Les assises 2011 de… l’insécurité ?
Les assises de la sécurité, édition 2011, se sont déroulées la semaine dernière à Monaco. Je ne comptais pas en faire un billet, car elles étaient dédiées au sujet « Secret et confidentialité à l’ère du numérique », donc a priori sans rapport avec la cybersécurité industrielle.
Cependant, la plupart des blogs de sécurité se font l’écho du discours de clôture du directeur de l’ANSSI, qui semble avoir fait l’effet d’une douche froide, et dont le message s’applique également aux infrastructures industrielles.
Peu de surprises…
En effet, le contenu général ne semble pas avoir apporté beaucoup d’information, au sens de la théorie de l’information : la nouveauté. Annonces de nouveaux produits (Juniper, Arkoon…), débats sur les thèmes du secret de l’information avec ses aspects informations personnelles, professionnelles, secret médical… Evolution au travers des âges, problèmes actuels liés au web 2.0, aux réseaux sociaux, à la génération Y qui est traitée comme une menace, même s’il y a un point d’interrogation à cet extrait du livre bleu : « L’importance accrue de la Génération Y au sein des entreprises est-elle source de risques en termes de confidentialité ? »
Le livre bleu, téléchargeable sur le site des assises, passe ainsi en revue de nombreux sujets a priori bien connus, et en particulier les différents référentiels (ISO…) et méthodes d’analyse de risques (EBIOS…), dont il regrette la notoriété insuffisante.
On a le droit d’être sceptique quant à ces messages, car il semble que cela ne soit pas tout à fait ce que l’on devrait retenir de l’actualité récente. Or justement les leçons à tirer de l’actualité ont fait l’objet du discours de clôture de Patrick Pailloux, directeur de l’ANSSI.
…jusqu’au discours de Patrick Pailloux !
Le discours de monsieur Pailloux a changé l’ambiance, après des séries d’interventions qui apparaissent, par contraste, un peu théoriques et détachées de l’actualité.
Plusieurs excellents articles ont été écrits sur cette intervention, notamment par Global Security Mag, ou L’informaticien.com. Ce dernier, en titrant « Sécurité : l’ANSSI tire la sonnette d’alarme », en résume bien l’esprit. En voici les points principaux :
- l’ANSSI constate un saut quantitatif des attaques, notamment à but de vol d’information, dans les organismes d’état et les OIV (organismes d’intérêt vital, suivis par l’ANSSI). On apprend d’ailleurs au passage que les attaques sont souvent couronnées de succès. Cependant l’opacité et l’absence de communication sur ces événements (que regrettent d’ailleurs certains analystes) ne permet guère d’en tirer les leçons, ni d’estimer combien d’attaques ne sont PAS détectées.
- l’ANSSI considère que le niveau de sécurité a peu évolué, et donc qu’il reste trop faible en regard des menaces croissantes,
- ceci malgré la croissance des budgets et l’application de méthodes, d’audits, et de certifications : en effet, des basiques de sécurité seraient manquants (mots de passe, nombre d’administrateurs, surveillance des logs, applications des patches, détection d’intrusion etc…). De nombreuses organisations se « rassureraient » en appliquant des méthodes lourdes, se considérant ensuite comme protégées du fait des seuls efforts fournis.
Monsieur Pailloux fait évidemment écho à l’actualité récente sans la citer explicitement :
- le vol de comptes chez Sony ce printemps, mais de nouveau tout récemment (93,000 nouveaux identifiants volés par une attaque ce mois-ci !), non content d’avoir des failles énormes (stockage des mots de passe en clair), les mesures correctives n’ont pas été à la hauteur (à leur décharge, la deuxième attaque était plus sophistiquée),
- UBS, qui malgré des budgets de sécurité significatifs, subit le même type de soucis que la Société Générale un an et demi avant : des traders utilisant des accès à des systèmes de contrôle (back-office) qui auraient dû être supprimés à leur changement de fonction, ce qui leur a permis de camoufler leurs positions risquées et causer respectivement 1,5 et 4 milliards d’euros de pertes,
- Areva, qui aurait depuis deux ans subi des vols d’information sur son intranet, malgré la certification ISO 27001. A ce propos un billet un peu virulent a été publié début octobre, c’est peut-être par pure chance mais à mon avis il a visé juste…
- enfin le département de la défense américain, avec un logiciel malveillant de type key-logger au niveau des contrôles des drones - sachant que ce n’est pas le premier virus qui s’introduit dans leurs systèmes, le précédent était entré sur un CD-ROM (même vecteur présumé pour les câbles diplomatiques publiés par wikileaks). Ceci dit, le plus inquiétant quant au keylogger est que le vecteur n’a pas été trouvé, et que le logiciel malveillant réapparaitrait après son éradication !
Toutes ces organisations ont déployé des moyens importants, et sont soumises à des obligations fortes en terme de normes de sécurité – et pourtant, l’échec est pattant.
Retour aux bases
Il est très intéressant de voir la contradiction entre les messages des assises, avec des alertes relatives aux menaces liés à google, aux réseaux sociaux et à la génération Y, qu’il s’agit de contrer via la mise en oeuvre de procédures de certification et de technologies complexes (SIEM et autres…), et le message de l’ANSSI, qui en substance dit « revenez aux bases ».
Comme pour illustrer cela, les assises utilisaient un site web avec une faille parmi les plus connues des professionnels de la sécurité : l’accès aux comptes des participants (souvent par wifi public) se faisant via une authentification par la méthode GET (selon cet aticle de secuobs.com) – c’est un peu technique mais c’est du même ordre de criticité que le stockage des mots de passe en clair chez Sony. Seul un participant semble s’en être aperçu, ou les autres n’ont pas jugé utile de le signaler ? Parfaite illustration du besoin de revenir aux bases et de rester attentif, de se poser les bonnes questions, et de ne pas se croire en « sécurité » du fait du cadre : ici parce qu’on est aux assises de la sécurité, et ailleurs car on est certifié ISO 27001 !
Conclusion et rapport avec la cybersécurité industrielle
A ma connaissance, il n’y a pas eu de fuite d’information massive ni chez google ni même chez facebook, et mon expérience est que les « jeunes » de la génération Y sont plutôt bien armés et informés – a fortiori plus méfiants que leurs aînés. Il est certainement temps de cesser de penser que la sécurité est assurée quand des fichiers Excel de 20Mo ont été complétés après des semaine.homme de travail, et de revenir aux bases : contrôles d’accès, audits réguliers, remise en cause, capacité à entendre les alertes (la personne qui voulait signaler le problème du GET aux assises n’a pas eu droit au micro…), travail collaboratif entre toutes les fonctions de l’entreprise et non pas seulement au sein d’une branche de la DSI…
Quant aux leçons à en tirer pour la cybersécurité industrielle… il me semble que les mêmes principes de retour aux bases s’appliquent, avec cependant un contexte plus favorable à des approches pragmatiques, du fait des moyens limités et des contraintes fortes. Cette conclusion est une bonne introduction à un prochain article qui justement présentera des approches pragmatiques, s’appuyant sur les référentiels industriels : NIST, DHS, et ISA.
Tags: Authentification, Failles, ISO, Normes, Risques
Bonjour, je suis la personne qui n’a pas eu le micro Merci pour votre article.
http://news0ft.blogspot.com/