans ce domaine. Et lorsque les pays sont nombreux à adhérer, alors peut-être dans le futur, la domination de la “US National Intelligence” américaine pourrait être quelque peu réduit. Heureusement, depuis la version 3 du processus de certification, de nombreuses ameliorations ont été fait, notamment en termes de pare-feu et IPS. Lisez la citation suivante tirée du site Web de la CCRA et tremblez à l’idée que votre pare-feu (ou IPS) version Common Criteria 2.3 pourrait avoir atteint une EAL (4+ si nécessaire). Note: Ceci est une comparaison d’eux-mêmes entre v2.3 et v3.1:
Some basic IT security principles were completely missing (the absence of an architecture argument meant that that all of the claimed security functions could be corrupted or bypassed, making them meaningless). And in all cases, there was no acknowledgement that some parts of the TSF are more critical and security-interesting than others, the result of which was that the analysis had to be performed — even on parts that no security professional would bother with – thereby expending vast amount of unnecessary effort.
Peut-être il y a encore quelques banques et quelques sociétés d’assurances qui ont un pare-feu certifié EAL4+ dans la version 2.3? On n’imagine même pas le nombre de PME ….