Soleil (et nuage) aux Assises de la sécurité

Y a-t-il encore des secteurs d’activités qui ne dépendent pas du numérique, sachant que la plupart des utilités, eau, électricité, gaz… sont commandées à un stade ou à un autre par des algorithmes ?

S’il y a toujours quelques plaisantins pour jouer avec les défenses d’un serveur ou d’un ordinateur, la menace s’est considérablement musclée. Elle est plus insidieuse, dormante dans certains cas, et prête à être actionnée lorsque nécessaire. C’est une arme. Et comme toutes les armes, les plus dangereuses sont entre les mains des États ou de groupes qui lui sont affiliés.

Il faut voir les attaques massives de ces dernières années comme la traduction de conflits internationaux. Tout cela n’est pas vraiment nouveau puisqu’en 2010 déjà, le ver Stuxnet avait endommagé le programme nucléaire iranien en faisant littéralement exploser les centrifugeuses de l’usine d’enrichissement de Natanz. Les Iraniens avaient répliqué avec le ver Shamoon qui avait complètement détruit les installations informatiques de la compagnie pétrolière saoudienne Aramco, celle-là même qui a été frappée par des tirs de missiles et/ou de drones à la mi-septembre 2019.

L’arme est aussi économique

Lors de la prise de nouvelles sanctions contre la Corée du Nord à la fin de l’année 2014, une vague de ransomwares, ces logiciels qui cryptent les disques et serveurs et réclament des rançons en Bitcoin, avait opportunément frappé les pays occidentaux. Pour certains analystes, il s’agissait pour le despote coréen d’accumuler de l’argent, à travers une monnaie qui échappe aux embargos.

La valeur d’une donnée ne tient pas seulement à sa disponibilité mais aussi à sa confidentialité. Si bien que certaines données stratégiques pour le pays ou pour leurs entreprises peuvent être copiées ou dérobées. La fuite par le groupe Shadow Brokers de certains outils appartenant à la NSA en 2016 a ouvert la boîte de Pandore. En 2017, son contenu s’est répandu à travers une série de hacking massifs. Elle a aussi révélé l’étendue de la surveillance étatique organisée par les États-Unis.

Le règlement européen sur la protection des données personnelles, le RGPD, a introduit les concepts de privacy by design et de security by design dans la loi pour éviter les fuites de données. Les Américains ont répliqué par le Cloud Act, ce texte qui permet à n’importe quel juge d’exiger qu’une compagnie américaine lui fournisse la copie des données d’un de ses clients, quels que soient le type, la nationalité ou la localisation des données – sans d’ailleurs prévenir son propriétaire. Une arme législative extraordinairement puissante, qui peut être actionnée pour des raisons économiques.

Une France à la traîne

La France est démunie car elle ne possède rien dans le domaine : pas de système d’exploitation, aucun matériel numérique – ni PC, ni smartphone, ni routeur ou antenne. Elle est même en retard sur la plupart des sujets comme la 5G. Pourtant, elle souhaite garder une certaine souveraineté dans le domaine numérique.

L’initiative Hexatrust, qui rassemble des PME françaises dans le domaine, était largement présente sur le salon. Aussi louable soit-elle, la détermination de quelques-uns suffit-elle si elle n’est pas portée et accompagnée par l’État ?

En ce sens, l’Anssi (Agence nationale de la sécurité des systèmes d’information) a annoncé la création d’un campus, sur le modèle israélien, pour accompagner une filière cyber d’excellence. La France se verrait bien championne et pourquoi pas leader en Europe sur le domaine.

En Europe de l’Est, nombreuses sont les entreprises qui ont déjà commencé et acquis une réputation solide. Malgré son nom, ITrust est une entreprise française, originaire de Toulouse, qui propose des scans de vulnérabilité ainsi que la collecte et le suivi d’information sur la base d’intelligence artificielle. Beaucoup en parlent sur le salon mais tous n’en font pas.

Le logiciel proposé par ITrust s’appuie sur du machine learning. Pour le mettre en place et le configurer, il faut plusieurs semaines pour que le moteur de comportement s’imprègne des règles métiers et établisse des corrélations qui seront ensuite confirmées ou infirmées par le RSSI ou le DSI. Il s’agit ainsi de réduire le bruit de fond et d’éviter les faux positifs. L’objectif est d’offrir un tableau de bord clair et concis qui permette d’afficher « 5 menaces plutôt que 500 alertes ».

Un discours axé sur la confiance

Guillaume Poupard, le directeur général de l’Anssi a rappelé dans son discours d’ouverture qu’il était temps, après la période où il fallait faire peur, d’inspirer la confiance, de se réunir et d’aborder la thématique de manière ouverte et positive. Un discours qui, sans nier l’importance de la « guerre » en cours, se veut à rebours des précédentes ouvertures du salon.

Comme pour lui faire écho, les différents ateliers étaient l’occasion de se rendre compte que la co-construction de la sécurité est bien en marche : le Clusif présentait ainsi sa cartographie des risques Office365 quant à la nouvelle association CIX-A, dont le lancement date du FIC de janvier 2019, elle annonçait un premier partenariat avec ThreatQuotient, une entreprise spécialisée dans le renseignement cyber.

Des variations nuageuses selon les entreprises

Car si la menace est maintenant bien connue, que des mesures sont en place, il reste des nuages au tableau. Un nuage, surtout. C’est le cloud dont tout le monde parle dans les allées. Beaucoup d’entreprises (trop ?) l’ont adopté. Flexible, accessible depuis n’importe quel appareil, à n’importe quel moment, il permet des puissances de calcul supérieures aux ordinateurs et aux serveurs et une utilisation à la demande – souvent mutualisée.

Le cloud ne manque pas d’avantages compétitifs, particulièrement parce qu’il colle aux usages et aux contraintes des entreprises. Mais sa sécurisation, et souvent son paramétrage, sont complexes, d’autant que toutes les entreprises n’ont pas les mêmes besoins. Pour certaines, l’enjeu est tout simplement de pouvoir répertorier à la fois les systèmes d’information de l’entreprise (serveurs, applications métiers, logiciels liés à des machines, etc.) et les appareils qui se connectent à eux (téléphones, PC…) dont les objets connectés représentent une part croissante.

Philippe Courtot, chairman et CEO de Qualys, a cru très tôt au cloud, dès 1999. Installée dans la Silicon Valley, son entreprise propose des services de protection dans le cloud dont un qui est gratuit et dont l’objet est justement d’offrir une cartographie complète et exhaustive de l’ensemble de ce qui est connecté aux serveurs de l’entreprise.

---

Près de 3 000 participants et 160 entreprises partenaires appartenant à l’écosystème de la cybersécurité se sont réunis à Monaco pour la 19e édition des Assises de la sécurité. Ici, le directeur général de l’Anssi – Guillaume Poupard – lors de son discours d’ouverture.

---

Assurer sa protection par la base

Pour défendre au mieux le système d’information (SI), il faut d’abord commencer par la base. Eset, éditeur slovaque de solutions de protection, propose un système complet, sous la forme d’un antivirus léger et de services avancés de détection qui permettent de sécuriser tous les postes et appareils reliés au réseau. Cette approche périmétrique reste essentielle pour tous les secteurs, et particulièrement tous ceux où le cloud n’est pas envisageable : soit pour des raisons légales, soit parce que les appareils ne sont pas toujours reliés au réseau.

C’est ainsi que la Gendarmerie nationale a adopté la solution Endpoint d’Eset. Pour aller plus loin, l’entreprise propose également une solution d’encryptage du disque dur qui permet d’éviter, en cas de perte ou de vol de l’appareil, que les données ou les accès soient compromis.

Les attaques viennent aussi beaucoup de l’intérieur, le plus souvent à cause d’une erreur ou d’une maladresse de l’utilisateur. Quand les systèmes se complexifient, c’est sur l’humain que porte l’attaque.

Tous les ransomwares suivent le même chemin, celui d’une pièce jointe ouverte par erreur. Proofpoint, une entreprise américaine, se consacre à la protection des messageries en fournissant formations et informations aux utilisateurs, à la fois au niveau technique et au niveau de l’ingénierie sociale. Ses solutions permettent d’éviter les emails frauduleux qui empruntent les noms, prénoms et domaine de l’entreprise. Proofpoint fournit également un rapport régulier sur les VAP (Very Attacked Person), les membres du personnel qui sont le plus ciblés et qu’il faut protéger et sensibiliser en priorité.

Des administrateurs parmi les VAP

D’autres rapports sont consacrés aux méthodologies d’attaques. Chez Oneidentity, ce sont aussi les utilisateurs qui sont au coeur du problème. Il s’agit de les recenser, de suivre leurs parcours et, surtout, de vérifier leurs droits. Pour cela il faut une architecture rigoureuse et mise à jour régulièrement, car les mouvements dans l’entreprise laissent parfois des portes ouvertes.

Les comptes administrateurs, ceux des RSSI ou des informaticiens, sont les plus sensibles. Ce sont des comptes à privilèges car ils ont le plus d’accès et de contrôles. Parfois, ils ne sont pas personnalisés (Root ou Admin) et potentiellement partageables ce qui rend leur suivi difficile.

À cela s’ajoute le problème des sous-traitants et partenaires de l’entreprise qui peuvent eux-aussi avoir un accès au SI : faut-il opter pour un accès temporisé, limité dans le temps ou à la demande ? Tout dépend de l’organisation et de la nécessité de se connecter. Pour l’y aider, l’identification à double-facteur fait partie des modèles.

Chez Forescout, autre entreprise américaine, on se concentre sur le business et sur les périphériques qui se connectent au réseau : comment les inventorier, comment les sécuriser pour éviter qu’ils ne soient détournés de leurs usages pour mener une attaque. Pour cela, Forescout a développé une technologie d’empreinte numérique qui permet de vérifier chaque périphérique qui se connecte, de l’analyser et de lui attribuer une signature unique. Des outils permettent ensuite au RSSI de suivre, de contrôler, voire d’isoler les périphériques en cas de doute sur leur usage ou leur origine.

L’omniprésence du numérique

Le numérique est partout et l’est de plus en plus dans le quotidien, comme dans les systèmes embarqués. C’est cette thématique que le prix de l’innovation a cette année récompensée à travers la spin-off Moabi.

Moabi est une société qui n’a que quelques mois d’existence. Issue de l’entreprise d’audit et de conseil Toucan, elle a vu le jour en mars 2019. Son objet : accompagner les entreprises sur la sécurité de leurs produits commercialisés. Bien souvent, la sécurité des ordinateurs de bord des véhicules ou d’autres systèmes embarqués n’est pas la priorité. Le plus souvent, leur robustesse aux attaques est éprouvée en bout de chaînes.

Deux techniques sont utilisées : l’analyse de code ou les pentest (des tests d’intrusion). Ces tests, les deux ingénieurs à l’origine de l’entreprise les réalisaient déjà de manière manuelle il y a plus de 10 ans. Leur expérience leur a permis de concevoir un logiciel qui automatise certaines attaques sur la base d’un reverse engineering. Les testeurs peuvent ainsi se concentrer sur l’essentiel, à partir des rapports fournis par le logiciel.

Zero trust, le mot-clé de l’édition 2019

Chacune des Assises a son mot-clé associé. Il s’agit de cette expression employée d’un stand à l’autre.

Cette année, on parle du cloud bien évidemment, de l’intelligence artificielle, de la threat intelligence (le renseignement sur les menaces), mais celle qui marque le plus cette édition reste le zero trust.

Comme toutes les catchphrase, le zero trust a quelque chose d’un peu mystérieux. C’est un modèle ou un concept plus qu’un produit, si bien que tout le monde peut l’accommoder à son entreprise ou s’en réclamer. L’idée est la méfiance absolue, à rebours encore du discours de Guillaume Poupard qui plaide l’inclusion. Les deux ne sont pas antinomiques mais leur association surprend. Puisque les systèmes sont devenus tentaculaires, les utilisateurs et les périphériques changent, le cloud est omniprésent… alors il ne faut accorder aucune confiance.

C’est un peu la philosophie qui se décline ensuite par étapes : n’autoriser qu’après vérification puis tracer l’ensemble des actions sur le système, voire, en fonction des comportements et grâce à l’intelligence artificielle, bloquer les utilisateurs lorsqu’ils sortent de la « norme ». Mais quelle est cette norme et comment la définir ? Le sujet n’est pas près de s’épuiser et il faudra plusieurs autres éditions pour le préciser.