Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Personne n'est à l'abri d'un cybersinistre : est-ce vrai ?

La faiblesse des mesures de sécurité expose au risque


Récemment des entreprises de premier plan se sont déclarées victimes de cyber-attaques. Les commentateurs ont tendance à dire que personne n'est vraiment à l'abri de ces attaques. Est-ce vrai ? Analyse.



Il existe des mesures pour se protéger

En 1970 on déplorait plus de 10.000 morts sur les routes en France ; les motards roulaient sans casque, les conducteurs d'automobiles ne disposaient ni de la ceinture de sécurité, ni du freinage assisté et encore moins d'airbags. Le marquage au sol (ligne blanche) et les limitations de vitesse en étaient à leurs balbutiements.

Nous étions donc dans un monde risqué sans mesure de réduction des risques. Progressivement les mesures de réduction de risque ont été pensées et mises en place. Le nombre de décès sur les routes a été divisé par quatre.

L'analogie avec la sécurité informatique est frappante ! Pour les responsables de la sécurité de l'information, il existe de nombreuses mesures pour se protéger et limiter les dégâts.


Les mesures les plus évidentes ne sont pas systématiquement mises en place

Des déclarations de responsables ou des analyses post-sinistres montrent que certaines mesures de sécurité n'ont pas été mises en place avec la rigueur voulue.

Listons par exemple :

  • La "segmentation réseau" qui permet de découper des sous-réseaux isolables les uns des autres et de contenir les propagations virales par exemple. Certaines déclarations récentes sur le "partage du réseau couramment pratiqué par les entreprises" sèment le doute... de nos jours, une entreprise qui veut se protéger ne pratique bien entendu pas cela. Ne pas mettre son casque parce que personne ne le met est suicidaire !

  • Les "mots de passe pour les administrateurs" : ces personnels qualifiés peuvent intervenir de manière profonde sur les systèmes, ils peuvent modifier les droits d'accès des autres, accéder à des données protégées, etc. un identifiant et un mot de passe administrateur doivent être protégés tout particulièrement et changés très souvent. Des fuites de données récentes se sont produites parce que le voleur a pu trouver très vite les identifiants et mots de passe de connexion en pouvoir administrateur. Or nous le voyons encore trop souvent dans nos missions : des identifiants banalisés comme "admin" avec des mots de passe "admin" à durée indéterminée existent encore !

  • L'utilisateur "administrateur de son poste" : sur un PC Windows il existe plusieurs manières de se connecter dont une qui donne un pouvoir élevé (permettant par exemple d'installer quelquechose sur le PC). Bien des sociétés que nous voyons dans nos missions laissent cet "accès admin" à disposition de l'utilisateur. Moralité, l'usager peut par inadvertance (on pourrait parler de la sensibilisation à faire en parallèle) télécharger et installer un malware conséquent sur son poste. Si par ailleurs le réseau n'est pas segmenté (voir plus haut), cet état de fait est dangereux.

  • L'ouverture de "ports réseau" sur les pare-feu : le port est à voir comme un canal d'entrée dans le réseau. La bonne pratique consiste à les fermer tous par défaut, sauf ceux dont on a besoin et qui sont sous surveillance. Des cryptovirus célèbres (genre "Wanacry") passaient par des ports malencontreusement laissés ouverts par les administrateurs. Régulièrement il faut passer cela en revue car c'est la porte d'entrée du net.

On pourrait continuer la liste : il est clair cependant que toutes les attaques récentes réussies ont profité d'une absence de mesures de sécurité ou d'un laxisme dans son suivi.

Mettons en place les mesures qui nous protègent a minima

Bien sûr le port du casque, la ceinture attachée et le respect des limitations de vitesse ne réduisent pas le risque d'accident à zéro. Mais ils le réduisent !

Les mesures de sécurité informatiques qui ont fait leur preuve sont connues depuis longtemps. La norme ISO 27001 en son Annexe A nous en liste 114 ! La norme ISO 27002 nous les explique ! Il n'est plus possible de nos jours de les ignorer.

Une société qui met en place des mesures qui réduisent ses risques sera nettement mieux protégée des cyber-attaques, même si -c'est vrai- nul n'est complètement à l'abri.

Mais ne plaignons pas ceux qui sont victimes et n'ont rien mis en place (ou très peu).

Face à la cyber attaque, il est vrai tout le monde est menacé. Mais certains beaucoup plus que d'autres !



Emmanuel Besluau
Jeudi 31 Janvier 2019

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2