Protéger l’entreprise
Vous me direz que le titre de ce billet est absurde, car toutes les entreprises se protègent. En fait, ce n’est pas si évident que cela, l’actualité se charge de nous le rappeler.
Une conjonction d’éléments rappelle cette nécessité. Il y a quelque temps, G. Poupard de l’ANSSI le répétait dans un article et un peu après, le CLUSIF sortait un document fort intéressant sur la protection des SCADA. Arrêtons-nous quelques instants sur ce document.
Il déclare s’adresser en premier lieu aux RSSI (cf. p 5). La question qui vient alors légitimement à l’esprit est la suivante : mais que font donc les DSI ? Les directeurs des systèmes d’information de l’entreprise devraient quand même se saisir du sujet des SCADA (plus largement de l’informatique de production) s’ils ne veulent pas se voir reléguer à des tâches subalternes. Mais ceci fera l’objet d’un prochain billet.
La figure de la page 11 montre que la prise en considération de ce sujet n’a débuté qu’aux alentours de 2008, date des premières publications recensées. C’est un peu tard, même s’il y avait des raisons à cela (exposées dans mon livre).
Les 5 phases présentées en p 17 sont intéressantes :
- connaître le milieu ;
- sensibiliser le comex ;
- élaborer la politique de sécurité du SI industriel ;
- décliner cette politique au niveau opérationnel ;
-
maintenir sous contrôle les cyber risques.
Cela va sans dire, mais cela va aussi mieux en le disant.
Tout ceci pour dire que c’est un document qui se lit bien (et vite pour ceux qui sont pressés), de plus fort pertinent au vu de la récente actualité visant les SCADA et qui s’appelle Dragonfly. Vous pouvez vous renseigner sur ce sujet en lisant cet article et cet autre encore. D’après ce qui s’écrit, la puissance informatique des SCADA aurait été utilisée pour stocker un backdoor dont le but était de récolter des informations confidentielles. Un accès par rebond en ciblant les SCADA. Bel exploit.
Ceci illustre bien l’utilité de la protection des informatiques de l’entreprise et donc l’intérêt de ne pas laisser les informatiques devenir orphelines. Le chantier est encore énorme. Il est plus que temps de s’y mettre.
Oui, et la protection passe aussi par la définition d’une stratégie d’entreprise. On le voit avec Nokia qui, faute d’avoir défini une stratégie a payé en vain une rançon : http://www.01net.com/actualites/symbian-pris-en-otage-nokia-a-paye-des-millions-d-euros-622136.html
Et pour rebondir sur ce sujet, les attaques par déni de service continuent de viser les entreprises http://www.silicon.fr/les-entreprises-face-aux-attaques-ddos-95490.html?pid=1801#gallery-nme et, paradoxalement, leur prise en compte par les entreprises est faible http://www.silicon.fr/ddos-entreprises-francaises-attaquees-insouciantes-95491.html puisque seulement 78% font du DoS une préoccupation majeure.
Quant aux SCADA, ils continuent d’être attaqués, parfois par rebond (cf. http://www.silicon.fr/thomas-houdy-lexsi-apres-dragonfly-reagir-securite-scada-95508.html) avec des modes opératoires qui ne sont pas d’une sophistication extrême : « Par ailleurs, parmi les méthodes utilisées pour s’introduire sur ces systèmes, il faut relever que les assaillants ont identifié et ciblé des fournisseurs dont le métier n’est pas la sécurité et dont les sites ne sont pas bien protégés en espérant que les industriels visés téléchargeraient les mises à jour des logiciels utilisés par les systèmes de contrôle et commande. Ces dernières étant évidemment infectées. »
Une simple attaque par rebond passe maintenant pour le comble de la sophistication. C’est dire s’il y a grande pitié dans le royaume de l’informatique de production…
La sécurité des informatiques dites (fort justement) orphelines passera-t-elle par la contrainte, comme ce fut le cas pour les ceintures de sécurité des voitures http://pro.01net.com/editorial/6233… ?
Sujet d’importance effectivement. Pour s’en convaincre, lire l’article http://pro.01net.com/editorial/6239… où l’on apprend que :
« La cyberattaque a clairement eu un impact sur la performance d’eBay au deuxième trimestre », a reconnu le directeur général, John Donahoe, lors d’une téléconférence explicative avec des analystes.
et aussi :
« certains de ces acheteurs ne sont pas encore revenus à leurs niveaux d’activité d’avant. »