LES SYNTHÈSES SOLUCOM. n o 47. Observatoire de la transformation des entreprises. Cybercriminalité : comment agir dès aujourd hui

Transcription

1 LES SYNTHÈSES SOLUCOM n o 47 Observatoire de la transformation des entreprises Cybercriminalité : comment agir dès aujourd hui

2 Cybercriminalité Gérôme Billois est senior manager chez Solucom. Diplômé de l INSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans l évaluation et la mise en place de leur gouvernance sécurité et projets de sécurisation de l information. Il accompagne nos clients dans la préparation et la gestion de crises réelles. gerome.billois@solucom.fr Gérôme Billois Marion Couturier est manager chez Solucom. Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et d exercices de gestion de crise. Elle dispose également d une large expertise sur les volets communication et sensibilisation. marion.couturier@solucom.fr Marion Couturier Chadi Hantouche est manager chez Solucom. Diplômé de l ENSIMAG, il conseille nos clients dans la transformation de leurs modèles de sécurité, leurs stratégies de sécurité en mobilité et la mise en oeuvre de mécanismes de sécurité. chadi.hantouche@solucom.fr Chadi Hantouche 2 Les Synthèses Solucom - Octobre 2013

3 ÉDITO La cybercriminalité au cœur de l entreprise numérique Avec le développement du numérique dans les entreprises et les administrations, les risques liés à la cybercriminalité augmentent à grande vitesse. Et ce n est pas seulement de la science-fiction! Dorénavant, le sujet est présent quotidiennement dans l actualité : atteinte à la protection des données personnelles, dénis de service, vols de données les angles d attaques ne manquent pas pour des cybercriminels qui usent de moyens de plus en plus sophistiqués. Au-delà de ce que l on peut lire dans la presse, nous l avons nous-même constaté chez plusieurs clients qui ont été les cibles d attaques complexes et à très fort impact. La bonne nouvelle, c est que la prise de conscience émerge à se faire. Les états s emparent du sujet, augmentent leurs effectifs dans ce domaine et imposent des pratiques plus strictes dans la gestion des infrastructures vitales. Les Directions générales des entreprises s interrogent et demandent des réponses aux Responsables des risques et de la sécurité des SI. Mais ces réponses ne sont pas si simples : impossible en effet de tout protéger et de garantir une défense impénétrable contre les attaques. Il s agit donc plutôt de construire un plan d ensemble combinant gestion de crise efficace, polices d assurance, organisation et mesures techniques. Un plan raisonné, orienté vers une protection ciblée des actifs sensibles et vers un entraînement plus poussé à la gestion de crise et à la communication associée. En effet, en cas d incident, vous serez jugé autant sur votre capacité à rétablir le service ou à limiter le vol de données que sur la manière dont vous gérerez votre communication vers vos clients et vos actionnaires. Bonne lecture à tous! Laurent Bellefin, directeur associé du cabinet Solucom directeur de la publication Octobre Les Synthèses Solucom 3

4 Cybercriminalité La menace explose et s organise La cybercriminalité connaît une croissance démesurée. Elle évolue à un rythme effréné, suivant une dynamique similaire à celle de l utilisation des systèmes d information au sein de la société. Cette criminalité revêt de multiples formes et comporte de nombreuses dimensions que les grandes entreprises doivent comprendre et considérer en fonction de leurs activités. Des motivations très variées Même s il est parfois difficile d établir une limite claire entre les différentes motivations des cybercriminels, nous pouvons en distinguer 4 majeures : L idéologie vise à défendre une conviction (par exemple politique ou religieuse) à travers des attaques dont le but est d interrompre des services à diffuser des messages partisans, ou à divulguer les données d une entreprise pour nuire à son image. Les gains financiers directs : il s agit par exemple du vol de données bancaires (en particulier des numéros de cartes), de données personnelles, mais aussi de données critiques de l entreprise comme les secrets industriels ou les informations concernant sa stratégie. Elles seront revendues par la suite ou utilisées pour réaliser des fraudes. La déstabilisation entre États ou le cyberterrorisme visent à détruire des systèmes ou à voler des données stratégiques afin de nuire au bon fonctionnement des services critiques ou vitaux des États. Par ailleurs, l obtention de capacités d attaques est une motivation qui se développe. Elle consiste à voler les secrets des mécanismes de sécurité (mots de passe, certificats, failles de sécurité, etc.) ou à attaquer les SI des fournisseurs (infogérants, opérateurs de télécom, fournisseurs de solutions de sécurité) de sociétés qui seront visées ultérieurement. Ces éléments sont utilisés plus tard pour lancer la véritable attaque. Peu importe la motivation, les cybercriminels ne se fixent plus aucune limite dans la réalisation de leurs desseins. De nos jours, ces attaques peuvent toucher n importe quelle entreprise, quel que soit son secteur d activité, comme l a récemment montré l actualité. De nouveaux scénarios d attaques à prendre en compte Les scénarios d attaques les plus classiques sont souvent connus et maîtrisés par les grandes entreprises. Il s agit par exemple de l ingénierie sociale par messagerie (phishing) ou téléphone, les dénis de service et les attaques sur les sites web. Les motivations des cyberattaquants et quelques exemples d états ou entreprises qui ont été ciblés 4 Les Synthèses Solucom - Octobre 2013

5 Mais de nouvelles formes de cyberattaques apparaissent tous les jours et il est nécessaire de se préparer à lutter contre elles. Les attaques ciblées avec des s piégés se développent. Également connue sous la dénomination spear phishing, ce type d attaque prend la forme d un message électronique qui semble émaner d une personne ou d une entreprise réputée et de confiance. Mais en réalité, il s agit d un message piégé qui permet de prendre le contrôle de l ordinateur de la personne ciblée en contournant les mécanismes de sécurité présents à la fois sur la messagerie et sur le poste de travail. Ces attaques sont actuellement à l origine de la majorité des incidents graves. Des cybercriminels ont par exemple tenté de détourner des fonds des entreprises Quick et Scor en usurpant l identité des PDG auprès du service comptabilité. Heureusement, les versements frauduleux n ont pas été réalisés, mais ce uniquement grâce à la vigilance des services comptables. Le spear phishing aurait également été utilisé avec succès contre des structures comme le ministère de l économie et des finances et a conduit à une intrusion sur son réseau. Un autre type d attaque est en vogue, le waterholing. Ce terme vient d une analogie avec les points d eau où les prédateurs attendent patiemment des proies venues boire. Il consiste à piéger un site web particulier, connu pour être visité fréquemment par les personnes ciblées. L attaquant réalise une intrusion discrète lui permettant d ajouter un code malicieux sur le site. En visitant ce site, habituellement de confiance, la personne verra son ordinateur compromis malgré les protections en place. À titre d exemple, des pirates sont parvenus à compromettre le site de la chaîne de télévision américaine NBC en diffusant auprès des visiteurs un cheval de Troie bancaire, Citadel. Ce programme visait à collecter des données bancaires auprès des internautes dont l ordinateur avait été compromis. Un autre cas, encore plus ciblé, concerne un site dédié aux personnels et sous-traitants du ministère de l énergie aux USA ayant travaillé dans le secteur du nucléaire. Les attaques destructrices sont réellement apparues en Elles visent à rendre inopérante une partie du système d information en détruisant logiquement les postes de travail et les serveurs. Ce scénario commence souvent par une intrusion silencieuse qui permet de prendre le contrôle des éléments centraux du SI et ainsi de pouvoir déployer rapidement sur l ensemble des postes de travail un code malicieux qui détruira les données présentes sur le disque dur. La Corée du Sud a connu des vagues successives d attaques destructrices visant des grandes banques et des chaînes de média. En utilisant un malware spécifique capable de se multiplier et en détournant les systèmes de télédistribution, les attaquants ont pu détruire logiquement plus de postes de travail. Les grandes entreprises doivent enfin être attentives aux attaques de tiers et / ou de partenaires métiers. Dans ce cas, les attaquants visent un fournisseur ou un partenaire clé plus facile à attaquer que la cible finale. Face à ces attaques, les sociétés visées sont souvent dépourvues de moyens de réponse rapides et efficaces. Par ailleurs, les problèmes de responsabilités et d engagements contractuels complexifient la gestion de crise. RSA a ainsi subi en 2011 une attaque visant à récupérer les informations concernant leur système d authentification forte nommé SecurID, pour ensuite attaquer les systèmes du constructeur américain Lockheed Martin. Enfin, il est important de prêter attention aux attaques qui visent vos clients sans pour autant attaquer vos SI. Des cas d usurpations d identités croisées sont de plus en plus courants. Par exemple, les attaquants utilisent l image d un service public pour voler les coordonnées bancaires. Une difficulté à évaluer les impacts de ces attaques Il est aujourd hui difficile d estimer de manière fiable les pertes engendrées par la cybercriminalité. De très nombreux chiffres circulent, allant jusqu à comparer cette forme de criminalité avec le trafic de drogue en termes de gains. La raison de ce flou est simple : les entreprises ne communiquent pas sur les incidents qu elles rencontrent. La plupart du temps, elles ne réalisent pas non plus d analyse post-mortem pour évaluer les pertes directes (arrêt du SI, jours / hommes perdus, etc.) comme les pertes indirectes (contrats perdus, propriété intellectuelle dérobée, etc.). Cependant, nos observations sur le terrain montrent que des incidents cybercriminels importants entraînent des coûts directs liés à la gestion de crise et de remédiation dont le montant varie généralement de 5 à 30 M par évènement. «Les coûts directs liés à la gestion de crise varient généralement de 5 à 30 M par évènement» Octobre Les Synthèses Solucom 5

6 Cybercriminalité Les États contre-attaquent Face aux nouvelles menaces de la cybercriminalité, les États réagissent pour protéger les citoyens et les systèmes cruciaux pour leurs activités. Devant cet enjeu militaire et économique récent, des actions ont été lancées partout dans le monde. Un mouvement général qui, malgré la crise et les réductions de budget, trahit l importance accordée au sujet : la cyberdéfense tout comme la cybersécurité sont aujourd hui devenues des priorités politiques. Pour les entreprises, ces démarches sont autant des opportunités que des contraintes. Protéger les entreprises en cas d atteinte à leur SI En France, de nombreuses lois ont progressivement intégré la composante sécurité de l information. Parmi les plus marquantes, nous pouvons citer : La loi Godfrain qui sanctionne les intrusions dans les systèmes informatiques ; Trois axes de réglementation La loi sur le secret des affaires : 2012 a vu l adoption en première lecture d un texte qui n est pas encore allé plus loin dans le processus législatif. Inspiré du Cohen Act des États-Unis mais aussi d autres textes européens, cette loi définit la notion «d informations protégées relevant du secret des affaires d une entreprise» et introduit le délit de divulgation de ces informations. Jusqu ici, en cas de fuite, les responsabilités pouvaient être recherchées pour vol, abus de confiance ou encore violation de propriété intellectuelle. Il est difficile de faire reconnaître des délits «virtuels» touchant des données immatérielles non reconnues par le code pénal. Les peines prévues dans ce nouveau texte sont largement plus dissuasives : 3 ans de prison et d amendes. Dans ce nouveau cadre, les entreprises auront intérêt à identifier les données concernées, les marquer et mettre en place les mesures de sécurité ad hoc pour assurer la recevabilité d une plainte devant un tribunal. Néanmoins, ce mouvement d accompagnement aux entreprises reste en retrait par rapport à d autres textes de loi, qui leur imposent de nombreuses exigences en matière de protection des données. Protéger les données à caractère personnel et la vie privée En France, la loi Informatique et Libertés de 1978 a été modifiée en 2004, renforçant les pouvoirs de la CNIL et les obligations d information. Le projet de règlement européen sur la protection des données à caractère personnel prévu pour amènera de nombreuses nouveautés pour renforcer la protection de la vie privée numérique. Tout d abord, il allègera les formalités administratives en passant d un régime déclaratif à l obligation de nommer un délégué à la protection des données. Cette mesure s accompagnera d un alourdissement des sanctions : jusqu à 1 M d amende ou 2% du CA. Elles prendront donc une dimension autre que symbolique pour les géants du web comme Google ou Amazon Enfin, l obligation de notifier toute violation d un traitement de données à caractère personnel sera élargie à toutes les entreprises. Le Paquet Telecoms impose déjà depuis 2011 aux opérateurs de télécommunications de prévenir les autorités, puis si besoin les personnes concernées par une fuite de données à caractère personnel. Demain, ce sont toutes les entreprises qui seront concernées, quel que soit leur secteur. Trois axes de règlementation 6 Les Synthèses Solucom - Octobre 2013

7 Protéger les services essentiels de l État En cours d adoption, la loi de programmation militaire imposera la notification des atteintes à la sécurité de leur SI aux Opérateurs d i m p o r t a n c e v i t a l e ( O I V ), les entreprises et organismes névralgiques du pays dans les différents secteurs (santé, énergie et transport notamment). Elle donne à l ANSSI des responsabilités associées : il s agit ainsi d imposer des mesures de protection, de détection et traitement des incidents touchant les systèmes sensibles. De nombreuses entreprises publiques et privées sont concernées sur leur périmètre d importance vitale et devront mettre en place les mesures définies par l ANSSI sous peine de sanctions pénales. Le champ d action défensif de l ANSSI sera également renforcé, lui permettant «d accéder à un serveur informatique à l origine d une attaque afin d en neutraliser les effets». Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1,2 et 3 du code pénal qui répriment des actions de ce type. En parallèle, l Europe propose une directive sur la sécurité des réseaux et de l information qui va dans le même sens que cette loi en élargissant le dispositif à une coopération européenne. Des textes à la pratique : ressources humaines et matérielles se voient renforcées Afin de franchir une nouvelle étape dans sa capacité de protection, l État français lance des actions sur d autres axes. Le premier est celui des ressources humaines. Il s agit de développer les compétences dans ce domaine et de former des experts à même de répondre à ces nouvelles situations. Si le Ministère de la Défense va voir ses effectifs diminuer de plus de emplois (-12,5%) d ici 2019, certaines entités vont au contraire être renforcées. Ainsi, l entité «Maîtrise de l information» de la DGA (DGA-MI) va recruter 200 personnes d ici à 2017 (+17%) et l ANSSI encore près de 140 personnes d ici 2015 (+39%). Cette dernière devrait compter près de 500 personnes 6 ans après sa création. Au-delà de spécialistes, il est nécessaire de faire de la sécurité de l information un incontournable de tout cursus de formation informatique afin de développer les compétences, mais aussi l appétence, des informaticiens de demain sur ces sujets. En outre, la volonté de constitution d une réserve de spécialistes de la cyberdéfense est affichée. Le second axe veut favoriser l investissement dans des produits de sécurité maîtrisés ce qui, complété par un renforcement des politiques d achats, devrait permettre à l État d avoir toute confiance en ses fournisseurs. Les crédits consacrés aux études amont sont ainsi en train d être triplés, passant de 10 à 30 M par an. Le troisième et dernier axe s attache aux comportements humains. Il s agit de sensibiliser les employés des entreprises, pour prévenir au maximum les incidents, mais aussi plus largement tous les utilisateurs d internet qui peuvent être ciblés par la cybercriminalité au travers de phishing, waterholing, etc. Octobre Les Synthèses Solucom 7

8 Cybercriminalité Évaluer votre attractivité pour organiser efficacement votre réponse Les États ne pourront pas résoudre tous les problèmes liés à la cybercriminalité. C est la raison pour laquelle il est indispensable que les entreprises se dotent de moyens pour agir contre ce phénomène. Ces mesures ne pourront être efficaces sans la mise en place de plans d actions coordonnés et soigneusement réfléchis. Et ces plans doivent être adaptés aux enjeux métiers de chaque entreprise pour être plus pertinents et efficaces. Identifier ce qui pourrait motiver les cybercriminels Première étape d une démarche de lutte contre la cybercriminalité, l évaluation de l attractivité consiste à évaluer quel serait l intérêt pour un cybercriminel d attaquer l entreprise. Pour cela, il est nécessaire d évaluer à la fois les menaces qui peuvent peser sur l entreprise et ce que les attaquants chercheraient à obtenir. Le secteur d activité et le positionnement sur le marché sont des éléments déterminants. À titre d exemple, le secteur de la finance reste une cible privilégiée pour les vols de données clients ou les fraudes. Ces attaques sont plutôt réalisées par des cybercriminels opportunistes qui visent les entreprises les moins bien protégées. Le secteur de l industrie est, lui, visé majoritairement pour ses données stratégiques et la propriété intellectuelle. Les attaquants auront la volonté de prendre le contrôle du système d information et de s y installer dans la durée pour voler les données stratégiques au fil de l eau. a f i n d e m i e u x c i b l e r les réponses à apporter Suite à cette analyse de la menace, il est nécessaire de procéder à une identification rapide des actifs clés de l entreprise. Cette action, menée avec les métiers, permettra d identifier les périmètres géographiques et techniques potentiellement les plus ciblés. Loin de viser une analyse exhaustive, il s agit à ce niveau d identifier les 10 ou 15 périmètres les plus sensibles. Il est en effet illusoire de tout protéger. Habituellement, les systèmes de vente en ligne, les centres de R&D, les populations COMEX sont des périmètres qui ressortent des analyses. La cybercriminalité touche tous les secteurs d activité Au-delà de données internes, les relations entretenues avec certains partenaires et / ou clients peuvent augmenter l attractivité de l entreprise aux yeux d attaquants. C est particulièrement vrai pour les grands fournisseurs informatiques qui détiennent de très nombreuses données et des accès multiples aux SI de leurs clients. Les impacts tels que les pertes financières et les pertes de savoir-faire ou avantage concurrentiel seront bien entendu au cœur de la réflexion. Mais les problématiques liées à l image de l entreprise vis-à-vis de son écosystème et / ou de ses clients sont aussi à prendre en compte. Cette évaluation doit s inscrire dans une revue régulière des risques avec les métiers. En effet, les périmètres de risques peuvent très largement changer : acquisitions, lancement de projets innovants, communication externe sur de nouveaux projets, etc. Tout peut être l occasion pour les cybercriminels de lancer une campagne d attaques. L évaluation doit donc être inscrite dans la démarche de gestion des risques globale. Une fois cette analyse effectuée, il faut choisir les meilleurs moyens de réponse, qu ils soient organisationnels ou techniques. Répartition des incidents de cybercriminalité par secteur d activité 8 Les Synthèses Solucom - Octobre 2013

9 Une solution émergente : la cyberassurance Les assurances dédiées à la couverture des risques liés à la cybercriminalité (communément appelées cyberassurances) sont une solution permettant de réduire les impacts sur deux axes. Le premier correspond au recouvrement des coûts lié à une attaque cybercriminelle, tandis que le second vise à diminuer l impact de l incident par un apport d expertise. Cela permet de gagner en réactivité et en maîtrise grâce à des spécialistes financés ou mobilisés par l assureur. Aujourd hui, ces assurances peuvent apparaître comme une solution de protection miracle à l évolution de la cybercriminalité et comme un outil pour répondre à l évolution de la règlementation sur la notification en cas de fuite de données à caractère personnel. Ces futures obligations font augmenter les coûts de gestion des incidents mais aussi la probabilité de recours des clients auprès de l entreprise... Choisir une assurance en fonction de votre exposition Si elle ne peut empêcher les incidents, la cyberassurance est une des composantes à étudier et intégrer le cas échéant à la réponse face à la cybercriminalité. Elle n est cependant pas une solution adaptée à tous les contextes. Frais couverts par les cyberassurances Elle doit être considérée en particulier si l entreprise est dans l un des cas suivants : Les attaques potentielles ont des conséquences mesurables et donc remboursables (par exemple la perte de chiffre d affaires sur un site de e-commerce) ; L entreprise dispose d un SI fortement exposé sur internet où elle gère de nombreuses données personnelles. Ces deux facteurs augmentent la probabilité d une attaque et donc l intérêt d une assurance ; Elle dispose d un manque d expertise sur le sujet de la cybercriminalité et souhaite pouvoir disposer d une capacité de réaction rapide. Elle s intéressera alors aux offres packagées des cyberassureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juridique, communication, gestion de crise, forensics, etc.). Bien souscrire pour bien vous protéger... Le processus de souscription constitue le pilier fondateur d un transfert de risques réussi. En premier lieu, le client doit confronter les risques à couvrir avec ceux déjà couverts par Les chiffres clés de la cyberassurance Capacité du marché (montant maximum de couverture) : +/- 20 M par assureur, possibilité d aller jusqu à 100 à 150 M en contrat multi-assureurs. Prime : 1 à 5% du montant annuel garanti; Franchise : de 200 K à plus de 1 M pour les grands comptes (à partir de 5 K pour les PME). les assurances déjà souscrites. Pour ce faire, une analyse de risques et un bilan assurantiel impliquant toutes les parties de l entreprise sont nécessaires. Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes. Il sera jugé sur son expertise cyber, sa capacité à offrir une couverture multi-assureurs et les modalités d accompagnement au cours de la vie du contrat. Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité du client. Le courtier identifie ensuite, grâce à sa connaissance poussée du marché, les assureurs les plus à même de répondre au besoin. Il sera alors temps d entamer les négociations sur les critères classiques des assurances : montant de couverture, prime et franchise. Une réunion de marché permettra aussi aux assureurs de comprendre le risque pris en échangeant sur les mesures de sécurité en place. Une fois le contrat en place, il faudra informer régulièrement l assureur et le courtier des évolutions du périmètre et mettre en place les processus de déclaration et d utilisation des services prévus. Une revue régulière permettra également en théorie d ajuster le montant de la prime. Octobre Les Synthèses Solucom 9

10 Cybercriminalité Adapter votre gestion de crise à la cybercriminalité avancée Aujourd hui, les entreprises disposent de processus de gestion des incidents à même de traiter des situations classiques (virus ou indisponibilités). Ces moyens ne sont pas adaptés aux nouveaux scénarios de crise, et en particulier aux attaques ciblées. A contrario, le dispositif de gestion de crise est conçu et mis en place pour adresser des événements «disruptifs» majeurs qui interrompent ou modifient le fonctionnement au quotidien de l organisation. C est un dispositif avant tout managérial, qui repose sur plusieurs briques complémentaires : Des mécanismes d alerte ; Des personnes capables d analyser et qualifier les alertes remontées par les processus de l entreprise ; Des personnes capables de réagir, traiter opérationnellement et prendre des décisions. Faire face à une menace discrète et évolutive : 8 conseils éprouvés pour adapter votre gestion de crise Plusieurs enseignements issus du traitement de crises récentes chez des grands comptes français sont à prendre en compte dès maintenant pour faire évoluer le dispositif de crise et se préparer à une attaque ciblée. 1. Prendre du recul face aux incidents unitaires... Les incidents de sécurité font la plupart du temps l objet d un traitement unitaire. Résolus un par un, il est difficile d établir un éventuel lien entre eux. Il faut donc prendre le recul nécessaire afin de détecter des comportements dangereux qui se cachent derrière plusieurs anomalies d apparence bénigne, sans exclure la possibilité d actes de diversion (attaque de manière visible sur des éléments finalement peu sensibles, durant les périodes d inactivité comme la nuit, etc.). 2. Mobiliser les métiers... Il faut absolument éviter de considérer de telles crises comme des incidents «Les incidents de cybercriminalité sont perçus à tort comme des problèmes informatiques alors qu il s agit de crises métier» purement informatiques : il s agit en réalité d incidents métiers, puisque ce sont principalement eux qui en subissent les impacts. Les métiers doivent donc être en première ligne avec des équipes capables d identifier les systèmes et données critiques. 3. Mettre en place une organisation en miroir des attaquants... Les retours d expérience de crises majeures des dernières années ont montré que les attaquants sont de plus en plus structurés autour de profils distincts avec des expertises variées. Le pilote de l attaque est le «cerveau» qui a la compréhension des enjeux, de la cible et la connaissance de l information recherchée. Les équipes d intrusion sont spécialisées dans l infiltration : leur rôle est d enfoncer les portes du SI. Elles disposent potentiellement de compétences techniques avancées et ont pour but de maintenir leur présence le plus longtemps possible. Les données sont ensuite extraites par une troisième équipe, souvent moins compétente et qui peut parfois réaliser des erreurs très utiles pour comprendre l objectif de l attaque et les moyens mis en œuvre. Il faut donc s organiser en conséquence. Les métiers doivent mettre en place des équipes de réaction dédiées pour identifier les systèmes et données critiques. Côté SI, les équipes forensics ont pour tâche de comprendre le fonctionnement des attaques et donner les Les attaques ciblées, un nouveau défi pour la gestion de crise Les attaques ciblées ont pour spécificité de viser des informations et systèmes sensibles dans une entreprise. Ses auteurs sont mandatés pour viser une cible avec un objectif clair : voler ou altérer des données confidentielles, détruire le SI, etc. Le niveau de technicité et les moyens disponibles peuvent s élever drastiquement. Ces crises, qui amènent à une prise de contrôle généralisée du SI dans la durée, sont à la fois les plus redoutées, celles qui peuvent causer le plus de dégâts dans l entreprise, mais aussi celles auxquelles les entreprises sont aujourd hui le moins préparées. En effet, peu d entre elles les ont intégrées à leurs scénarios de crise. Il s agit souvent d une succession d attaques silencieuses : prises unitairement, leurs effets sont bénins, mais leur articulation amène à une large compromission. C est également la raison pour laquelle leur existence est généralement détectée bien après leur démarrage : en moyenne, presque un an. 10 Les Synthèses Solucom - Octobre 2013

11 Adapter sa structure de gestion de crise à l attaque éléments techniques d identification, tandis que les équipes de réaction SI doivent penser la reconstruction dans la durée, afin de ne plus subir à nouveau ce type d intrusion. Au cœur du dispositif, il est nécessaire qu une cellule de pilotage coordonne l ensemble de ces acteurs. Notons que de nombreuses fonctions transverses doivent être impliquées : la direction juridique, la communication, la relation client ont notamment un rôle important à jouer durant la crise. 4. Se doter de compétences forensics et d un outillage adapté pour comprendre l attaque... Comprendre la succession d évènements nécessite des équipes dédiées avec des compétences de forensics (investigation numérique). Ces équipes doivent disposer de moyens techniques, outils d analyse de traces, accès aux journaux, plate-forme de stockage des éléments techniques, etc. 5. Anticiper dès maintenant une crise au long cours... L un des aspects importants des compromissions avancées est leur durée : il s agit alors de gérer des crises de plu- sieurs mois, dont il est parfois délicat de discerner le début et la fin. En effet, une fois les attaques jugulées, les efforts sont loin d être terminés : des actions de reconstruction sont nécessaires. Il faut recréer des zones de confiance, en privilégiant d abord les fonctions les plus sensibles de l entreprise. Il faut également mettre sous surveillance ces zones assainies. 6. Éviter le phénomène de la «pyramide inversée»... Enfin, attention à ne pas subir un phénomène de «pyramide inversée» créant des équipes à deux vitesses : les acteurs décisionnels de la gestion de crise en sureffectif par rapport à des acteurs opérationnels du SI, eux submergés. Ceux-ci, seuls à disposer de la connaissance pour réaliser les actions techniques sur le SI, reçoivent souvent trop d ordres contradictoires dans un faible intervalle de temps. 7. Penser des solutions SI dégradées indépendantes... Il est parfois nécessaire d innover durant ce type de crise, et passer s il le faut par des mesures exceptionnelles, comme l utilisation de moyens informatiques alternatifs. Il s agit par exemple de postes de travail déconnectés du SI compromis, et donc hors de portée des attaques, ou encore d adresses externes à l abri des regards des attaquants en utilisant des services de messagerie Cloud ou grand public. 8. Prévoir les interactions externes Un contact en mesure de conserver les informations relatives à la crise confidentielles doit être identifié au préalable chez chacun des acteurs extérieurs impliqués dans une crise cybercriminalité forces de l ordre, assureurs, autorités de contrôle. Octobre Les Synthèses Solucom 11

12 Cybercriminalité Vous préparer à la notification des fuites de données à caractère personnel Les exigences de notification des incidents se renforcent peu à peu. Demain, c est l ensemble des incidents de sécurité que les OIV en particulier devront notifier à l ANSSI sous peine d amende. Une nécessaire coordination devra donc être mise en place entre les différents acteurs concernés. En attendant, le sujet le plus urgent à traiter est celui de la notification relative aux clients car il a un impact direct et visible sur l image de marque de l entreprise. De nouvelles obligations liées aux données à caractère personnel pour les entreprises Les obligations sont doubles : d un côté, il s agit de notifier aux autorités compétentes (la CNIL en France) la violation du traitement de données à caractère personnel, et de l autre de notifier l incident aux personnes concernées s il représente un risque d atteinte à leur vie privée. La notification devra se faire sous 24h à partir du moment où l atteinte aux données est découverte. S il peut s avérer compliqué de donner les détails nécessaires sur l incident dans les premières heures de la crise (nombre de personnes touchées, nature de l incident, etc.), il est préférable de réaliser tout de même la notification dès que possible. Des compléments d informations pourront par la suite être remis à l autorité (dans les 3 jours). Et si l obligation réglementaire de notification aux personnes ne touche aujourd hui qu une poignée d entreprises, nombre sont celles qui le font déjà dans un souci de transparence ou sont contraintes de fait de réaliser cette notification : une fois l information ébruitée par les médias, elle devient inévitable. La remise en cause de la confidentialité des données des clients conduit à une perte de confiance dans la relation : selon une étude Ponemon Institute en 2012, 83% des victimes d une fuite de données pensent que l entreprise n est pas digne de confiance. Il s agit donc de réagir de manière à minimiser cette perception en communiquant de manière adaptée. Identifier les scénarios redoutés pour préparer la notification aux clients Pour initier la démarche, l entreprise doit se positionner sur les scénarios de risques qu elle souhaite couvrir, en identifiant les scénarios redoutés les plus critiques, de par leur probabilité ou leur impact. Par exemple, un site de vente en ligne sera plus exposé à un vol de données clients par le web qu un hôpital qui redoutera plutôt une attaque en profondeur sur le SI pour collecter des données médicales. Plusieurs actions devront être réalisées en amont : cartographie des données à caractère personnel, évaluation du degré de protection Coordonner les différentes notifications aux autorités Si la notification aux personnes concernées nécessite de manière évidente une bonne maîtrise de la communication, il ne faut pas sous-estimer la notification aux autorités et mettre en place des procédures efficaces. Des fuites de données à caractère personnel L interlocuteur en charge des notifications de violation de traitements de données à caractère personnel doit être connu et identifié par les équipes qui détectent les incidents et gèrent la crise, et intégré dans les communications de crise SI. Il s agit bien souvent du correspondant habituel de la CNIL pour les formalités déclaratives et les contrôles, en support du service juridique. qui sont des incidents de sécurité D autres autorités comme l ANSSI ou certains services de l État peuvent être à inclure dans la démarche de notification. Il sera donc nécessaire de capitaliser sur les acteurs impliqués et les processus mis en place pour les fuites de données à caractère personnel pour assurer la fluidité et la cohérence des notifications aux différents organismes : cohérence des informations et des mises à jour, simultanéité des notifications, etc. Attention, les enjeux de notification peuvent parfois s opposer. Entre transparence et confidentialité, un juste équilibre devra être trouvé conjointement avec les autorités. 12 Les Synthèses Solucom - Octobre 2013

13 «83% des victimes d une fuite de données pensent que l entreprise concernée n est pas digne de confiance» actuel (en particulier existence de chiffrement pour limiter le risque de devoir notifier les clients) mais la grande nouveauté vient des réflexions sur la notification en elle-même et sur les impacts dans l entreprise. Au-delà du risque pour elle, elle doit également analyser ceux du point de vue de l individu et placer la vie privée comme enjeu premier afin de prévenir la fraude financière, l usurpation d identité, etc. Les questions clés à se poser pour qualifier le risque d atteinte à la vie privée seront donc les suivantes : À quand remonte l incident? Quelles sont les données concernées par l incident au sein du SI? Quels types de données sont concernés (identification, mode de vie, etc.)? Qui est concerné par les données atteintes (collaborateurs, clients, etc.)? Quel est le nombre de personnes affectées? Et surtout, quel usage malveillant peut-il en être fait avec des conséquences néfastes pour les individus (sécurité des personnes, réputation, financier, etc.)? - De par leur nature : données médicales, opinions, etc. - De par l usage : données bancaires, état civil, etc. Le résultat de cette analyse doit permettre de définir le contenu de la communication mais aussi si la personne concernée doit ellemême réaliser une action pour réduire le risque, par exemple, un changement de mot de passe. Construire le plan de réponse d e m a n i è r e a n t i c i p é e Cadrer en amont les grandes lignes d un plan de réponse permet d être plus réactif le jour où un incident survient, car l ensemble des acteurs à mobiliser (relation client, marketing, RSSI, juristes, etc.) aura déjà travaillé ensemble. Les canaux de communication doivent être identifiés et sélectionnés en fonction des canaux utilisés avec les clients : courrier, , appel téléphonique, agence, etc. Identifier les solutions logistiques associées à la communication permettra une réactivité plus importante le jour J : capacité à contacter les clients (connaissance des adresses postales et électroniques), redimensionnement des capacités du CRC, impression de courriers en masse, assistance aux clients victimes de fraude. Pour éviter des effets désastreux, le contenu de la notification doit également être travaillé pour maximiser la perception positive de la communication. Une étude Ponemon Institute a montré que 61% des destinataires de notifications les trouvent trop compliquées à comprendre : la part à apporter aux explications et à la vulgarisation des concepts techniques parfois compliqués prend toute son importance! Il est également nécessaire de présenter les risques identifiés et de rassurer sur les actions mises en œuvre pour protéger les données et éviter que l incident ne se reproduise. La description des actions à réaliser, les ressources complémentaires (tutoriels, etc.) et les contacts sont importants à mentionner pour permettre aux clients d en savoir plus. Une étude menée par AllclearID a en effet montré que 20% des personnes notifiées cherchent à contacter l entreprise pour avoir plus d éléments et passent entre 5 et 20 minutes avec le service clients, ce qui peut entraîner en plus une paralysie des canaux de vente. Il s agit donc bien là de bonnes pratiques indispensables à prendre en compte pour préserver la relation avec les clients. Les étapes préalables à la notification Octobre Les Synthèses Solucom 13

14 Cybercriminalité Repenser votre modèle de sécurité pour l adapter aux nouvelles menaces L objectif a longtemps été pour les entreprises d empêcher des intrusions sur leur SI. Cette approche, si elle a de nombreuses vertus, est dépassée par des attaques qui contournent facilement les mesures de sécurité usuelles (correctifs, antivirus, etc.). Il faut aujourd hui accepter le caractère inévitable des intrusions, et donc se préparer à y faire face. Pour cela, le modèle de sécurité doit répondre à un objectif de protection ciblée, de détection et de réaction large. Protéger les périmètres sensibles Il faut dans un premier temps identifier et «sanctuariser» les périmètres les plus sensibles : les applications métier vitales, les données critiques ainsi que les collaborateurs qui les manipulent, ou encore les infrastructures informatiques dont la compromission pourrait avoir un effet désastreux (système de gestion du SI, outils d administration, etc.). Cette protection passe par la construction de bastions sécurisés. Ils seront particulièrement surveillés grâce à des équipes et des moyens dédiés (annuaire spécifique, pare-feux, mécanismes de chiffrement, outils de surveillance, alerte sur modification, etc.). Il s agit de les considérer comme des îlots indépendants du SI. Il sera aussi essentiel d adopter une approche de sécurisation drastique des postes de travail concernés. D autre part, dans l objectif de rapprocher les protections au plus près des données, la mise en place d une cellule de sécurité applicative est une bonne pratique encore peu répandue. Son rôle est d agir sur la robustesse des applications internes, tant au moment de leur conception que durant leur cycle de vie (correctifs, mises à jour, etc.). Cette initiative doit aussi être portée par les équipes internes mais aussi étendue à l ensemble des prestations externalisées (développement, hébergement, Cloud, etc.). En particulier, les applications métiers les plus exposées pourront faire l objet de mesures spécifiques : analyse temps réel des transactions, alerte et blocage de flux en cas de fraudes, authentification basée sur les risques, contrôle d intégrité, etc. Mettre en place des dispositifs techniques ciblés... Se préparer à lutter contre des attaques cybercriminelles passe aussi par l utilisation de solutions innovantes dédiées à ces nouvelles menaces. Sans prétendre à l exhaustivité, nous vous proposons quelques approches qui peuvent s avérer efficaces pour lutter contre certaines catégories de cybercriminalité. Attention, pour bien fonctionner, ces solutions technologiques devront toujours être accompagnées d un dispositif humain adapté. Se protéger contre les DDoS... Les DDoS, attaques par saturation d un système afin de le rendre indisponible, sont devenues très courantes. L approche classique pour s en protéger consistait à réagir avec l opérateur télécom concerné en cas d attaques : une solution longue à déclencher et très impactante. De nouvelles méthodes consistent à placer des mécanismes permettant de surveiller les tentatives de déni de service. Si une attaque est détectée, le trafic réseau est dévié auprès d un fournisseur Cloud ou chez un opérateur. Disposant de l outillage nécessaire pour nettoyer le trafic en isolant la partie malveillante puis en routant uniquement les flux légitimes vers l entreprise. Une fois l attaque passée, le trafic reprend son chemin normal. Mettre en place des «bacs à sable» d analyse des fichiers... Les antivirus fonctionnent depuis longtemps à l aide de signatures : si un fichier ou une attaque répond à un certain nombre de critères précis, il est détecté comme malveillant. Cette approche montre chaque jour un peu plus ses limites avec les failles dites 0-day (encore non divulguées publiquement). Une méthode aujourd hui plus efficace est de simuler dans un «bac à sable» l exécution de tout fichier circulant sur le réseau. Si le fichier a un comportement suspect, le système de protection peut alors le bloquer. Séparer les usages selon leur sensibilité... Les utilisateurs traitent souvent sur le même ordinateur des informations sensibles, des documents bureautiques, ou encore des fichiers personnels. Si l utilisation de machines différentes pour chaque niveau de sensibilité est toujours difficile pour des raisons bien évidentes de coûts et de complexité d usage, la virtualisation peut être une réponse technique à ce besoin. Sur un même poste, il existerait alors plusieurs environnements (confidentiel, bureautique, personnel, etc.) étanches et disposant chacun du niveau de sécurité idoine. Réduire les privilèges des administrateurs... Un chantier de diminution des droits administrateurs doit également être engagé. Trop souvent, les comptes se démultiplient et les pratiques d administration sont dangereuses (utilisation de poste connecté à internet par exemple). Au-delà de l utilisation de postes dédiés, des plates-formes de rebond doivent être utilisées pour tracer les actions d administration. 14 Les Synthèses Solucom - Octobre 2013

15 Se doter d un dispositif de détection et de réaction élargi Les entreprises doivent être en mesure, lorsqu une attaque survient, de la détecter, de l analyser et de réagir correctement. Renforcer ou créer un SOC / CERT... Avant même d envisager le déploiement de solutions techniques à large échelle, il est nécessaire de se doter des compétences en interne pour coordonner la détection des incidents et les réactions avec le recul nécessaire. Un centre des opérations sécurité (aussi appelé SOC, CERT ou encore CSIRT) devra être créé ou renforcé. Ses activités s articulent autour de trois axes : La prévention des attaques, à travers des actions de veille et de gestion des vulnérabilités informatiques ; La surveillance du SI et d internet, à travers la détection d incidents et le suivi d indicateurs de compromission mais aussi pour suivre et détecter les usages malicieux de votre identité (phishing, noms de domaines, réseaux sociaux) ; La gestion de crise : il sera le pilote technique des crises de cybercriminalité, apportant l expertise permettant de comprendre les incidents et réduire leurs impacts. Lors d une attaque, il peut être le maître d œuvre de réaction plus «active» (demande de fermeture des sites utilisés pour l exfiltration, envoi de fausses informations, etc.) intervenant en dehors du SI de l entreprise concernée. Renforcer les opérations de détection en profitant de la puissance du Cloud... En parallèle de cette structure, il est nécessaire de renforcer l outillage de surveillance du système d information. Mise en place de politique de journalisation et centralisation des journaux des équipements de sécurité et des serveurs les plus sensibles sont les premières actions à réaliser. D autres plus avancées peuvent être envisagées, comme par exemple l externalisation de cette surveillance auprès d un MSSP (Managed Security Service Provider), ou encore le recours à des outils de corrélation des journaux, voire en utilisant des approches Big data. Par ailleurs, les éditeurs de solutions de sécurité proposent de plus en plus d outils s appuyant sur une approche Cloud, dont le principe est d envoyer les données à analyser à l éditeur plutôt que de reposer entièrement sur un outil déployé en interne. Il est ainsi possible de profiter de l expérience acquise par le fournisseur au cours d attaques précédentes (notamment au sein d autres entreprises) et de faire intervenir des experts en sécurité pour une analyse en temps réel. Rôles et activités du CERT Connaître le niveau de vulnérabilités du SI Octobre Les Synthèses Solucom 15

16 Cybercriminalité Conclusion Les États investissent, les entreprises doivent emprunter le même chemin Aujourd hui, l État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. En regard, les grandes entreprises adoptent une approche encore trop timorée et réductrice face à l évolution des menaces. Et si certaines ont su avancer, c est bien souvent après avoir été durement touchées par un incident. Les directions générales commencent à prendre conscience des risques mais les investissements restent largement en retrait - souvent car il est difficile d avoir une idée claire de la stratégie à suivre face à une menace en constante évolution. Changer de posture : allier protection, détection et réaction Au vu du niveau d expertise des cybercriminels et de la faiblesse, par construction, des systèmes d information, il est impossible d empêcher toutes les attaques de réussir. Une nouvelle posture doit être adoptée, alliant une protection avancée des périmètres les plus sensibles et une forte capacité de détection et de réaction aux attaques. Cet équilibrage passe par une évaluation de l attractivité de l entreprise pour les cybercriminels et par la définition d une cible parmi la profusion de solutions techniques, organisationnelles et juridiques adressant la cybercriminalité. Aucune solution ne répond intégralement au problème, la bonne approche se trouve dans une articulation de ces différentes solutions. Construire sa stratégie face à une profusion de solutions À réaliser en priorité, un exercice de gestion de crise sur un ou plusieurs scénarios pertinents pour les métiers permettra de prendre conscience du degré de préparation de l entreprise. Il sera structurant pour définir les chantiers à court terme, telle que la cyberassurance ou les solutions techniques ciblées (lutte contre les dénis de service, protection des VIP, surveillance d actifs sensibles, etc.). La préparation aux notifications des incidents aux clients et la mise en place ou le renforcement du SOC et son outillage devront également être envisagés dès aujourd hui pour porter leurs fruits à moyen terme. Une mobilisation transverse nécessaire 8 16 Les Synthèses Solucom - Octobre 2013

17 Lutter contre la cybercriminalité, c est combiner l ensemble des compétences de l entreprise Le programme de lutte contre la cybercriminalité demande une mobilisation transverse au sein de l entreprise, y compris d acteurs encore éloignés de ces problématiques aujourd hui. L animateur de ce programme est le plus souvent le Responsable de la sécurité de l information. Le Risk manager et / ou le DSI doivent aussi jouer des rôles déterminants, voire porter le sujet dans certains contextes. Vu la diversité des thèmes, l ampleur des changements et les impacts potentiels pour les entreprises, il sera souvent nécessaire de mettre en place une structure transverse. Celle-ci regroupera des acteurs de la direction générale, du juridique, de la gestion des risques, de la DSI, de la communication, des principaux métiers : en particulier de la relation client. Ce comité existe déjà dans les entreprises les plus matures. Il suivra l avancement des projets liés à la cybercriminalité. Il participera et animera également le processus de gestion de crise. Un reporting régulier devra être réalisé à la Direction générale sous forme d indicateurs de risques. Une fenêtre d opportunité sans précédent pour agir Aujourd hui, la multiplication des attaques, des révélations et des actions des États offre une opportunité sans pareil pour adresser le sujet de la cybercriminalité en profondeur. Les fonctions dirigeantes des entreprises ne sont plus à sensibiliser, elles sont souvent en attente! Il est grand temps de leur apporter une démarche claire et simple pour protéger les clients et le patrimoine de l entreprise dans la durée. Octobre Les Synthèses Solucom 17