Les entreprises face aux risques du « cyberespace »

En raison de l'ouverture des systèmes d'informations et de leur extension, les entreprises se trouvent aujourd'hui confrontées à de nouvelles menaces.Alors que les technologies évoluent, les entreprises sont toujours plus connectées, les usages changent, et le numérique gagne de nouveaux métiers. De nouveaux équipements se trouvent connectés au réseau, des services délocalisés sont sollicités, et les cyber-attaques prennent de nouvelles formes. Ces changements posent des problèmes de sécurité qui imposent aux responsables des systèmes d’information une vigilance permanente.

En raison de l’ouverture des systèmes d’informations et de leur extension, les entreprises se trouvent aujourd’hui confrontées à de nouvelles menaces. D’importants vols de données se produisent régulièrement, comme chez Orange en janvier. « Il ne fait plus aucun doute que le cyberespace soit aujourd’hui devenu un lieu d’affrontement où de multiples acteurs se livrent une compétition farouche », estime Bertrand Boyer, officier des Troupes de marine, dont le livre Cybertactique : Conduire la guerre numérique a reçu cette année le Prix du livre cyber au Forum international de la cybersécurité (FIC).
« Les outils numériques et les objets connectés permettent un changement d’échelle des menaces jusque là impensable. »

Le patrimoine immatériel des entreprises, bases de données, savoirs ou brevets, représentent une valeur capitale. « Des intrusions sur un système informatique mal protégé peuvent compromettre l’avenir d’une entreprise », prévient le général Marc Watin-Augouard, directeur du centre de recherche de l’Ecole des officiers de la gendarmerie nationale et initiateur du FIC. « Un concurrent peut savoir qui cette entreprise va rencontrer, quels marchés elle vise, voler un carnet d’adresse et proposer des offres similaires à un prix légèrement inférieur. » Le matériel lui-même, en particulier dans l’industrie, peut aussi être attaqué. « La couche matérielle du cyberespace comprend les appareils terminaux, mais également toutes les infrastructures nécessaires à l’interconnexion, ainsi que les lieux de stockage de l’information, les systèmes de contrôle et de supervision », décrit Bertrand Boyer.

« Dès la création du FIC, en 2007, j’avais la conviction qu’il fallait informer les entreprises des risques encourus sur le cyberespace », se souvient Marc Watin-Augouard. « Nous avons commencé des actions de sensibilisation à l’échelon régional, puis national, et international. De 550 participants au FIC les premières années, nous sommes arrivés à environ 3500 aujourd’hui. » Un signe selon lui que les entreprises prennent progressivement conscience du danger. « Un sondage que nous avons effectué fin 2013 plaçait le problème de l’ouverture tous azimuts du système d’information parmi les principales préoccupations des entreprises », indique Alain Bouillé, président du Club des Experts de la Sécurité de l’Information et du Numérique (Cesin). « Celles-ci en ont de moins en moins la maitrise, car il se trouve éclaté de toute part en raison des velléités d’externalisation via les services de logiciels en cloud (SaaS). » Ces applications, n’ayant pas initialement vocation à être ouverts sur le web, constituent un patrimoine complexe à gérer pour les entreprises.
« Elles sont autant de nouvelles portes d’entrées sur le système d’information », prévient Alain Bouillé.

Se prémunir des nouvelles attaques

Généralement, ces démarches sont à l’initiative directe des différents métiers de l’entreprise :
« À un développement interne aléatoire en terme de coûts et de délais, les responsables métier préfèrent l’achat d’un service en cloud rapide à mettre en œuvre pour un coût défiant toute concurrence », observe le président du Cesin. Le problème est que ces démarches sont rarement validées par le service informatique. Il y a donc un travail de sensibilisation à faire auprès des différents services. « Il faut être vigilant avec les contrats, savoir où sont hébergées les données et s’assurer de la réversibilité de service pour éviter les situations embarrassantes en cas de changement de fournisseur », conseille Alain Bouillé, qui préconise même de réclamer aux fournisseurs de service la possibilité d’effectuer un test d’intrusion sur le service proposé. « Ce n’est pas toujours possible, mais à défaut il faut obtenir a minima les résultats d’audits que le fournisseur a lui-même commandités. 

Les attaques ciblées, ou « menaces persistantes avancées », constituent un autre problème. Elles ont pris le pas sur les intrusions directes du système information des entreprises, qui sont aujourd’hui bien contrées.
« Souvent, les RSSI se trouvent démunis face à ces attaques », constate Alain Bouillé.
« Espionnage, vol de données, fraude, détournement de fonds: il y a autant de cibles différentes que d’entreprises. » Il s’agit ici d’exploiter une faille connue, sur un logiciel par exemple, en fabricant des malwares à destination d’un petit nombre d’entreprises. Pour les contrer, « des technologies apparaissent, mais il leur reste encore à faire leurs preuves », estime Alain Bouillé.

Pour ce type d’attaques, les pirates s’appuient parfois sur l’ingénierie sociale, qui consiste à obtenir des informations telles que les habitudes dans l’entreprises, les adresses mail des travailleurs ou l’annuaire téléphonique, afin d’induire en erreurs des employés pour introduire un malware sur le réseau de l’entreprise, voire pour mettre en place « des escroqueries savamment construites », observe Marc Watin-Augouard. « Il faut sensibiliser chacun à ces problèmes, être vigilant et mettre en place des procédures de vérification. Les problèmes sont différent en comptabilité, production ou marketing, il faut les identifier dans chaque domaine. Le DSI est pour cela une personne essentielle, qui doit être situé au plus haut niveau de l’entreprise. »

Bien connaître la couche matérielle

Au-delà du système informatique traditionnel, les équipements industriels comptent désormais parmi les cibles favorites des pirates. « Toutes les entreprises sont concernées, mais l’importance de la menace dépend des cœurs de métier », précise Alain Bouillé. Le problème provient notamment des fournisseurs d’équipements: « Ils ne sont absolument pas sensibilisés aux questions de sécurité, et ont des niveaux de sécurité qui rend les attaques sur leurs équipements parfaitement triviales. » Les risques encourus peuvent pourtant aller jusqu’à la destruction ou l’altération de matériel de production. Mais pour Bertrand Boyer, « les utilisateurs sont, en général, le premier maillon faible de la sécurité globale. La mise en pratique des conseils élémentaires de sécurité permet d’éviter 80 % des attaques. Mais il ne faut pas opposer sécurité et accessibilité, sous peine de voir les usagers développer des comportements de contournement. »

« Cette évolution est la même que lorsque la téléphonie a pénétré dans l’informatique, l’histoire se répète mais les enjeux sont plus importants », analyse Sébastien Bombal, responsable de la sécurité opérationnelle et des systèmes industriels d’Areva. La démarche de sécurisation doit commencer par l’évaluation de l’impact possible des failles de sécurité sur les différents systèmes, car les niveaux de criticité sont différents. « Bien inventorier, connaître et comprendre des systèmes intelligents et industriels comme des capteurs, une climatisation ou un contrôle d’accès, c’est une difficulté classique », indique Sébastien Bombal. Pour en assurer l’amélioration continue, il faut effectuer un transfert de compétences de l’expérience acquise en informatique vers exploitants de ces ces nouveaux systèmes connectés. Cela pose des questions en terme de gouvernance: « Les personnes qui en ont la charge n’ont pas eu de formation aux problèmes que l’on traite quotidiennement en cybersécurité. Il faut les épauler, les faire monter en expertise, changer les périmètres de responsabilité. Tout cela dépend des organisations. »

Traiter les problèmes en amont

Techniquement, beaucoup de solutions sont déjà disponibles. « Il manque encore certaines choses, mais il ne faut pas attendre un produit miracle », prévient Sébastien Bombal. Cette problématique est globale, et concerne aussi bien les fournisseurs de composants que les services et les clients finaux. « Lorsqu’il y a un aspect numérique dans la conception, la sécurité et la gestion de l’obsolescence doivent être prise en compte dès le début. Il est beaucoup plus compliqué d’y revenir une fois que les équipements sont en fonction, en particulier sur des lignes de production en flux continu. »

Pour le responsable de la sécurité opérationnelle d’Areva, le marché a bien pris conscience du problème, et une bonne dynamique est en marche. De plus, « la France et les États-Unis sont des pays moteurs pour la sécurisation des systèmes industriels », estime-t-il. Pour Bertrand Boyer, « face aux attaques informatiques, l’entreprise peut s’appuyer sur les réflexions conduites dans le cadre militaire pour améliorer les mécanismes de réponses et de traitement des incidents. Les armées ont une longue expérience dans la gestion de crise.
Dans cet esprit, une approche « tactique » du cyberespace peut s’avérer utile au monde de l’entreprise. »

 

Diner-débat : cybersécurité dans l'industrieLa transformation numérique a rendu l’informatique omniprésente : les usages internes ont changés, les objets connectés font  irruption dans l’informatique, les SI sont plus ouverts que jamais… exposant les équipements industriels à des risques de sécurité critiques.  

En écho au dernier dossier de la rédaction, consacré à la cybersécurité, Alliancy, le mag organise son prochain dîner sur cette thématique.