Comment un RSSI parvient-il à dormir tranquille ?

Dans un monde toujours plus interconnecté, les cyber-attaques sont toujours plus complexes à appréhender. Dans ce monde hostile, comment un responsable sécurité des systèmes d’information parvient-il à dormir tranquille ?

Dans un monde toujours plus interconnecté, les cyber-attaques sont toujours plus complexes à appréhender. Dans ce monde hostile, comment un responsable sécurité des systèmes d’information parvient-il à dormir tranquille ?

Par Sam Gabbaï, Responsable de la Sécurité, Risque et Conformité – Cetrel.

Il est loin le temps où la cybercriminalité était l’affaire de quelques hackers isolés. Le sujet est devenu une préoccupation majeure pour beaucoup, tant pour le citoyen, soucieux de protéger ses données, que pour les entreprises et les gouvernements, cibles régulières d’attaques. La menace, aujourd’hui, est extrêmement bien organisée. Elle prend la forme d’un business de l’ombre. Hackers, hactivists, hackers, cyber-terroristes et même les gouvernements, dans un contexte d’espionnage ou de cyber-war, ont recours à des pratiques hors-la-loi, et ce à diverses fins. « Il ne faut jamais sous-estimer les motivations des cybercriminels. N’importe quelle entreprise, aujourd’hui, peut faire l’objet d’une attaque. Si ce n’est pas dans le but de lui nuire directement, les systèmes d’une organisation comme d’un particulier peuvent très bien être détournés pour nuire à un autre, commente Sam Gabbaï, responsable de la sécurité, risque et conformité au Cetrel. La question n’est donc plus de savoir si nous allons être attaqués, mais de savoir quand… »

Aujourd’hui, les systèmes d’information des banques luxembourgeoises, par exemple, subissent des attaques en permanence. Les responsables de sécurité ont donc appris à vivre avec. « En permanence, des robots diligentés par des cybercriminels scannent nos sites et interfaces à la recherche de failles, précise un responsable de la sécurité des systèmes d’information (RSSI) d’une banque luxembourgeoise. Nous sommes habitués à ce bruit permanent, dont nous mesurons l’intensité à chaque moment. L’enjeu, aujourd’hui, est de pouvoir corréler ces informations avec d’autres, pour nous assurer qu’aucun autre événement inapproprié n’est en train de se produire. »

Gain facile, risque faible

L’accroissement de la menace, ces dernières années, peut s’expliquer par plusieurs facteurs. Le premier est certainement un appât du gain facile, renforcé par un faible risque. « Au Luxembourg, on risque plus en réutilisant un timbre oblitéré qu’en attaquant un serveur, commente un autre responsable informatique. Le cadre légal doit donc évoluer, ici comme à l’échelle internationale, pour répondre à ces enjeux. Les cybercriminels opèrent en outre depuis des pays éloignés et sont la plupart du temps organisés sur plusieurs pays. Les risques encourus, dans ce contexte, sont moindres. »

Faire face à la menace exige de l’appréhender dans sa totalité. « La sécurité, c’est un tout, commente Sam Gabbaï. Pendant de nombreuses années, on a pensé que pour se protéger, il suffisait d’acquérir une technologie ou une autre. Si la technologie et les processus d’exploitation constituent des moyens importants de se protéger, il faut aussi que les entreprises développent une culture de la sécurité et développent des compétences clés liées à ces enjeux. Répondre à une menace qui ne cesse d’évoluer nécessite que les entreprises et organisations qui font l’objet d’attaques, autrement dit toutes, gagnent en maturité vis-à-vis de ces questions. »

Protéger avant tout

En premier lieu, il faut bien évidemment penser à la protection de ses systèmes, en travaillant sur les aspects techniques et humains. D’une part, il faut empêcher, grâce à des équipements actifs, toutes les intrusions malveillantes. D’autre part, il faut en permanence sensibiliser les équipes vis-à-vis des dangers encourus. « Chaque terminal est une porte d’entrée potentielle vers les systèmes d’une organisation, commente un RSSI de la Place. Il faut donc éveiller les membres des équipes, relancer régulièrement des messages de sensibilisation. » Les accès aux divers niveaux d’informations doivent aussi être organisés. « On peut mettre en place plusieurs barrières de protection, afin d’assurer la sécurité des systèmes les plus sensibles, en limitant les accès, en multipliant les systèmes anti-intrusion. Il faut pouvoir déployer et maintenir une architecture des systèmes permettant d’assurer une sécurité optimale des informations et des systèmes les plus sensibles, poursuit Sam Gabbaï. Si bien que si une couche extérieure peut être percée, la menace ne peut pas remonter jusqu’au système central. »

Détecter les attaques

Considérant que personne n’est à l’abri de la menace, que celle-ci a peut-être déjà infiltré les systèmes et qu’elle se fait discrète en attendant des directives, le deuxième enjeu est de pouvoir la détecter. « Il faut mettre en œuvre un monitoring permanent des systèmes, afin de détecter le plus rapidement possible tout événement inhabituel », précise un responsable informatique. Les hackers ne font pas que cibler directement les systèmes bancaires. Les cyber-terroristes ciblent plus volontiers les clients, à travers des opérations de phishing très élaborées. Celles-ci ont pour objectif d’obtenir les codes d’accès eBanking des clients afin de se connecter en temps réel sur les sites ebanking à leur place. « A l’échelle du Luxembourg, il y a des campagnes d’attaques de ce type toutes les semaines. Même un OTP (One Time Password) ne constitue plus un obstacle efficient pour les attaques les plus élaborées. Il est donc devenu indispensable de veiller sur nos clients. Nous opérons donc un monitoring permanent sur les transactions sensibles, afin de détecter des comportements inhabituels et d’empêcher des opérations malveillantes. C’est aussi pour lutter contre cela que sont limités les montants des transactions, mais aussi les pays destinataires. » Cette supervision de la sécurité des systèmes informatiques peut aujourd’hui être opérée en interne, mais aussi être externalisée vers des SOC (Security Operations Centers) mutualisés.

Répondre à la menace

Si les systèmes sont mieux protégés, mieux surveillés, le risque zéro n’existe pas surtout dans un environnement de plus en plus complexe soumis à une augmentation continue de la cybercriminalité. Les responsables de la sécurité en sont conscients. S’ils mettent tout
en œuvre pour éviter la défaillance des systèmes, ils anticipent aussi le pire et
la réponse à apporter en cas de faille…

« Aujourd’hui, plus que de cyber-sécurité, il faudrait parler de cyber-résilience, poursuit Sam Gabbaï. Au-delà de l’attaque et de la défaillance, il faut envisager les conséquences et surtout les moyens pour remettre les systèmes à flot. » Les sauvegardes de données, les plans de contingences et de continuité d’activités doivent être mis en place et maintenus sérieusement, afin de pouvoir jouer leur rôle suite à une hypothétique défaillance. Des scénarios doivent être élaborés, les infrastructures et procédures doivent être testées. « Il faut pouvoir déterminer comment réagir en cas de faille, comment la disponibilité des systèmes peut être assurée, comment les données peuvent être restaurées, quelles sont les responsabilités de chacun, qui doit réagir, à quel niveau, qui doit communiquer et la manière de le faire. Les divers scénarios élaborés doivent par ailleurs permettre de mieux appréhender le risque, et de déter miner quelles sont les meilleures réponses à mettre en place pour y faire face, considérant évidemment les budgets disponibles », conclut Sam Gabbaï.

Mieux collaborer

« Au Luxembourg, on risque plus en réutilisant un timbre oblitéré qu’en attaquant un serveur. »

Pour mieux faire face à la menace, les acteurs de la sécurité sont aujourd’hui plus enclins à échanger. « Nous nous rassemblons entre RSSI actifs au Luxembourg de manière régulière, afin de pouvoir faire des évaluations de la menace, pouvoir échanger sur les risques, mieux les comprendre, précise ce RSSI actif sur la place financière. Nous échangeons aussi à l’échelle du groupe. Si les acteurs ne peuvent pas se faire confiance face à une menace de mieux en mieux organisée, il est difficile d’apporter des réponses efficientes. Le CIRCL, à ce niveau, est un bel outil dont s’est dotée la place luxembourgeoise. Et l’initiative d’un CERT – Computer Emergency Response Team – luxembourgeois, réel cercle de confiance, facilitant l’échange d’information, à ce titre, est une excellente nouvelle. »

La menace, une économie parallèle

Les cybercriminels se sont organisés pour créer une économie parallèle. L’enjeu, pour les uns, n’est pas forcément de mettre en œuvre une attaque déterminée, mais de fournir à d’autres les moyens de le faire. « Hacker est devenu un métier. Sur les réseaux parallèles, on peut trouver des offres d’emploi, acheter des services ou des outils, précise un responsable informatique d’une banque de la Place.

Il est aujourd’hui possible d’acheter un réseau de 1000 PC infectés dans le but d’opérer une attaque massive vers les systèmes d’un concurrent afin de provoquer un déni de service… » Dans cet écosystème, chacun a son métier, certains ont pour objectif d’infecter les machines, d’autres organisent les stratégies d’attaques, le tout pour le compte de tiers.

Lire les précédents articles