19 juillet  2003

Deuxième société mondiale dans l’aéronautique, EADS dispose au sein de sa filiale EADS TELECOM d’un département dédié à la sécurité des systèmes d’information dont l’activité est florissante en cette époque de tension sur les marchés informatiques traditionnels. Dans l’aval d’infosec 2003 et du Salon du Bourget, Gérard Péliks du département Solution de Sécurité Entreprises d'EADS TELECOM nous rappelle les risques dont font l’objet les systèmes d’information

I Les risques
Il est aisément rendu compte des faiblesses des systèmes d’information à l’aide du « nombre de vulnérabilités ». Ce nombre ainsi que celui des attaques proprement dites n’a cessé d’augmenter ces dernières années au point de devenir alarmant. Ainsi selon le CERT (Computer Emergency Resource Teams) le nombre de vulnérabilités qui n’était que de 262 en 1998 et a atteint 4129 en 2002 frôlait déjà les 2000 failles signalées au premier semestre 2003. Idem pour les attaques, qui sont passées de 3734 en 1998 à 82094 en 2002 et atteignent déjà 76404 au premier semestre 2003 ce qui augure d'un total vraissemblablement supérieur à 150 000 attaques pour 2003!... Cent cinquante milles attaques dans le monde en 2003 d'autant plus domageables qu'une attaque peut exploiter les vulnérabilités et concerner en même temps plusieurs milliers de serveurs.

Des chiffres que l’on peut expliciter en terme d’événements pour les entreprises : en 2001 30,3% des entreprises françaises avaient déclaré avoir eu une attaque, ce qui n’est pas rien. D’autant qu’il est prévu le chiffre fatidique de 50% des entreprises pour 2003, année où il devrait aussi y avoir 10 000 vols de PC dont la plupart peuvent contenir des données confidentielles sur leur disque dur. On comprend mieux dès lors que 72,4% des entreprises perçoivent la sécurité informatique comme leur priorité et qu’en cette période de recul des marchés informatiques le secteur de la sécurité reste florissant. Gérard Péliks d’EADS TELECOM observe toutefois que : « les budgets qui y sont consacrés par les entreprises restent modestes et varient fortement d’un secteur d’activité à un autre ». Ainsi la sécurité ne représenterait en moyenne que 2% des budgets informatiques, même si dans le secteur aéronautique la sécurité globale, matérielle et logicielle, culmine à 50% du prix total d'un avion. Pour Gérard Péli ks : « 15 à 20% du budget informatique des entreprises serait une valeur raisonnable ». Les systèmes d’information peuvent en effet être sujets à de nombreux troubles et attaques : virus, accès vers l'extérieur non autorisés, accès vers l'intérieur illicites (piratage, Hacking, Social Engineering), corruption de données, vol de données, logiciels espions, chevaux de Troie, fraude au paiement, déni de services, incapacité à la récupération de messages, écoute de réseaux, espionnage industriel, vol d’identité et détournement d’information privée, erreurs humaines... Autant de problèmes auxquels les entreprises répondent le plus souvent par l’achat de technologies.

A titre d’exemples aujourd'hui les dépenses portent sur: les anti-virus 47%, les Proxy-caches 3%, l’authentification 7%, le VPN (tunnels chiffrants) 12% et les Firewalls 27%. D’autres part les entreprises dotent certains de leurs employés de postes nomades qui réclament des fonctionalités de Firewall personnel, de VPN, d'authentification forte (carte à puce et clés USB) et d'anti-Virus personnels.

A noter enfin l'arrivée de nouveaux risques dus aux technologies WiFi (sans fil) en fort développement. A titre d’exemple en 2007 selon DataQuest 90 % des nouveaux réseaux locaux devraient être sans fil. Or aujourd’hui la sécurité du sans fil est selon Gérard Péliks plus que mal assurée: " S’ils sont peu chers et faciles à installer, ils présentent de nombreux problèmes de sécurité: le réseau local devient immatériel et l'on en connait plus les limites ; il est sensible au brouillage, à la saturation de fréquences et il existe un risque d'intrusion du voisin sur son réseau... et enfin deux sports à la mode se développent: le War Driving (écoute) et le War Chalking (croix bleues)et ajoutent encore à l'insécurité du WiFi ".

Bertand Villeret

Pour info :
Gérard Péliks, EADS TELECOM, Solutions de Sécurité Entreprises
www.eads-telecom.com
gerard.peliks@eads-telecom.com
www.eads.com