Actualité web & High tech sur Usine Digitale

FIC 2016 : "Nous avons un système de traçabilité sophistiqué", assure le directeur sécurité de Huawei

|
Twitter Facebook Linkedin Google + Email
×

Entretien A l'occasion du Forum international de la cybersécurité 2016, qui se déroule du 25 au 26 janvier à Lille, L'Usine Digitale a rencontré John Suffolk, Chief Security Officer de Huawei, pour faire le point sur la philosophie du géant chinois en matière de sécurité informatique.

FIC 2016 : Nous avons un système de traçabilité sophistiqué, assure le directeur sécurité de Huawei
FIC 2016 : "Nous avons un système de traçabilité sophistiqué", assure le directeur sécurité de Huawei © Julien Bergounhoux

L'Usine Digitale - Quel est votre ressenti face à l'inquiétude ambiante concernant la souveraineté des acteurs de la sécurité ?

John Suffolk - Il y a une impression erronée qu'un acteur maîtrise la fabrication de ses équipements dans son intégralité, de A à Z. Mais si vous prenez n'importe quel ordinateur portable, il utilise des composants qui proviennent de 10 pays différents. C'est pourquoi nous prônons le réalisme. Nous avons plus de 10 000 fournisseurs pour nos équipements. Aucun produit n'est 100% américain ou 100% chinois.

 

Pour sécuriser cette chaîne logistique, Huawei implique ses partenaires dans des relations à long terme qui vont au-delà du simple rapport client-fournisseur. Nous avons des accords sur la cybersécurité avec nos fournisseurs qui font qu'ils nous préviennent lorsqu'ils trouvent des bugs ou des problèmes dans leurs composants. Le souci n'est pas tant une possibilité de sabotage qu'une méconnaissance du risque potentiel de la part du fournisseur, car il ne sait pas précisément comment nous utilisons la pièce. Laissé à lui-même, il ne pense pas forcément sécurité. C'est principalement une question de partage d'information et de mise en place de processus.

 

Que faites-vous de toutes ces informations ?

Nous avons mis en place un système de traçabilité sophistiqué. Nous pouvons savoir en quelques minutes, partout dans le monde, d'où proviennent nos composants, dans quels produits ils se trouvent, et qui sont les consommateurs qui les utilisent. Et cela concerne aussi bien le hardware que le software. Imaginons que nous détectons une faute dans un composant logiciel. Cela peut provenir d'une fonctionnalité qu'a demandée un client, mais qui pose un risque pour un autre client. Nous pouvons remonter toute la chaîne pour savoir quel a été le besoin d'origine, qui en a fait la demande, quels ingénieurs l'ont implémenté, de quelle manière le code diffère de l'ancienne version, quels produits sont impactés, qui a distribué ces produits et à quels clients.

 

Cette approche n'est pas récente mais nous l'avons amélioré en continu depuis 5 ans. A l'époque cela prenait un jour et demi, aujourd'hui seulement quelques minutes. Pour le software cela demandait beaucoup de ressources, désormais c'est automatisé. Cela nous a été utile par exemple lorsque Heartbleed a frappé.

 

Même chose lorsque nous devons intervenir en support sur les réseaux de nos clients, nous définissons tout dès le départ : qui va avoir accès, de qui va-t-il le recevoir et pour combien de temps, avec quelle machine, où doivent être générés les logs d'audit... la traçabilité vaut pour tout le cycle de vie.

 

L'inquiétude concernant de possibles backdoors semble quand même fondée, comme par exemple dans le cas de Juniper Networks... Et il y a une réelle méfiance vis-à-vis des acteurs chinois.

Nous sommes présents partout dans le monde, donc en théorie n'importe quel gouvernement pourrait nous demander d'agir de la sorte. Mais nos procédures de sécurité rendent ce type de pratique impossible à mettre en œuvre. En moyenne, sur l'un de nos équipements, 77% des composants sont fabriqués à l'extérieur. De plus, d'un point de vue software, il faudrait justifier du besoin qui a conduit à ce changement. Et les ingénieurs ne sont autorisés qu'à accéder au code sur lequel ils sont censés travailler.

 

Si vous écrivez du code qui n'est pas autorisé, c'est détecté automatiquement lors de la compilation. Le code est compilé sur un serveur de test séparé auquel le développeur n'a pas accès. Le serveur envoie le feedback au développeur et à son supérieur après avoir vérifié sa qualité (design, bonnes pratiques, etc.). Tout est compartimenté en équipes séparées. Nous avons de plus un laboratoire interne en cybersécurité qui effectue ses propres tests indépendamment du reste. Ils vérifient le design, la qualité du code, font des tests de pénétration...

 

Est-ce que vous effectuez aussi des audits externes ?

De manière générale, notre philosophie est de dire aux gens de venir tester nos solutions eux-mêmes. Nous faisons visiter nos locaux à des milliers de personnes chaque année à qui nous montrons tout ce que nous faisons en interne. Et pas qu'au niveau hardware ou software mais même pour la validation du personnel. Notre devise est "beaucoup d'yeux et beaucoup de mains". Nous sommes dédiés à l'ouverture, à tous les niveaux. Nous sommes d'ailleurs complètement en faveur de l'open source.

 

De plus, les clients ont eux-mêmes de nombreux fournisseurs, dont les équipements pourraient neutraliser ces vulnérabilités hypothétiques, donc les chances de succès de ce genre de pratiques sont infimes. Il serait bien plus simple, pour avoir un résultat spécifique, de soudoyer quelqu'un dans une entreprise. C'est pour ça qu'on n'est pas très concernés par ces questions sur les backdoors. Si quelqu'un compromettait un de nos équipements, nous le saurions immédiatement. Cela étant dit, il n'y a jamais de garantie à 100%. Je suis sûr que les équipes de Juniper Networks sont très sérieuses, mais le risque zéro n'existe pas.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale