L’entreprise et le risque cyber

Le 14 février une conférence s’est déroulée à la Préfecture des Hauts-de-Seine sur la sensibilisation des entreprises face aux menaces des cyberattaques. Parmi les intervenants se trouvaient la DGSI, la DRSD et l’ANSSI, mais également un représentant de TV5 Monde pour partager avec nous l’expérience de ce média qui a fait face à une cyberattaque massive. Le Club Cyber de l’AEGE a eu la chance d’y participer pour vous.

La DGSI a commencé cette conférence par un retour sur les attaques majeures qui ont marqué la deuxième moitié de 2017. D’après l’intervenant, seulement 10% à 12% des attaques entrainent une fuite d’informations (ou de données), et un tiers des PME frappées ne se remettent jamais de l’attaque. Quelque soit la typologie de l’attaque, déni de service, ransomware, ou Advanced Persistent Threat (APT), et qu’il y ait fuite de donnée ou non, les pertes directement liées aux cyberattaques se chiffrent en centaines de millions de dollars. Pour ne citer que les plus importantes, l’impact de NotPetya sur l’entreprise Merck lui aurait coûté plus de 300 millions de dollars sur un seul trimestre. Fedex a de même réduit ses prédictions de revenu de 300 millions de dollars suite à une cyberattaque.

Pour la DGSI, l’impact aussi conséquent des cyberattaques sur les entreprises est largement amplifié par le manque de maturité de ces dernières. L’agence prend, notamment, pour exemple la réponse de la direction du groupe Hyatt à une fuite de données clients, en tentant de rassurer ces derniers dans un email affirmant que « seulement les numéros de carte bancaire, leur date d’expiration et leur cryptogramme » avaient été perdus dans l’attaque.

La sensibilisation des ressources humaines est, par ailleurs, tout aussi importante que la mise en place de protections sur le système informatique de l’entreprise. D’abord pour mettre fin à cette déconnection alarmante entre l’appréhension du risque cyber par les directions et l’état de la menace, mais aussi pour réduire ce risque. Les attaques les plus fréquentes ne sont pas les plus techniques et exploitent souvent le manque de formation ou d’attention des employés les plus bas dans la hiérarchie d’une entreprise, ou ses fournisseurs. Une stratégie de Cybersécurité doit donc toujours commencer, selon la DGSI, par la rédaction d’une charte informatique dans l’entreprise. D’une manière ou d’une autre, une attaque finit toujours par aboutir, ce qui importe reste alors de la ralentir au maximum (afin qu’elle coûte davantage à l’attaquant qu’à la victime), ou de l’interrompre. C’est par la multiplication des couches de sécurité que l’on parvient à ralentir ces attaques. Cela passe donc par la mise en place d’une stratégie portant sur les systèmes informatiques, mais aussi sur les infrastructures et les ressources humaines.

Pour mieux comprendre comment une cyberattaque peut passer malgré la meilleure des défenses et quel est l’intérêt de la stratégie évoquée précédemment, l’intervenant nous invite à se représenter la Cybersécurité comme plusieurs tranches de fromage à trou (swiss cheese model). Selon les conditions latentes à chaque tranche (i.e. fatigue d’un employé, manque de formation, version dépassée d’un antivirus, porte ouverte de la salle des serveurs, etc.), ces dernières se déplacent et les trous de gruyère peuvent s’aligner, permettant à l’attaque de traverser toutes les couches de défense. Plusieurs exemples de bonnes pratiques ont été introduits suite à cette présentation, pour les employés, pour les sociétés de conseils ou encore pour les DSI et RSSI, que vous pouvez retrouver facilement sur le site de l’ANSSI, mais également dans d’autres articles du Portail de l’IE. On soulignera encore une fois l’importance de la sensibilisation des équipes au risque cyber, risque qui augmente exponentiellement de par la diffusion rapide de « l’armement » (les virus, entre autres) et la facilité de son utilisation.

 

Pour illustrer davantage les effets d’une cyber attaque sur une entreprise, Alexis Renard, Directeur technique adjoint de TV5 Monde, nous a raconté les impacts et la gestion d’une cyber attaque sur une structure internationale hyper-connectée.

Le soir du 8 avril 2015, alors que TV5 Monde fête le lancement d’une nouvelle chaîne Asie, les voyants deviennent rouges et les écrans noirs, le serveur email disparaît, certains composants sont détruits ou contrôlés par un tiers : l’entreprise qui possède plus de 1200 serveurs et 400 postes utilisateurs, qui émet 24/24h dans le monde entiers, est victime d’une attaque coordonnée dont il est impossible de savoir qui en est l’auteur ou le commanditaire. Pendant les premières heures, l’équipe présente sur place entre en situation de crise. Après avoir déconnecté le système d’internet et alerté le Ministère de l’Intérieur, une réunion de crise a lieu avec la direction générale afin de rebooter le SI et reprendre lentement le signal le lendemain matin. Des experts de l’ANSSI arrivent ensuite afin de conseiller et soutenir l’entreprise dans l’identification et la mise à l’écart du matériel compromis. Sur le court terme, tout le monde est interrogé afin de comprendre le déroulement de l’attaque et de trouver les failles qui l’ont permise. Conclusions de l’exercice : l’infection est partie d’un sous-traitant dans la maintenance, piégé mais pas interpellé. À TV5 Monde, le patient zéro est le serveur de messagerie, infecté entre deux et trois mois avant la déclaration de l’attaque. Pendant cette période, les attaquants ont pu cartographier le système de TV5 Monde et identifier les composants clés.

Sur le moyen terme, il convient, pour la chaîne, de retourner progressivement en mode normal, autrement dit : sortir du mode de crise et maintenir l’activité. Cela ne s’avère pas être un exercice facile puisque, en parallèle, il est nécessaire de renforcer la sécurité des systèmes. Pour l’intervenant, les grands enjeux de la crise auront porté sur les limitations temporelles et humaines de la réponse à apporter. Pour une gestion pertinente de ces ressources limitées, il a donc été primordial d’identifier et classer les services critiques et itérer les priorités. Dans son retour sur expérience, Alexis Renard note également l’importance de la communication, interne comme externe, pour rassurer les équipes et les partenaires, mais aussi sensibiliser les autres victimes éventuelles. Aujourd’hui, le budget cybersécurité de TV5 Monde est 10 fois supérieur à son niveau précédent l’attaque.

 

La dernière intervention qui nous a été présentée est celle de DRSD, nous plaçant cette fois non pas du point de vue de la victime mais de l’attaquant. Étant donné que la grande majorité des individus, employés comme direction, ne sont pas assez sensibilisés sur le risque cyber, l’une des stratégies les plus utilisées pour pénétrer un système commence par de l’ingénierie sociale. De manière concrète, l’attaquant va se renseigner sur les sociétés et les personnes, récupérer des emails et éventuellement se faire passer pour quelqu’un de familier afin d’envoyer un email contenant un programme malveillant via une pièce jointe à une personne ciblée. À l’ouverture de la pièce jointe, l’appareil est infecté et l’attaquant prend le contrôle de sa machine, voire de l’ensemble du réseau. Nous avons eu la chance d’assister à une démonstration en directe d’infection et de prise de contrôle d’un ordinateur ainsi qu’un smartphone.

Il existe cependant d’autres méthodes, notamment pour récupérer les données d’un smartphone. Une faille des réseaux 2G permet notamment, via l’utilisation d’IMSI Catcher, de récupérer les informations sur un téléphone s’y connectant. Les réseaux WiFi peuvent également être « sniffés » : les mouvements de la personne sont traqués par l’attaquant en suivant les coordonnées GPS de chaque réseau WiFi auquel le téléphone se connecte ou tente de se connecter. L’attaquant peut encore se placer entre le téléphone et un réseau, par exemple un réseau WiFi gratuit, afin d’intercepter l’échange de donnée. La DRSD invite donc à porter une attention particulière à ces derniers et, dans la mesure du possible, de chiffrer ses données.

Pour conclure leur présentation, les intervenants de la DRSD soulignent qu’il existe une large gamme de moyens pour contacter une personne et pénétrer un système, mais que la grande majorité des attaques repose encore sur l’ingénierie sociale (le Cheval de Troie). Il est donc fortement encouragé de limiter au maximum les informations que l’on partage sur internet, sur les réseaux sociaux notamment, afin de compliquer la tâche des attaquants. Il faut aussi faire attention aux personnes avec qui l’on rentre en contact sur Internet : il existe des faux profils, notamment sous forme de « chasseur de tête » sur le réseau Linkedin.

Enfin l’ANSSI nous invite tous à lire et à partager les quelques guides disponibles sur son site web. Sensibiliser un nombre croissant d’internautes c’est également renforcer sa propre sécurité.

 

Club Cyber AEGE

Guillaume DEMONET, Jérôme FREANI