Sécurité : savoir exploiter la malveillance

En attendant la mise en place de politiques de sécurité globales, la plupart des entreprises restent placées dans un champ à haut risque concernant les menaces dues à la cyber-criminalité. Dès maintenant, voici quelques conseils à tenir en situation de crise, livrés par KPMG dans la troisième et dernière partie de son livre blanc intitulé "e-Commerce and Cyber Crime". Pour commencer, le cabinet de conseil constate l'incompréhension ou l'inexpérience de nombreux décideurs et de leurs personnels, notamment législatifs et techniques, face à la manière de se comporter. Parfois, les conséquences de l'intrusion sont sous-estimées, empêchant la prise de mesures indispensables à leur propagation et réduisant les peines appliquées au pirate en cas de poursuite. Dans d'autres cas, les preuves numériques comme les fichiers logs sont détruites suite à de mauvaises manipulations, et ne peuvent donc plus être utilisées à des fins de protection légale, technique et administrative.

La première clé trouve sa serrure à travers les compétences des personnels intervenant en situation et après. Afin de retrouver et de pouvoir exploiter les preuves de l'attaque, la veille technologique et législative joue un rôle considérable et doit être suivie d'expérimentation et de pratique. Selon KPMG, les cyber-enquêteurs se doivent de combiner cette dernière avec de nombreuses connaissances acquises dans les domaines des réseaux, des logiciels, des systèmes d'exploitation et des outils de surveillance. Ainsi, certaines mailing-lists de sécurité telles BugTraq (en fin de la page Web pointée par le lien) révèlent de nombreuses failles en regroupant pirates chevronnés et responsables de sécurité avertis au niveau mondial. Cette dernière, en particulier, reprend notamment les bulletins de Microsoft, du CERT et du CIAC.

D'après KPMG, l'investigation des preuves légales permet d'identifier la plupart des atteintes subies par les systèmes. Parmi celles-ci, le cabinet de conseil cite les enregistrements de comptes et de données client altérés, les fichiers malicieux, les documents corrompus, la manipulation des systèmes de facturation et de paiement, et les accès réseau non autorisés. A partir des observations, il est parfois possible de prouver aussi bien l'identité d'un vol que le détournement des ressources de l'entreprise. Le résultat de l'enquête devrait également permettre de récupérer une partie des informations stratégiques volatilisées ainsi que les données sécurisées et protégées par mot de passe, et d'identifier à l'avenir les e-mails inappropriés et offensifs. Enfin, la preuve prise sous son angle judiciaire permettra peut-être de condamner les coupables, à condition que l'entreprise dispose des connaissances juridiques internationales en matière de cyber-criminalité. Car tout comme Internet, le piratage n'a pas de frontières. [François Morel, JDNet]