Récemment, d’importantes entreprises et administrations ont subi des attaques et se sont fait voler leurs bases de données clients. En y regardant de plus près, en allant au-delà des gros titres, deux inquiétudes ont surgi…
Par Jeff Schmidt, Global Head Business Continuity, Sécurity & Governance, BT Global Services
La première concerne la façon dont les entreprises ont bâti leur défense, l’autre concerne leurs réactions lorsqu’elles sont touchées par une catastrophe. Les entreprises adoptent souvent une approche globale pour sécuriser l’information. Certaines tentent de se protéger contre toutes les menaces imaginables, ce qui peut entraîner d’importantes dépenses. D’autres protègent tant bien que mal tout ce qu’elles peuvent se permettre, en espérant et priant pour garder à distance les attaquants. Dans le monde physique, la plupart des organisations choisissent une approche très différente. Prenons l’exemple des banques. La nuit, les banques ferment leurs portes à clef. Elles équipent leurs fenêtres de barreaux et activent des alarmes. Les vigiles veillent à la sécurité des locaux en utilisant généralement des caméras de vidéosurveillance. En revanche, la journée, les banques laissent leurs portes ouvertes. Le public accède ainsi librement au hall d’accueil tout en étant constamment surveillé par l’oeil vigilant des vigiles et/ou des caméras de vidéosurveillance. Le guichet correspond ensuite à la deuxième défense des banques. Cet espace sépare les caissiers du public. Une telle distance de sécurité limite l’accès du public aux ordinateurs, aux espèces et aux données personnelles des clients. Enfin, une dernière barrière de sécurité, plus difficile à atteindre, limite l’accès aux coffres-forts, aux chambres fortes et plus généralement aux zones où sont conservés les biens de valeur.
Les banques, en cherchant à faire correspondre leurs investissements en sécurité physique avec des facteurs tels que la valeur des biens et les niveaux de risque, trouvent des mesures à la fois plus percutantes et financièrement plus appropriées.
La même approche peut être appliquée à la protection des actifs numériques. La première étape consiste donc à définir ce que l’on appelle « le goût du risque ». Quel risque est-on prêt à prendre, pour chacune des opérations, allant des interfaces clients et fournisseurs aux « sanctuaires internes » contenant les actifs les plus précieux ? C’est seulement après avoir répondu à cette question que l’on peut commencer à réfléchir à la mise en place de nouvelles défenses mais également aux mesures qui permettent de renforcer la politique de sécurité définie.
Une fois cette étape réalisée, il est nécessaire de vérifier la nouvelle stratégie en termes de sécurité. Les tests d’intrusion sont des outils permettant de révéler les vulnérabilités telles que les correctifs manquants et l’utilisation de mots de passe trop simples, mais ces tests n’identifient pas les pirates informatiques. Et ces pirates ne faciliteront pas la tâche. Ils ne téléphoneront pas au service informatique en se faisant passer pour un utilisateur lambda ayant oublié son mot de passe et demandant de l’aide pour se reconnecter. D’autre part, il ne faut pas forcément croire les fournisseurs qui prétendent que leurs produits sont les plus efficaces pour dénicher les hackers. Ce n’est que lorsque l’on pense comme un pirate informatique que l’on est en mesure de configurer des outils à même d’identifier les points faibles de la protection. Ainsi, pour toutes ces raisons, il est plus judicieux d’embaucher des « hackers éthiques » – autrement dit qui pensent et agissent comme des hackers, ont accès aux mêmes outils dernier cri qu’eux mais qui se contentent de signaler les failles qu’ils découvrent.
Mais cela ne suffit pas, bien sûr. La cyber-sécurité ressemble à une partie d’échec. Chaque fois que les adversaires avancent d’un pas, il faut les bloquer. Néanmoins, même les grands maîtres ne gagnent pas à tous les coups. Et parfois, une attaque peut passer à travers votre système de défense.
Et dans ce cas, quelle est la bonne stratégie ?
Les heures qui suivent la découverte d’une faille sont particulièrement critiques. La façon dont on réagit fera toute la différence. Les répercussions se sentiront dans les coûts engagés mais également dans les relations publiques qui seront misent à mal. Il est donc important de disposer d’un plan de gestion de crise expliquant clairement le rôle de chacun et plus précisément la conduite à tenir pour communiquer auprès des clients, des médias et des autres parties prenantes. Dans un tel contexte et par expérience, nous savons que la transparence est la meilleure stratégie à adopter. En effet, les tentatives pour minimiser les problèmes et leur impact ne font qu’empirer les choses.
Enfin, quelques mots sur la surveillance.
Des serrures et leurs équivalents logiciel (firewalls) sont plus que nécessaires, mais pourtant pas infaillibles. Quiconque découvre les clés, peut pénétrer le système. Ainsi, les organisations comme les banques ont décidé d’installer des caméras de vidéosurveillance à l’intérieur des espaces protégés pour garder un oeil sur les personnes présentes à l’intérieur de la banque.
Toutefois, les caméras ne sont efficaces que si les personnes qui les exploitent le sont. La sécurité ne sera pas optimale même si vous postez des gardes à tous les étages, les images ne pouvant pas être vérifiées à chaque instant (excepté si au moins deux d’entre eux sont en service 24 heures sur 24). De fait, les caméras sont généralement gérées par des prestataires spécialisés issus d’unités centrales de contrôle pouvant s’appuyer sur des équipes plus nombreuses.
La défense logique est confrontée aux mêmes problématiques. Les « caméras » sont des systèmes de détection des intrusions autrement dit des outils de surveillance des réseaux et systèmes informatiques qui signalent toutes les activités suspectes. Dans ce contexte, les organisations ont également besoin de salariés qui puissent vérifier le contenu issu de la restitution des images. Aussi, les organisations se tournent souvent vers ces prestataires spécialisés qui garantissent la protection de leurs biens 24x7x365.
En résumé, ma recette pour ne pas se retrouver à faire les gros titres des journaux :
– Observer et étudier attentivement son organisation,
– S’assurer que l’on applique les bonnes défenses au bon moment et au bon endroit. Etre prêt à se protéger mais également à réagir en cas d’attaque réussie,
– Vérifier constamment que la protection est à jour et efficace, et embaucher un salarié pour surveiller le système de défense depuis l’intérieur,
– Enfin, ne jamais baisser sa garde et conserver tout à jour en permanence