FIC 2015 : les hackers ont gagné une bataille, pas la guerre

Consensus sur le Forum International de la Cybercriminalité, qui a fermé ses portes hier : les hackers ont gagné une guerre. RSSI, autorités et offreurs de solutions s’organisent pour ne pas perdre la suivante.

Sur le Forum International de la Cybersécurité (FIC), qui se tenait les 20 et 21 janvier à Lille, et qui a réuni plus de 4 000 personnes, une boutade illustrait assez bien l’état d’esprit de la communauté ‘cyber’. Celle-ci explique qu’il n’existe que deux catégories d’entreprises : celles qui ont été attaqué et celles qui ont été attaqué mais qui ne le savent pas encore. Un humour noir qui traduit bien le constat d’échec que dressent les experts du secteur. Aujourd’hui, les assaillants sont tout bonnement plus forts que les défenseurs. « Depuis deux ou trois ans, nous vivons avec une épée de Damoclès suspendue au-dessus de nos têtes, confirme Alain Bouillé, président du Cesin, une association regroupant environ 200 RSSI. Nous savons que nous serons attaqués et que nous subirons un jour une attaque réussie. Nous avons passé des années à empiler des solutions de protection, mais il est aujourd’hui évident qu’un attaquant motivé parvient à ses fins. Ce n’est qu’une question de moyens et de temps. S’il faut continuer à renforcer nos défenses, il faut aussi se préparer au pire, par exemple en s’entraînant à gérer une crise. Ce facteur figure aujourd’hui à l’agenda des RSSI. »

D’autant que, comme l’a montré l’actualité de 2014, le niveau de compétences des assaillants tend à s’élever. Pour le mathématicien Thierry Berthier, la phase d’ingénierie sociale, qui prépare généralement une APT (attaque persistante avancée), est en train de devenir de plus en plus sophistiquée – comme le montre la campagne Newscaster en 2014 au cours de laquelle un faux site d’informations a été créé de toutes pièces – pour s’adapter à des mentalités qui tendent à évoluer. Les phishing sont ainsi de plus en plus convaincants. Un point que confirme Michel Van Den Berghe, le directeur général d’Orange Cyberdéfense.

La protection et la détection ont échoué

Bruce Schneier, célèbre cryptologue et gourou de la sécurité – lui aussi présent sur ce FIC 2015 –, estime que les cybercriminels sont en réalité en progrès dans tous les domaines, tandis qu’en parallèle, on assiste à la montée en puissance du hacking à vocation politique. Et de noter une autre inflexion sensible en 2014, à la lumière du piratage de Sony Pictures : « Les attaques contre Target et Home Depot étaient opportunistes. Ces entreprises en ont été les victimes car elles étaient les moins protégées. L’attaque contre Sony Pictures est de nature très différente, car c’est cette entreprise en particulier qui était visée. C’est toute la différence entre la sécurité relative et la sécurité absolue. »

Pour le gourou américain, une partie de la réponse passe par le développement de la réponse aux incidents au sein des organisations, « tout simplement parce que la protection et la détection sont imparfaites ». « L’objectif aujourd’hui doit être la résilience, ajoute Bruce Schneier. La clef réside dans l’adaptabilité des organisations car chaque incident est unique. » Et de plaider pour la mise en place de boucles OODA (observe, orient, decide, act), méthode développée pour les pilotes de chasse de l’US Air Force. « Dans la réponse aux incidents, la clef réside dans la vitesse de ces boucles OODA. Pour ce faire, nous avons besoin d’outils pour observer – du monitoring de réseau en temps réel par exemple -, pour orienter – pour une meilleure compréhension du contexte interne et externe – et pour décider – via des outils d’aide à la décision et de gestion des workflow de prise de décision. Mais ces outils doivent aider les experts et non les remplacer comme on a eu tendance à le faire dans la protection et la détection. En matière d’action enfin, la sécurité travaille aujourd’hui sur la base d’autorisations données au préalable. C’est inefficace : laissons plutôt les équipes agir comme elles le souhaitent et auditons-les après. »

Target : des alertes et puis c’est tout

Sur le terrain, la nécessité de déplacer le combat, de ne plus compter uniquement sur les remparts que dresse l’entreprise a déjà largement commencé. « Pour l’instant, nous avons souvent un statut de médecin légiste. Nous aimerions nous muer en Dr House. Cela passe par la détection de signaux faibles », dit Michel Van Den Berghe, d’Orange Cyberdéfense. Et de noter que la réponse aux incidents ne se limite pas à des questions techniques, mais touche à des questions organisationnelles (prise de décision, communication, gestion de la crise…) pour lesquelles les entreprises sont encore mal préparées. L’Anssi (Agence nationale de la sécurité des systèmes d’information) travaille d’ailleurs à un référentiel sur la réaction aux incidents pour aider les organisations dans ce chantier.

Le cas du distributeur américain Target illustre d’ailleurs les lacunes des organisations en la matière. Client de la technologie FireEye, l’entreprise a été alertée par ce logiciel de comportements suspects sur son réseau. Sans réagir. « Le distributeur n’avait pas les procédures pour exploiter ces alertes correctement. Target travaille aujourd’hui sur ces sujets et est resté client de nos solutions », assure Thibaud Signat, un ingénieur de FireEye, présent lors d’une table ronde sur le FIC.

La réponse aux incidents se heurte toutefois à un problème récurrent en matière de cybersécurité : le partage d’informations. Pour espérer détecter plus tôt les attaques – celles-ci ne sont aujourd’hui repérées qu’après 229 jours en moyenne, selon FireEye – et les circonvenir au mieux, les organisations ont besoin de partager de l’information pour mieux comprendre les menaces et les modes opératoires ou motivations des hackers. « C’est un problème depuis des décennies », soupire Bruce Schneier. Des éditeurs tentent d’apporter une réponse à cet enjeu. Palo Alto Networks, Fortinet, Mc Afee et Symantec ont ainsi créé en août dernier une communauté d’échange d’information (la Cyber Threat Alliance), où les éditeurs membres s’engagent à fournir un certain nombre de souches inconnues. Chez FireEye, 70 % des clients partagent de l’information anonymisée au sein de la plate-forme de détection de menaces, assure Thibaud Signat.

Sécurité ou surveillance : il faut choisir

En dépit de ces initiatives, l’échange en matière de ‘Threat Intelligence’ (renseignement sur les menaces) se heurte à plusieurs difficultés intrinsèques. « Tout le monde voit l’utilité de partager l’information sur les menaces. Le fond du problème est qu’on ne veut pas que l’assaillant sache ce que l’on sait. Sinon il va être informé du fait qu’il est repéré. L’émetteur a donc besoin de garanties », explique le lieutenant-colonel William Dupuy, du Centre d’analyse de lutte informatique défensive (Calid) du ministère de la Défense. S’y ajoutent les considérations touchant les risques en matière d’images ou la volonté de ne pas divulguer d’informations à des concurrents, même si quelques initiatives ont vu le jour – notamment dans la banque – pour échanger des données sur les menaces entre pairs.

Mais, pour Bruce Schneier, le problème est plus profond, et remonte à l’usage que les services de renseignement étatiques font des vulnérabilités : « On ne peut pas à la fois rendre les systèmes sécurisés et mener des attaques sur ces mêmes systèmes. Quand toute la planète utilise les mêmes solutions, il faut choisir entre sécurité et surveillance. » Ce dilemme trouve des traductions très concrètes. Ainsi, lors de ce FIC où s’affichaient les liens étroits entre la France et l’Allemagne, Thomas de Maizière, le ministre de l’Intérieur outre Rhin, a plaidé pour une collaboration plus étroite entre l’Anssi hexagonale et son homologue allemande, la BSI. Sauf que celle-ci est fortement liée aux services de renseignement allemand. Sur le stand de l’Anssi, on explique sans ambages qu’une collaboration avec un homologue dépendant d’un service de renseignement reste par essence plus limitée qu’avec une agence indépendante… Tout simplement parce que fournir des informations sur des vulnérabilités pourrait se retourner contre les intérêts économiques de l’Hexagone !

Dès le design de l’application

Déplacer le combat vers l’aval en améliorant la résilience des entreprises ne signifie pas qu’il faille se désintéresser des aspects amont. Où beaucoup reste à faire, notamment dans le codage des applications. « 40 % des appels d’offres aujourd’hui ne comportent pas d’exigence de sécurité. Or la plupart des attaques visent les applications : les coder correctement s’avère donc essentiel », explique Franck Gréverie, le vice-président en charge de la cybersécurité chez Capgemini. « Je ne pense pas que la sécurité soit totalement testable, car on ne peut rien supposer des assaillants. Mais il faut aller le plus loin possible », précise Gérard Berry, professeur au collège de France.

Pour Capgemini, beaucoup peut encore être fait en matière de création de pièges, dans lesquels vont tomber les assaillants, ou de détection de comportements anormaux, notamment au sein de la population des administrateurs systèmes parfois au nombre de plusieurs centaines dans de grandes entreprises. Mais pour Alain Bouillé, le président du Cesin et lui-même RSSI de la Caisse des dépôts, l’essentiel est ailleurs : dans la prise de conscience au plus haut niveau. « L’implication des politiques, très claire sur cette édition du FIC, est positive. On peut espérer sortir de ce rapport de force asymétrique avec les hackers capables de déployer des artilleries très lourde contre leur cible. On peut dorénavant espérer gagner quelques batailles. »