Gérer les risques
Aujourd'hui et demain

Cyberprévention

Filière de la confiance numérique : où en est-on ?

Affichant une croissance soutenue de 9 %, le secteur de la confiance numérique est ébranlé par le coronavirus. Tour d’horizon des nouvelles menaces et des bonnes pratiques.

le-seul-rançongiciel-a-généré-144,35-millions-de-dollars-de-recettes-sur-la-periode-2016-2019.

Selon une étude du FBI, dévoilée lors la conférence RSA 2020, la cybercriminalité a généré 144,35 millions de dollars de recettes sur une période allant de 2016 à 2019, avec des croissances annuelles de 400 % à 600 %. © Markus Spiske / Unsplash

Avec un chiffre d’affaires de 12,4 milliards d’euros, la filière de la confiance numérique pèse lourd dans l’économie française. Et, selon l’observatoire 2019 de l’Alliance pour la confiance numérique (ACN), la croissance annuelle est de 9 % depuis cinq ans. Bref, les secteurs de la cybersécurité, de la sécurité électronique et de l’identité numérique se portent bien. Pourtant, la crise sanitaire du coronavirus ébranle la filière. Faux sites de vente de masques chirurgicaux. Prolifération de sites liés au coronavirus dont 50 % ont des chances d’être malveillants, selon CheckPoint Software Technologies… Des pirates du monde entier s’engouffrent dans la brèche du Covid-19 pour accélérer la propagation de leurs propres infections.

Un botnet de 850 machines infectées dans le monde

« La cybermalveillance est bel et bien le revers de la digitalisation, soulève Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (Cesin). Les modes de piratage sont proportionnels à ce que les entreprises ont bien voulu exposer sur Internet pour aller plus vite que leurs concurrents. » Dans cette logique, la 5G risque d’accroître le nombre de botnets. Ces réseaux de milliers, voire de millions de machines ou d’objets connectés pilotés à distance par des pirates vont exploser. Il n’y a qu’à consulter le site Shodan.io pour découvrir la liste des modèles non sécurisés d’objets connectés (frigos, caméras, usines électriques…). Ainsi le Botnet Retadup, démantelé en août dernier, avait fédéré plus de 850 000 machines dans le monde.

le-site-shodan.io-indique-la-liste-des-modeles-des-objets-connectes-non-securises.

Le site Shodan.io indique la liste des modèles non sécurisés d’objets connectés (frigos, caméras, usines électriques…). © D.R.

D’énormes puissances de calcul au service des pirates

« Pour les autres objets connectés, le logiciel Nessus permet aux pirates de scanner les machines afin d’identifier leurs vulnérabilités, détaille le hacker éthique Gaël Musquet. À partir de là, ils lancent leurs attaques par Botnet. Plusieurs organisations malfaisantes peuvent alors se servir simultanément du même réseau. »

Après les attaques en déni de service distribué (DDoS), ces énormes puissances de calcul servent aujourd’hui à casser des mots de passe en Brute Force. À miner des cryptomonnaies comme le Monero. Ou à injecter des virus comme les cryptolockers. « Le Botnet qui se contente de paralyser un site, c’est fini. Sa capacité à cartographier les failles est redoutable, remarque Gaël Musquet. Souvent les cibles sont observées pendant des semaines ou des mois. Et comme le botnet est international, il offre une furtivité incomparable pour localiser et suivre des cibles. »

Selon une étude du FBI, dévoilée lors la conférence RSA 2020, la cybercriminalité a généré 144,35 millions de dollars de recettes sur une période allant de 2016 à 2019, avec des croissances annuelles de 400 % à 600 %.

nicolas-arpagian-est-vice-président-de-la-stratégie-et-des-affaires-publiques-chez-orange-cyberdefense.

Nicolas Arpagian est vice-président de la stratégie et des affaires publiques d’Orange Cyberdefense. © Orange Cyberdefense

Les trois piliers de la confiance numérique

« Rappelons que, pour les entreprises, la confiance numérique repose sur trois piliers. Tout d’abord, la confidentialité : lorsque j’échange et je stocke des données, personne d’autre ne doit y avoir accès. Puis la disponibilité des données : lorsque j’appuie sur le bouton, j’obtiens ce que j’attends. Mon équipement fonctionnera au moment où j’en ai besoin, explique Nicolas Arpagian, vice-président de la stratégie et des affaires publiques d’Orange Cyberdefense. Vient enfin l’intégrité. Les données que j’utilise n’ont pas été modifiées par un tiers non autorisé. Ce que je vois correspond à ce que j’attends. Dans un monde idéal, ces trois piliers doivent être assurés. »

La transformation numérique mise à l’épreuve

En cette période de Coronavirus, en quoi la confiance numérique est-elle, plus que jamais, cruciale ? « La crise sanitaire oblige soudainement à déconcentrer le travail. Or le télétravail met à l’épreuve la transformation numérique des organisations, estime Nicolas Arpagian. Avec le télétravail, les organisations ont des gens différents, à des endroits différents et des agendas différents. Ces personnes ont des enfants à encadrer au plan scolaire, des courses à faire. Bref, le télétravail en situation de confinement, c’est à la fois le travail à distance et le travail asynchrone. Avec la possible rupture des rythmes qu’on avait toujours connus. »

Procéder à l’indispensable analyse des risques

Pour télétravailler, certains salariés ont dû rechercher, du jour au lendemain, un PC portable et télécharger des logiciels gratuits… Le tout dans une totale improvisation. « Cette improvisation peut être dangereuse. Notamment pour indiquer aux salariés les outils qu’ils ont le droit de télécharger, reprend Nicolas Arpagian. L’accompagnement reste nécessaire. » Et l’expert de prôner l’indispensable analyse des risques dus à cette nouvelle situation de télétravail. Laquelle porte sur la gestion des identités et des accès [Identification and Access Management (IAM)]. Ainsi que sur la fiabilité et la protection des connexions et des données. Pour chacune de ces dimensions, il faut étudier le périmètre, l’organisation du système d’information dans l’entreprise, ses forces et ses faiblesses. Par ailleurs, il faut aussi structurer et cloisonner l’information.

openvpn-est-le-plus-populaire-des-vpn-open-source.

OpenVPN est le plus populaire des réseaux privés virtuels Open Source. © D.R.

Trois protections à mettre en place

« Les entreprises ont généralisé le télétravail. Mais toutes ne couvrent pas 100 % de leur personnel avec les outils nécessaires. Comme les réseaux privés virtuels (VPN), constate Gérôme Billois, expert en cybersécurité et gestion des risques numériques au cabinet Wavestone. Sans oublier l’authentification forte ainsi que les Virtual Desktop Infrastructure (VDI). Lesquels permettent de travailler sur les données des serveurs de l’entreprise. Au lieu de les rapatrier sur le PC de la maison. » Ce qui pourrait ouvrir la porte aux pirates. Notamment lorsque les salariés utilisent le même mot de passe pour la vie professionnelle et la vie personnelle. « Les pirates peuvent alors le dérober via des arnaques prétendant vendre des masques chirurgicaux ou des sites qui disent indiquer en temps réel le taux de contamination dans tel quartier ou telle rue », poursuit Gérôme Billois.

Côté IAM, on référence pas moins d’une dizaine de solutions Open Source. Parmi les plus connus, citons OpenIAM mais aussi Apache Syncope, Shibboleth Consortium et WSO2. Côté VPN, les TPE et PME peuvent télécharger gratuitement OpenVPN, une solution Open Source massivement utilisée et bien protégée. Côté VDI, d’autres logiciels Open Spource existent. Comme Vagrant, Xen Project, OpenVZ, Oracle VM VirtualBox, flexVDI, FOSS-Cloud ou encore le très populaire Amazon WorkSpaces.

gerome-billois-est-expert-en-cybersécurite-et-gestion-des-risques-numériques-chez-wavestone.

Gérôme Billois, expert en cybersécurité et gestion des risques numériques au cabinet Wavestone. © Wavestone

Se faire accompagner

Dans tous les cas, sécuriser le télétravail réclame un accompagnement professionnel. « Il s’agit tout d’abord de réaliser l’audit de la situation. Puis de choisir les outils en fonction de l’entreprise et de ses usages, précise Nicolas Arpagian. Viendra ensuite le déploiement des solutions en fonction de la taille de l’entreprise et de son budget. Suivront les tests de pénétration (Pen Testing) sur système d’information. » Forte de cette organisation, l’entreprise (ou son partenaire de sécurité) sera en mesure de détecter les usages inhabituels ou anormaux. Et donc de répondre aux incidents.

Quid de l’après crise ?

Dans la période post-crise, le danger restera présent mais empruntera de nouvelles formes. Première étape : restez vigilants. « Plein de gens se faisant passer pour analystes ou experts vont solliciter les entreprises au moment de la reprise . Leur objectif : essayer de pénétrer leur système d’information. De même, surveillez vos messages entrants. Cette période trouble peut vous exposer à de nouveaux rançongiciels », poursuit Nicolas Arpagian. « Si un virement bancaire est réclamé par e-mail, confirmez sa légalité par téléphone auprès de la personne habilitée », conseille Gérôme Billois.

La seconde étape consiste à réaliser un nouvel audit pour s’assurer que l’infrastructure n’a pas été abîmée. Dernière étape : analyser le retour d’expérience (retex). Il s’agit de corriger les faiblesses et sanctuariser ce qui le mérite. « C’est la partie la plus délicate : le retex doit absolument être fait à chaud, insiste Nicolas Arpagian. Autrement, l’entreprise oubliera le plus important. Or, lorsque vient la reprise, elle aura tendance à trouver que ce n’est pas le bon moment. » Et elle aura tort.

Erick Haehnsen

Commentez

Participez à la discussion