Cybersécurité : la collaboration et la transversalité sont indispensables
Le colloque annuel du CDSE (Club des Directeurs de Sécurité des Entreprises) s'est déroulé à Paris le 6 décembre 2012. Les intervenants y ont plaidé pour la collaboration public-privé en matière de cybersécurité et pour une amélioration de la stratégie de sécurité des organisations.
« Il faut être deux pour danser le tango : le secteur privé doit saisir les opportunités de collaborer avec le public » a plaidé Laurent Bernat, expert cybersécurité à l'OCDE (Organisation de coopération et de développement économiques) (en photo). Mais il a aussi déploré que cette collaboration restait trop faible et que les stratégies des entreprises étaient globalement obsolètes. Il s'est exprimé lors du colloque annuel du CDSE (Club des Directeurs de Sécurité des Entreprises) qui se déroulait le 6 décembre 2012 dans les locaux de l'OCDE à Paris en partenariat avec Europol, l'organisation policière européenne.
Les Etats, acteurs de poids de la cybersécurité
Les Etats ont, pour la plupart, des actions permettant aux entreprises nationales de mieux résister aux nouvelles menaces numériques. L'enjeu économique est globalement bien identifié. Cette action va du simple code de bonnes pratiques jusqu'à un call-center dédié ouvert en permanence en Corée du Sud. En France, l'ANSSI (Agence Nationale pour la Sécurité des Systèmes d'Information) peut aider les entreprises. Pour Bruno Gruselle, maître de recherche à la Fondation pour la Recherche Stratégique (FRS), « malgré une amélioration, il reste des progrès à faire » pour améliorer cette nécessaire collaboration. La réactivité est notamment un des problèmes. « Certifier des produits est inutile car, le temps de procéder à la certification, le produit est obsolète » a jugé Nicolas Ruff, chercheur en sécurité chez EADS. Celui-ci a déploré : « l'ANSSI a des recherches dans ses laboratoires qui ont cinq ans d'avance mais publie qu'il ne faut pas utiliser de clés USB ! »
De son côté, depuis peu, Europol a créé une « cyber-académie » (qui va formellement ouvrir en 2013) pour former et assister les enquêteurs.
La collaboration public-privé peut prendre plusieurs formes
L'Etat peut aussi être un amorceur d'initiatives qui doivent ensuite être gérées par le seul secteur privé. Le cas typique est, en France, Signal-Spam. « Nous sommes une association d'acteurs publics et privés où les cotisations des membres ont un retour sur investissement démontrable pour chacun d'entre eux » a observé Jean-Christophe Le Toquin, directeur général de Signal-Spam. Largement automatisé, le service Signal-Spam traite 25 000 signalements de spams par mois mais ne comporte qu'un seul salarié permanent.
Cela ne veut pas dire que l'Etat est toujours exemplaire. Certains silos opérationnels sont préjudiciables. La magistrate Myriam Quemener a ainsi dénoncé le manque de culture numérique de certains de ses confrères : « un cybercriminel, par exemple un pédophile, peut très bien être condamné à une peine de prison avec sursis sans aucune peine complémentaire qui empêcherait la récidive », comme l'interdiction d'utiliser Internet par exemple. La solution est bien sûr que les différents personnels en charge d'aspects différents de la lutte contre la cybercriminalité se rencontrent et échangent. « L'échange entre personnes de cultures professionnelles différentes est loin d'être simple » a reconnu Jean-Christophe Le Toquin.
La transversalité, clé de la lutte
La transversalité, clé de la lutte
Or la transversalité inter-disciplinaire est autant fondamentale que la collaboration entre entreprises ou entre public et privé. Mais plutôt qu'un confessionnal où les RSSI viendraient avouer leurs fautes, il faut mettre en place des groupes de paroles pour collaborer. « Il faudrait collaborer et échanger sur les expériences vécues par les entreprises et les administrations » a confirmé Jean-Paul Bonnet, responsable sécurité de BNP Paribas.
Bruno Gruselle milite : « le problème de la sécurité informatique est un problème de sécurité globale de l'entreprise, sa gestion requiert donc une gestion collégiale du risque ». Les outils techniques traditionnels sont de plus en plus dépassés par les nouvelles pratiques. Et, si les entreprises sont globalement conscientes des soucis, elles sont en mode réactif et pas préventif.
Le BYOD moins grave que les menaces sur le système de production
« Les entreprises saisissent des opportunités comme le cloud et le BYOD sans gérer les risques associés » dénonce Bruno Gruselle. Mais cette attitude n'est pas le plus grave. La deuxième tendance est aussi le raccordement des systèmes de gestion de la production industrielle au réseau général de l'entreprise, avec un éventuel pilotage ou contrôle à distance de chaînes robotisées.
Le pilotage se fait de plus en plus par des progiciels fortement standardisés. Le risque de piratage de l'outil industriel devient donc important mais est encore estimé par la plupart des entreprises comme théorique pour l'instant. L'affaire Stuxnet n'a visiblement pas ému tout le monde. Or « chaque objet connecté est par définition piratable » a rappelé Philippe Duluc, directeur de la sécurité de Bull.
L'argent n'est malheureusement pas le problème
De telles négligences ou retards seraient ils un problème de rentabilité de la lutte contre la menace en regard de la gravité et de la probabilité estimées de celle-ci ? « Ce n'est pas un problème d'argent mais de stratégie » affirme Nicolas Ruff. Les entreprises refusent de faire des choix et gardent des outils de sécurité obsolètes mais coûteux. L'approche doit évoluer de la forteresse (faussement) réputée imprenable (derrière ses firewalls) à l'aéroport où les métiers pilotent les risques dans la tour de contrôle et où les techniciens-pompiers sont près à réagir en cas de soucis.
Certains choix fondamentaux sont refusés pour de mauvaises raisons. « Ne pas autoriser un accès Internet sur un poste de travail, c'est possible » a martelé Nicolas Ruff. Pour lui, l'une des grandes difficultés est le faible coût des mesures nécessaires : « les mesures simples ne coûtent pas assez chères pour que soit montée une équipe projet ! »
La simplicité des mesures face à une criminalité sophistiquée
La simplicité des mesures face à une criminalité sophistiquée
Or, pour Nicolas Ruff, « il y a deux sortes d'entreprises : celles qui savent qu'elles sont piratées et celles qui ne le savent pas, le tout étant de garder le niveau de piratage sous contrôle ». Comme Jean-Paul Bonnet l'a rappelé, l'analyse des logs réseau et applicatifs permet généralement de détecter la quasi-totalité des attaques. Typiquement, 50 Go de données qui partent un samedi soir, cela doit éveiller les soupçons.
Le risque social : Linkedin plus dangereux que Facebook
La cybercriminalité gagne en sophistication et en puissance. Mais le processus d'attaque est généralement d'une simplicité technique confondante. « L'injection de code malicieux se fait souvent par un simple e-mail d'hameçonnage et l'ingénierie sociale permet de faire un hameçonnage efficace » a averti Philippe Duluc.
Pour Benoît Dupont, professeur en criminologie à l'université de Montréal, « Linkedin est plus dangereux que Facebook ». En effet, les inscrits sur le réseau social professionnel cherchent à valoriser leurs expériences dans un objectif de carrière. Au travers des CV détaillés comme des relations professionnelles des uns et des autres, il est ainsi très facile de reconstruire les hiérarchies et les répartitions de responsabilités.
Le hameçonnage est infiniment plus sophistiqué aujourd'hui qu'hier. Philippe Duluc explique ainsi : « avant 2012, un hameçonnage, c'était un e-mail renvoyant vers un site web contrefait, facile à blacklister ; en 2012, une seule attaque a renvoyé vers plus de 3000 URL qui étaient autant de copies du site contrefait ». Le professionnalisme des cybercriminels ne fait plus aucun doute. Nicolas Ruff a constaté : « l'espionnage est un métier, cela ne date pas d'hier. »