Twitter Facebook Google Plus Linkedin email Imprimer Pdf

|||

Les menaces sur le cyber-espace

Publié le 01 juin 2012 par Pierre Picard

Philippe Duluc

Directeur de l’activité sécurité Bull

Ancien élève de l’École Polytechnique et de l’ENSTA, Philippe Duluc a occupé différents postes au ministère de la Défense et a été conseiller pour les affaires scientifiques et techniques du Secrétaire général de la Défense nationale. Pendant huit ans, il a été directeur de la sécurité groupe de France Télécom Orange. Depuis 2011, il est Directeur de l’offre sécurité de Bull et Directeur de la sécurité Groupe de Bull. Il préside le groupe permanent « cybersécurité » de l’ACN (Alliance pour la Confiance Numérique).

Cybersécurité et cyberespace sont deux notions depuis toujours indissociables. Le cyberespace a connu ces dernières années un développement spectaculaire au travers de la convergence des réseaux dans l’internet, et grâce à la cryptologie asymétrique qui a permis de le sécuriser (certificats). Aujourd’hui, les profonds bouleversements du cyberespace ont des répercussions directes en matière de sécurité.

Les transformations du cyberespace

La convergence Internet. Sous l’effet conjugué des besoins, des usages et des coûts, tous les réseaux s’interconnectent désormais en un réseau IP unique. Le cloisonnement physique disparaissant, les possibilités de propagation des virus ou d’intrusion dans les systèmes d’information sont démultipliées. Désormais, les seules barrières sont logicielles avec les limitations et les risques que l’on connaît.

La consumérisation. Souvent à la demande de VIP, séduits par les smartphones agréables et performants, les terminaux grand public débordent sur le monde professionnel. Or ces appareils n’intègrent pas toujours nativement des exigences de sécurité telles que la gestion de flotte sécurisée ou la protection des données. Imposer de tels terminaux peut donc signifier déroger aux politiques de sécurité de l’entreprise.

La dépérimétrisation. BYOD (Bring Your Own Device), télétravail, agenda mêlant éléments personnels et professionnels… La frontière entre les sphères professionnelle et personnelle s’estompe.  Là encore, cela soulève des questions de sécurité : que peut faire l’entreprise en cas de comportement illicite ou d’entorse aux règles internes ? – ou d’ordre juridique. Que se passe-t-il lorsque la protection des données personnelles prend le pas sur celle du patrimoine de l’entreprise (voir les directives européennes sur les télécommunications) ?

L’externalisation. Au cœur du Cloud, la virtualisation, la consolidation et la mutualisation des plateformes de stockage et de traitement des données apportent des bénéfices significatifs.  Mais elles posent aussi la question de la localisation des données et de la résilience de l’architecture.

Quelles menaces sur le cyberespace ?

Avec le temps et les progrès technologiques, l’époque où le cyberespace était le terrain de jeu de pirates ludiques est révolue. Le crime organisé transnational s’y est installé, y développant des zones de non-droit, y dissimulant des sites web où s’échangent outils de piratage et failles de sécurité encore inconnues des éditeurs. Quelques grandes tendances structurent l’évolution actuelle de ce paysage opaque.

Une ampleur inédite. Ces dernières années, les menaces ont tout à la fois cru en vitesse, en dangerosité, en complexité et en taille. En janvier 2003, le ver Slammer s’est propagé à plus de 75 000 sites dans le monde entier en moins de 10 minutes. En 2007, un réseau d’attaque (botnet) de milliers de PC esclaves (zombies) a paralysé le système de messagerie du Parlement estonien durant 12 heures. En avril 2011, plus de 77 millions d’utilisateurs du réseau PlayStation de Sony ont été touchés par des vols de données personnelles et bancaires et le préjudice pour l’entreprise s’élèverait à plusieurs milliards de dollars.

Des motivations et des méthodes variées. Le terme cyberattaque recouvre une grande variété d’objectifs et de méthodes : vol massif de données personnelles motivées par l’appât du gain, dégradation ou saturation d’infrastructures pour des raisons idéologiques (hacktivisme) ou crapuleuse (chantage), vol ciblé d’informations sensibles à des fins stratégiques ou économiques…

Les APT, un nouveau type de menaces. Des attaques ciblées et subreptices de grande ampleur ont révélé l’apparition d’une nouvelle forme de menace : les APT (Advanced Persistent Threats). Les APT désignent des entités (un gouvernement ennemi, par exemple) qui ont la capacité et la motivation pour attaquer de façon répétée une cible particulière. On peut citer les affaires Titan Rain en 2003 (attaque coordonnée des systèmes d’information du gouvernement américain, supposée d’origine chinoise), Night Dragon en 2007 (qui visait les grandes firmes pétrolières), Shady Rat en 2011 (vaste cyberoffensive qui a touché durant plusieurs mois des entreprises et institutions au Canada) ou l’attaque dont a été victime le ministère des Finances français en amont du G20 en 2011.

Des techniques de plus en plus sophistiquées. À mesure que les entreprises et les institutions renforcent leurs dispositifs de sécurité et développent une culture de cyber-prudence, les attaques se sophistiquent. Parmi les tendances actuelles, on constate deux grandes nouveautés. La première est que des infrastructures physiques sont désormais visées, à l’image du ver Stuxnet, découvert en juin 2010, qui ciblait des automates industriels et plus particulièrement ceux des installations nucléaires iraniennes. La deuxième est que le cœur même de la sécurité d’Internet (la cryptologie asymétrique) peut désormais être atteint, comme en août 2010, lorsque des pirates ont pu se substituer à l’autorité de certification néerlandaise DigiNotar pour délivrer de faux certificats pour des domaines appartenant à la CIA, au MI6 ou encore au Mossad.

Le Cloud computing et la sécurité

C’est dans ce contexte que le Cloud computing est en train d’imposer Internet comme l’épine dorsale de toute informatique. Ouvert à tous et à tous les usages, le Cloud constitue forcément une cible de choix pour les pirates, d’autant qu’il n’existe pas de cadre réglementaire pour le Cloud, par essence déterritorialisé. La sécurité est donc un enjeu clé, à tel point que cette question est aujourd’hui perçue comme le principal frein à l’adoption du Cloud.

Par crainte de les voir divulguées ou altérées, un particulier peut hésiter à placer ses informations personnelles dans le Cloud, mais pour une entreprise, les questions sont d’une autre magnitude. Où se trouvent physiquement mes ressources ? Sont-elles protégées aussi efficacement que si j’en étais encore « propriétaire » ? Quel régime juridique régit mes données ? Mes ressources étant gérées par mon fournisseur, comment contrôler qu’elles correspondent bien à celles que je comptais utiliser ? Comment m’assurer qu’elles n’ont pas été modifiées pour un autre usage ? Puis-je les signer ou les certifier pour assurer qu’elles sont conformes à mes attentes ? Par ailleurs, comment garantir la confidentialité des données échangées sur le réseau, ou stockées sur les systèmes de mon fournisseur ? Comment vais-je m’identifier vis-à-vis des applications en mode Cloud ? Par un nom d’utilisateur et un mot de passe, comme auparavant ? Devrai-je le refaire à chaque fois ou disposerai-je d’un identifiant unique ? Enfin, l’infrastructure de mon fournisseur étant partagée entre de nombreux utilisateurs, n’est-elle pas, par nature, plus exposée aux cyberattaques ? Quel est le degré de protection mis en œuvre ?

Pour que le Cloud se développe, les fournisseurs de service doivent mettre progressivement à disposition de leurs clients des garanties de sécurité. Il en existe déjà de nombreuses qui répondent à certaines des questions précédentes :

-          certains prestataires de services établissent des plateformes en Europe ;

-          il est possible de certifier des ressources avec des signatures électroniques ;

-          il est possible de chiffrer des échanges et des données stockées ;

-          les identités peuvent se gérer, voire se fédérer à l’échelle de systèmes distribués ;

-          des solutions existent pour la sécurité réseaux ;

-          des obligations contractuelles et réglementaires encadrent les prestations.

Conclusion

Avec l’évolution actuelle des risques, le cyberespace est à une étape importante de son évolution.  Les APT suggèrent que les pirates pourraient avoir repris l’avantage alors qu’après la Seconde Guerre mondiale, les progrès de la cryptologie avaient redonné le dessus à la défense. Dans ce contexte, pour se protéger et tirer pleinement et sereinement parti des bénéfices du Cloud, il s’agit non seulement de s’appuyer sur un expert de la cybersécurité tel que Bull, et de mettre en œuvre les solutions techniques et organisationnelles adéquates, mais aussi d’élever le niveau général de sensibilisation des collaborateurs et utilisateurs aux cybermenaces. Plus que jamais, le niveau de sécurité demeure celui du maillon le plus faible, et les cyber-criminels tardent rarement à l’identifier. Or, de plus en plus souvent, ces faiblesses sont d’origine humaine. « La sécurité est l’affaire de tous » n’est pas qu’un simple slogan, c’est un postulat de base qui est au cœur de l’évolution vers le Cloud.


Plus d’information sur les solutions de sécurité de Bull

SFR et Bull obtiennent le soutien de l’Etat pour le déploiement d’une infrastructure de cloud computing à vocation française et européenne




Comments are closed.