La sécurité, un défi à relever

Dossier : Économie numérique : Les enjeuxMagazine N°674 Avril 2012
Par Luc-François SALVADOR

Il n’est plus de conflit entre États ou entre com­mu­nau­tés, de mou­ve­ment pro­tes­ta­taire qui ne se double d’attaques des sys­tèmes d’information, par­fois très sophis­ti­quées, par des « hackers » ou des « hack­ti­vistes » de plus en plus com­pé­tents. Si de telles attaques étaient géné­ra­le­ment bénignes ou épi­so­diques il y a encore quelques années, elles atteignent désor­mais sou­vent un haut niveau de pro­fes­sion­na­lisme et visent des cibles qui pou­vaient s’estimer bien pro­té­gées (banques, socié­tés de sécu­ri­té infor­ma­tique, auto­ri­tés de cer­ti­fi­ca­tion numé­rique, sys­tèmes gou­ver­ne­men­taux ou cou­verts par le secret de la défense natio­nale, etc.).

REPÈRES
Les attaques infor­ma­tiques contre l’économie numé­rique s’accroissent très for­te­ment depuis quelques années : blo­cage ou défi­gu­ra­tion de sites Inter­net, appro­pria­tion et par­fois mise en ligne d’identifiants ou de don­nées per­son­nelles, intru­sion dans les sys­tèmes d’information, inter­cep­tion de com­mu­ni­ca­tions élec­tro­niques, pié­geage de dis­po­si­tifs numé­riques (logi­ciels ou maté­riels) et main­te­nant accès mal­veillant à des sys­tèmes numé­riques de contrôle industriel.

Pertes et catastrophes

Les consé­quences de cette insé­cu­ri­té sur l’économie sont de plus en plus lourdes. Par ordre de gra­vi­té croissante :

L’accès mal­veillant aux sys­tèmes de contrôle indus­triel pour­rait pro­vo­quer des catastrophes

– les atteintes au bon fonc­tion­ne­ment des sites et des sys­tèmes se tra­duisent en pertes de chiffres d’affaires de plu­sieurs jours ;

– les inter­cep­tions de com­mu­ni­ca­tions élec­tro­niques ain­si que les intru­sions dans les sys­tèmes d’information donnent lieu à des vols mas­sifs d’informations sen­sibles de l’entreprise ;

– les appro­pria­tions de don­nées sen­sibles ou per­son­nelles entraînent de graves atteintes à la répu­ta­tion de l’entreprise ain­si qu’à celle de ses dirigeants ;

– l’accès mal­veillant aux sys­tèmes numé­riques de contrôle indus­triel pour­rait pro­vo­quer des catas­trophes majeures. D’ores et déjà, des vul­né­ra­bi­li­tés infor­ma­tiques ont été décou­vertes et publiées sur Inter­net pour nombre de sys­tèmes de contrôle exis­tants. Des cas – encore ponc­tuels, fort heu­reu­se­ment – d’attaques de tels sys­tèmes ont été observés.

Des régimes juridiques particuliers

Atteinte à la vie personnelle
Demain, l’Internet des objets pla­ce­ra à la por­tée des pirates du Net la plu­part des objets de notre vie per­son­nelle (quand ce n’est pas déjà le cas – nos télé­phones mobiles, par exemple) : équi­pe­ments de la mai­son, véhi­cules, implants et autres dis­po­si­tifs médi­caux, bien­tôt nos montres et nos clés, pour ne citer que quel­que­suns de ceux que l’on peut aisé­ment iden­ti­fier aujourd’hui.

Outre ces menaces qui relèvent de la cyber­cri­mi­na­li­té, cer­tains risques pour la sécu­ri­té de l’information dérivent de régimes juri­diques natio­naux. En par­ti­cu­lier, la légis­la­tion amé­ri­caine intro­duite par le « Patriot Act » per­met aux auto­ri­tés amé­ri­caines et aux ser­vices de ce pays d’exiger de toute entre­prise sou­mise à la juri­dic­tion amé­ri­caine l’accès à ses don­nées. Et cela, que celles-ci soient loca­li­sées sur le ter­ri­toire amé­ri­cain ou non, sans égard pour les règles issues du droit local ou du droit euro­péen, pour­tant très pro­tec­teur, mais qui se révèle inopé­rant en l’espèce. Ain­si, confier ses don­nées – ou celles de ses clients – à un pres­ta­taire dont la mai­son mère est loca­li­sée aux États-Unis les expose à un risque de divul­ga­tion, quel que soit le cadre légal ou contrac­tuel de la pres­ta­tion correspondante.

Éviter un désastre pour l’entreprise visée

Au vu des der­nières vagues d’attaques connues, de plus en plus d’acteurs éco­no­miques prennent conscience de l’importance de sécu­ri­ser leur activité.

L’analyse de risques pro­tège contre la majo­ri­té des agres­sions observées

Cer­tains, les banques par exemple, en sont convain­cus de longue date et veillent à main­te­nir leurs défenses à bon niveau face à la menace dont la sophis­ti­ca­tion aug­mente chaque semaine.

D’autres, qui s’étaient jusqu’à pré­sent conten­tés de mesures de sécu­ri­té élé­men­taires (anti­vi­rus, fire­wall), amé­liorent leur vigi­lance quo­ti­dienne (hygiène infor­ma­tique) et mettent en place des solu­tions éla­bo­rées de pro­tec­tion ou de défense.

Bien que les attaques touchent toutes sortes d’entreprises et d’administrations, il est pos­sible d’accroître consi­dé­ra­ble­ment le niveau de sa sécu­ri­té en menant une ana­lyse de risques, en met­tant en place et en condui­sant un plan de ren­for­ce­ment de la sécu­ri­té et en gérant atten­ti­ve­ment sa sécu­ri­té au quo­ti­dien. L’efficacité de ces actions se véri­fie par des audits et des tests de péné­tra­tion assu­rés par des pres­ta­taires. Une entre­prise qui aura mené une telle démarche sera pro­té­gée face aux attaques simples, qui consti­tuent 99 % des agres­sions obser­vées, et limi­te­ra consi­dé­ra­ble­ment les dom­mages qu’engendrerait une attaque sophis­ti­quée. En outre, elle faci­li­te­ra les pour­suites judi­ciaires des agresseurs.

La démarche de sécurisation
La sécu­ri­té d’un sys­tème d’information repose avant tout sur de bonnes pra­tiques d’administration des sys­tèmes (« l’hygiène infor­ma­tique »). Dès lors que le sys­tème est cor­rec­te­ment admi­nis­tré, une démarche de sécu­ri­sa­tion construite peut se mettre en place. Il s’agit tout d’abord de mener une ana­lyse de risques et d’identifier les infor­ma­tions, les appli­ca­tions et les infra­struc­tures réel­le­ment sen­sibles sur le réseau de l’entreprise. Une éva­lua­tion du niveau de sécu­ri­té exis­tant et un plan de ren­for­ce­ment de la sécu­ri­té peuvent alors être établis.
Sur cette base, des pro­jets de sécu­ri­sa­tion sont alors conduits (poli­tique de sécu­ri­té des sys­tèmes d’information, sécu­ri­sa­tion des mots de passe et authen­ti­fi­ca­tion forte, ges­tion auto­ma­ti­sée des mises à jour des logi­ciels, for­ma­tion des admi­nis­tra­teurs sys­tème et sen­si­bi­li­sa­tion du per­son­nel, iden­ti­fi­ca­tion et contrôle d’accès ren­for­cés, etc.).
Un ser­vice de détec­tion des attaques en temps réel et d’administration de la sécu­ri­té peut être mis en place, éven­tuel­le­ment avec l’aide d’un pres­ta­taire qua­li­fié. À l’issue, et régu­liè­re­ment par la suite, des audits et des tests de péné­tra­tion four­nissent une éva­lua­tion de l’efficacité de la démarche. Celle-ci peut être struc­tu­rée et ren­due pérenne via une cer­ti­fi­ca­tion ISO 27001 de l’entreprise.

Pas d’impasse sur la sécurité

Plu­sieurs tech­no­lo­gies nova­trices ne demandent qu’à se déployer en masse dans les entre­prises car elles répondent à de forts besoins expri­més par les cadres ou les métiers de l’entreprise. Ain­si en est-il de l’accès à dis­tance au sys­tème d’information, du cloud com­pu­ting (exter­na­li­sa­tion du sto­ckage et du trai­te­ment de l’information sur des ser­veurs vir­tuels non loca­li­sés à l’avance), de l’utilisation à des fins pro­fes­sion­nelles d’équipements infor­ma­tiques per­son­nels (bring your own device), du rac­cor­de­ment géné­ra­li­sé des équi­pe­ments de pro­duc­tion au sys­tème d’information de l’entreprise. Cepen­dant, les risques pour la sécu­ri­té de l’entreprise de ces démarches sont par­fois tels que le déploie­ment ne peut s’organiser que dans le cadre d’une démarche de sécu­ri­té bien conduite. Cer­taines de ces nou­velles tech­no­lo­gies étant très lar­ge­ment, voire exclu­si­ve­ment, d’origine nord-amé­ri­caine (ter­mi­naux mobiles et leurs logi­ciels, cloud com­pu­ting), peu d’opérateurs fran­çais ou euro­péens en maî­trisent la sécu­ri­té, ce qui en ralen­tit encore la dif­fu­sion dans les entreprises.

L’évolution du marché de la sécurité

L’impact éco­no­mique des cyberattaques
En 2011, un rap­port four­ni au Pre­mier ministre bri­tan­nique éva­luait l’impact de la cyber­cri­mi­na­li­té sur l’économie natio­nale à au moins 27 mil­liards de livres, sup­por­tés pour les trois quarts par les entre­prises. Ces coûts sont cau­sés, par ordre décrois­sant d’importance, par la perte de pro­prié­té intel­lec­tuelle, l’espionnage éco­no­mique, les extor­sions de fonds, le vol en ligne et la perte de don­nées des clients.
Selon la socié­té amé­ri­caine de sécu­ri­té Syman­tec, le pré­ju­dice total cau­sé par la cyber­cri­mi­na­li­té dans le monde s’élèverait à 388 mil­liards de dol­lars, com­po­sés pour 30% du pré­ju­dice direct dû aux attaques et pour 70% du temps per­du par les vic­times. En France, ce pré­ju­dice total s’élèverait à plus de 1,7 mil­liard d’euros et concer­ne­rait près de 10 mil­lions de vic­times chaque année.

Le mar­ché de la sécu­ri­té infor­ma­tique est esti­mé à 60 mil­liards de dol­lars au niveau mon­dial. Il s’accroît rapi­de­ment et devrait repré­sen­ter en 2013 envi­ron 14% du mar­ché de l’informatique. Pour le seul seg­ment du conseil et des pres­ta­tions de ser­vice, il s’accroît de 11 % par an. Bien que ces chiffres soient impor­tants, ils res­tent lar­ge­ment infé­rieurs aux dom­mages éco­no­miques entraî­nés par les attaques infor­ma­tiques. Aujourd’hui très écla­té, le mar­ché de la sécu­ri­té infor­ma­tique se struc­ture du côté de la demande (prise de conscience de l’ampleur des besoins) comme du côté de l’offre (mise en place de com­pé­tences glo­bales, indus­tria­li­sa­tion de la démarche).

La demande se structure et s’accroît

Le déploie­ment de tech­no­lo­gies nova­trices exige une démarche de sécu­ri­té bien conduite

Du côté de la demande, un nombre crois­sant de socié­tés entre­prennent une démarche sys­té­ma­tique de sécu­ri­té telle que résu­mée ci-des­sus et affectent à cet objec­tif les prio­ri­tés et les res­sources néces­saires. Elles dépassent le stade des achats ou des pres­ta­tions de sécu­ri­té ponc­tuelles, veillent à leur hygiène infor­ma­tique et orga­nisent de manière pro­fes­sion­nelle la mon­tée en puis­sance de leur sécu­ri­té (éva­lua­tion de l’existant et ana­lyse de risques, mise au point d’un plan de ren­for­ce­ment, conduite de pro­jets de sécu­ri­sa­tion, véri­fi­ca­tion par des audits et tests, mise en place d’une démarche per­ma­nente de renforcement).

Quelques attaques récentes
En 2010, un code infor­ma­tique mal­veillant par­ti­cu­liè­re­ment sophis­ti­qué visait spé­ci­fi­que­ment les ins­tal­la­tions nucléaires ira­niennes. Il aurait pro­vo­qué la casse de nom­breuses centrifugeuses.
En mars 2011, les minis­tères éco­no­miques et finan­ciers annon­çaient l’existence d’une vaste intru­sion infor­ma­tique ayant occa­sion­né la fuite de nom­breux docu­ments sur l’action de la France dans l’économie inter­na­tio­nale, notam­ment lors de sa pré­si­dence des G7 et G20.
En mars 2011, le four­nis­seur amé­ri­cain de solu­tions de sécu­ri­té infor­ma­tique RSA signa­lait avoir subi une agres­sion infor­ma­tique très sophis­ti­quée. Les infor­ma­tions confi­den­tielles ain­si obte­nues étaient par la suite uti­li­sées par les atta­quants pour voler des infor­ma­tions sen­sibles dans les sys­tèmes d’information d’entreprises tra­vaillant dans le domaine de la défense.
Au prin­temps 2011, des hackers annon­çaient avoir péné­tré des sys­tèmes d’information du groupe Sony et y avoir déro­bé les infor­ma­tions per­son­nelles de plus de cent mil­lions de clients des ser­vices en ligne de l’entreprise, qui ont dû être inter­rom­pus pen­dant plu­sieurs semaines.

Aujourd’hui, de plus en plus de socié­tés prennent du reste conscience de la néces­si­té de se faire assis­ter par un « pres­ta­taire glo­bal de sécu­ri­té infor­ma­tique », capable de les aider à ana­ly­ser leur situa­tion, de construire leur sécu­ri­té, de sur­veiller leurs réseaux et de s’assurer du main­tien à jour per­ma­nent de la démarche.

L’offre se professionnalise

Du côté de l’offre, quelques socié­tés fran­çaises, néces­sai­re­ment de taille impor­tante, com­mencent à déployer l’ensemble des com­pé­tences néces­saires pour pou­voir offrir à leurs clients une offre cohé­rente et glo­bale de sécurité.

L’exemple de Sogeti
Soge­ti, filiale à 100% du groupe Cap­ge­mi­ni, est dédiée aux ser­vices infor­ma­tiques de proxi­mi­té pour les entreprises.
Avec 20 000 employés, dont près de 10 000 en France, elle est pré­sente dans une quin­zaine de pays dans le monde. Soge­ti a mis en place une offre com­plète de pres­ta­tions des­ti­née à répondre à l’ensemble des besoins en sécu­ri­té de ses clients. Cette offre va du conseil et de l’analyse de risques jusqu’à la mise en place de solu­tions de sécu­ri­té ou à la ges­tion per­ma­nente de la sécu­ri­té numé­rique de l’entreprise. Elle s’étend jusqu’à la maî­trise d’oeuvre de la sécu­ri­té et de la défense des sys­tèmes d’information de ses clients.

Elles mettent en place des pres­ta­tions for­fai­taires, telles que la sur­veillance per­ma­nente des réseaux via des secu­ri­ty ope­ra­tion cen­ters, ouverts 24 heures sur 24, qui mutua­lisent les pres­ta­tions pour plu­sieurs clients et per­mettent à cha­cun de ceux-ci de béné­fi­cier de pres­ta­tions indi­vi­dua­li­sées de très haut niveau avec des coûts par­ta­gés. Elles doivent être capables d’intégrer les solu­tions et les équi­pe­ments de sécu­ri­té four­nis par les PME fran­çaises et, de ce fait, de fédé­rer le tis­su indus­triel cor­res­pon­dant. Elles s’inscrivent dans un par­te­na­riat de confiance avec l’État qui leur per­met de dis­po­ser des infor­ma­tions les plus récentes sur la menace et les bonnes pra­tiques et de garan­tir leur sérieux et leur pro­fes­sion­na­lisme à leurs clients.

Un rapport étroit avec l’État

Compte tenu des enjeux réga­liens et du carac­tère stra­té­gique de la sécu­ri­té des sys­tèmes d’information, qui concerne les orga­nismes les plus sen­sibles de l’État au même titre que les acteurs éco­no­miques, l’État et les entre­prises com­pé­tentes et de confiance doivent plus que jamais tra­vailler ensemble pour faire face aux menaces qui pèsent sur l’économie numérique.

L’État a su inves­tir for­te­ment et judi­cieu­se­ment dans un sujet majeur pour l’économie nationale

Au sein de l’État, l’Agence natio­nale de la sécu­ri­té des sys­tèmes d’information (ANSSI) a été créée en 2009 et a été dési­gnée auto­ri­té natio­nale de sécu­ri­té puis, plus récem­ment, de défense des sys­tèmes d’information. Elle défi­nit la poli­tique et coor­donne les actions de l’État dans le domaine et assure, en cas d’attaque infor­ma­tique majeure visant les sys­tèmes d’information natio­naux essen­tiels, la défense numé­rique de la nation en liai­son avec les minis­tères et les opé­ra­teurs direc­te­ment concer­nés. Il est remar­quable de consta­ter que, en ces temps de res­tric­tions bud­gé­taires, l’État a su inves­tir for­te­ment et judi­cieu­se­ment dans un sujet majeur pour l’économie nationale.

Partenariat public-privé

Comme il l’a annon­cé en 2011 dans la stra­té­gie natio­nale de défense et de sécu­ri­té des sys­tèmes d’information, l’État a entre­pris de mettre sur pied un par­te­na­riat public-pri­vé avec des opé­ra­teurs de confiance afin que la pro­tec­tion infor­ma­tique des infra­struc­tures essen­tielles au bon fonc­tion­ne­ment de la Nation soit mieux assurée.

Pilo­té par l’ANSSI, ce par­te­na­riat doit en par­ti­cu­lier per­mettre de dif­fu­ser les bonnes pra­tiques de sécu­ri­té et de par­ta­ger l’analyse de la menace. Il implique au pre­mier chef des indus­triels et pres­ta­taires de ser­vice dans le domaine de la sécurité.

La lutte infor­ma­tique offensive
Le Livre blanc sur la défense et la sécu­ri­té natio­nale, éla­bo­ré par le gou­ver­ne­ment en 2008, annonce que la France se dote d’une capa­ci­té de neu­tra­li­sa­tion par voie infor­ma­tique des centres d’opérations adverses. Les forces armées se pré­parent à conduire de telles actions et, à cette fin, mettent en place des cel­lules spé­cia­li­sées et se dotent d’équipements et d’outils adap­tés. Adap­té à un contexte mili­taire ce cadre d’emploi se doit de res­pec­ter le prin­cipe de riposte pro­por­tion­nelle à l’attaque, visant en prio­ri­té les moyens opé­ra­tion­nels de l’adversaire.
Les États-Unis, de leur côté, ont mis en place au niveau stra­té­gique un cyber com­mand, opé­ra­tion­nel depuis 2010 et pla­cé sous l’autorité d’un offi­cier géné­ral éga­le­ment direc­teur de la Natio­nal Secu­ri­ty Agen­cy. Le cyber com­mand est char­gé de pré­pa­rer et de conduire les opé­ra­tions amé­ri­caines de lutte infor­ma­tique offensive.
Pour mémoire, en dehors du cadre mili­taire, les actions infor­ma­tiques à visée offen­sive sont natu­rel­le­ment inter­dites par la loi.

Poster un commentaire