Sécurité informatique | La prévention des menaces en entreprise

Les menaces et les risques liés à la sécurité informatique n’ont jamais été aussi forts. Amélioration des technologies, sophistication des attaques, ouverture continue des réseaux, automatisation de l’ingénierie sociale, nouveaux moyens de communication plus difficilement contrôlables…

Les menaces et les risques liés à la sécurité informatique n’ont jamais été aussi forts. Amélioration des technologies, sophistication des attaques, ouverture continue des réseaux, automatisation de l’ingénierie sociale, nouveaux moyens de communication plus difficilement contrôlables… Autant de facteurs qui expliquent en partie ce phénomène. Check Point Software Technologies, leader mondial de la sécurité informatique, a souhaité ouvrir le débat sur l’évolution de ces menaces et les moyens de s’en prémunir. Aux côtés d’Olivier Hassid, qui dirige le Club des directeurs de sécurité des Entreprises (CDSE), Thierry Karsenti et Philippe Rondel, respectivement directeur technique Europe et directeur technique France de Check Point Software Technologies, ont ainsi apporté leur expertise lors d’une table ronde, qui se déroulait le 6 avril dernier.

Une explosion des risques liés à la sécurité informatique

En 2011, une explosion de la problématique de la sécurité et des menaces informatiques a été constatée dans tous les secteurs et à tous les niveaux, de la PME aux plus hautes sphères de l’Etat. En quelques mois, cette discussion de spécialistes s’est invitée dans les médias généralistes, portée par des affaires emblématiques et des collectifs d’hackers actifs et revendicatifs, mais aussi par une combinaison de facteurs de risques inédite.
Selon Thierry Karsenti, directeur technique Europe de Check Point Software Technologies, trois sources principales de vulnérabilité peuvent ainsi être identifiées au sein des entreprises :

Le facteur humain : un individu commet une erreur ou fait preuve de négligence (en laissant traîner une clé USB contenant des données sensibles sur son bureau, en oubliant des dossiers dans un train ou un taxi, etc.). Il peut aussi délibérément organiser une fuite d’informations (dans le cadre de l’espionnage industriel, de la revente d’informations sensibles à la concurrence, de la diffusion médiatique de secrets de l’entreprise, etc.).

Le facteur technologique :il y a cinquante ans, le vol d’informations n’était pas aussi massif. Aujourd’hui, une importante masse de données peut être diffusée ou récupérée en quelques minutes seulement via les réseaux. La zone de vulnérabilité est également d’autant plus importante qu’il existe désormais une multitude d’appareils connectés (smartphones, tablettes, etc.), aux usages différents et tournant sur de nombreux systèmes d’exploitation. De plus, la prolifération d’applications toujours plus mobiles et dynamiques, souvent téléchargées ou mises à jour directement par l’utilisateur, rend la sécurisation de ces outils difficilement contrôlable. Enfin, l’inadaptation ou la défaillance des systèmes d’information de l’entreprise peut aussi être source de risques.

Le facteur temps : les attaques des années 1990-2000 se voulaient avant tout des exploits techniques, servant le plus souvent à tirer un profit financier immédiat ou à alimenter l’ego d’un hacker. Aujourd’hui, elles ont évolué, devenant beaucoup plus ciblées et nécessitant également plus de temps. Ainsi, pour éviter de se faire repérer, les intrusions se font plus espacées. Une nouvelle forme d’attaque a d’ailleurs fait son apparition, sous la dénomination APT pour Advanced Persistent Threats. Derrière ce terme se dissimule la prise de contrôle durable d’une machine à distance par le ciblage d’une personne identifiée au sein de l’entreprise. Une fois connecté à son ordinateur, le pirate accède à l’ensemble du réseau. Plus l’attaque devient sophistiquée et plus l’hacker prendra donc le temps de la mener. D’autant qu’un responsable de la sécurité détectera plus difficilement une centaine d’intrusions étalées sur une année, plutôt que sur une nuit.
La combinaison de ces trois facteurs aboutit donc à une moindre maîtrise des menaces dans l’entreprise et favorise de nouvelles méthodes d’attaques plus difficilement prévisibles.

Une cybercriminalité organisée

« Le montant de l’argent collecté par le cybercrime s’avère supérieur à celui de la drogue », souligne Thierry Karsenti, Directeur Technique Europe de Check Point. « Ce que nous voyons cependant apparaître, ce sont de nouvelles motivations d’attaques : économiques, mais aussi politiques et idéologiques. Ainsi, tous les Etats sont aujourd’hui mobilisés et actifs sur ces phénomènes d’espionnage informatique ou de cybercriminalité et mettent en place une politique de sécurité passive (via des outils permettant de se protéger des attaques), mais aussi active (en prévoyant des moyens de réaction et d’action préventifs). »
Pour désigner ce phénomène, les Etats-Unis ont d’ailleurs recours à l’expression très imagée de « militarisation de l’Internet ». Ils parlent également de non-symétrie dans la réaction. Si, à un moment donné, la Chine organise des attaques ciblées contre les systèmes gouvernementaux américains, les Etats-Unis peuvent choisir de réagir non pas symétriquement, c’est-à-dire de manière informatique, mais militairement, commercialement ou politiquement.
En dehors de ce phénomène, l’industrie du piratage se professionnalise, notamment dans le but de se financer. Les « exploits » les plus connus requièrent beaucoup d’expérience, faisant appel à un niveau de sophistication très élevé et, surtout, très recherché. Il s’est même créé un véritable marché du piratage, avec des « chefs de produits », qui créent et font évoluer des attaques pour les revendre aux plus offrants. Ainsi, il est aujourd’hui possible de louer un réseau de botnets ou d’acheter des exploits. Certains experts techniques et hackers monnayent d’ailleurs ces derniers directement auprès des éditeurs qu’ils ont pénétrés. Cette vulnérabilité a un prix (de 50 000 à 1 million de dollars), que les entreprises sont prêtes à payer, afin d’éviter que d’autres acquièrent ces méthodes, faisant entrer ce phénomène dans une véritable logique d’enchères.

L’entreprise : plus vulnérable qu’avant ?

Pour Olivier Hassid, directeur du CDSE, l’entreprise est plus vulnérable qu’elle ne l’était auparavant pour trois raisons principales :

L’internationalisation : des entreprises présentes dans moins de 10 pays au milieu des années 90 commercialisent aujourd’hui leurs produits dans 120 pays. Une mondialisation qui les rend, de fait, beaucoup plus vulnérables aux attaques.
L’externalisation : les grandes entreprises ont recours à de multiples prestataires afin d’assurer leur sécurité informatique, au risque que celle‐ci leur échappe.
La virtualisation des systèmes : les nouvelles technologies de l’information, à l’image du Cloud, augmentent le nombre de points de fragilité de l’entreprise.

Pour autant, si elle est plus vulnérable, l’entreprise est-elle plus attaquée ? A cette question, Olivier Hassid reconnaît qu’il est difficile de répondre : « Si, dans les faits, les entreprises reconnaissant avoir subi des cyberattaques sont plus nombreuses, c’est aussi parce qu’elles acceptent plus facilement d’admettre leur vulnérabilité. L’autre explication tient dans le fait que, les outils de protection ayant évolué, les attaques sont également mieux identifiées. La concentration des entreprises, qui incite parfois à une concurrence déloyale, mais aussi les Etats qui tentent de faire du renseignement offensif ou encore l’augmentation des moyens comme des raisons d’attaquer laissent à penser que l’entreprise est plus souvent prise pour cible. Pour autant, aucun chiffre ne permet réellement de l’affirmer. »
Le sujet intéresse pourtant les entreprises. Comme le révèle une étude du CDSE, menée en partenariat avec l’EDHEC en 2011, les sociétés internationales interrogées plaçaient ainsi « l’intrusion dans les systèmes d’information » à la 3e place (39 %) des menaces qui les préoccupaient le plus, derrière les vols de produits et la fraude interne. Une statistique de la DCRI révèle également qu’il y aurait aujourd’hui 1 000 attaques significatives par an dans les entreprises.

Vers une automatisation de l’ingénierie sociale

Dans sa définition première, l’ingénierie sociale est déconnectée de l’aspect technique et informatique. Elle consiste à utiliser les codes sociaux en vigueur pour recueillir des informations confidentielles. Ainsi, un concurrent contacte un responsable de l’entreprise sous une fausse identité, en se faisant passer pour un journaliste ou un collègue travaillant sur un site distant, par exemple, afin de lui soutirer des informations telles que son budget informatique, le salaire d’un collaborateur qu’il souhaite débaucher, etc. L’impact de cette méthode, qui n’a rien de nouveau, peut aujourd’hui être décuplé, grâce aux nouvelles technologies. Tant que la discussion se limite à un échange humain, les risques sont limités en termes de fuite d’informations stratégiques, mais si l’ingénierie sociale s’automatise, cela change la donne. En effet, connaître le salaire d’un collaborateur peut être utile à un cabinet de recrutement. Mais obtenir le mot de passe de sa messagerie ouvre alors accès à de nombreuses autres perspectives : le salarié est-il en période de licenciement ? Comment est-il noté par ses supérieurs ? Etc. Au-delà, cela peut même créer des portes d’entrée vers le système d’information de l’entreprise.
Plus un pirate récupère d’informations sur sa victime, plus son attaque sera précise et pertinente. Aujourd’hui, la vie de chacun est informatisée. Il suffit de se rendre sur les moteurs de recherche et les réseaux sociaux pour collecter un maximum de données sur quelqu’un, qui vont au-delà de la sphère privée : quels sont ses contacts professionnels ? Sur quoi travaille-t-il ? Quels sont ses hobbies ? Etc. Le contact direct n’est plus nécessaire pour connaître et approcher sa victime. Un espion ou un pirate aguerri se fera très facilement passer pour un collègue, un ami ou un contact professionnel, afin de faire parvenir à sa victime un mail, a priori inoffensif, contenant une pièce attachée malveillante. Disposant d’un maximum d’informations sur sa cible, son approche sera plus crédible, avec un fort taux de réussite. Une méthodologie efficace, qui ne cesse de progresser.
« La démarche ultime serait de restreindre l’utilisation des réseaux sociaux au sein de l’entreprise, voire de bloquer leur accès. Ceux qui sont le plus à la pointe en matière de sécurité profilent leurs usages en fonction de leur population : possibilité de poster des informations textuelles, mais interdiction de télécharger des documents en provenance de ces plates-formes, contrôle du contenu mis en ligne, limitation de leur utilisation à certains services, etc. Toutefois, le meilleur moyen de se prémunir reste la sensibilisation des utilisateurs aux risques qu’ils encourent en utilisant ces nouveaux médias », répond Thierry Karsenti.

Une prise de conscience timide, mais réelle

« Les entreprises s’internationalisent, se développent, emploient plus de salariés et augmentent leur chiffre d’affaires, mais, parallèlement, les investissements en matière de sécurité ne suivent pas. A l’échelle mondiale, 42 % des hauts dirigeants ne revoient quasiment jamais leur politique de sécurité, alors que les pirates, eux, poursuivent leurs avancées », explique Olivier Hassid.

Pour le directeur du CDSE, il existe aujourd’hui deux solutions permettant de prévenir les menaces et d’organiser la riposte :

Une réponse législative
Le 23 janvier dernier, l’Assemblée nationale adoptait la loi sur « le secret des affaires ». Cette dernière vise à mettre à la disposition des entreprises françaises des règles pénales, susceptibles d’empêcher que, par des moyens induits, leurs concurrents n’entrent en possession d’informations sensibles, pouvant compromettre gravement leurs intérêts. Olivier Hassid commente : « Cette loi marque une avancée dans la confidentialité des données sensibles de l’entreprise. Reste que, pour l’appliquer, il sera indispensable d’aider l’entreprise à définir les informations véritablement stratégiques pour elle : comment les reconnaître ? Qui en sera le détenteur ? A quel moment une information n’est-elle plus confidentielle ? Comment les protéger efficacement ? Etc. »
Dans le même ordre d’idées, les normes sur la sécurité des informations (ISO 27001) évoluent rapidement, ce qui permet de sensibiliser un peu plus l’entreprise aux risques encourus.
Une réponse organisationnelle
En France, les entreprises commencent doucement à prendre la mesure d’une démarche de sécurité réfléchie et organisée au plus haut niveau. En 2001, une enquête du CDSE, menée auprès des entreprises du CAC 40, révélait qu’un tiers d’entre elles ne disposait pas de « Direction de la sûreté ». Preuve que les mentalités évoluent, elles ne sont aujourd’hui plus que trois à s’en dispenser. Autrefois dédiée à la surveillance physique des sites ou des personnes, cette fonction s’oriente désormais vers une approche plus globale, intégrant la gestion de diverses problématiques : sécurité des personnes, mais aussi des sites et du système d’information.
Seulement, elles manquent encore bien souvent de personnel (entre cinq et 10 employés pour couvrir la sécurité de milliers de collaborateurs dans le monde), tout comme de budget ou encore de reconnaissance. Ainsi, 85 % des directeurs de la sûreté sont encore rattachés à un responsable du comité exécutif (enquête CDSE 2009), généralement le DRH, même si la tendance actuelle les rapprocherait plutôt du secrétaire général de l’entreprise, voire de la direction générale.
« Nous notons une évolution vers une plus grande considération de la Direction de la sûreté », souligne Olivier Hassid. « Toutefois, il faut nuancer le propos, car aujourd’hui très peu de directeurs de la sûreté sont présents au comité opérationnel et encore moins au comité exécutif. »
Si la prise de conscience est lente, elle est cependant réelle et, d’ici cinq à dix ans, les entreprises devraient avoir totalement intégré cette nouvelle fonction à leur organisation.

Les périmètres d’action de la Direction de la Sûreté
– Contrôle des salariés à l’international : 93 % des DS
– Sécurité de l’information : 80 %
– Enquêtes internes : 80 %
– Gestion des risques et des crises, continuité de l’activité : 78 %
– Management de la conformité : 77 %
Source : Sécurité & Stratégie, N°3, 2010-2011 : une nouvelle décennie de menaces, Paris, La Documentation Française, 2011.

Une autre vision de la sécurité informatique

Aujourd’hui, les problématiques de sécurité informatique sont généralement traitées par l’ajout de technologies appropriées. Toutefois, il est essentiel d’y apporter une part opérationnelle pour en retirer tout le bénéfice. En effet, le respect des normes et la mise en place de solutions technologiques ne suffisent plus.
Placer l’utilisateur au centre de la politique de sécurité
Comme le souligne Philippe Rondel, Directeur Technique de Check Point France : « Le divorce entre l’utilisateur et la sécurité informatique est consommé. Si la technologie est le support incontournable d’une politique de sécurité, elle doit désormais se construire autour d’un certain nombre de process, intégrant le facteur humain. C’est une tendance forte dans le monde applicatif, encore insuffisamment présente dans la sécurité réseau. Jusqu’à présent, les outils permettaient de bloquer l’utilisateur ou de lui donner accès à des ressources et, lorsqu’ils empêchaient une action, aucune réponse, explication ou solution intermédiaire n’étaient proposées. »
Ainsi, pour le collaborateur, la politique de sécurité de l’entreprise est généralement perçue comme une contrainte, un frein à sa liberté d’action : impossibilité d’accéder à certains sites, de se connecter depuis chez soi au réseau de l’entreprise, nécessité de changer son mot de passe régulièrement, interdiction d’effectuer des mouvements bancaires sur son compte en ligne ou d’échanger des fichiers via des clés USB, etc. Les utilisateurs souffrent donc d’un excès de sécurité et, surtout, d’un manque d’information.
« Aujourd’hui, moins d’une entreprise sur 4 a instauré à l’attention de ses salariés un programme d’éducation et de sensibilisation à la politique de sécurité qu’elle mène, alors que les investissements technologiques en vue de se protéger sont massifs », précise Philippe Rondel. « Seulement, vous aurez beau avoir la meilleure porte blindée, si les collaborateurs oublient de la fermer, elle ne servira à rien. »
Cette notion de formation des salariés au respect de la charte de sécurité est donc primordiale. L’entreprise doit être capable d’en expliquer les tenants et les aboutissants, de rappeler les bonnes pratiques en la matière, afin de faire prendre pleinement conscience à ses collaborateurs des conséquences plus ou moins graves que leurs actes, qu’ils jugent trop souvent anodins, peuvent entraîner.
Se recentrer sur la protection des données
Depuis trois ans, l’un des axes stratégiques de Check Point consiste à faire basculer le modèle de sécurité informatique basé sur l’équipement du réseau vers un monde utilisateur, dans une logique de personnalisation et de données.
Par exemple, l’utilisation de nouvelles solutions de communication (smartphones, tablettes, etc.) doit non pas être interdite, car totalement adoptée par les usagers, mais contrôlée, afin d’en restreindre la dangerosité pour l’entreprise.
« Ce qui est important », explique Philippe Rondel, « ce n’est pas tant l’équipement utilisé, mais la donnée qui circule dessus. Le responsable informatique va répondre technologiquement et au cas par cas aux problématiques, alors qu’il devrait nourrir une réflexion plus globale, très axée sur l’utilisateur, de façon à interagir avec lui. »
Si certaines entreprises ont compris ce message et le prennent en compte, il faut toutefois noter que la sûreté est une problématique encore très secondaire pour un grand nombre d’entre elles. Et, devant les difficultés qu’elles rencontrent lorsqu’elles tentent de mener de vraies politiques dans ce sens, elles préfèrent se contenter d’être dans les normes, plutôt que d’élaborer des stratégies réellement approfondies.
« La plupart des clients avec qui j’aborde ce sujet estiment qu’un tiers de leur bande passante est occupé par des problématiques réglementaires pour justifier ce qu’ils font en termes de sécurité. C’est d’une improductivité totale, qui cannibalise du temps et du budget. C’est aussi un coût récurrent, dont on ne sort jamais, avec une pression réglementaire croissante », souligne Philippe Rondel.

La malveillance informatique n’a jamais été aussi forte ni aussi sophistiquée. Même si toutes les entreprises ne courent pas les mêmes risques, selon leur taille et leur activité, en revanche, elles ont toutes des concurrents, des parts de marché à défendre ou à se faire prendre et peuvent, un jour ou l’autre, être concernées. Aucune n’est à l’abri d’un ancien salarié rancunier, d’un concurrent malveillant ou d’un petit malin qui voudrait juste s’amuser. De véritables politiques de sécurité doivent donc être menées, via la création de Directions de la sûreté ou en collaboration avec des spécialistes du sujet. Quelle que soit la méthode retenue, elles doivent impérativement prendre en compte l’utilisateur final et le sensibiliser au projet. C’est l’une des conditions indispensables pour prévenir, mais également limiter les risques et ainsi améliorer la sécurité de l’entreprise.