Dans son rapport annuel dédié à la cybersécurité, le cabinet de conseil EY relève que plus de 88% des grandes entreprises reconnaissent avoir subi un incident de sécurité informatique en 2016. Chaque année, les scandales suite à des attaques informatiques se multiplient. Rien que l’année dernière, on recense notamment deux attaques de grandes ampleurs visant le géant de l’internet Yahoo et le parti démocrate américain. Pourtant, toutes ces organisations disposent d’un budget conséquent pour leur cybersécurité. Au-delà de l’expertise technique que requièrent ces sujets et du manque de ressources humaines formées pour les comprendre, il convient de s’interroger sur les causes permettant la réussite de ces attaques. À l’heure de la digitalisation des entreprises, l’image répandue d’une entreprise protégée comme un château fort ne semble plus adaptée. Pourtant, l’industrie de la cybersécurité semble parfois persister en ce sens.
Le mythe de la sécurité périmétrique reste très présent
Logiciel antivirus, pare-feu ou antispyware, tous ces produits ont aujourd’hui fait leur chemin sur bon nombre d’ordinateurs destinés aux particuliers. Dans le monde professionnel, rares sont les entreprises qui n’en disposent pas : continuellement mis à jour et améliorés, ces produits forment le socle technique en charge de la protection de la plupart des ordinateurs, tablettes et autres ordiphones. Force est de constater que ces produits, aussi sophistiqués soient-ils, ne permettent pas de bloquer efficacement les attaques les plus organisées.
Pour comprendre l’origine de ces attaques, il est nécessaire de rappeler un principe essentiel : les pirates, aussi doués soient-ils, sont de nature plutôt fainéante. Ils chercheront systématiquement la vulnérabilité la plus facile à atteindre pour procéder à leur attaque. Cela signifie donc que notre hacker ne s’attaquera pas aux systèmes les plus sécurisés, mais tentera de trouver un système ayant été oublié dans le processus de mise à jour ou ayant désactivé certains de ses mécanismes de sécurité. Chez les grands groupes, il n’est pas rare que les directions des systèmes d’information (DSI) doivent gérer plus de 300 000 périphériques. Il est donc réaliste de penser que certains systèmes échappent aux contrôles de sécurité. Une fois le pied posé sur le système, le pirate peut alors commencer à s’en prendre au réseau interne d’une entreprise.
Malgré une apparente complexité, la sécurité informatique repose sur des principes simples. L’un des plus importants est la notion de défense en profondeur. La défense en profondeur se définit comme une stratégie de défense consistant à exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu’un composant particulier de sécurité est compromis ou défaillant. Ce principe, pourtant bien connu par les décideurs en sécurité informatique, reste mis en œuvre de manière très approximative aujourd’hui.
En effet, toutes les mesures de protection évoquées jusqu’à présent ont un point commun : elles se concentrent sur les postes de travail (ou endpoints dans le jargon des experts). On appelle cela, la défense périmétrique. Sur ces systèmes, on retrouve un empilement de technologies de sécurité qui, malgré leur efficacité, n’offre qu’un gain de sécurité minime comparé à leur complexité. Le plus embêtant est que ces produits ne participeront jamais à établir une barrière de sécurité infranchissable pour une entreprise.
Le point faible de cette approche périmétrique vient du fait, qu’une fois franchie la barrière des endpoints, un pirate peut s’attaquer librement au système et accéder aux ressources internes d’une entreprise. En pratique, rares sont les produits de sécurité aujourd’hui déployés pour sécuriser le cœur du réseau d’une entreprise. Pourtant, c’est bien là que sont entreposées les données privées que souhaite atteindre un pirate. Il y existe bien quelques exceptions (comme les pare-feu d’entreprises) mais ils semblent bien mal dimensionnés (et surtout mal configurés !) pour faire face à la multitude de menaces.
De manière générale, les produits de sécurité conçus pour protéger le cœur des réseaux d’une entreprise sont rares et peu employés. C’est pourtant là que le gain en matière de sécurité pourrait être le plus important. En effet, tous nos périphériques doivent être reliés à ce cœur de réseau s’ils souhaitent accéder aux données de l’entreprise. Il semble donc assez logique de vouloir sécuriser le nœud central plutôt que de s’épuiser à sécuriser l’ensemble des ressources qui gravitent autour. À titre d’exemple, les chercheurs en sécurité s’accordent aujourd’hui pour dire qu’Active Directory est une brique de sécurité méconnue, mais pourtant essentielle à la sécurité d’une entreprise. Seul problème, il n’existe quasiment aucune solution satisfaisante permettant à un décideur de savoir si son infrastructure d’authentification est dans un état de sécurité convenable au quotidien.
Les produits de détection ne permettent pas d’améliorer la sécurité d’une entreprise
À défaut d’être en mesure de bloquer une cyberattaque, le marché de la sécurité semble aujourd’hui se tourner vers des solutions de détection. Véritable système d’alarme numérique, ces produits tentent de détecter un pirate par tous les moyens possibles : analyse des flux réseau, corrélation d’alertes (avec des technologies proches du big data ou de l’intelligence artificielle), honeypots ; nombreuses sont les solutions disponibles sur ce secteur.
Il est bon de rappeler que ces produits se contentent de soulever des problèmes sans aider à leur correction pérenne. Dès lors, consacrer une part importante d’un budget sécurité à mettre en lumière des problèmes que l’on ne serait plus en mesure de traiter faute de budget semble être une approche résolument vouée à l’échec.
De plus, pour comprendre la limite de cette approche, il est nécessaire de se demander ce que ces produits peuvent et surtout ne peuvent PAS détecter. Présenter une solution de détection comme un outil de réponse omniscient risque d’instaurer chez une entreprise une fausse sensation de contrôle. Cela entraînerait une stagnation de la modernisation des moyens de défense ce qui pourrait octroyer à un attaquant une quasi-impunité si celui-ci arrive à échapper au système de détection.
Une stratégie plus raisonnable serait donc de penser ces outils comme l’aboutissement d’une stratégie de défense qui commencera par construire des fondations solides avant de les compléter par les moyens de détecter les éventuelles fissures que nous aurions pu oublier.
La réussite des cyberattaques contre les entreprises est rendue possible par l’absence d’application du principe bien connu de défense en profondeur. En particulier, le manque de solutions permettant de protéger efficacement les services internes d’une entreprise rend difficile la mise en œuvre d’une stratégie de sécurité adaptée à la complexité grandissante des réseaux informatiques d’une entreprise. L’approche réactive très en vogue ces derniers temps ne devra pas faire oublier les fondamentaux qui permettent de bâtir une infrastructure sécurisée et robuste. Afin d’apporter une réponse enfin efficace à ces problèmes, il semble pertinent d’initier des démarches visant à cartographier les biens sensibles de l’entreprise afin d’en identifier les moyens d’accès afin d’aboutir à une protection efficace de ces derniers. Plus facile à décrire qu’à mettre en œuvre ?
CTO et co-fondateur d’Alsid, Luc Delsalle est un ingénieur en sécurité qui a également passé 6 ans au sein de l’ANSSI.