mardi 3 avril 2012

Quelle stratégie pour le RSSI face aux nouvelles menaces externes ?(2/2) Gérôme Billois, manager au sein de la practice Sécurité & risk management de Solucom.

A lire sur:  http://www.infodsi.com/articles/130890/strategie-rssi-face-nouvelles-menaces-externes-2-2-gerome-billois-manager-sein-practice-securite-risk-management-solucom.html?key=

lundi 2 avril 2012
2011 aura été une année record en termes de cyber attaques : Ministère des Finances, Google, Sony, RSA, secteur pétrolier, entités gouvernementales… autant d’acteurs qui ont en commun le fait d’avoir été victimes d’attaques informatiques. Après une première partie qui a décrit les différentes attaques auxquelles sont confrontées les RSSI, cette seconde partie explique comment réagir et évaluer son exposition et adopter une stratégie de protection des données en fonction de leur sensibilité

 
Pour lire la première partie



Au regard de ces récents évènements, le RSSI doit aujourd’hui plus que jamais évaluer l’ex­position de son organisation à ces différentes attaques. Le secteur d’activité, la visibilité de la marque ou encore la sensibilité des données manipulées sont autant de critères à prendre en compte. Cette évaluation doit être faite de manière régulière en fonction de l’actualité de l’organisation et de son envi­ronnement. La direction générale doit être informée de cette évaluation de l’exposition.

En parallèle et sans viser une classification exhaustive de l’ensemble des informations, il est important de bien identifier les données les plus sensibles et / ou les plus exposées, mais aussi qui elles peuvent intéresser, que ce soit des personnes malveillantes internes ou externes, pour les protéger de la manière la plus efficace possible.
Ces éléments permettent à l’organisation d’évaluer le risque d’être visée par une attaque opportuniste ou ciblée. Ils permettent de mieux organiser les plans d’actions de protection.

Lutter contre les attaques opportunistes : retour aux fondamentaux

Les attaques opportunistes sont souvent simples. Elles utilisent des vulnérabilités évidentes dans le SI et visent les systèmes exposés publiquement. Il est facile de s’en protéger en investissant les moyens nécessaires pour mettre en place, concrètement, les bonnes pratiques de sécurité. Trois thèmes ressortent particulièrement :
• La sécurité applicative : les vulnérabilités web sont le vecteur principal d’attaques (injection SQL, mots de passe simples et stockés en clair, etc.). Il est crucial de rapidement renforcer la sécurité appli­cative en agissant en amont sur les déve­loppeurs et les métiers, et en aval sur les audits avant mise en production.
• Le maintien à jour de l’infrastructure : même si des efforts ont été réalisés, la gestion des correctifs, le durcissement des systèmes (y compris des comptes administrateurs) et l’utilisation de zone d’isolation (DMZ) ne sont encore parfois mis en oeuvre que partiellement.
• La mise en place de contrôles réguliers : que ce soit par l’intermédiaire d’audits, de tests d’intrusion ou par la mise en place de systèmes de détection d’in­trusion ou de gestion des traces, des contrôles réguliers sont essentiels pour garantir le niveau de sécurité dans le temps.

Ces mesures matures et largement maîtri­sées permettent aujourd’hui de lutter effi­cacement contre les attaques opportunistes.

Aujourd’hui, elles sont efficaces car le sys­tème d’information repose sur un modèle de protection périmétrique, distinguant le réseau interne des réseaux externes, plus exposés. Dans le futur, ce modèle disparaîtra irrémédiablement et les applications internes seront de plus en plus exposées.
Nous détaillons dans le focus « 2015 : une révolution pour la sécurité ? », disponible sur le site de Solucom, comment adapter sa stratégie pour répondre à ces évolutions et mettre en place une sécurité centrée sur les données en profondeur dans le SI.

Du « secret défense » au « secret entreprise » : des mesures avancées à déployer pour lutter contre les attaques ciblées

Les attaques ciblées, elles, sont difficiles à détecter, à juguler et à empêcher.
Le périmètre de sécurité réseaux et les appli­cations web ne sont plus forcément les pre­mières portes d’entrée. L’attaque va souvent jouer sur plusieurs tableaux pour atteindre son objectif. Ingénierie sociale, faille appli­cative, attaque sur les réseaux internes… tout est envisageable et envisagé.
Il s’agit ici de situations similaires à celles observées dans le secteur de la défense depuis de nombreuses années. Mais aujourd’hui, les grandes organisations y sont confrontées au quotidien. Pour protéger les données extrêmement sensibles, il leur faut donc mettre en oeuvre des moyens avancés, drastiques, similaires à ceux employés dans le secteur de la défense. Elles devront alors créer un SI dédié, spécialisé, pour gérer le « secret entreprise » analogue au « secret défense ». Si aucune mesure de sécurité n’est infaillible, ces éléments permettront d’aug­menter la difficulté des attaques et donneront plus de temps pour les détecter et y répondre, le cas échéant.
Quatre grands chantiers doivent être envisagés :

• Créer des sanctuaires pour les données sensibles : basés sur une infrastruc­ture dédiée, ils associent un nombre important et varié de mesures de sécurité : filtrage, chiffrement, isola­tion inter-serveurs, authentification forte dédiée, contrôle de conformité… Mais ils disposent également de proces­sus spécifiques de mise en production afin de s’assurer que tout nouveau sys­tème est sécurisé. Ces systèmes et leur réseau devront être différents de ceux utilisés dans l’entreprise de manière classique. Ces sanctuaires seront maintenus par des équipes dédiées internes, sans utiliser d’accès distant.

• Spécialiser les terminaux clients : vec­teur d’intrusion classique lors d’at­taques ciblées, le poste de travail devra être spécialisé en fonction des usages. Si l’utilisation de postes distincts en fonction des usages est fréquemment rencontrée, elle reste complexe à géné­raliser. Le recours à de nouveaux OS virtualisés et isolant les machines vir­tuelles suivant leur sensibilité est une piste à explorer. L’utilisation de solutions de déport d’écran peut être une option temporaire intéressante avant la généra­lisation d’un poste de travail virtualisé. Les échanges avec la zone sanctuari­sée seront bien entendu chiffrés et les postes ne permettront pas de stockage local d’informations très sensibles.

• Sensibiliser et contraindre : les utilisateurs manipulant les données les plus critiques sont souvent les plus difficiles à convaincre de l’importance de la sécurité. L’utilisation d’exemples concrets et surtout la mise en place d’un mécanisme coercitif en cas d’écarts permettront de diminuer les solutions de contournement. Sur ces péri­mètres spécifiques, il ne faudra pas tolérer d’écart aux politiques de sécurité, comme cela peut aujourd’hui être le cas, et com­poser avec les impacts métiers consécutifs.

Surveiller, réagir et prévoir la reconstruction

L’attaque étant très probable, elle doit pouvoir être détectée et son impact minimisé. Une équipe interne dédiée à la gestion des zones sanctuarisées et à la gestion des incidents et des crises devra être formée. La traçabilité devra être mise en place et suivie avec des moyens importants (H24, temps réel, etc.).
De nouvelles générations d’outils devront être testées et déployées en particulier pour détecter les signaux faibles relatifs à la fuite d’information. Ces systèmes seront égale­ment d’une aide précieuse pour enquêter sur les fuites de données lors de l’intrusion. D’autre part, des actions de reconstruction devront être imaginées pour pouvoir repartir sur une base saine en cas de succès d’une attaque. L’utilisation du PCA / PCI peut éga­lement être envisagée.

Tous ces moyens sont contraignants et ont un coût élevé. Ils doivent être limités à un nombre restreint de traitements et de don­nées. C’est le prix à payer pour conserver un niveau de sécurité important. L’armée amé­ricaine estime que la sécurisation des projets très sensibles entraîne un surcoût de 20%, du fait des mesures additionnelles, mais aussi de la complexité et des contraintes posées sur le travail au quotidien (cloisonnement de l’information, séparation des équipes, etc.).

Certaines entreprises sont prêtes aujourd’hui à franchir ce pas au coeur des risques encou­rus. Il s’agit en particulier du secteur de la défense, des sociétés fournissant des sys­tèmes de sécurité, des sociétés où l’inno­vation est réalisée sur des cycles longs de recherche et de développement.
Pour d’autres, la sécurisation ne sera pas acceptable, soit pour des raisons de pratiques internes, soit pour des raisons budgétaires (les coûts dépassant la rentabilité du SI ou bridant la compétitivité). Il faudra alors peut-être décider de réduire le périmètre de protection, et accepter consciemment de potentielles fuites de données qu’il faudra justifier et valider avec le management.

Le rôle du RSSI, entre évaluation des risques et pouvoir de conviction

Il est évident que chaque type de menace est amené à perdurer dans le temps. C’est au RSSI de réaliser l’évaluation des risques de sa struc­ture face à ces menaces et de convaincre sa direction de l’importance des actions à mener.

Se protéger à tout prix contre les attaques ciblées n’est pas envisageable et n’a pas de sens. Par contre, construire un socle solide résistant aux attaques opportunistes sur lequel viennent se greffer des sanctuaires sécurisés est une orientation à évaluer chez chacun.

La sécurité vit une nouvelle étape, des orien­tations stratégiques fortes doivent être prises. L’implication des directions est facilitée main­tenant que ces attaques font la « une » des journaux. Il ne reste plus qu’à les convaincre d’investir le bon budget au bon endroit !

Aucun commentaire:

Enregistrer un commentaire