Les failles de sécurité, quelles actions possibles pour les entreprises ?

Les failles de sécurité, quelles actions possibles pour les entreprises ?

Nous recevons tous les jours des annonces de faille de sécurité, toujours plus habiles sur des banques, des OIV, des entreprises de toutes tailles.

Comment faire face à cette guerre économique digitale ?

Quelles actions possibles pour une entreprise, pour tout à chacun.

Nous vous livrons un petit panorama des failles de sécurité possibles et éprouvées et nos recommandations pour 2017.

I- DES CYBER-ATTAQUES VARIÉES

A-VOS DONNÉES : PERSONNELLES OU SENSIBLES SONT LE COEUR DES ATTAQUES

Les pirates volent les données, mais vont plus loin, ils vous les modifient. Avec la multiplication des attaques, les méthodes se raffinent. Voler des données ou pirater des sites web peut rapporter gros en très peu de temps, mais les pirates visent la déstabilisation des entreprises visées, voire des Etats. Ce sont des conséquences à plus long terme qui se jouent avec une stratégie précise. C’est toute la confiance dans certains systèmes d’information ou dans un groupe d’individus qui sera en cause.
Ce genre d’attaques peut affecter certains types d’entreprises qui dépendent de la confiance du public pour fonctionner, par exemple des laboratoires médicaux ou des banques. Bien sûr, les gouvernements et les médias ne sont pas à l’abri.

Le monde politique n’est pas épargné aussi. L’exemple des courriels piratés d’Hillary Clinton, l’entreprise pirate indique que la réelle menace ne se limitera plus pas à la simple exposition de tels contenus, mais bien à leur manipulation pour simuler l’illégalité et causer une réelle confusion dans l’opinion publique. La supposée action de l’Etat russe sur la dernière élection présidentielle américaine en dit long sur cette arme puissante d’influence numérique que sont devenues les attaques internet. Il s’agit de cyber-guerre.

Les pirates ont mis la main sur 500 millions d’adresses IP et ont créé des identités en apparence humaine avec des mouvements de clics, de souris, des faux cookies donnant des informations géographiques ou des historiques de connexion. Ensuite ils ont créé 6000 imitations de sites connus pour les proposer et les revendre aux annonceurs !!

Vos données personnelles valent donc de l’or et sont modifiées et détournées pour rapporter gros aux pirates!!!

Face à la montée des attaques terroristes, les données personnelles sur le téléphone portable sont l’objet d’enquêtes judiciaires. Or il faut une autorisation administrative ou judiciaire selon le pays et surtout débloquer le téléphone.
L’assassinat de l’ambassadeur russe en Turquie, Andreï Karlov le 19 décembre dernier, alors qu’il visitait une galerie d ‘art, démontre la limite de la protection de la vie privée d’un individu. L’iphone 4s du tueur a été retrouvé et les autorités judiciaires de Russie et de Turquie ont demandé à Apple de débloquer l’appareil ios. Cela rappelle le cas de la fusillade San Bernadino et les échanges infructueux entre le FBI et Apple. Aucune réponse n’a été donnée encore à ce jour.

La dernière cyber-arnaque à la publicité, élaborée par des pirates russes a détourné 170 millions aux annonceurs en créant des fausses vues sur des contenus vidéo publicitaires et a rapporté entre 2,8 et 4,8 millions d’euros par jour aux pirates.

B- LES ATTAQUES PROVIENNENT SOUVENT DE L’INTÉRIEUR !

Les attaques les plus dommageables proviennent bien souvent d’employés en interne. En utilisant leurs identifiants légitimes et en sachant où se trouve l’information confidentielle, ils sont beaucoup plus difficiles à détecter rapidement.
Du fait d’employés mécontents ou vengeurs, mais aussi à ceux qui ne respectent pas correctement les processus internes, la charte informatique et les règles élémentaires de sécurité, les attaques se répandant en cliquant tout simplement sur un lien malicieux.

C- LES RANÇONGICIELS : ATTAQUES DE PLUS EN PLUS FRÉQUENTES.

Le rançongiciel est la demande de rançon suite au virus installé dans le système, les données sensibles de votre entreprise sont chiffrées et une rançon est demandée pour vous les restituer. Les experts évaluent que le nombre d’attaques a quintuplé seulement en 2016.
Les hôpitaux sont malheureusement des cibles de choix. Par exemple, cette année, le Hollywood Presbyterian Medical Center, un hôpital de Los Angeles, a dû verser l’équivalent de 17 000 $ en cryptomonnaie en plus de perdre l’accès à son système informatique pendant plus d’une semaine.

Les experts de l’ESET (agence de) prévoient que les rançongiciels en 2017 se feront sur les objets connectés. L’expansion du marché des objets connectés augmente les possibilités d’attaques soit sur une infrastucture critique, soit sur un professionnel ou un particulier.
Les pirates vont plus loin que la prise de contrôle de l’objet mais visent l’inopérabilité et le blocage de l’objet provoquant des accidents graves.

D- L’INTERNET DES OBJETS : LA VULNÉRABILITÉ DE 2017

On se souviendra longtemps de la violation du service DNS du fournisseur Dyn en octobre dernier, ce qui a permis à des logiciels malveillants de se répandre rapidement dans un grand nombre d’appareils, dont des webcams et des magnétoscopes numériques. Le problème est que nous sommes de plus en plus entourés d’appareils intelligents qui demeurent somme toute très peu sécurisés. Ces objets connectés deviennent une porte d’entrée à d’autres points d’intérêts du réseau pour les pirates.
Les attaques sur les objets connectés sont soit intrusion sur les objets connectés comme des points d’entrée sur les réseaux des entreprises, soit usage des objets connectés comme bot pour des attaques Ddos pour neutraliser le site web et provoquer des dysfonctionnements, soit modifier le comportement de l’objet connecté.

L’exemple de l’attaque sur un lecteur d’empreintes digitales qui contrôlait l’entrée d’une usine démontre le manque de sécurité des objets connectés. Les pirates étaient en train de remplacer les données biométriques avec leurs propres empreintes digitales pour pénétrer dans l’usine quand ils ont été arrêtés.

Les objets connectés sont actuellement les parents pauvres du numérique : leur intégrité est rarement contrôlée et le trafic de données sortantes et entrantes n’est pas maitrisé par des règles de pare-feux adéquats.

Face à la montée en quantité d’objets connectés par individu, il convient de :
i) Prévoir une sécurisation des objets connectés dès la conception (security by design) incluant le chiffrement des données, l’authentification forte lors de l’accès, des correctifs automatiques lors des failles de sécurité et des alertes en cas de comportement suspects.
ii) Concevoir une sécurité en amont dès l’architecture réseau (security by architecture) en maitrisant les accès aux réseaux, et évitant les logiciels malveillants.

Les attaques viennent du monde entier et les ingénieurs chargés de cette sécurité n’avaient pas envisagé de telles mesures sur les objets connectés.

II- NOS PRÉCONISATIONS DE SÉCURITÉ POUR 2017

A- UN CONSEIL INTERNATIONAL ÉTHIQUE DES CYBER-ACTIVITÉS SOUS L’ÉGIDE DE L’ONU

Nous sommes en état de cyber-guerre. Les attaques entre Etats le démontrent et les cyber-attaques contre des OIV prouvent le besoin de créer une instance internationale avec des règles précises pour contrôler les algorithmes.

Il ne s’agit pas seulement de contrôler les activités du net par le commerce. La vie numérique ne se résume pas à la vie du e-consommateur, qui est organisée en Europe notamment par le RGDP. La vie numérique va au-delà du simple consommateur pour englober le citoyen l’humain dans toute son identité. Il faut donc réfléchir à toutes les activités humaines sur le net, dans la réalité numérique, virtuelle et augmentée pour proposer un contrôle par un socle de règles de conduite communes aux pays du monde. A l’instar de la charte des droits de l’homme et du citoyen , il nous faut inventer la charte du e-citoyen qui est tout à la fois consommateur, créateur, usager, producteur de données et trop souvent victime.
Il fait donc repenser l’internet comme une toile où liberté numérique rime avec respect des droits de l’homme et du citoyen. Le citoyen n’est pas déconnecté du citoyen numérique.

B- PLUS DE RÉGULATION

i) Réguler les algorithmes
A l’instar du dernier film de Clint Esatwood, plaidoyer pour l’intelligence humaine qui capitalise sur l’expérience de l’homme et sa prise de risques, les algorithmes qui permettent une rapidité et une force de calcul supérieur à la capacité humaine, ne laissent pas de place à la réactivité humaine face à l’erreur.
Les erreurs algorithmiques sont légions :
– Le logiciel APB (admission post bac) coupable d’erreurs d’orientation des étudiants français
– Les mini krachs boursiers dus aux algorithmes du fast trading
– Etc….
Ce qui est en cause est ce qu’on appelle les biais algorithmiques : un ensemble de règles intégrées dans un système et qui produisent à la sortie des conséquences différentes que celles programmées pour tel ou tel groupe.
Le gouvernement a présenté le 15 décembre 2016 le rapport du Conseil Général de l’économie, de l’industrie, de l’énergie et des technologies (CGE) sur les modalités de régulation des algorithmes, en coordination avec la DGGCRF et le CNNum.
Les cinq pistes de ce rapport sont :
– Création d’une plateforme collaborative scientifique française de test des algorithmes
– Créer une cellule de contrôle au sein de la DGCCRF
– Créer un responsable en chef des algorithmes pour le fonctionnement même de l’algorithme
– Promouvoir de façon transversale une bonne pratique des algorithmes
– Lancer un programme de formation des agents opérant un service public pour le respect de la transparence et de la communication sur les algorithmes.

 

ii) Réguler l’’intelligence artificielle
Montréal est en passe de devenir un pôle majeur du développement de l’intelligence artificielle. L’intelligence artificielle entraine aussi de nouveaux risques. L’intelligence artificielle peut être détournée pour programmer des codes qui simulent à la perfection les comportements de certains utilisateurs ou des erreurs de prédiction ou des défauts d’ajustements à la réalité. C’est la recherche des signaux faibles qui importe et ils deviennent difficiles, voire impossibles à détecter. De plus les traces qu’on laisse sur les réseaux sociaux génèrent du contenu qui alimentent l’intelligence artificielle en information comportementale.

C- PLUS DE FORMATIONS

La formation passe par des associations comme le CEFCYS et comme CYBEREDU, qui offrent des compétences dans tous les métiers de la cyber-sécurité.
Il faut former tout le monde, individuellement et collectivement.
Des centres d’entrainement de réponses à la cyber attaque voient le jour comme X- Force command center aux USA, Bluecyforce en France. L’idée est qu’il faut pouvoir additionner les bons réflexes de chacun pour éviter les dommages de masse des cyber-attaques.

Il faut intégrer plus que jamais la confiance dans le numérique et dans l’économie numérique.
Cette confiance ne se fait pas seulement par la technique (double authentification, clés de sécurité etc..) mais aussi par des bonnes pratiques basées sur la loyauté.
Une charte de confiance a été signée le 16 décembre 2016 entre Microsoft et le ministère de l’éducation nationale et le Ministère de la Recherche. Au centre la fouille de données et le partage de données restent des sujets forts et préoccupants.

C’est la polarisation de la société qui nous attend, comme le souligne Lawrence LESSIG, pourtant inventeur des Creatvives commons. Chacun vit dans sa bulle (de données), chacun dans son réseau, dans sa plateforme d’achat, de vente, de communication selon une loi dictée par les algorithmes. Au revoir le jeu du hasard, le calcul des algorithmes vous dicte vos choix. Nous abandons notre libre arbitre à des opérateurs privés et nous tombons dans leur cyber-espace.
Il faut donc dessiner les contours d’une nouvelle société où la participation citoyenne sera au centre. L’internet et ses modèles économiques ont cassé le jeu des intermédiaires, ceci s’applique désormais à la vie citoyenne. Internet techniquement peut le faire.

Cependant il semble que nos législateurs européens soient en retard encore d’une marche puisqu’ils n’entrevoient que le consommateur dans les derniers textes communautaires. Or l’homo europeo numericus n’est pas uniquement un consommateur mais est un être profondément libre qui, osons l’espérer, se souvient de ses pères fondateurs, pour construire une société de cyber-pax europea.

Fermer le menu