> Sécurité > Qui a l’avantage ? Pirates ou entreprises ?

Qui a l’avantage ? Pirates ou entreprises ?

Sécurité - Par Sabine Terrey - Publié le 17 octobre 2014
email

Dominique Assing, responsable de l'activité consulting sécurité et Damien Leduc, responsable de l'équipe audits de sécurité & tests d'intrusion de BT en France reviennent, pour IT Pro Magazine, sur les nombreuses attaques dont toutes les entreprises qu'elles soient petites ou grandes, sont désormais la cible. Éclairage sous haute sécurité !

Qui a l’avantage ? Pirates ou entreprises ?

Différents types d’attaques

Parmi tous les types d’attaques, deux grandes familles émergent, le déni de service et l’intrusion directe dans les systèmes avec l’objectif d’exfiltrer les données. « On peut également mentionner les attaques à but idéologique (par exemple les groupes de type Anonymous qui font effectivement des dénis de service, mais également des « défacements » de site internet, c’est-à-dire modifient le site web de leur cible pour faire passer un message). Cette catégorie est un peu à part » affirme Damien Leduc.

Qui se cache derrière ces attaques ? Le panel est assez large, du simple pirate voulant prouver sa valeur à des organisations mafieuses et/ou étatiques. Néanmoins, dans le contexte d’entreprise, l’ennemi principal réunit les caractéristiques principales suivantes : un groupe organisé, qu’il soit à but criminel (mafias), renseignement (espionnage) ou un groupe idéologique (Anonymous, Wikileaks). Et des compétences techniques fortes ou pouvant mobiliser les compétences en question.

« On pourrait écrire des livres entiers sur les manières de procéder à une attaque tant le panel technique est actuellement large (compromission via les couches applicatives, infrastructures, systèmes, comportement social ou encore via un mélange d’une ou plusieurs approches), toutefois une similitude dans la démarche peut être décelée » :

• Une phase de reconnaissance de la cible.
• Une phase de découverte des vulnérabilités et faiblesses de la cible.
• Une phase d’infiltration de la cible.
• Une phase de rayonnement au sein du système d’information (outils se diffusant au sein du SI).
• Une phase exfiltration des données.
• Une phase finale appelée recyclage des informations volées (revente, utilisation, blanchiment).

Quelles informations sont volées ?

En synthèse, les informations prises pour cible sont des données financières, personnelles, des secrets (industriels, politiques ou géostratégiques).
« Les données à sécuriser sont uniquement liées aux enjeux business et de conformité légale et réglementaire de l’entreprise prise pour cible, donc dépendent des lignes métiers qui composent une entreprise. Ainsi, une entreprise qui gère les dossiers médicaux n’aura pas les mêmes données à sécuriser qu’une banque qui fait du trading. D’un côté, nous aurons des données nécessairement à caractère personnel, de l’autre, des accès marchés et des accès aux comptes bancaires pour le règlement des opérations » précise Dominique Assing.

Quelle stratégie de sécurité en amont ?

C’est la partie la plus intéressante car elle pose des questions de stratégie et une réforme à savoir comment la sécurité doit être appréhendée de nos jours.
Pour se prémunir des attaques il faut déjà abandonner certaines idées passéistes mais qui se trouvent être encore souvent de mise, comme le concept de défense périmétrique « je suis dans une forteresse et j’interdis et contrôle tout ce qui rentre ». « On peut préciser que l’on ne doit pas pour autant supprimer toutes les défenses périmétriques, juste repenser sa défense selon les conseils donnés ensuite » ajoute Dominique Assing.

Il faut repenser complétement le concept global de défense (en tout cas dans le périmètre civil) : ne plus voir ses systèmes de défense dans une vision statique, considérer un système dynamique qui peut évoluer, changer et s’adapter rapidement à l’attaquant et ses méthodes, construire de vraies lignes de défense pour réagir plus vite aux compromissions, et pour agir plus vite parce que l’on connait plus tôt ce qui est se déroule.

Il faut enfin accepter l’idée que l’adversaire va nécessairement pénétrer les protections à un moment donné, donc se préparer à la compromission. Qui a déjà réalisé des simulations de situation de compromission importantes ? Toutes les entreprises ont des plans de backup et les testent normalement, mais combien réalisent des simulations de situation de compromission pour valider la bonne réaction des équipes et des systèmes ? Ceci implique de ralentir l’attaquant, le détecter et prendre les bonnes mesures en temps réel pour le stopper. D’un point de vue stratégie, selon BT, l’entreprise doit repenser fondamentalement sa conception de la défense et sa vision de la sécurité d’un SI :

• Le SI doit être considéré comme un champ de bataille : nous ne sommes plus dans un donjon à défendre mais en rase campagne, l’adversaire peut donc venir d’où il lui plaira. On n’a pas nécessairement la main sur le choix du terrain, le moment de l’attaque de l’adversaire et comment il procédera (les 0 days par exemple).

• Une reconsidération du SI, comme un champ de bataille amène une évolution de la doctrine de défense. Savoir construire de vraies lignes de défense, « L’entreprise doit améliorer sa propre connaissance de ses forces et faiblesses, l’existence par exemple d’une CMDB (base qui recense tous les actifs informatiques) n’est en général pas en place ou mal mise en place, comment défendre quand on ignore les cibles des pirates ? » précise Dominique Assing.

L’entreprise doit améliorer son organisation, « A l’instar d’un système militaire, la chaîne de commandement est primordial pour se défendre ; savoir quoi faire, comment et dans quelles conditions font partie des minima qu’une chaîne de commandement doit assumer comme tâches. Bien souvent l’activité organisationnelle d’un point de vue sécurité est mal mise en place, déconsidérée ou non efficiente en cas de compromission » souligne Dominique Assing.

L’entreprise doit avoir choisir les bons outils, « la partie technique n’est pas la finalité dans la stratégie de sécurité. Elle est primordiale mais viendra d’elle-même et naturellement en bout des décisions stratégiques. Par contre, savoir choisir les bons outils au vu du contexte (différent de chaque entreprise) est un véritable enjeu stratégique dans la mise en place de sa sécurité » explique Dominique Assing.

Le choix d’un bon outil c’est surtout et d’abord savoir de quoi on a besoin, où l’on en est et ce que l’on veut faire. L’un des problèmes que rencontrent beaucoup d’entreprises c’est leur méconnaissance de leur situation réelle ou capacités réelles, ce qui va influencer fortement sur les choix. « Il ne sert à rien de mettre en place un outil de SIEM si l’on n’a pas l’organisation nécessaire pour l’exploiter, ce serait comme si l’on achetait une Ferrari en ne sachant pas encore conduire ! »

Et BT souligne « du bon choix, découleront, par ailleurs, des décisions budgétaires cohérentes, pertinentes et éviteront aux DSI ou RSSI des positions défensives dans les processus budgétaires ».

De judicieux conseils

BT suggère de revoir les stratégies de défense, l’organisation dans une vision défense et situation de crise/compromission et de bien se connaître en termes de faiblesses et forces. Tous les choix techniques d’outils découleront du respect des trois points précédents. Et nos deux responsables BT, de conclure, « au vu des discussions que nous avons pu avoir, des constats (compromissions rendues publiques, évolutions des attaques…), les entreprises ne sont pas suffisamment protégées. A ce jour, les attaquants ont un avantage mais cela ne veut pas dire que la partie est perdue loin de là ! ».

Téléchargez gratuitement cette ressource

Guide de Migration Windows Server 2008

Guide de Migration Windows Server 2008

L’année 2019 marque la fin de vie de Windows Server 2008/2008 R2 et SQL Server 2008/2008 R2, deux briques très populaires dans l’offre Microsoft et largement adoptées en France par des entreprises de toute taille. Il y a urgence à étudier les solutions possibles, découvrez-les dans ce Guide Thématique.

Sécurité - Par Sabine Terrey - Publié le 17 octobre 2014