Loïc Guézo (IBM Security) "Le piratage de Sony pourrait faire évoluer la norme PCI DSS"

Nouveau centre dédié à la cybersécurité, étude sur les menaces actuelles, collaboration avec l'OTAN et l'Anssi : la division chargée de la sécurité chez IBM France détaille l'enjeu de ses missions actuelles.

JDNSolutions. IBM a récemment annoncé l'ouverture d'un nouveau centre de cybersécurité à Bruxelles. Quelle est sa mission ?

Loïc Guézo. L'IAE pour Institute for Advanced Security, cherche à améliorer la cybersécurité. Ce nouveau centre est une réplication en Europe de ce qu'IBM propose déjà aux Etats-Unis depuis un an. C'est une plate-forme d'échange d'expertise visant à faire coopérer les acteurs de la sécurité : entreprises, régulateurs et acteurs gouvernementaux sont invités à y participer.

Le centre est situé à Bruxelles, ce qui lui permet notamment d'aider l'OTAN à réfléchir sur la sécurité de son système d'information et les bonnes pratiques en la matière. Cet IAE collabore également avec l'Anssi, l'Agence nationale de la sécurité des systèmes d'information. Cette dernière, si elle a depuis peu la fonction régalienne d'assurer la cybersécurité de la France, a également pour mission d'éduquer les acteurs et les entreprises en matière de sécurité. IBM a alimenté certaines réflexions. Nous avons par exemple pu aider à la rédaction du livre blanc sur la sécurité du Cloud Computing publié par l'Anssi.

C'est un thème qui peut préoccuper les entreprises et les DSI.  Or, il apparaît que le Cloud Computing, s'il est assuré par un prestataire qualifié et sérieux en matière de SLA et de PRA, peut en fait renforcer la sécurité du système d'information d'une entreprise. Le prestataire du Cloud Computing peut en effet mieux gérer la sécurité que certaines entreprises. Basculer vers ce modèle peut donc apporter cette valeur ajoutée.

Cependant, la sécurité informatique a beaucoup évolué dans les entreprises dernièrement. Si auparavant, seul 1 à 3 % du budget IT y était consacré, avec l'impression qu'il s'agissait d'un surplus, ce n'est plus le cas aujourd'hui, où la proportion dépasse les 10%. La création de l'Anssi, en 2009, puis ses nouvelles missions, sont aussi révélatrices de ce changement.

La X Force, service R&D d'IBM en sécurité, vient de publier son rapport semestriel sur les menaces. Quelles en sont les conclusions saillantes ?

Première évolution notable : le nombre de vulnérabilités publiées par les éditeurs est en très forte hausse, de près de 30%. Cela veut dire que de nombreux éditeurs font un travail important, et plus visible qu'avant, pour publier leurs failles. Cela peut aussi montrer à quel point le travail des pirates et des hackers s'intensifient car ils génèrent plus de vulnérabilités visibles.

"Une norme ne garantit pas la totale sécurité et son rôle est d'évoluer."

Nous avons aussi constaté plus de vulnérabilités 0 day déclarées, et les exploits qui vont avec. Les tendances en matière de cybercriminalité et le marché de la sécurité obligent les pirates à baser leurs attaques sur ces failles pas encore patchées. Un des exemples récents les plus marquants fut sans doute Stuxnet, qui exploitait plusieurs vulnérabilités 0 day dans Windows.

C'est un problème car ces attaques sont par nature plus difficiles à repérer. Dans les IPS qu'IBM commercialise, certaines de ces attaques 0 day peuvent néanmoins être bloquées en étudiant leurs comportements car la faille en elle-même n'est pas encore corrigée. Nous appelons cela les patchs virtuels.

IBM est également certificateur PCI DSS. Dans la spectaculaire fuite de données qui a affectée Sony, cette norme de sécurité, chargée, entre autres de protéger les numéros de carte de crédit, était-elle respectée ?

Je n'ai pas tous les éléments pour répondre. Par ailleurs, c'est encore plus délicat d'étayer car il n'est pas conseillé de commenter les failles ou la sécurité des clients audités par IBM (Sony n'en est cependant pas un pour la certification PCI DSS) ou de ses prospects.  

Ce que l'on peut en dire, c'est qu'une norme ne garantit pas la totale sécurité et que son rôle est d'évoluer. En sécurité, c'est une lutte permanente, il n'y pas de statut définitif. Si Sony se révélait être certifié PCI DSS, cela pourrait contribuer à la nécessité de la remettre à jour, pour la faire évoluer vers une 3ème version alors que la 2ème est encore relativement récente. Mais cela dépend aussi de la nature des données perdues. Au Japon, la catastrophe nucléaire a toutefois bien fait évoluer la question de la sécurité des centrales nucléaires...

Après avoir occupé différentes fonctions d'IT Manager dans les secteurs du travail temporaire, industrie pharmaceutique, Loic Guézo rejoint IBM Global Services en 2001 en qualité d'architecte sécurité, spécialiste d'infrastructure IT. En 2004, il est certifié IBM Security Architect. En 2006, il est consultant manager au sein d'IBM Global Services. Depuis le rachat de ISS (Internet Security Systems) en octobre 2006 par IBM, Loïc Guézo est directeur technique de l'offre IBM Security Solutions, spécialiste de cybercriminalité, détection et réaction aux attaques informatiques, lutte contre la fuite d'informations et à ce titre correspondant national de la X-Force IBM ISS (service R&D Sécurité d'IBM, CERT IBM).