A lire sur: http://www.infodsi.com/articles/130890/strategie-rssi-face-nouvelles-menaces-externes-2-2-gerome-billois-manager-sein-practice-securite-risk-management-solucom.html?key=
2011
aura été une année record en termes de cyber attaques : Ministère des
Finances, Google, Sony, RSA, secteur pétrolier, entités
gouvernementales… autant d’acteurs qui ont en commun le fait d’avoir été
victimes d’attaques informatiques. Après une première partie qui a
décrit les différentes attaques auxquelles sont confrontées les RSSI,
cette seconde partie explique comment réagir et évaluer son exposition
et adopter une stratégie de protection des données en fonction de leur
sensibilité
Pour lire la première partie
Au regard de ces récents évènements, le RSSI doit aujourd’hui plus que jamais évaluer l’exposition de son organisation à ces différentes attaques. Le secteur d’activité, la visibilité de la marque ou encore la sensibilité des données manipulées sont autant de critères à prendre en compte. Cette évaluation doit être faite de manière régulière en fonction de l’actualité de l’organisation et de son environnement. La direction générale doit être informée de cette évaluation de l’exposition.
En parallèle et sans viser une classification exhaustive de l’ensemble des informations, il est important de bien identifier les données les plus sensibles et / ou les plus exposées, mais aussi qui elles peuvent intéresser, que ce soit des personnes malveillantes internes ou externes, pour les protéger de la manière la plus efficace possible.
Ces éléments permettent à l’organisation d’évaluer le risque d’être visée par une attaque opportuniste ou ciblée. Ils permettent de mieux organiser les plans d’actions de protection.
Lutter contre les attaques opportunistes : retour aux fondamentaux
Les attaques opportunistes sont souvent simples. Elles utilisent des vulnérabilités évidentes dans le SI et visent les systèmes exposés publiquement. Il est facile de s’en protéger en investissant les moyens nécessaires pour mettre en place, concrètement, les bonnes pratiques de sécurité. Trois thèmes ressortent particulièrement :
• La sécurité applicative : les vulnérabilités web sont le vecteur principal d’attaques (injection SQL, mots de passe simples et stockés en clair, etc.). Il est crucial de rapidement renforcer la sécurité applicative en agissant en amont sur les développeurs et les métiers, et en aval sur les audits avant mise en production.
• Le maintien à jour de l’infrastructure : même si des efforts ont été réalisés, la gestion des correctifs, le durcissement des systèmes (y compris des comptes administrateurs) et l’utilisation de zone d’isolation (DMZ) ne sont encore parfois mis en oeuvre que partiellement.
• La mise en place de contrôles réguliers : que ce soit par l’intermédiaire d’audits, de tests d’intrusion ou par la mise en place de systèmes de détection d’intrusion ou de gestion des traces, des contrôles réguliers sont essentiels pour garantir le niveau de sécurité dans le temps.
Ces mesures matures et largement maîtrisées permettent aujourd’hui de lutter efficacement contre les attaques opportunistes.
Aujourd’hui, elles sont efficaces car le système d’information repose sur un modèle de protection périmétrique, distinguant le réseau interne des réseaux externes, plus exposés. Dans le futur, ce modèle disparaîtra irrémédiablement et les applications internes seront de plus en plus exposées.
Nous détaillons dans le focus « 2015 : une révolution pour la sécurité ? », disponible sur le site de Solucom, comment adapter sa stratégie pour répondre à ces évolutions et mettre en place une sécurité centrée sur les données en profondeur dans le SI.
Du « secret défense » au « secret entreprise » : des mesures avancées à déployer pour lutter contre les attaques ciblées
Les attaques ciblées, elles, sont difficiles à détecter, à juguler et à empêcher.
Le périmètre de sécurité réseaux et les applications web ne sont plus forcément les premières portes d’entrée. L’attaque va souvent jouer sur plusieurs tableaux pour atteindre son objectif. Ingénierie sociale, faille applicative, attaque sur les réseaux internes… tout est envisageable et envisagé.
Il s’agit ici de situations similaires à celles observées dans le secteur de la défense depuis de nombreuses années. Mais aujourd’hui, les grandes organisations y sont confrontées au quotidien. Pour protéger les données extrêmement sensibles, il leur faut donc mettre en oeuvre des moyens avancés, drastiques, similaires à ceux employés dans le secteur de la défense. Elles devront alors créer un SI dédié, spécialisé, pour gérer le « secret entreprise » analogue au « secret défense ». Si aucune mesure de sécurité n’est infaillible, ces éléments permettront d’augmenter la difficulté des attaques et donneront plus de temps pour les détecter et y répondre, le cas échéant.
Quatre grands chantiers doivent être envisagés :
• Créer des sanctuaires pour les données sensibles : basés sur une infrastructure dédiée, ils associent un nombre important et varié de mesures de sécurité : filtrage, chiffrement, isolation inter-serveurs, authentification forte dédiée, contrôle de conformité… Mais ils disposent également de processus spécifiques de mise en production afin de s’assurer que tout nouveau système est sécurisé. Ces systèmes et leur réseau devront être différents de ceux utilisés dans l’entreprise de manière classique. Ces sanctuaires seront maintenus par des équipes dédiées internes, sans utiliser d’accès distant.
• Spécialiser les terminaux clients : vecteur d’intrusion classique lors d’attaques ciblées, le poste de travail devra être spécialisé en fonction des usages. Si l’utilisation de postes distincts en fonction des usages est fréquemment rencontrée, elle reste complexe à généraliser. Le recours à de nouveaux OS virtualisés et isolant les machines virtuelles suivant leur sensibilité est une piste à explorer. L’utilisation de solutions de déport d’écran peut être une option temporaire intéressante avant la généralisation d’un poste de travail virtualisé. Les échanges avec la zone sanctuarisée seront bien entendu chiffrés et les postes ne permettront pas de stockage local d’informations très sensibles.
• Sensibiliser et contraindre : les utilisateurs manipulant les données les plus critiques sont souvent les plus difficiles à convaincre de l’importance de la sécurité. L’utilisation d’exemples concrets et surtout la mise en place d’un mécanisme coercitif en cas d’écarts permettront de diminuer les solutions de contournement. Sur ces périmètres spécifiques, il ne faudra pas tolérer d’écart aux politiques de sécurité, comme cela peut aujourd’hui être le cas, et composer avec les impacts métiers consécutifs.
Surveiller, réagir et prévoir la reconstruction
L’attaque étant très probable, elle doit pouvoir être détectée et son impact minimisé. Une équipe interne dédiée à la gestion des zones sanctuarisées et à la gestion des incidents et des crises devra être formée. La traçabilité devra être mise en place et suivie avec des moyens importants (H24, temps réel, etc.).
De nouvelles générations d’outils devront être testées et déployées en particulier pour détecter les signaux faibles relatifs à la fuite d’information. Ces systèmes seront également d’une aide précieuse pour enquêter sur les fuites de données lors de l’intrusion. D’autre part, des actions de reconstruction devront être imaginées pour pouvoir repartir sur une base saine en cas de succès d’une attaque. L’utilisation du PCA / PCI peut également être envisagée.
Tous ces moyens sont contraignants et ont un coût élevé. Ils doivent être limités à un nombre restreint de traitements et de données. C’est le prix à payer pour conserver un niveau de sécurité important. L’armée américaine estime que la sécurisation des projets très sensibles entraîne un surcoût de 20%, du fait des mesures additionnelles, mais aussi de la complexité et des contraintes posées sur le travail au quotidien (cloisonnement de l’information, séparation des équipes, etc.).
Certaines entreprises sont prêtes aujourd’hui à franchir ce pas au coeur des risques encourus. Il s’agit en particulier du secteur de la défense, des sociétés fournissant des systèmes de sécurité, des sociétés où l’innovation est réalisée sur des cycles longs de recherche et de développement.
Pour d’autres, la sécurisation ne sera pas acceptable, soit pour des raisons de pratiques internes, soit pour des raisons budgétaires (les coûts dépassant la rentabilité du SI ou bridant la compétitivité). Il faudra alors peut-être décider de réduire le périmètre de protection, et accepter consciemment de potentielles fuites de données qu’il faudra justifier et valider avec le management.
Le rôle du RSSI, entre évaluation des risques et pouvoir de conviction
Il est évident que chaque type de menace est amené à perdurer dans le temps. C’est au RSSI de réaliser l’évaluation des risques de sa structure face à ces menaces et de convaincre sa direction de l’importance des actions à mener.
Se protéger à tout prix contre les attaques ciblées n’est pas envisageable et n’a pas de sens. Par contre, construire un socle solide résistant aux attaques opportunistes sur lequel viennent se greffer des sanctuaires sécurisés est une orientation à évaluer chez chacun.
La sécurité vit une nouvelle étape, des orientations stratégiques fortes doivent être prises. L’implication des directions est facilitée maintenant que ces attaques font la « une » des journaux. Il ne reste plus qu’à les convaincre d’investir le bon budget au bon endroit !
lundi 2 avril 2012
2011
aura été une année record en termes de cyber attaques : Ministère des
Finances, Google, Sony, RSA, secteur pétrolier, entités
gouvernementales… autant d’acteurs qui ont en commun le fait d’avoir été
victimes d’attaques informatiques. Après une première partie qui a
décrit les différentes attaques auxquelles sont confrontées les RSSI,
cette seconde partie explique comment réagir et évaluer son exposition
et adopter une stratégie de protection des données en fonction de leur
sensibilitéPour lire la première partie
Au regard de ces récents évènements, le RSSI doit aujourd’hui plus que jamais évaluer l’exposition de son organisation à ces différentes attaques. Le secteur d’activité, la visibilité de la marque ou encore la sensibilité des données manipulées sont autant de critères à prendre en compte. Cette évaluation doit être faite de manière régulière en fonction de l’actualité de l’organisation et de son environnement. La direction générale doit être informée de cette évaluation de l’exposition.
En parallèle et sans viser une classification exhaustive de l’ensemble des informations, il est important de bien identifier les données les plus sensibles et / ou les plus exposées, mais aussi qui elles peuvent intéresser, que ce soit des personnes malveillantes internes ou externes, pour les protéger de la manière la plus efficace possible.
Ces éléments permettent à l’organisation d’évaluer le risque d’être visée par une attaque opportuniste ou ciblée. Ils permettent de mieux organiser les plans d’actions de protection.
Lutter contre les attaques opportunistes : retour aux fondamentaux
Les attaques opportunistes sont souvent simples. Elles utilisent des vulnérabilités évidentes dans le SI et visent les systèmes exposés publiquement. Il est facile de s’en protéger en investissant les moyens nécessaires pour mettre en place, concrètement, les bonnes pratiques de sécurité. Trois thèmes ressortent particulièrement :
• La sécurité applicative : les vulnérabilités web sont le vecteur principal d’attaques (injection SQL, mots de passe simples et stockés en clair, etc.). Il est crucial de rapidement renforcer la sécurité applicative en agissant en amont sur les développeurs et les métiers, et en aval sur les audits avant mise en production.
• Le maintien à jour de l’infrastructure : même si des efforts ont été réalisés, la gestion des correctifs, le durcissement des systèmes (y compris des comptes administrateurs) et l’utilisation de zone d’isolation (DMZ) ne sont encore parfois mis en oeuvre que partiellement.
• La mise en place de contrôles réguliers : que ce soit par l’intermédiaire d’audits, de tests d’intrusion ou par la mise en place de systèmes de détection d’intrusion ou de gestion des traces, des contrôles réguliers sont essentiels pour garantir le niveau de sécurité dans le temps.
Ces mesures matures et largement maîtrisées permettent aujourd’hui de lutter efficacement contre les attaques opportunistes.
Aujourd’hui, elles sont efficaces car le système d’information repose sur un modèle de protection périmétrique, distinguant le réseau interne des réseaux externes, plus exposés. Dans le futur, ce modèle disparaîtra irrémédiablement et les applications internes seront de plus en plus exposées.
Nous détaillons dans le focus « 2015 : une révolution pour la sécurité ? », disponible sur le site de Solucom, comment adapter sa stratégie pour répondre à ces évolutions et mettre en place une sécurité centrée sur les données en profondeur dans le SI.
Du « secret défense » au « secret entreprise » : des mesures avancées à déployer pour lutter contre les attaques ciblées
Les attaques ciblées, elles, sont difficiles à détecter, à juguler et à empêcher.
Le périmètre de sécurité réseaux et les applications web ne sont plus forcément les premières portes d’entrée. L’attaque va souvent jouer sur plusieurs tableaux pour atteindre son objectif. Ingénierie sociale, faille applicative, attaque sur les réseaux internes… tout est envisageable et envisagé.
Il s’agit ici de situations similaires à celles observées dans le secteur de la défense depuis de nombreuses années. Mais aujourd’hui, les grandes organisations y sont confrontées au quotidien. Pour protéger les données extrêmement sensibles, il leur faut donc mettre en oeuvre des moyens avancés, drastiques, similaires à ceux employés dans le secteur de la défense. Elles devront alors créer un SI dédié, spécialisé, pour gérer le « secret entreprise » analogue au « secret défense ». Si aucune mesure de sécurité n’est infaillible, ces éléments permettront d’augmenter la difficulté des attaques et donneront plus de temps pour les détecter et y répondre, le cas échéant.
Quatre grands chantiers doivent être envisagés :
• Créer des sanctuaires pour les données sensibles : basés sur une infrastructure dédiée, ils associent un nombre important et varié de mesures de sécurité : filtrage, chiffrement, isolation inter-serveurs, authentification forte dédiée, contrôle de conformité… Mais ils disposent également de processus spécifiques de mise en production afin de s’assurer que tout nouveau système est sécurisé. Ces systèmes et leur réseau devront être différents de ceux utilisés dans l’entreprise de manière classique. Ces sanctuaires seront maintenus par des équipes dédiées internes, sans utiliser d’accès distant.
• Spécialiser les terminaux clients : vecteur d’intrusion classique lors d’attaques ciblées, le poste de travail devra être spécialisé en fonction des usages. Si l’utilisation de postes distincts en fonction des usages est fréquemment rencontrée, elle reste complexe à généraliser. Le recours à de nouveaux OS virtualisés et isolant les machines virtuelles suivant leur sensibilité est une piste à explorer. L’utilisation de solutions de déport d’écran peut être une option temporaire intéressante avant la généralisation d’un poste de travail virtualisé. Les échanges avec la zone sanctuarisée seront bien entendu chiffrés et les postes ne permettront pas de stockage local d’informations très sensibles.
• Sensibiliser et contraindre : les utilisateurs manipulant les données les plus critiques sont souvent les plus difficiles à convaincre de l’importance de la sécurité. L’utilisation d’exemples concrets et surtout la mise en place d’un mécanisme coercitif en cas d’écarts permettront de diminuer les solutions de contournement. Sur ces périmètres spécifiques, il ne faudra pas tolérer d’écart aux politiques de sécurité, comme cela peut aujourd’hui être le cas, et composer avec les impacts métiers consécutifs.
Surveiller, réagir et prévoir la reconstruction
L’attaque étant très probable, elle doit pouvoir être détectée et son impact minimisé. Une équipe interne dédiée à la gestion des zones sanctuarisées et à la gestion des incidents et des crises devra être formée. La traçabilité devra être mise en place et suivie avec des moyens importants (H24, temps réel, etc.).
De nouvelles générations d’outils devront être testées et déployées en particulier pour détecter les signaux faibles relatifs à la fuite d’information. Ces systèmes seront également d’une aide précieuse pour enquêter sur les fuites de données lors de l’intrusion. D’autre part, des actions de reconstruction devront être imaginées pour pouvoir repartir sur une base saine en cas de succès d’une attaque. L’utilisation du PCA / PCI peut également être envisagée.
Tous ces moyens sont contraignants et ont un coût élevé. Ils doivent être limités à un nombre restreint de traitements et de données. C’est le prix à payer pour conserver un niveau de sécurité important. L’armée américaine estime que la sécurisation des projets très sensibles entraîne un surcoût de 20%, du fait des mesures additionnelles, mais aussi de la complexité et des contraintes posées sur le travail au quotidien (cloisonnement de l’information, séparation des équipes, etc.).
Certaines entreprises sont prêtes aujourd’hui à franchir ce pas au coeur des risques encourus. Il s’agit en particulier du secteur de la défense, des sociétés fournissant des systèmes de sécurité, des sociétés où l’innovation est réalisée sur des cycles longs de recherche et de développement.
Pour d’autres, la sécurisation ne sera pas acceptable, soit pour des raisons de pratiques internes, soit pour des raisons budgétaires (les coûts dépassant la rentabilité du SI ou bridant la compétitivité). Il faudra alors peut-être décider de réduire le périmètre de protection, et accepter consciemment de potentielles fuites de données qu’il faudra justifier et valider avec le management.
Le rôle du RSSI, entre évaluation des risques et pouvoir de conviction
Il est évident que chaque type de menace est amené à perdurer dans le temps. C’est au RSSI de réaliser l’évaluation des risques de sa structure face à ces menaces et de convaincre sa direction de l’importance des actions à mener.
Se protéger à tout prix contre les attaques ciblées n’est pas envisageable et n’a pas de sens. Par contre, construire un socle solide résistant aux attaques opportunistes sur lequel viennent se greffer des sanctuaires sécurisés est une orientation à évaluer chez chacun.
La sécurité vit une nouvelle étape, des orientations stratégiques fortes doivent être prises. L’implication des directions est facilitée maintenant que ces attaques font la « une » des journaux. Il ne reste plus qu’à les convaincre d’investir le bon budget au bon endroit !
Aucun commentaire:
Enregistrer un commentaire