Sécurité – Où sont vos données critiques ?

 Pas besoin d’attendre une cyberguerre… Au quotidien, des milliers d’entreprises sont confrontées à des attaques, visibles ou non, sur leur système d’information. Un sujet loin d’être seulement technologique.

Patrick Pailloux, directeur général de l’Anssi, lors des Assises de la sécurité, en 2013.

Pas besoin d’attendre une cyberguerre… Au quotidien, des milliers d’entreprises sont confrontées à des attaques, visibles ou non, sur leur système d’information. Un sujet loin d’être seulement technologique.

« Il y a quinze ans, la sécurité informatique était l’affaire de passionnés, seuls dans leur coin. Puis, le poste de RSSI [responsable de la sécurité des systèmes d’information, ndlr] a commencé à apparaître dans les entreprises et il a dû se battre pour exister. Enfin, nous assistons à une prise de conscience généralisée, après des événements comme Aramco », retrace Edouard Jeanson, directeur technique de la Security Global Line de Sogeti. Aramco ? C’est le diminutif donné à l’impressionnant raid informatique mené durant l’été 2012 contre l’une des plus grandes compagnies pétrolières au monde, la Saudi Arabian Oil Company, dite Saudi Aramco. 30 000 ordinateurs auraient été mis hors-service lors de cette opération criminelle, qualifiée de « l’attaque la plus destructrice que le secteur privé ait jamais vécue » par le secrétaire de la Défense américain d’alors, Leon Panetta. Cet assaut numérique, succédant à l’affaire Stuxnet en Iran, aura donc fait prendre conscience de la vulnérabilité des infrastructures industrielles critiques des pays.

Les opérateurs d’importance vitale (OIV) sont, depuis, au cœur de toutes les attentions. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a pesé pour que cette préoccupation apparaisse dans la nouvelle loi de programmation militaire 2014-2019 (votée début décembre au Parlement), à travers la mise en place d’un cadre juridique pour la cyberdéfense et la précision des pouvoirs de l’État en matière de prévention et de surveillance. Le Premier ministre Jean-Marc Ayrault a, quant à lui, lancé fin octobre le Comité de la filière des industries de sécurité (Cofis), chargé de développer des technologies de pointe dans la protection des grandes infrastructures publiques et privées, les transports ou la lutte antiterroriste.

 

Des cibles potentielles nombreuses
Pourtant, on aurait tort de penser que seules les entreprises du nucléaire, des transports, ou encore de la gestion de l’eau, sont touchées par des cybermenaces dangereuses. Le numérique est devenu une part fondamentale de toutes les chaînes de valeurs, et l’information, le capital le plus précieux des entreprises. Toutes, de la multinationale à la start-up, sont concernées par ces menaces. Car toutes disposent de données « critiques », nécessaires à la bonne marche de leur activité et de leur existence.

Citation

Des fichiers clients aux secrets de fabrication d’un produit, les cibles potentielles sont nombreuses pour le vol ou l’espionnage informatique. Elles sont d’autant plus nombreuses d’ailleurs, que les systèmes d’information (SI) sont plus ouverts aujourd’hui que jamais : la dématérialisation généralisée, la mobilité, le Bring your own device (Byod), la multiplication des accès par des prestataires ou des clients, en sont les raisons principales.


« Les agresseurs ne se sont jamais aussi bien portés. Il
y a une explosion de la cybercriminalité au niveau mondial. Particuliers ou entreprises, personne n’est épargné », souligne ainsi Loïc Guézo, Information Security Evangelist chez Trend Micro, spécialiste japonais des logiciels de sécurité, qui multiplie les collaborations avec Interpol ou le FBI. Si, à la fin des années 1990, rares étaient les personnes qui avaient les connaissances nécessaires à l’exploitation d’une faille zero day 1, ces compétences se sont démocratisées, notamment sur la scène asiatique, d’après les experts de Trend Micro. Le ticket d’entrée pour devenir pirate est devenu bon marché, alors qu’au contraire les experts en sécurité ne sont pas assez nombreux pour faire face aux besoins (lire encadré « Vers une pénurie de compétences » en bas de page). « Il ne fait pas bon d’être du côté des défenseurs », confirme Loïc Guézo.

 

chiffre

La fin de la Muraille de Chine
Des simples opérations de social engineering2 aux APT3 insidieuses, les cyberattaques sont devenues « nombreuses et variées ». Les conséquences, elles, peuvent rapidement devenir désastreuses. Comment chiffrer les dégâts subis par une entreprise qui se rend compte que l’intégralité de son plan de communication et marketing annuel se retrouve chez un concurrent suite à une intrusion ? « J’ai cet exemple d’une société qui préparait le lancement stratégique d’un nouveau GPS novateur. Trois semaines avant la sortie, un produit rigoureusement identique apparaît en Asie, pour un prix inférieur. A ce niveau-là, c’est la clé sous la porte, directement », illustre Laurent Heslault, directeur des technologies de sécurité de Symantec pour l’Europe de l’Ouest. Vol de données par intrusion, malveillance d’un collaborateur ou simple maladresse ? L’histoire ne le dira pas, mais les dégâts sont bien là.

Pour répondre à la large variété de menaces existantes, l’offre de solutions apparaît, en contrepartie, pléthorique et très fragmentée. Une entreprise peut s’équiper, entre autres, d’antivirus, de pare-feu, de systèmes d’authentification, de coffres-forts numériques, d’outils de cryptage de bases de données ou de communication, de logiciels d’enquête et d’analyse, de sécurité mobile… L’ère de la Muraille de Chine unique et monolithique est révolue. « Aujourd’hui, il ne sert plus à rien d’avoir une vision moyenâgeuse, avec un château fort et un pont-levis pour protéger son SI. Il faut prendre en compte le contexte et la réaction en temps réel », affirme Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France. Les nombreuses offres de sécurité peuvent cependant pousser les entreprises à prendre en compte uniquement les caractéristiques technologiques des produits, sans s’assurer que les outils correspondent avant tout à leurs besoins. « La priorité doit être d’identifier les joyaux de la couronne, ce qui ne doit être compromis sous aucun prétexte, et de les protéger à tout prix », explique Bernard Ourghanlian.

 

Se mettre dans la peau des attaquants
Dès lors, la solution ne serait pas à aller chercher du côté des outils, dont l’immense majorité est aboutie technologiquement… mais peut-être plus dans L’Art de la guerre du stratège chinois Sun Tzu. « Si tu connais ton ennemi et si tu te connais, tu n’auras pas à craindre le résultat de cent batailles », cite ainsi Frank Mong, vice-président et directeur général chez HP Enterprise Security. Pour lui, de toute façon, « un individu mal intentionné finira toujours par réussir à pénétrer un système d’information s’il le souhaite ».

En conséquence, il est donc important d’être bien informé de ses forces et faiblesses, de choisir ses combats et de soigner ses réactions, car il sera encore illusoire, dans les années à venir, de se penser protégé à 100 % par un logiciel ou des infrastructures.

 Pas besoin d’attendre une cyberguerre… Au quotidien, des milliers d’entreprises sont confrontées à des attaques, visibles ou non, sur leur système d’information. Un sujet loin d’être seulement technologique.

Europe Airpost n’a pas seulement dû rationaliser ses appareils : simplifier le SI s’est révélé vital.

A ce titre, l’analyse de risques prend une importance capitale. « La priorité est effectivement de comprendre à quelles menaces l’entreprise va être le plus confrontée. Il faut savoir prendre de la hauteur et se mettre dans la peau des attaquants, pour ensuite pouvoir couvrir intelligemment et à moindres coûts les points de faiblesses, qu’ils soient technologiques, juridiques ou organisationnels », résume Edouard Jeanson. Une remise en question globale qu’il juge indispensable à faire tous les deux ans : « Le rythme est plus rapide qu’il y a quelques années, mais faire cela tous les ans n’est pas crédible. Les changements sont lourds. » Pour une entreprise, le travail d’identification initial peut s’avérer fondamental pour construire une politique de sécurité solide. « Chez Technicolor, nous avons, dès le début des années 2000, voulu identifier les risques pour permettre à nos utilisateurs et à nos prestataires de se connecter sans problème sur le réseau de la société. Nous avons conclu qu’il nous fallait absolument protéger les données cinématographiques de notre réseau de production, au-delà du réseau “corporate” qui pouvait être plus ouvert », explique le spécialiste français des systèmes vidéos et images numériques.

La firme se prévaut d’un certain degré de maturité sur la question. Toutefois, le même travail a été effectué par des acteurs aussi divers que le service départemental d’incendie et de secours du Pas-de-Calais, qui n’avait pas, il y a dix ans, de véritable SI. Ou encore la compagnie aérienne Europe Airpost, qui a dû procéder à une rationalisation drastique de ses équipements pour y parvenir.

 

Une affaire de culture d’entreprise
Faut-il cependant se concentrer uniquement sur la protection de ses données critiques, quitte à être moins vigilant avec d’autres parties du SI ? « Ce n’est souvent pas aussi simple, remarque Florent Skrabacz, responsable des activités sécurité chez Steria. La protection des données critiques pour une banque, par exemple, ne saurait se passer d’une prévention des phishing 4 ciblés qui profitent des failles de ses sites Internet… » Dans un tel cas, la compromission des identités des clients sera toute aussi lourde de conséquences qu’une intrusion. Pour lui, la sanctuarisation des points les plus critiques du SI doit s’accompagner d’une approche systématique de la gestion des risques, avec des solutions de sécurité standardisées qui couvriront le reste du système… même si cela demande une analyse rigoureuse de prime abord. « Ce travail de fond sur la gestion des risques numériques n’est pas fait aujourd’hui en France, admet Laurent Heslault. Les entreprises sont encore trop en mode “tactique”, avec l’achat d’un produit précis pour contrer une menace précise. Il leur manque cette vision top-down qu’on a vu apparaître dans les pays anglo-saxons, scandinaves ou même en Inde. » 

 

Citation

Pour atteindre cette vision globale et cohérente de la cybersécurité en entreprise, il faut cependant sortir de la DSI. « La sécurité, ce n’est pas un beau livre qui, une fois rédigé, doit être rangé dans un placard. C’est un travail quotidien à mener et les directions générales doivent agir pour le diffuser efficacement à tous les étages de l’entreprise », martèle Bernard Ourghanlian.

La place des métiers est prépondérante, leurs usages étant directement impactés. « Même quand onconnaît les sujets critiques, il faut être extrêmementconsciencieux. Une simple initiative métier mal encadréepeut amener des données critiques en dehors du SI.La sensibilisation des utilisateurs est extrêmementimportante », témoigne ainsi Khalid Aouad, DSI de l’hôpital Foch (Hauts-de-Seine), qui a fait ses armes auprès des grands groupes pharmaceutiques nord-américains, particulièrement exigeants. Et de rappeler que des établissements médicaux français ont souffert très concrètement, ces derniers mois, de la diffusion de dossiers patients sur Internet, une problématique de confidentialité suivie de près par la Cnil. En 2012, la Clinique de Champagne, à Troyes (Aube), a découvert que 375 de ses dossiers pouvaient être retrouvés facilement grâce au moteur de recherche Google. Fin octobre 2013, ce sont près de 50 centres hospitaliers français qui ont subi une mésaventure similaire à cause d’une faille logicielle…

Les initiatives officielles pourraient bientôt mettre les entreprises face à leurs responsabilités en matière de cybersécurité. « Nous assistons à une inflexion réglementaire. Il va y avoir de plus en plus de conséquences concrètes, d’amendes, voire des mesures pénales, sur les questions de cybersécurité », met en garde Florent Skrabacz. L’Europe a ouvert la voie en la matière en rendant obligatoire, pour les opérateurs de télécommunication et les fournisseurs d’accès Internet, la déclaration de cyberattaques aux autorités compétentes sous 24 heures. Et la Commission européenne compte bien étendre ces dispositions à l’ensemble de l’économie. Le signalement des attaques subies est déjà une réalité pour les entreprises anglo-saxonnes, nul doute que l’arrivée en France de cette idée, amorcée dans ses grandes lignes avec la nouvelle loi de programmation militaire, devrait contribuer à renforcer une véritable culture de la cybersécurité dans les entreprises françaises.

 

1. Attaque exploitant une faille encore inconnue d’un logiciel ou d’une application.
2. L’exploitation d’une faille humaine, de la crédulité ou du manque d’information et de compétences pour obtenir des données.
3. Les Advanced Persistent Threats sont des attaques complexes, ciblées et furtives, qui s’effectuent sur le long terme, se déplacent ou s’adaptent au SI de l’entreprise pour rester indétectables.
4. « L’hameçonnage » permet d’usurper une identité en faisant croire à une victime qu’elle est sur le site ou qu’elle répond au mail d’un tiers de confiance.

 

Le cybercrime coûte de plus en plus cher
7,2 millions de dollars par an, c’est ce que coûteraient, en moyenne, les attaques informatiques aux entreprises, selon l’étude du Ponemon Institute. Depuis quatre ans, cette étude, sponsorisée par HP, est l’une des rares à tenter d’évaluer l’impact financier global du cybercrime. Pour la première fois cette année, la France faisait partie des six pays étudiés, avec les États-Unis, le Japon, l’Australie, l’Allemagne et le Royaume-Uni. Si l’exercice a ses limites, il donne quand même la mesure du phénomène : sur les 234 entreprises interrogées, on a dénombré 343 attaques réussies par semaine (1,4 par entreprise).

Et on ne parle ici que des attaques détectées ! Le préjudice financier direct ou indirect explose : + 30 % d’augmentation par rapport à 2012, avec une fourchette comprise entre 375 000 dollars et 58 millions de dollars. Les entreprises américaines sont les plus touchées (11,6 millions de dollars) alors que les françaises s’en sortent plutôt bien (5,2 millions). Si les grandes entreprises sont les plus ciblées, ce sont les petites qui subissent le plus de dégâts. Elles n’ont pas toujours les moyens de se protéger, or, il faut en moyenne 27 jours et plus de 500 000 dollars pour se débarrasser d’une attaque. C’est presque 40 % plus cher que l’an dernier !
Fabien Daireaux.

 

Vers une pénurie de compétences
Outre-Atlantique, un spécialiste en cybersécurité peut espérer être rémunéré entre 100 000 et 200 000 dollars par an. Ces émoluments en augmentation sont, de plus en plus, la conséquence d’un marché où la demande de compétences est notoirement plus forte que l’offre. Ainsi, aux États-Unis, le Cyber Command de l’armée a déclaré récemment sa volonté de recruter près de 4 000 experts d’ici à deux ans… soit l’équivalent de ses effectifs actuels.

En France, le contre-amiral Coustillière, officier général en charge de la cyberdéfense à l’état-major des armées, indiquait que 350 postes devaient être créés dans ces spécialités avant 2019 au ministère de la Défense.

De même, la page « Postes disponibles » sur le site Internet de l’Agence nationale de la sécurité des systèmes d’information (Anssi) est pleine… Forte de 350 personnes, l’agence vise les 500 collaborateurs pour 2015. « L’État embauche beaucoup », confirme Patrick Lallement, enseignant-chercheur responsable du master Sécurité des systèmes d’information à l’université de technologie de Troyes (UTT). « Les entreprises, elles, ont plus de mal à trouver les bonnes personnes », ajoute-t-il… Pour expliquer la rareté de l’expertise, il invoque notamment la nécessité, pour ces spécialistes, de savoir adopter une approche globale des problèmes, notamment grâce à une formation interdisciplinaire qui va au-delà des aspects techniques. « Quand un projet de sécurité informatique échoue, ce sont deux fois sur trois pour des raisons non-technologiques », explique-t-il.

 

Cet article est extrait du n°6 d’Alliancy, le mag – Découvrir l’intégralité du magazine