Articles IT et Télécoms

Attaques informatiques : les leçons à tirer de la multiplication des sinistres

Les médias se sont fait l’écho ces derniers mois des attaques ayant touché de nombreuses entreprises et institutions telles que Bercy, Sony ou encore le FBI. En réalité, les tentatives d’intrusion sur des serveurs d’entreprises sont devenues le pain quotidien de la plupart des grandes sociétés. Dans de nombreux cas, le succès d’une attaque s’explique par les faiblesses de la défense, d’où la nécessité de connaitre les failles de son système d’information afin de limiter son exposition.

1000 milliards de dollars par an ! Selon Edward Amoroso, responsable des systèmes d’information de l’opérateur américain AT&T, ce montant représenterait le chiffre d’affaires généré par la cybercriminalité.

Une trentaine d’années après l’apparition du premier code malveillant, les responsables de la sécurité informatique des entreprises doivent faire face à des menaces multiples.

Celles-ci sont orchestrées par des pirates organisés, travaillant pour le compte d’entreprises concurrentes ou d’États, sans oublier les bandes « d’individus rigolards » (voir la mascotte ci-dessous) comme se définit la petite équipe de Lulz Security (LulzSec).

Durant deux mois (jusqu’à sa décision de se saborder à la fin du mois de juin), ce groupe de hackers a semé la zizanie sur le web en s’attaquant à des sites appartenant à la CIA, à Sony, à Nintendo, au FBI…

Avec une facilité qui semble déconcertante, ils se sont introduits dans des serveurs informatiques contenant des données personnelles. Le succès des actions menées par ces hackers possédant un bon niveau en matière d’attaques informatiques amène deux constats.

De nombreuses failles dans les entreprises

Premièrement, les multinationales et les sites officiels ne protègent pas suffisamment les données sensibles qu’ils conservent.

Deuxièmement, les attaques ont mis en évidence de multiples failles dans la protection des systèmes d’information ainsi que des lacunes dans la gestion des données.

Ce deuxième constat est d’ailleurs confirmé par une étude récente présentée par Ponemon Institute pour le compte de Check Point Software (éditeur notamment du pare-feu ZoneAlarm).

Sur les 2.400 administrateurs de la sécurité informatique interrogés aux États-Unis, au Royaume-Uni, en France, en Allemagne et au Japon, 77 % admettent avoir perdu des données en 2010. La France fait à peine mieux : 70 % des 450 entreprises interrogées auraient été touchées par une fuite de données.

La sécurité informatique, qui comprend aussi bien la protection des serveurs que la sauvegarde des données, est donc loin d’être optimisée et performante.

Il est donc nécessaire que les entreprises, et au premier chef les décideurs, prennent conscience des risques que les attaques informatiques font peser sur leur pérennité.

La sécurité informatique n’est pas un investissement comme un autre et ce poste ne doit pas se limiter à l’utilisation de quelques logiciels. Une sécurité efficace passe par la formation de tous les salariés, quel que soit leur niveau dans la hiérarchie.

Pour les experts en sécurité, les entreprises doivent se mobiliser pour protéger leurs contenus face à la montée en puissance des réseaux sociaux et à l’accroissement de la mobilité et donc des terminaux de type smartphone ou tablettes plus ou moins bien protégés.

Mais la menace est aussi très concrète. La source principale de fuites de données provient de pertes ou de vols d’équipements en interne !

Autre erreur pouvant être fatale et qui est plus répandue qu’on le pense selon des cabinets d’audit en sécurité : l’email envoyé au mauvais destinataire et contenant en pièce jointe des documents sensibles, voire confidentiels.

Concernant les techniques employées, les pirates ont l’embarras du choix. Mais il n’est pas toujours nécessaire d’être un petit génie. Les méthodes les plus classiques sont toujours aussi efficaces.

La sensibilisation de tous les salariés

En juin 2011, un test d’intrusion a été réalisé au Ministère de la sécurité intérieure américain (U.S Department of Homeland Security). Les résultats sont édifiants et devraient inquiéter les responsables de la sécurité de toutes les entreprises.

Des consultants ont disséminé des clés USB et des CD-ROM sur le parking du ministère. Résultat : 60% des employés qui ont ramassé un support l’ont inséré dans leur ordinateur professionnel afin d’explorer son contenu. Pire : lorsque le CD ou la clé USB affiche le logo de l’entreprise, la proportion passe alors à 90%.

Cet exemple montre à quel point la sensibilisation de tous les salariés est essentielle, sans qu’elle soit suffisante pour autant.

Les responsables informatiques et de la sécurité dans les entreprises ont fait beaucoup d’efforts pour protéger leurs messageries. Mais aujourd’hui, la majorité des infections passe par la navigation internet sur des sites grand public et plus uniquement sur les sites pornos et les réseaux Peer to Peer.

Or, la sensibilisation de l’utilisateur n’a aucun impact si les attaques se font sans qu’il s’en aperçoive et si l’exploitation des vulnérabilités techniques ne nécessite pas d’interaction avec l’individu.

D’où la nécessité de cloisonner les données de l’entreprise et de faire régulièrement des sauvegardes sur des supports situés à l’extérieur de la société.

Que faire en cas d’intrusion avérée ?

Que faire dès lors qu’on a repéré une attaque (encore faut-il en effet la repérer : Bercy et Sony ont mis une semaine à s’en apercevoir…) ?

Selon le CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques), la première chose à faire est de mettre en quarantaine les postes de travail contaminés sans les éteindre.

Il est en effet primordial de repérer les processus actifs au moment de l’intrusion. C’est une information précieuse pour comprendre l’origine du mal et ensuite l’endiguer mais aussi pour relever des preuves en vue d’un dépôt de plainte auprès des autorités compétentes comme l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC).


Une fois la contamination éradiquée, l’entreprise doit repartir sur des bases saines, c’est-à-dire sans aucune trace d’infection. Le B-A-BA consiste à réinstaller le système d’exploitation à partir d’une source saine (CD, disque dur…), c’est-à-dire extérieure à l’entreprise et de faire immédiatement des mises à jour de toutes les applications. La restauration des données doit également se faire à partir d’une copie de sauvegarde non compromise.

Autre mesure de précaution : modifier les mots de passe de tous les comptes car des identifiants ont pu être récupérés par des pirates lors de l’attaque. Reste enfin à faire une analyse précise de l’accident afin de déterminer les points faibles et les solutions à apporter pour éviter une nouvelle infection quasi générale du réseau.

Advertisements

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :