Cybercrime : ne dramatisons plus et conservons de l’avance

Les attaques cybercriminelles sont de plus en plus sophistiquées mais, comme c’est bien souvent le cas en matière de sécurité, alors que l’exagération et « la dramatisation de la situation » attirent toutes les attentions, le rappel des bonnes pratiques, plus discret, a tendance à vite être oublié.

On a beaucoup parlé cette année de la sophistication croissante des attaques cybercriminelles, allant même jusqu'à soutenir que la création de virus était passée à l'ère du « Web 2.0 ». Mais comme c'est bien souvent le cas en matière de sécurité, alors que l'exagération et « la dramatisation de la situation » attirent toutes les attentions, le rappel des bonnes pratiques, plus discret, a tendance à vite être oublié.

Bon nombre d'acteurs du monde de la sécurité insistent en permanence sur la nécessité de mettre en œuvre les « dernières techniques » en matière de prévention (l'analyse comportementale en étant un exemple récent) ou débattent sur les risques liés à la toute dernière attaque « zero-day » de type Conficker. Cette approche de la sécurité encourage cependant une position défensive et conduit sans cesse les entreprises à jouer à cache-cache avec les cybercriminels.

Une grande partie de ce qui se dit vise davantage à valoriser les entreprises du secteur de la sécurité, car il faut bien reconnaître que les logiciels utilisés aujourd'hui pour créer des virus ne sont pas beaucoup plus sophistiqués qu'il y a dix ans. Certes, on compte actuellement bien plus de menaces que jamais, et il est probable que le nombre de virus continuera d'augmenter, mais leur impact n'a pas évolué au point qu'il soit à chaque fois nécessaire de recourir à de nouvelles méthodes de prévention. En réalité, c'est toujours le même logiciel qui sert à créer les virus, il a juste été re-paramétré pour le phishing et l'enregistrement des saisies clavier.

Loin des gros titres à sensation qui reviennent régulièrement sur le sujet, la stratégie que doivent adopter les entreprises pour faire face à ces menaces est simple et n'a pas changé : mettre en place des méthodologies et des processus très stricts. Le point fondamental est de toujours aborder la sécurité de manière préventive plutôt que réactive, en gardant une étape d'avance sur les criminels. Outre les actions évidentes telles que le blocage de ports, l'analyse contre les virus et les logiciels malveillants (probablement en place dans la majorité des entreprises), le responsable de la sécurité peut faire appel à d'autres processus capables d'améliorer considérablement la sécurité, et ce, à moindres frais.

Il convient par exemple de tester régulièrement le réseau au niveau des vulnérabilités et de la pénétrabilité, mais il semble dans la pratique que ces tests ne soient pas suffisamment fréquents. Le réseau d'une entreprise est une entité vivante : il s'étend ou diminue, les ordinateurs vont et viennent. Les tests doivent donc être réguliers, car chaque jour peut apporter son lot de nouvelles vulnérabilités et ouvrir de nouvelles portes aux cybercriminels.

 

Les tests de vulnérabilités et de pénétrabilité pointent le doigt vers des faiblesses différentes du réseau et doivent donc être mis en place régulièrement. Le test de pénétrabilité doit être mené plusieurs fois par an par un spécialiste externe afin de vérifier jusqu'où il est possible de s'infiltrer dans le réseau à partir de trois points de départ : en tant qu'étranger, depuis un compte utilisateur, ou en tant qu'administrateur. Le test de vulnérabilité peut quant à lui être conduit directement par l'entreprise, bien que sa valeur ne dépasse pas celle du logiciel de test lui-même. S'il n'est pas sans cesse mis à jour, il est totalement inutile contre les nouvelles menaces.

 

On n'y pense pas toujours mais pour être plus préventifs, les personnes en charge de la sécurité informatique dans les entreprises ont tout intérêt à aller voir ce que font leurs collègues sur le réseau afin de mieux partager et d'échanger leurs idées. Ils peuvent également faire du réseautage « à l'ancienne » - par exemple en intégrant une organisation comme le CERT (Computer Emergency Support Team) qui informe sur les dernières menaces et les patches - mais aussi rejoindre les forums en ligne, utiliser les autres ressources électroniques et (de plus en plus) Twitter, où ils peuvent obtenir en temps réel des informations très utiles sur les dernières tendances.

 

Il n'est guère facile de garder de l'avance sur les cybercriminels. Il y aura toujours de nouveaux programmes malveillants, et il y aura toujours des pirates qui chercheront à « hacker» les dernières méthodes de chiffrement. De bien des façons, une approche réactive de la sécurité continuera d'être une tâche ingrate. Mais appliquer des mesures préventives efficaces et homogènes reste le meilleur moyen pour les entreprises de se préparer au mieux contre les cyber-attaques.

 

Autour du même sujet