Évolutions et pratiques sécuritaires : zones de confiance et de confort

« La cyber-guerre entre la Russie et l’Ukraine » et « Target refond en totalité sa sécurité informatique et évince sa DSI » : Quel est le point commun entre ces deux histoires et en quoi cela vous concerne-t-il ? L’excès de confiance des protagonistes.

Si d’ordinaire, je m’abstiens de tenir des propos alarmistes, je m’apprête maintenant à faire le contraire en vous faisant part de mon point de vue concernant deux faits notoires survenus ces mois passés.

 « La cyber-guerre entre la Russie et l’Ukraine » - ignorez l’adjectif « cyber », et nous voilà replongés dans un conflit apparu il y a une centaine d’années. Mais cette guerre de Crimée déclarée par les Russes en 1853, arguant protéger les Russes orthodoxes, n’est pas le vif de notre sujet. Aujourd’hui, ces deux États se sont livrés, notamment, à une cyber-guerre, dont l’objectif était de prendre le contrôle des communications en Crimée. Une cyber-guerre efficace, lancée par des « soldats » experts en la matière, occasionnant des « morts » parmi les serveurs et les PBX.

 

Savez-vous quels sont les moyens mis en place pour protéger ces infrastructures de télécommunication critiques ? Pensez-vous que le contrôle de ces outils de communication vous impacte personnellement ? Dorénavant, il paraît comme nécessaire d’en savoir plus sur le champ d’intervention effectif de ces cyber-armées, que celles-ci soient d’origine russe, chinoise, israélienne, américaine ou autres (plusieurs Etats mettent en place en ce moment même des dispositifs militaires de ce type, ou renforcent les unités existantes). Qui sera la prochaine cible ?
 
« Target refond en totalité sa sécurité informatique et évince sa DSI ». Ce fut l’une des pires attaques informatiques de l’industrie, avec pour victimes principales les clients de la chaîne américaine de magasins, dont les données privées ont été volées pour être revendues par les cybercriminels. Comment imaginer qu’une société comme Target, disposant d’une telle quantité de données privées sur ses clients, ait pu faire preuve d’une telle négligence quant à la sécurité de son système d’information.
 
Un ensemble de facteurs explique cet échec – humain, technologique, comportemental. Force est de constater, une fois de plus, que Target était persuadé d’avoir les technologies de pointe pour protéger son système d’information contre toutes tentatives d’intrusions.
 
Maintenant, vous vous demandez certainement : Quel est le point commun entre ces deux histoires et en quoi cela me concerne-t-il ?... Dans ces deux affaires, l’excès de confiance des protagonistes dans leurs procédés et technologies les a conduits à leur perte. Cet excès de confiance, inconscient ou non, aurait pu être évité s’ils étaient restés attentifs et innovants, deux choses primordiales en matière de sécurité.

Zone de confort

Nous enseignons aux enfants qu’il faut savoir tirer les leçons des erreurs commises par les autres, afin de ne pas les reproduire plus tard. Et nous, appliquons-nous ces bons conseils ? Ne seriez-vous pas dans une zone de confort où vous vous contentez de lire des rapports joliment mis en page, d’acheter une technologie, de la déployer puis de vous féliciter de cette décision et d’avoir une protection efficace ?
 
Vous resterez alors convaincu que votre système de sécurité tiendra les menaces à bonne distance, rassuré par les bons commerciaux et services marketing des sociétés à l’origine de ces systèmes qui vous certifieront que « tout est OK ».

Et un beau jour, stupeur ! Les données de votre entreprise ont été dérobées et les autorités vous annoncent que cela fait des semaines, des mois, et même parfois des années que vos lignes de défense ont été percées par « l’ennemi », sans que vous vous en aperceviez. Vous êtes alors obligé de travailler des semaines pour régler le problème, l’entreprise est discréditée et vous êtes contraint de quitter la société.
 
Lorsque nous devons prendre une décision, en évitant de se tromper, notre choix se tourne vers une marque connue, reconnue et certifiée – À bien y réfléchir, « aucun employé n’a fait l’objet d’un licenciement, car il a acheté une solution Cisco ». Puis, une fois déployée, il semble naturel de garder cette grande marque, sans se poser de questions…
 
Sans oublier que tout changement est difficile, entraînant des interruptions d’activité et des cycles de formation, des coûts, etc. Au fil du temps, on finit par faire le choix de la tranquillité en gardant notre bonne vieille solution, cela nous rassure.

 

Est-ce pour autant la réalité ?

Tout ne vieillit pas forcément bien…

En matière de sécurité, rester sur de vieilles méthodes qui ont fait leurs preuves dans le passé n’est pas une bonne idée. Une collaboratrice me disait qu’une de ses connaissances affirmait ne pas avoir constaté les bénéfices escomptés par la virtualisation, et lorsqu’elle se renseignait auprès de ses compères sur leur choix en termes de sécurité, on lui répondait « toujours la même solution, celle déployée sur nos postes et serveurs physiques car elle est efficace et compatible avec notre console d’administration. »
 
De nos jours, la majorité des éditeurs d’anti-malwares disposent de solutions spécifiques aux environnements virtualisés. Mais que ce passe-t-il lorsque les machines virtuelles arrivent à leur seuil maximal d’utilisation de ressources et que vous vous trouvez dans l’obligation de procéder à leur redémarrage ? Le chargement des moteurs d’analyse peut prendre quelques minutes, ce qui représente un laps de temps suffisant pour qu’un hacker introduise un malware dans le réseau.
 
Vous pensez peut être que ceci est excessif, de l’ordre de la psychose, cependant presque toutes les dernières attaques, par exemple celle visant Target, étaient ciblées et se servaient d’un malware qui exécutait une mise à jour en même temps que d’autres composants. Les pirates auront certainement bénéficié de la présence d’une « bonne vieille solution » pour introduire facilement le malware…
   
Il est temps de se poser les bonnes questions :
 
Est-ce que l’une de vos solutions de sécurité reste inchangée car il serait trop difficile / coûteux / compliqué de la remplacer par une autre ?

Est-ce que les projets (en cours ou à venir) dans votre entreprise pourraient être affectés par une technologie antivirus vieillissante ?

Est-ce que votre solution antivirus vous dit que tout va bien et que vous bénéficiez d’une sécurité à 100 % à chaque instant ?

Vous êtes-vous déjà dit que la solution de sécurité utilisée n’est peut-être pas adaptée aux nouvelles menaces : BYOD, virtualisation, attaques ciblées (Advanced Persistent Threats), etc ?
 
Un seul OUI à l’une de ces questions et le temps est peut-être venu de penser au changement. Cette décision est probablement bien plus profitable que vous ne l’imaginez !