La sécurité, un défi à relever

Dossier : Économie numérique : Les enjeuxMagazine N°674 Avril 2012
Par Luc-François SALVADOR

Il n’est plus de con­flit entre États ou entre com­mu­nautés, de mou­ve­ment protes­tataire qui ne se dou­ble d’attaques des sys­tèmes d’information, par­fois très sophis­tiquées, par des « hack­ers » ou des « hack­tivistes » de plus en plus com­pé­tents. Si de telles attaques étaient générale­ment bénignes ou épisodiques il y a encore quelques années, elles atteignent désor­mais sou­vent un haut niveau de pro­fes­sion­nal­isme et visent des cibles qui pou­vaient s’estimer bien pro­tégées (ban­ques, sociétés de sécu­rité infor­ma­tique, autorités de cer­ti­fi­ca­tion numérique, sys­tèmes gou­verne­men­taux ou cou­verts par le secret de la défense nationale, etc.).

REPÈRES
Les attaques infor­ma­tiques con­tre l’économie numérique s’accroissent très forte­ment depuis quelques années : blocage ou défig­u­ra­tion de sites Inter­net, appro­pri­a­tion et par­fois mise en ligne d’identifiants ou de don­nées per­son­nelles, intru­sion dans les sys­tèmes d’information, inter­cep­tion de com­mu­ni­ca­tions élec­tron­iques, piégeage de dis­posi­tifs numériques (logi­ciels ou matériels) et main­tenant accès malveil­lant à des sys­tèmes numériques de con­trôle industriel.

Pertes et catastrophes

Les con­séquences de cette insécu­rité sur l’économie sont de plus en plus lour­des. Par ordre de grav­ité croissante :

L’accès malveil­lant aux sys­tèmes de con­trôle indus­triel pour­rait provo­quer des catastrophes

– les atteintes au bon fonc­tion­nement des sites et des sys­tèmes se traduisent en pertes de chiffres d’affaires de plusieurs jours ;

– les inter­cep­tions de com­mu­ni­ca­tions élec­tron­iques ain­si que les intru­sions dans les sys­tèmes d’information don­nent lieu à des vols mas­sifs d’informations sen­si­bles de l’entreprise ;

– les appro­pri­a­tions de don­nées sen­si­bles ou per­son­nelles entraî­nent de graves atteintes à la répu­ta­tion de l’entreprise ain­si qu’à celle de ses dirigeants ;

– l’accès malveil­lant aux sys­tèmes numériques de con­trôle indus­triel pour­rait provo­quer des cat­a­stro­phes majeures. D’ores et déjà, des vul­néra­bil­ités infor­ma­tiques ont été décou­vertes et pub­liées sur Inter­net pour nom­bre de sys­tèmes de con­trôle exis­tants. Des cas – encore ponctuels, fort heureuse­ment – d’attaques de tels sys­tèmes ont été observés.

Des régimes juridiques particuliers

Atteinte à la vie personnelle
Demain, l’Internet des objets plac­era à la portée des pirates du Net la plu­part des objets de notre vie per­son­nelle (quand ce n’est pas déjà le cas – nos télé­phones mobiles, par exem­ple) : équipements de la mai­son, véhicules, implants et autres dis­posi­tifs médi­caux, bien­tôt nos mon­tres et nos clés, pour ne citer que quelque­suns de ceux que l’on peut aisé­ment iden­ti­fi­er aujourd’hui.

Out­re ces men­aces qui relèvent de la cyber­crim­i­nal­ité, cer­tains risques pour la sécu­rité de l’information dérivent de régimes juridiques nationaux. En par­ti­c­uli­er, la lég­is­la­tion améri­caine intro­duite par le « Patri­ot Act » per­met aux autorités améri­caines et aux ser­vices de ce pays d’exiger de toute entre­prise soumise à la juri­dic­tion améri­caine l’accès à ses don­nées. Et cela, que celles-ci soient local­isées sur le ter­ri­toire améri­cain ou non, sans égard pour les règles issues du droit local ou du droit européen, pour­tant très pro­tecteur, mais qui se révèle inopérant en l’espèce. Ain­si, con­fi­er ses don­nées – ou celles de ses clients – à un prestataire dont la mai­son mère est local­isée aux États-Unis les expose à un risque de divul­ga­tion, quel que soit le cadre légal ou con­tractuel de la presta­tion correspondante.

Éviter un désastre pour l’entreprise visée

Au vu des dernières vagues d’attaques con­nues, de plus en plus d’acteurs économiques pren­nent con­science de l’importance de sécuris­er leur activité.

L’analyse de risques pro­tège con­tre la majorité des agres­sions observées

Cer­tains, les ban­ques par exem­ple, en sont con­va­in­cus de longue date et veil­lent à main­tenir leurs défens­es à bon niveau face à la men­ace dont la sophis­ti­ca­tion aug­mente chaque semaine.

D’autres, qui s’étaient jusqu’à présent con­tentés de mesures de sécu­rité élé­men­taires (antivirus, fire­wall), améliorent leur vig­i­lance quo­ti­di­enne (hygiène infor­ma­tique) et met­tent en place des solu­tions élaborées de pro­tec­tion ou de défense.

Bien que les attaques touchent toutes sortes d’entreprises et d’administrations, il est pos­si­ble d’accroître con­sid­érable­ment le niveau de sa sécu­rité en menant une analyse de risques, en met­tant en place et en con­duisant un plan de ren­force­ment de la sécu­rité et en gérant atten­tive­ment sa sécu­rité au quo­ti­di­en. L’efficacité de ces actions se véri­fie par des audits et des tests de péné­tra­tion assurés par des prestataires. Une entre­prise qui aura mené une telle démarche sera pro­tégée face aux attaques sim­ples, qui con­stituent 99 % des agres­sions observées, et lim­it­era con­sid­érable­ment les dom­mages qu’engendrerait une attaque sophis­tiquée. En out­re, elle facilit­era les pour­suites judi­ci­aires des agresseurs.

La démarche de sécurisation
La sécu­rité d’un sys­tème d’information repose avant tout sur de bonnes pra­tiques d’administration des sys­tèmes (« l’hygiène infor­ma­tique »). Dès lors que le sys­tème est cor­recte­ment admin­istré, une démarche de sécuri­sa­tion con­stru­ite peut se met­tre en place. Il s’agit tout d’abord de men­er une analyse de risques et d’identifier les infor­ma­tions, les appli­ca­tions et les infra­struc­tures réelle­ment sen­si­bles sur le réseau de l’entreprise. Une éval­u­a­tion du niveau de sécu­rité exis­tant et un plan de ren­force­ment de la sécu­rité peu­vent alors être établis.
Sur cette base, des pro­jets de sécuri­sa­tion sont alors con­duits (poli­tique de sécu­rité des sys­tèmes d’information, sécuri­sa­tion des mots de passe et authen­tifi­ca­tion forte, ges­tion automa­tisée des mis­es à jour des logi­ciels, for­ma­tion des admin­is­tra­teurs sys­tème et sen­si­bil­i­sa­tion du per­son­nel, iden­ti­fi­ca­tion et con­trôle d’accès ren­for­cés, etc.).
Un ser­vice de détec­tion des attaques en temps réel et d’administration de la sécu­rité peut être mis en place, éventuelle­ment avec l’aide d’un prestataire qual­i­fié. À l’issue, et régulière­ment par la suite, des audits et des tests de péné­tra­tion four­nissent une éval­u­a­tion de l’efficacité de la démarche. Celle-ci peut être struc­turée et ren­due pérenne via une cer­ti­fi­ca­tion ISO 27001 de l’entreprise.

Pas d’impasse sur la sécurité

Plusieurs tech­nolo­gies nova­tri­ces ne deman­dent qu’à se déploy­er en masse dans les entre­pris­es car elles répon­dent à de forts besoins exprimés par les cadres ou les métiers de l’entreprise. Ain­si en est-il de l’accès à dis­tance au sys­tème d’information, du cloud com­put­ing (exter­nal­i­sa­tion du stock­age et du traite­ment de l’information sur des serveurs virtuels non local­isés à l’avance), de l’utilisation à des fins pro­fes­sion­nelles d’équipements infor­ma­tiques per­son­nels (bring your own device), du rac­corde­ment général­isé des équipements de pro­duc­tion au sys­tème d’information de l’entreprise. Cepen­dant, les risques pour la sécu­rité de l’entreprise de ces démarch­es sont par­fois tels que le déploiement ne peut s’organiser que dans le cadre d’une démarche de sécu­rité bien con­duite. Cer­taines de ces nou­velles tech­nolo­gies étant très large­ment, voire exclu­sive­ment, d’origine nord-améri­caine (ter­minaux mobiles et leurs logi­ciels, cloud com­put­ing), peu d’opérateurs français ou européens en maîtrisent la sécu­rité, ce qui en ralen­tit encore la dif­fu­sion dans les entreprises.

L’évolution du marché de la sécurité

L’impact économique des cyberattaques
En 2011, un rap­port fourni au Pre­mier min­istre bri­tan­nique éval­u­ait l’impact de la cyber­crim­i­nal­ité sur l’économie nationale à au moins 27 mil­liards de livres, sup­port­és pour les trois quarts par les entre­pris­es. Ces coûts sont causés, par ordre décrois­sant d’importance, par la perte de pro­priété intel­lectuelle, l’espionnage économique, les extor­sions de fonds, le vol en ligne et la perte de don­nées des clients.
Selon la société améri­caine de sécu­rité Syman­tec, le préju­dice total causé par la cyber­crim­i­nal­ité dans le monde s’élèverait à 388 mil­liards de dol­lars, com­posés pour 30% du préju­dice direct dû aux attaques et pour 70% du temps per­du par les vic­times. En France, ce préju­dice total s’élèverait à plus de 1,7 mil­liard d’euros et con­cern­erait près de 10 mil­lions de vic­times chaque année.

Le marché de la sécu­rité infor­ma­tique est estimé à 60 mil­liards de dol­lars au niveau mon­di­al. Il s’accroît rapi­de­ment et devrait représen­ter en 2013 env­i­ron 14% du marché de l’informatique. Pour le seul seg­ment du con­seil et des presta­tions de ser­vice, il s’accroît de 11 % par an. Bien que ces chiffres soient impor­tants, ils restent large­ment inférieurs aux dom­mages économiques entraînés par les attaques infor­ma­tiques. Aujourd’hui très éclaté, le marché de la sécu­rité infor­ma­tique se struc­ture du côté de la demande (prise de con­science de l’ampleur des besoins) comme du côté de l’offre (mise en place de com­pé­tences glob­ales, indus­tri­al­i­sa­tion de la démarche).

La demande se structure et s’accroît

Le déploiement de tech­nolo­gies nova­tri­ces exige une démarche de sécu­rité bien conduite

Du côté de la demande, un nom­bre crois­sant de sociétés entre­pren­nent une démarche sys­té­ma­tique de sécu­rité telle que résumée ci-dessus et affectent à cet objec­tif les pri­or­ités et les ressources néces­saires. Elles dépassent le stade des achats ou des presta­tions de sécu­rité ponctuelles, veil­lent à leur hygiène infor­ma­tique et organ­isent de manière pro­fes­sion­nelle la mon­tée en puis­sance de leur sécu­rité (éval­u­a­tion de l’existant et analyse de risques, mise au point d’un plan de ren­force­ment, con­duite de pro­jets de sécuri­sa­tion, véri­fi­ca­tion par des audits et tests, mise en place d’une démarche per­ma­nente de renforcement).

Quelques attaques récentes
En 2010, un code infor­ma­tique malveil­lant par­ti­c­ulière­ment sophis­tiqué visait spé­ci­fique­ment les instal­la­tions nucléaires irani­ennes. Il aurait provo­qué la casse de nom­breuses centrifugeuses.
En mars 2011, les min­istères économiques et financiers annonçaient l’existence d’une vaste intru­sion infor­ma­tique ayant occa­sion­né la fuite de nom­breux doc­u­ments sur l’action de la France dans l’économie inter­na­tionale, notam­ment lors de sa prési­dence des G7 et G20.
En mars 2011, le four­nisseur améri­cain de solu­tions de sécu­rité infor­ma­tique RSA sig­nalait avoir subi une agres­sion infor­ma­tique très sophis­tiquée. Les infor­ma­tions con­fi­den­tielles ain­si obtenues étaient par la suite util­isées par les attaquants pour vol­er des infor­ma­tions sen­si­bles dans les sys­tèmes d’information d’entreprises tra­vail­lant dans le domaine de la défense.
Au print­emps 2011, des hack­ers annonçaient avoir pénétré des sys­tèmes d’information du groupe Sony et y avoir dérobé les infor­ma­tions per­son­nelles de plus de cent mil­lions de clients des ser­vices en ligne de l’entreprise, qui ont dû être inter­rom­pus pen­dant plusieurs semaines.

Aujourd’hui, de plus en plus de sociétés pren­nent du reste con­science de la néces­sité de se faire assis­ter par un « prestataire glob­al de sécu­rité infor­ma­tique », capa­ble de les aider à analyser leur sit­u­a­tion, de con­stru­ire leur sécu­rité, de sur­veiller leurs réseaux et de s’assurer du main­tien à jour per­ma­nent de la démarche.

L’offre se professionnalise

Du côté de l’offre, quelques sociétés français­es, néces­saire­ment de taille impor­tante, com­men­cent à déploy­er l’ensemble des com­pé­tences néces­saires pour pou­voir offrir à leurs clients une offre cohérente et glob­ale de sécurité.

L’exemple de Sogeti
Sogeti, fil­iale à 100% du groupe Capgem­i­ni, est dédiée aux ser­vices infor­ma­tiques de prox­im­ité pour les entreprises.
Avec 20 000 employés, dont près de 10 000 en France, elle est présente dans une quin­zaine de pays dans le monde. Sogeti a mis en place une offre com­plète de presta­tions des­tinée à répon­dre à l’ensemble des besoins en sécu­rité de ses clients. Cette offre va du con­seil et de l’analyse de risques jusqu’à la mise en place de solu­tions de sécu­rité ou à la ges­tion per­ma­nente de la sécu­rité numérique de l’entreprise. Elle s’étend jusqu’à la maîtrise d’oeuvre de la sécu­rité et de la défense des sys­tèmes d’information de ses clients.

Elles met­tent en place des presta­tions for­faitaires, telles que la sur­veil­lance per­ma­nente des réseaux via des secu­ri­ty oper­a­tion cen­ters, ouverts 24 heures sur 24, qui mutu­alisent les presta­tions pour plusieurs clients et per­me­t­tent à cha­cun de ceux-ci de béné­fici­er de presta­tions indi­vid­u­al­isées de très haut niveau avec des coûts partagés. Elles doivent être capa­bles d’intégrer les solu­tions et les équipements de sécu­rité four­nis par les PME français­es et, de ce fait, de fédér­er le tis­su indus­triel cor­re­spon­dant. Elles s’inscrivent dans un parte­nar­i­at de con­fi­ance avec l’État qui leur per­met de dis­pos­er des infor­ma­tions les plus récentes sur la men­ace et les bonnes pra­tiques et de garan­tir leur sérieux et leur pro­fes­sion­nal­isme à leurs clients.

Un rapport étroit avec l’État

Compte tenu des enjeux régaliens et du car­ac­tère stratégique de la sécu­rité des sys­tèmes d’information, qui con­cerne les organ­ismes les plus sen­si­bles de l’État au même titre que les acteurs économiques, l’État et les entre­pris­es com­pé­tentes et de con­fi­ance doivent plus que jamais tra­vailler ensem­ble pour faire face aux men­aces qui pèsent sur l’économie numérique.

L’État a su inve­stir forte­ment et judi­cieuse­ment dans un sujet majeur pour l’économie nationale

Au sein de l’État, l’Agence nationale de la sécu­rité des sys­tèmes d’information (ANSSI) a été créée en 2009 et a été désignée autorité nationale de sécu­rité puis, plus récem­ment, de défense des sys­tèmes d’information. Elle définit la poli­tique et coor­donne les actions de l’État dans le domaine et assure, en cas d’attaque infor­ma­tique majeure visant les sys­tèmes d’information nationaux essen­tiels, la défense numérique de la nation en liai­son avec les min­istères et les opéra­teurs directe­ment con­cernés. Il est remar­quable de con­stater que, en ces temps de restric­tions budgé­taires, l’État a su inve­stir forte­ment et judi­cieuse­ment dans un sujet majeur pour l’économie nationale.

Partenariat public-privé

Comme il l’a annon­cé en 2011 dans la stratégie nationale de défense et de sécu­rité des sys­tèmes d’information, l’État a entre­pris de met­tre sur pied un parte­nar­i­at pub­lic-privé avec des opéra­teurs de con­fi­ance afin que la pro­tec­tion infor­ma­tique des infra­struc­tures essen­tielles au bon fonc­tion­nement de la Nation soit mieux assurée.

Piloté par l’ANSSI, ce parte­nar­i­at doit en par­ti­c­uli­er per­me­t­tre de dif­fuser les bonnes pra­tiques de sécu­rité et de partager l’analyse de la men­ace. Il implique au pre­mier chef des indus­triels et prestataires de ser­vice dans le domaine de la sécurité.

La lutte infor­ma­tique offensive
Le Livre blanc sur la défense et la sécu­rité nationale, élaboré par le gou­verne­ment en 2008, annonce que la France se dote d’une capac­ité de neu­tral­i­sa­tion par voie infor­ma­tique des cen­tres d’opérations advers­es. Les forces armées se pré­par­ent à con­duire de telles actions et, à cette fin, met­tent en place des cel­lules spé­cial­isées et se dotent d’équipements et d’outils adap­tés. Adap­té à un con­texte mil­i­taire ce cadre d’emploi se doit de respecter le principe de riposte pro­por­tion­nelle à l’attaque, visant en pri­or­ité les moyens opéra­tionnels de l’adversaire.
Les États-Unis, de leur côté, ont mis en place au niveau stratégique un cyber com­mand, opéra­tionnel depuis 2010 et placé sous l’autorité d’un offici­er général égale­ment directeur de la Nation­al Secu­ri­ty Agency. Le cyber com­mand est chargé de pré­par­er et de con­duire les opéra­tions améri­caines de lutte infor­ma­tique offensive.
Pour mémoire, en dehors du cadre mil­i­taire, les actions infor­ma­tiques à visée offen­sive sont naturelle­ment inter­dites par la loi.

Poster un commentaire