2014, l'année des pirates : les hackers sont peut-être déjà dans le réseau de votre entreprise… Comment s'en protéger

Atlantico : Plusieurs piratages cette année ont mis en évidence l'incapacité des grandes entreprises à détecter les intrusions, laissant parfois plusieurs mois aux hackers pour procéder à leurs opérations. Les entreprises ne sont-elles pas suffisamment vigilantes ?

Jean-Paul Pinte : Les entreprises ne semblent prendre conscience du risque encouru sur leur environnement informatique que quand l’incident s’est produit et qu’il est trop tard. Vingt cinq ans se sont écoulés depuis la distribution du premier ver informatique et la prise de conscience semble être tout aussi lente. La cybersécurité semble ne pas toujours être le premier souci des entreprises en dehors de quelques une ayant déjà payé les pots cassés.

Lire également : 2014, l’année des pirates : retour sur les pires attaques de hackers

Et pourtant la détection, dite historiquement "détection d’intrusions", est un domaine de recherche actif depuis le début des années 1980, et les sondes de détection sont des technologies déployées opérationnellement depuis la fin des années 1990 selon les travaux du récent Colloque C&ESAR qui avait pour thématique la lutte contre les cyber-attaques.

Sans rentrer dans la paranoïa, il convient de reconnaître aujourd’hui que tous les coups sont bons pour ces cyberdélinquants qui ont du temps pour penser l’ingénierie sociale qui est aujourd’hui au coeur de leur stratégie d’attaque.

Penser qu’un simple pare-feu suffit est complètement désuet aujourd’hui. Certaines grandes entreprises en ont pris conscience et réagissent. Elles recourent de plus en plus à des experts dans ce domaine et/ou créent des services internes dédiés à la sécurité.

Bien souvent, dans la plupart des cas la faille vient de l’humain. On ne fait que le répéter. Et quand cela arrive on s’aperçoit que le virus était déjà en place au sein du système et qu’il avait atteint tout le réseau de la société.

Il est donc indispensable de penser global en termes de sécurité et d’analyser en profondeur les éléments internes et externes qui pourraient venir agir sur cet aspect humain des attaques informatiques, à savoir :

• bien connaître les acteurs internes et externes liés à la vie de l’entreprise tels que les fournisseurs, etc.
• déceler les supports de communication qui viennent souvent se greffer au système de l’entreprise tels que les clés USB, les smartphones voire tout autre support connectable au réseau de l’entreprise
• favoriser les protocoles de sécurité de type Https:// lors de partage de données par exemple
• veiller à l’utilisation que font du WIFI les salariés à l’extérieur de leur société

D’autres comme Social Pet ont même simulé il y a plusieurs années de fausses attaques pour tester la vigillance de leurs salariés et leur faire prendre conscience des dangers

Les entreprises disposent-elles des outils techniques nécessaires pour se prémunir de l'intrusion de pirates ?

Encore une fois on peut dire qu’elles en sont équipées, mais ne se méfient pas toujours assez des nouveaux modes opératoires des attaquants qui prennent le temps, eux, d’y veiller. Les modèles actuels de protection sont en effet encore trop théoriques face aux attaques

Les entreprises européennes n’ont pas encore pris la pleine mesure des attaques auxquelles elles vont de plus en plus avoir à faire face selon le rapport STERIA de février 2014. D’autres sont en phase de repenser tous leurs environnements de sécurité en intégrant ces nouveaux modes opératoires comme les vols de données, le recensement de l’intégralité des contacts.

Des tests de vulnérabilité se doivent d’être réalisés plus régulièrement autour des attaques virales, vols de matériel, violation de données, attaques logistiques ciblées, ce qui n’est pas souvent le cas.

De même il manque bien souvent un véritable Plan de Continuité d’Activité (PCA) et d’une cellule de crise dans la majorité des cas.

La cyber-assurance est devenue un véritable outil de gestion des cyber-risques mais  peu sont au courant de son existence. Elle permet pourtant à l’entreprise de transférer les cyber-risques à l’assureur et de limiter les conséquences d’une cyber-attaque.

Les firewalls sont-ils toujours des produits efficaces au regard des menaces qui planent actuellement sur les entreprises ?

Je pense que le firewall est toujours une barrière à l’intrusion mais tout dépend de l’efficacité de ce pare-feu car tous n’ont pas le même niveau de protection. Comodo semble être un bon compromis.

Pour isoler un réseau local de l’extérieur, il faut mettre en oeuvre un garde-barrière qui conjugue la combinaison de deux applications logicielles : un serveur mandataire (proxy) d’une part , et un pare-feu  (Firewall) d’autre part.

Le serveur mandataire est une applicationqui sert d’intermédiaire entre un client et un serveur. Il assure les fonctions suivantes  :

• mémoriser les dernières pages consultées sur le Net;
• garder une trace des requêtes;
• analyser le contenu des documents pour détecter des virus;
• restreindre les accès de l’intérieur (du LAN vers Internet) : autoriser ou interdire l’accès à certains services d’Internet pour certains utilisateurs;
• interdire l’accès à des sites Web selon certains critères (adresse IP, mots-clés…)

Un pare-feu a pour objectif de bloquer les intrusions non autorisées (hacker, programmes malveillants) dans votre ordinateur, et de réguler les connexions en rendant invisibles les autres ports non utilisés, tout en surveillant les ports ouverts (ports virtuels). Il évalue les demandes de connexion à mesure qu’il les reçoit et traite seulement celles qui proviennent de machines autorisées et supprime les requêtes en provenance des autres.

En dehors du pare-feu, il est aussi possible et utile de mettre une zone démilitarisée (DMZ), réseau intermédiaire tampon dans laquelle peuvent être installés les ordinateurs er applications devant pouvoir être accessibles à partir d’Internet (FTP, WWW par exemple).

Enfin le VPN (Réseau Privé Virtuel) en anglais Virtual Private Network, est une solution technique qui assure l’authentification et la confidentialité des données échangées entre sites distants utilisant Internet comme moyen de transmission.

Les contrôles d’accès, et donc l’authentification, sont importants dans sa définition. Les mots de passe doivent être changés régulièremnt et être un mélange de chiffres et de lettres d’au moins 8 caractères.

Enfin l’anti-virus se doit d’être mis à jour de la manière la plus fréquente possible.

Dans quelle mesure la défense doit-elle se faire en profondeur ? En clair, faut-il se focaliser sur la protection du cœur des données sensibles plutôt que sur la protection de l'ensemble du système d'information ?

Il faut se focaliser à mon sens sur les deux types de protections car de toute façon nous n’avons pas trop le choix à ce niveau. Une fois rentrés les cyberdélinquants pourront en  effet se servir à leur guise.

L’AFNOR dans son rapport sur la Sécurité des systèmes d’information : un enjeu majeur pour la France préconise, entre autre,  la  mise en place d’une défense en profondeur, où "plusieurs lignes de défense valent mieux qu’une".

Partant du constat que, dans les systèmes complexes, il faut  toujours prévoir plusieurs lignes de défense, des mesures de protection bien distinctes, en particulier sur le plan fonctionnel, seront appliquées sur différentes composantes, de manière à ce qu’il n’y ait pas une ligne de défense unique.

La protection du cœur des données dans une période où les incidents sont en nette augmentation ne peut faire l’économie d’une sécurité de plus en plus adaptée et affinée au contexte de vol de données.

Faut-il revoir complètement la façon dont nous envisageons la sécurité des entreprises ? 

L’heure est au changement de paradigme à ce niveau et il n’est plus vraiment possible d’envisager la sécurité comme il y a encore 5 ou 10 ans.

Des éléments comme le Cloud Computing , les réseaux sociaux et les outils nomades sont venus fleurir dans notre société à une allure que personne n’aurait pu imaginer. Ils ont apporté avec eux de nouveaux risques pour l’entreprise.

L’ingénierie sociale ou l’art de se procurer des données par des méthodes et moyens psychologiques nous amène donc à penser autrement la sécurité des espaces de stockage comme de nos propres matériels informatiques et bureautiques.

ll convient d’être intellectuellement honnête sur un point : le problème de la sécurité de l’information ne trouvera pas de solution significative à coups d’antivirus, de firewall ou d’IDS (Intrusion Detection System) signale un article de Sécurité et Stratégies.

Par ailleurs, un firewall, même avec authentification, un proxy applicatif, ou bien encore une séparation totale du DNS, ne vous protègera pas contre un exploit développé sur mesure pour vous attaquer et n’empêchera pas un attaquant de contrôler à distance une machine ou d’exfiltrer des documents vers Internet.