La sécurité est un terme que l'on entend souvent en ce moment, pourtant derrière ce simple mot se cachent beaucoup d'aspects.

Cet article contient de nombreux liens de sources ou de définitions de certains termes, n'hésitez pas à cliquer sur ces derniers.

LinkedIn, WhatsApp, iCloud, Renault : Le point commun entre ces entreprises ? Elles ont toutes été victimes à un moment ou un autre d'une compromission de leur système d'information.

Que ce soit un détournement de l'application, avec WhatsApp qui permettait d'espionner ses utilisateurs, un accès aux fichiers, avec iCloud, des compromissions de comptes avec LinkedIn, ou encore une attaque par Ransomware pour Renault, toutes ces entreprises ont du faire face à des attaques. Bien que les impacts ne soient pas forcément les mêmes, l'image en prend toujours un coup.

Ce qui est intéressant est de voir qu'aucune entreprise n'est épargnée, y compris les entreprises avec une DSI conséquente qu'on pourrait croire too big to fall. C'est même plutôt l'inverse, elles rassemblent un amas d'informations qui permettent à un pirate de repartir souvent en ayant marqué l'histoire numérique (et en se remplissant potentiellement les poches au passage).

Ces derniers jours, ZombieLoad a marqué le paysage numérique avec une nouvelle attaque pouvant toucher les ordinateurs comme les serveurs.

Un aspect mis de côté dans la conception ?

Les modèle de développement d'applications veulent que l'on face aujourd'hui du security by design, ce qui signifie de manière simple de prendre en compte la composante sécurité dès les ébauches de l'application. Cela implique que l'architecture, le développement, les frameworks choisis doivent respecter ces règles.

Malheureusement, bien souvent, la priorité est de sortir le plus rapidement possible la nouvelle feature à la mode, au détriment de la sécurité, qui est souvent vu comme un frein.

Pourtant certaines bonnes pratiques de sécurité existent, je pense notamment au top 10 de l'OWASP qui est vu comme un référentiel de base dans ce domaine et qui définit des schémas d'attaques de base avec les solutions possibles pour les éviter.

De même, au niveau de l'infrastructure, un certain nombres de règles existent, il faut garder en tête qu'aujourd'hui, une machine exposée sur Internet à une durée de vie de moins de 5 minutes.

Le défi de la sécurité dans une DSI

Pourquoi est-ce si difficile de sécuriser son système d'information ?

Tout simplement car la sécurité est l'affaire de tous et demande une sensibilité qui doit être travaillée régulièrement.

Pour ma part, je considère que je suis assez sensible aux aspects de sécurité, cependant, cela demande de l'investissement, c'est à dire suivre des sites dédiés à ce domaine, naviguer régulièrement sur le darknet pour voir un peu les derniers leaks en date, tester des failles sur un environnement sandboxé, et même ainsi, je suis très loin d'être un expert en cybersécurité.

A l'image de l'informatique, l'univers de la sécurité est en constante évolution, en constante mutation et s'adapte aux nouveaux modes de fonctionnement, aux nouvelles solutions de sécurité. Par exemple, les fournisseurs de messagerie scannent les mails pour détecter les potentiels tentatives de phising, les pirates passent donc maintenant par des images, pour rendre ces scans bien moins simples. Les tokens MFA rendent les vols d'identifiants plus compliqués, pas de soucis, on fait du man in the middle pour intercepter ces derniers.

Le plus simple est de travailler avec des professionnels du domaine au sein de son entreprise. Petit problème, avec les multiples attaques quotidiennes sur n'importe quelle application, les personnes formées à la sécurité ne sont pas si nombreuses par rapport à la demande qui explose littéralement en face. Pour des entreprises de plus petites tailles, le TJM d'un expert en sécurité peut aussi être un frein.

Le loup dans la bergerie : Le personnel

Si sécuriser son SI s'arrêtait à la DSI, cela serait simple.

Malheureusement, il ne faut pas croire que les attaques ne viennent que de l'extérieur. En effet, elle peut aussi venir des employés de l'entreprise :

Comment faire pour limiter ces vecteurs d'expositions ?

Sensibiliser ses utilisateurs

Tout d'abord la prévention, sensibiliser les utilisateurs, les avertir lorsque des menaces majeures émergent pour qu'ils soient plus attentif. Leur apprendre les bons réflexes à avoir, par exemple en cas de mail suspect, se rapprocher du service informatique.

Néanmoins, apprendre à des utilisateurs dont ce n'est pas le métier savoir comment réagir n'est pas forcément aisé. De par mon passé, j'ai connu des personnes qui ne savaient pas par exemple qu'un mail d'entreprise n'était pas prévu pour envoyer des pièces jointes de plusieurs Go car il ne comprenaient pas ce que cela représentait, alors leur demander de penser "sécurité" n'est pas forcément simple, même si un collaborateur averti sera sans doute plus suspicieux.

Attention toutefois, vouloir trop insister sur les communications sécurité va provoquer l'effet inverse et l'information sera vite considérée comme non pertinente et ... ignorée.

S'équiper en conséquence

Les outils pour sécuriser son infrastructure interne ne manquent pas, firewall, proxies, antivirus, antimalware, et autre éléments physiques de sécurité.

Mais s'équiper ne signifie pas que du scan et blocage.

Cela passe aussi par une étape trop souvent ignorée, l'audit des permissions au sein de son SI. En effet, dans une entreprise, il peut y avoir des mouvements internes, des départs, des arrivées, il est donc sain de contrôler régulièrement que les utilisateurs ont accès à ce dont il besoin et uniquement à ce dont ils ont besoin, de vérifier que la personne parti hier à bien eu ses accès de révoqués etc...

J'ajoute un point sur les antivirus, utiliser un antivirus se basant sur des signatures est aujourd'hui insuffisant. En effet, les virus et malwares modernes savent berner facilement ces analyses, aujourd'hui, il est nécessaire de passer à des analyses heuristiques, le but de ces derniers n'est plus de détecter la signature d'un logiciel malveillant, mais plutôt d'identifier un comportement anormal.

Prévenir le hacking social (social engineering)

De plus en plus en vogue ces dernières années, le hacking social consiste à obtenir des informations de manière détournée, soit en connaissant certaines informations personnelles sur la cible, comme le prénom de ses enfants, pour tenter d'accéder à des données sécurisées. Un exemple assez ... édifiant ci dessous, où il ne faudra que quelques minutes à un hacker d'obtenir les informations personnelles sur le compte du fournisseur téléphonique de la cible en ayant à peine quelques informations, à savoir le numéro de téléphone et le nom de la femme de la cible.

Encore une fois, le hacking social se prévient, et cela passe aussi par la mise en place de procédures strictes pour les opérations sensibles, comme un changement de mot de passe. Néanmoins, je trouve cette variante bien plus compliquée à prévenir vu que le vecteur d'attaque peut être plus discret et imprévisible, dans le sens où la personne peut sembler de bonne foi (comme dans cette vidéo) alors que ce n'est absolument pas le cas.

En conclusion

Je conclurais ce billet en rappelant donc les points suivants :

  • La sécurité est l'affaire de tous, il est naïf de penser que seule l'IT est responsable de ce point
  • Sensibiliser les utilisateurs, techniques ou non, est indispensable
  • Une attaque ne vient pas forcément de l'extérieur de l'entreprise

Je rajoute aussi en annexe de cet articles quelques liens utiles :