1. Profil sécuritésuisse
le couteauCF6,
Branche spécialiste du conseil et du management de la sécurité au sein
du groupe Telindus, CF6 Luxembourg a pour ambition de devenir
beaucoup plus présent et d’offrir un centre local au Luxembourg en
matière d’analyse d’incidents. Cette offre de « log-forensics » se peaufine,
se couple avec la veille technologique, les tests d’intrusion, les audits…
Un véritable couteau suisse de la sécurité informatique.
54
« On entend souvent parler des
grosses attaques mondiales,
mais il faut savoir que le
Luxembourg est aussi
vulnérable qu’un autre pays,
affirme Daniel Soriano,
Business Devlopment de CF6
Luxembourg. La place bancaire
génère une activité qui vient de
l’extérieur, importante.
Certaines banques par exemple
on subit un « effacement »,
c’est la face visible d’un
iceberg, ce qui s’étant passé
derrière restant dans l’ombre.
CF6, pour Conseil Formation Système, et société d’origine
française, a été créée en 1985, ce qui fait d’elle une des
plus anciennes sociétés de conseils en matière de sécu-
rité informatique.« On a commencé par donner du conseil
sur les gros systèmes, explique Daniel Soriano, Business
Devlopment chez CF6 Luxembourg. On s’est externalisé et
déployé en Belgique en 95 et en 99 au Luxembourg. »
D’abord installée au boulevard royal, CF6 s’est retrouvée à
Esch-sur-Alzette dans le centre opérationnel de Telindus
après l’acquisition de CF6 par l’intégrateur renommé.
« Jusqu’en juin 2000, nous étions financièrement indépen-
dant, et pour grandir nous avons souhaité nous rapprocher
de quelqu’un de plus grand que nous. Cela n’a pas été un
rapprochement, mais un rachat par le groupe Telindus. » La
dizaine de personnes à Luxembourg, est essentiellement
composée de consultants, les services commerciaux et
administratifs étant repris sous la bannière rouge de
Telindus. A 100% fille de Telindus, CF6 se veut néanmoins
toujours indépendante dans l’esprit. La partie intégration
étant le fer de lance de Telindus, les autres activités restent
séparées : magasin, maintenance, et conseil sécurité.
Une offre complète
Telindus et CF6 couvrent tous les besoins de sécurité de ses
clients. Du démarrage de projet, en termes de conseils, à
l’installation, jusqu’au suivi, l’offre se montre complète.
« Lorsque les sociétés se sont ouvertes à l’internet, on a évi-
demment protégé ces accès par l’installation de firewalls,
d’anti-virus, d’IDS,…, explique Daniel Soriano. Aujourd’hui,
les grandes sociétés à Luxembourg en sont équipés. Par
contre, elles voient arriver un nouveau problème : celui de
l’organisation (avoir plus de recul pour déterminer les points
faibles), et un très gros point noir qui est celui du manage-
ment de ces architectures sécuritaires. » L’exemple concret :
la société dispose bien d’un firewalls, mais on le laisse tour-
ner, sans le patcher, sans suivre les incidents. Toutes ces
entreprises se concentrent désormais sur la sécurité en
fonction du business,car la sécurité peut devenir un gouffre
sans fin. Il est donc important de déterminer jusqu’où on
veut aller, contre quels risques veut-on se protéger. « Ces
analyses de risques permettent de déterminer les attaques
potentielles, leurs conséquences en perte financière, opéra-
tionnelle, en image et réputation, aussi. Derrière, il faut voir
contre quoi on veut se protéger et ça,ce n’est pas au niveau
IT, que cela se joue. »
SOCIÉTÉ
> > >
2. 55
SOCIÉTÉ
De l’audit et du résultat
CF6 propose également des audits des systèmes.Or dans ce
monde où toutes les sociétés se positionnent dans ce cré-
neau de l’audit, les approches peuvent être différentes. CF6
veut s’inscrire dans les normes qui permettent d’obtenir un
résultat palpable pour ses clients. Les standards anglais
BS7799,devenue ISO17799 (puis désormais sans le label ISO
pour manque de fiabilité et en phase de résivion),sont en ce
sens des gages de qualité de la mise en œuvre des procé-
dures d’audits.
« Même si elles portent le nom de best practices,pour nous
cela ne reste que des good practices. Cela n’est pas plus
pour nous qu’un cadre de travail,assure Daniel Soriano.Il y a
des normes qui sont beaucoup plus pointues et qui per-
mettent d’aller plus loin dans les analyses,ce sont par exem-
ples les ISO13335 au niveau organisationnel et la 15408 qui
permet de définir des profils de protection et de sécurité. Il
faut aussi savoir qu’il y a des méthodologies propriétaires
comme Melisa, Marion, Mehari,… Dès lors, il nous apparaît
que pour délivrer un audit de qualité, il faut que les métho-
des soient basées sur un système propriétaire reconnu ou
sur des normes.Sinon,on pourrait oublier beaucoup de par-
ties, ce que l’on ne peut pas se permettre aujourd’hui. »
Intrusions éthiques
La partie des tests intrusifs est encore relativement récente,
étant âgée de trois ou quatre ans. Si l’audit annuel est inté-
ressant, le test intrusif lui est très complémentaire et plus
réactif. On peut les pratiquer tous les, trois, six mois. Moins
lourd en terme de ressources internes pour les sociétés, le
test intrusif checke les systèmes avec une approche de ethi-
cal hacker. « Nous utilisons des outils commerciaux, comme
les grands scanners d’ISS, des exploits, qui permettent d’ex-
ploiter les vulnérabilités,et des outils internes à CF6.Pour ces
derniers, nous avons huit personnes en R&D à Paris qui sont
charger de réaliser des outils sur les dernières vulnérabilités.
Mais rassurez-vous, il n’y a aucun hacker chez CF6. Nous ne
pouvons travailler avec ces gens : on ne peut jamais savoir
quelle serait sa réaction s’il tombe sur des informations
confidentielles. Une société sérieuse aujourd’hui, ne peut
utiliser des hackers. » Pour un test intrusif, la globalité est de
mise : internet, téléphone,… « Et aujourd’hui encore, notre
département R&D travaille sur les possibilités des attaques
en wireless. On est en train de montrer une démo, pour
expliquer que ces premiers réseaux wireless prenaient peu
en compte les aspects de sécurité. » Sans compter les
attaques internes, car aujourd’hui, il est vraiment aisé de
déposer une bombe logique sur un serveur sans être un
véritable génie technique… Parce que la sécurité informa-
tique est plus qu’un simple enjeu commercial, c’est avant
tout une stratégie multiple qui doit garantir la disponibilité
du business. C’est ce que propose CF6…
RHy
Article paru dans it-solutions.lu de septembre 2002