Etes-vous prêt pour la prochaine attaque ?

Comment les nouvelles tendances des SI (cloud, mobilité, RSE…) engendrent des menaces et des risques sécuritaires ? L’atelier du 18 décembre 2013 des Clubs OLG est revenu, en présence de Laurent Heslault, directeur des stratégies de cyber-sécurité chez Symantec, sur les risques sécuritaires touchant le SI. Zoom sur les menaces persistantes avancées.

Cas d’école

Imaginons.
En comité de direction ce matin, vous, le directeur du système d’information, devez faire l’annonce suivante :
« Nous venons d’être victime d’une cyber-attaque. Les chiffres sont passablement troublants et les effets désastreux.
Il a fallu à nos assaillants six minutes pour contourner nos défenses. En moins de douze heures ils ont obtenu les privilèges administrateurs. En moins d’une semaine ils ont pris le contrôle total de tous nos domaines.
Ils ont récupéré l’ensemble des identités et se sont rendus capables de transférer électroniquement des millions d’euros depuis nos comptes bancaires via le système de paiement.
Ils ont acquis un accès direct à notre environnement industriel et ainsi affecté la qualité des processus de production mais également la sûreté dans les ateliers. Ils ont eu accès à notre propriété intellectuelle la plus confidentielle et finalement ont exfiltré toutes ces données.
Aucune alarme ne s’est déclenchée. Nous n’avons pas pu les stopper. »

Scénario cauchemar s’il en est.
Evidemment, vous aurez compris que cette entreprise américaine de 120 000 salariés s’est prêtée au « jeu » de l’ethical hacking. Mais le constat reste dramatique. Les mesures de sécurité de l’entreprise ne pouvaient pas faire face à une attaque de cette envergure. En constante augmentation, les APTs ou menaces persistantes avancées, sont à la compromission de données ce que les frappes chirurgicales sont à la stratégie militaire.

Anatomie d’une menace persistante avancée

Ce sont des campagnes actives, ciblées et se déroulant sur le long terme. Pour les mettre en œuvre, les cyber-attaquants utilisent toutes les techniques de renseignement à leur disposition même les plus classiques comme les écoutes téléphoniques.
Leur particularité est de s’adapter et de muter en permanence pour contourner les mesures de sécurité en s’appuyant sur des menaces multiples et plusieurs moyens de contrôle.
En général, elles ne sont découvertes qu’au regard des effets provoqués, la fameuse défaillance O-Day.

Les équipes de hackers identifiées sont très innovantes et leurs services se louent pour des cas difficiles, précis et variés. Ces professionnels du piratage s’appuient sur trois types de défaillances incontournables :
La vulnérabilité humaine. La plus difficile à juguler et pourtant la plus grande source de faille. Un test réalisé dans le parking d’une entreprise dans lequel des clés usb ont été dispersées a montré un taux d’ouverture de 90% sur les postes de l’entreprise.
Les processus. Les études montrent que 59% des employés quittant une entreprise ont toujours accès aux données quatre semaines après leur départ. Par ailleurs, en France, 60% des employés admettent partir avec des informations concernant l’entreprise.
Ces défaillances combinées aux failles technologiques entraînent aujourd’hui une croissance de 42% des APTs.

Qui est visé ?

Contrairement à une croyance très répandue, les grands groupes ne sont plus la cible privilégiée et l’on note une recrudescence des attaques en direction des PME. Ceci pour la bonne raison qu’il reste plus facile de pénétrer une grande entreprise en passant par ses sous-traitants, dont les moyens en sécurité informatique restent plus limités. A ce titre, la sécurité de la supply chain devrait devenir une priorité.

L’industrie suivie de la finance passent devant les organismes publics en termes de taux d’attaques. La défense, les médias et les ONG continuent de faire l’objet d’attaques très ciblées, voire sur commande.
Plus finement, la R&D apparaît être un secteur très touché mais également les métiers de la vente (informations relatives aux prix pratiqués notamment) et si l’on n’y pense pas a priori, le recrutement est également visé dès lors que ces métiers ont pour tâche d’ouvrir des pièces jointes en provenance de tiers.

Le coût d’un désastre opérationnel majeur

56 % des entreprises déclarent une perte d’informations sur les 12 derniers mois. Il ne s’agit ici que des chiffres issus de déclarations volontaires. La réalité est toute autre. En matière d’attaques informatiques, les entreprises (toutes tailles confondues) se divisent en deux catégories : celles qui ont été attaquées et celles qui ne le savent pas encore.

L’étude « The Impact of catastrophes on shareholder value » montre qu’en fonction de la capacité d’une entreprise à gérer un désastre opérationnel majeur, sa valeur boursière peut varier jusqu’à 25%.
Rappelons également que la proposition de règlement européen sur le traitement des données à caractère personnel prévoit une amende en cas de perte desdites données pouvant s’élever jusqu’à un million d’euros.

Outre les mesures de corrections en urgence et dans certaines situations, la clientèle à contacter (le cas d’Adobe est ici typique), certaines assurances proposent aujourd’hui de garantir ce type de risques et au travers de ces contrats, de protéger la réputation. C’est une démarche qui reste à étudier mais qui a l’avantage de seconder les responsables informatiques dans leur tâche toujours plus délicate de lanceur d’alerte auprès de leur direction.