Atlantico, c'est qui? c'est quoi ?
Samedi 23 Août 2014 | Créer un compte | Connexion
Extra

(In)sécurité nationale : les entreprises, maillon faible de la cyberguerre mondiale

Les entreprises sous-traitantes, souvent moins protégées, sont devenues une cible de choix pour les hackers cherchant à pénétrer des agences nationales. Alors que les géants Apple et Facebook ont récemment été piratés, la question de la cybersécurité des entreprises devient cruciale.

Talon d'Achille

Publié le
(In)sécurité nationale : les entreprises, maillon faible de la cyberguerre mondiale

Alors que les géants Apple et Facebook ont récemment été piratés, la question de la cybersécurité des entreprises devient cruciale. Crédit Reuters

Atlantico : Les failles de sécurité des entreprises ont souvent permis à des hackers d’infiltrer des agences nationales (armée, ministères…) avec qui elles travaillaient en sous-traitance. Peut-on dire que les cyberattaques visant le secteur privé ont un impact direct sur la sécurité informatique des Etats ?

Michel Van Den Berghe : Absolument, il s’agit là d’une problématique bien connue des professionnels du secteur.

Washington avait justement réfléchi pendant un certain temps à la création d’un "deuxième Internet" pour sécuriser les réseaux d’opérateurs sous-traitants et leur épargner ainsi la vulnérabilité de l'Internet grand public. Les hackers sont des personnes tenaces et patientes et n’attaquent que très rarement de manière frontale (en piratant directement le site ciblé, ndlr), ces derniers préférant prendre le temps de repérer les éventuels points faibles. On peut citer à titre d’exemples les attaques contre le site du Pentagone qui ont été rendues possible grâce à une infiltration des systèmes de sécurité des compagnies affiliées au site, ces derniers étant bien moins élaborés que ceux de leur employeur. Dans un registre similaire, le piratage en 2011 de Lockheed Martin, fournisseur de l’armée américaine, avait offert à ses auteurs l’accès à des donnés ultra-confidentielles sur les chasseurs de l’US Air Force. Cela révèle un manque de compétences et de ressources sur la sécurisation des serveurs industriels, en particulier en France. C'est d'autant plus regrettable dans le sens ou ce secteur est doublement stratégique : on peut tout d’abord, comme on l’a vu, récupérer des donnés militaires en passant par des compagnies civiles, mais l’on peut aussi paralyser un pays en bloquant les systèmes d’informations ou en s’emparant, dans le pire des cas, du système de contrôle d’une centrale nucléaire.

On a tendance à penser que la cybercriminalité civile et la cybercriminalité militaire sont deux concepts bien séparés bien que dans les faits il n’en soit rien. Ces deux phénomènes s’imbriquent l’un dans l’autre, et les méthodes utilisées sont relativement, voire totalement, similaires, la seule différence notoire étant l’incapacité d’une entreprise à riposter comme un état lorsqu'elle est attaquée.

Quelles sont aujourd’hui les principales formes de cybercriminalité visant le secteur privé ?

La cybercriminalité de type bancaire est particulièrement répandue, notamment à travers les pratiques de "fishing" (fish étant l'équivalent du sens figuré de pigeon en français, ndlr) qui consiste à imiter les pages web d’entreprises pour récupérer les coordonnées bancaires des particuliers. Nous avons ainsi eu une récente illustration de cette pratique avec les affaires de fausses factures EDF. Cela permet aux "fisher" d’exploiter directement les comptes bancaires ou bien de revendre à prix fort les informations collectées, via des réseaux qui leur sont propres. Il s’agit là d’un vrai marché qui peut s’avérer extrêmement lucratif et qui favorise, le mot n'est pas trop fort, le développement de nouvelles mafias informatiques.

On peut aussi parler des attaques de malware (logiciels malveillants, ndlr) qui sont un sujet d’inquiétudes croissant. Cela peut aller du piratage de la messagerie vocale d’une entreprise, relativement anodin, au plantage d’un système de télécoms qui pourrait plonger un pays dans le brouillard pendant un certain temps. Ces attaques restent timides pour l'instant, mais l’on peut effectivement s’inquiéter, de par la faible protection actuelle, de l’émergence d’une cybercriminalité bien plus ambitieuse. On s’aperçoit qu’aujourd’hui les serveurs industriels des entreprises sont de plus en plus interconnectés pour des raisons pratiques alors qu’ils ont été pensés à l’origine pour fonctionner en système clos. Les systèmes de sécurité affiliés ne se sont pas réellement adaptés à cette évolution, ce qui fait de ces serveurs une cible de choix. Pour l’instant la crainte des représailles pénales tient encore, selon moi, les hackers en respect, bien qu’à terme le désir de briller au sein de leur communauté finisse par les pousser à des actions plus "retentissantes". La dissuasion judiciaire ne pourra pas fonctionner éternellement et il est donc important de réfléchir à des systèmes de sécurité plus performants.

Comment peut-on améliorer dans les faits ces systèmes de protection ?

En cessant tout d'abord d’empiler des logiciels divers et peu complémentaires qui les empêchent d’avoir une stratégie de protection globale. Les fabricants d’anti-virus peuvent affirmer à leurs clients que s’ils ont été attaqués c’est parce qu’ils ne disposaient pas de la toute dernière version protégeant de tel ou tel type de virus, mais cela ne résout pas les failles structurelles des systèmes. Il y a ainsi une sorte d’effet de mode qui pousse les acteurs de la cybersécurité à se focaliser trop souvent sur la dernière menace en oubliant de s’inquiéter des autres, plus anciennes mais tout aussi malveillantes. En vérité les entreprises doivent réfléchir de façon indépendante à leurs problèmes de cyberdéfense, tout comme le ferait un Etat : Israël et la Suisse, par exemple, ont développé chacun des stratégies qui leur sont propres et il n’y a aucune raison que ce ne soit pas le cas dans le privé, même à une échelle plus restreinte.  La sécurité doit être pensée de manière offensive, c’est-à-dire qu’il faut se mettre dans la peau de l’attaquant pour mieux réfléchir à ce qui doit être protégé et de quelle manière cela doit être protégé. Concrètement, cela peut passer par des tests (raid team) réalisés par des compagnies spécialisées qui permettent d’évaluer clairement les failles de tel ou tel système.  

Propos recueillis par Théophile Sourdille

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Michel Van Den Berghe

Michel Van Den Berghe est président d'Atheos, société spécialisée dans la cyberdéfense des entreprises. 

Voir la bio en entier

Je m'abonne
à partir de 4,90€