Emmanuel JUD : Qu'est-ce exactement qu'un consultant sécurité ?
Hervé SCHAUER : Un consultant en sécurité informatique est un ingénieur qui aide les entreprises à concevoir et déployer des systèmes d'information qui répondent à ses besoins de sécurité. Lorsque nous développons des méthodologies, c'est pour formaliser l'exploitation d'un système de sécurité Internet ou une plateforme de commerce électronique, ou une méthode d'audit de serveurs.

Quelles sont vos méthodes de travail ?
Nous prenons en compte les besoins du client, ses moyens et recherchons la meilleure solution. C'est générique à tous les consultants sans doute, quel que soit leur métier.

Qui sont vos clients ?
Nos clients sont principalement les grands comptes, mais nous travaillons également pour des PME, sous-traitants de grands comptes, ou des start-ups dans le domaine de l'Internet. Tous les domaines sont couverts, même si certains secteurs sont très présents : banque/finance, industrie, opérateurs, etc. Nous travaillons également pour le secteur public, et à l'international un peu dans tous les pays.

Quels sont vos domaines d'intervention ?
Nous proposons des études, des mises en place de systèmes, des audits, des tests d'intrusion artisanaux, des tests de vulnérabilités, des enquêtes, un programme complet de formations en sécurité, des services de veilles : une veille en vulnérabilité, et une veille de l'actualité en sécurité dont je suis responsable, et de manière générale tout ce qui concerne la sécurité dans notre domaine : Unix, les systèmes Microsoft, et les réseaux TCP/IP au sens large. Au sens large intègre la couche sub-IP comme la sécurité d'Ethernet sans fil, de GPRS, etc., et les applications au-dessus comme Tuxedo, Lotus Notes, Vignette, Websphere, etc.

Un exemple de mission dans le domaine du piratage ?
Une enquête, nous avons à en faire régulièrement. Les plus graves en terme d'étendue des dégats étaient plutôt chez des fournisseurs de services : beaucoup de machines piratées. Par contre ce sont des cas de piratages d'entreprise qui je pense ont représenté les plus gros préjudices financiers, avec des vols de fichiers du business : propositions, fichiers clients, présentations marketing, etc. Beaucoup de problèmes viennent de l'intérieur. Nous avons des cas où les malveillances ont été réalisées par des anciens administrateurs système.

Un exemple de mission dans le domaine des virus informatiques ?
La conception d'architectures de passerelles de sécurité Internet permettant une répartition de la charge de l'anti-virus sur plusieurs serveurs, pour un anti-virus utilisé dans HTTP.

Un exemple de mission dans le domaine de l'escroquerie ?
Les missions sont souvent des audits et je pense que dans les audits d'applications, notamment dans le cadre d'applications de commerce électronique, nous avons souvent évité des futures escroqueries de la part des clients, en faisant corriger ces applications.

A part la malveillance, quels autres dangers guettent l'entreprise?
L'erreur humaine. Prenons un exemple très simple, quel est le cas le plus courant de perte de disponibilité sur un serveur web situé dans une entreprise ? Un serveur qui fourni un service vers l'extérieur. Pas le piratage du serveur, pas un déni de service de ce serveur, pas une coupure de la LS ou une coupure de courant, mais dans mon expérience, une erreur de configuration ou d'annonce BGP par le fournisseur d'accès. Donc une erreur humaine chez le fournisseur d'accès. Pour cela il faut des procédures d'alarme pour faire corriger rapidement l'erreur.

Quel serait pour vous un scénario catastrophe ?
Sous l'angle technique, je pense que nous avons à plusieurs reprises échappé de très peu à des vers beaucoup plus dévastateurs que ceux que l'Internet a connu. Un vers étant un programme qui profite d'erreurs de configuration ou de bogues des applications pour se dupliquer tout seul de serveur en serveur. Sous l'angle financier, il m'apparait plausible d'arriver, au travers de piratages informatiques, à faire basculer la bourse de manière artificielle. Avec les services de bourse en ligne disponibles actuellement celà n'apparait pas impossible que certains d'entre eux puissent permettre de faire des transactions partiellement virtuelles, car ce genre d'applicatifs ont toujours le risque d'avoir des bugs.

Quelle formation pour devenir consultant?
La meilleure formation à la sécurité informatique est d'être un bon informaticien. La sécurité demande des connaissances généralistes, à la fois une maîtrise de la programmation et de l'administration système et réseau. Pour les jeunes passionnés il existe des mastères en sécurité informatique, mais la sécurité s'apprend en entreprise : ce qui compte c'est la base technique maîtrisée au départ. Il faut donc une maîtrise d'informatique, un DEA, un DESS ou un diplôme d'ingénieur. Ensuite, nos consultants vont régulièrement en formation aux USA, notamment sur les domaines où ils peuvent avoir des lacunes, par exemple la sécurité Windows 2000 pour des consultants qui maîtrisent la sécurité Linux, et bien sûr ils profitent des formations dispensées en interne.

Après des études d'informatique à l'Université Paris 6 (Jussieu), Hervé SCHAUER est un des pionniers de la sécurité informatique en France, avec (entre autres) la publication dès 1987 d'une série d'articles sur la sécurité Unix et la détection d'intrusion. Il fonde en avril 1989 son propre cabinet (Hervé Schauer Consultants), au sein duquel il a été l'un des inventeurs du relayage applicatif (proxy services), présenté à Usenix Security en 1992, et utilisé par la suite dans les firewalls.

LIENS UTILES :

- Hervé Schauer Consultants, site professionnel d'Hervé SCHAUER
- OSSIR (Observatoire de la Sécurité des Systèmes d'Information & des Réseaux)
- CLUSIF (Club de la Sécurité des Systèmes d'Information Français)