Possédant quelque 250 serveurs disséminés dans 40 pays, le spécialiste du transport et de la logistique Geodis a souhaité - dès 2002 - répertorier les failles applicatives de son parc pour mieux les connaître et faire disparaître les plus critiques d'entre elles.
"Le but était de voir quelles étaient les vulnérabilités de nos points d'accès Web, que ce soit au niveau des serveurs de présentation HTTP, des passerelles SMTP ou de tout autre point applicatif du réseau, comme les applications clients. En clair, dès qu'une adresse IP était publique, nous voulions savoir précisément ce qu'il en était des vulnérabilités", déclare Eric Allouard,
responsable sécurité et systèmes d'information chez Geodis.
La démarche était aussi motivée par la volonté de cartographier l'ensemble de ces points d'accès, afin d'en avoir une vue la plus exhaustive possible.
De par son expérience professionnelle passée, Eric Allouard savait, dans les grandes lignes, quel type de solution il voulait. Ses critères de choix ont été le mode ASP et la rapidité de déploiement. "Cela éliminait d'office des éditeurs tels que Symantec ou ISS", commente-t-il. Restaient en lice deux acteurs du marché : Qualys et Intranode.
Les deux ont été comparés, c'est-à-dire mis concrètement en production sur trois serveurs de la société. Le résultat a, semble-t-il, été sans appel : "Qualys nous donnait le moins de faux positifs, l'écart étant significatif entre les deux solutions", note Eric Allouard.
Les rapports de vulnérabilité sont programmés chaque mois, pour éviter de saturer les machines en activité. Plusieurs niveaux de "scan" sont proposés : le niveau standard, la recherche de mots de passe et la recherche dans les systèmes Windows, pour notamment détecter les problèmes de registre.
| Un an après, le module intranet a été choisi, soit 180 nouveaux serveurs |
En septembre 2003, le module intranet de Qualys est ajouté par Geodis, ce qui étend le principe des "scans" de vulnérabilités à 180 nouveaux serveurs. "Les fonctions de scan sont vraiment intéressantes sur intranet. On y voit bien entendu les vulnérabilités via les rapports mais aussi leur évolution et, surtout, leurs détails et les solutions que l'on peut y apporter alors que le scan sur Internet est plus standard, c'est un scan de port", complète Eric Allouard.
Lorsque des suggestions de solutions à une faille sont décrites par Qualys, plusieurs possibilités s'offrent au responsable de la sécurité. S'il s'agit d'une faille dans un système, le plus simple est souvent de mettre en place des solutions palliatives sur le réseau, comme de bloquer un port supplémentaire. Parfois, il peut être décidé d'accepter le risque ou d'attendre que l'éditeur ait résolu le problème.
"Tous les éditeurs sont concernés, mais les failles sont graduées de 1 à 5, elles n'ont donc pas toutes la même criticité.
Il existe également des failles effectives et d'autres qui sont potentielles, c'est-à-dire qu'elles existent peut-être, vu le contexte détecté. Il faut donc vérifier leur existence, soit parce que le test est destructif, soit parce qu'une sonde extérieure ne peut les détecter", précise Eric Allouard.
| Un complément indispensable : les tests d'intrusion manuels |
Vierge de ce genre d'actions avant 2002, Geodis est désormais en mesure de quantifier la notion de sécurité. L'entreprise sait combien de failles existent sur tel ou tel serveur, l'objectif étant de plus en avoir au-delà du niveau 3. Des effets pédagogiques ont également été ressentis, un langage et des référentiels communs ayant fait leur apparition au sein des équipes informatiques du groupe.
Mais cette démarche a ses limites. La recherche de vulnérabilités dans des systèmes d'exploitation, des pare-feu, etc. ne prenant nullement en compte les applications mal développées. "Nous accompagnons les scans périodiques par des tests d'intrusion manuels, sur les applications sensibles. Nous couvrons 80% des failles avec les tests de vulnérabilités et 20% avec les tests d'intrusion applicatifs", conclut Eric Allouard.
Le responsable sécurité et SI de Geodis change d'ailleurs périodiquement de société et met parfois deux d'entre elles en compétition sur un même test, considérant, comme il s'agit d'une démarche humaine, que les voies choisies sont parfois différentes lors de l'intrusion.
|
Le projet en bref
|
|
Société
|
Geodis
|
|
Siège social
|
Clichy (92)
|
|
Secteur d'activité
|
Transport, logistique, messagerie
|
|
Effectif
|
22 500
|
|
Chiffre d'affaires
|
3,3 milliards d'euros (2003)
|
|
Parc serveur
|
250 (180 serveurs intranet , 70 serveurs Web)
|
|
Solutions retenues
|
Qualys
|
|
En production depuis
|
Juin 2002
|
|
Dossier 
