Introduction

Le projet EISPP ("European Information Security Promotion Programme") est un projet sponsorisé par la Commission Européenne dans le cadre du 5éme "Framework Programme". Le projet a pour but de développer un réseau Européen de CERT et de définir le contenu et les moyens de mise à disposition de services de sécurité pour les PME/PMI. Le projet, qui a démarré en juin 2002 pour une durée de 18 mois est mené par un consortium composé de CERT du secteur privé, de FAI (ISP) et FAS (ASP), d'organisations "professionnelles" de sécurité et de PME/PMI, soit directement, soit par l'intermédiaire de Chambres de Commerce et d'Industrie (CCI).

Le Consortium chargé du projet est composé de : Cert-IST, esCERT, Siemens CERT, I-Net, CLUSIT, Callineb Consulting et Inetsecur.

A quoi sert EISPP ?
Quels sont les problèmes ?

Le manque de confiance
Depuis quelque temps déjà, quelques entreprises ont essayé de développer leurs activités par le commerce électronique en utilisant les réseaux publics et surtout Internet. En février 2000 une attaque en déni de service (DDoS Distributed Denial of Service) a paralysé des sites très connus de commerce électronique, et, plus récemment, des vers comme Code Red II, ou NIMDA ont affecté des centaines de milliers de sites Internet. La situation de la menace "sécuritaire" évolue ; les cibles qui étaient, dans le passé, les grandes entreprises, se sont déplacées vers les autres acteurs de l'Internet jusqu'aux PME/PMI et même aux utilisateurs privés. Les dommages causés dans le passé par les attaques étaient relativement faciles à réparer. Ce n'est plus le cas aujourd'hui, ce qui a amené une perte de la confiance dont les acteurs ont besoin pour utiliser Internet dans les affaires de tous les jours, y compris dans le business. Tous ces événements ont affecté le développement de l'utilisation d'Internet dans les PME/PMI.

Un support inadéquat
Les grandes entreprises, qui peuvent se payer les services d'un CERT, tant d'un point de vue ressources financières que d'un point de vue expertise interne, n'utilisent pas toujours le "matériel de prévention mis à leur disposition (les Avis de Sécurité). L'un des résultats de cet état de fait a été que beaucoup de ces grandes entreprises ont été atteintes par les événements mentionnés plus haut. D'un autre côté, les PME/PMI ne disposent pas des ressources financières ni du minimum d'expertise nécessaires pour réagir à ces avis de sécurité.

Un expertise diluée et un manque de standards
Les avis de sécurité sont émis par les CERT et les organismes spécialisés (tels la liste bugtraq hébergée par ISS, ou les avis des éditeurs de logiciels) mais n'ont jamais été standardisés (le standard CVE n' été adopté que par un très petit nombre de ces acteurs, pour référencer les vulnérabilités). Les administrateurs sont souvent submergés d'informations de sécurité, qu'ils sont dans l'impossibilité d'analyser l'impact en situation de crise. Cette lacune a un impact sur la capacité de fournir une information sur le risque encouru et aussi sur la vulnérabilité du système en fonction de la difficulté d'utilisation d'une faille de sécurité. Les mesures de risque et de vulnérabilité sont parfois présentes dans certains avis, cela dépend de l'organisme qui les émet. A travers l'Europe bien qu'on trouve de l'expertise dans à peu près tous les domaines en relation avec la plupart des composants réseaux et systèmes, il n'y a aucun endroit où trouver la liste de ces centres d'expertise. On ne trouve pas non plus d'endroit où seraient recensés les centres d'expertise et leurs domaines d'expertise, pas plus qu'aucun processus n'est en cours pour partager cette expertise au travers d'un "réseau d'échange européen".

Les objectifs d'EISPP
L'objectif principal du projet EISPP est de construire un cadre Européen destiné à fournir aux PME/PMI les services de sécurité nécessaires au rétablissement de la confiance indispensable dans le commerce électronique, et qui leur permettra de développer leur business. Cet objectif sera atteint au travers d'un ensemble d'objectifs secondaires :
La mise en place d'un réseau d'expertise parmi les CERT d'Europe qui leur permettra de partager et d'améliorer leur production de services de prévention et d'ouvrir ce réseau à d'autres CERT et organismes impliqués dans la prévention.
La fourniture aux PME/PMI de services de sécurité adaptés, utilisables et efficaces. Comme indiqué plus haut dans le chapitre "Un support inadéquat", un avis de sécurité tout seul n'est pas le moyen le plus adapté pour améliorer la situation de la sécurité dans une entreprise. Un ensemble cohérent et complet de services comme par exemple une patch impact "évaluation objective" de la situation couplée avec une étude d'impact du passage de correctifs sur des systèmes opérationnels et une administration à distance (souvent demandée, mais rarement offerte). Une modélisation d'un tel ensemble de services doit être entreprise, de même qu'une modélisation du financement d'un tel ensemble de services sera l'un des objectifs du projet.
Enfin, les résultats du projet seront diffusés à l'ensemble de la communauté européenne, les PME/PMI, mais aussi tous les autres acteurs du domaine de la sécurité des systèmes d'information intéressés..

Organisation
Structure générale du projet

Le projet est composé de 6 lots:

• Le lot 1 : Management
• Le lot 2 : Dissémination et plan d'exploitation
• Le lot 3 : Infrastructure de partage des avis
• Le lot 4 : Diffusion d'avis aux PME/PMI
• Le lot 5 : Déploiement et intégration de produits de sécurité
• Le lot 6 : Mesure et évaluation des résultats

les plus intéressants, pour les utilisateurs, sont les lots 3, 4 et 5.

Lot 3: Infrastructure de partage des avis
L'objectif du lot 3 est de bâtir une "infrastructure de partage" entre les différents centres d'expertise (les CERT)participant, dans le but de rendre disponible pour le de l'industrie (les grandes entreprises et les PME/PMI) un "catalogue" d'"informations" de prévention et de profiter de cet effort pour mettre en place un réseau d'expertise européen dans ce domaine. L'infrastructure inclut les bases de données de vulnérabilités et traitera de l'inter- dépendance de ces vulnérabilités.

Lot 4 : Diffusion d'avis aux PME/PMI
Le premier objectif du lot 4 consiste en la définition et l'expérimentation de la diffusion d'information sécurité (avis) ciblée PME/PMI.
Le deuxième objectif traite d'une des techniques nécessaires à l'atteinte du premier, à savoir, l'utilisation d'une Infrastructure de Gestion de Clés (IGC ou PKI) dans un environnement ouvert (à opposer au monde "fermé" d'une entreprise), environnement devant prendre en compte de très grands nombres d'utilisateurs (les PME/PMI). Le troisième objectif concerne la manière dont ces actions préventives peuvent être pérennisées pour les PME/PMI et aboutira à la définition d'un modèle économique adapté pour le financement d'un tel service.

Lot 5 : Déploiement et intégration de produits de sécurité
La maintenance des produits dits de sécurité est un challenge supplémentaire pour les PME/PMI. Classiquement, les PME disposent d'un "support technique limité", et, maintenir les produit de sécurité qui ont été déployés dans l'entreprise au niveau de correctif le plus à jour, pose un problème de ressources réel. La plupart du temps, les PME ont besoin d'un "fournisseur" qui puisse mettre à leur disposition les dernières techniques et informations nécessaires pour protéger différents systèmes d'information, permettant ainsi à leurs propres employés de se concentrer sur leur business propre. Compte tenu de la diversité des solutions mises en place, un effort significatif sera fait pour traiter de situations différentes pour extrapoler les résultats des différentes expériences pratiques et permettre un réutilisation pour la majorité des PME/PMI.

Les recommandations issues du lot 4, seront confrontées au "terrain", de façon à disposer d'un "vrai" retour de la part de "vraies" PME/PMI. Les objectifs de ce lot sont :

• D'intégrer la distribution des avis de sécurité à l'utilisation des produits par les PME/PMI. Ainsi, outre une réception d'avis de sécurité, une PME pourra aussi recevoir de l'information "complémentaire" sur la façon de bien configurer son garde-barrière (ou son IDS on son anti-virus, ...) pour traiter cette vulnérabilité. Une telle information sera adaptée au outils de sécurité en usage dans la PME.

• Pour tester l'adaptation et la complétude de l'information diffusée, des expérimentations seront conduites auprès d'un nombre fini de PME/PMI dans chacun des pays participant (par chaque centre d'expertise)

• Pour automatiser la diffusion d'informations de sécurité, au travers de la réalisation de tests automatiques de vulnerabilités (scanning) comprenant la distribution et l'application des correctifs (patch).

Participation d'utilisateurs

Les utilisateurs peuvent participer de deux manières :

• Comme utilisateurs "finaux" : typiquement une PME qui recevra et utilisera les avis et les services soit directement, quand ils seront fournis par l'infrastructure CERT, soit via des intermédiaires

• Comme intermédiaires ; typiquement un FAI/ISP, ou un FAH/ASP, ou une Chambre de Commerce, les intermediaires ajoutent un niveau supplémentaire entre utilisateurs et CERT. Ils peuvent prendre en charge seulement l'inscription des utilisateurs, de telle sorte que le service soit disponible à un grand nombre, ou ils peuvent ajouter des services supplémentaires comme ceux prévus par le lot 5.

Le schéma montre des exemples de la façon dont les CERT , les intermédiaires et les PME interagissent (Conseil : cliquer sur l'image pour l'agrandir).

Ce qui suit présente un exemple des avantages de services de prévention adaptés services.
Une PME reçoit des avis de sécurité pour tous les systèmes qu'elle utilise y compris ceux de : Microsoft, Compaq, Sun, Oracle, Checkpoint. Le résultat est une surcharge d'information, et une impossibilité (en ressource et en temps) pour la PME de sélectionner les avis qui vraiment s'appliquent à ses propres sytèmes? et, en conséquence, un grand nombre de problèmes reste ouvert. EISPP fournira à la PME seulement les avis traitant de Checkpoint FW-1 sur plateforme NOKIA, Oracle 8i sur plateforme Solaris 8, et MS Win2K; EISPP fournira aussi les pointeurs sur les signatures IDS / AntiVirus pour détecter les nouvelles vulnérabilités d'Oracle 8i sur plateforme Solaris 8. De plus, EISPP ajoute des avis d'experts appartenant au réseau d'experts sécurité à travers toute l'Europe. Le résultat en est une meilleure information sécurité, utilisée de manière efficace.