La Cybersécurité au-delà de la technologie
eBook - ePub

La Cybersécurité au-delà de la technologie

Comment mieux gérer ses risques pour mieux investir

  1. 192 pages
  2. French
  3. ePUB (adapté aux mobiles)
  4. Disponible sur iOS et Android
eBook - ePub

La Cybersécurité au-delà de la technologie

Comment mieux gérer ses risques pour mieux investir

Détails du livre
Aperçu du livre
Table des matières
Citations

À propos de ce livre

On ne compte plus aujourd'hui les entreprises victimes de piratage sur Internet. Objet de toutes les convoitises, les données personnelles constituent l'«or noir du XXIe siècle». Or, en dépit d'investissements souvent massifs, leur protection reste toujours insuffisante. Quels sont les ingrédients d'une cybersécurité réussie? Pourquoi les technologies les plus sophistiquées sont-elles si souvent mises en échec? Ce livre le montre: pour protéger efficacement les données, les technologies les plus pointues ne suffisent pas. Un chiffre permet d'en comprendre la raison: au sein des entreprises, un tiers des accidents de sécurité sont le fait de collaborateurs de l'entreprise. Comment mieux souligner l'importance de la formation aux risques de sécurité? Mettant l'accent sur le capital humain et le rôle de l'organisation, l'auteur propose des solutions innovantes pour sortir du tout-technologique et du «marketing de la peur». Philippe Trouchaud, associé au sein du cabinet PwC (PricewaterhouseCoopers), est responsable du développement des activités de cybersécurité pour l'Europe, le Moyen-Orient et l'Afrique. À ce titre, il conseille les directions des entreprises du CAC 40, de groupes internationaux et de grands acteurs de l'Internet. Auteur de nombreux articles sur le sujet, il intervient fréquemment lors de conférences liées aux enjeux managériaux de la cybersécurité. Jean-Baptiste Rudelle est fondateur et Président directeur général de Criteo.

Foire aux questions

Il vous suffit de vous rendre dans la section compte dans paramètres et de cliquer sur « Résilier l’abonnement ». C’est aussi simple que cela ! Une fois que vous aurez résilié votre abonnement, il restera actif pour le reste de la période pour laquelle vous avez payé. Découvrez-en plus ici.
Pour le moment, tous nos livres en format ePub adaptés aux mobiles peuvent être téléchargés via l’application. La plupart de nos PDF sont également disponibles en téléchargement et les autres seront téléchargeables très prochainement. Découvrez-en plus ici.
Les deux abonnements vous donnent un accès complet à la bibliothèque et à toutes les fonctionnalités de Perlego. Les seules différences sont les tarifs ainsi que la période d’abonnement : avec l’abonnement annuel, vous économiserez environ 30 % par rapport à 12 mois d’abonnement mensuel.
Nous sommes un service d’abonnement à des ouvrages universitaires en ligne, où vous pouvez accéder à toute une bibliothèque pour un prix inférieur à celui d’un seul livre par mois. Avec plus d’un million de livres sur plus de 1 000 sujets, nous avons ce qu’il vous faut ! Découvrez-en plus ici.
Recherchez le symbole Écouter sur votre prochain livre pour voir si vous pouvez l’écouter. L’outil Écouter lit le texte à haute voix pour vous, en surlignant le passage qui est en cours de lecture. Vous pouvez le mettre sur pause, l’accélérer ou le ralentir. Découvrez-en plus ici.
Oui, vous pouvez accéder à La Cybersécurité au-delà de la technologie par Philippe Trouchaud en format PDF et/ou ePUB ainsi qu’à d’autres livres populaires dans Technologie et ingénierie et Recherche et compétences en technologie et en ingénierie. Nous disposons de plus d’un million d’ouvrages à découvrir dans notre catalogue.

Informations

Éditeur
Odile Jacob
Année
2016
ISBN
9782738163691
Sujet
Technologie et ingénierie
Sous-sujet
Recherche et compétences en technologie et en ingénierie

TROISIÈME PARTIE

Réussir sa cybersécurité :
se réapproprier son capital humain et modifier son organisation

CHAPITRE 6

Les Pieds Nickelés font de la cybersécurité

« Ah ça, c’est une chouette idée, répondirent en chœur Ribouldingue et Filochard, sûrement, allons-y, ça colle ! »
Louis FORTON,
Les Aventures des Pieds Nickelés.
Quelle est la situation ? Les données sont le premier actif des entreprises, l’investissement dans la technologie est indispensable même s’il apparaît compliqué et si les menaces sont de plus en plus importantes. On s’attendrait donc à ce que tout le monde prenne les mesures adéquates pour se protéger. À l’image de la sécurité physique, dans la « vraie vie ».

De la débrouillardise ingénieuse au lieu d’une stratégie réfléchie

Or, lorsqu’il s’agit de sécurité informatique, comme les menaces sont invisibles, les entreprises ont tendance à faire confiance.
Quand on regarde d’où vient cette confiance, on remarque que cela ne repose sur rien de réellement tangible. Normalement, quand on fait confiance, c’est que l’on a étayé son jugement.
Plus largement, nous nous sommes rendu compte que non seulement les entreprises ne savent pas réellement ce qu’elles ont à protéger, mais qu’en plus, elles ne pratiquent pas d’évaluation régulière (environ 1 fois par an) de leur sécurité.
De fait, quand on se penche en détail sur la cybersécurité des entreprises, on remarque qu’aujourd’hui, aussi étonnant que cela puisse paraître, toutes les briques de base de la sécurité ne sont pas présentes. Souvent, il n’y a pas de système de détection des fuites des données. Le taux d’équipements est à environ 50 %. C’est maigre. En clair, non seulement les entreprises ne savent pas bien ce qu’il faut protéger, mais en plus elles ne possèdent pas les outils de surveillance adéquats.
Pis, quand ces systèmes de surveillance sont en place, l’organisation de l’entreprise ne permet pas – le plus souvent – de gérer correctement les alertes.
À la lecture de ces lignes, le lecteur sera tenté de penser que l’auteur exagère, dramatise et caricature. Prenons donc quelques exemples tirés de la vie réelle pour montrer à quel point, à l’heure actuelle, nous sommes proches des Pieds Nickelés lorsqu’il s’agit de cybersécurité.
C’est ainsi que l’on peut croiser une direction des ressources humaines d’une grande entreprise qui déploie un outil mondial de gestion des ressources humaines contenant des informations confidentielles sur les salariés du groupe. Il s’agit d’une solution cloud. Avant la mise en service, la direction générale demande une vérification de cette solution. Réponse : en dix minutes, depuis l’extérieur, on accédait à toutes les rémunérations et toutes les informations confidentielles de l’ensemble des salariés de l’entreprise. Dans ce cas, aucun système de sécurité n’était activé et ce alors même que le système en proposait.
C’est ainsi que l’on découvre qu’un hôpital voulant améliorer le confort de ses patients ouvre des bornes wifi. Le but est de permettre à l’ensemble de la patientèle de se connecter à Internet pendant leur séjour hospitalier. Problème : pour faire des économies, l’établissement a choisi de connecter ce wifi pour les patients à son réseau interne. Des tests effectués depuis la rue d’à côté permettent ainsi de rejoindre le réseau interne et d’accéder non seulement à la liste de l’ensemble des patients de l’hôpital, mais aussi à leur dossier médical. Autant dire que cette erreur est majeure pour la réputation de l’établissement de santé habitué à une clientèle huppée. Plus largement, cette erreur coûte cher puisque les patients peuvent ainsi voir leurs données médicales – qui sont certainement parmi les données les plus sensibles – en libre accès sur la place publique.
Le directeur informatique en question a été limogé. Dans ce cas précis, l’erreur lui est peut-être imputable. Mais avait-il reçu la formation adéquate ? Était-il vraiment la bonne personne pour arbitrer entre les coûts et la sécurité ? Il s’avère évidemment que non. Auparavant, cette personne était spécialisée dans la sécurité physique des personnes et des biens. Or ce n’est absolument pas le même métier.
C’est ainsi qu’un grand industriel déploie une solution ERP mondiale (pour gérer tout le périmètre financier). En parallèle, dans le cadre des visites des sites de production, il décide de mettre des accès wifi pour les visiteurs. Tout le monde croit, à ce moment-là, que personne ne peut via le wifi se connecter à la solution ERP. En fait, avec un PC sur le parking d’une des usines, il est possible de pénétrer sur le wifi mal sécurisé, puis sur l’ERP mal sécurisé pour obtenir des informations d’une importance cruciale. Résultat : il aurait été possible d’effectuer des virements de plusieurs millions d’euros. Dans ce cas, nous sommes en plein dans l’hypothèse où l’on fait une confiance aveugle à un dispositif, sans le tester ou le vérifier régulièrement.
C’est également ainsi qu’une banque qui souhaitait vérifier la sécurité de sa monétique, car elle avait fait des adaptations, s’aperçoit qu’il y a des failles sur les fichiers informatiques des distributeurs de billets (DAB). En s’introduisant assez facilement dans le système, il était possible de prendre la main sur les DAB et d’en sortir des billets, sans carte.
C’est ainsi, par défaut de paramétrage d’un firewall, que l’on parvient à prendre les commandes de l’ensemble des panneaux de signalisation d’une route, à y modifier les messages affichés, et à y changer les orientations des caméras. Dans le cas d’espèce, il était même possible de remplacer l’image diffusée sur les écrans de contrôle par une autre. Celle de la veille par exemple.
C’est ainsi l’histoire d’une grande business school qui, déployant des accès wifi pour les étudiants, oublie de les sécuriser réellement. Pis, elle omet également de créer un filtrage entre le wifi et le réseau interne de l’établissement. Évidemment, quelques étudiants s’en aperçoivent et accèdent au système de gestion des notes et les modifient. Il était même possible de créer des étudiants imaginaires.
C’est aussi ce magasin célèbre dont le système informatique devait être hautement sécurisé. En quelques minutes, là encore, il était possible de pénétrer dans son serveur pour sortir du cash de toutes les caisses de l’établissement.
C’est encore une grande entreprise industrielle dans l’aéronautique où l’on s’aperçoit que l’ensemble des systèmes dit SCADA (Supervisory Control and Data Acquisition), qui concernent la signalétique complète d’un lieu, ne sont pas sécurisés. C’est-à-dire que, une fois de plus, de l’extérieur, à cause de petites failles ou de choses basiques qui ne sont pas faites, on peut prendre le contrôle de l’ensemble de la signalétique et changer les messages.
Ces histoires sont significatives. Elles sont toutes réelles. Elles en disent long sur les niveaux de sécurité de nos entreprises. Nous nous agitons sur nos chaises en sautant comme des cabris en criant « cybersécurité », mais celle-ci n’advient pas. Pas plus que l’Europe dans cette phrase célèbre du général de Gaulle n’advient si des actes ne l’accompagnent pas.
Ces histoires disent nos failles, nos faiblesses, nos erreurs. Surtout, comme dans la célèbre BD des Pieds Nickelés, elles démontrent la mise en place d’un véritable système de débrouillardise plus que d’expertise. Et si la débrouillardise a du bon et engendre des choses positives, nous sommes désormais arrivés à un stade où l’expertise et la stratégie sont essentielles en matière de cybersécurité.

Une détection trop longue

Manque de compétences. Transfert des concepts de sécurité physique dans la sécurité informatique. Nombre d’entreprises ont fait appel à des personnes spécialistes de la protection des personnes physiques pour gérer au moins une partie de leur cybersécurité. Ce n’est pas leur faire injure que de dire qu’elles ne sont pas forcément les mieux placées pour gérer ce genre de questions. Bien au contraire. Souvent, elles-mêmes se sentent en décalage et ne parviennent pas à remplir la mission qui leur a été confiée. Aujourd’hui, trop souvent, les entreprises agissent en confiant ce rôle à une personne sans lui fournir la formation nécessaire. C’est un vrai problème et l’une des raisons du retard que les entreprises françaises ont pris dans ce domaine de la sécurité informatique.
Si, collectivement, nous ne prenons pas la mesure réelle de cet enjeu, nous croiserons toujours des sociétés où la gouvernance reste faible.
Souvent, lorsqu’un président d’entreprise est vexé de voir que tous ses collègues ou ses administrateurs ont un iPad, un iPhone ou toute autre nouveauté technologique, il convoque son directeur informatique et lui enjoint de fournir le plus rapidement possible à l’ensemble du comité exécutif cette technologie. Problème : il est trop pressé pour accepter de « perdre du temps » en sécurisant ces objets. Résultat : s’affranchir des règles de sécurité existantes conduit à ce que, depuis un simple smartphone, on parvient à accéder à toutes les lignes de production de toutes les usines du monde en actionnant des robots… Cette histoire est vraie : elle est arrivée dans une très grande entreprise cotée en Bourse.
La litanie de ces histoires est longue. Ajoutons qu’il a été récemment possible à un employé d’un grand constructeur automobile de pirater les fichiers des ressources humaines pour s’augmenter. La détection de cette fraude a pris trois mois. Idem, toujours chez ce constructeur, les équipes d’audit interne ont découvert que de n’importe quel poste informatique connecté au réseau, il était possible d’envoyer un e-mail au nom du P-DG, vers les collaborateurs, mais aussi vers l’extérieur.
Ici, la découverte s’est faite en interne. C’est signe que des tests ont été effectués et que ceux qui les ont réalisés disposent du niveau d’expertise adéquat. Toutefois, ce genre de faille démontre clairement que la route est encore longue avant que la cybersécurité soit entrée complètement dans les mœurs des entreprises.
De fait, aujourd’hui, en moyenne, avant qu’une entreprise ne s’aperçoive qu’elle a été piratée et attaquée, il s’écoule 240 jours. Cette moyenne est celle des attaques dites APT (Advanced Persistent Threat) qui consistent pour le pirate à s’introduire dans un ordinateur qui sera connecté au réseau, d’obtenir des accréditations supplémentaires, puis petit à petit de faire sortir des informations stratégiques de l’entreprise. En 240 jours, il a le temps.
Cette technique dite du « cheval de Troie » a été notamment employée lors de l’affaire de l’espionnage d’Areva.
Dans le cadre du rapport sénatorial de 20121 de Jean-Marie Bockel, les dirigeants d’Areva et de l’Anssi (Agence nationale de la sécurité des systèmes d’information) sont revenus en détail sur le déroulé de l’attaque. Que peut-on lire dans ce document ?
« Areva avait été victime d’une intrusion informatique, menée grâce à un “cheval de Troie”, qui a permis aux attaquants d’accéder à des composants de type bureautique du système d’information. En revanche, les systèmes industriels pilotant les activités sensibles des installations nucléaires n’ont pas été affectés, étant par ailleurs totalement isolés par conception et construction. Lors d’une deuxième phase, minutieusement préparée, les équipes d’Areva, de l’Anssi et de prestataires privés ont procédé à un vaste plan d’assainissement de l’ensemble des systèmes d’information du groupe. Au cours de cette phase couplée à une opération de maintenance planifiée, il a été procédé à la mise en œuvre d’un plan de renforcement de la sécurité des systèmes. Dans les semaines qui ont suivi, des mesures de sécurité complémentaires de même nature que celles recommandées à Bercy ont été apportées. Elles ont entraîné une modification des habitudes des utilisateurs, mais la direction informatique du groupe, soutenue par sa hiérarchie, a su imposer les choix nécessaires. Au total, le coût pour l’entreprise de cette opération d’assainissement et de reconfiguration d’une partie de son système d’information a été de l’ordre de plusieurs millions d’euros, sans prendre en compte le préjudice économique éventuel résultant du vol des informations », détaille le rapport.
Dans ce cas comme dans les autres, ce qui est le plus frappant est que ce genre d’intrusion fait du « bruit », laisse des traces. Il faut donc 240 jours pour les détecter. Nous ne disposons pas des bonnes alertes en matière de sécurité informatique. Évidemment, ces alarmes ne font pas des bips, les choses sont un peu plus complexes à repérer. Ainsi, le système de surveillance ne va pas dire « attention, il y a un voleur dans la maison », il va souligner le fait qu’il « y a un faisceau d’indices très étranges sur le réseau ».

Utiliser des algorithmes pour...

Table des matières

  1. Couverture
  2. Titre
  3. Copyright
  4. Préface - La confiance : condition de la cybersécurité - par Jean-Baptiste Rudelle
  5. Introduction
  6. Première partie - Technologie et données : les deux évidences nouvelles des entreprises
  7. Deuxième partie - Des attaquants, des risques et des vulnérabilités
  8. Troisième partie - Réussir sa cybersécurité : se réapproprier son capital humain et modifier son organisation
  9. Conclusion
  10. Remerciements
  11. Table