Bien que la majorité des entreprises répugnent à annoncer publiquement une cyber-attaque, l’actualité fait état de violations quasi quotidiennes. En 2013, des entreprises comme Google, Facebook, Sony Pictures, Acer Europe, le Public Broadcasting System américain, Fifth Third Bank, Ubisoft, WWF, la police militaire nationale cambodgienne et même le New York Timesont été la cible d’attaques informatiques.
Le risque de piratage augmente chaque jour. Les entreprises mettent en ligne des modèles de produits, des données sur leurs employés, l’accès aux services financiers et même la possibilité de contrôler des systèmes aussi sensibles que des centrales électriques et des usines chimiques. Elles permettent également à un plus grand nombre d’individus – employés, entrepreneurs et clients – de se connecter à leurs réseaux grâce une foule d’outils informatiques personnels. Une combinaison irrésistible pour les hackers aux motivations et objectifs divers. Une seule petite faille (le mauvais email ouvert par un employé sans méfiance, par exemple) suffit pour qu’un pirate informatique patient pille votre base de données et dérobe vos plus précieuses informations. Les spécialistes reconnaissent que la question n’est pas de savoir si votre entreprise sera piratée, mais plutôt quand.
ÉVALUER LA MENACE
En mars 2013, Trustwave, fournisseur de solutions destinées à la sécurité des réseaux, basé à Chicago (États-Unis), a émis un constat peu réjouissant : « En 2012, presque tous les pays, industries et types de données ont fait l’objet d’une cyber-attaque sous une forme ou une autre. » L’entreprise d’antivirus Norton estime que le coût de la cyber-criminalité mondiale s’élève à US$388 milliards, avoisinant les US$411 milliards générés par le trafic de drogue international.
L’étude Data Breach Investigations Report 2013 (DBIR), compilée par le fournisseur de réseau de données cellulaires Verizon avec le soutien de 18 organisations publiques et privées de protection des données et de lutte contre la criminalité, révèle que rien qu’en 2012, 44 millions de dossiers ont été piratés, ces chiffres reprenant uniquement les données qui ont pu être vérifiées ; le nombre réel est probablement beaucoup plus élevé.
La perte de données peut avoir de sérieuses conséquences financières pour les organisations victimes de piratage. Toutefois, les coûts précis varient selon la durée de l’intrusion et le type de biens volés. Ils fluctuent également en fonction de la situation géographique de l’organisation.
Sans compter les dommages financiers qu’entraîne une attaque, les intrusions sur réseau sont extrêmement déstabilisantes. « Que l’entreprise soit une centrale nucléaire, une usine chimique, une organisation financière ou un établissement médical, l’impact d’une attaque est le même », explique Bala Venkat, directeur marketing chez Cenzic, agence de sécurité des applications Web basée en Californie (États-Unis). « La perte de données sensibles et d’actifs financiers, ainsi que les menaces potentielles à la sécurité opérationnelle en seraient les principales incidences. »
Bien entendu, les défenses nécessaires à la protection d’un cabinet médical contre les hackers ne sont pas celles déployées pour dissuader un pays d’infiltrer une usine chimique ou une centrale à des fins d’espionnage. Wade Baker, principal administrateur du groupe RISK (Researching and Investigating Solutions Knowledge) chez Verizon, affirme qu’une approche uniforme de la sécurité risque d’apporter une protection insuffisante à certaines organisations et excessive à d’autres.
« EN 2012, PRESQUE TOUS LES PAYS, INDUSTRIES ET TYPES DE DONNÉES ONT FAIT L’OBJET D’UNE CYBER-ATTAQUE SOUS UNE FORME OU UNE AUTRE. »
TRUSTWAVE
SOCIÉTÉ DE CONSEIL EN INTRUSIONS RÉSEAUX
« Les entreprises doivent se demander : Quel type de groupe représente une menace ? Quelles sont les données que je possède et qui pourraient-elles intéresser ? », déclare W. Baker. « Une fois ces éléments établis, elles doivent se demander quelles sont les techniques connues auxquelles ce groupe peut avoir recours, et utiliser ces informations comme un entonnoir pour concentrer leurs efforts sur les menaces et les vulnérabilités les plus susceptibles de poser problème. »
LE PROFIL DES HACKERS
Même si les pirates informatiques ne veulent pas ce que l’entreprise tente de protéger, ils exploitent des systèmes peu sécurisés d’où ils peuvent lancer leurs attaques sur des cibles plus alléchantes – une banque, le réseau électrique d’un pays ou un système de transport centralisé.
Les cibles et les techniques varient en fonction de la nature et de la motivation du groupe à l’origine de l’attaque. Ainsi, selon l’étude DBIR, les gangs du crime organisé tendent à viser les données financières et les ressources matérielles revendables. Les cyber-espions s’attaquent à la propriété intellectuelle et aux secrets commerciaux. Les « hacktivistes » comme WikiLeaks essaient d’embarrasser des organisations ciblées ou démasquer des actes répréhensibles réels ou supposés.
« Nous avons vu que les entreprises doivent connaître leurs ennemis et leurs motivations », explique Shahbaz Khan, directeur de l’équipe d’intervention du programme IMPACT (International Multilateral Partnership Against Cyber Threats), agence exécutive de l’Union internationale des Télécommunications (UIT) basée en Malaisie. « Si vous parvenez à savoir qui vous veut du mal et ce qu’il peut en tirer, vous pourrez mieux protéger votre entreprise et vos informations. »
DANS LE NUAGE
Mais qu’en est-il si vos données ne sont pas stockées en interne ? Les services d’informatique dématérialisée qui hébergent les données et applications des clients dans des parcs de serveurs centralisés gagnent en popularité, notamment parce qu’ils offrent la possibilité aux entreprises d’éliminer progressivement les infrastructures superflues onéreuses à entretenir et à sécuriser. Ces fournisseurs s’adressent également à une main-d’œuvre plus mobile, permettant d’accéder à d’importants projets et ressources, et de les gérer en ligne où qu’elle se trouve.
Certains experts en sécurité ont alerté que le déplacement de données et de projets sur le cloudgénère des risques de sécurité spécifiques car une telle concentration de données en un lieu unique constitue une tentation irrésistible pour les hackers. Inversement, d’autres comparent l’informatique en nuage à un coffre de banque où vous conserveriez vos biens les plus précieux. « La banque est mieux armée que votre maison pour protéger vos biens, car c’est son travail », affirme Guillaume Lovet, directeur de l’équipe d’évaluation des menaces pour les zones Europe, Moyen-Orient et Afrique chez Fortinet, entreprise de sécurité réseau basée en Californie (États-Unis).
Chris Pogue, directeur de la branche informatique légale et de la cellule de crise chez Trustwave, affirme que les services en nuage ne se distinguent pas comme une cible majeure des groupes du crime organisé, du moins pas encore. « Il existe peu d’attaques sur le cloudpour l’instant, mais cela ne signifie pas qu’il n’y en aura jamais », déclare-t-il. « Il est encore trop tôt pour voir les organisations subir une attaque massive à ce niveau. » Selon lui, la situation peut évoluer à mesure que le nombre d’entreprises qui stockent leurs données sur le cloudaugmente. « La majorité des hackers intéressés par ce genre de choses cherchent des données qu’ils peuvent rapidement subtiliser et revendre ; pour l’instant, ce n’est généralement pas le type d’informations qui sont mises sur le cloud. »
ILS SONT LÀ... ET MAINTENANT ?
Si vous avez été piraté, c’est que toutes les couches de protection de vos mesures de sécurité ont échoué. La seule manière de détecter une intrusion est alors de repérer une anomalie, généralement dans le comportement ou les communications du réseau ou des postes de travail. Certaines sociétés hautement vulnérables ont recours aux services d’experts en sécurité qui passent le trafic réseau au peigne fin à la recherche d’agissements suspects signalant une possible activité de piratage.
Pour G. Lovet, dès qu’une atteinte est détectée, la première chose à faire est de débrancher le réseau. Il conseille ensuite d’identifier et d’isoler les systèmes compromis pour éviter qu’ils soient utilisés pour attaquer ou contaminer d’autres systèmes. « C’est là que l’informatique légale entre en scène », explique-t-il. « Cela implique de nombreuses analyses hors ligne des disques durs. En effet, cela n’a aucun sens d’analyser un système endommagé depuis son propre disque puisque ce système peut donner volontairement de fausses informations. »
Lorsque vous n’arrivez pas à repousser l’envahisseur, l’astuce pour minimiser les attaques est de s’y préparer et de réagir vite. Les spécialistes reconnaissent qu’une défense solide se fonde sur de multiples couches de sécurité qui se chevauchent, sur les individus et les processus. « Si vous avez de lourds secrets à protéger, il vous faut plus qu’un seul niveau de protection efficace », déclare S. Khan d’IMPACT. « N’importe quel système de sécurité peut être défaillant, et vous ne pouvez pas vous permettre de rester sans protection. Si vous en êtes incapable, pensez à retirer vos biens de valeur du réseau de l’entreprise. »
Ensuite, ne vous contentez pas de faire comme les autres. « Suivre les meilleures pratiques ne suffit pas pour combattre la menace actuelle », déclare S. Khan. « Faites ce qui est nécessaire, ne suivez pas le troupeau. »
1,1 milliard
En neuf ans, Verizon a répertorié 2 500 attaques et 1,1 milliard de dossiers compromis.
Enfin, selon S. Khan, les entreprises doivent élaborer un plan catastrophe et le mettre en pratique. « C’est plus qu’un plan de continuité conventionnel. C’est le pire scénario possible. Il ne s’agit pas de se remettre d’une panne de courant accidentelle, mais de trouver des solutions intelligentes pour des situations extrêmes et des pertes à grande échelle. »
Wim Remes, consultant chez IoActive, compagnie d’assurance pour logiciels et matériels basée à Seattle (États-Unis), estime que la capacité virtuelle la plus importante pour une organisation est de pouvoir chercher une solution à l’incident rapidement et à tout moment.
« Toutes les organisations importantes devraient posséder une équipe transversale pour répondre aux menaces et aux évènements, sans céder à la panique comme nous le voyons trop souvent, et en sensibilisant aux menaces qui planent sur les entreprises », explique-t-il. « En renforçant cette aptitude, l’organisation peut rapidement se concentrer sur ses processus clés en minimisant les impacts. »
Brian Krebs écrit pour le KrebsonSecurity.com, site d’informations quotidiennes consacré à la cyber-sécurité et aux enquêtes virtuelles. Il est également l’auteur du nouvel ouvrage Spam Nation,qui retrace la montée et la chute du plus grand empire cyber-criminel jamais construit.
Mandiant, cabinet-conseil en sécurité basé en Virginie (États-Unis), a secoué le monde de la cyber-sécurité en 2013 avec son rapport accusant le gouvernement chinois de procéder depuis sept ans à des activités de cyber-espionnage contre les entreprises. Les hackers se seraient infiltrés dans les réseaux informatiques de 150 organisations, dont Coca-Cola Company et Lockheed Martin. Révélation encore plus choquante : il s’agissait de l’un des 20 groupes chinois engagés dans une campagne d’espionnage informatique contre les entreprises dans le monde. Richard Bejtlich, responsable de la sécurité chez Mandiant, estime que près de 40% des entreprises figurant au palmarès de Fortune 1000 sont victimes à un moment donné de « menaces persistantes avancées » ou APT (advanced persistent threat) de la part d’unités de pirates appuyées par l’état chinois. « On dit à ces hackers : voici votre mission et le type d’informations que nous cherchons. Trouvez-les », explique-t-il. Les attaques de type APT se basent sur des pirates informatiques soigneusement organisés qui découvrent et tirent parti des failles logicielles et matérielles afin de s’en prendre à des cibles plus importantes. « La bataille dure souvent plusieurs années », affirme R. Bejtlich. « Lorsque la cible s’endurcit un peu, les groupes APT s’infiltrent par le biais des partenaires commerciaux de cette cible. Une fois que ce partenaire comble ses failles, les attaquants peuvent essayer de passer par les fournisseurs de technologie externalisés. Si vous finissez par devenir la cible d’un État ou d’attaques de type APT, votre conseil d’administration doit prendre conscience que cela posera toujours problème pour l’entreprise. »LE PIRATAGE FINANCÉ PAR L’ÉTAT
Pour lire l’étude complète RISK Data Breach Investigations Report 2013 de Verizon: www.verizonenterprise.com/DBIR/2013
