En savoir plus

Dossier Virus

Le site

Exosec

Il existe un certains nombre d'outils - des antispywares ou des solutions antiphishing - directement intégrés au navigateur ou sous forme de plug-in. Ceci dit, il est très difficile de se protéger contre une attaque dont les mécanismes s'opèrent au niveau même du navigateur, comme dans le cas très récent du CIC, après une contamination par un virus.

Au niveau de l'entreprise elle-même, et non plus uniquement de l'utilisateur, il doit s'agir de solutions stratégiques qui doivent éventuellement être prises en charge par le RSSI, le responsable sécurité des systèmes d'information.

Quid de la veille ?
Une autre solution possible est effectivement de réaliser une veille permanente, un peu à la manière de ce qui s'est récemment fait concernant le spam, au travers de l'initiative Signal Spam (lire l'article "Lutter contre le Spam" du 21/07/2006). C'est donc ici un travail au niveau de la communauté.

Les banques, voire les entreprises en général, peuvent éventuellement recourir aux services de sociétés spécialisées qui vont, pour leur compte, effectuer une veille. Je pense notamment à HSC ou encore à Lexsi.

Passer d'une problématique individuelle à une démarche globale"

Mais des acteurs généralistes disposant d'outils de veille concurrentielle pourraient également envisager d'adapter leurs applications pour répondre à ce type de problématiques de sécurité. C'est tout à fait envisageable, dans le but de proposer des services de manière permanente.

De quelle nature serait cette veille et quels seraient ses objectifs ?
Ces menaces sont connues pour passer entre les mailles du filet. Il n'y a pas véritablement de mode de supervision ou de surveillance global. On peut essayer de mailler autant qu'il est possible pour agir et réagir dans les délais les plus brefs.

Je pense, entre autres, sous forme d'analogie, aux initiatives autour des catastrophes naturelles, comme le système de veille sismique par exemple. On passe alors dans une problématique globale et non plus individuelle. Les problèmes de fond doivent être abordés au plus haut niveau, sur un plan stratégique.

Cette veille permettrait d'être mieux organisé et de faire preuve de plus de réactivité. C'est donc bien plus du réactif que de la prévention. La finalité étant de limiter les dégâts. Comme pour Signal Spam, il s'agit d'utiliser la bonne volonté de tout un chacun pour signaler les abus. Un organisme va centraliser ces informations, les vérifier, les agréger et diffuser l'information pour la partager avec la communauté.

Ce serait une initiative intéressante pour permettre aux banques d'accroitre leur réactivité. En disposant d'une interface de détection, de monitoring, elles réduiraient leur délai de réponse sans avoir à mettre en place des systèmes de blocage contraignants à la fois pour leurs clients et pour elles.

De quelles solutions disposent les banques pour se protéger et protéger leurs clients ?

L'accroissement de la sécurité conduit souvent à l'augmentation des contraintes"

Elles disposent déjà d'outils de sécurité, des parades classiques afin de contrôler et détecter les intrusions. Mais ce n'est pas nécessairement simple de protéger une infrastructure bancaire.

On peut toujours maximiser la protection, mais il ne faut pas oublier que l'accroissement de la sécurité conduit souvent aussi à l'augmentation des contraintes. Les banques sont donc partagées entre renforcer la sécurité et ne pas rendre trop complexe l'utilisation des services par leurs clients.

De plus, le risque ne leur paraît probablement pas encore assez élevé pour justifier des contraintes supplémentaires. Elles ont un seuil à ne pas dépasser et ce, sans considérer l'aspect financier d'éventuelles mesures de protection. La question de la rentabilité se pose toujours bien évidemment.

J'ai le sentiment qu'on attend que les choses prennent plus d'ampleur, que l'impact devienne plus sérieux pour réagir plus en profondeur. Les dégâts restent encore limités. Certes, elles ont renforcé l'authentification, mais cela n'empêche pas la faute de l'utilisateur ou son manque de vigilance.

Il y aura toujours, quelle que soit la solution adoptée, des failles et des attaques. Les moyens de récupérer les données évoluent eux aussi.

Les banques, comme la Barclays, ne pourraient-elles pas fournir à leurs clients des antivirus ?

Fournir aux clients un antivirus est plus une opération marketing qu'une vraie mesure de protection"

Pourquoi pas, sous la forme d'un service supplémentaire, mais cela me semble bien plus être une opération marketing, qu'une vraie mesure de protection. Les clients n'en seront pas nécessairement sécurisés. Combien d'entre eux l'installeraient ou effectueraient les mises à jour ?

L'impact sur le niveau de risque ne serait probablement pas nul pour autant. Toutefois, quasiment tous les ordinateurs sont déjà équipés d'un antivirus désormais. Ils n'assurent pas pour autant une protection absolue. Loin de là.

Les éditeurs d'applications de sécurité pourraient-ils contribuer à la sensibilisation des utilisateurs ?
Les éditeurs informent les utilisateurs sur l'utilisation des outils de manière générale, plus qu'ils ne les sensibilisent à la sécurité. Ils sont bien entendu dans une logique business et se focalisent donc plus sur la vente que sur la formation. Alors, bien sûr, cela ne les empêche pas également de proposer des services de sensibilisation.

Les éditeurs éduquent avant tout sur la somme des fonctionnalités, sur les menaces contre lesquelles l'application est censée les protéger. L'idée étant de rendre l'utilisation toujours plus simple. La sensibilisation doit provenir de sites indépendants, qui vont montrer les types d'attaques et expliquer comment s'en protéger.

Mais l'aspect technologique ne peut couvrir tous les cas de figure. Il reste toujours un individu capable de cliquer sur un lien menant à un faux site de banque en ligne par exemple.

En savoir plus

Dossier Virus

Le site

Exosec

Il faudrait expliquer que les solutions ne couvrent pas tous les risques. On rend en fait les choses tellement simples et transparentes pour l'utilisateur que ce dernier n'a pas nécessairement conscience des menaces.