Il y a fort à parier que la liste des victimes de la cyberattaque Sunburst continue d’être mise à jour. La situation est sous contrôle d’après les autorités américaines et Microsoft, mais elle demeure source d’incertitude pour les entreprises. Quelle stratégie doivent adopter les entreprises pour mieux protéger leurs données ? Comment faire confiance aux éditeurs ? Aron Brand, CTO de l’entreprise spécialisée en solutions cloud Ctera, a accepté de s’entretenir avec Alliancy pour éclaircir les doutes sur la question.

Alliancy. En quoi la cyberattaque “Sunburst” est-elle exceptionnelle ?

Aron Brand. SolarWinds est un des pires cas de cyberespionnage de l’Histoire. Ce qui reste impressionnant, c’est que plus de 8000 entreprises ont été infectées mais aucune d’entre elles ne l’a détecté ou n’a rien fait. Cela montre et rappelle à quel point les entreprises ne sont pas complètement sécurisées.

Cette attaque a réussi à causer des dommages à des entreprises en ciblant les maillons faibles de la supply chain. Il s’agit ici d’un cheval de Troie proposé par le fournisseur pour faire une mise à jour logicielle. Quand le virus est entré dans le cloud, il s’est répandu dans de nombreux ordinateurs en réseau en prenant avantage sur les logiciels additionnels. Et la tâche a été rendue facile dès lors qu’il s’agissait de cloud privés, souvent déployés avec moins de mesures strictes en matière de sécurité.

C’est un tremblement de terre dans l’histoire de la sécurité informatique et cela rend la confiance d’autant plus difficile à appliquer. Microsoft a récemment avoué que l’attaque avait atteint son code source, tout en minimisant son impact. Cette réaction est plutôt courante mais la réalité c’est que personne ne peut vraiment savoir l’impact qu’elle a eu ou aura.

Que pouvez-vous dire aux entreprises qui s’inquiètent de cette nouvelle attaque ?

Aron Brand. Il est fort probable que ce type d’attaques survienne davantage à l’avenir. C’est plutôt inquiétant pour les entreprises, encore plus pour celles qui n’ont pas assez de mesures de sécurité en place. Elles doivent se rendre à l’évidence et admettre que le cloud privé n’est pas sans failles. Les réseaux privés sont d’ailleurs bien moins sécurisés que les systèmes publics, exposés à internet. Ainsi, la cyberattaque Sunburst rappelle l’importance du zero trust et il faut l’adopter dès aujourd’hui et arrêter d’assumer qu’un système n’est pas compromis.

Pour ce qui est du cloud public, dès lors qu’une entreprise s’en remet à un fournisseur, elle doit, si possible, chiffrer ses données et ne pas délivrer les clés de déchiffrement. Je conseille vivement par exemple d’adopter une stratégie hybride et multicloud : stocker ses données chez un hébergeur et ses clés de déchiffrement dans un autre.

Toutefois, il n’est parfois pas possible d’analyser ses données sans fournir les clés, comme c’est souvent le cas dans les modèles SaaS. Ces entreprises doivent alors prévoir des programmes de gestion des fournisseurs pour passer au crible la sécurité des tiers.

Mais de manière générale, le plus important lorsqu’une organisation déploie un réseau pour ses employés ou ses clients, c’est de prévoir à minima un système de chiffrement et de double authentification. Aujourd’hui tout est connecté en réseau : votre imprimante, votre caméra, votre souris… c’est pour ça qu’il faut bien comprendre à quel point il est facile d’exploiter des failles.

À lire aussi : Stratégie cloud : la sécurité comme chantier 2021 après Sunburst

 

Comment faire confiance aux éditeurs à l’avenir ?

Aron Brand. La standardisation est une partie de la réponse. Comme le standard OTTP par exemple, qui permet de vérifier si les procédures et mesures de sécurité sont respectées par le fournisseur de logiciel. Seules les personnes en charge du standard ont accès au code source pour s’en assurer.

Est-ce que vous pensez qu’après cette attaque les entreprises vont préférer le cloud privé ?

Aron Brand. Je ne pense pas. Le cloud privé est surtout adapté pour les organisations sensibles comme dans le militaire mais la majeure partie des entreprises ont besoin d’edge computing et de cloud public. Il y a évidemment plus d’investissements conséquents dans la sécurité des systèmes du cloud public et si l’on veut appliquer les principes du zero trust, il faudra commencer par admettre que nos propres systèmes ne sont pas faits pour résister au monde moderne, où les cyberattaques sont de plus en plus fréquentes.

À lire aussi : L’adoption du cloud, « la nouvelle norme »