Aujourd’hui cet acteur du monde de l’infrastructure propose toute une gamme composée, entre autres, d’un système d’exploitation (SUSE Linux Enterprise), d’un système de gestion des conteneurs (RKE - Rancher Kubernetes Engine), d’un système de gestion centralisée des systèmes d’exploitation (SUSE Manager) et bientôt, d’une solution pour exécuter et adopter des modèles IA en restant agnostique en termes de LLM (SUSE AI).
La toute dernière solution permettra de garantir la sécurité, la pérennité, la souveraineté des données, la gestion et l’observabilité des systèmes d’IA.
L’une des grandes spécialités de SUSE est l’environnement SAP, un ERP adopté par nombre de grandes entreprises en Europe et dans le monde métier. De par son domaine d’activité, l’environnement SAP doit être particulièrement sécurisé et c’est pour cette raison que SUSE Linux Enterprise Server for SAP Applications a été choisi et adapté pour devenir le socle de cet environnement critique.
NIS2 dans les starting-blocks
Fort de notre expérience en matière de cybersécurité, l’environnement SUSE est aujourd’hui déjà « NIS2 ready ». Pour rappel, adoptée en janvier 2023, cette directive européenne entre en application en octobre 2024. L’objectif de cette nouvelle norme est d’obtenir un niveau élevé commun en termes de cybersécurité sur l’ensemble du territoire de l’Union Européenne. Pour l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information), le but est de sécuriser les moyens de production des entreprises et des administrations de l’UE.Cette nouvelle révision de la directive NIS élargit considérablement son champ d’application. Elle impacte aujourd’hui plus de 18 secteurs d’activités. En fonction de l’activité considérée, on aura des Entités Importantes (EI) ou Entités Essentielles (EE). La directive s’étend désormais aux entreprises ou collectivités locales qui ont un chiffre d’affaires supérieur à 10 millions d’euros et comptent plus de 50 employés.
Cet ensemble de nouvelles obligations inclut, entre autres, la maîtrise des risques liés aux tiers et la rationalisation des obligations de signalement. Le manquement à ces nouvelles règles sera soumis à des sanctions administratives sévères (jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total).
L’élargissement de cette nouvelle directive a donc pour première conséquence un nombre plus important de sociétés et de collectivités locales concernées. Or il reste peu de temps pour une mise en conformité. De surcroît, sécuriser la chaîne d’approvisionnement logicielle incombe à chaque organisme concerné par la directive NIS2. Ils doivent également veiller à ce que leurs partenaires prennent les précautions de sécurité adaptées.
Une certification Common Criteria EAL4+ qui conduit à NIS2
En ce qui concerne les environnements SAP, et d’une manière générale, pour toute infrastructure reposant sur SUSE Linux Enterprise (SLE), nul besoin pour le RSSI de courir après le temps car ces environnements sont d’ores et déjà conformes à laréglementation NIS2.
En effet, SLE est certifié Common Criteria EAL4+ (avec ALC_FLR.3, Systematic Flaw Remediation), ce qui inclut, entre autres, tous les prérequis de la NIS2, sécurité de la chaîne d’approvisionnement y comprise.
Être certifié EAL4+ va, en effet, bien au-delà de la sécurité du produit. Cela recouvre également la garantie des processus de développement, la documentation de l'architecture de sécurité et la vérification de chaque fonctionnalité. En étant EAL4+, il est ainsi possible d’obtenir la certification NIS2 directement mais également de produire des rapports de bonnes pratiques. Lesquels rapports prouvent que l’on a bien identifié les menaces, que l’on dispose des outils pour les gérer et qu’elles ont été traitées de manière adéquate.
À cela s’ajoute, pour les environnements SAP notamment, la possibilité de prouver la conformité des systèmes aux bonnes pratiques de la configuration de la sécurité. Pour cela SUSE s’appuie sur OpenSCAP (Open Source Security Compliance Solution), un framework qui prend en charge la conformité aux politiques de sécurité et l’évaluation des vulnérabilités de sécurité dans les systèmes informatiques.
OpenSCAP fait partie de la solution SUSE Manager et permet d’automatiser les inventaires, d’identifier et de corriger les menaces de façon exhaustive. A ceci s’ajoute le « Live Patching », une spécificité de SUSE qui permet l’application à la volée d’un correctif sur une vulnérabilité (dans le noyau et dans le User Space) sans même arrêter le système concerné pendant la remédiation.
Chiffrement de bout en bout
Enfin, le Confidential Computing, au-delà des données au repos et en transit, assure désormais le chiffrement des données en cours d’utilisation, contribuant à garantir la sécurité dans les environnements SUSE Linux Enterprise. À noter que le chiffrement des données en cours d’utilisation est possible grâce aux partenariats avec les fournisseurs de processeurs tels qu’Intel et AMD.Grâce à cela, SUSE Linux Enterprise assure le chiffrement des données à tous les niveaux. Il est compatible FIPS 140-3 et d’une manière générale aux normes européennes et américaines.
Un autre point important, la réglementation DORA (Digital Operational Resilience Act) relative à la résilience opérationnelle numérique qui met l’accent sur la haute disponibilité et qui s’applique surtout dans les milieux financiers. La conformité à cet aspect de la cybersécurité est assurée par SUSE avec la mise en miroir et au clustering, deux technologies maîtrisées par SUSE depuis plus de deux décennies.
NIS2, du Edge Computing à l’IoT
Dans un contexte Kubernetes, pour sécuriser les millions d’appareils occasionnant de nombreux traitements de données, SUSE a développé une solution dédiée aux environnements Edge, basée sur un ensemble de technologies reconnues telles que SLE Micro, Rancher Prime, RKE2 ainsi que Neuvector (solution de sécurité Kubernetes).Le noyau SLE Micro, comme l’ensemble des noyaux linux de SUSE, est certifié EAL4+. La gestion des vulnérabilités et des risques dans ces environnements se fait avec Rancher Prime et NeuVector sur des applications développées avec les nouvelles normes de déploiement Cloud Native.
La preuve par le rapport
NIS2 requiert un signalement dans les 24H suivant l’incident de sécurité et un rapport complet sur le sujet dans les 72H. La capacité de SUSE à générer des rapports détaillés à partir des différentes solutions listées précédemment, permet au RSSI de communiquer sur les incidents et leurs remédiations dans les délais impartis.Par Pierre-François HUET, SAP Solutions Director France chez SUSE