Cercle Européen de la Sécurité et des Systèmes d'Informations

Nous sommes tous responsables

Publié le

Par Stéphane Joguet, membre du Conseil d’Administration du CESIN
Membre du comité éditorial du Cercle et des Assises de la Sécurité

Après OVH au début du mois d’octobre, c’est au tour de Dyn de subir une attaque massive en déni de service. Ces attaques ont plusieurs points communs. D’abord la nature des cibles, des acteurs majeurs des infrastructures et services Internet, ensuite le type d’attaque utilisé, une attaque distribuée en déni de service, enfin le vecteur d’attaque utilisé, des objets connectés, piratés et utilisés au sein de botnets afin de coordonner les attaques.

Les failles utilisées par les attaquants ? Une légendaire attaque persistante avancée (APT) ? Une intrusion digne de James Bond dans les datacenters d’OVH ou de Dyn ? La coupure d’une fibre optique transocéanique par un sous-marin mis à disposition par une multinationale du crime organisé ?

Et bien non, simplement l’utilisation de mot de passe par défaut mis en place par les fournisseurs d’objets connectés. Mot de passe par défaut présent dans la documentation du fournisseur.

Cela fait plus d’une vingtaine d’années que nous appliquons quelques règles simples d’hygiène informatique, entre autre celle-ci : toujours changer les mots de passe par défaut ! Alors comment se fait-il que, concernant l’Internet des Objets, nous soyons devenus subitement amnésiques ? Et que dire des systèmes d’informations industriels, les SCADAS et autres ICS ?

Sommes-nous victimes du time to market ? Cette loi qui stipule que le marketing et les ventes ont toujours raison et que les gens du numérique sont toujours en retard d’une révolution technologique ?

Je ne pense pas, nous sommes victimes d’un manque de maturité, d’un défaut de communication au sein des organisations. Parce que, au final, ce que cherche un RSSI, un CISO ou un responsable de la gestion des risques numériques, quel que soit le nom que vous lui donnez, c’est de faire en sorte que son entreprise prenne le virage du numérique, que son entreprise présente ses innovations et produits au bon moment (le fameux time to market), mais surtout que son entreprise ne s’expose pas inutilement à des risques qui , pour certains, sont très facilement évitables. Et oui, très facilement évitables. Le graal d’un RSSI c’est d’aider son organisation à prendre des risques.

Comment faire pour y arriver ? Intégrer la sécurité dans les projets d’innovation, très en amont. Un RSSI accompagnera les idées les plus folles, appréhendera les risques et proposera des solutions. Parfois l’innovation sera tellement disruptive qu’il faudra inventer de nouvelles mesures de sécurité, parfois nous ne pourrons pas proposer de mesures de sécurité, le risque résiduel sera partagé et accepté, le dirigeant assumera son rôle, fera preuve de courage et de responsabilité et lancera son produit ou service innovant en toute connaissance de cause. Connaitre ses faiblesses permet d’être prêt le jour où elles seront exploitées, car elles finiront toujours par être exploitées.

Alors en quoi sommes-nous tous responsables ? Nous RSSI, CISO parce que nous n’avons pas encore réussi notre transformation, nous n’avons pas encore réussi à nous comporter comme des managers de haut niveau au sein de nos organisations, capable d’embrasser les impacts économiques et concurrentiels de nos actions. Vous, membres des comités exécutifs, parce que vous n’avez pas encore compris l’impact du numérique sur vos produits et services, sur la vie de vos concitoyens, et parce que vous n’avez pas su exploiter les compétences de vos RSSI. Vous, DSI, CIO parce que le virage du numérique n’est pas votre ennemi mais bien une formidable opportunité qu’il faut saisir à deux mains. Vos RSSI sont là pour vous aider à transformer vos organisations. Et nous tous, simples citoyens, qui ne voyons pas que lorsque le service est gratuit, le produit c’est nous, qui ne pensons pas à demander le niveau de sécurité du dernier baby-phone que nous achetons ou de la dernière poupée connectée que nous demande notre enfant.

Alors est-ce vraiment si grave ?

Je vous livre ma pensée, elle n’engage que moi.

Les premières attaques sur les systèmes d’information bureautique visaient à démontrer la faillibilité des systèmes et applications déployés, il s’agissait, pour ceux que l’on appelait alors des hackers, de démontrer que les systèmes ou applications avaient des failles, il s’agissait d’une émulation saine entre chercheurs d’un nouveau domaine.

Ensuite, certains ont voulu vivre de ces découvertes, monnayer leur découverte voire exploiter les vulnérabilités pour détruire des données (les premiers virus), des infrastructures (les premiers dénis de service), voler des informations sensibles comme des coordonnées bancaires, des identités numériques, des informations commerciales, etc. Le crime organisé s’est emparé du domaine et a industrialisé ce pan de l’économie underground. Les pirates et autres crackers sont nés de cette mouvance.

Cela a pris une vingtaine d’année pour les systèmes d’information bureautique, mais aujourd’hui le chemin est tout tracé…

Sur les systèmes industriels, nous avons vécu les mêmes premières étapes : infiltrer les systèmes au moyen de virus pour détruire les moyens de production (stuxnet, shamoon, etc.).

Sur les IoT nous vivons encore cette première étape, l’exploitation de vulnérabilités dans les infrastructures d’objets connectés pour rendre des services indisponibles (OVH, Dyn).

Il n’y a pas de raison que nous ne suivions pas le même chemin que celui emprunté 20 ans plus tôt sur les SI bureautique. Dans un avenir très proche nous verrons donc la puissance des réseaux de l’IoT utilisée pour le vol d’identité numérique, le vol de données bancaires, le vol d’informations sensibles d’entreprises ou d’Etat, pour l’infiltration au sein des systèmes connectés régissant nos vies (rappelez-vous les vidéos de ces voitures connectées piratées, pensez aux avions hyper connectés, pensez à votre système domotique que vous pilotez depuis votre smartphone, etc.).

Je ne joue pas les cassandres, ni ne souhaite crier au loup avec les autres, néanmoins, il suffit de regarder notre histoire récente pour anticiper la probable prochaine étape de ces attaques, et si nous ne faisons rien aujourd’hui, alors nous serons tous responsables !!!

Notre histoire nous enseigne aussi que nous connaissons les mesures à mettre en œuvre pour réduire drastiquement le volume des attaques réussies. Evidemment nous resterons toujours vulnérables aux attaques avancées, longuement préparées, exploitant les vulnérabilités et faiblesses de nos organisations, la sécurité absolue n’existe pas. Nous pouvons d’ores et déjà réduire le volume des attaques basiques, faisons-le et concentrons-nous sur les moyens de détecter et de réagir rapidement lors d’une attaque avancée.

Appliquer les règles d’hygiènes de base en cybersécurité et embarquer vos experts en cybersécurité dans vos projets permettra d’éviter un grand nombre d’attaques, et probablement sauvera des vies.

Par Stéphane Joguet, membre du Conseil d’Administration du CESIN
Membre du comité éditorial du Cercle et des Assises de la Sécurité

Dernière publication

Olivier LIGNEUL, membre du comité de pilotage apporte un éclairage sur le couple IOT/Blockchain.

Lire