Organisations et entreprises stratégiques : comment faire face aux nouvelles méthodes de piratage

Les grands secteurs stratégiques sont confrontés à des vagues d’attaques ciblées de plus en plus sophistiquées qui viennent défrayer la chronique et causer de sérieux préjudices : fuite de documents confidentiels, détournements, espionnage politique et industriel…

Les grands secteurs stratégiques sont confrontés à des vagues d’attaques ciblées de plus en plus sophistiquées qui viennent défrayer la chronique et causer de sérieux préjudices : fuite de documents confidentiels, détournements, espionnage politique et industriel… Les exemples ne manquent pas et viennent chaque mois montrer à quel point les états et les grands groupes stratégiques sont vulnérables aux assauts d’une cybercriminalité toujours plus difficile à appréhender.

L’attaque ayant frappé de plein fouet les services du Ministère des Finances au mois de mars en est le parfait exemple. En dépit des lourds investissements réalisés, les moyens de sécurité déployés n’ont pas semblé à même de contenir une attaque d’un niveau professionnel.

Il paraît donc légitime de s’interroger sur le niveau d’adéquation entre les outils de protection système les plus utilisés aujourd’hui – technologiquement proches d’outils grand public – et les menaces auxquelles font face les secteurs stratégiques sensibles – des assaillants professionnalisés, structurés et appuyés par des moyens matériels considérables.

Ce document a pour objectif de présenter un état des lieux des mécanismes de sécurité système traditionnellement utilisés, de mettre en lumière le type de menaces existantes et de donner un certain nombre de pistes et de bonnes pratiques à intégrer.

Contexte  

Rappelons d'abord que cet article se place dans le contexte très particulier des organisations et entreprises nationales stratégiques. Il s'agit avant tout des acteurs publics ou privés liés plus ou moins directement à la défense, au secteur de l'énergie et des acteurs gérant les infrastructures vitales. On y ajoutera les grandes organisations telles que les ministères et les institutions financières publiques.

Naturellement, sont exclues les entreprises "classiques" ou non vitales d'un point de vue géostratégique. Ces dernières doivent évidemment se protéger, et elles le font, mais sont peu susceptibles d'être la cible spécifique d'un groupe de pirates. Elles font plus classiquement face au "prêt à  porter" des attaques, équivalentes à celles visant le grand public, et se protègent en conséquence.

Les menaces  

Malheureusement, les organisations et entreprises nationales stratégiques subissent une menace d'une tout autre envergure : la "haute couture" du piratage, professionnalisée, structurée et parfois étatique, élabore minutieusement des offensives sur mesure, très sophistiquées et ciblant spécifiquement leur victime.

Le déploiement de moyens que nécessitent une telle conception est justifié par la très grande valeur du résultat escompté : informations confidentielles, mise hors service d'infrastructure etc.

Le rayon d'action de l'attaque est volontairement faible : en ne ciblant qu'une organisation, en évitant toute diffusion massive de l'attaque, les assaillant s'assurent que les outils de protection système classiques - notamment les antivirus - ne sourcilleront pas. Ces logiciels ne sont en effet efficaces que sur les attaques massives - le "prêt à porter". Leur rôle n'est en aucun cas d'adresser les attaques ciblées décrites plus haut. Les protections système en place  

Or ces logiciels, qui s'appuient sur le concept ancien de reconnaissance par signatures, restent la pierre angulaire de la sécurité des systèmes dans l'immense majorité des entreprises et organisations stratégiques.

Le fossé qui sépare ces protections généralistes et les attaques ultrasophistiquées dont elles sont victimes est abyssal, et continue à se creuser. Pour autant, inutile de s'offenser de l'inefficacité de l'antivirus dans ce genre de contexte. Ces logiciels ne sont pas à blâmer. Ils sont tout simplement conçus pour autre chose, pour un autre type de menace qu'ils adressent par ailleurs très correctement : l'attaque massive à grande échelle, celle dont souffre le particulier et l'entreprise non stratégique.

La question qu'il convient plutôt de se poser est pourquoi des intérêts nationaux géostratégiques se contentent-ils de ces outils généralistes ? Pourquoi, prenant la mesure de la menace, ces organisations ne s'équipent-elles pas d'outils spécialisés ?

Les parades existent car ces outils existent. Se basant généralement sur des analyses bas niveau de l'activité des systèmes d'exploitation, ces logiciels hautement spécialisés permettent de détecter et de bloquer bon nombre d'attaques ciblées. Couplés à des services d'expertise - de vraie expertise sur ce sujet - ils permettent aux entreprises de bloquer mais aussi de comprendre les modes opératoires des attaques afin de faire évoluer les bonnes pratiques internes au fil de l'eau.

En effet, l'éducation des collaborateurs à l'utilisation sûre des outils informatiques est primordiale. Nombre d'attaques pourraient être contrées grâce à la vigilance des utilisateurs : ne pas ouvrir les courriers provenant d'inconnus, éviter les programmes exotiques et mal maintenus, se méfier des messages reçus en doubles etc. L'expérience montre cependant que même les entreprises les plus pointilleuses sur ces aspects ne peuvent, et on le comprend bien, transformer chaque professionnel en un expert de la sécurité.

Quelques exemples  


Les exemples d'attaques ciblées, capables de passer au travers de ces protections généralistes sont nombreux : avant la récente attaque du ministère des Finances, le très suspect Stuxnet visait à rendre inopérante des infrastructures industrielles vitales (majoritairement en Iran). Sa détection par les antivirus ne débuta que lorsque le réseau de machines infectées a pris une ampleur impossible à ignorer.

En 2009, des universitaires canadiens mettent au jour l'opération GhotNet : lancée depuis la Chine, elle aurait infiltré des systèmes stratégiques dans le monde entier, y compris le Pentagone. Plus tôt, en 2007, l'Estonie, alors en plein crise politique avec la Russie, faisait l'expérience douloureuse de la mise en incapacité de ses services publics. On n'ose imaginer le nombre d'attaques passées sous silence... ou non découvertes !

Conclusion

La cybercriminalité bénéficie aujourd'hui de ressources et de moyens importants (humains, organisationnels et financiers). Il est donc du devoir des Etats et des organismes stratégiques de ne pas rester passifs et de faire évoluer en profondeur leur politique de sécurité.

C'est à cette unique condition que ces organisations pourront préserver la confidentialité des données qu'elles détiennent ou se prémunir d'actes de piratage pouvant engendrer de véritables bouleversements politiques ou économiques. 

Autour du même sujet