Par Pericles

Dans le contexte très anxiogène des cybermenaces qui planent sur les entreprises, telle une épée de Damoclès, avec des attaques toujours plus massives et destructrices de valeur, et des réglementations nationales et internationales de plus en plus exigeantes (à raison), bon nombre de dirigeants s’interrogent sur les mesures à prendre.

Ce contexte doit néanmoins être bien précisé. Car ce qui frappe les professionnels du secteur, c’est la grande méconnaissance de la nature mème des enjeux qui se trament derrière chaque nouvelle attaque.

Un exemple illustre radicalement la réalité des cybermenaces à laquelle sont désormais confrontés les acteurs économiques1. L’été 2018 a vu se dérouler un des événement médiatique majeur du monde sportif avec la Coupe du monde de football. A cette occasion, la Russie aurait été la cible de près de 25 millions de cyberattaques en un mois d’après Vladimir Poutine2. 

Ce phénomène de grande ampleur s’explique d’abord par la nature même des acteurs de ces cyberattaques. Ces hackers font de ce rendez-vous planétaire un immense défi, dans l’esprit des challenges « Capture The Flag » (plus de 10 000 hackers à Las Vegas pour DEF CON 2018)3  qui réunissent régulièrement cette communauté.

C’est aussi la dimension économique gigantesque de l’événement (12 milliards d’euros pour Russia 2018)4 qui attire de multiples organisations criminelles pour perpétrer toutes sortes de trafics (paris sportifs illégaux, trafic de billets, contrefaçon d’articles, prostitution, drogues…5).

En cela le cyberespace représente un nouveau terrain de manœuvre pour toutes les organisations criminelles qui ont très bien compris l’excellent rapport coût/efficacité d’investir dans le financements de cyberattaques avec une probabilité d’enrichissement immense6 et de poursuites quasi nulles.

Sans compter les jeux invisibles, mais plus que probables, des états qui font du cyberespace le nouvel échiquier de leur puissance. 

Dans ce contexte donc, Monde économique s’est tourné vers des professionnels de la cybersécurité afin de mesurer les chances de survie de nos entreprises, car si ces cybermenaces sont réelles et permanentes, des réponses adaptées existent pour assurer une cybercompétitivité de qualité.

Celui que nous appellerons Jusk (c’est un pseudonyme) est expert au sein du Swiss cyber team. Depuis 2001 il passe son temps dans l’organisation et la conduite de pentests, ces tests d’intrusion qui visent à vérifier la sécurité d’un logiciel, d’un ordinateur ou d’un réseau informatique. C’est pour mieux comprendre et mieux sécuriser les systèmes en amont que le hacking éthique s’est développé depuis quelques années. Car pour bien se défendre il faut identifier et limiter ses faiblesses, alors rien de mieux que de savoir attaquer !

Qu’est-ce que le hacking éthique ?

Le hacking existe depuis les années 60. Il consiste à bricoler la technologie pour la comprendre et tenter de l’utiliser au-delà de l’usage prévu. Le hacking éthique est la transposition dans le monde numérique des entreprises d’une pratique ancestrale du monde militaire : s’attaquer soi même pour évaluer et corriger son système de défense en continue. Cela nécessite de réunir deux conditions : un cadre légal et des attaquants loyaux.

Dans le monde particulier du numérique, le hacking désigne d’abord cette disposition d’esprit très particulière qui consiste à toujours vouloir déconstruire une technologie pour découvrir son fonctionnement,  ses secrets, ses limites et tenter de trouver des usages détournés. Le plus souvent c’est un défi de l’humain face aux machines. Le hacking n’a pas de morale en tant que pratique. En revanche ceux qui la mette en œuvre, eux, peuvent avoir des motivations éthiques, ou pas ! Cela reste les mêmes techniques et compétences, mais mises au service de causes différentes. Ce qui nous permet de travailler pour les entreprises c’est le respect de la confidentialité et de l’intégrité de celles-ci. Ce qui est néanmoins commun à tous c’est une volonté viscérale de ne jamais rien céder aux machines… ni à ceux qui les emploient !

Quelles sont les méthodes employées ?

Un petit tour sur le web peut rapidement vous convaincre de l’étendue des méthodes et des moyens existants. Et le plus souvent pour des coûts dérisoires. Notre rôle dans le monde professionnel est de dimensionner, pour le client, les principales menaces qui pèsent sur son activité, au regard de celle-ci justement, et de l’état de l’art des menaces existantes. Il faut commencer par mesurer la résistance face à des attaques peu élaborées, de pirates novices et opportunistes par exemple, pour ensuite monter en gamme jusqu’aux attaques les plus complexes, relevant de groupes criminels organisés et entraînés.

Nous utilisons donc tout l’arsenal technique et social disponible pour tester le système d’information du client, identifier les vulnérabilités présentes et préconiser les ajustements nécessaires.

Comment se déroule une mission ?

Toute mission débute par une reconnaissance et une analyse du système ainsi que de son environnement. A ce stade des fragilités peuvent déjà être constatées, comme l’accès à des informations qui permettraient à un attaquant de structurer une attaque, technologique ou informationnelle.  

C’est ensuite en écrivant des scénarios offensifs, conjointement avec les dirigeants, que se poursuit une mission. Que ce soit pour tester les espaces web, les accès wifi, les infrastructures externes ou les réseaux internes, nous préparons une mission exactement comme le ferait un agresseur. C’est aujourd’hui sur les systèmes industriels (OT) comme sur les infrastructures informatiques (IT) que se concentrent nos efforts, car la menace de voir un attaquant prendre la main sur ces systèmes est réelle.

Chaque mission révèle ainsi ses propres spécificités, en fonction du secteur d’activités, des technologies employées, de leur environnement, de l’organisation, etc. 

Par exemple dans un système d’e-reservation (hôtellerie, tourisme), les failles qui menacent la protection des données personnelles (identités, dates de séjours des clients d’un grand hôtels, moyens de paiement, etc.) sont critiques et doivent être traités en priorité. 

De même, détecter une faille sur un OT qui mettrait en péril la vie des opérateurs ou d’usagers en cas de dysfonctionnement exige une réponse immédiate, là ou restaurer l’intégrité du wifi peut en général attendre quelques heures ou journées !

Vous parlez d’arsenal technique et social, de quoi s’agit-il ?

De nombreux outils techniques existent et sont librement disponibles sur internet. Qu’il s’agisse de logiciels, de scripts, d’outils d’interception de radios-fréquences, de logiciels espion comme des enregistreurs de frappe, ou même de portes dérobées et autres RAT (Remote Access Tools). Mais la plupart d’entre nous bidouillent ce qui existe et créaient des outils personnalisés voire dédiés pour leurs missions. Certains échanges dans la communauté du hacking permettent également de connaître des vulnérabilités nouvelles ou même méconnues du grand public ce qui nous permet de préparer nos client très tôt face à des attaques à venir.

Mais dans beaucoup des cas, les techniques d’ingénierie sociale sont celles qui présentent le meilleur rendement. Car les principales failles sont humaines. Le hacker a alors besoin de quelqu’un qui clique sur un lien, ouvre un document, flash un QR-Code, insère un périphérique, se connecte à un wifi ou donne simplement ses identifiants. Le job est souvent de chercher autant « quoi » que « qui » !

Ces méthodes sont-elles légales ?

C’est le cadre de notre action qui doit l’être. L’autorisation de pentest permet au client de valider les différentes actions qui vont être conduites, et donc la méthode, les moyens employés, les buts recherchés, les plages horaires, etc. Cette formalisation permet de conduire les test en toute sécurité et dans un cadre légale. Sans ces conditions juridiques, rien ne nous distinguerait des criminels.

Vos missions sont-elles toujours fructueuses ?

Toujours. Si elle ne le sont pas immédiatement elle le sont à un moment donné, lors par exemple de la publication d’un correctif qui n’aurait pas encore été installé. Comme nous l’avons dis précédemment, cela tient d’abord à la nature même du monde numérique. Aujourd’hui tout est numérique, et les développeurs qui sont à l’origine de nos équipements et de nos solutions sont peu sensibilisés à la sécurité. Cela se traduit aussi dans les architectures des systèmes, dans les solutions logicielles, et même dans les composants.

C’est ensuite car la culture de l’industrie à fait place à la culture de l’informatique. Personne ne comprendrait qu’un réfrigérateur ou une voiture tombe régulièrement en panne, mais nous nous sommes tous fatalement habitués aux « bugs » de nos équipements numériques !

Ce n’est que récemment que les cursus de formation ont intégrés la sécurisation dans les acquisitions fondamentales. Et les évolutions réglementaires, comme le RGPD notamment, insistent aujourd’hui sur la nécessité de concevoir les futurs systèmes en intégrant l’exigence de sécurité.

Quel est aujourd’hui la réalité des cybermenaces sur les entreprises ?

Les statistiques annuelles produites depuis une dizaine d’années font ressortir un constat sans appel. D’attaques ciblées, à l’image d’un braquage de banque, aux attaques massives automatisées qui infectent des millions d’utilisateurs, les cybermenaces sont permanentes. Et l’actualité mondiale égrène la litanie des victimes et des dommages causés. Dès que l’on utilise un équipement numérique et connecté, la menace apparaît. Exactement, par analogie, comme lorsque l’on monte sur son deux roues ou dans sa voiture. Et pourtant nous le faisons quotidiennement. 

De la même manière que l’éducation et la technologie ont permit de réduire les risques et le nombre de victimes sur la route, c’est l’anticipation qui doit aujourd’hui gouverner la performance des systèmes d’information.

Alors quelles sont les mesures à prendre ?

N’attendez pas l’incendie pour installer un détecteur ! Tout ce qui peut être fait en anticipation doit l’être.

Deux précautions s’imposent.

La première relève de la compétence des intervenants extérieurs. Dans le secteur de la cybersécurité, la compétence reste rare. Il convient donc d’être prudent. Ma pratique ancienne me permet d’affirmer que les offres trop péremptoires ou trop stéréotypés sont à fuir ! Nous avons tous reçus en 2018 des propositions pour être conforme au RGPD pour quelques centaines de francs par an, cela laisse rêveur. En l’espèce, la conformité n’est jamais acquise, mais toujours à démontrer ! Le sur mesure reste la règle.

La seconde relève de la confiance. A très juste titre, les entreprises rechignent à faire rentrer « le loup dans la bergerie ». Il convient donc de s’assurer de la bonne résistance et de la longueur de la « laisse ». Je ne peux que constater que depuis que j’exerce, mes seuls prescripteurs sont mes clients. C’est un cercle vertueux de confiance, et de contrôle permanent. C’est l’esprit de l’open source, chacun détient une capacité à renforcer la sécurité de l’autre, en contrôlant, chacun à son niveau, ses pratiques et ses usages. Car, comme disent les militaires, la confiance n’exclut pas le contrôle.

Une fois ces deux précautions posées, les mesures à prendre repose sur trois dimensions complémentaires qui permettent d’optimiser l’efficacité et la performance du système d’information de l’entreprise.

La première réside dans la capacité à superviser l’ensemble du système d’information. Une approche globale « usagers/équipements/flux (UEF) » adossée à un centre de surveillance et de contrôle (SOC/CIRT/blue team) permet de gérer le triptyque UEF en temps réel.

La seconde réside dans la capacité à évaluer la confidentialité, la disponibilité et l’intégrité (CDI) du système d’information, au sein d’un dispositif d’attaque multi sectoriel (red team) concernant tout les domaines d’activités (réseaux, wifi, web, mails, téléphonie, serveurs, crypto, steganographie / cannaux cachés, forensic…). 

La troisième réside dans la capacité à former l’ensemble des acteurs humains qui utilisent le système d’information au sein d’un parcours de formation et d’exercice (yellow/purple team) afin de disséminer les meilleures pratiques et de doter chacun des meilleurs usages en la matière.

Le Swiss cyber team peut-il aider les entreprises ?

En somme, un vrai travail de professionnels !

C’est son travail au quotidien. Il propose une démarche qui pose un diagnostic, établi des préconisations et assure un suivi régulier. Le Swiss cyber team dispose d’une équipe couvrant l’ensemble des champs d’intervention de l’approche décrite, technique, organisationnelle et juridique, aux compétences certifiées dans le cadre de la norme internationale ISO 27000. 

Mais en tant que prestataire de sécurité de premier niveau, il optimise sa sécurité et celle de ses partenaires en cultivant une forte discrétion professionnelle. Ainsi, l’ensemble des parties prenantes s’engagent à un strict respect de la confidentialité de la relation avec le Swiss cyber team et les mises en relation entre les parties prenantes se font principalement par le biais du parrainage et de la cooptation.

*****************

Swiss cyber team

Association professionnelle de la cybersécurité, le Swiss cyber team réunis des experts nationaux et européens de la performance des systèmes d’information et de la compétitivité des entreprises dans le cyberespace.