Quand le stockage ouvre les portes des entreprises aux pirates

Le Computerworld's Storage Networking World, qui s'est tenu du 15 au 18 octobre à Dallas, a démarré avec une conférence sur un sujet sensible : la sécurité. Responsable de la sécurité du courtier TD Ameritrade, Alan Lustiger a rappelé que les solutions de stockage présentaient des points faibles. Des pirates pourraient en profiter pour récupérer des données sensibles ou pour infecter le réseau de l'entreprise.Parmi toutes les technologies de stockage, les Network Attached Storage (NAS) seraient les plus fragiles, selon Alan Lustiger. Pour trois raisons. Premièrement, l'espace de stockage est mutualisé : une faille sur un maillon du réseau expose alors toutes les informations. Deuxièmement, les protocoles utilisés sont clairement connus et documentés, ils peuvent donc être facilement étudiés pour découvrir des vulnérabilités faibles. Troisièmement, l'accès aux données repose sur le duo identifiant-mot de passe. Or, tout le monde sait que les mots de passe ne sont pas toujours très élaborés et rarement changés.Michel Alliel, directeur des produits et solutions d'Hitachi Data Systems, pointe du doigt une autre faille : la gestion des ressources humaines. ' Un employé quittant une entreprise peut toujours accéder aux documents tant que son employeur n'a pas mis à jour sa base d'accès et supprimé les identifiants de cette personne. La gestion de la sécurité doit être la plus rapide possible. 'Elle n'est malheureusement pas souvent appliquée aux environnements de stockage, a indiqué le représentant de TD Ameritrade. Un constat partagé par François Riche, expert en sécurité à Crossroads, une société américaine spécialisée dans les solutions de protection des informations d'entreprise.' Le problème avec les solutions de stockage... c'est qu'elles fonctionnent sans difficultés. On les installe facilement et ensuite on n'intervient plus jusqu'au jour où le système est changé. On ne vérifie jamais le niveau de sécurité qui est pourtant très bas puisque les paramètres par défaut sont utilisés dans la majorité des cas ', explique l'expert.

La sécurité n'est pas une priorité

Ces lacunes se rencontrent plus souvent dans les PME que dans les grandes sociétés, qui disposent de responsables de sécurité et de moyens plus importants. Or, le marché des PME est en plein essor. D'où des risques de piratage plus nombreux, car la priorité de ces nouveaux clients est de pouvoir archiver des volumes de données de plus en plus importants sans utiliser des solutions trop élaborées. La sécurité passe après. Beaucoup de patrons n'ont pas conscience des risques.' Dans de nombreuses entreprises, les données ne sont pas chiffrées. N'importe qui peut y accéder, même certains salariés depuis leur domicile ', constate François Riche. ' Si un client veut sécuriser ses informations, il a juste à cocher une case dans l'écran d'administration de nos baies de stockage. Les données seront alors chiffrées et il devra créer un mot de passe ', précise Michel Alliel.Différentes réglementations mises en place notamment aux Etats-Unis pourraient aussi renforcer la sécurité du stockage. Depuis dix-huit mois, une norme américaine oblige les constructeurs à ' tracer ' tous les accès aux données. ' Un journal crypté permet de connaître l'ensemble des manipulations réalisées sur la base de données. Il se trouve dans la machine, mais il n'est accessible qu'au fabricant de la solution de stockage ', indique Michel Alliel.