Protection des infrastructures critiques vitales contre les cyber-attaques Vers une culture de sécurité 1
Le constat Les moyens informatiques et les réseaux ont envahi nos sociétés modernes, géantes et fragiles, qui travaillent à flux tendus Matériels, logiciels, réseaux recèlent des failles constituant des vulnérabilités Le progrès technique engendre de nouveaux risques (wi-fi, mobiles, nouvelles versions, etc..) Il n y a plus de systèmes isolés dans l info sphère, le monde est interdépendant Alors, comment éviter les effets dominos et cascades? 2
Quelles sont les infrastructures critiques et vitales? Celles qui permettent à une société organisée de fonctionner correctement sans chaos, elles sont nombreuses et complexes! Surtout, ne pas méconnaître les interconnexions inévitables entre les pays. 3
Une liste assez longue Énergie, services publics, transports, services financiers, approvisionnements en nourriture et marchandises, communications, services sociaux, justice, services de santé, prévisions météorologiques (Cabinet Office du Royaume Uni) 4
Des exemples concrets.. Les réseaux fibres passent le plus souvent sous les rails des chemins de fer (mauvais état en UK) et leurs coupures volontaires ou involontaires provoquent des ruptures de service. L alimentation électrique, nous en sommes tous dépendants, quelles protections pour certains points plus sensibles comme les centres de dispatching, centres fermés qui utilisent des technologies internet ouvrant des failles en raison de logiciels non spécifiques? La grande distribution représente 80 % de la consommation, une panne des systèmes de paiement ou encore sur/ou entre les plate formes logistiques qui assurent l approvisionnement des supermarchés travaillant à flux tendus (c est la caisse qui permet la gestion des approvisionnements) ne serait pas sans conséquence, qui s en préoccupe? 5
Des cas discrets.. Intrusion sur un serveur central, 7000 personnes en réseau, cabinet du ministre pénétré, mots de passe récupérés, 4 années de messagerie remontées Perte de fichiers sensibles, suite à une erreur. La maintenance n arrive pas à reconstituer les fichiers, appel à une grande société américaine qui elle, y arrive, démontrant ainsi qu elle pouvait donc y avoir accès! GIE Cartes bancaires : 60 % des retraits d argent se font par DAB, les transactions sont en constante augmentation, un seul site unique en France, un seul bâtiment où transitent tous les jours plus de 100 fournisseurs..back-up existant, mais non conscience du caractère vital France Télécom, gestion des flux d informations, les horloges atomiques qui gèrent la synchronisation 6
Des infos disponibles.. On sait où sont physiquement les machines racines, donc on peut les paralyser On connaît parfaitement bien le tracé des câbles sous-marins, on peut les couper On sait où sont les nœuds qui permettent aux centres financiers de fonctionner, les bascules de sécurité aussi 7
Pour faire face Quelle méthodologie pour fournir aux décideurs publics et privés des outils d aide efficaces? Quelle feuille de route? Revenir aux fondamentaux 8
PREVENIR les attaques Si attaque, CONTRARIER les attaquants dans leurs objectifs Si dommages subis, LIMITER les dégâts RECONSTITUER le système le plus rapidement possible Tirer ENSEIGNEMENTS, apporter AMELIORATIONS Principes de base - Étapes incontournables 9
Prévenir les attaques (1) Dissuader les attaquants Augmenter la probabilité qu une attaque sera bien détectée Détecter l attaque, la localiser, la remonter, conserver les données Identifier et punir l attaquant avoir une politique de réponse, une assistance et une coopération internationale sont indispensables, des textes nationaux et internationaux aussi 10
Prévenir les attaques (2) Établir des règles de conduite Connues de tous et fixant les comportements inacceptables Établir des standards sur l éthique, accords contractuels avec les fournisseurs d accès Accords pour interdire les attaques sur les systèmes des infrastructures vitales Promulgation de lois et règlements Entente pour identifier et punir les attaquants Mise ne place de procédures de coopération et d assistance 11
Prévenir les attaques (3) Surveillance des attaquants potentiels Collecte d informations sur les milieux concernés Mise ne place d indicateurs d attaques, Identification des attaquants Évaluation des capacités des adversaires Établissement d une politique de riposte (diplomatique, militaire, cyber) Partage de renseignements entre alliés Constitution de bases de données 12
Contrarier les attaques (1) Mesures individuelles Contre les intrus externes Contrôle d accès, enregistrement et monitoring du trafic d entrée, comparaison du trafic d entrée avec les profils d attaques, analyser les attaques a posteriori, établir une politique et des procédures de réponse, faire des tests de pénétration, consigner les résultats, mesurer l efficacité Contre les intrus internes Compartimentation, besoin d en connaître, enregistrement du trafic en temps réel et analyse, habilitation du personnel, établissement d une politique et de procédures (chartes), analyse des failles 13
Contrarier les attaques (2) Mesures collectives de défense Combiner les mesures individuelles, communiquer avec les autres Partager les infos sur les vulnérabilités, sur les attaques, les taux, les tests de pénétration, connaissance des meilleures pratiques, participer aux efforts de mise en place de standards de sécurité, partager les infos sur les failles, contribuer à l établissement de règles et de certifications, en particulier mise au point de programmes de formation, partager les infos sur les suspects et les types d attaques, créer des bases de connaissance Séparation physique des liens Connaître avec précision la géographie des réseaux : itinéraires de bout en bout 14
Contrarier les attaques (3) Construire un système de veille des intrusions Limiter l efficacité d un intrus à partir de plusieurs contrôles indépendants Monitoring des actions critiques Actions de contrôle réparti Systèmes redondants et indépendants En cas d attaques multiples Système de décentralisation des ressources Compartimentation et firewalls internes Leurres, pots de miel et attrape-nigauds 15
Limiter les dommages Appliquer systématiquement la détection des intrusions (par exemple par analyse des signatures et des comportements) Avoir une défense active Identifier l attaque et sa source en temps-réel Évaluer les buts et la dangerosité de l attaque Bloquer le trafic avec le site attaquant Mettre en place des contre-mesures (quarantaine, scanning des e-mails, demande de ré-authentification, systèmes de back-up redondants) Établir un plan de secours pour avoir des réponses pré-établies Se préparer à la gestion de crise Effectuer des exercices d entraînement pour former le personnel 16
Réparer après l attaque Évaluer les dommages Appliquer le plan de reprise Restaurer les systèmes à partir des sauvegardes Rétablir le service avec précaution avec priorité au système sur les utilisateurs Faire face en fonction des circonstances (options du plan de reprise) Collationner toutes les données en vue de poursuites et pour constituer des preuves Penser aux assurances Ne pas hésiter à porter plainte pour lancer l action publique 17
Améliorer les performances (1) Avant l attaque Identifier les points faibles Créer des modèles d attaques et d attaquants ( analyse des signatures, base de connaissance des comportements Procéder à des tests d intrusion Définir des mesures défensives en fonction Protéger les capacités de défense S assurer du durcissement de ces mesures et du respect de ces spécifications 18
Améliorer les performances (2) Enseignements après l attaque Expertiser les infos recueillies Identifier les points faibles En tirer les leçons pour modifier la robustesse des systèmes Mettre à jour les bases de connaissances Communiquer les résultats des analyses faire connaître aux autres les données recueillies pour les intégrer dans les plans de défense Utiliser ces infos pour se projeter dans l avenir et essayer de déterminer la direction et l orientation des technologies d attaques 19
Pour réussir, il faut.. Une réelle prise de conscience Sensibiliser et former Créer des structures de prise en charge Se préparer par des exercices pratiques en dimension réelle Évaluer les performances Appliquer les meilleures pratiques Convergence civil-militaire-économique-universitaire-recherche Synergie public-privé-ong Faire preuve de solidarité Obtenir les budgets, avoir les hommes motivés, des services de renseignements adaptés et bien orientés Assistance, coopération internationale, aspects juridiques Avancer vers un concept de cyberdissuasion 20
Et le cyber-terrorisme? Notion difficile à appréhender : dans terrorisme, il y a terreur et on ne voit pas bien la terreur dans le virtuel! Alors sans doute pas une action primaire spectaculaire mais plutôt des actions secondaires, en appui à un acte terroriste classique. Désorganisation des secours, pannes de communication, dysfonctionnements des services publics et de la distribution d énergie peuvent conduire à une aggravation du climat de panique 21
En guise d encouragement.. Les attaques sont devant nous, nous sommes prévenus, préparons nous! Vigipirate 2003, plan PIRANET Le seul vrai point d interrogation : savoir où, quand et comment ces attaques surviendront Rappelons nous THUCYDIDE : C est la devise du 22