Sécurité du système d’information : encore un centre de coût ?

On constate une cyber-intrusion toutes les 5 minutes et 67 % des entreprises ne peuvent bloquer une attaque ciblée. Malgré cela la DSI n'accorde qu’une faible importance à la sécurité.

L’Homme ne peut se passer de nuire à autrui de quelque façon que ce soit. Et comme pour toute nuisance, il existe à postériori des solutions capables de les stopper. Dans le domaine informatique, des outils permettent de se protéger et d’être alerté des menaces. Encore faut-il disposer des bonnes solutions et surtout investir suffisamment pour s’en prémunir.

Frédéric Tiratay, Consultant Sécurité Réseaux, Nomios

 

Il y a encore quelques années, le SI s’apparentait surtout à une infrastructure capable d’assurer un service avec un minimum de protection. En 2000, on en était encore au simple Firewall dans la plupart des sociétés. Le répartiteur de charge applicatif était au centre de tous les investissements afin d’optimiser les performances et rendre disponibles les applications 24h/24. La sécurité se cantonnait à l’utilisation de Firewalls avec lesquels on se sentait protégé car seuls les ports 80 (http), 25 (smtp), 443 (https), 53 (dns) et 21 (ftp) étaient ouverts.

Depuis, la technologie a énormément progressé et de nombreuses nouvelles menaces sont apparues pour contourner les mécanismes de protection simple. Parmi ces menaces, on retrouve notamment celles du top 10 de l’OWASP (Open Web Application Security Project) comme le SQL Injection, le XSS (Cross Site Scripting), le Forceful Browsing et bien d’autres encore. Toutes ces attaques exploitent des vulnérabilités connues des systèmes et des applications que les entreprises utilisent. Depuis 2006, près de 75 % des attaques sur Internet sont applicatives et utilisent des failles de sécurité. Le SI a alors évolué avec la mise en place de couches de protection IPS puis WAF mais celles-ci ne couvrent pas toutes les menaces.
Par défaut pour se prémunir de quelque chose, il faut que ces menaces existent. En partant de cette affirmation, on se rend compte rapidement que le hacker aura toujours une longueur d’avance sur les mécanismes de sécurité. Actuellement, on constate une cyber-intrusion toutes les 5 minutes et 67 % des entreprises ne peuvent bloquer une attaque ciblée.

Malgré cela, encore aujourd’hui, l’accent au sein du SI est essentiellement donné à la performance et à la disponibilité, ne laissant qu’une faible importance à la sécurité. Pourquoi ? Tout simplement parce que nous sommes dans un monde de consommation où l’objectif est de faire du profit. Il n’est donc, dans l’esprit de nombreuses personnes, pas nécessaire d’investir dans la sécurité mais plutôt dans des outils permettant de gagner du temps. Ceci est une très grave erreur car c’est à la fois la réputation de l’entreprise est en jeu mais également les informations qu’elle conserve (et notamment les informations personnelles qui concernent les utilisateurs).

Il est temps de penser « sécurité » lorsqu’un nouveau projet est développé au sein du SI

Depuis les années 2010, une nouvelle technologie est apparue sur le marché pour prévenir au maximum ces nouvelles menaces que l’on connait communément sous le terme d’APT (Advanced Persistent Threat). Mais celles-ci ne sont pas les seules à faire des dégâts, d’autres ont été découvertes et rendues publiques récemment comme Red October (attaque mondiale de cyber-espionnage basée sur le vol d’informations qui sévit depuis plus de 5 ans), Stuxnet ou encore MiniDuke (attaque mondiale de cyber-espionnage utilisant Twitter). Ces menaces de « nouvelle génération » posent de vrais problèmes en terme d’image et de réputation aux entreprises et surtout des problèmes de fuite de données.

Quelques exemples de vols de données qui auraient pu être évités en investissant quelques centaines de milliers d’euros dans la sécurité

En avril 2011, le piratage du Playstation Network de Sony a eu un impact énorme sur l’image de la société avec une perte de données pour plus de 77 millions d’utilisateurs (informations bancaires et personnelles). Celle-ci a engendré plusieurs milliards de dollars de pertes et un grand nombre d’actions en justice a été engagé contre Sony. La firme japonaise a du dédommager de nombreux utilisateurs, ce qui a encore accru la perte financière suite à cette attaque.

Pour LinkedIn, une faille de sécurité a permis aux hackers de dérober des millions de mot de passe utilisateurs. L’image de marque du site de réseau social professionnel en a pris un coup. Encore une fois la sécurité de cryptage des mots de passe a été montrée du doigt. La protection des données n’était pas assez sécurisée.
Le New York Times, le Wall Street Journal ou encore CNN ont été victimes également de piratage où les identifiants et mots de passe de journalistes ont été dérobés par des espions chinois. Là encore, l’image est ternie.

La société RSA a elle aussi été victime d’attaques de type APT qui ont permis à ses détracteurs de dérober un grand nombre de données sensibles (notamment des produits d’authentification SecurID) grâce à une variante de Poison Ivy RAT.

On pourrait encore citer Bercy (victime également d’une APT) et pleins d’autres mais ce qu’il faut surtout retenir, ce sont les conséquences de ces attaques. La réputation et la crédibilité de toutes ses sociétés, qui n’avaient pas suffisamment investi dans la sécurité de leur SI, ont été fortement impactées avec des pertes financières record et une image ternie.

Pourtant des solutions de sécurité évoluées existent

Des éditeurs se sont spécialisés sur la protection face à ce type de menaces. Parmi les solutions, les plus pertinentes aujourd’hui permettent d’analyser les requêtes à destination des machines au sein du SI (que ce soient des serveurs ou des postes clients) afin d’analyser leur contenu et leur comportement. Si le comportement ou le contenu est suspect, la solution se charge de simuler ces requêtes en sandbox* pour en définir le niveau de gravité et les bloquer le cas échéant. Il est alors possible, grâce à ces solutions, de repérer notamment des communications C&C (Command and control), des 0-Day, des exfiltrations de données, etc. D’autres solutions permettent de sécuriser les accès aux données en gérant les permissions ou encore en donnant une visibilité sur l’infrastructure. Des technologies permettent également de protéger les bases de données en bloquant les accès non autorisés par exemple.
Un grand nombre d’outils de sécurité existe et qui, combinés, doivent permettre d’assurer une sécurité à plus de 95 % de l’infrastructure d’une entreprise. Le risque zéro n’existe pas (comme dans tous les domaines) mais il est possible de s’en approcher. Pourquoi faire une économie de quelques centaines de milliers d’euros lorsqu’un défaut de sécurité peut coûter des millions voire des milliards ? 

En tant que responsables de la sécurité du système d’information, il est du devoir des RSSI de mettre en place toutes les structures nécessaires à la protection de leur infrastructure, en réussissant notamment à convaincre les décideurs du bien-fondé d’investir dans ces nouveaux outils de protection, ce qui n’est pas une mince affaire en ces temps de crise. Et même si de nombreux progrès ont été effectués ces cinq dernières années, il reste encore beaucoup de chemin à parcourir.

* sandbox : Environnement virtualisé, isolé et sécurisé simulant les ressources en production afin d’identifier les impacts potentiels de tel ou tel événement.

Autour du même sujet