Depuis des années, le monde de la sécurité s’est servi de deux images pour modéliser ses différentes approches. La première c’est celle du château-fort impénétrable, disposant d’un seul point d’entrée protégé (pare-feu) mais dans lequel le réseau interne était libre et non cloisonné. Mais avec la transformation numérique qui exige une ouverture du SI comme élément déterminant de la transformation numérique, l’image du château fort a peu à peu laissé place à celle de l’aéroport. Doté d’un hall où les informations circulent (internet, applications), mais également de zones sécurisées (authentification forte) ce modèle protégeait les actifs critiques. Aujourd’hui, ce dernier modèle est amené à encore évoluer puisque le SI va encore changer avec le cloud ou la multiplication des fournisseurs externes. C’est pourquoi, les directions doivent comprendre qu’il est nécessaire d’avoir une approche en profondeur de la sécurité.
Il est donc primordial que la vision de la sécurité « ne s’arrête pas à une base client ou à une application » comme le souligne Julien, Consultant senior Sécurité. Entretien.
Selon la dernière enquête de l’ECIIA (Confédération européenne des instituts d’audit interne), le coût des dommages causés par des attaques devrait doubler entre 2015 et 2021 pour atteindre 6000 milliards de dollars. A quel type d’attaque sont confrontées aujourd’hui les entreprises ?
Les entreprises sont confrontées à deux catégories d’attaque. La première, c’est celle des automates dont la mission est d’aller détecter les vulnérabilités sur un large panel de systèmes. Les actions sont lancées sur de grands volumes et ne ciblent pas en particulier une organisation. On appelle cela un acte générique. La seconde catégorie est quant à elle, une action ciblée qui va toucher une activité en particulier. Par exemple, on pourrait imaginer une attaque contre Uber dont le but serait de voler les données bancaires de ses clients.
Du coup, quel est donc l’enjeu principal pour une organisation ?
L’enjeu principal et commun à toute organisation depuis toujours c’est la protection des asset, c’est à dire les actifs vitaux. Aujourd’hui, protéger ces asset devient complexe car on est passé de systèmes simples à des systèmes déployés dans le cloud. Et la question qui se pose actuellement est comment maîtrise-t-on un système d’information qui n’est plus forcément en interne mais éclaté en plein d’endroits différents et géré par des sous-traitants ?
Le RGPD, un allié sur le volet sécurité ?
Concernant le contexte réglementaire et donc le GDPR, le règlement exige simplement, si je peux me permettre, de protéger les données à caractère personnel (DCP) d’un individu. Ce n’est donc qu’une petite partie de la sécurité d’autant que toutes les organisations ne traitent pas de la DCP. Pour une société qui fait du commerce, évidemment la partie DCP est critique mais à l’inverse si on est un industriel, ce sont les brevets qui doivent être protégés avant les DCP.
Aujourd’hui est-on capable d’anticiper, identifier et donc limiter les conséquences d’une attaque ?
C’est compliqué. On a les moyens pour faire de la détection mais la mise en œuvre est compliquée car spécifique à chaque société. Toute activité a des asset critiques différents et on ne peut les déterminer qu’en réalisant un audit. Une fois ces asset identifiés, on peut mettre en place les mécanismes susceptibles de les protéger.
En moyenne, il faut près de 6 mois pour détecter une attaque. C’est pour ça que les 72 heures pour déclarer une fuite, exigées par le GDPR, est presque « risible » car si on a mis 6 mois pour la découvrir on n’est plus à 72H près ! D’autant que le règlement européen ne concerne que les données personnelles. Quid des autres activités ? Imaginez une attaque sur du bancaire avec de la composition de portefeuille, la donnée est ultra-sensible et ultra critique, la société n’a aucune déclaration à faire. Même scénario si on se fait voler des brevets, il n’y a pas de déclaration ! C’est un des côtés aberrants du RGPD.
Lorsqu’on évoque le concept d’attaque, il faut toujours partir du postulat qu’un piratage c’est comme un cambriolage, on ne peut jamais vraiment l’éviter. Donc la seule question à se poser est comment peut-on l’empêcher ou la ralentir ? Comment je la décourage et comment je la détecte. Ce n’est qu’à partir de là, qu’on peut réfléchir.
Comment met-on en place une approche globale de gestion des risques ?
La première approche de risque doit être envisagée en premier lieu du côté de l’IT. L’Agence Nationale des Systèmes d’Information (ANSI) a publié une méthode, la méthode EBIOS. Elle préconise d’aller chercher et identifier les systèmes critiques de la société d’un point de vue IT. Ce qui ne faut pas perdre de vue c’est que lorsqu’on défend une société, on défend les couches basses d’un système informatique, on défend des serveurs et pas seulement une base client. Or, en termes de risque, la vision s’arrête souvent à une base client ou à une application.
C’est pourquoi l’étude de risque est primordiale car elle permet de prioriser ce qu’on veut défendre. La cartographie aide, quant à elle à maîtriser le système tout en étant une partie obligatoire de l’audit. Car sans cartographie, il n’y a pas d’audit. C’est la cartographie qui permet d’identifier ce que l’on doit auditer.
EBIOS Risk Manager (EBIOS RM)
C’est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence Nationale de la Sécurité et des Systèmes d’Information (ANSSI) avec le soutien du Club EBIOS.
EBIOS Risk Manager adopte une approche de management du risque numérique partant du plus haut niveau (grandes missions de l’objet étudié) pour atteindre progressivement les fonctions métier et techniques, par l’étude des scénarios de risque possibles.
Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.
EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.
(Source ANSSI)
Quelles sont les premières mesures à mettre en place pour protéger les chemins d’attaque possibles ?
Tout le monde aimerait répondre à cette question ! Mais il n’y a pas de réponse générique. Encore une fois, la réponse dépend des systèmes et de la typologie de la société.
Il y a deux ans, lors d’une conférence j’ai entendu une statistique incroyable : 90 % des attaques pourraient être évitées si tous les systèmes étaient à jour. Donc la première chose c’est de les mettre à jour. Beaucoup pensent que « patcher » sans cesse les systèmes est synonyme de défaillance or les correctifs de sécurité permettent de diminuer la vulnérabilité.
On dit souvent que le maillon faible c’est l’humain ?
Ce n’est pas aussi binaire. Quand les systèmes sont ultra sécurisés oui on s’attaque au maillon faible, l’utilisateur. Mais je reviens à la case départ : avant tout chose, Il est nécessaire de bien connaître son périmètre et de maîtriser son SI, les asset internes mais aussi tout ce qui est en SaaS, sous-entendu, tout ce qui est externalisé comme le cloud.
Le cloud est à surveiller de près car, étant le plus souvent hors du périmètre de la DSI, il est difficilement maîtrisable. Du fait que la plupart des contrats soient souscrits en direct par les directions utilisatrices, le cloud n’est pas intégré dans la cartographie et devient donc un point critique non identifié. Le cloud peut être donc un maillon faible. J’ai déjà vu des directions qui souscrivaient en direct des contrats avec des éditeurs de logiciels de CRM ayant une politique de mot de passe par défaut comme 1234 ou azerty… Ce qui peut très vite devenir un problème.
Cartographier son système d’information, et donc faire l’inventaire patrimonial du SI, est-ce une solution ?
La cartographie est la base de tout. On en a besoin pour la sécurité certes mais également pour faire de l’architecture, de la production, mais également pour les normes ISO…Elle est la condition sine qua none pour bien maîtriser son SI et ce, au-delà des aspects sécurité. Sans cartographie, la maîtrise du SI n’existe pas.
Prenons par exemple, la gestion de l’obsolescence. Si on n’a pas effectué une cartographie, comment fait-on pour savoir si les systèmes sont en fin de vie ou pas ? La fin de vie implique qu’il n’y a plus de support éditeur et sans support comment je maintiens un système en production en cas de problème ?
Si je n’ai pas de cartographie, comment je sais quels sont mes composants standards ? Si je crée une nouvelle application sur quels composants je me base ? Je m’appuie sur quelle base de données ? Je prends de l’oracle ? Du SQL Serveur ? Je prends un système Big Data ? Je construis au hasard ?
Bref la cartographie c’est toute la base de l’informatique. L’étude de risque qui en découle est un signe de maturité de la part de l’organisation. Elle signifie qu’au sein de l’entreprise on se préoccupe de la sécurité, qu’on a déjà compris que les assets a protéger n’étaient pas forcément les applications critiques mais bien des composants critiques puisque ce sont eux qui ressortent dans l’étude de risque.
Comment assurer une meilleure lisibilité et donc un meilleur contrôle ?
Il est nécessaire d’avoir du personnel qualifié sur des postes stratégiques comme un Responsable de la Sécurité du Système d’Information (RSSI) et un opérationnel sur le volet sécurité qui peut faire cela de façon hybride. Mais au delà des mesures, il faut des budgets car on a beau avoir des collaborateurs qualifiés sans budget, ils ne peuvent rien faire.
La sécurité est un tout complexe à défendre car la sécurité ne rapporte rien, c’est un budget à perte, on ne dégage pas un ROI sur de la sécurité. C’est un centre de coût. Cependant, il est vital de l’envisager comme un réducteur du risque et non comme un centre coût. C’est pourquoi il faut changer le point de vue des directions pour qu’elles acceptent la complexité intellectuelle de l’exercice : celle d’une approche globale du risque, capable de le limiter et le diminuer. Mais pour diminuer la surface d’attaque d’une société et donc limiter les pertes potentielles, il faut investir.
La sécurisation du SI repose-t-elle exclusivement sur la DSI ?
C’est une question compliquée. Une partie de la réponse est dans la posture managériale de la société. Est-ce que le RSSI doit être rattaché à la DSI ? À la direction générale ? À la direction des risques ? Pour l’instant, au regard de mon expérience je n’ai pas trouvé de bonne réponse.
Dans une logique de sécurité, l’entreprise doit être sensibilisée à tous les étages, les sous-traitants doivent également être contrôlés.
Les métiers, en tant que propriétaires de leurs données doivent-ils être également impliqués ?
Oui car ce sont des parties prenantes de la sécurité. Les utilisateurs font partie du dispositif de défense.
Quelles obligations ont été introduites par le RGPD en matière de protection du SI ?
Malheureusement, le RGPD ne traite que des droits des utilisateurs et/ou clients. Les sanctions font peur mais le règlement ne révolutionne en rien la sécurité du SI car le consentement ne fait pas partie du périmètre de la sécurité. En aucun cas, il ne faut assimiler le RGPD à la sécurité ou à une véritable protection du système d’information. Le gendarme de la CNIL punit en cas de fuite seulement une certaine catégorie de sociétés qui traitent de la DCP mais pas toutes ! Selon moi, la plus grande valeur du RGPD, c’est de faire parler de la sécurité et donc de la fuite de données et donc par ricochet de la sécurisation des systèmes d’information. C’est cette prise de conscience qui va débloquer les enveloppes budgétaires. L’écueil serait que les sociétés ne protègent que les données à caractère personnel et pas le reste du SI. Alors qu’il faut protéger l’entièreté du SI.