Sur cette cible de grands comptes, un autre acteur historique est très présent sur le marché français : IBM. Son offre SIEM Q-Radar équipe de nombreux SOC, et IBM se retrouve “coopétiteur” avec plusieurs MSSP du marché français. IBM dispose en propre de dix SOC dans le monde et s’apprête à en inaugurer un nouveau en France.
Pour Agnieszka Bruyère, directeur Security Services chez IBM France, le marché du SOC est en train d’évoluer : « Auparavant, nous faisions essentiellement un monitoring sur le SIEM, puis on notifiait aux clients les différents incidents de sécurité. Depuis un peu plus d’un an, une nouvelle tendance s’est dessinée : la remédiation. Le SOC assure désormais le monitoring des incidents, mais aussi la classification des attaques, puis on définit le mode opératoire à adopter. » Pour IBM, cette remédiation consiste à collaborer avec la production dans les investigations sur l’incident et apporter des modifications sur les systèmes et règles de sécurité pour contrer l’attaque.
Autre évolution notable, le rapprochement des SOC avec les métiers. Les outils SIEM captent les données auprès des équipements de sécurité, des équipements réseaux mais aussi de plus en plus auprès des serveurs et applicatifs critiques. Ainsi, T-Systems, spécialiste de l’infogérance de systèmes SAP, a fait de cette compétence un atout compétitif pour son offre SOC : « Qui dit SOC dit bien évidemment SIEM. Nous nous intégrons avec l’ensemble des solutions de nos clients, tout particulièrement les solutions SAP » explique François Baranger CTO de T-Systems. « Nous nous appuyons sur des solutions telles que SystemProfiler de Virtual-Forge pour sécuriser les plateformes SAP et remonter les informations vers les SOC. » Ce type d’intégration des logs d’application métier dans les SIEM permet de remonter des alertes comme par exemple de la détection de fraude auprès des SOC.
Le “as a service”, une forme de démocratisation ?
Outre son offre grand-compte, T-System cherche à gagner des parts de marché auprès d’entreprises qui ne disposent pas encore de SOC, les ETI. « Pour le marché mid market, nous cherchons à proposer des offres adaptées à prix attractif, notamment en nous appuyant sur le mode SaaS, avec un effort financier proportionnel à la volumétrie des événements à superviser. La tendance du marché est véritablement d’aller vers le modèle as a service » explique François Baranger. T-Systems propose un déploiement “pur Cloud”, les sondes sont posées sur le SI du client et tous les traitements sont réalisés dans le Cloud. En mode dédié, les logs restent chez le client et seules les alertes sont remontées vers le SOC T-Systems.
Orange, Antemeta, etc.
L’allemand est loin d’être le seul à avoir adopté cette approche Cloud. Exemple : Orange, et sa filiale Orange Cyberdefense, qui compte aujourd’hui 1 200 experts sécurité répartis dans 6 pôles opérationnels. L’entité dispose de deux SOC, un en France à Cesson-Sévigné près de Rennes, et un second à Delhi, en Inde. « Nous les appelons les Cyber-SOC. Nous avons fait la distinction entre ce qu’un SOC doit apporter dans le cadre de services de sécurité que nous opérons pour nos clients – c’est une activité de MSSP baptisée SI-SOC – et d’autre part pour un projet d’externalisation complet de SOC, c’est ce que nous appelons un Cyber-SOC », explique Rodrigue Le Bayon, à la tête des opérations chez Orange Cyberdefense. Le prestataire propose une plateforme SIEM clé en main “as a service” avec un modèle sans engagement et facturation à l’usage de Q-Radar. « Nous appliquons la même métrique de l’éditeur, le nombre d’événements par seconde, mais avec tout un catalogue de services additionnels, utilisables pour un mois seulement, pour répondre à un besoin ponctuel » précise le responsable.
Autre acteur très actif en France dans cette “démocratisation” du SOC auprès des ETI, Antemeta. Expert en architecture Cloud et on-premise, le Français commercialise une offre SOC pour les ETI et PME, l’offre CS2 (Centre de Supervision de la Cyber-Sécurité). Il s’agit du SOC mis en place pour assurer la supervision de la sécurité des services Cloud Antemeta qui est aujourd’hui commercialisé. Il veille aujourd’hui sur les infrastructures de 65 entreprises. « Le marché des ETI a ceci de particulier, c’est que leurs besoins en matière de cybersécurité sont les mêmes que ceux des grands comptes, mais ils n’ont pas les mêmes moyens à consacrer à cette problématique » résume Thierry Floriani, responsable de l’offre cybersécurité d’Antemeta. « Nous avons créé une offre de SOC qui mélange des offres Open Source et propriétaires de manière à atteindre un coût de possession aussi accessible que possible aux ETI. L’offre est mutualisée entre des entreprises qui ont des besoins comparables en matière de sécurité avec des matériels et logiciels qui offrent un bon niveau de détection et de bonnes capacités de corrélation des événements de sécurité. »
ITrust propose aussi un SOC
La PME toulousaine ITrust, lance un SOC nouvelle génération intégrant sa solution Reveelium qui détecte bien en amont la propagation des attaques et virus au sein des systèmes informatiques
Toutes les entreprises peuvent être potentiellement visées par une attaque informatique, depuis le simple malware diffusé massivement jusqu’à une attaque plus ciblée si l’entreprise éveille l’intérêt de pirates. Pourtant, bien peu sont celles à disposer d’un SOC. L’arrivée de solutions externalisées plus abordables et peut-être un jour d’intelligences artificielles plus malignes que les pirates leur permettront enfin de disposer d’une sécurité à la hauteur des enjeux de l’époque.
« Watson facilite la phase d’analyse des incidents de sécurité. »
Agnieszka Bruyere,
Directeur Security Services chez IBM France
« Le rôle de Watson for Cybersecurity est de faciliter la phase d’analyse d’un incident. Si, par exemple, on constate un comportement anormal sur une adresse IP, Watson va retrouver toutes les informations relatives à cette adresse dans les données collectées depuis 2 ans maintenant. Watson intègre tous les rapports de sécurité, les billets de blogs et toutes communications faites sur la cybersécurité et peut répondre aux questions des analystes, les conseiller sur la réaction à apporter à l’attaque en cours. C’est un cas d’usage de Watson sur l’analyse de l’environnement extérieur, mais Watson peut aussi être utilisé sur l’analyse des logs. Si on prend le cas de Petya, les indicateurs de compromission ont été très rapidement publiés par IBM et Watson a très vite pu localiser le nombre de systèmes infectés dans le SI de nos clients. C’est une vraie révolution. L’annonce est encore récente, mais les gains en efficacité constatés sont déjà très prometteurs. »
« L’automatisation est aujourd’hui le maître mot afin de réduire le coût des projets SOC. »
Rodrigue le Bayon,
responsable des opérations chez Orange Cyberdefense
« Nous accompagnons nos clients dans cette transition vers le SOC via le Cloud. Cela permet de démontrer la réussite d’un projet SIEM en un mois seulement. La phase projet est raccourcie, avec 2 semaines pour la partie activation et collecte, puis 2 semaines de mise en place des processus personnalisés. C’est un SOC fonctionnel, avec une supervision, avec des cas d’usages qui ont déjà été déployés, puis une contextualisation client par client sur une trajectoire de 12 à 18 mois. L’automatisation est aujourd’hui le maître mot afin de réduire le coût des projets SOC, vient ensuite la contextualisation. Chaque entreprise a un contexte, un besoin différent. L’approche de type réutilisation est possible sur les menaces standards comme les attaques de malware Petya. Ce type de menace peut être contré de manière identique chez tous nos clients. La couverture des risques métier impose quant à elle de passer par une phase contextualisation. »
Légende
> La loi de programmation militaire contraint les OIV à mettre en place des outils de supervision de la sécurité. La RGPD devrait encore amplifier l’adoption des SOC dans les entreprises françaises.
6 offres de SOC – Liste non exhaustive
C3
C5
» sécurité
» SIEM
» par Alain Clapaud
C6
L’Open Source, autre approche du SIEM
En France, plusieurs SIEM Open Source ont vu le jour ces dernières années. L’éditeur français Tehtris Security a notamment développé “eGAMBIT”, un SIEM disponible sous forme de VM et qui communique avec le Cloud de l’éditeur. La solution dispose de moteurs d’intelligence artificielle et de détections avancées, ainsi que d’un module Office 365. Elle bénéficie du Label France Cybersecurity depuis 2015. Prelude, de CS Communication & Systèmes, est un autre projet majeur de SIEM Open Source mené en France.
Depuis son acquisition en 2012, l’IDS a évolué en SIEM et a bénéficié de nombreuses évolutions, notamment financées dans le cadre des PIA (plan d’investissement d’avenir). Ce SIEM “souverain” est mis en œuvre par la DGA qui a notamment participé au financement de son évolution via un projet RAPID (régime d’appui à l’innovation duale) afin d’implémenter dans Prelude les standards d’échange de données avec les autres équipements de sécurité IDMEF et IODEF. “En parallèle, nous avons mis en place un programme partenaire autour de ces formats, notamment IDMEF qui est le format technique qui sert à échanger des informations entre les sondes de détection d’intrusion et les SIEM”, explique Thomas Girard, directeur du département Cyber de CS Communication & Systèmes. Il ajoute :”C’est un format très riche qui va permettre de faire des corrélations d’événements beaucoup plus évoluées que ce qu’il est possible de faire actuellement.” Annoncé avec 4 partenaires lors des Assises de la sécurité 2016, ce programme en compte aujourd’hui plus d’une vingtaine, dont Airbus CyberSecurity, Thales, Quarslabs, Sentryo, Darktrace, Stramus Networks, etc.
Plus ouvert, mais aussi plus simple à déployer et exploiter, le SIEM se pose comme une pièce maîtresse de la cybersécurité des entreprises.
Légende
> Si la collecte des logs est une brique essentielle au SIEM, son rôle va bien au-delà, notamment dans les phases d’analyse et de compréhension des scénarios d’attaque.
C7
Partage d’expérience
« Nous devons faire des projets en 3 mois et être en amélioration continue » Farid Illikoud, responsable du Département Risques Numériques, Groupe PMU
« Les conditions de succès d’un projet SIEM passent avant tout par une phase de définition du périmètre, puis la mobilisation de l’ensemble des ressources IT. Un projet sécurité est un projet d’entreprise. Le triptyque People-Process-Technology est fondamental. Un outil sans étude, sans processus, sans humain pour opérer ne sert pas à grand-chose. Il faut être capable d’anticiper les processus associés, mettre en place une équipe d’analystes (SOC), puis définir précisément les évènements et scénarios de risques. Il ne faut pas sous-estimer la valeur du pilotage de projet.
Les critères de choix d’une solution sont avant tout la création de valeur. La solution doit être performante, son modèle économique adapté et son architecture simple à déployer et aisément scalable. Aujourd’hui nous devons faire des projets en 3 mois et être en amélioration continue. Les projets de 12-18 mois sont mort-nés avant même d’avoir démarré. La solution Logpoint s’est rapidement imposée comme une évidence pour son coût et la maîtrise du modèle économique dans le temps. En outre, sa facilité d’usage permet une mise en œuvre aisée et des résultats rapides répondant aux enjeux sécurité et business de l’entreprise.»
C8
« Chaque RSSI doit définir ses propres critères de choix »
Julie Gommes, auditeur senior en sécurité des systèmes d’information
Il existe une offre assez riche en termes de SIEM sur le marché. L’important pour le RSSI est de bien travailler en amont sur l’analyse des risques, des menaces spécifiques qui peuvent viser son entreprise avant d’orienter son choix. Les solutions présentent de vraies différences fonctionnelles, certains sont plus simples à paramétrer que d’autres. Le RSSI doit élaborer sa liste de critères et les pondérer en fonction des priorités de l’entreprise et de cette analyse de risque préalable, s’il dispose d’un CERT ou pas, etc. Certaines entreprises vont limiter l’action du SIEM a la surveillance d’équipements critiques, parfois très simples comme les systèmes de sauvegarde. Pour d’autres, comme les grandes entreprises très réparties géographiquement, avec des ressources informatiques sur lesquelles le RSSI n’a pas toujours un contrôle étroit, élargir le rôle du SIEM peut être extrêmement pertinent. n
« Il faut évoluer vers une notion de plateforme complète de sécurité. »
- Filippo Cassini, vice-président System Engineering Worldwide chez Fortinet
« Fortinet a construit une solution baptisée Security Fabric. Il s’agit d’une approche d’intégration via des API entre nos produits et des produits tiers qui permet de réellement créer une plateforme de sécurité où les différents équipements vont pouvoir s’échanger des informations entre eux. L’anti-spam va ainsi pouvoir prévenir les autres équipements qu’une campagne de malware est en cours. L’antispam va analyser le contenu du message, tester le message dans une sandbox et, si un comportement dangereux est détecté, celui-ci va pouvoir avertir les pare-feu, les pare-feu applicatifs (WAF), le message et ses URL seront mises en blacklist sur le réseau du client, bloqué à chaque niveau. C’est cette approche plateforme de sécurité que nous poussons aujourd’hui après de nos clients. »
Jean-Marc Boursat, Manager Offer Unit Risk&Security Devoteam
« Les SIEM vont devoir traiter de plus en plus de logs »
« Il faut tenir compte de deux critères majeurs dans le choix d’un SIEM. Le SIEM doit collecter des volumes de données de plus en plus importants et effectuer des traitements de plus en plus nombreux et complexes. Seules les technologies Big Data sont en mesure de répondre à ces enjeux. Le SIEM nouvelle génération se doit d’utiliser ces technologies et même être capable de se connecter au Data Lake de l’entreprise. Cette marche vers le Big Data est une tendance lourde et si les SIEM traditionnels évoluent en ce sens, des éditeurs Big Data, tels que Securonix issu de la détection de fraude, sont, selon moi, une alternative prometteuse.
Un deuxième point clé réside sur la capacité de détection proposée par l’éditeur de SIEM et l’enrichissement en continu de sa solution par de nouveaux scénarios de détection clé en main, faciles à déployer. Cette capacité peut être renforcée par de l’intelligence artificielle et des moteurs d’analyse comportementale. Ces nouvelles fonctions pourront sans doute un jour relayer l’approche par règles par une solution plus automatisée et moins lourde à maintenir.»
C9
» Datacenter
» par Olivier Bouzereau
Maîtriser
les identités et les accès
en environnement multi-CloudChaque transition vers le Cloud exige une attention particulière sur la sécurité des identités
et des accès. En particulier, l’approche multi-Cloud, très en vogue actuellement.
Le multi-Cloud correspond à une architecture informatique où les charges applicatives sont distribuées à la fois en interne et chez plusieurs prestataires de services Cloud. Cela permet de réduire les coûts et de gagner en flexibilité. Mais de nouvelles pratiques deviennent nécessaires pour garantir un niveau de sécurité homogène, sans dégrader les performances des applications. Seule une société sur quatre surveille l’accès à ses données sensibles, évalue le cabinet d’études Ponemon Institute. Pour garantir une conformité légale sur la confidentialité des données privées, les organisations doivent réviser ce qu’elles savent de leurs données. Elles doivent surveiller en particulier les accès (login), scruter les activités suspectes, les transferts non autorisés et remédier aux incidents via des contrôles et des alertes de sécurité adaptés : « Les bonnes pratiques sont celles édictées depuis quelque temps, mais il y a maintenant une volonté plus forte de contrôle, insufflée notamment par le nouveau règlement européen en matière de protection des données à caractère personnel (GDPR ou RGPD). On protège, au plus près des applications, l’accès aux données échangées afin de renforcer leur confidentialité, via un chiffrement SSL par exemple », illustre Laurent Pétroque, expert sécurité chez F5 Networks.
Bien connaître
ses données et services
La gestion des risques liés aux services potentiellement externalisés démarre avec l’inventaire des données pour les catégoriser. L’entreprise partage des fichiers aux risques plus ou moins élevés, en fonction du temps. Une planification de la R&D établie il y a vingt ans sera moins sensible que celle lancée le mois dernier, par exemple. Cette première étape donne un bon indice pour les services soigneusement recensés, qu’il convient, ou pas, d’expédier dans le Cloud. Les données de santé et les transactions financières exigent un environnement “AA”, aux règles renforcées pour l’Authentification, l’Autorisation et l’Audit, donc la traçabilité. Leurs charges applicatives sont, en général, les dernières à rejoindre un Cloud public. Au contraire, les présentations de produits et de services de l’entreprise sont volontiers hébergées sur un Cloud public, via le site web où l’on glisse des études de cas clients et les résultats les plus flatteurs.
Fédérer les identités
Entre ces deux familles de données, les fichiers du travail collaboratif ou de la planification des métiers migrent progressivement vers un Cloud à très haute disponibilité, avec une détection et une prise en charge continues du moindre incident de sécurité.
La fédération d’identités gagne les datacenters de toutes tailles. « Le protocole OAuth facilite l’interaction avec les services Cloud », confirme Arnaud Cassagne, directeur des Opérations de Newlode. Ce protocole autorise un site ou une application web à utiliser l’API sécurisée d’un autre site web. Il est mis en œuvre par un nombre croissant de services – grand public et professionnels – adossés aux environnements Cloud de Microsoft, Google ou Amazon. Côté développeur, cela permet de saluer l’internaute par son nom ou de mettre en avant des offres en fonction de son code postal par exemple. Pour sa part, SAML d’OASIS est à la fois un langage (Security Assertion Markup Language) et une norme ouverte pour l’échange d’informations d’authentification entre un prestataire de services et un fournisseur d’identités. Un fournisseur tiers peut ainsi authentifier les utilisateurs, en remettant un document XML signé au prestataire de services. Mais comment évolue l’orchestration des outils de sécurité du datacenter, selon les règles de chaque organisation, selon les services hébergés ou bien suivant d’autres critères ? « Les solutions de gestion d’identité s’appuient de plus en plus sur les ouvertures faites au travers de protocoles de fédération d’identité pour répondre aux besoins d’accès aux environnements hybrides », confirme Laurent Pétroque, avant de conseiller : « Comme la tendance multi-Cloud domine actuellement sur l’approche tout Cloud, l’organisation doit conserver une maîtrise de la gestion des identités des utilisateurs ». La transition multi-Cloud s’avère donc le bon moment pour renforcer le contrôle d’identité par une authentification multi-facteurs ou par une protection contre le vol de mots de passe. Grâce à ce nouveau socle de sécurité, l’entreprise régira le contrôle d’accès et les autorisations sur les applications du datacenter et sur celles hors du datacenter.
Gérer des groupes d’habilitations
La consolidation des protections autour d’une même console de sécurité apporte plus de flexibilité aux administrateurs, souligne-t-il : « Ils peuvent procéder à la ségrégation des utilisateurs en groupes et gérer plus facilement les habilitations, voire en déléguer la gestion. Il devient alors possible d’intégrer ces solutions de gestion d’identité dans des workflows plus larges, permettant par exemple de les coupler au système d’informations des ressources humaines. » La circulation des administrateurs dans le datacenter passe également par une gestion d’habilitations rigoureuse. « Ces accès sont soit temporaires, soit permanents. Lorsqu’ils sont permanents, il faut enregistrer une photo, et parfois des empreintes palmaires ou digitales, pour personnaliser chaque badge d’accès. L’entrée dans le datacenter ne s’effectue parfois qu’une personne à la fois, grâce au sas tournant », illustre Romain Quinat, expert sécurité chez l’intégrateur Nomios. En général, le badge ne donne qu’un accès limité à la zone où se trouvent les équipements du client et les portes des baies informatiques sont souvent verrouillées. Les mêmes principes d’administration de la sécurité se déclinent sur les salles d’entreprise, avec des mécanismes de gestion d’identité et d’habilitation appropriés. « Dans la mesure où la plupart des personnes opérant dans un datacenter disposent d’accès d’administration, les comptes à privilèges doivent être contrôlés et gérés de façon efficace », confirme-t-on chez OneIdentity.
Standardiser les protections multi-Cloud
L’équipe de production informatique a coutume de protéger ses serveurs physiques et virtuels à l’aide d’une pile de solutions complémentaires. La salle machine, hier considérée comme une forteresse, concentrait les protections périmétriques. Mais à l’heure du multi-Cloud, les applications et les bases de données quittent cette enceinte. De l’inspection des postes clients à celle des couches réseaux, en passant par le scanner de vulnérabilités et le pare-feu applicatif, toute la pile des protections mérite un nouvel examen. Lorsqu’on choisit le multi-Cloud, les protocoles et standards de sécurité s’imposent progressivement pour assurer une confiance de bout-en-bout. n
legende exergue
« il y a maintenant une volonté plus forte de contrôle, insufflée notamment par le nouveau règlement européen en matière de protection des données à caractère personnel. » • Laurent Petroque F5 Networks
- Romain Quinat
ENCADRE
« La sécurité applicative
reste un travail d’orfèvre. »
Arnaud Cassagne, directeur des opérations de Newlode
Les grandes organisations n’appréhendent pas mieux les problématiques de sécurité que certaines PME. C’est une question de personnes et de maturité informatique, souligne Arnaud Cassagne, le directeur des opérations de Newlode. « Un projet de gestion d’identité et d’accès requiert une centaine de jours pour 20 000 utilisateurs. Le gain principal est au niveau de la gestion du cycle de vie de l’utilisateur. Le nouvel entrant peut travailler dès son premier jour dans l’entreprise. Et, lorsqu’il la quitte, il n’y a plus de reliquat de comptes internes. Il y a dix ans, les entreprises fortunées retenaient des technologies à base de référentiels de sécurité. Mais leur implémentation prenait beaucoup de temps. Depuis trois ans, on bâtit plutôt un puits de données unique contenant les habilitations, autour de solutions telles que Centrify, Okta ou Ping Identity. On voit davantage d’orchestration, d’automatisation et de démarches DevOps pour répondre aux besoins de transversalité. Mais la sécurité applicative reste un travail d’orfèvre. On ne peut pas tout automatiser. La dernière tendance est à la surveillance continue, où le scanner de vulnérabilités va demander, au cas par cas, l’activation des fonctions du coupe-feu applicatif. C’est un virage qui prendra des années. Nos clients adoreraient faire de la sécurité dès la conception, mais guidés par les impératifs de production, ils continuent à en faire seulement lorsqu’ils ont le temps. »
C10
» Tribune
» par Alain Bouillé
Les leçons de la crise de mai 2017
La fin d’une époque ?
Avec pratiquement 20 ans de recul, quelques jalons historiques peuvent être fixés en matière de cybercriminalité. Sans trop de débats, on peut positionner la première vraie crise à l’échelle mondiale à l’an 2000 avec le fameux ver « I Love You » et c’était déjà à l’époque le système d’exploitation Microsoft qui était visé ! Cependant avec le recul, la puissance de feu de ce ver pourrait faire sourire la nouvelle génération d’experts en sécurité.
Nous avons ensuite connu toutes sortes d’attaques plus ou moins ciblées, plus ou moins systémiques mais dont le but était en grande majorité l’escroquerie en tous genres. On a aussi pu vivre, heureusement de loin, quelques cas de « cyberguerre » entre états dont l’un des plus marquants a été l’attaque en règle des systèmes d’information étatiques de l’Estonie par la Russie il y a 10 ans à un moment où les relations entre les deux pays étaient pour le moins tendues.
Une nouvelle catégorie d’attaques
Au printemps de cette année, nous avons connu une nouvelle catégorie d’attaques : celles que l’on pourrait classer en « dégâts collatéraux ». Même si les analyses de ces virus Wannacry, Petya ou autres NotPetya n’ont pas encore livré toutes leurs conclusions, on peut admettre avoir été face à un scénario pour le moins « original » : en premier lieu des failles des systèmes d’exploitation Microsoft découvertes par la NSA qui, plutôt que de prévenir son compatriote d’éditeur, décide de garder ces « souches virales » pour les utiliser à des fins de renseignement mais comme un mauvais laboratoire qui serait incapable de protéger ses fioles de virus mortels, l’agence se fait voler ces vulnérabilités qui sont ensuite exploitées par des puissances étatiques en vue de nuire à d’autres puissances sinon ennemies en tous cas « pas amies ». Il est à noter que le mode de propagation de ces virus a été particulièrement virulent et efficace. Même si ces malwares ont pu être apparentés à des attaques de type ransomwares, les faibles gains engendrés comparés à la puissance de l’attaque nous laissent conclure que l’escroquerie n’était pas la motivation principale et en ce qui concerne NotPetya, il a été évident que la motivation première était de provoquer la paralysie des cibles touchées.
Des « répliques » sont à prévoir
Pour certains spécialistes, ces attaques ne sont qu’une répétition et comme la NSA ne s’est pas fait voler qu’une seule fiole de virus mortels, comme pour les tremblements de terre, d’autres répliques sont à prévoir. D’aucuns observent que c’était l’Ukraine qui était visée mais vu le nombre d’entreprises frappées dans le monde entier, le champ de tir était particulièrement large !
Quoiqu’il en soit, ce sont toujours les mêmes RSSI qui se retrouvent en première ligne avec des moyens pas toujours à la hauteur des enjeux, avec des produits de sécurité qui détectent les malwares après l’attaque, avec des responsables de production qui préfèrent différer les mises à jour des failles systèmes plutôt que de risquer l’incident de production dû à une mise à jour intempestive et pas suffisamment testée ; avec des systèmes d’information de plus en plus interconnectés et des systèmes de pilotage industriels tournant sous de vieux systèmes XP qu’il ne faut surtout pas mettre à jour au risque de perturber le fonctionnement de l’usine pas encore 4.0 !
A cela il faut rajouter une digitalisation en marche dans 100% des entreprises dont les maîtres-mots sont le partage et l’ouverture, ce qui concrètement signifie davantage d’exposition de l’information de l’entreprise.
Les leçons de la crise
A quelque chose malheur est bon dit l’adage et ces crises n’ont pas manqué d’apporter leur lot d’enseignements.
> D’abord, il faut noter que, durant le premier week-end d’alerte dite Wannacry, beaucoup d’entreprises ont patché parfois des centaines de machines sans évidemment mettre en œuvre les principes de précaution habituels, et l’on a pu observer que, contrairement à une croyance répandue, les patchs de sécurité n’ont pas nécessairement perturbé la production. Une des premières leçons qu’il faudra tirer de ces crises est que le risque de perturber la production par une attaque parce que l’on n’a pas patché devient supérieur au risque de perturber la production parce que l’on patché trop vite.
> Un autre enseignement, mais celui-là on le connaissait déjà, c’est qu’à partir du moment où les entreprises et les particuliers du monde entier utilisent les mêmes systèmes d’exploitation, ils sont tous vulnérables au même moment et deviennent tous des cibles à un instant T. Est-ce qu’un NotPetya puissance 10 pourrait avoir raison de l’économie mondiale ?
> En ce qui concerne les logiciels de protection et de détection, on peut se demander quand les labos de R&D nous sortiront le vaccin qui marche à tous les coups et si possible avant l’attaque ! A quand une vraie innovation dans le domaine ?
> On peut cependant se consoler par le fait que les RSSI sont de moins en moins aveugles et que les SOC et autres systèmes de supervision vont permettre, avec le recours à des technologies Big data et -on commence à en voir des exemples-, à l’Intelligence Artificielle, d’avoir une vision 360° sur la sécurité de l’entreprise : quand bien même une attaque réussirait à pénétrer les barrières de défense, si elle est repérée suffisamment tôt, les dégâts pourront-être limités, du moins peut-on l’espérer !
> Enfin la puissance informatique nécessaire à toute attaque de grande envergure est désormais disponible avec les objets connectés, par définition non sécurisés. Une autre répétition a été organisée en fin d’année dernière perturbant les services des grands acteurs de l’Internet pendant plusieurs heures, essentiellement aux Etats-Unis.
On nous annonce, comme indiqué plus haut, d’autres répliques potentiellement de plus grande envergure. Comme pour les ouragans, on n’a pas d’autres choix que de s’y préparer et surtout de se mettre en capacité d’expliquer à son Comex que malgré tous les investissements consentis à sécuriser le patrimoine informationnel de l’entreprise depuis toutes ces années, la « bête » est rentrée et a fait beaucoup de dégâts. C’est une situation qui a été vécue par quelques RSSI et qui va malheureusement se multiplier avec le temps.
Quelle est la prochaine étape ?
Les décideurs sont amnésiques et les révélations d’E. Snowden sur les collusions des grands acteurs du web avec les agences de renseignement américaines sont déjà oubliées. Bien entendu, nous sommes tous « rassurés » : tout cela est terminé et les vannes du programme PRISM ont été fermées…
Mais aujourd’hui les entreprises, prises dans la frénésie de la digitalisation où il faut offrir de nouveaux services aux clients et aux utilisateurs internes à moindre coût et dans des temps très courts, ont toutes recours, tels des moutons de Panurge, aux mêmes offres Cloud chez les mêmes fournisseurs, majoritairement américains. Nous assistons impuissants à une formidable concentration du patrimoine informationnel des entreprises mondiales virtuellement aux mêmes endroits sur des systèmes par définition faillibles un jour ou l’autre.
Est-il totalement saugrenu de s’interroger sur les capacités des agences à reproduire le modèle décrit plus haut d’utilisation de vulnérabilités pour pénétrer ces énormes coffres-forts à des fins d’espionnage et d’intelligence économique ? Il reste à souhaiter que cette fois elles ne se feront pas voler les clés !
Exergues
« Les entreprises, prises dans la frénésie de la digitalisation, où il faut offrir de nouveaux services aux clients et aux utilisateurs internes à moindre coût et dans des temps très courts, ont toutes recours, tels des moutons de Panurge, aux mêmes offres Cloud chez les mêmes fournisseurs majoritairement américains.
- Alain Bouillé, président du Cesin,
association de RSSI, et RSSI au sein d’un grand groupe bancaire
Nous assistons impuissants à une formidable concentration du patrimoine informationnel des entreprises mondiales virtuellement aux mêmes endroits, sur des systèmes par définition faillibles un jour ou l’autre. »
- Alain Bouillé, président du Cesin,
association de RSSI, et RSSI au sein d’un grand groupe bancaire