Cybersécurité : des tests automatisés pour garantir la santé du système d’informations
Sous forme d’application, les scanners de vulnérabilité s’avèrent être un outil efficace face aux potentielles failles de sécurité cyber. SNCF les déploie régulièrement sur ses serveurs et son cloud, afin de protéger au mieux son système d’informations.
Publié le
Par La Redaction
Avant d’effectuer un paiement en ligne, beaucoup se contentent de vérifier la présence du préfixe « https » en début d’URL. Cependant, cette extension du protocole de transfert hypertexte ne garantit pas à 100% la sécurité de la transaction. « Il existe des canaux _https_ qui sont fragiles », selon Philippe Carlet, Responsable de la Cellule d’Expertise Sécurité Serveurs chez SNCF.
La sécurisation des serveurs et du cloud est un enjeu majeur. « Un serveur peut s’adresser à des dizaines de milliers de personnes. Dans ce cas, le vecteur de propagation de virus et les risques de vulnérabilités sont très importants », développe l’expert. Comment prendre connaissance des vulnérabilités existantes, afin de renforcer l’état de santé du système, et le cas échéant, remédier aux failles de sécurité efficacement ?
Tout comme les protocoles de transferts qui peuvent présenter des failles, les envois de données s’avèrent parfois difficiles à sécuriser, comme « le partage des documents de façon trop laxiste », étaye Philippe Carlet.
Automatisation : des scans récurrents
Sous forme d’une application, les scanners de vulnérabilités peuvent examiner automatiquement les data centers et le cloud. Une fois lancés, ils jouent le rôle de « pirates », cherchant à atteindre des données ou à détourner des machines. Bref, de trouver des failles du système. Le but ? Sortir une liste de vulnérabilités, classifiées par leur criticité (par exemple selon la norme CVE, en anglais Common Vulnerabilities and Exposures).
Chez SNCF, « on scanne 6 000 machines et serveurs tous les mois », rapporte Gaétan Leroy, Responsable équipe RED de la Direction Opérations des Services Numériques (DOSN) de SNCF. Intégrée au CyberSOC, la plateforme protégeant SNCF des cyberattaques, « le scan automatique va aider à pondérer les attaques qui peuvent être menées sur le réseau », poursuit l’expert.
Accompagnement : mise en qualité en continu
« Les applications de détection de vulnérabilités peuvent créer un dysfonctionnement au moment du scan », explique Philippe Carlet, « de même que pour la remédiation des failles ». Par exemple, si le gestionnaire d’un site décide de modifier les canaux _https_ suite aux alertes de vulnérabilités – admettons qu’il mette à jour le protocole de SSL V3 vers TLS1.2 – les internautes utilisant une version trop vieille d’un navigateur risquent de ne plus pouvoir accéder au site. « Nous avons pour mission de trouver l’action à mener, de prévoir les impacts, mais surtout, d’échanger et d’accompagner les chefs de projets et responsables d’applications dans leur prise de décision », confie Philippe Carlet.
En matière de cybersécurité, il n’est pas toujours facile de mettre en place un tel dispositif. Avant le déploiement des tests automatisés de vulnérabilités au sein de SNCF, « il n’y avait pas de scan récurrent », se souvient Gaétan Leroy. En premier lieu, il a fallu gagner la confiance des différents services pour faire des tests sur des équipements autour de la production. « On essaie de faire comprendre que notre but n’est pas de générer des incidents de production », dit-il, « bien au contraire, on apporte un service, un accompagnement qui augmente le niveau de sécurité ».
Par exemple, durant un scan effectué en août 2018, l’équipe de la DOSN a détecté une faille dans un serveur proxy interne : il a été possible de profiter de cette faille pour accéder à des documents pour lesquels une autorisation était normalement nécessaire. « Notre scan l’a détectée, et suite à nos préconisations, les équipes ont pu corriger le problème », témoigne Gaetan Leroy.
Selon les experts cybersécurité de SNCF, les bonnes pratiques peuvent permettre de se préserver de 90% des vulnérabilités. C’est pourquoi, il faut mettre à jour son application régulièrement, et accompagner ses utilisateurs dans chaque étape de l’évolution de celle-ci.