[JdR] Cybermenace : l’entreprise contre-attaque !

« Comment savoir si je suis attaqué ? Existe-t-il un système infaillible ? Comment puis-je protéger mes données ? Les données professionnelles sont-elles les seules concernées ? »

A l’heure de la transformation numérique, de très nombreuses questions se posent concernant les cybermenaces et leur impact, aussi bien dans les sphères professionnelles que personnelles. Dans le but d’expliciter la menace et d’apporter des éléments de réponses, l’ANAJ-IHEDN a décidé d’organiser sa conférence hebdomadaire sur ce sujet.

Animé conjointement par les Comités Cyberdéfense et Risques & Entreprises, cet évènement a suscité un vif intérêt, faisant salle comble. Ainsi, les 3 intervenants de la conférence ont permis à chacun de comprendre les enjeux pour les entreprises françaises de savoir se protéger contre ces actes de malveillance.

Des professionnels au cœur de la problématique

Jonathan UZAN, Directeur Cyberdéfense du groupe ONEPOINT.

Au cours des 15 dernières années, il s’est familiarisé avec l’évaluation stratégique du risque cybernétique, la gestion des menaces, les simulations d’attaque, l’enquête et la réponse post-incident tout en assurant le maintien de l’intégrité des organisations.

Quentin GAUMER, Directeur de l’activité Cyber Security Audit & Compliance chez DEVOTEAM.

Egalement thésard à l’Université de technologie de Compiègne (UTC), ses recherches portent sur la définition d’un modèle de valorisation de la criticité de l’information, prenant en compte les problématiques cybersécurité dans un contexte d’intelligence économique. Enfin, professeur associé à l’École de Guerre Economique, il est l’un des coordinateurs du Club Cybersécurité de cette école.

Nicolas VIELLIARD, administrateur du CLUSIF (Club de la sécurité de l’information français).

Intervenant à l’ANAJ-IHEDN en tant qu’administrateur du CLUSIF, il est également Responsable de la Sécurité des Systèmes d’Information dans le Groupe Engie.

« Non, ça n’arrive pas qu’aux autres ! »

Pour ceux qui seraient arrivés sceptiques à cette conférence, il n’aura pas fallu plus de quelques minutes à Quentin Gaumer pour les convaincre de la réalité de la menace. En effet, la conférence s’est ouverte sur une démonstration de prise de commande d’un ordinateur à distance.

Pour cette démonstration, 2 scénarii ont été joués. D’abord, la prise de contrôle d’un ordinateur par l’exploitation d’une vulnérabilité d’un système non mis à jour puis la prise de contrôle, plus connue, via l’ouverture d’une pièce jointe malveillante.

Grâce à cette démonstration et malgré ses termes techniques employés, chacun a pu observer la « simplicité » et la rapidité de l’attaque. De plus, il est important de noter que pour la machine victime il est très difficile voire impossible (à un profane) de détecter l’intrusion.

Cette mise en situation a ensuite permis aux intervenants de dégager un certain nombre de recommandations à mettre en place.

1° L’identification des menaces

Aujourd’hui, avec l’utilisation quotidienne et massive d’internet, le premier niveau de sécurité réside dans l’identification des menaces. En effet, entre envoi d’e-mails, création de fichiers, utilisation du cloud et connexion à des réseaux wifi non sécurisés, être protégé par un anti-virus et un firewall ne suffit plus à se prémunir des attaques.

On peut citer deux exemples de menaces :

  • La violation de la confidentialité 

Toutes les entreprises, quelle que soit leur taille ou leur activité, brassent continuellement de la donnée. Celle-ci peut être à caractère personnel ou confidentiel et constitue une cible pour les cybercriminels.

De plus, il est essentiel de considérer la menace à la fois externe et interne. En effet, il peut arriver que des collaborateurs soient à l’origine de vol d’informations.

  • L’indisponibilité du réseau informatique 

Aujourd’hui, les entreprises sont totalement dépendantes de leur système informatique qui constitue bien souvent la colonne vertébrale de l’organisation. Ces menaces peuvent avoir un impact financier important sur l’entreprise, à l’image de l’attaque au ransomware NotPetya du 22 juin dernier qui a coûté près de 250 millions d’euros à Saint-Gobain. L’indisponibilité du réseau est donc souvent liée à la cyber extorsion, puisque pour récupérer l’accès aux donnés piratées l’entreprise doit payer une rançon au hacker.

Ainsi, l’identification des menaces doit amener l’entreprise à réfléchir à des moyens de limiter les attaques et leurs conséquences.

2° L’importance de la mise à jour des systèmes

Mettre à jour l’ensemble des systèmes présents sur une machine est essentiel et incontournable.

Il existe aujourd’hui des moyens d’identifier et de lister les vulnérabilités d’un système, c’est par exemple le cas du projet opensource Metasploit. Une vulnérabilité étant souvent due à une erreur de programmation, un bug ou à un dysfonctionnement du logiciel, la mise à jour du système permet de corriger ce défaut. C’est pourquoi, laisser une vulnérabilité sur son ordinateur revient à l’exposer à des actes de malveillance, puisque le pirate peut détourner l'utilisation initiale du système et télécharger des infections. Ainsi ces failles non corrigées augmentent considérablement les possibilités de corrompre un système, et favorisent entre autres le vol d'informations confidentielles. 

La mise à jour constitue donc un premier rempart permettant si ce n’est d’empêcher au moins d’entraver et de ralentir l’attaque.

3° L’hygiène Informatique

Dans la lutte contre la cybermalveillance il ne faut pas oublier le rôle de l’organisation. En effet, elle doit se doter de process visant à protéger son patrimoine informationnel. Pour cela, elle doit être en mesure de faire des sauvegardes régulières stockées hors-réseau pour pouvoir reprendre son activité immédiatement après une attaque. 

Afin d’accompagner l’entreprise dans sa démarche sécuritaire, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié un Guide D’Hygiène Informatique. Ce guide présente une liste non exhaustive d’une quarantaine de mesures d’hygiène informatique visant construire un socle minimum permettant d’assurer la sécurité d’un système d’information.  Ces mesures, présentées sous forme de fiches s’accompagnent d’outils pratiques et expliquent comment appliquer concrètement les recommandations.

Dans ce guide, l’ANSSI a également choisi de mettre l’accent sur la sensibilisation et la formation des collaborateurs, considérant que « Chaque utilisateur est un maillon à part entière de la chaîne des systèmes d’information. »

Le collaborateur 

En effet, on oublie bien souvient que le collaborateur constitue le dernier rempart face à la malveillance. Il existe par exemple des arnaques qui ne nécessitent pas de compétences techniques avancées mais qui s’appuient le manque de sensibilisation des utilisateurs d’internet. On peut citer le cas de l’escroquerie aux faux virements, également connue sous le nom de « Fraude au Président ».

Le collaborateur étant souvent seul face à sa machine, il est essentiel de lui assurer un soutien et un accompagnement. C’est pourquoi dès son arrivée dans l’organisation, il doit être informé et sensibilisé aux enjeux de sécurité et aux bons comportements à adopter en matière de sécurité des systèmes d’information. A ce titre, des formations doivent être organisées de façon régulière, de préférence accompagnées d’une démonstration et de la publication des résultats.  

Le collaborateur doit également être en mesure de faire remonter les informations qu’il juge douteuses à un référent au sein de l’entreprise. Ainsi, il pourra lui transmettre les e-mails frauduleux ou le contacter en cas de doute. Le référent doit quant à lui se montrer disponible et à l’écoute des préoccupations du collaborateur, qui devient son client. Il peut par exemple lui indiquer certains outils qui lui permettront d’être plus autonome. Ainsi, VirusTotal permet de vérifier le contenu des pièces-jointes. Ce logiciel, loin d'être infaillible, nécessite la mise en ligne de la pièce, or une telle action ne peut être effectuée si cette dernière contient des informations confidentielles.  

En définitive, aucun système ne semble donc totalement imperméable aux cyber-attaques. L’entreprise doit prendre des mesures supplémentaires pour se protéger. Le rôle du top management est donc de prendre conscience des risques afin d’insuffler une culture sécuritaire à l’entreprise.

C’est l’infusion de bonnes pratiques sur l’ensemble de la chaîne hiérarchique qui peut permettre réellement de gagner en efficacité.