Tech

Cybersécurité : l'évolution des menaces et les nouvelles armes

ActualitéClassé sous :informatique , Sécurité , cybersécurité

Avec l'évolution des techniques, la sécurité informatique change de visage en permanence, pour les grandes entreprises comme pour les particuliers. C'est ce que nous explique Philippe Leroy, spécialiste de la discipline et impliqué dans un nouveau centre de formation continue, SecureSphere, destiné aux dirigeants concernés par les activités « sensibles ». Mais tout le monde aura intérêt à surveiller ces évolutions.

Les pirates, lorsqu'il s'agit des systèmes d'information, ne relèvent pas du folklore. Avec les évolutions récentes (cloud, smartphones, cartes SD, clés USB, Wi-Fi ou utilisation de produits du commerce dans des systèmes sensibles comme les automates industriels), la donne de la sécurité a changé. Plus précisément, elle change continuellement. Les entreprises (et les particuliers) doivent s'y adapter. © Les Howard, Flickr, cc by nc sa 2.0

Des révélations sur les écoutes du téléphone portable d'Angela Merkel par la NSA à l'amende de la Cnil infligée à Google pour non-respect des règles de confidentialité françaises, il ne se passe guère de semaine sans qu'une nouvelle affaire éclate. Il y a peu de temps, des experts découvraient un réseau d'objets connectés piratés, parmi lesquels figurait un réfrigérateur, expédiant des spams à l'insu de leurs propriétaires...

Si le grand public a de quoi perdre le fil, voire s'affoler, les dirigeants politiques ou d'entreprise se trouvent dans la même situation et sont « souvent peu sensibilisés à ces risques », estime Philippe Leroy. Depuis 30 ans dans le domaine de la sécurité, il est actuellement directeur du développement de l'offre sécurité des technologies de l'information chez Thales, et impliqué dans un centre de formation continue de l'Epita (école d'ingénierie en informatique) et baptisé SecureSphere.

Philippe Leroy, spécialiste de la sécurité des systèmes d'information chez Thales. © DR

Futura-Sciences : Qu’est-ce qui a changé ces dernières années en matière de cybersécurité ?

Philippe Leroy : Il y a eu trois changements de paradigme. Tout d'abord, les systèmes industriels, et leurs automates, utilisent de plus en plus des outils du commerce ou « disponibles sur étagères », comme Windows, Linux ou le protocole IP. Ils sont souvent connectés à l'ERP [Enterprise Resource Planning, gestion informatisée et centralisée, NDLR] comme tout le reste de l'entreprise. Il n'y a donc plus d'étanchéité entre les différents secteurs. Deuxième évolution, celle des systèmes d'armes informatisés. Même si l'on ne crée aucune connexion à un réseau, ils doivent se mettre à jour régulièrement. Il faudra donc brancher à un certain moment un câble ou une clé USB, ce qui ouvre une vulnérabilité. La non-connexion permanente n'est pas une solution suffisante !

Troisième point, la banalisation des objets connectés, comme les box Internet par exemple, ou embarqués dans les voitures ou même les avions. J'ajoute une autre évolution : celle du cloud, c'est-à-dire du stockage d'informations en dehors de l'entreprise, et souvent hors de France. Les smartphones, les ordinateurs portables ou les clés USB qui entrent et sortent de l'entreprise facilitent la vie, mais sans sécurisation en amont, c'est une voie d'entrée...

Les particuliers sont-ils concernés d’une manière ou d’une autre ?

Philippe Leroy : Ils le sont. Voyez l'actuelle loi de programmation militaire 2014-2019. On pourrait croire que cela ne concerne guère le monde civil. Mais il n'est pas impossible qu'il y ait des contraintes supplémentaires sur les industries les plus critiques pour la continuité des activités nationales, par exemple. L'Anssi, l'Agence nationale de la sécurité des systèmes d'information, a hiérarchisé les opérateurs d'importance vitale (OIV) en trois catégories. Les plus sensibles, par exemple ceux classés Seveso pour d'autres critères, constituent potentiellement des cibles pour des hackers terroristes.

Et les intrusions dans la vie privée concernent tout le monde. On sait aujourd'hui que pour obtenir des renseignements sur un individu, 80 % des informations se trouvent sur les réseaux sociaux... Les dirigeants constituent donc à titre privé des cibles d'autant plus attrayantes qu'ils possèdent certains privilèges et clés au sein d'une entreprise : la vigilance est donc de mise, et cela passe par une formation ciblée et pragmatique démontrant les multiples points d'entrée des technologies courantes.

Présentée par deux étudiants de l’Epita sur le stand du FIC 2014 (Forum international de la cybersécurité), la nouvelle formation continue SecureSphere s'adresse aux directions générales, aux responsables de la sécurité et aux autres métiers de l'entreprise. © Epita

Les entreprises sont-elles armées ?

Philippe Leroy : Beaucoup de moyens sont mis en œuvre. Il y a davantage de maturité depuis quelques années. Mais il reste à mieux intégrer la sécurité à la fois en amont et en permanence. Aujourd'hui, en général, on considère que le métier de la sécurité informatique se limite au RSSI [Responsable de la sécurité des systèmes d'information, NDLR]. Or, je pense que ce domaine réunit désormais une quinzaine de métiers ! Leur liste sera rendue publique prochainement, une partie restant réservée aux entreprises offrant des solutions et des services dans ce domaine. La surveillance 24 heures sur 24 des réseaux, pour repérer les intrusions, en est un par exemple. Bien sûr, les questions concernent aussi les aspects juridiques d'organisation du travail, d'accès aux locaux ou aux données, etc. Des prestataires extérieurs peuvent venir conseiller ou réaliser un audit. Mais cela ne suffit pas. Un audit, c'est comme une photo. En fait, il faut superviser constamment.

Il faut plutôt de la vidéo ! Faire de la veille en gestion de la sécurité, se mettre en capacité de corriger rapidement une vulnérabilité et permettre que le travail continue durant l'attaque. Les attaques et tentatives d'intrusion vont devenir monnaie courante, et les interactions au sein des réseaux entre attaquants et défenseurs quotidiennes, avec une recherche d'impact minimal sur les activités de l'entreprise. Mais il faudra être en mesure de traiter effectivement et d'en rendre compte, car les déclarations d'incidents majeurs et d'intrusion vont devenir obligatoires selon la loi.

Où peuvent-elles s’améliorer ?

Philippe Leroy : En intégrant mieux la sécurité dans tous ses secteurs. En réalisant des cahiers des charges plus précis avant de faire appel aux services d'un prestataire spécialisé dans la sécurité. Pour sensibiliser les directions, il faut une formation effectuée par une structure indépendante et experte. C'est ce que fait l'Epita avec SecureSphere.

Et le marché de la sécurité, lui, évolue-t-il ?

Philippe Leroy : Oui. Il y a une évolution de législation en cours. Des contrôles se mettent en place, par exemple pour certifier les prestataires dits Passi (prestataires d'audit de la sécurité des systèmes d'information). Ils pourront être considérés comme de confiance, jusqu'à la circulation des personnes dans l'entreprise, l'utilisation d'ordinateurs portables, etc. Depuis plusieurs années la qualification des produits de confiance passe par les Cesti (centres d'évaluation de la sécurité des technologies de l'information). Ils sont indépendants et ils vérifient qu'un système de sécurité, même d'automates industriels, répond bien aux « critères communs » [établis par la norme Iso 15408 et reconnus internationalement par le CCRA, Common Criteria Recognition Agreement, NDLR].

Pour l'instant, il y en a trois en France, dont l'un créé par Thales. Les entreprises peuvent ainsi confier leur sécurité à des experts de confiance sur les trois volets majeurs que sont le développement et l'intégration, l'audit des équipements ou des systèmes complexes, et enfin la gestion et l'opération, pouvant aller jusqu'à la remédiation en cas d'incident.