Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Le PCA doit-il craindre la cyberdélinquance ?


La cybercontinuité arrive à l’ordre du jour, on peut être tenté d’y voir une n-ième mode ou une tentative de faire peur…

Malheureusement les cyber-interruptions, ou arrêts provoqués par des actions malveillantes via Internet peuvent s’avérer très graves et d’autant plus vraisemblables qu’on ne s’en préoccupe pas.

De plus, si on s’y est mal pris, le Plan de Continuité IT lui-même peut être annihilé, comble de malheur ! Alors que peut-on faire ?



D.R.
D.R.

La cyber-délinquance peut provoquer des pannes longues

Bien sûr un certain nombre de mesures prophylaxiques ou d’hygiène informatiques sont déjà en place et peuvent limiter les risques. Mais il n’y a aucune garantie que cela soit toujours efficace. Même si la vraisemblance est plutôt faible, il peut y avoir des attaques malveillantes qui arrivent à leurs fins et provoquent des dégâts importants.

De plus, fait aggravant : ces dégâts peuvent déborder vers vos clients, fournisseurs ou partenaires.

Prenons quelques exemples réalistes de cyber-interruption :

  • Les attaques virales peuvent arrêter – ou plus précisément vont pousser à déconnecter- les serveurs que l’on pense visés, les postes de travail que l’on croit atteints ainsi que beaucoup d’autres par mesure de précaution. Par récurrence on isolera aussi les serveurs de fichiers et la messagerie, vecteur possible de propagation de pièces jointes infectieuses. Les réplications sur site de secours ayant déjà répliqué le virus, le PCIT est mort et non avenu … espérons que les sauvegardes d’hier sont saines et bien isolées, sinon …

  • Les infiltrations par des malwares de diverses catégories : modification subreptice d’exécutables, ajouts dans le registre Windows, porte dérobée en attente d’activation, cheval de Troie avec un code en attente ; toutes ces actions malveillantes, une fois découvertes et pour partie entrées en action, vont nécessiter pour leur éradication totale un isolement puis un arrêt conséquent de machines et serveurs divers. Cet arrêt peut durer longtemps car les diverses actions à mener ne sont pas triviales. Un recours à des spécialistes peut s’imposer.

Sur ces exemples on voit clairement qu’à l’heure des copies synchrones et des clusters actifs/actifs, la cyberdélinquance est capable de provoquer des pannes qui se chiffrent en jours et d’annihiler tout effort de reprise raisonnablement rapide.

La cyber-délinquance en d’autres termes constitue un risque d’impact très élevé et de vraisemblance –rappelons-le encore - plutôt faible si l’on a pris ses précautions. Cette situation nous oblige de toute façon à revoir les PCA ou PCIT existants s’ils n’en tiennent pas déjà compte.

Il faut pratiquer une hygiène comprise par tous et réagir vite

La limitation des risques est de règle et de nos jours tout le monde ou presque le sait et se protège plus ou moins bien. Toutefois, la menace se transforme et les attaques savent se faufiler : cela nécessite deux types d’approche simultanées : hygiène et détection.

L’hygiène de base informatique est bien connue mais à rappeler sans cesse : en l’appliquant aux éléments informatiques utilisés par l’entreprise, on limite très fortement les moyens d’actions qu’un malware aurait à sa disposition. Citons pêle-mêle les restrictions de droits au minimum, la fermeture de ports inutiles sur votre VLAN privé, le chiffrement des mots de passe, les changements fréquents de mots de passe non triviaux, les règles partitionnées sur vos pare-feu, vos proxys bien paramétrés, les codes SQL bien écrits, vos anti-virus à jour et en mode heuristique raisonnable… toutes ces mesures sont en place (et d’autres non listées ici). Encore faut-il le vérifier régulièrement et tenir le dispositif en vie. Bien sûr on sensibilisera tout le monde aux règles d’hygiène. En faisant cela, on limite les impacts et la vraisemblance d’attaques.

A côté des règles d’hygiène informatique, il convient de mettre en place les moyens de détection rapide d’éventuelles attaques et d’activation de réactions. Rappelons –le, ces attaques ont dans une informatique hygiénique moins de chances d’aller très loin. Mais si l’hygiène n’est pas parfaite (et elle ne l’est pas, par exemple vis-à-vis des nouvelles menaces) il faut réagir vite. Il existe une variété de produits du domaine de la détection : détection d’intrusion, détection de violation de droits, détection de comportement applicatifs inhabituels, etc. Ces outils réactifs nécessitent pour rester efficaces d’être constamment tenus à jour par une administration qui peut s’avérer laborieuse mais ne doit pas tomber dans la négligence, ce qui n’est pas évident. Ces outils réduisent voire annulent dans bien des cas les impacts des attaques.

Ainsi donc, et les responsables sécurité l'ont bien compris, on peut réduire le risque lié à la cyberdélinquance. Malheureusement le couple (impact , vraisemblance) demeure souvent dans une zone d'aversion au risque qui nécessite d'en faire plus.

Il faut prévoir le pire

Le pire est très ennuyeux en termes de continuité : isolement, mise en quarantaine de serveurs, de postes de travail, de la messagerie, impossibilité de travailler pour quelques jours pour un grand nombre de collaborateurs, impossibilité de cerner rapidement ce qui s’est vraiment passé et d’apprécier les risques de rechute, etc. La vraisemblance est faible mais pas nulle du tout.

Le pire peut être dans le cas présent très grave tout court pour l’information : perte de données, perte des copies de données, pertes partielles des sauvegardes, elles-mêmes contaminées. Nécessité de redémarrer, reformater, effacer beaucoup de choses. Impossibilité de récupérer des données récentes, nécessiter de remonter aux sauvegardes anciennes (j-5 ?) et sorties du système (cartouches à j-15 ?). Pertes des logs ou journaux ou états de ceux-ci inutilisables. Le plan de secours informatique, s’il n’a pas prévu cela se voit dans l’incapacité de fonctionner. Ou alors il prend une semaine pour remettre l’entreprise trois semaines en arrière avec perte de données. La vraisemblance est encore plus faible mais pas nulle.

Enfin, pour couronner le tout : propagation de ces conséquences vers vos partenaires, fournisseurs ou clients qui échangent avec vous via divers réseaux plus ou moins sensibles.

Prévoir de faire face à ce pire est en revanche assez simple si l’on considère que plus une reprise est chaude plus elle est exposée : il faut donc prévoir une reprise froide isolée. Faites des sauvegardes tous les jours et sortez-les totalement (logiquement et physiquement) de vos sites. Prévoyez dans ces cas de recourir à une informatique qui sera montée de zéro ou qui sera en permanence déconnectée de votre équipement principal.

Le minimum peut d’ailleurs être la sortie des données qui ne sont pas reconstituables. Tout le reste peut se reconstituer après : cela prendra du temps certes, mais n’oublions pas que nous sommes dans un scénario rare si l’hygiène et la détection sont en place et bien gérées.

Emmanuel Besluau
Lundi 27 Avril 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter