Cybersécurité - Innovations digitales et numériques

Pour évaluer la capacité de résistance de son système informatique, on peut évidemment faire effectuer un test d'intrusion. A une petite entreprise, il en coûtera aux alentours de 7000 euros. Une facture qui peut paraître prohibitive. " Evidemment cela ne s'adresse pas à tout petit entrepreneur , se défend Philippe Humeau, dont la société propose de tels tests. Mais si l'on a des secrets de fabrication, la dépense est justifiée. Nos interventions se déroulent encore malheureusement trop souvent en post-mortem, nous faisons peu de prévention. "

Heartbleed prouve que dans le monde numérique d’aujourd’hui, il est devenu impossible d’être en sécurité si vous n’utilisez pas un gestionnaire de mots de passe comme Dashlane. Premièrement car c’est la seule façon d’avoir des mots de passe forts et uniques sur chaque site web et d’être capable de les changer rapidement et sans effort. Deuxièmement parce que les gestionnaires de mots de passe sont conçus de telle manière que les données de leur utilisateurs ne peuvent pas être compromises par ce type de vulnérabilité, car les gestionnaires de mots de passe de qualité comme Dashlane n’ont pas accès aux clés de chiffrement de leurs utilisateurs.

utre l’évolution des attaques vers les mobiles et les tablettes, Symantec alerte également sur la cible que constituent les objets connectés: “on s’attend à une vague d’attaques, beaucoup de ces appareils ne sont pas ou peu sécurisés“, résume M. Heslault.

Selon un expert de la sécurité interviewé par le New York Times, nombreuses sont les start-up qui cèdent au chantage et versent la rançon réclamée, en espérant que les cybercriminels les laisseront tranquilles. D'autres se résignent à se tourner vers des prestataires technique pour réduire les risque de voir leur site tomber, comme Cloudfare ou Akamai. Le FBI, qui enquête sur ces attaques pense qu'elles pourraient toutes venir de la même personne ou du même groupe.

Disponible sur https://qualys.com/top4, ce nouveau service permettra aux entreprises de déterminer rapidement si les ordinateurs personnels ont correctement déployé les 4 principaux contrôles de sécurité critiques. Selon le Conseil sur la cyber-sécurité, ce déploiement peut aider les entreprises à prévenir 85% des cyber-attaques.

L’ANSSI a mis en place différentes phases pour le déploiement et la gestion de la sécurité. Il s’agit d’un processus continu qui demande des efforts permanent de la part des entreprises mais dont le retour sur investissement se verra positif.

1. Il s’agit tout d’abord de procéder à la sensibilisation des personnels afin de les informer des différents risques liés aux règles d’ « hygiène informatique ». Une sensibilisation qui doit être régulière car les risques évoluent en permanence.

2. Par la suite il convient d’établir une cartographie des installations et une analyse des risques pour en aboutir à la définition de mesures de sécurité adéquates, dont les efforts sont « proportionnés aux enjeux et adaptés aux besoins réels ».

3. La prévention est le troisième grand principe de la SSI selon l’ANSSI qui consiste à protéger les installations en les entourant de plusieurs barrières de protection « autonomes et successives », ce qui devrait permettre de se protéger face aux menaces encore non identifiées.

4. Aussi il est pertinent d’accomplir la surveillance des installations et la détection des incidents, cela n’empêchera pas les incidents de se produire, mais cela aura comme conséquence de limiter autant que possible les effets néfastes. Ainsi plus l’incident est détecter tôt, plus il sera envisageable de mettre en place des mesures pour en réduire les effets.

5. Le traitement des incidents va de pair avec sa détection car elle va permettre notamment d’intégrer une phase d’analyse post incident qui entraînera une amélioration de l’efficacité des mesures de SSI misent en œuvre au préalable.

6.    D’autant que « la SSI est une action continue nécessitant des efforts permanents », c’est pourquoi il faut instaurer une veille sur les menaces et les vulnérabilités pour but de rester informé sur l’évolution de ces dernières.

7.    Enfin le dernier grand principe que considère l’ANSSI est la préparation face à des évènements exceptionnels qui n’auraient pas été mesurés ou prévus, ainsi des plans de reprise et de continuité d’activité (PRA/PCA/DRP) minimisent les impacts pour pouvoir redémarrer l’activité le plus rapidement possible.

Cette faille critique de type "zero day" a été à l'origine de cyberattaques menées depuis au moins trois semaines contre le site des Anciens combattants américains et, semble-t-il aussi, contre le Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS), a déclaré Alexander Watson, directeur de recherche sur les menaces informatiques de la société de sécurité Websense.

En France, plus qu'ailleurs, la tolérance au risque cybersécuritaire est très faible. Une entreprise perd en moyenne 4,5 % de ses clients lorsqu'il est découvert qu'un incident a touché l'intégrité de ses données. En Allemagne, ce chiffre est égal à 3,2 %.

Il s'agit d'un des enseignements d'une étude Ponemon pour IBM menée auprès de 314 entreprises issues de 10 pays (Brésil, Etats-Unis, Italie, France, Allemagne, Inde, Arabie Sahoudite, Emirat Arabe-Uni, Royaume-Uni, Japon, Australie).

« Si les documents (judiciaires) n’indiquent pas si le FBI a directement ordonné les attaques, ils laissent penser que le gouvernement pourrait avoir utilisé des pirates informatiques pour obtenir du renseignement à l’étranger », affirme le New York Times.

Ce documentaire nous plonge dans les arcanes de cette guerre invisible, nous emmenant aux États-Unis, à la plus grande conférence de hackers au monde, où le chef de la NSA Keith Alexander a fait sensation ; en Israël aussi, chez des cyberarmuriers, ou même en Chine, à la rencontre des "hackers rouges", nationalistes qui déploient leur expertise contre les puissances occidentales. Si le combat est virtuel, quel risque courent les citoyens ? Les pires scénarios catastrophe en la matière relèvent-ils de la science-fiction ou ont-ils une chance de devenir réalité ? Certains hackers de génie sont capables de mener à bien ou déjouer des attaques avec une facilité inquiétante… Pour les grandes puissances, il s’agit de les avoir dans son camp. Ce documentaire fouillé dresse un état des lieux de la sécurité des réseaux informatiques, à l’échelle des États, et des solutions envisagées, dans une optique aussi bien offensive que défensive. Mais avec la militarisation croissante du cyberespace au prétexte de sécurité, que deviendront les exigences de neutralité et de protection des libertés individuelles sur Internet ?

Le programme se divise en trois entités. D’abord, le projet Box@PME réunissant Airbus et quatre PMI et ETI de sa supply chain, dont CGX Aero. Un programme labellisé par le pôle de compétitivité Aerospace Valley début mars 2014. Ensuite, une entité de veille fédérant plusieurs laboratoires de recherche haut-garonnais. Enfin, une entité travaillant à la structuration de l’offre de formation dans le secteur de la cybersécurité. Deux diplômes universitaires sont ainsi en train d’émerger à Toulouse : l’un à l’IRIS dès la rentrée 2014 et l’autre au sein de l’Université Toulouse 1 - Capitole qui ouvrira en 2015. En résumé, il s’agit de mettre en commun les moyens pour répondre à des attaques de mieux en mieux organisées, que mènent des réseaux structurés. "Les donneurs d’ordre des cyber-attaques font appel à des experts en fonction du secteur d’activité pour savoir exactement que chercher !" raconte Didier Bosque, responsable de l’innovation chez Steria.

Contrer une attaque identifiée, en analyser les effets, remettre le système affaibli en état de rendre à nouveau les services requis est indispensable, et c’est le rôle des équipes d’experts et de maintenance sécurité. Mais cette intervention technique s’effectue quand le mal est déjà fait, et le ver peut-être dans le fruit. La prévention par la formation, la protection par une ligne de défense qui agit avant que l’attaque n’atteigne son but, laissant aussi les pare-feu et les IPS jouer pleinement leur rôle, voilà sans aucun doute la méthode la plus appropriée. Pour qu’une simple attaque DDoS ne soit pas le début d’une cascade de phénomènes plus graves pour l’entreprise. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)

Paradoxe: les entreprises les moins prêtes à investir pour se protéger sont les PME, précisément les plus vulnérables. Car les cyberpirates savent que la plupart d'entre elles sont la clé d'entrée vers les grandes sociétés dont elles sont les sous-traitants. Le marché reste donc porteur.

Les arguments contre semblent donc l’avoir emporté sans que nous puissions dire si c’est à tort ou à raison (sur le plan technique, s’entend). En revanche, cela devrait nous faire réfléchir sur la valeur stratégique des cyber-armes. À quoi servent-elles si leurs conditions d’emploi sont si restrictives et qu’elles ne se trouvent presque jamais réunies ? Font-elles si peur que cela aux "faibles" (les États voyous qui seraient tentés d’y recourir anonymement) si les « forts » hésitent tant à les mobiliser ? Et si elles ne font pas peur, les États démocratiques qui en fabriquent, doivent-ils attendre des circonstances dramatiques pour les sortir des placards ? En attendant les réponses restent dans le mystère par rapport à des armes dont on voit bien l’usage pour l’espionnage mais bien moins l’utilité pour exercer une contrainte, qui reste, au fond, le but de la guerre. 

La première alerte sérieuse sur les transports aériens date de l’été 2010 avec la publication des résultats d’enquête sur le crash du 20 août 2008 mettant en lumière la vulnérabilité potentielle des systèmes embarqués. Selon le rapport rendu public par El Pais, un cheval de Troie pouvait être l’une des causes du crash du MD82 de la Spanair, provoquant 154 victimes. Même si la thèse est écartée par la CIAIAC en charge de l’enquête, l’inquiétude n’est pas dissipée.  Sans parler des piratages de drones fréquents depuis la fin des années 2000…

Le fait que les entreprises soient de plus en plus interconnectées et dépendantes de la technologie contribue à renforcer les risques. Selon une étude sur le coût de la cybercriminalité publiée par le Ponemon Institute, institut d’enquête indépendant, les entreprises américaines ont subi en moyenne, en 2012, 102 attaques par des pirates informatiques réussies par semaine, soit plus du double du total enregistré en 2010. Les coûts liés à la cybercriminalité ont augmenté de près de 40% par rapport à 2010 et atteignent un montant annuel moyen de 8,9 millions de dollars pour les entreprises américaines de l’échantillon de référence. La même étude souligne que 78% de ces coûts sont liés à un code malveillant, un déni de service, des appareils volés ou détournés, du personnel mal intentionné. Dans un post publié en mars 2012 dans Future of Business, PA Consulting, cabinet de conseil spécialisé dans la gestion, la technologie et l’innovation, estimait que « près de 80% de la valeur d’une entreprise est exposé dans le cyberespace » et qu’une « attaque de pointe coûte à la victime plus de 150 millions de dollars, avec pour conséquence, en moyenne, 12% de perte de capitalisation consécutive ».