Penser comme un attaquant

Penser comme un attaquant

A l'heure du cloud et de la mobilité, il est devenu impératif d'impliquer tous les acteurs de l'entreprise dans le développement d'une véritable culture de la sécurité, tout en tenant compte des ressources budgétaires et humaines disponibles. Pour comprendre cela, nous avons rencontré quatre membres du pôle Ethical Hacking du département Security Audits and Governance Services (SAGS) de Telindus, une équipe d'experts en cybersécurité chargés d'identifier les risques en sécurité de l’information et de les prévenir. Leurs missions d'audit les amènent régulièrement à revêtir le costume d’un cybercriminel et à utiliser les mêmes techniques. Nous avons abordé avec eux quelques-uns des enjeux de la sécurité numérique.

Assurer sa sécurité pour un budget maîtrisé

Transformation digitale, cloud et mobilité tirent vers le haut les dépenses en sécurité de l'information. Le cabinet Gartner estime ainsi à 4,7% la hausse globale des budgets consacrés en 2015 par les sociétés à la protection de leurs actifs numériques.

Pourtant, des actions ciblées, adaptées à la taille de l'entreprise, à son environnement  et aux ressources dont elle dispose permettent déjà d’identifier et de mettre sous contrôle les risques majeurs auxquels elle est exposée. "La défense périmétrique constitue un moyen abordable de sécuriser une infrastructure", explique Bruno Rubin. "On peut voir cette première ligne de défense comme un mur d'enceinte qui englobe toutes les ressources IT de l'entreprise et lui permet de s'isoler de l'extérieur. Une organisation au budget limité peut tout miser sur la défense périmétrique et l'activer avec ses propres ressources."

Un audit technique, sous la forme d'un test d’intrusion opéré par l'équipe SAGS de Telindus, permet entre autre de valider la qualité de la défense périmétrique en place. "Ce type de test permet à l'entreprise de se rendre compte de la visibilité qu'elle offre depuis l'extérieur sur ses ressources et de corriger les vulnérabilités éventuelles", résume Joany Boutet.

Services cloud: allier flexibilité et sécurité

L'une des inquiétudes les plus souvent exprimées par les entreprises qui s’apprêtent à franchir le cap de la migration vers le cloud concerne la sécurité de leurs données et applications. "La crainte d'être exposé à davantage de danger ou d'insécurité dans le cloud est une idée reçue", affirme Damien Gitter. "Le cloud de Telindus, par exemple, repose sur des datacentres installés au Luxembourg, ce qui offre une solide garantie tant en matière de localisation des données que de cadre réglementaire. Les équipements dédiés aux différents clients y sont soigneusement confinés, ce qui évite tout croisement de données". L'équipe SAGS de Telindus effectue régulièrement des tests de ségrégation et d'intrusion sur les équipements de sécurité de ces datacentres. "Cet audit est l'une des exigences de la certification ISO 27001 que détient Telindus", précise Damien Gitter.

La certification ISO 27001 permet aux prestataires de démontrer à leurs clients et leurs partenaires qu’ils ont mis en œuvre un ensemble cohérent de bonnes pratiques en matière de sécurité des infrastructures, des données et des applications. Cette norme précise un grand nombre de fondamentaux en matière de politique de sécurité, de sécurité du personnel, de contrôle des accès, etc. Un fournisseur de services cloud certifié ISO 27001 se présente donc immédiatement comme un partenaire de confiance. Il assure une gestion efficiente de ses infrastructures, des mesures de sécurité rigoureuses, un pilotage efficace des incidents et des processus solides, le tout à travers une approche par les risques pour justifier et prioriser les investissements.

Ces services de cysécurité trouvent un prolongement naturel dans le Security Operations Center de Telindus. "Le SOC, qui s'est récemment ouvert aux clients non-hébergés, assure un service sans interruption, 7 jours sur 7 et 24 heures sur 24, qui couvre aussi bien le simple monitoring de ressources que la détection d'attaques plus complexes", ajoute Damien Gitter.

La mobilité, une aubaine pour les pirates ?

Le talon d'Achille des équipements actuels - laptops, tablettes et smartphones - tient à ce qui fait leur polyvalence: leur nature hyper-mobile. Il arrive encore que les ordinateurs portables des employés ne soient pas suffisamment protégés au regard de l’importance des données de l’entreprise qu’ils contiennent. Parfois la faiblesse vient aussi de  l’infrastructure de sécurité du réseau d’entreprise. Ils sont dès lors vulnérables face à des malwares plus ou moins sophistiqués, des supports de stockage externe contaminés ou des contenus web malveillants. Il se peut également que l'utilisateur ait recours à son propre matériel, non sécurisé, pour se connecter au réseau Wi-Fi de l'entreprise, ce qui constitue une violation des bonnes pratiques de sécurité de nombreuses entreprises.

Les hackers cherchent à identifier le maillon le plus faible de la chaîne de sécurité informatique d'une société. Dès lors, rien d’étonnant à ce qu'ils visent de plus en plus souvent ces points d’accès, vulnérables à de nouveaux types d’attaques. Il peut aussi bien s’agir de variantes de logiciels d'extorsion existants (ransomware) que de vecteurs d’attaque plus furtifs, qui ont pour but de contaminer l’ordinateur portable afin de pouvoir infecter par rebond le réseau et les autres ressources de l’entreprise.

"Les appareils mobiles sont souvent mal protégés et la configuration Wi-Fi des laptops n’est pas systématiquement pensée pour assurer une sécurité optimale. Les uns comme les autres sont susceptibles de permettre à un individu malveillant de récupérer des identifiants et de se connecter au réseau de l'entreprise. Les nombreux tests effectués par notre équipe en témoignent", rapporte Joany Boutet. La solution passe, notamment, par la mise en place d'une plateforme de MDM (Mobile Device Management) qui permet de gérer, contrôler et sécuriser les appareils mobiles, professionnels ou personnels, qui ont accès aux données de l'entreprise.

"Mais d'autres points d'entrée sont à considérer, qu'ils soient de nature informatique - sites internet, postes de travail virtuels, solutions web d'accès au courrier électronique - ou physique - copies de badges RFID (Radio Frequency Identification), accès aux bâtiments", souligne Valentin Lacave. "C'est pour ces raisons que le centre de formation de Telindus propose aux entreprises des séances de sensibilisation à destination de différents profils d'utilisateurs dans le but d'éveiller ceux-ci aux dangers les plus courants: crack de mots de passe, usurpation d’identité par e-mail, interception de contenus d’e-mail, détection de phishing (hameçonnage) ou encore interception de mots de passe Facebook."

Bonnes pratiques

La prévention des incidents et des attaques relève souvent de réflexes simples, qui concourent à une protection globale de l’entreprise. "Chaque acteur a un rôle à jouer pour garder le contrôle de la chaîne de sécurité de bout en bout", explique Bruno Rubin. "Outre les conseils que vient d'énoncer Bruno, l'utilisateur doit garder à l'esprit que le PC portable qui lui a été confié par l'entreprise n'est pas un ordinateur personnel: il ne doit en aucun cas y installer des jeux, effectuer des téléchargements illégaux, utiliser des  solutions de partage de fichiers cloud comme Dropbox pour des informations corporate classifiées, ou … laisser y accéder ses enfants!" explique Valentin Lacave.

"Quant à l'entreprise, en plus des mesures de protection physique, elle doit adopter une bonne gestion des besoins des utilisateurs et de leurs droits, en prêtant une attention particulière aux acquits trop élargis. L'équipe informatique doit mettre en place des solutions sûres pour le partage des fichiers et envisager de chiffrer les données les plus précieuses. La politique des mots de passe prévoira le changement de ces derniers par défaut ou de les tester au moment de la mise en production du système. Les mots de passe doivent être stockés sous une forme hachée non-réversible afin que les données entrées en clair à l'origine ne soient pas récupérables à partir du résultat", termine Valentin Lacave.

L'amélioration continue, pierre angulaire de toute politique de sécurité

La mise en œuvre d'une politique de sécurité ne se déroule pas dans un laps de temps déterminé. Il s'agit d’un processus d'amélioration continue. "Le responsable de la sécurité profitera pleinement de l'assistance d'un tableau de bord parfaitement adapté afin d'assurer un déploiement conforme aux attentes et de mesurer efficacement la performance des solutions sélectionnées dans une logique de progrès constant. Cette dernière recommandation est trop souvent négligée, et c'est une erreur", constate Bruno Rubin.

Telindus préconise d’adopter une démarche d’amélioration continue de la sécurité, telle que définie dans la norme ISO 27001, qui permet d’assurer l’efficacité du dispositif de sécurité face à l’évolution des menaces. La norme prévoit trois types d'actions permettant de contrôler, de corriger ou d'améliorer les mesures de sécurité mises en place: les audits internes périodiques, les contrôles internes - inopinés mais plus ciblés – et les revues de direction. "L'idée n'est pas de lancer de grands projets et des investissements conséquents, mais plutôt de motiver tout un chacun afin que la recherche de l'amélioration continue devienne un réflexe de tous les instants et de toutes les situations. L'amélioration continue est véritablement la pierre angulaire de toute approche de sécurité qui se respecte", conclut Joany Boutet.