Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


« Hack attaque ! » Trois messages clés pour la Direction


Face à l’accélération des « attaques ciblées », les entreprises et les administrations publiques devraient remédier - autant que possible - aux vulnérabilités du système d'information, sans négliger la vigilance et la capacité de réponse.



« Hack attaque ! » Trois messages clés pour la Direction
L’année 2011 a vu une accélération dramatique des attaques contre les systèmes d’information, et l’année semble être en passe de battre tous les records en matière de perte de données.

Le cas de Sony a particulièrement frappé les esprits. Une attaque découverte en avril contre le Playstation Network a exposé les données personnelles de 75 millions de clients et nécessité 23 jours de fermeture. Une autre au début mai contre Sony Entertainment a touché 25 millions de clients.

Les dirigeants de Sony ont évalué le coût de ces attaques à plus de 170 millions de dollars, sans prendre en compte à ce stade les coûts éventuels des 58 actions en nom collectif des clients pour négligence dans la protection des données personnelles.

Compte tenu de l’importance des enjeux - financiers, réputationnels, réglementaires, voire géopolitiques dans certains cas – la responsabilité de la Direction est engagée, notamment au travers de la Politique de Sécurité de l'organisation. Il incombe donc aux managers du système d’information de fournir une information claire et synthétique aux niveaux hiérarchiques supérieurs, leur permettant d’apprécier les risques et d’engager les moyens nécessaires pour les pallier au mieux.

Dans cette optique, nous proposons ici trois messages fondamentaux.

Tout système d’information est vulnérable face à une attaque déterminée et persistante

Ce triste constat n’est pas un aveu d’impuissance mais plutôt un principe de départ lucide, démontré à plusieurs reprises cette année par les attaques contre des grands groupes et des grandes administrations publiques.

En plus de Sony, parmi les « victimes » les plus connues on peut citer : RSA Security, Lockheed Martin, Epsilon, la NASA, le FBI, Citigroup et des dizaines d’autres sociétés et d’administrations publiques. Il s’agit bien d’attaques ciblées et persistantes, de nature crapuleuse ou politico-idéologique, voire de motivation encore non élucidée.

Malgré cet état des faits, on trouve toujours dans un bon nombre d’organisations ce qu’on pourrait appeler « un faux sentiment de sécurité », et ceci pour plusieurs raisons. Citons en trois :

  • L’entreprise est en conformité avec une ou plusieurs grandes normes de sécurité

S’appuyer sur une norme de sécurité est une très bonne chose, mais la conformité n’est pas la même chose que la sécurité.

Un exemple pertinent est fourni par l’attaque (devenue célèbre) contre Heartland Payment Systems, une grande société de traitement de paiements par cartes, qui en 2007-2008 s’est fait voler plus de 100 millions de numéros de cartes. Pourtant, cette société avait été certifiée comme conforme à la norme PCI DSS, un standard particulièrement contraignant en matière de sécurité.

  • L’organisation s’est dotée d’un ensemble cohérent d’outils de sécurité

Encore une fois, c’est une bonne chose, mais la protection n’est jamais parfaite.

Un cas particulièrement édifiant cette année : l’attaque contre RSA Security, qui a eu pour résultat le vol des informations critiques relatives à son produit d’authentification Secure ID, utilisé par plus de 25.000 entreprises et administrations publiques. Cette affaire a provoqué une prise de conscience dans l’industrie informatique, en démontrant que même les meilleurs spécialistes ne pouvaient pas toujours se protéger.

Par ailleurs, on peut aussi noter que dans son rapport de cette année sur la sécurité des logiciels, Veracode (qui fait autorité en la matière) a conclu que 72% des produits et services de sécurité testés présentaient eux-mêmes un niveau d’insécurité inacceptable.

  • Des campagnes de « tests d’intrusion » ont été menées

L’avantage de cette approche est de fournir une base factuelle de failles à corriger.

L’inconvénient est que les tests par définition ne sont jamais complets et surtout que l’absence de découverte de certaines failles éventuelles prouve seulement qu’on ne les a pas trouvées.


Tout compte fait, nous pensons que l’hypothèse de travail la plus raisonnable est que le système d’information n’est pas seulement vulnérable mais qu’il a déjà été pénétré. Que l’organisation le sache ou non est une autre question.

Une organisation peut réduire sa vulnérabilité en agissant sur les vecteurs d’attaque les plus courants

Quand une attaque contre une entreprise est découverte et rendue publique, il est assez courant que la victime s'empresse (pour des raisons bien compréhensibles) d’expliquer combien l’attaque était « avancée » voire « sans précédent ».

S’il est vrai que les attaques sur Internet ont tendance à devenir dans l’ensemble de plus en plus sophistiquées, il n’en demeure pas moins que la majorité d’elles s’appuie toujours (au moins en partie) sur des vulnérabilités et des techniques bien connues. Et pourtant, beaucoup d’organisations ne se protègent pas contre les vecteurs d’attaque courants.

Limitons la discussion à deux domaines de risques particulièrement importants :

  • Les applications exposées sur le Web

Il est couramment admis que les applications Web sont ciblées –au moins comme portes d’entrée – dans plus que la moitié des attaques sur internet contre les systèmes d’information.

Les techniques comme « SQL Injection » et « Cross Site Scripting » - qui exploitent des vulnérabilités dans les applications - sont connues depuis longue date, mais elles continuent à faire beaucoup de dégâts. « SQL Injection » a été utilisée notamment contre Heartland et aussi, selon plusieurs sources, dans l’affaire Sony.

Pourtant, des parades existent. Plusieurs acteurs de l’industrie (IBM, HP, …) offrent des outils de « scanning » automatisé du code pour trouver des vulnérabilités à remédier. Alternativement ou de manière complémentaire, la mise en place d’un « Web Application Firewall » (c'est-à-dire, un pare-feu qui inspecte le contenu des paquets au niveau applicatif) permet une protection dynamique.

  • Les vulnérabilités au niveau du poste client

La technique la plus courante pour compromettre les postes clients d’un système d’information est le « spear phishing », une sorte de pêche au lancer qui cible les utilisateurs imprudents comme porte d’entrée.

Dans ces cas, les attaquants envoient des vagues de mails qui véhiculent des logiciels malveillants (« malware ») via un lien URL ou un fichier infecté en pièce jointe. Une fois le poste client compromis, l’infection peut se propager et l’attaque se poursuivra d’une manière ou d’une autre contre le cœur du système d’information.

Souvent, ces attaques exploitent des vulnérabilités dans des programmes très répandus comme Adobe PDF Reader, Quick Time, Adobe Flash ou encore Microsoft Office. Malheureusement, la plupart des organisations tardent beaucoup plus à corriger les vulnérabilités avec des « patchs » coté client – là où le risque est pourtant le plus élevé – que du côté data center.

Dans le cas de RSA Security, les collaborateurs de la société avaient reçu un mail ayant pour objet « Plan de Recrutement 2011 », avec en pièce jointe un fichier Excel contenant un malware personnalisé qui exploitait une vulnérabilité en Adobe Flash. Les attaquants ont supposé (avec raison) qu’au moins un salarié ne résisterait pas à la tentation d’ouvrir le fichier. Ainsi ils ont pu prendre le contrôle de l’ordinateur infecté et pénétrer les défenses très robustes de la société.

A la décharge de RSA Security, le malware exploitait une vulnérabilité de type « Zero Day », c'est-à-dire, une faille non encore découverte pour laquelle il n’existait pas encore de « patch ». (Par la suite, le fournisseur Adobe en a rapidement fourni.) Néanmoins, le collaborateur de RSA n’aurait jamais dû ouvrir la pièce jointe.

Dans le domaine du poste client, la problématique ne se pose pas tellement au niveau des outils mais plutôt en termes des processus de sécurité et, bien sûr, du facteur humain et de la sensibilisation des collaborateurs aux risques.


La discussion précédente n’est pas exhaustive. On aurait pu utilement l’étendre, par exemple, aux nouvelles menaces liées aux postes mobiles ou encore à la fragilité dangereuse des systèmes industriels. Toujours est-il que les applications Web et les postes client – grandes portes d’entrée vers le système d’information – sont deux domaines qui englobent une très grande partie des risques et des vecteurs d’attaque.

De toute façon, il est clair qu’une organisation peut réduire sa vulnérabilité, en agissant à la fois sur les aspects techniques, organisationnels et humains. Les attaques de 2011 démontrent que beaucoup reste à faire.

Quelle que soit la qualité des mesures de prévention, la capacité d’une organisation à répondre aux attaques est cruciale

Ce message est un corollaire logique de notre premier point postulant la vulnérabilité de tout système d’information. Quand les défenses du système d’information sont pénétrées, tout se joue sur la capacité de réponse rapide pour bloquer l’attaque et arrêter la fuite de données et d’autres dégâts.

Or, on constate souvent un déséquilibre entre prévention et réponse, à la fois en termes d’attention des managers et de moyens techniques, organisationnels et budgétaires. S’il vaut mieux prévenir que guérir, une organisation devrait avoir les moyens pour pouvoir savoir qu’elle subit une attaque et se défendre.

Dans le cas de Heartland et bien d’autres, l’attaque a duré des mois avant d’être enfin découverte et bloquée.

Concrètement, la capacité de réponse s’appuie sur un outillage technique permettant de surveiller les différents composants de l’infrastructure, d’identifier des anomalies, d’enclencher des alertes prédéfinies et de fournir aux techniciens les bonnes informations à chaque étape de traitement d’un incident.

Les processus sont aussi importants que les outils, et notamment le processus d’escalade du premier niveau de surveillance et d’analyse des incidents aux niveaux supérieurs de diagnostic complet et de prise de décision.

On peut admettre que tout cela n’est pas forcément à la portée d’une PME avec une petite équipe informatique (sauf peut-être sous une forme externalisée). Pour les organisations plus grandes, en revanche, il nous parait indispensable de disposer (en interne ou en externe) d’une véritable capacité de réponse, structurée et dimensionnée en fonction d'une analyse lucide des risques.

Pour illustrer les enjeux, revenons à l’affaire Sony. Dans une des actions en nom collectif pour négligence, les plaignants affirment (entre autres griefs) que Sony aurait licencié un bon nombre de techniciens dans l’unité censée répondre aux incidents de sécurité, à peine deux semaines avant l’attaque.

Vraie ou fausse, une telle accusation soulève la question de la responsabilité juridique éventuelle des entreprises dont la capacité de réponse défaillante met en danger les données personnelles des clients.

Conclusion

La recrudescence des attaques ciblées contre les entreprises et les administrations publiques appelle à une prise de conscience par la Direction.

Toutefois, une organisation peut réduire sa vulnérabilité significativement, en traitant prioritairement les vecteurs d’attaque les plus courants, agissant à la fois sur les aspects techniques, organisationnels et humains.

Pour autant, la protection ne sera jamais parfaite, et l’organisation devrait disposer des moyens – en termes d’outils et de processus - lui permettant d’identifier et de bloquer les intrusions avant qu’elles ne puissent nuire.

Nous préconisons donc une approche équilibrée, associant les bonnes mesures de prévention avec une robuste capacité de réponse.



Donald Callahan
Lundi 22 Août 2011

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter