ACTUALITE | Janvier 2017 –  L’intranet, danger public n°1 

L’intranet : un faux sentiment de sécurité partagé par 100% du CAC 40 !

La cyber-sécurité inquiète les professionnels et fait frémir les profanes. Pour se prémunir des  attaques informatiques malheureusement en hausse  – un serveur sans sécurité sur Internet est aujourd’hui hackable en quelques secondes ! – les entreprises dressent autour de  leurs systèmes des châteaux forts cernés de douves profondes, l’INTRANET, sans prendre en compte que ladite forteresse n’héberge pas toujours preux chevaliers et gentes dames…

Sécurité SI Silamir

Mais qu’est ce que l’intranet ?

Le réseau interne des entreprises a été mis en place dans les années 1980 quand l’Internet n’existait pas, sous la forme de réseaux locaux indépendants. A l’arrivée de l’Internet ces réseaux locaux ont été connectés entre eux en copiant les technologies de l’Internet (d’où le nom Intranet inventé en 1995). La sécurité était garantie, croyait-on, car seuls les collaborateurs de l’entreprise y avaient accès. C’est le modèle château fort : tous les bons à l’intérieur, tous les méchants à l’extérieur. Or la distinction intérieur/extérieur devient floue avec les réseaux mobiles, l’internet des objets, etc… Depuis, le monde a évolué, et les systèmes de sécurité aussi. Pourquoi autant d’entreprises continuent-elles avec ce vieux modèle ? Parce qu’il est faussement rassurant !

Il est dangereux de penser que la menace ne saurait être qu’externe. Considérons l’exemple du médiatique lanceur d’alerte Edward Snowden : il est avant tout un collaborateur ayant accès de l’intérieur à des informations top-secrètes de la NSA. Il les a dévoilées au monde entier après les avoir tout bêtement copiées sur une clé USB. Aucune Ligne Maginot ne peut éviter cela !

Prenons le cas d’une entreprise lambda, au sein de laquelle, comme partout, l’IT Manager ainsi que souvent les sous-traitants chargés de l’exploitation la nuit ou le week-end, ont accès aux e-mails de l’ensemble de la société – incluant ceux de la Direction générale – et peuvent donc les parcourir à leurs moments perdus : pas trop grave quand on partage avec ses collègues la recette de la tarte aux fraises – quoique – mais plus gênant quand une fusion est en cours, non ? Le DG va alors utiliser sa messagerie privée pour conserver la confidentialité de ses échanges… Retour au parallèle international : les « mails privés d’Hillary Clinton », ça ne vous rappelle rien ?!

En effet, Internet n’est pas sécurisé… mais on peut aisément se protéger

Par peur irraisonnée, la plupart des entreprises fonctionne donc aujourd’hui sur le modèle classique de la défense périmétrique quand une infime minorité est Internet Only (la défense par authentification).

Internet assure la connectivité, pas la sécurité. Il existe cependant une parade très simple à mettre en oeuvre  : en premier on  chiffre les échanges (https) et on authentifie tout ce qui peut l’être, c’est-à-dire les individus, les devices, les échanges. Malgré ce précepte de base on constate par exemple que nombre d’applis professionnelles n’ont pas encore de mot de passe !

Le secteur bancaire, pourtant chantre de l’Intranet, a très bien intégré ce postulat : votre smartphone vous permet d’accéder en mobilité à votre compte bancaire et de réaliser des paiements en ligne. Les banques font fi de cette supposée vulnérabilité, tout simplement en doublant l’authentification HTTPS d’un SMS de confirmation…

Passer de l’Intranet à l’Internet augmente la performance de l’infrastructure SI par la réduction des coûts

A ces menaces s’ajoute, sur un autre plan, le règlement européen sur la protection des données personnelles, qui entrera en vigueur en mai 2018. Toutes les entreprises devront alors maîtriser leurs données afin de trier les informations à protéger, mettre en place les mécanismes de chiffrement, les contrôles d’accès… Ceci représente un défi autant qu’une opportunité, et, là encore, l’argument financier n’est pas neutre.

Pourtant, une étude récente* a mis en lumière que la question de la sécurité des SI n’intéresse les Directions générales que lors d’incidents graves (51% Responsables des SSI déclarent avoir du mal à susciter l’intérêt de sa direction sur les sujets de sécurité)….

N’attendez pas la catastrophe pour être pragmatique : passer de l’Intranet à l’Internet augmente la performance de l’infrastructure SI par la réduction des coûts.
* Etude réalisée pour Palo Alto Networks en août 2016 par le cabinet d’études de marché Morar Consulting, qui a interrogé plus d’un millier de professionnels de l’informatique en France, en Allemagne, aux Pays-Bas, en Suède et au Royaume-Uni.