Il ne viendrait à l’idée de personne de remettre en cause l’importance que revêt aujourd’hui le système d’information d’une entreprise dans son activité. Pour autant, combien sont aujourd’hui les responsables informatique et DSI à avoir mis clairement au point un plan de gestion de crise lié à une attaque ou une intrusion ? Trop peu nombreux, de l’avis d’un consultant sécurité et chargé d’affaires au cabinet de conseil qui a insisté sur le manque cruel de considération des entreprises vis-à-vis de leurs infrastructures numériques.
En terme de sécurité, les avancées ne correspondent que très rarement aux progrès technologiques des systèmes d’information d’entreprise. De plus en plus complexes, ces systèmes informatiques ont également la fâcheuse tendance à devenir hétérogènes, alors même que le contrôle sécuritaire arrive souvent avec un train de retard. Pour preuve les mises à jour quasi hebdomadaires des systèmes d’exploitation de Microsoft, qui plusieurs années après leur mise sur le marché souffrent encore de failles importantes. De plus en plus connectée vers l’extérieur (clients, fournisseurs, partenaires et même concurrents), l’entreprise dispose aujourd’hui de nombreuses technologies sans bénéficier d’une maturité sécuritaire à toute épreuve.
Les pirates s’adaptent à leur temps
En 20 ans, les typologies et méthodes d’attaque ont su tirer profit des progrès technologiques incessants. Les outils d’attaque sont aujourd’hui plus automatisés et plus rapides que jamais. De plus en plus sophistiqués, ils sont en mesure de rechercher de manière automatisée les vulnérabilités éventuelles des réseaux informatiques communicants. Ce qui était autrefois réalisé manuellement par les pirates passe aujourd’hui à un niveau industriel, et les logiciels beaucoup plus simples à maîtriser. Pour certains d’entre eux, il n’est même plus nécessaire de disposer de connaissances informatiques très poussées.
Des attaques informatiques de grande envergure
C’est ainsi qu’en octobre dernier, les serveurs DNS chargés de l’attribution des noms de domaine sur Internet ont subi une attaque les paralysant durant 3 heures. Ces paralysies qui ont défrayé les chroniques, sont le résultat de ces nouveaux logiciels capables d’effectuer pour certains des milliers d’attaques ciblées simultanément.
Autre exemple, en septembre 2001, le virus Nimda a réussi à contaminer plusieurs centaines de milliers de systèmes en quelques heures. Ce vers « poly-forme » était en mesure de se propager via 4 vecteurs distincts : une faille de la messagerie Outlook, par petit programme exécutable transmis en pièce jointe, au travers d’Internet (visite d’une page contaminée), et pour finir, sur le réseau interne des entreprises. Ces deux exemples illustrent à quel point il est illusoire d’envisager le « 100% sécurisé ». En considérant la courte histoire de l’informatique, il est certain que les menaces à venir exploiteront les failles qui existent aujourd’hui dans tous les systèmes d’information, même si elles ne sont pas encore connues. Si bien qu’au long de sa vie, il est très probable que n’importe quelle entreprise informatisée aura à subir une attaque de type virus ou tentative d’intrusion.
La prévention passe par une meilleure connaissance de son système
Malheureusement pour les entreprises, leurs méconnaissances et leurs faibles moyens font le bonheur des pirates de toutes sortes, externes (malveillance, espionnage, sabotage, etc.) comme internes (erreurs, détournements, etc.).
Un exemple : peu nombreux sont aujourd’hui les responsables informatiques à disposer d’une connaissance précise en temps réels des flux d’informations qui circulent au sein de leur entreprise. Cette donnée est pourtant stratégique en termes de sécurité. Une augmentation sensible du trafic, entrant comme sortant, peut en effet révéler une anomalie. Le contrôle des postes de travail est lui aussi primordial. L’accès répété à certaines informations ou certains logiciels peut sous-entendre une malveillance de la part d’un salarié. Et si l’entreprise ne dispose d’aucun moyen d’identifier de tels actes, elle n’aura même pas la possibilité de s’en apercevoir. Il est indispensable de bien savoir gérer les habilitations de ses salariés, en maintenant dans le temps une politique d’administration ferme et juste. Nous préconisons dans ce cadre l’adoption d’une politique dite du « moindre privilège », qui octroie des droits correspondants parfaitement à des besoins prédéfinis. Si un besoin ponctuel arrive, il faudra veiller à créer un privilège limité dans le temps. A défaut de quoi, au fil des années, chaque salarié pourrait être libre de faire ce dont il a envie dans le système d’information.
Préparer une gestion de crise informatique
Malgré toutes ces précautions, de nombreuses entreprises feront les frais d’une attaque à un moment donné de leur existence, le hasard (ou une volonté malveillante), voulant que ce type de menace intervienne toujours au moment le moins opportun.
Chaque entreprise courant des risques liés à son système d’information, doit se préparer à ce type de crise. Il convient d’identifier avec une grande précision les enjeux liés à la sécurité et notamment ceux qui pourraient nuire à l’activité. Quels sont les risques, quel scénario de gestion de crise faut-il préférer pour y répondre ? Ce scénario doit permettre une hiérarchisation des actions à entreprendre. Le système d’information est-il à ce point sensible qu’il faille prévoir un plan de reprise des activités ? Quelles sont les informations à recouvrer en priorité en cas de défaillance ? A cela s’ajoutent la nomination des responsables et leurs fonctions dans la gestion de crise.
Le « qui est qui ? » de la sécurité
Cette nomination est très importante tant le facteur humain prédomine dans ce genre de mésaventure. Au-delà des responsables informatiques, un représentant de la direction de la communication sera en effet à même de communiquer vers les clients, actionnaires ou même concurrents, si l’activité devait s’interrompre. Un chargé des ressources humaines pourra prendre des mesures immédiates à l’encontre d’un salarié malveillant, comme un représentant juridique pourrait aider l’entreprise à envisager rapidement des poursuites contre l’attaquant. Ces postes prédéfinis devront également être chapotés par un directeur de crise, les responsables de la sécurité ainsi que des experts techniques si besoin est.
Dernier poste d’importance, celui de rédacteur du « journal de crise » . Cette dernière fonction doit faire l’objet d’une attention toute particulière. Lorsqu’un incident frappe l’entreprise, il est très important de noter chaque action dans ce journal de crise. C’est pour nous le seul et unique moyen donné aux entreprises pour apprendre d’une telle expérience et surtout pour reconsidérer, à froid et une fois l’orage passé, les procédures et les éventuels changements à y apporter. Ce journal peut en outre se révéler un bien précieux lors d’éventuelles poursuites judiciaires.
Accroître la lisibilité des incidents grâce à « l’observabilité »
Un incident de sécurité est dit observable à un instant donné, s’il est possible de détecter son occurrence à l’aide d’un capteur technique ou humain. Sa détection dépend de plusieurs facteurs :
- Le déploiement correct de la politique de sécurité dans les composants techniques,
- l’identification d’une situation stable définie comme « référence »,
- l’activation et le paramétrage, en accord avec la politique de sécurité, de la fonction d’audit dans les composants techniques,
- le nombre suffisant, l’emplacement et l’efficacité des capteurs,
- l’analyse régulière et la corrélation des traces de sécurité par du personnel formé et compétent,
- la mise en place d’un réseau d’alerte et de veille sécuritaire,
- la sensibilisation de l’ensemble du personnel à la sécurité du système d’information (les informer, les habituer à faire remonter les alertes).