L’entraînement des équipes SSI au risque cyber, les réponses de Christophe Auberger

Comment peut-on expliquer ces attaques ?

C. A. Pour des raisons de coût, d’efficacité et d’implémentation, de plus en plus d’équipements fonctionnent sur IP (Internet Protocol). Ce qui n’a pas forcément été anticipé par les fabricants de ces équipements, c’est qu’un système IP est un monde ouvert. Or l’interconnectivité c’est pratique, mais cela expose à des risques. Ainsi, à partir du moment où l’on connecte une caméra IP sur internet, on a 100 % de chances d’être piraté. La seule question est de savoir quand ! Souvent, ces équipements constituent le maillon faible des systèmes d’information (SI). Car le problème, c’est que ces équipements sur IP sont interconnectés de manière globale au SI complet de l’entreprise : donc ils communiquent avec la facturation, le fichier client, le CRM, etc.

En fait, il existe deux sortes de vulnérabilités : celle intrinsèque, liée à la qualité de l’équipement IP. Souvent lorsqu’on acquiert ce type de matériel, la chaîne de traitement embarquée de l’information ne figure pas dans le cahier des charges. Pour des caméras par exemple, on considère les fonctionnalités comme la mesure de température, l’angle de vision, la distance, mais pas la gestion des mots de passe, l’authentification… L’autre sorte de vulnérabilité se rapporte à la connectivité et à sa protection. Des ports peuvent être laissés ouverts, des services laissés actifs, sans raisons. Comment segmente-ton le réseau, qui accède à l’équipement, quels sont les droits d’administration, sont autant de questions à considérer. Pour introduire de la sécurité dans un système d’information, il faut adopter une démarche volontariste. Et procéder à une analyse des risques pour identifier les vulnérabilités et mettre en place une protection adaptée.

Est-il possible de s’entraîner à faire face à des attaques ?

C .A Il existe des pratiques tout-à-fait communes, mais qui nécessitent des équipes de sécurité de l’information conséquentes. Ces méthodes répondent à deux objectifs : primo, cela permet de tester son SI et d’en déceler les vulnérabilités, pour pouvoir ensuite les traiter ; secundo, cela permet d’entraîner les équipes à détecter plus facilement les attaques, et à observer ce que cela entraîne sur le SI.

En général, l’entreprise fait appel à un prestataire qui possède les compétences, puis on divise l’équipe sécurité en deux sur le modèle « Red Team vs Blue team » : l’une fait l’attaque, l’autre est en défense. Dans le même ordre d’idée, il y a des solutions aujourd’hui que l’on qualifie de réflexives : on cré     e un leurre qui ressemble au SI de l’entreprise, avec par exemple un système de caméras de vidéosurveillance, des serveurs, des sites web. On l’interconnecte ensuite sur l’extérieur, et on attend les attaques. Cela présente le même avantage que le procédé « Red Team vs Blue team » : on met en évidence les vulnérabilités, pour ensuite essayer d’y remédier. L’atout supplémentaire, c’est qu’on fait face à de vraies attaques. Et potentiellement des vulnérabilités Zéro Day, donc que l’on ne connaît pas encore. Le dernier avantage, c’est que durant l’attaque du leurre, les pirates laissent tranquille le vrai SI, ce qui permet de donner de l’air aux équipes sécurité. Ce sont des approches assez intéressantes, qui permettent de couvrir l’ensemble du spectre du SI de l’entreprise, y compris les aspects sûreté. La solution consistera à mettre en place des contre-mesures sur le vrai SI, de manière à se protéger de ces attaques.

Enfin, il existe également des organismes spécialisés qui pratiquent des formations dans ce domaine. Ces organismes sont capables de mettre en place tout ou partie du SI de l’entreprise dans des environnements virtuels. On y convie les équipes de la sécurité et on simule des attaques pour essayer d’y parer. Car en réalité les SI sont complexes et ne peuvent servir de cobaye grandeur nature, au risque de paralyser leur fonctionnement ! Cela permet aux équipes de travailler sur la gestion de crise, et notamment sur des choix élémentaires du type : est-ce que je coupe le SI pour me protéger ? Mais ce faisant on perd la preuve, ce qui empêchera par la suite de remonter à l’origine de l’attaque. Ce genre de problématique et de réaction appropriée, on ne peut y faire face que si on s’est entraîné.