Stratégie

Savoir affronter les cybermenaces

Patrick Hereng, ancien DSI groupe de Total, a été le Grand Témoin de cet Atelier Participatif.

Retrouvez cet article dans le CIO FOCUS n°130 !

Par delà les cybermenaces

Face aux nouvelles cybermenaces que les entreprises doivent affronter, il faut savoir réagir avec pragmatisme et efficacité. C'était l'objet de l'Atelier Participatif CIO du 6 décembre 2016 dont le compte-rendu est présenté ici. Mais l'utilisateur, principale faiblesse de la cybersécurité, doit...

Découvrir

CIO a organisé un Atelier Participatif sur le thème « Cybermenaces : savoir les affronter » le 6 décembre 2016 à l'Hôtel Napoléon, à Paris en partenariat avec Appsense (groupe Landesk), Forcepoint, Proofpoint et Sopra-Steria. Le Grand Témoin de la matinée était Patrick Hereng, ancien DSI du groupe Total et président de Liberate IT.

Publicité« La direction générale d'une grande entreprise ne comprend pas forcément tout en matière de cybersécurité mais elle comprend toujours qu'il y a un risque » a observé Patrick Hereng en ouvrant l'Atelier Participatif « Cybermenaces : savoir les affronter » organisé par CIO le 6 décembre 2016 à l'Hôtel Napoléon, à Paris. L'ancien DSI groupe de Total, aujourd'hui président de Liberate IT, a été le Grand Témoin de cet atelier réalisé en partenariat avec Appsense (groupe Landesk), Forcepoint, Proofpoint et Sopra-Steria. De toutes façons, comme l'a mentionné Patrick Hereng, « quoiqu'il arrive, c'est la faute du DSI ».
La trentaine de participants ont largement débattu des problématiques de cybersécurité durant deux heures. L'importance du sujet ne fait en effet pas le moindre doute, ni pour les managers IT ni pour les directions générales. Parmi les menaces les plus fréquentes, il y a les ransomwares qui chiffrent des fichiers présents sur le terminal infecté et ne les déchiffrent que contre paiement d'une rançon. « Leur succès est lié au faible coût exigé par les criminels, ce qui fait que les entreprises payent » a soupiré Patrick Hereng. Par contre, plusieurs points sont peu ou pas pris en compte par les entreprises comme les objets connectés (largement utilisés par les criminels pour lancer leurs attaques DDOS) ou l'informatique industrielle.

Surveiller les comportements à risque

Mais le premier débat a abordé une thématique qui commence à être étudiée en entreprises avec sérieux. Il s'agit de la surveillance des comportements à risques mais en tenant compte des contraintes légales en la matière. David Brillant, Responsable des équipes avant-vente Europe Centrale chez Forcepoint, et Jean-Philippe Cassard, Responsable conformité réglementaire chez Sopra Steria, ont animé ce débat. Pour David Brillant, « l'approche doit associer les personnes, les processus et les outils techniques. »
Si ce triplé est classique, il est ainsi rappelé que l'approche ne peut pas être seulement technique. Et ce même si l'analyse automatisée du comportement de chaque utilisateur avec la détection d'anomalies voire un DLP (Data Loss Prevention, qui interdit des copies de données sensibles) sont des outils nécessaires, socle technique qui reste nécessaire. Mais pas suffisant. Accompagnant les entreprises du conseil en cybersécurité au service managé, Jean-Philippe Cassard a pour sa part rappelé les difficultés juridiques à prendre en compte. Entre la cybersurveillance des salariés et le traitement de données personnelles de comportement des individus, la CNIL est un partenaire obligé à prendre en compte. « C'est un sujet complexe pour un DSI qui n'est pas un juriste » a averti Jean-Philippe Cassard.

Directions générales, juridiques et DSI en charge du sujet

PublicitéPremier stade, le DLP bloque les usages inadéquats des données. D'autres outils permettent ensuite d'auditer, d'un point de vue analytique, la dangerosité des actes des collaborateurs. « Nous sommes aujourd'hui capables de traduire d'un point de vue logiciel ce qu'est un comportement anormal » s'est réjoui David Brillant. Encore faut-il que les outils et méthodes mis en oeuvre soient légaux. Les limitations aux droits fondamentaux, notamment le droit à la vie privée (et au secret des correspondances), doivent en effet être proportionnées. Et les données de comportements sont de fait des données personnelles pouvant relever de la vie privée. Ces données doivent donc être elles-mêmes protégées. Et, surtout, toutes les mesures prises doivent être portées à la connaissance des instances représentatives comme de chaque membre du personnel.
Mais, un participant a-t-il demandé, de tels projets se font-ils à l'initiative de la DSI ou bien de la direction juridique ? Pour Jean-Philippe Cassard, le sujet est plutôt, pour l'instant, piloté par les directions juridiques et générales. L'interlocuteur privilégié est de plus en plus souvent, du reste, une cellule dédiée à la lutte contre la fraude. Le temps de l'implémentation généralisée, qui sera entre les mains du DSI, n'est pas encore venu. La France est, sur le sujet, plutôt en retard, notamment par rapport aux Pays-Bas où la nouvelle réglementation européenne obligeant à la notification de toute atteinte aux données est déjà en place. Cela dit, ont insisté les intervenants, la question ne concerne pas seulement les données personnelles -objet de la réglementation européenne- mais aussi les données stratégiques ou de propriété intellectuelle. Et le cloud, comme a remarqué un autre participant, est venu encore compliquer les choses.

Les multinationales du crime à l'assaut des entreprises

Se protéger des menaces internes est une chose mais les entreprises sont désormais la cible de véritables multinationales du crime. Comment s'en protéger ? C'était l'objet du deuxième débat, avec Patrick Paint, directeur commercial secteur financier de Proofpoint, et Amine Basli, System engineer SEMEA chez Proofpoint. Cet éditeur a comme première spécialité de protéger les entreprises des attaques utilisant le canal de l'e-mail. « Les attaques par mail sont de plus en plus ciblées et personnalisées, le spam grossier étant une moindre menace » a soulevé Amine Basli. Surtout, en cas d'attaque détectée, il faut savoir réagir, d'une part en urgence, mais également, après analyse forensique, pour empêcher une réitération.
Le cas classique est celui du ransomware mais on peut aussi citer la moins courante « fraude au président » (le criminel transmet un ordre de virement frauduleux en se faisant passer pour un dirigeant de l'entreprise). Le travail préparatoire d'ingénierie sociale est de plus en plus soigné. « Et lorsque c'est vraiment bien fait, les gens se font piéger » a soupiré Amine Basli. Certaines attaques, telles que les fraudes au président, peuvent cependant être repérées sur les serveurs et les mails douteux être marqués afin que les destinataires soient particulièrement vigilants, voire bloqués.

Trois volets pour une politique de sécurité du SI efficace

Patrick Hereng a rappelé qu'une politique de sécurité efficace a nécessairement trois volets : la protection (empêcher la menace d'entrer, de moins en moins infaillible), la détection (une fois la menace entrée) et la réaction (pour contrer la menace). A ces trois volets s'ajoute un quatrième : la sensibilisation des utilisateurs. Mais « sans les saouler ». Une bonne manière de faire peut être d'envoyer soi-même de faux mails d'hameçonnage et d'agir auprès de ceux qui ont ouvert en démontrant par les faits l'utilité de la sensibilisation...
Une bonne pratique à recommander aux utilisateurs, comme l'a mentionné un participant, est aussi de faire prendre conscience que l'on n'est jamais pressé pour répondre à un mail. « Il faut laisser le temps au cerveau d'analyser, par exemple pour estimer si le ton et le vocabulaire employés sont conformes au profil de la personne qui écrit » a soulevé le participant. Or les campagnes de mails frauduleux sont particulièrement intenses dans les périodes de tension (comme les fins de trimestres).
Le débat engagé a vu s'affronter deux camps. D'un côté, ceux qui préconisent l'empilement d'outils -forcément insuffisants- avant d'éduquer. De l'autre, ceux qui préfèrent gérer les risques (y compris la fraude au président), créer des processus adaptés et ensuite seulement installer des outils. Pour Patrick Hereng, « il faut une biodiversité des outils », y compris concurrents, afin de multiplier les approches et ainsi de mieux résister aux attaques.

S'adapter aux nouvelles menaces

De fait, les entreprises -notamment les DSI- doivent s'adapter aux nouvelles menaces. Comment faire ? C'était l'objet du dernier débat, avec Nicolas Benais, consultant technique chez AppSense (groupe Landesk). Cet éditeur propose des outils qui gèrent l'envieonnement de l'utilisateur. Or c'est bien cet utilisateur qui constitue le « maillon faible » de la sécurité, lui qui clique sur les liens frauduleux ou obéit aux fraudes aux présidents. L'approche proposée par cet éditeur est donc de gérer (en limitant) les privilèges des utilisateurs, y compris les développeurs. L'outil va ainsi autoriser ou refuser l'exécution d'une application selon qu'elle est présente ou absente d'une liste blanche, liste qui tient compte du contexte (connexion via un réseau privé virtuel, via un réseau local...).
« L'utilisateur doit pouvoir travailler comme avant » a cependant mis en garde Nicolas Benais. Sinon, l'outil fera l'objet d'un rejet des utilisateurs. Toutes les mesures prises, l'avis a été unanime dans la salle, doivent être d'ailleurs expliquées pour les rendre acceptables. Et les applications mises en oeuvre doivent être conçues comme sécurisées (secure by design).

Le scénario de l'atelier participatif

Léonce Déhaissy doit faire face, en pleine période de soldes (50% du chiffre d'affaires de l'année), à une attaque DDOS sur le site e-commerce de l'entreprise. Les clients, constatant que le site est inaccessible ou très ralenti, vont à la concurrence. Un pirate russe promet de faire cesser l'attaque en échange d'une rançon.
Par ailleurs, le PDG a son ordinateur portable bloqué par un ransomware qui a crypté tous ses documents confidentiels. Léonce Déhaissy est dérangé dans ses réflexions par les hurlements d'une dispute entre un prestataire d'une SSII et une jeune comptable de la société qui venait souvent prendre un café avec lui. Peu après, le système comptable commence à générer de nombreuses erreurs et des informations semblent avoir été perdues.
Mais peut-être pourra-t-on les récupérer auprès d'un pirate ouzbek qui propose de vendre au plus offrant toute la comptabilité de la société, notamment les virements discrets vers des paradis fiscaux. Le directeur logistique se souvient avoir reçu par mail une proposition commerciale de cet individu avec une pièce jointe et un lien vers son site institutionnel bien plus joli que le site de l'entreprise. Le DAF vient de remarquer que le nom de la banque n'apparaît plus dans l'URL du site qu'il utilise pour se connecter aux comptes et ordonner des virements. D'ailleurs, certains virements récents sont étranges.