En partant du cadre des normes ISO 27001 (Sécurité) et ISO 27005 (Prévention des Risques), COREUM Consulting a intérrogé des experts de la cybersécurité afin de faire émerger les leviers essentiels pour la gouvernance et la sécurité des systèmes d’information.
Qu’ils soient applicatifs, réseaux ou métier, tous les experts s’accordent sur un point essentiel de la prévention des risques liés à l’informatique : l’humain est le principal facteur de risque pour la sécurité des systèmes.
"Et l'erreur fut humaine..."
Ce point essentiel est souvent absent des stratégies informatiques décidées par les dirigeants, et parfois difficile à défendre par les DSI. En effet, que ce soit au niveau des administrateurs du système d’information ou des utilisateurs finaux, la sensibilisation des ressources humaines aux bonnes pratiques et aux enjeux de la gestion des risques apparait comme un élément fondamental d’une politique de prévention efficace.
Par une veille active, une communication claire et pragmatique autour de la cartographie des risques liés à l’information, et une formation adaptée sur les meilleures pratiques, les organisations pourront réduire sensiblement leur exposition aux risques avant même d’investir dans des solutions technologiques coûteuses et souvent disproportionnées.
Ce constat est d’autant plus important que tout investissement devient souvent inefficace si les pratiques opérationnelles ne sont pas adaptées et sécurisées. Les DSI présents ont confié à nos équipes que bien que conscients de ce point, ils pouvaient difficilement justifier ces budgets à leurs hiérarchies en raison de sa dimension RH et de son éloignement des domaines techniques généralement associés à la DSI.
Dans ce domaine comme dans d’autres, les responsables de la gestion des risques doivent mettre à profit leur vision transverse pour travailler de concert avec les DSI et DRH afin d’identifier et mettre en œuvre les réponses les plus efficaces pour renforcer la sécurité des systèmes d’information.
Dans le cas du Maroc par exemple, les retours d’expérience collectés auprès des responsables informatiques ont montré qu’un nombre important des incidents étaient liés à la négligence (ex. pas de contrôle réel pour l’accès aux bâtiments disposant de terminaux et de serveurs) et à des pratiques à risques souvent liées à une méconnaissance des enjeux (ex. mots de passe sur des post-it, session utilisateurs non clôturées, navigation Internet hasardeuse ou encore introduction de clé USB infectées).
Ce constat est valable dans de nombreuses organisations et de nombreux pays. Il sera d’autant plus important de surveiller et sécuriser les pratiques internes avec l’importance grandissante de terminaux professionnels et personnels mobiles connectés au réseau de l’entreprise.
La responsabilité des fonctions d’administration du système d’information a été soulignée. D’une part, de nombreux administrateurs utilisent des mots de passe et identifiants trop simples (ex. admin, 12345, azerty, nom de l’entreprise…), et d’autre part la sécurisation des accès logiques et la gestion des habilitations sont souvent reléguée en second plan par rapport aux tâches de maintenance technique quotidienne.
Si le premier point est assimilable aux pratiques internes décrites précédemment, le second en revanche est primordial dans un environnement où les applicatifs et terminaux composant le système d’information communiquent et s’interfacent de plus en plus, et où la rotation des ressources humaines est de plus en plus rapide.
Plusieurs outils existent aujourd’hui en opensource pour scanner l’ensemble des ports logiques d’un réseau de machines et identifier les ports ouverts et fermés qui peuvent devenir une porte ouverte aux intrusions extérieures. Les administrateurs doivent donc intégrer au sein de leur dispositif de contrôle interne une revue régulière de ces ports logiques et vérifier leur cohérence par rapport à l’architecture du système.
Les dispositifs de contrôle interne doivent de même intégrer un processus dynamique de gestion des habilitations, coordonné avec la fonction RH, afin de s’assurer que chaque personne de l’entreprise accède uniquement aux fonctions du système nécessaires à son activité et que les accès des personnes ayant quitté l’entreprise ont bien été désactivés.
Là encore, au-delà de la compétence technique apparait clairement l’importance d’une coordination efficace des fonctions de l’entreprise où le contrôle interne et la prévention des risques jouent le rôle de catalyseur et d’animateur. Ce rôle peut se décliner sur le processus suivant :
- Identifier les vulnérabilités du système : les administrateurs du système d’information doivent établir une vision réaliste des vulnérabilités existantes sur le système, de celles qui sont couvertes par un dispositif de maîtrise adapté et de celles qui demeurent et doivent être surveillées. Pour améliorer la connaissance des vulnérabilités, les DSI peuvent faire appel aux services de sociétés extérieures. Chez COREUM, nous aimons particulièrement les services de la société Yogosha (https://yogosha.com/).
- Cartographier les actifs logiciels et matériels qui sont associés à ces vulnérabilités : selon la complexité et la maturité de l’organisation, cette cartographie peut prendre la forme d’un simple inventaire ou d’une cartographie plus complète sur les processus et les sites de l’entreprise.
- Qualifier la criticité des actifs par rapports aux activités de l’entreprise : l’indisponibilité d’un poste utilisateur n’est souvent pas aussi critique pour l’entreprise que l’indisponibilité de son serveur de données comptables ou clients. Chaque actif doit donc être qualifié par rapport aux exigences de continuité d’activité et de qualité de services de l’entreprise.
- Définir les exigences de sécurité du système d’information : en fonction des priorités opérationnelles de l’entreprise, les responsables du système d’information et de la prévention des risques doivent travailler en lien étroit pour définir les normes internes de sécurité et les pratiques associées. Ces normes doivent être connues par les acteurs de l’entreprise interagissant avec le système d’information.
- Contrôler régulièrement l’application et la pertinence de ces normes et pratiques par rapport à l’environnement de l’entreprise. Ce processus est partie intégrante du contrôle interne et doit être coordonné avec les équipes en charge du contrôle et de la prévention des risques.
- Etablir une veille constante sur les nouvelles menaces : la veille informatique porte autant sur les nouvelles technologies que sur les nouvelles menaces liées à l’évolution de l’environnement interne et externe de l’entreprise. Cette veille permet de détecter de nouvelles vulnérabilités et d’initier ainsi l’amélioration continue de la sécurité du système d’information. Elle s’organise autant autour d’une démarche empirique de collecte et d’analyse des incidents survenus, que sur une démarche prospective à travers la surveillance et la formation sur les nouvelles pratiques et technologies impactant l’organisation. Ce dernier point peut être coordonné avec les services d’intelligence économique lorsqu’ils existent.
Pour ancrer l’analyse des risques informatiques dans le concret et permettre de percevoir les enjeux d’une gestion avisée de la sécurité du système d’information, observons pas à pas le déploiement d'une cyberattaque :
Tout d’abord, le protagoniste récolte toutes les informations publiques disponibles sur l’entreprise cible (organigramme, communiqués…).
Ensuite, il utilise les bases whois (préciser). Ces bases, fournies par les registres Internet, permettent d'obtenir des informations sur une adresse IP ou un nom de domaine. Elles servent par exemple à identifier les noms de domaine qui sont utilisés par la cible.
La troisième étape est l’utilisation des moteurs de recherches pour récupérer des documents et informations qui, bien que confidentiels ou d’usage interne, sont disponibles sur Internet. La pratique du « google hack » est très bien décrite dans un rapport de la NSA intitulé Untangling the Web Internet Research Technic datant de 2007 et déclassifié récemment.
Sur la base des informations ainsi collectées, le protagoniste analyse l’environnement technique et organisationnel de la cible en réalisant une cartographie plus ou moins complexe du système. Certains pirates informatiques ont ainsi établi des cartographies extrêmement complètes et documentées sur le système de grandes administrations et entreprises à faire pâlir les responsables informatiques de ces dernières.
En analysant la cartographie et grâce à des outils de scanning, le protagoniste recherche les services ouverts et vulnérables qui serviront de point d’entrée à l’attaque du système.
Une fois ces vulnérabilités identifiées, le protagoniste peut décider de la meilleure manière de récupérer les codes d’accès au système, que ce soit grâce à des logiciels d’identification déroulant à très grande vitesse des bases de données de mots de passe et identifiants typiques, ou alors à travers des processus indirects en utilisant souvent la faille humaine (ex. courriel de phishing adressé par un « administrateur système » fictif et demandant à un utilisateur de réinitialiser ses identifiants et mots de passe conformément à des instructions précises qui fourniront les clés du système au protagoniste).
Une fois que les accès sont récupérés, le protagoniste a tout le loisir de lancer son attaque, et celle-ci peut avoir des conséquences graves pour la réputation et l’activité de l’entreprise.
Dans cet exemple, il est important de constater que les méthodes de gestion des risques sont appliquées par les personnes désireuses d’attaquer un système. Combattant le feu par le feu, cela démontre encore une fois l’importance d’une démarche structurée et pleinement maîtrisée de gestion des risques liés au système d’information et d’une sensibilisation de tous les acteurs de l’entreprise aux pratiques et menaces qui peuvent les concerner.
Le développement rapide des menaces liées à la cybersécurité souligne la nécessité d’une analyse et d’un suivi dynamique des dispositifs de gestion des risques liés au système d’information. Parmi ces dispositifs de gestion des risques, nous pouvons citer les plus importants :
- Une analyse dynamique de la cartographie du système d’information logique et physique, identifiant les ressources critiques, les vulnérabilités et dispositifs de protection et contrôles associés.
- La configuration des systèmes et du matériel est un élément important d’une bonne politique de sécurité des systèmes d’information afin de maîtriser les failles potentielles du système.
- La mise en œuvre d’un Plan de Continuité d’Activité (PCA), en particulier sur le volet informatique (PSI : Plan de Secours Informatique), est un dispositif essentiel en cas de chocs extrêmes ou de crise. Ce PSI doit décrire précisément les procédures à suivre et les ressources disponibles permettant de remettre le système d’information à disposition de l’entreprise dans les délais nécessaires et avec le niveau de service requis pour éviter une perte importante d’activité ou une dégradation de la réputation.
- La redondance des ressources sensibles, qu’elles soient applicatives, matérielles ou humaines. Ainsi, des serveurs miroirs permettent de basculer en temps réel de l’un sur l’autre sans rupture de service. Un dispositif de sauvegarde régulière et sécurisée des opérations minimise le risque de perte d’informations. Finalement, une gestion avisée des compétences nécessaires pour le maintien en condition opérationnelle du système, incluant des binômes identifiés sur les compétences clés, réduit la dépendance de l’organisation aux individus et par conséquent les risques liés aux départs en retraite, démissions ou même absences ponctuelles (congés, maladies, accidents…).
- Enfin, la sensibilisation permamente du personnel sur les nouvelles menaces et bonnes pratiques reste le pilier essentiel de la cybersécurité.