février 18th, 2011

Après avoir mis en place (suite au rachat d’Archer) une plate-forme de gestion de la sécurité et conformité des environnements (virtuels et physiques) RSA étend désormais son offre au Cloud avec une nouvelle offre de services regroupés sous l’appellation Cloud Trust Authority.

C’est là une idée business qui repose avant tout sur deux services. Le premier orienté fédération d’identités au bénéfice de tous les fournisseurs de services (Service Provider, SP) qui travaillent avec l’éditeur. Le second service permet à ces mêmes fournisseurs de services de prouver à leurs clients leur mise en conformité aux règlementations en vigueur dans le secteur d’activités concerné. En outre, ce service offrira aux entreprises clientes la possibilité d’auditer quand elles le désirent la réelle mise en conformité de leur fournisseur.

Comment cela fonctionne ? D’un point de vue technique, le contrôle d’authentification est orchestré par RSA qui propose un SSO, Single Sign On. La technologie de fédération d’identités choisie provient des laboratoires VmWare utilisée dans son projet Horizon. Un projet de gestion des accès utilisateurs au cloud. L’équipement RSA conforme à tous les standards du marché, peut donc récupérer l’existant en termes d’identités utilisé par l’entreprise, SAML, Ldap, Active Directory … A partir de là, il fera le lien avec le système d’authentification du fournisseur de services lui-même basé sur des standards. Tout cela sera transparent pour les deux parties à chaque extrémité. Le système de RSA sera situé en front end chez le fournisseur de services. Tout cela amène à dissocier l’utilisateur du matériel qu’il utilise pour se connecter.

Service d’audit à la demande …

Comment prouver à tous ses clients qu’on est conforme sans dépenser une somme phénoménale dans des audits personnalisés car chaque client obéit à ses propres réglementations métier ? Là est la question pour le fournisseur de services. Si l’on prend le problème sous l’angle, cette fois de l’entreprise, comment se lancer dans l’aventure du cloud public quand on est responsable de tout et que l’on n’a accès à rien même pas à la vérification de ce qu’avance son fournisseur de services quand à sa conformité aux réglementations ? Pour résoudre cette problématique, l’idée de RSA est de s’appuyer sur les « standards » publiés par le CSA, Cloud Security Alliance. Ce dernier fournit des questionnaires aux entreprises afin qu’elles puissent mener à bien des interrogatoires afin de savoir si un fournisseur de services peut leur convenir (liste des réglementations obligatoires dans leur cas, entre autres). RSA intègre le questionnaire sur sa plate-forme et récolte les informations en provenance du fournisseur de services. Un rapport est fourni à ce dernier afin qu’il prouve ou corrige s’il n’est pas conforme et un autre au client, ce qui lui a permis d’évaluer son prestataire potentiel. Pour l’instant, ces services ne verront pas le jour avant six mois et c’est à ce moment-là que l’éditeur mettra en place une tarification appropriée …

Pour Eric P. Baize, Senior Director, Cloud Security Strategy and EMC Product Security Office, « Les entreprises adhèrent de plus en plus au principe du Cloud, à l’idée de « l’IT comme un service ». Mais le problème est qu’elles ne contrôlent plus rien tant au niveau de la gestion que de la sécurité dans ces environnements virtualisés. Cela a donné naissance chez nous dans un premier temps à une plate-forme (celle d’Archer combinée à des contrôles VmWare entre autres) offrant la visibilité recherchée et le contrôle des infrastructures virtuelles ainsi qu’à la maîtrise des risques de ces nouveaux environnements notamment dans des clouds privés. Mais en ce qui concerne les Clouds publics comment offrir de nouveau cette possibilité ? Chaque entreprise doit construire avec son fournisseur de cloud ou de services cloud une relation qui leur permette d’avoir à distance de nouveau ce contrôle et cette visibilité. Derrière une telle relation, c’est l’établissement de contrats, la mise en application de toutes sortes de technologie, de l’authentification forte … mais on imagine très bien les freins induits dus à une forte complexité des solutions envisagées pour ces contrôles. D’où l’idée des services Cloud Trust Authority ».

San Francisco, RSA Conference : Toute escalade technologique accroît donc notre vulnérabilité et justifie l’institution de lois destinées à encadrer, à protéger les acteurs des NTIC argumentent donc les défenseurs d’un interventionnisme politique. C’est du moins l’opinion qu’exprimait Michael McConnell, ancien Directeur de la National Intelligence US lors d’un « keynote ». Sophisme, pense Bruce Schneier, « Les débuts d’internet ont connu eux aussi leur part de cyberdélinquance, à une époque où la notion de défense et les moyens mis en œuvre étaient considérablement moins développés qu’aujourd’hui. Puis les « bad guys » ont pris du muscle, tout comme les vendeurs d’outils de protection, parallèlement à une élévation du niveau de connaissance et de prudence des usagers du Net. Et, l’un dans l’autre, on ne s’en est pas trop mal sorti, constate Schneier. Les apocalypses numériques que prévoient les Cassandres conservateurs ont toujours été évitées ou se sont avérés des baudruches rapidement dégonflées. La véritable cyberguerre n’existe pas, ou du moins elle est si localisée dans le temps et dans l’espace qu’elle ne nécessite pas d’encadrement légal de ce type. »

Un constat que McConnell balaye d’un revers de manche en expliquant que cette escalade classique reposant sur des successions d’attaques et de contre-mesures est en train d’atteindre un point de rupture à partir duquel les « méchants » ont acquis une telle avance que les contre-mesures ne suffiront plus. Argument lui-même régulièrement utilisé par les partisans d’une « ligne dure » du cybercontôle qui voient leur rôle et leur position largement confortées grâce à l’action d’un Julian Assange est des « xxLeaks » de tous crins, ainsi que par les récentes attaques perpétrées par les « anonymes ». D’autant plus que la cyberguerre existe réellement, insiste McConnell. Nous en avons attentivement observé l’évolution durant le conflit Géorgien.

Entre les faucons conservateurs et les modérés démocrates, le Sénat n’hésite pas. S’il coupe court au développement d’un nouveau réacteur destiné à équiper les forces aériennes pour les décennies à venir, il voit d’un bon œil l’augmentation de 35% du budget national attribué à la « cybersecurity » : 548 M$ prévus pour l’année 2012. L’affaire Stuxnet et la création d’un Cybercommand (les hauts commandements militaires de cyberdéfense) y sont certainement pour quelque chose. Cette pluie de crédit profitera-t-elle à la création d’un super-Internet sécurisé national ? se demande Gary McGraw. Peu probable, répond Dorothy Denning. Totalement irréaliste, renchérit Cheswick. Car tous les experts en infrastructure de réseau sécurisé tombent d’accord sur un point : la meilleure méthode pour protéger une infrastructure est de la segmenter en bastions durcis… Or, l’efficacité d’un réseau est proportionnelle au nombre de personnes qui s’y connectent. En segmentant le « net » gouvernemental, on en élimine son efficacité. D’un côté la machine est ralentie au point de ne plus être utile, de l’autre elle demeure vulnérable à une fuite Wikileaks. Le tout est de savoir quel est le coût réel du risque. Jusqu’à présent, le « hack du siècle » subi par l’Administration Fédérale est important en termes de volume… pour ce qui concerne la valeur réelle des informations rendues publiques, on est encore loin de la Dépêche d’Ems.

Reste un argument purement stratégique qui ne peut être contesté : c’est la volonté de la plupart des gouvernements actuels de se doter d’une force stratégique présentée tantôt comme un corps défensif, tantôt comme un vecteur offensif. C’est là une attitude politique et militaire purement réactive, provoquée d’une part par l’examen des événements en Estonie ou Géorgie, et d’autre part à la suite des batailles de cyber-espionnage numérique telle que l’opération « Aurora » ou « dragon nocturne ». Pour l’heure, admettent les experts quelque soit leur bord politique ou technique, imaginer une « ligne Maginot » numérique relève un peu de la science-fiction. La nature d’Internet l’interdit plus ou moins dans l’état actuel des choses. Tout au plus cette « force défensive » peut-elle contribuer à limiter les fuites d’information en offrant son expertise informatique aux entreprises et autres secteurs sensibles susceptibles d’être piratés. Il est parfois plus simple d’attaquer : « the best defence is sometimes a good offense ». Ce qui fait dire aux plus pacifistes « dans cette perspective, les « gentils » doivent nécessairement posséder leur botnet ». Si l’on ne peut compter sur un vaste élan patriotique de grand-mères prêtes à offrir les ressources de calcul de leur ordinateur personnel, il faut donc nécessairement que ces machines zombies mobilisables en cas de conflit numérique soient prêtes à tout instant. Où sont-elles ? Qui sont-elles ? Peut-on imaginer que ce réseau de machines soit « offert » par les éditeurs de logiciels qui possèderaient les commandes de leurs automates de mise à jour ? L’hypothèse, bien que politiquement incorrecte, est diablement réaliste.

San Francisco, RSA Conference : L’exposant/conférencier le plus remarqué de cette édition 2011 de la RSA Conference ne fut ni présent, ni entendu. Le stand HBGary, saccagé dès samedi par des militants se réclamant du mouvement Anonymous, déserté par ses principaux représentants encore sous le choc du pillage de leurs ressources informatiques, résumait l’état d’esprit du landernau cybersécuritaire américain : un mélange de désillusion et de craintes, d’incompréhension et de défiance. Car elles étaient nombreuses les conférences traitant de cyberguerre et de cyberattaques qui, à la lumière des événements récents, ont rapidement tourné au commentaire d’actualité et à la critique raisonnée. « Cyberguerre, ou comment j’ai cessé de m’inquiéter et appris a aimer la cyberbombe » a ouvert le bal : table ronde animée par Dorothy Denning, Distinguished Professor of Defense Analysis à la Naval Postgraduate School, Thomas Herlea, Consultant chez Verizon, Anup Ghosh CTO d’Invincea et surtout William Cheswick geek et blogueur travaillant chez AT&T.

C’est Gary McGraw, le modérateur, qui ouvre le feu en évoquant l’acte de «cyberguerre » perpétré contre HBGary, demandant si c’était là la conclusion logique des différentes attaques en déni de service lancées par les anonymes durant les campagnes « pro-Assange ». Absolument pas, rétorque Denning, « La mise à sac de HBGary, comme une partie des attaques en déni de service, étaient totalement infantiles. Il serait totalement inexact de parler de « cyberguerre » et d’accoler des qualificatifs martiaux à une forme de protestation ». Chaque intervenant convient en revanche que les « anonymes »ont franchi une ligne qui séparait les mondes de la protestation active et de la délinquance.

C’est cette même attention aux distinguos sémiologiques que témoigne Bruce Schneier, lors d’une confrontation l’opposant avec Michael Chertoff, ancien Secrétaire du Homeland Security. Les mots de cyberguerre, de cyberespionnage ont une force, une puissance évocatrice anxiogène telle qu’ils sont utilisés à foison par tous les partis pouvant tirer avantages, financiers ou politiques, d’une telle situation. A l’heure où les principaux pays du bloc occidental se dotent de « cyber-command », il est logique que ce vocabulaire soit de plus en plus employé à tort et à travers dans les hautes sphères du pouvoir.

« Cet emploi insistant de superlatifs est renforcé, explique William Cheswick, par le sentiment de crainte que nous inspire notre propre dépendance aux nouvelles technologies. La crainte du cyberespionnage est d’autant plus importante qu’est grand notre sentiment d’impuissance et de vulnérabilité provoqué par l’adoption aveugle (ou précipitée, donc souvent irréfléchi)- des technologies internet. Et cela ne risque pas de disparaître, continue Cheswick,car malgré l’assurance d’un renforcement formidable des mesures de protection et de sauvegarde que nous promettent les « nouvelles nouvelles technologies », notamment le Cloud computing, nous sommes tous conscients que ce risque augmente proportionnellement à l’accroissement de la concentration des ressources ».