Comment le missilier MBDA soigne la sécurité de son système d’information

Second missilier au monde, MBDA travaille pour de nombreux pays, notamment en Europe. Et pour la France. Ce qui l’oblige à utiliser des solutions validées par l’Anssi pour assurer la sécurité de son système d’information et des données sensibles dont il regorge. Alors même qu’il doit gérer l’interconnexion entre ses différentes entités et composer avec ses contraintes métiers. Philippe Bernard, RSSI de MBDA, explique ainsi recourir aux solutions du français NetAsq pour certains aspects de la sécurité de son système d’information : pare-feu, VPN entre sites, et même filtrage des accès à Internet des postes de travail. Car ceux-ci permettent d’accéder à Internet. Philippe Bernard explique le contexte : «nous devons protéger le réseau vis-à-vis d’Internet, que ce soit pour la messagerie ou pour le Web. Les données à diffusion restreinte que nous manipulons font l’objet d’une réglementation stricte et nous devons respecter cet impératif réglementaire.» 

Offrir un accès maîtrisé à Internet

Mais pourquoi, sur une activité aussi sensible, permettre aux utilisateurs d’accéder à Internet ? «Effectivement, cela implique des risques», reconnaît-il, avant de souligner la réalité opérationnelle. Celle d’utilisateurs qui ont besoin d’échanger des données avec le reste du monde. «Nous aurions pu imaginer de déployer un réseau parallèle dédié à l’accès à Internet, avec un cloisonnement physique entre les deux réseaux. Mais, typiquement, pour la messagerie, pour des questions d’échange entre message interne et externe, c’eut été très difficile, voire impossible,» explique Philippe Bernard, qui souligne au passage que «cela aurait voulu dire deux postes et deux messageries. Donc doubler la gestion des correctifs, des authentifications, etc. Ce qui induit un coût non négligeable et des problèmes de place.» Pour lui, une telle approche fermée n’est pas réaliste au quotidien : «comme fait-on pour échanger entre les deux environnements ? On utilise des clés USB. Et là, ça risque d’être pire.» De fait, pour lui, contrairement à une idée apparemment simple mais manifestement simpliste, le fait de dédier des postes à l’accès à l’environnement ouvert d’Internet, sans contrôle, serait plus dangereux : «je l’ai constaté dans une vie antérieure,» indique-t-il, «on est naturellement moins attentif aux postes dédiés au monde ouvert. Leur maintenance est moins rigoureuse et moins régulière. Des postes sont régulièrement vérolés.» Dès lors, les clés USB utilisées pour faire transiter les données entre les deux environnements courent le risque de le devenir également, propageant l’infection...

La poste de virtualisation du poste de travail a été évoquée en interne. L’idée étant de construire des machines virtuelles dédiées à l’accès au monde ouvert, isolées de manière hermétique de l’environnement de travail interne : «il n’y a là qu’une seule machine et c’est plus sécurisant qu’un PC connecté à Internet. Mais l’entreprise l’a écarté avant que je n’arrive pour des questions de coût. Et n’oublions pas que ce petit environnement ouvert sur Internet doit aussi être administré.» 

Au final, MBDA a décidé de permettre à ses collaborateurs d’accéder à Internet. Mais pas tous : «au début, l’idée était de limiter les populations concernées. Mais l’ouverture s’est étendue. On est arrivé à 45 % d’utilisateurs.» Du coup, la logique de prévention s’est adaptée : «tout le monde peut accéder à Internet mais pas à tous les sites Web. Nous avons déterminé une liste blanche de sites et de services.» Le problème ? Pour se protéger, MBDA a dû renforcer le contrôle sur la validité des certificats SSL : «si le certificat n’est pas valide, personne n’accède au site.» Et pour lui, c’est un vrai souci : «vous n’imaginez pas le nombre de sites bloqués.» 

Une approche globale de la sécurité du SI

Les outils NetAsq sont là pour protéger l’accès au réseau de l’entreprise. Les accès sortant à Internet passant par des DMZ où se trouvent les outils de filtrage, d’anti-virus, d’anti-spam, etc. Mais leur déploiement s’inscrit dans une démarche plus large de protection et de surveillance de l’infrastructure. 

De fait, Philippe Bernard explique que MBDA a lancé le déploiement d’un centre de sécurité opérationnelle (SoC) assorti d’un système de gestion des incidents de sécurité (SIEM). Des outils qui se nourriront notamment des systèmes existants de gestion des identités, des accès et des rôles des utilisateurs. Pour lui, il s’agit là de «fédérer» des solutions mises en place de manière séparée.

Mais si l’existant se prête bien à cela - ses pare-feu supportent notamment la reconfiguration dynamique en réponse à une menace détectée -, le passage au SoC n’en est pas simple pour autant : «tout le monde voit l’intérêt d’un SoC. Mais il faut y mettre le prix, tant en investissement qu’en coût d’exploitation.» En clair, la sécurité des systèmes d’information coûte cher. Ce qui semble d’autant plus vrai que, pour rapporter les bénéfices attendus, elle doit faire l’objet d’études préalables fines : «le but d’un SIEM est de détecter les signaux faibles, de permettre de creuser dans le bruit de fond. Mais encore faut-il savoir spécifier précisément ce que l’on veut. Savoir où regarder et quoi chercher. Cela demande une bonne connaissance de son infrastructure. D’où un besoin d’analyse très poussé.» Car si les équipements déployés chez MBDA permettent de remonter l’information, et même de lancer des actions correctrices de manière automatisée, il faut rester prudent : «bien sûr, on veut pouvoir rapidement couper ou interdire un trafic. Mais il faut ne le faire que lorsqu’il y a un vrai problème. Il n’est pas question de nuire à la productivité.» Le risque des faux positifs.