Cybersécurité - Innovations digitales et numériques

Cartographier les risques

Comment faire alors ? « Il faut réfléchir à la sécurité dès la conception des réseaux », tranche Jonathan Brossard. « Même si les banques sont en avance, elles doivent faire évoluer leur réseau, car elles sont de plus en plus ouvertes au public », considère Philippe Courtot, fondateur de Qualys, une société de cybersécurité.

 

« On ne peut pas tout protéger. Il faut avoir une cartographie des personnes critiques et des données ultrasensibles », explique Michel Van Der Berghe. Atheos trace les administrateurs des logiciels sensibles, comme les outils de paie, afin de suivre tous leurs mouvements grâce à un système de mots de passe enfermés dans des coffres-forts électroniques. Même sur le devant de la scène, la cybersécurité reste taboue - ni Carrefour ni Voyages-sncf n'ont souhaité témoigner - et les entreprises réfléchissent à deux fois avant de porter plainte. « Elles ont souvent peur que la procédure pénale ne leur échappe, et que cela ne leur fasse de la mauvaise publicité », explique Isabelle Renard, avocate au cabinet Derriennic.

Ainsi, le centre d'analyse en lutte informatique défensive, le Calid, verra ses effectifs renforcés. Ils passeront de 20 à 120 personnes d'ici à la fin de la Loi de programmation militaire, c'est-à-dire 2018. Le Calid continuera de travailler en collaboration avec l'ANSSI pour assurer au mieux la sécurité des infrastructures critiques du pays.Une unité projetable d'une centaine de personnes devrait également être créée, pour assurer la sécurité informatiques des forces à l'étranger.Ainsi, le centre d'analyse en lutte informatique défensive, le Calid, verra ses effectifs renforcés. Ils passeront de 20 à 120 personnes d'ici à la fin de la Loi de programmation militaire, c'est-à-dire 2018. Le Calid continuera de travailler en collaboration avec l'ANSSI pour assurer au mieux la sécurité des infrastructures critiques du pays.Une unité projetable d'une centaine de personnes devrait également être créée, pour assurer la sécurité informatiques des forces à l'étranger.Le gouvernement mise aussi sur le développement d'équipements de pointe. Le nombre de personnes dédiées à la cyberdéfense au sein de la DGA va presque doubler, passant d'environ 200 à 450 d'ici à la fin 2018. Des partenariats industriels seront, par ailleurs, multiplié. "Nous allons tripler le volume des études consacrées à la cyberdéfense, et par ailleurs nous allons poursuivre la montée en puissance de notre dispositif Rapid [dédié au financement de projets innovants à double usage civil et militaire, NDLR]", souligne Jean-Yves Le Drian.Autre mesure: le ministre souhaite créer un pôle d'excellence à Rennes dédié à l'entrainement, la formation et le recherche et développement. Enfin, le ministre souhaite renforcer la cyberréserve citoyenne, composée actuellement de 80 personnes, et la compléter par une cyberréserve opérationnelle qui pourra "appuyer l'Etat dans la gestion d'une crise cyber".

D’après la société Seculert, l’attaque Target s’est déroulée en deux phases. Dans un premier temps, le malware a infecté les terminaux de points et stocké, ni vu ni connu, les données bancaires des clients. Puis, au bout d’une petite semaine, il a commencé à transmettre ces données à un serveur FTP externe, en passant par une autre machine infectée du réseau informatique de Target. Ces transmissions se faisaient plusieurs fois par jour pendant deux semaines. Les experts de Seculert estiment qu’environ 11 GO de données ont pu être exfiltrés de cette manière. Enfin, un serveur privé virtuel situé en Russie a récupéré les données sur le serveur FTP, tout en prenant soin de les effacer par la suite.

Les années se suivent et se ressemblent un peu. Gabi Reish, vice-président produit de Check Point, présente ses prédictions pour 2014. Parmi les dix menaces qu’il met en avant pour la sécurité des entreprises, trois étaient déjà présentes l’année dernière : l’ingénierie sociale, les menaces internes et le BYOD (Bring your own device). Bref, les bonnes vieilles méthodes sont toujours à la mode, et l’humain reste un maillon faible dans la sécurité.

Par sécurité, l’informatique du Parlement demande également aux utilisateurs d’installer un certificat sur tous les terminaux se connectant aux systèmes d’information internes. Et préconise, pour tous, le changement de leurs mots de passe donnant accès aux mêmes systèmes.

Avec des attaques de plus en plus sophistiquées de type APT, il devient urgent que les organisations industrielles prennent conscience que la sécurité des environnements SCADA est essentielle. Il en va de leur pérennité. Un contrôle précis sur leurs réseaux, utilisateurs et applications leur permettra de se prémunir d’éventuels risques qu’il est facile d’éviter. Enfin, il est important de bénéficier d’une protection en temps réel pour identifier rapidement les menaces potentielles et mettre en place les outils de protection adéquats conçus par des équipes spécialisées.

En attendant que la lumière soit faite sur les auteurs, on ne peut que conseiller aux éditeurs de jeux en ligne de se prémunir contre le risque de rupture de la continuité de service de leur portail de jeux avec une solution active 24 heures sur 24 et 7 jours sur 7. L’idéal est une solution technologique de prévention d’intrusion et de défense anti-DDoS, située en périphérie du SI, afin de contrer, avant qu’elles n’y pénètrent, les attaques destinées à perturber le jeu en ligne. Cette première ligne, outre la lutte contre les DDoS, permet de lutter contre les intrusions sur le réseau, en détectant et bloquant de nombreuses autres attaques, comme des injections SQL ou un cross-site scripting, dont le but est d’exploiter les applications de jeux et compromettre les bases de données. Une Première Ligne de Défense met aussi un terme à toutes sortes de hacks exécutés par certains joueurs pour tricher en ligne, tout en assurant la fluidité de jeu indispensable. Une réelle qualité de service doit être assurée ! Cette disponibilité permanente, cette réactivité totale est le cœur de métier de ces prestataires. Pour ce faire, il faut disposer d’une prévention totale contre les intrusions par attaque malveillante utilisant le contenu comme vecteur. Il faut aussi éviter que des données personnelles soient compromises au cours des attaques. C’est tout l’intérêt d’une Première Ligne de Défense qui protégera les actifs tout en assurant la continuité des activités. Au-delà du service lui-même, c’est en effet le contenu et l’activité des serveurs (gestion, paiement, archives…) qui peut se trouver affecté, volé ou détruit. Pour une entreprise de jeu en ligne, c’est la mort annoncée.

Répondre aux attaques est votre seule mission ?Non. L’ANSSI a une fonction de réaction aux attaques informatique mais aussi de prévention. Dans le premier cas, nous sommes une autorité de défense sous la direction du premier ministre. Comme je viens de l’expliquer, nous coordonnons la réponse en cas d’attaques vis-à-vis d’une administration ou d’une entreprise. Bref, nous jouons le rôle de pompier avec un centre actif 24h/24 où nous détectons les attaques sur les réseaux. Mais notre mission principale est préventive. Nous aidons à ce que les organisations françaises ayant des infrastructures critiques soient protégées. Nous fournissons des solutions et nous publions aussi beaucoup de guides.

L'entreprise n'évoque pas quels sont les autres programmes touchés par la situation, et dans quels pays : sur son site, Loyalbuild indique œuvrer principalement en Irlande, en Suède, en Norvège ou encore en Suisse. Il n'en reste pas moins que cette « attaque sophistiquée » comme la décrit l'entreprise pourrait lui attirer beaucoup de problèmes, puisque selon les dires du Irish Times, les détails des cartes bancaires n'étaient pas chiffrés sur les serveurs, ce qui représenterai une violation de la législation européenne. Le Bureau du commissaire à la protection des données, basé en Irlande, précise être en train de mener une enquête approfondie sur cette attaque.

Selon l’étude (dont on retrouvera les données imagées sur cette page), 97% des applications testées ont accès à au moins une information privée (contacts, réseaux sociaux, connexion Wifi ou Bluetooth…) depuis un mobile et 86% de ces applications ne dispose d’aucune mesure de protection contre les risques d’attaques les plus communes (débordement de mémoire tampon notamment).