Mercredi 18 octobre 2017
NASDAQ : 6623.6567 0.3477   nasdaq0.01 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE, SUR LE TERRAIN

Sécurité : Aro refuse la psychose du web

Imprimer Envoyer à un ami Contacter la rédaction
Par Burçin Gerçek le 07/02/2002 - indexel.net
 

Alors que les risques de piratage inquiètent de plus en plus d´entreprises, le fabricant de pinces de soudage Aro refuse de se focaliser sur la seule problématique web. L´entreprise préfère d´abord sécuriser son réseau interne suite à un audit détaillé.

 

"Cette année, la sécurité est le sujet à la mode. Tout le monde parle du piratage, des chevaux de Troie, de la fuite d´informations. On se jette alors sur les firewall et les logiciels de détection d´intrusion. Or tout cela ne sert à rien si le réseau interne est mal configuré". Vincent Trely (photo) fait partie de ceux qui préfèrent balayer devant leur porte avant d´aller chercher le danger ailleurs. Responsable de la sécurité des systèmes d´information chez Aro, spécialiste du soudage par résistance, il a ainsi décidé en octobre dernier de réaliser un audit de ses serveurs et de son réseau interne.

"Nous passons par le service Global Intranet de France Télécom pour accéder à Internet. C´est un accès indirect, qui assure une double sécurité. Avant de nous attaquer, un pirate doit d´abord franchir les barrières mises en place par France Télécom. Nous n´avions donc aucune raison de nous soucier de la sécurité de notre connexion Internet", explique-t-il. Mais dans le petit monde de la sécurité informatique "focalisée sur le web", un audit qui ne prononce pas le mot "internet" ou "test d´intrusion" n´est pas facile à trouver.

Patrimoine à protéger

"Nous avions en plus des critères très précis : il fallait que la sécurité soit le métier principal du prestataire, que les compétences de celui-ci soient confirmées par de bonnes références, et que la sécurité du réseau interne fasse partie de ses priorités", raconte Vincent Trely. L´entreprise s´adresse finalement à AQL, spécialisée en audit de sécurité et qui compte la DCSSI (Direction centrale de la sécurité des systèmes d´information) et les industriels de l´armement parmi ses références.Pourquoi autant de précautions dans une entreprise qui ne traite pas, à priori, des informations sensibles ? "Nous sommes le leader mondial de la fabrication des pinces de soudage, très utilisées dans l´industrie automobile. Même si notre activité n´a rien de "secret défense", nous avons un patrimoine d´informations à protéger", souligne le responsable. La taille et l´organisation de l´entreprise contribuent également à cette sensibilité : plus de 700 personnes travaillent sur trois sites de production en France, en Angleterre et aux Etats-Unis. Les effectifs atteignent 2000 personnes avec les 7 filiales dans différents pays du monde. Les utilisateurs dans les filiales peuvent se connecter au réseau du siège via une ligne spécialisée, ce qui nécessite une protection renforcée. Les firewall de l´entreprise ne laissent entrer que les utilisateurs ayant une adresse IP autorisée.

« Crackabilité » des mots de passe

Une dizaine de jours a été nécessaire pour mettre en place l´audit du réseau interne. Les équipes d´AQL ont cherché des réponses à plusieurs questions clés, comme "quelles sont les failles des serveurs et du réseau ? Quels sont les ports ou services qui ne devraient pas être ouverts ? Est-ce que tous les logiciels sont mis à jour ? De quels droits d´accès bénéficient les utilisateurs ? Est-ce que les salariés qui sont partis ou qui ont changé de service ont toujours accès aux mêmes informations ? Est-ce que les mots de passe sont facilement crackables ?" Ces points ont été analysés à l´aide d´outils qui scannent le réseau et qui essayent de franchir les dispositifs de sécurité. L´équipe informatique de l´entreprise, composée de 15 personnes, a également été interrogée pour avoir plus de détails sur les configurations logicielles.Résultat : pas de faille majeure, mais quelques points à améliorer. "AQL nous a remis un rapport détaillé qui propose une solution pour chaque faille", explique Vincent Trely. Le responsable peut ainsi prévoir des évolutions et fixer un budget. L´audit concernait uniquement le réseau du siège : le contrôle des filiales est prévu au cours de l´année. "Avant de nous lancer dans un audit technique dans les filiales, nous avons besoin d´un audit d´organisation, comme nous l´avons fait auparavant au siège. Il s´agit de déterminer la politique générale de la sécurité de l´entreprise, les habitudes des utilisateurs et les liens hiérarchiques", précise Vincent Trely. "Près de 80 % des problèmes proviennent de malveillances internes. Toutes les précautions seront inutiles si les utilisateurs ne sont pas sensibilisés".

Aro

Aro fabrique des outils de soudage par résistance et des produits destinés à la réparation automobile. Implantée à Château du Loir dans la Sarthe, l´entreprise emploie plus de 700 collaborateurs sur 3 sites de production en France, en Angleterre et aux Etats-Unis. L´audit de sécurité du réseau interne a été confié à la SSII AQL. Budget du projet : 15 000 euros.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages