Demain, les e-commerçants choisiront de fermer boutique quatre heures en plein boom de Noël, car ils sauront qu'une cyberattaque les cible à ce moment-là. Par Cyrille Badeau, Vice-President Europe de ThreatQuotient
Dans quelques semaines, le 22 décembre, le Responsable de la sécurité informatique d'un grand e-commerçant frappera à la porte de son PDG. Il lui dira que leur entreprise est exposée à une menace de cyber-attaque et qu'il faudra couper tous les services dès le lendemain matin, pendant quatre heures, pour appliquer une protection aux systèmes informatiques. En cette période de forte activité, cela occasionnera une perte sèche de 28 millions d'euros. Si rien n'est fait, l'enseigne courra le risque que des pirates détruisent sa production. Alors, plus rien ne fonctionnera pendant une semaine, soit le temps réglementaire pour réparer les dispositifs de prises de commande, de facturation et bien entendu les sites web. Les pertes se chiffreraient dans ce cas en plusieurs centaines de millions d'euros.
Ce scénario est déjà à l'étude parmi les grandes enseignes de l'e-commerce. Et la question qui les occupe toutes est de savoir si leur RSSI - le responsable de la sécurité des systèmes d'information - se trompera ou pas.
Le RSSI promu au rang de directeur du renseignement
Jusqu'à présent, le RSSI n'a pas l'oreille du PDG. Il reporte très souvent au Directeur des Systèmes d'Information (le DSI), qui a pour mission d'interdire toute mise à jour de l'informartique en fin d'année ; pour l'informatique, il s'agit surtout d'éviter la panne à cause d'un correctif mal appliqué en plein boum des achats de Noël. Alors, quand le RSSI prévient d'un danger, l'usage est plutôt de lui dire de manière condescendante qu'on attendra le 4 janvier pour étudier son problème.
Cette situation, cependant, ne peut plus exister. Au regard du nombre de désastres industriels que les cyberattaques ont provoqué ces derniers temps - la perte de 250 millions d'euros pour le français Saint-Gobain en 2017 a été rendue publique - la tendance est plutôt de mettre en place une capacité de Threat Intelligence ou, dit autrement, un service de renseignement. Il s'agit de donner les moyens au RSSI d'incarner auprès de son PDG le même rôle qu'incarne le Directeur du renseignement auprès du chef de l'État : il doit avoir les preuves que la prise de telle décision mènera à tant de pertes.
Une capacité de gestion du renseignement sur les menaces permettra typiquement d'évaluer un niveau de risque et de le démontrer : description de l'attaquant, de ses motivations, de ses méthodes, de ses attaques récentes chez des concurrents, du calendrier correspondant et des preuves de l'intérêt particulier qu'il porte à l'enseigne, voire des preuves d'actions de préparation détectées au sein de l'infrastructure de l'enseigne.
Newsletter
Ma Tribune
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Le renseignement se cache dans les liens entre les attaques
Le métier du renseignement est de récolter les preuves factuelles. Mais cela ne suffit pas pour inspirer confiance. L'erreur classique que plusieurs RSSI ont déjà commise est de s'être noyés dans une trop grande quantité d'informations et de crier au loup à tort et à travers.
Pour obtenir un renseignement efficace, il faut pouvoir isoler dans le bruit généré par les sources multiples, les quelques informations susceptibles de concerner l'entreprise. Or, cette information ne se trouve pas directement dans les flux de renseignements qui s'achètent même si ceux-ci classifient les menaces par géographie et par secteur d'activité. Elle se trouve en écoutant tout ce qui se passe dans les différents départements de l'entreprise. Chacun de ces départements a connu des incidents. Il s'agit de les regrouper dans une bibliothèque et de les confronter aux informations issues des sources externes afin de mettre en lumière les liens éventuels entre incidents et d'en comprendre la teneur (attaque isolée ciblée ou campagne générique mondiale...). Ce travail de croisement de l'information externe et interne pour identifier des points d'intérêt est la base d'une capacité d'anticipation.
La vertu d'une telle brique d'anticipation est de constituer une mémoire. Dans la plupart des organisations, la détection des incidents est plutôt séquentielle, ce qui pose le problème de traiter un nouvel incident sans forcément se souvenir que le même a eu lieu six mois auparavant. Découvrir qu'un incident est récurrent est un indice qui permet de cerner un adversaire de l'entreprise et d'adapter voire d'anticiper sa posture de défense.
Et si, lors d'un scan de vulnérabilités, on trouve une faille favorite de cet adversaire, qui aurait par exemple impacté un concurrent, alors on il ne sera plus question d'attendre le 4 janvier suivant pour la corriger.
Une équipe d'anticipation pour collecter des marqueurs, les évaluer et les orchestrer
Capitaliser sur les événements internes n'empêche pas d'acheter du renseignement extérieur, mais il faut savoir que 90% de celui-ci ne servira jamais (mais 10% vous sauvera probablement la mise). Pour déterminer la pertinence des renseignements, internes comme externes, la bonne pratique consiste à attribuer des scores et des dates d'expiration aux marqueurs que l'on collecte. La répétition d'un marqueur gonflera son score et repoussera son expiration, l'empreinte d'un fichier dangereux communiquée par l'ANSSI pourra ne jamais expirer, tandis que les URL et les IP d'infrastructures frauduleuses expireront rapidement puisque ces objets sont souvent éphémères.
Encore faut-il déployer l'équipe d'anticipation en charge de ces marqueurs. D'ordinaire, les équipes sous l'autorité du RSSI sont au nombre de trois. L'équipe qui analyse les risques décide du niveau de sécurisation nécessaire sur les équipements. C'est principalement elle qui achète du renseignement extérieur. Les administrateurs des outils de sécurité contrôlent et protègent les serveurs, les postes de travail, les proxies, etc. Ce sont eux qui produisent le plus de renseignements, ne serait-ce que par l'entremise des mises à jour quotidiennes de leurs antivirus et de leurs filtres d'URL. Ils n'ont cependant eux-mêmes qu'une vision parcellaire des menaces, celle des éditeurs. Le pôle Surveillance, enfin, se compose d'un SOC, souvent externalisé, pour détecter les incidents qui impactent l'entreprise et d'un CERT (Computer Response Team) ou CSIRT (Incidence Response Team) internes pour réagir à ces incidents.
Ces équipes sont suffisantes lorsque l'on se considère peu exposé au risque cyber ou peu impacté par le risque cyber et qu'il s'agit juste de repousser le tout-venant des attaques. En revanche, lorsque les incidents deviennent fréquents, la menace d'une attaque ciblée est réelle et la simple réactivité ne suffit plus. C'est à ce moment-là qu'il devient opportun de mettre en place un pôle d'anticipation. Et le RSSI est légitime pour le faire car, désormais, c'est lui que le PDG appelle pour savoir si l'attaque entendue le matin-même à la radio concerne leur entreprise.
