Sécurité : comment rester vigilant sans céder au 'catastrophisme'?
PublicitéEn France, toutes les grandes entreprises avouent faire face à une recrudescence des menaces, liée aux positions françaises au Proche-Orient. Les entreprises sont visées parce que françaises. Chacun garde en mémoire les mésaventures de TV5 Monde, une chaîne de la taille d’une PM qui s’est retrouvée totalement à l’arrêt pendant plusieurs heures, visée parce que vitrine de l’hexagone à l’extérieur. Un piratage qui a affecté les retransmissions, les réseaux sociaux et les sites web.
Chaque responsable de sécurité sait qu’il peut se retrouver plongé dans une crise de ce type, en vacances, en pleines fête, en pleine nuit. Comme ses homologues d’outre-atlantique lors de Thanksgiving, les RSSI français sont confrontés au plus mauvais moment à des attaques soudaines et très perturbatrices. Ces attaques ne prennent jamais de pause, les entreprises sont vulnérables toute l’année. Plus que leurs caractéristiques techniques c’est maintenant leur ampleur et leur soudaineté qui peuvent impressionner.
Pas de course aux armements
Toutefois, les entreprises ne gagneront jamais la course aux armements que serait un équipement sans fin en produits de cyber-sécurité, elles doivent définir un cadre, une stratégie et savoir s’entourer d’experts comme Hewlett Packard Enterprise et FireEye. Des experts dotés d’une vision moderne de la sécurité. Fini le vieux château fort, c’est une notion devenue obsolète juge Chris Leach, CTO de HPE pour la sécurité. Cette image avec le fossé, le mur d’enceinte et les attaquants qui se faufilent, ne correspond plus aux réalités, les détections doivent se faire beaucoup plus rapidement, les attaquants ne laissant plus autant de temps pour réagir.
En fait, les protagonistes se retrouvent dans une situation qu’Andrzej Kawalec, directeur des technologies de sécurité chez HPE qualifie d’asymétrique. Les capacités des attaquants et des défenseurs n’étant pas de même niveau. Les attaquants se montrent plus rapides, plus « créatifs », plus véloces. La raison ? Les entreprises restent cantonnées aux technologies défensives d’hier, alors qu’en face les hackers déploient des trésors d’inventivité et se renouvellent en permanence, utilisant même des drones ou des technologies furtives très ciblées.
Publicité
Vigilance et rapidité
Résultat, en 2015, les attaquants passaient en moyenne 146 jours à l‘intérieur du périmètre de défense d’une entreprise. Ils ne mettent que quelques jours pour entrer dans le réseau, transformant une attaque en brèche ouverte. Ces attaques sont constantes, les bloquer ne sert à rien si on ne sait pas les détecter le plus rapidement possible. La sécurité est devenue une affaire de vigilance et de rapidité. Rapidité dans la recherche, la reconnaissance, l'infiltration, la découverte, la capture et l'exfiltration ou l'extraction de données.
Au fait qui attaque ? Des criminels, des militants ou bien des concurrents ou les trois entremêlés ? Un acteur de ce type est-il protégé par un Etat ? Le résultat finalement est le même, le cycle de vie de l‘attaque est identique et la fragilité forte. Après avoir étudié le comportement des salariés et la configuration du réseau, les attaquants s’infiltrent facilement, dans 80% des cas en envoyant un email, un clic suffit pour les laisser passer. Et après… Ils peuvent rester une longue période dans le réseau de l’entreprise, entraînant ce qu’on appelle des menaces avancées persistantes (APTS).
Ils s’enracinent dans le réseau
Une fois dans la place ils s’emparent de droits d’accès, à partir des systèmes qu’ils ont compromis, et les exécutent à partir d’un administrateur local ou même d’un administrateur système. Dès lors, ils s’enracinent dans le réseau, peuvent voler des données, en particulier financières, craquer des mots de passe, connaître encore mieux le fonctionnement de l’entreprise. Dans le pire des cas, ils peuvent conserver des procédures d’accès et revenir procéder à de nouveaux vols ou à de nouvelles observations.
Plusieurs facteurs rendent la question de la sécurité beaucoup plus complexe D’abord la mobilité. Dans les entreprises d’aujourd’hui, les salariés sont souvent à l’extérieur, mais connectés, utilisant des espaces collaboratifs hors du périmètre de défense. 86% des entreprises manquent de capacité de cybersécurité correspondant à ces attaque qui touchent aussi bien les téléphones portables, les ordinateurs, les tablettes, que les services dans le cloud et bientôt l’Internet des objets.
Une cyberattaque potentiellement dévastatrice
Il est également primordial, selon Andrzej Kawalec de comprendre le profil de risque de votre organisation. «Vous devriez commencer par une simple question: quels sont vos actifs numériques et quelles sont les cybermenaces auxquelles ils sont confrontés ? Sans cette réponse, vous allez être terriblement démuni, insuffisamment préparé pour répondre en temps réel à une cyberattaque potentiellement dévastatrice. La révolution numérique dont on parle chaque jour, celle de l’Internet des objets, du big data, de l’analytic multiplie les possibilités d’attaques, là encore il faut rester vigilant, sans céder au catastrophisme qui paralyse. Pour accompagner ses clients, HPE a d’ailleurs développé une architecture de référence CRA (Cyber reference architecture) qui intègre les idées de FireEye en matière d’APTs.
Les entreprises ont les moyens de faire face aux nouvelles attaques. La meilleure approche consiste à savoir anticiper en détectant les comportements anormaux au sein de l’entreprise. Et si les dirigeants s’impliquent ce ne peut être que bénéfique, sachant que les attaques ciblent les actifs critiques. A un moment, dans la politique de sécurité, il faut comprendre qui sont et où sont ces actifs critiques et s’ils sont vulnérables. Comprendre aussi à quelle vitesse se produit l’attaque. Comme dans toute opération criminelle, les quarante-huit premières heures sont les plus importantes. Cette rapidité de réaction dépend de ce qui a été préparé avant, pour cette situation de crise : le plan, les rôles, les responsabilités, en particulier celles des premiers intervenants.
Pour engager une politique de sécurité crédible, les entreprises doivent enfin placer cette sécurité dans leur stratégie de transformation digitale, celle que nous avons observé lors de précédents articles dans l’industrie, la banque, l’Internet des objets. Là se jouent l’avenir de l’entreprise, le nouveau rôle de la DSI et ses capacités en cyber-défense.