Sécurité et Stratégie est une publication du CDSE

11

Dernier numéro : décembre 2012 - février 2013

Les cyber-menaces : mythe ou réalité ?

L’univers des hackers décrypté de l’intérieur

Le Défi des nouveaux usages numériques : la sécurité des entreprises à la peine

Il est d’usage de reconnaître que les assaillants ont toujours une longueur d’avance par rapport aux responsables de sécurité informatique. C’est en substance la thèse défendue par Bruno Gruselle, chercheur à la Fondation pour la Recherche Stratégique. Si l’auteur reconnaît que les entreprises saisissent peu à peu l’importance économique de la protection de leurs infrastructures et de leurs données, elles déploient encore des solutions qui sont parfois mal adaptées à la réalité des usages actuels des technologies de l’information. Les risques qui pèsent sur les données appartenant aux entreprises et sur les processus industriels – euxmêmes de plus en plus informatisés et automatisés – sont aggravés par la professionnalisation et la spécialisation des pirates. L’article évoque enfin l’insuffisante appréhension des enjeux liés à la réputation numérique par les entreprises, qui réagissent souvent de façon ponctuelle lorsqu’elles sont confrontées à une crise ou à une rumeur.

L’actualité des dernières années a indéniablement montré que la problématique du patrimoine informatique des entreprises ne peut plus se limiter à la seule protection des infrastructures et des données contre des actions engagées par des acteurs malveillants qui ne seraient que des adolescents en mal de reconnaissance1. Pour autant, on ne dispose aujourd’hui que de données fragmentées sur l’état et le niveau de la menace numérique. Ainsi, comme l’a déjà souligné le rapport Breton sur la cybercriminalité en 2005, les statistiques extraites des plaintes portant sur des actes criminels ou délictueux de nature numérique touchant les entreprises – notamment le vol de données numériques ou le phishing – sont très incomplètes2. L’un des facteurs d’explication tient à ce que ces dernières évitent généralement de déposer plainte quand elles sont victimes de délits ou de crimes dans la mesure où le processus judiciaire est long et crée une publicité souvent contraire aux intérêts des sociétés. Pour ces dernières, il importe d’abord de gérer une crise qui résulterait d’un incident informatique majeur.

En outre, le risque numérique ne prend plus aujourd’hui la forme d’attaques visant uniquement les actifs numériques des cibles (systèmes d’information, données). Il peut également se matérialiser à travers des actions visant la réputation ou l’image des sociétés, ou encore être le résultat d’atteintes internes, volontaires ou non, mettant en cause le patrimoine informationnelle de l’entreprise (ses savoirs, savoir-faire, compétences).

La professionnalisation des acteurs de la menace numérique

La cybercriminalité s’est profondément modifiée depuis le milieu des années 2000, tant en termes d’acteurs que de méthodes. Les acteurs de la menace numérique dirigée contre les entreprises se sont professionnalisés et leurs modes d’action se sont diversifiés.

Dans les années 1990, les actions numériques malveillantes étaient essentiellement le fait de spécialistes de l’informatique cherchant à montrer leurs compétences en piratant des sites ou des serveurs très protégés appartenant généralement aux agences de sécurité ou de défense. L’explosion du rôle et de la place des systèmes d’information et de communication dans les sociétés et les économies (globales et locales) a aiguisé les appétits des criminels devinant les profits potentiels à tirer de ces nouveaux espaces. L’exploitation des compétences techniques des hackers « pour la gloire » a donc cédé la place à une criminalité numérique, professionnalisée et spécialisée.

La cybercriminalité s’est illustrée, dans un premier temps, par l’apparition puis l’augmentation de cas de racket des sites Internet marchands et de vente de produits contrefaits. Les pirates se sont ainsi regroupés en cellule et se sont répartis les tâches. Chacun disposant de compétences spécifiques qui, rassemblées, permettent de pénétrer un système d’information : détection de ports ouverts, pénétration de serveurs, contournement de pare-feux, détection de failles nouvelles. Les organisations criminelles font donc appel à des groupes selon les spécialités disponibles afin de répondre à des besoins spécifiques.

Les outils utilisés pour des activités cybercriminelles font à présent l’objet d’un marché noir. Constitué au fil des années, il est régi par la loi de l’offre et la demande. A titre illustratif, une concurrence forte oppose les acteurs pour la maîtrise de réseaux de machines zombies. Celles-ci peuvent être louées sur des sites spécialisés sur Internet afin d’entreprendre certaines opérations de déni de services ou d’espionnage. Le prix de mille machines infectées varierait sur certaines plates-formes de 5 à 100 USD en fonction du pays. Des prix plus élevés peuvent, cependant, être pratiqués dans le cadre d’opérations ciblées et montées par des intermédiaires ayant acheté les machines au prix de gros. Il est vraisemblable, qu’à l’instar de ce marché, des compétences ou des connaissances plus spécifiques sont également disponibles, comme par exemple l’accès à des machines spécifiques, ou la réalisation de logiciels malveillants.

La professionnalisation et la spécialisation des pirates sont considérées comme des certitudes et l’évolution de leurs objectifs, initialement d’ordre technique, vers la recherche de profits, comme en témoigne le récent rapport du SGDSN. Le changement de paradigme entre une population de pirates virtuoses mais isolés et des groupes organisés agissant dans le but de s’enrichir semble se situer en 2004. Le cas du ver Conficker apparu en 2008 illustre la tendance à une sophistication croissante des logiciels malveillants. Il s’agit en effet d’un logiciel très élaboré, vraisemblablement conçu de manière collégiale. Cependant, ce ver n’aurait pas été mis au point pour faire des dégâts mais plutôt comme un « démonstrateur », annonçant une nouvelle génération de malwares plus sophistiqués et, sans doute, plus discrets et efficaces. Le cas du ver Flame découvert en 2012 semble confirmer cette hypothèse.

En parallèle de la métamorphose de la criminalité informatique vers la recherche de profits, l’évolution d’Internet a conduit à l’apparition d’activistes numériques qui utilisent le réseau et les outils numériques associés – notamment ceux du web 2.0 – pour défendre leurs positions (politiques, religieuses, éthiques ou morales..). Si l’utilisation malveillante de logiciels fait partie de l’arsenal des outils qu’ils déploient, ils ont également recours à des sites (blogs, forums..) qu’ils animent ou auxquels ils participent pour diffuser leurs opinions. Comme l’Internet offre une tribune mondiale pour alerter et convaincre des consommateurs et des citoyens, des sites sont mis en ligne pour déstabiliser l’image de marque d’entreprises ou désinformer des marchés. Ainsi, le groupe Anonymous a engagé plusieurs campagnes de piratage visant des sites officiels. Depuis 2010, Wikileaks a développé un nouveau mode d’intervention avec la mise en ligne systématique de documents protégés voire classifiés. Outre l’usurpation de l’identité, la finalité des attaques dans le cyberespace n’est donc plus seulement de détruire ou rendre inopérant pendant un laps de temps un système d’information, mais de porter atteinte à la crédibilité, la légitimité et la notoriété d’une entreprise ou d’une personne physique.

Une prise en compte parcellaire du risque numérique

Malgré ces évolutions, les entreprises continuent souvent d’appliquer des méthodes visant uniquement à protéger leurs infrastructures informatiques contre des actes commis par des personnes extérieures. Les données disponibles semblent confirmer la prise de conscience générale au sein de l’entreprise de l’existence d’un risque numérique spécifique. Les chefs d’entreprise et les salariés considèrent l’insécurité numérique comme l’une des principales menaces pesant sur l’activité de leur entreprise. Ainsi, selon une enquête conduite par TNS SOFRES-LOGICA3 :
- Les salariés placent les failles numériques au premier rang des menaces. Dans ce domaine, pour 55% des personnes interrogées, le plus grand danger est la perte ou le vol d’information. De manière générale, 75% des salariés indiquent que le risque numérique représente une menace importante ou très importante pour l’image de marque de leur société ;
- Les chefs d’entreprise placent l’insécurité numérique – y compris le risque réputationnel – au troisième rang de leurs préoccupation en matière de sécurité. Si 42% des personnes interrogées considèrent que la perte ou le vol d’informations représente un danger pour leur société, ils sont 44% à craindre que le risque informatique entraîne l’indisponibilité de leur outil de travail. Pour les chefs d’entreprises, la principale menace concerne donc les engagements contractuels et la capacité de l’entreprise ;

La différence de perception s’explique sans doute par le fait que les chefs d’entreprise sont confrontés à des risques dont la gravité pour la survie de l’entreprise est effectivement plus prononcée : destruction des actifs, vols, fraudes…

Bien que l’importance du risque numérique pour le fonctionnement des entreprises soit reconnue, on peut s’interroger sur l’adéquation des budgets consacrés à la sécurité numérique avec le niveau de risque4. Par ailleurs, la gestion des obligations légales en matière de sécurité des données est d’autant plus complexe que les grandes entreprises internationales sont soumises à des législations différentes et plus ou moins contraignantes selon les pays dans lesquels elles opèrent. Ainsi, les Etats-Unis ou le Royaume Uni ont mis en place des législations qui permettent aux services de sécurité d’obtenir la fourniture de données si elles sont hébergées sur leur territoire. Il en résulte des budgets alloués à la sécurité numérique très hétérogènes, représentant une part allant de 1 % à plus de 6 % du budget consacré par les entreprises aux systèmes d’information5. En moyenne, les entreprises consacrent environ 2% de leur chiffre d’affaires à la sécurité des systèmes d’information et des données numériques6. Cette part ne reflète toutefois pas complètement les investissements réalisés : en effet, de nombreux acteurs (avec leurs outils) participent indirectement à la protection informatique sans que ce soit pour autant leur attribution principale. Ces éléments montrent que les entreprises ont dans leur majorité investi la question de la sécurité numérique et y consacrent des budgets qui paraissent conséquents.

En dépit de ces budgets, la sécurité des ordinateurs de bureau et des réseaux d’entreprise est parfois limitée au déploiement de solutions basiques qui s’apparentent à des « lignes Maginot » numériques dans la mesure où elles sont insuffisantes pour répondre à l’évolution actuelle des risques numériques et, notamment, des usages de leurs collaborateurs. Si les entreprises ont effectivement mis en place des barrières techniques sur leurs systèmes, suivant en cela les règles de l’art préconisées depuis le début des années 2000, elles restent très vulnérables aux pratiques quotidiennes des salariés et de leurs décideurs au niveau de la manipulation de l’information (transfert, traitement, stockage). Sauf dans les cas où le système technique est très contraignant et filtrant, les barrières imposantes et coûteuses mises en place dans les architectures techniques voient leur efficacité souvent réduite à néant par la mauvaise pratique des mots de passe, la mauvaise utilisation des clés USB, l’accès détourné à des sites dangereux, l’utilisation de terminaux mobiles personnels non sécurisés ou tout simplement la perte de documents.

[extrait]

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE