Presse
11 Sep 2014

Blog : Alors vous désirez un pare-feu... mais souhaitez-vous protéger quelque chose ?

firewall picture

Après une nouvelle série d’incidents tels que des fuites (Explorer), des hémorragies cardiaques (Heartbleed) et autres incidents potentiellement mortels avec des pacemakers et des feux de signalisation, je vois déborder dans les médias la stupéfaction, l’inquiétude et surtout l’indignation que tout soit si mal sécurisé. Je dois avouer être exaspéré par ces lamentations répétées, et surtout par cette pensée naïve qui les accompagne et qui consiste à supposer que quelqu’un d’autre va s’occuper de votre sécurité...

Ce que je veux dire par là, c’est que si vous voulez vraiment que la porte soit fermée à clef, ne demandez pas à un inconnu de la fermer pour vous, ne laissez pas la clef sous le paillasson et ne laissez pas la fenêtre ouverte. Tout cela semble parfaitement logique, et pourtant, lorsqu’il s’agit des TIC, on dirait que l’on a une vision tout à fait différente. Voici quelques exemples.

Premier exemple :

Je me suis rendu dernièrement dans une agence d’expertise comptable renommée qui fait la comptabilité d’une centaine de clients. J’avais un rendez-vous avec le responsable informatique pour évoquer ma proposition de remplacement d’un pare-feu. En arrivant dans les beaux bureaux très chics de l’agence, j’ai été salué par la sécurité et une réceptionniste très aimable, et j’ai pu attendre sur un beau fauteuil que l’on vienne me chercher. Le responsable informatique me dit : « Jan Willem, j’ai une mauvaise nouvelle. La direction a décidé de ne pas donner suite à ta proposition. »

Lorsque je lui ai demandé pourquoi, il m’a répondu : « Je veux un pare-feu, mais je ne suis plus à la recherche d’une protection onéreuse de haute qualité, car nos clients ne souhaitent ou ne peuvent le payer et je ne dispose pas du temps ni des effectifs que cela nécessite. Je cherche une solution simple et maîtrisable qui éloigne les menaces les plus importantes. De toute façon, nos bases de données les plus importantes et les plus sensibles ont déjà été mises à disposition de manière sécurisée à nos employés et à nos clients via l’application d’un fournisseur XaaS et déplacées hors de notre datacenter. »

Un raisonnement parfaitement valable pour quelqu’un dont l’activité est de faciliter toute la comptabilité et l’administration... mais une idée peut-être saugrenue dans un pays où le plus délabré des biclous est déjà attaché avec un antivol gros comme le bras.

Deuxième exemple :

Il n’y a pas si longtemps, j’ai eu une discussion avec le responsable informatique d’un développeur d’applications et fournisseur XaaS. Quelques jours plus tard, je me trouvais dans le hall d’un grand immeuble où après avoir été reçu par la sécurité, j’ai dû passer sous un portique de sécurité et attendre que l’on vienne me chercher. Le responsable informatique me dit qu’il cherchait un nouveau pare-feu et qu’il s’intéressait à une marque particulière. À ma question de savoir pourquoi il s’intéressait à cette marque, il m’a répondu : « Eh bien, nous avons plus ou moins hérité du firewall actuel du responsable informatique précédent qui l’avait étudié, mais nous ne disposons plus des connaissances et n’avons jamais vraiment eu de temps de nous y intéresser de plus près. Nos ingénieurs système connaissent la marque que nous étudions, ce qui est tout de même plus pratique. »

Lorsque je lui ai demandé s’il pouvait m’indiquer ce qu’ils faisaient avec le pare-feu, à quoi il est destiné et quelles fonctionnalités sont utilisées, il m’a interrogé du regard en disant : « Je peux vous faire parvenir une copie de la config. » Il s’avérait que l’entreprise n’utilisait le pare-feu que pour sécuriser les bureaux de l’entreprise. Le responsable informatique m’avait d’ailleurs dit : « Je veux un pare-feu, mais je ne suis pas à la recherche d’une protection onéreuse de haute qualité, car nos clients ne souhaitent ou ne peuvent le payer et je ne dispose pas du temps ni des effectifs que cela nécessite. Je cherche une solution simple et maîtrisable qui éloigne les menaces les plus importantes. De toute façon, nos applications et bases de données principales ont été mises sur le cloud auprès d’un hébergeur. »

Un raisonnement parfaitement valable pour quelqu’un dont l’activité est de développer une ou plusieurs applications ou bases de données, mais une idée peut-être saugrenue dans un pays où la porte de derrière est doublement verrouillée le soir.

Un dernier exemple :

Il y a quelques mois, j’ai été approché par un hébergeur web qui m’a sollicité à propos d’une solution de sécurité. Je me suis rendu à un beau centre de données tout neuf où j’ai dû me présenter à une grille de sécurité Heras, laisser mon permis de conduire à l’entrée et passer par trois portiques de sécurité avant le début de ma réunion avec l’architecte de réseau. Motif : l’entreprise avait été attaquée dans le week-end et pas moins de 183 sites Web hébergés sur la plateforme du fournisseur d’accès avaient été piratés. Le brave homme en question avait passé son week-end à redémarrer lui-même les serveurs de ses clients un par un, mais une fois qu’il les avait tous faits, le premier était déjà tombé. La cause, d’après lui : les clients ne mettent pas (assez) à jour leurs logiciels.

Lorsque je lui ai demandé ce qu’il voulait sécuriser, il m’a dit : « Je ne veux qu’un pare-feu simple, je ne suis pas à la recherche d’une protection onéreuse de haute qualité, car nos clients ne souhaitent ou ne peuvent le payer et je ne dispose pas du temps ni des effectifs que cela nécessite. Je cherche une solution simple et maîtrisable qui éloigne les menaces les plus importantes. J’ai entièrement virtualisé mon environnement et lorsqu’il y en a un en rade, je recrée une machine virtuelle et je redémarre un nouveau serveur. »

Un raisonnement parfaitement valable pour quelqu’un dont l’activité est d’héberger vos sites Web ou applications sur un ou plusieurs serveurs. Et pendant ce temps, je commence à me poser la question...

Vous désirez un pare-feu... mais est-ce que vous souhaitez protéger quelque chose avec ?

Jan Willem Sipman, Directeur commercial Infradata

Pour plus d’informations, appelez le +32 2 801 08 32 ou écrivez à info@infradata.be.