L’entraînement des équipes SSI au risque cyber, les réponses de Christophe Auberger
Le thème du dossier de notre numéro 564, « sécurité globale : la nécessaire interconnexion », nous a amené à considérer les vulnérabilités liées aux systèmes de sûreté connectés (vidéosurveillance, contrôle d’accès). Après avoir rappelé les fondamentaux de la problématique, Christophe Auberger, Cyber Evangelist chez Fortinet, nous expose les moyens de se protéger, avec un focus sur la formation des équipes dédiées à la sécurité des systèmes d’information.
En matière de systèmes de sécurité, pouvez-vous nous citer quelques exemples emblématiques d’attaques mettant en jeu des équipements connectés ?
Christophe Auberger. L’exemple le plus connu est sûrement le malware Mirai, qui en 2016 a ciblé des objets connectés pour mener des attaques de type déni de service contre des sites web. Ce type d’attaque vise tous les objets connectés : caméras, systèmes de GTB (Gestion technique de bâtiment), systèmes de détection/intrusion… Le site OVH est ainsi tombé en 2016 durant plusieurs heures à cause d’une attaque de plusieurs térabits sur ses systèmes, menée par au moins 250 000 caméras. On peut aussi citer l’exemple du groupe de distribution Target aux USA, qui s’est fait dérober des millions de données confidentielles fin 2013. La porte d’entrée a été la télémaintenance du système de climatisation, insuffisamment protégée. Plus récemment, le virus Triton a été conçu pour cibler spécifiquement les systèmes de sécurité Triconex de Schneider Electric. En désorganisant les dispositifs de secours automatiques, ces agressions peuvent déboucher sur des pannes, des bris de machines, des atteintes à l’environnement voire des conséquences humaines.
Pour introduire de la sécurité dans un système d’information, il faut adopter une démarche volontariste.
Comment peut-on expliquer ces attaques ?
C. A. Pour des raisons de coût, d’efficacité et d’implémentation, de plus en plus d’équipements fonctionnent sur IP (Internet Protocol). Ce qui n’a pas forcément été anticipé par les fabricants de ces équipements, c’est qu’un système IP est un monde ouvert. Or l’interconnectivité c’est pratique, mais cela expose à des risques. Ainsi, à partir du moment où l’on connecte une caméra IP sur internet, on a 100 % de chances d’être piraté. La seule question est de savoir quand ! Souvent, ces équipements constituent le maillon faible des systèmes d’information (SI). Car le problème, c’est que ces équipements sur IP sont interconnectés de manière globale au SI complet de l’entreprise : donc ils communiquent avec la facturation, le fichier client, le CRM, etc.
En fait, il existe deux sortes de vulnérabilités : celle intrinsèque, liée à la qualité de l’équipement IP. Souvent lorsqu’on acquiert ce type de matériel, la chaîne de traitement embarquée de l’information ne figure pas dans le cahier des charges. Pour des caméras par exemple, on considère les fonctionnalités comme la mesure de température, l’angle de vision, la distance, mais pas la gestion des mots de passe, l’authentification… L’autre sorte de vulnérabilité se rapporte à la connectivité et à sa protection. Des ports peuvent être laissés ouverts, des services laissés actifs, sans raisons. Comment segmente-ton le réseau, qui accède à l’équipement, quels sont les droits d’administration, sont autant de questions à considérer. Pour introduire de la sécurité dans un système d’information, il faut adopter une démarche volontariste. Et procéder à une analyse des risques pour identifier les vulnérabilités et mettre en place une protection adaptée.
Est-il possible de s’entraîner à faire face à des attaques ?
C. A. Il existe des pratiques tout-à-fait communes, mais qui nécessitent des équipes de sécurité de l’information conséquentes. Ces méthodes répondent à deux objectifs : primo, cela permet de tester son SI et d’en déceler les vulnérabilités, pour pouvoir ensuite les traiter ; secundo, cela permet d’entraîner les équipes à détecter plus facilement les attaques, et à observer ce que cela entraîne sur le SI.
En général, l’entreprise fait appel à un prestataire qui possède les compétences, puis on divise l’équipe sécurité en deux sur le modèle « Red Team vs Blue team » : l’une fait l’attaque, l’autre est en défense. Dans le même ordre d’idée, il y a des solutions aujourd’hui que l’on qualifie de réflexives : on crée un leurre qui ressemble au SI de l’entreprise, avec par exemple un système de caméras de vidéosurveillance, des serveurs, des sites web. On l’interconnecte ensuite sur l’extérieur, et on attend les attaques. Cela présente le même avantage que le procédé « Red Team vs Blue team » : on met en évidence les vulnérabilités, pour ensuite essayer d’y remédier. L’atout supplémentaire, c’est qu’on fait face à de vraies attaques. Et potentiellement des vulnérabilités Zéro Day, donc que l’on ne connaît pas encore. Le dernier avantage, c’est que durant l’attaque du leurre, les pirates laissent tranquille le vrai SI, ce qui permet de donner de l’air aux équipes sécurité. Ce sont des approches assez intéressantes, qui permettent de couvrir l’ensemble du spectre du SI de l’entreprise, y compris les aspects sûreté. La solution consistera à mettre en place des contre-mesures sur le vrai SI, de manière à se protéger de ces attaques.
Enfin, il existe également des organismes spécialisés qui pratiquent des formations dans ce domaine. Ces organismes sont capables de mettre en place tout ou partie du SI de l’entreprise dans des environnements virtuels. On y convie les équipes de la sécurité et on simule des attaques pour essayer d’y parer. Car en réalité les SI sont complexes et ne peuvent servir de cobaye grandeur nature, au risque de paralyser leur fonctionnement ! Cela permet aux équipes de travailler sur la gestion de crise, et notamment sur des choix élémentaires du type : est-ce que je coupe le SI pour me protéger ? Mais ce faisant on perd la preuve, ce qui empêchera par la suite de remonter à l’origine de l’attaque. Ce genre de problématique et de réaction appropriée, on ne peut y faire face que si on s’est entraîné.
Bernard Jaguenaud – Rédacteur en chef
Les plus lus…
À l’occasion de son 8e baromètre de la gestion des risques des PME et ETI françaises, QBE a interrogé…
La 130e édition du Congrès national des Sapeurs-pompiers de France a été l’occasion de présenter quelques nouveautés technologiques. Siemens…
Après avoir passé un mois à l'ancre au large des côtes anglaises en raison d’avaries, le navire vraquier Ruby…
Quelle est la procédure réglementaire en cas de feu naissant sur un lieu de travail ? Tous les salariés sont-ils…
À pression auxiliaire, à CO2 ou à pression permanente, de quoi sont composés les extincteurs et comment les utiliser ?…
L'arrêté du 23 octobre 2024 «relatif aux conditions matérielles et pédagogiques de la formation aux activités privées de sécurité…