Pour l’éditeur français, l’attaque de type Sandworm révélée par l’ANSSI démontre l’urgence de meilleures pratiques en la matière.
Paris & Toronto – Jeudi 04 Mars 2021 – Centreon, partenaire de confiance pour l’excellence opérationnelle des systèmes d’information, appelle les entreprises, les OIV, les OSE, les ESN et les services publics à davantage de respect et d’adoption des meilleures pratiques informatiques menant à une supervision sécurisée et souveraine. Au regard des événements récents, indéniablement, la supervision est devenue un enjeu majeur de cybersécurité. C’est pourquoi, Centreon appelle l’ANSSI, les entreprises exploitant des SIIV et les ESN proposant des services de supervision à échanger et œuvrer ensemble pour le respect des meilleures pratiques IT.
Centreon rappelle les conclusions de l’ANSSI quant à l’origine de la faille ayant conduit à la campagne de type Sandworm révélée le 15 février dernier : il n’y a pas eu compromission du logiciel Centreon mais une accumulation de mauvaises pratiques de la part d’utilisateurs d’une version open source obsolète, à savoir : l’absence de support et de renforts en matière de cybersécurité sur cette version, son exposition via le web sans mesure de protection et l’ajout de fonctionnalités non prévues qui ont servi de porte d’entrée aux hackers (l’origine de cet ajout restant à déterminer). Ces pratiques sont évidemment contraires tant aux recommandations de l’ANSSI en matière d’hygiène informatique qu’aux bonnes pratiques de Centreon pour l’utilisation de ses solutions. Cette attaque illustre de mauvais choix de gouvernance IT à l’opposé des bonnes pratiques en ce qui concerne la supervision des systèmes d’information en lien avec la cybersécurité.
Centreon formule par conséquent les recommandations et observations suivantes :
- POUR UNE SUPERVISION SOUVERAINECentreon est un éditeur de logiciels français, avec un siège social à Paris. En hypercroissance avec 31% de croissance par an depuis 4 ans, reconnu sur le marché : Champion du Pôle Systematic 2020, classé dans le Palmarès les Champion de la croissance Les Echos depuis 2019, référencé dans le SILL- Socle Interministériel des Logiciels Libres et membre de Tech’In France, Centreon compte, à travers le monde, plus de 700 clients entreprise actifs, 250.000 utilisateurs de sa plateforme open source et s’est imposé comme la solution de supervision française de référence.
La supervision est l’une des toutes premières priorités des Directions des Systèmes d’Informations dans le secteur privé comme dans les services publics. A l’instar du Cloud et de la Cybersécurité, la supervision est devenue une fonction critique, et devrait bénéficier d’une action concertée et souveraine entre tous les acteurs et le gouvernement.
- UN APPEL AU RENFORCEMENT DES BONNES PRATIQUESCentreon encourage les intégrateurs ainsi que tous les utilisateurs de ses solutions de supervision à respecter les règles d’hygiène informatique. Ces bonnes pratiques concernent tout type de logiciel qu’il s’agisse d’un logiciel open source ou d’un logiciel commercial et doivent être respectées par tous les professionnels des systèmes d’information. Le recours à l’open source ne dédouane pas les utilisateurs du respect des bonnes pratiques et règles d’hygiène informatique. Des fondamentaux tels que la mise à jour régulière et la sécurisation des logiciels, l’utilisation d’une politique forte de gestion des mots de passe, la prise en compte des guides techniques de Centreon et de l’ANSSI qui intègrent la sécurisation des plateformes de supervision, sont à respecter de manière constante.
Limiter les vulnérabilités de logiciels aussi critiques que des systèmes de supervision est un enjeu décisif qui appelle la mobilisation d’expertises spécialisées. Le meilleur moyen pour garantir un déploiement et une exploitation pérenne, sécurisée et souveraine en la matière reste donc l’accompagnement par les services professionnels de Centreon et de ses partenaires certifiés.
- UNE COMMUNAUTÉ GARANTE DE LA SÉCURITÉCentreon est fier de ses racines et de son ADN open source, de sa communauté, ainsi que de son appartenance à la grande famille du logiciel libre. Pour préserver la bonne réputation du logiciel libre, il est important que tous les acteurs adoptent un comportement professionnel et responsable lorsque des logiciels libres sont utilisés en production dans le cadre de systèmes d’information de sociétés privées ou du secteur public.
Aussi, nous invitons tous les acteurs du libre à respecter les règles d’hygiène informatique de l’ANSSI, et à participer à la détection et la correction des failles de sécurité potentiellement présentes consécutivement à l’intervention de tiers. Nous les invitons aussi à participer aux tests des nouvelles fonctionnalités et améliorations du socle communautaire et à l’enrichir avec les développements complémentaires réalisés dans le cadre privé ou professionnel.
Enfin, nous invitons tous les professionnels de la supervision à rejoindre la communauté Centreon pour renforcer les échanges d’expérience et de bonnes pratiques, et d’établir une communauté garante de la sécurité des environnements de supervision. Qui dit communauté dit contribution. Utiliser une solution open source sans interagir avec la communauté, sans partager son expérience et se nourrir de celle des autres membres et ce à des fins purement mercantiles est contraire à l’esprit même de l’Open Source et conduit aux risques identifiés par l’ANSSI, bien normalement.
- DES ACTEURS ET INTÉGRATEURS CERTIFIÉSEnfin, Centreon appelle tous les acteurs et opérateurs – ESN, Intégrateurs, Hébergeurs, Infogérants, etc. – utilisant sa plateforme commerciale ou open source, ou désirant l’utiliser, à rejoindre son réseau de partenaires certifiés afin de garantir le meilleur niveau de formation et de certification des professionnels de la supervision.
Plus d’informations sur le programme partenaire de Centreon, ‘’ON’’, peuvent être trouvées ici : https://www.centreon.com/programme-partenaires/
A propos de Centreon
Centreon délivre une plateforme logicielle de supervision informatique centrée métiers pour l’excellence opérationnelle des SI. Complète et intégrant les dernières avancées de l’intelligence artificielle prédictive, elle est conçue pour les infrastructures complexes actuelles, distribuées, Multi-Cloud. Éditeur indépendant, l’entreprise est née en 2005 sur la base d’un socle logiciel open source qu’elle continue de développer. Aujourd’hui des entreprises de toutes tailles opérant dans tous les secteurs font confiance à Centreon. Ses sièges sociaux sont à Paris et Toronto avec des bureaux à Genève, Luxembourg et Toulouse.
Plus d’informations sur www.centreon.com.