Les menaces persistantes avancées décryptées par les experts Thierry Jardin (Logica Business Consulting) : "APT: la lutte doit s'organiser autour de la gouvernance et les process d'entreprise"

thierry jardin, associé en charge des activités sécurité et gestion des risques
Thierry Jardin, Associé en charge des activités sécurité et gestion des risques chez Logica Business Consulting © Logica

La confusion règne concernant les attaques de type Advanced Permanent Threat (APT). Est-ce une nouvelle forme de menace ? Il convient de rappeler préalablement que le risque de manière générique est la résultante d'une menace exploitant une vulnérabilité pesant sur un actif.

Les "APT" sont en constante évolution et les attaques d'hier ne préjugent en rien des attaques de demain. Il convient donc de savoir si le meilleur moyen pour limiter ce risque n'est pas de travailler prioritairement sur les vulnérabilités et la protection des actifs plutôt que de se focaliser uniquement sur la menace.

 

La prolifération des vulnérabilités

 

Les vulnérabilités sont aujourd'hui légions avec la fusion des environnements privés et professionnels et l'avènement de la mobilité (PC, smartphone, tablette).

L'interconnexion des systèmes de traitement n'est qu'un facteur permettant de rendre plus furtif les attaques et d'augmenter leurs probabilités de survenance. La mise à jour automatiques des systèmes devrait réduire considérablement ces risques, à condition qu'elle soit bien réalisée de façon systématique, ce qui n'est toujours pas le cas. Aussi, deux faiblesses majeures demeurent, et elles permettent à la menace APT de perdurer.

 

Des organisations défaillantes

 

La gestion des accès et des habilitations sont défaillants dans les organisations. Que ce soit pour la gestion des comptes systèmes et pour les habilitations applicatives. Le traitement de ces vulnérabilités requiert une et la mise en œuvre de processus contrôlés. Les multiples réorganisations dans les entreprises ont fortement fragilisé les systèmes d'habilitations en place, au point qu'il est aujourd'hui presque impossible de disponibles pour ses utilisateurs.

 

Par ailleurs le "social engineering" fonctionne sans problème pour récupérer des mots de passe et des accès. Après analyse de certains processus de Helpdesk, il n'est pas surprenant de voir que des utilisateurs communiquent si facilement leurs mots de passe sachant que cela est exigé par des procédures internes pour la réalisation d'opérations de maintenance. Les programmes de sensibilisation étant insuffisants, nous sommes en présence d'acteurs, cibles potentiels, pour relayer ce type d'attaque.


Une protection graduelle et organisée des informations

 

Partant du principe que tous les actifs informationnels n'ont pas tous la même valeur et qu'il est impossible de garantir une protection intégrale des données dans un système d'information ouvert, il conviendrait de classifier préalablement ces informations au niveau stratégique, comme le recommande le projet de loi relatif à la protection des données économiques.

 

Cela assure une protection adaptée dans le cadre, par exemple, d'un espace collaboratif sécurisé. Certaines industries ont déjà initiées des projets comme BoostAero pour le monde de l'aéronautique, mais ce type d'initiative demeure exceptionnel.

 

"l'APT n'est pas une nouvelle menace technologique"

Les polices tentent de résoudre l'équation

 

Enfin nous avons la question de l'identification de signaux faibles prélude à une attaque ciblée et plus massive. Au niveau gouvernemental, les polices françaises et britanniques tentent de résoudre l'équation que constitue la complexité de ces attaques avec la recherche des coupables par la mise en place d'outils de type Detica.

 

Ils permettent de faire de la corrélation sur des données structurées provenant de logs ou de données non structurées librement disponibles sur Internet. Aujourd'hui ce type d'outillage est encore méconnu des entreprises et souvent dans le cas d'une attaque de type APT, les entreprises sont dans l'impossibilité de reconstituer le mécanisme de l'attaque par défaut de trace disponible.

 

L'APT n'est pas une nouvelle menace technologique mais bien la reformulation de problèmes récurrents résultant d'une évolution de la menace avec l'arrivée des nouveaux usages liés à Internet. Si la présentation qui en est faite reste exclusivement technique, il sera toujours plus logique d'investir sur de nouveaux dispositifs plutôt que de travailler sur la gouvernance et certains processus clefs afin de réduire ce type de menace.

 

Nous continuerons dans ce cas à voir fleurir de nouveaux concepts avec la même rhétorique de la part des éditeurs afin de dynamiser le marché de la sécurité sans que les fondations du problème soient réellement abordées.

Virus / Pirate