Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybercriminalité : NBS System salue les nouvelles règles de sécurisation décidées par les pouvoirs publics

juillet 2016 par Marc Jacob

La sécurité informatique est devenue un enjeu de sécurité nationale, en particulier avec la montée des risques terroristes. C’est pourquoi, le 1er juillet, le secrétariat général de la défense et de la sécurité nationale a publié les premiers arrêtés relatifs à la sécurité des systèmes d’information des Opérateurs d’Importance Vitale (OIV). Il s’agit d’obliger les entreprises, privées et publiques, ayant des activités indispensables ou critiques pour la sécurité de la population, à prendre des mesures de protection contre les cyberattaques. La défaillance informatique de ces opérateurs pourrait en effet mettre en péril la sécurité nationale.

Cette mobilisation des pouvoirs publics prouve l’importance de la sécurité informatique, qui doit être sérieusement mise en œuvre, au même titre que la sécurité des biens et des personnes.

NBS System, hébergeur infogérant, s’est lancé en 1999 en tant qu’experte de la sécurité informatique. L’entreprise accorde donc une grande importance à ce sujet, dans son ensemble, et participe activement à la prise de conscience par les entreprises et les personnes des risques qui y sont liés.

Dans l’interview qui suit, Philippe Humeau, Directeur Général de NBS System, donne la position de l’entreprise sur ces nouvelles règles mises en place par le gouvernement et l’ANSSI.

Que pensez-vous de cette décision de l’État et de l’ANSSI ?

C’est une très bonne décision, un gros progrès dans le bon sens ! Avec les nouvelles technologies, de nouveaux risques apparaissent, et l’État réagit en conséquence. En effet, la « cyberguerre » est là, c’est indéniable, et elle va continuer à sévir : les vrais bons pirates sont complètement intraçables et même dans les rares cas où on les retrouve, ils sont inattaquables par manque de preuves. Cela offre aux criminels une impunité qu’ils ne sont pas prêts d’arrêter d’exploiter, et qu’une attaque physique ne leur offre pas. Ce n’est pas un combat perdu, mais il ne faut pas pour autant être une victime consentante !

C’est pourquoi l’approche de l’État est la bonne : sensibiliser, imposer des règles pour garantir un minimum de sécurité… L’ANSSI remplit tout à fait son rôle en mettant ces processus et vérifications en place. C’est le moment de protéger ces entités, pour qui la probabilité d’être attaquées est de plus en plus importante.

Selon vous, est-il suffisant d’imposer ces règles uniquement aux OIV ?

Il faut bien remettre les choses dans leur contexte. Qu’elle soit petite, moyenne ou multinationale, la sécurité du système d’information d’une entreprise ne regarde en général qu’elle, ses clients et ses partenaires. Certes, un vol de données dans une de ces entreprises pose de nombreux problèmes, mais elle ne met pas en danger la vie des citoyens.

Les OIV, en revanche, sont des entreprises pour qui les conséquences d’une attaque auraient un impact majeur sur la France et ses citoyens : les fournisseurs d’énergie, les Fournisseurs d’Accès à Internet (FAI), les aéroports… La population française subit un risque, mais ne peut rien y faire ! Imaginez par exemple la paralysie d’une centrale électrique à la suite d’un piratage : une zone entière privée d’électricité, en attendant par exemple le paiement d’une rançon demandée par les pirates ! Ce ne sont pas des scénarios catastrophes : un pirate a déjà réussi à prendre le contrôle d’un opérateur d’électricité américaine, heureusement dans le cadre d’un test…

Malgré cette influence effective sur la population, et le devoir de protection en découlant, les OIV ont été sous-estimés pendant longtemps. C’est donc une très bonne chose que l’État en prenne soin et encadre leur sécurité. Les autres entreprises peuvent bien sûr respecter les règles données par l’ANSSI (et devraient s’en inspirer), mais il n’est pas obligatoire de les inclure dans la règlementation. L’État ne peut pas tout, il a déjà beaucoup à faire avec les OIV, qui doivent eux-mêmes prendre en charge leur sécurité, même s’ils sont guidés et accompagnés par l’ANSSI. Il apporte un contrôle sur ces organismes dans le cadre de la protection des citoyens français ; une fois ce scope passé, ce sont aux entreprises elles-mêmes de prendre leurs responsabilités.

Qu’en est-il des prestataires des OIV ? Sont-ils aussi encadrés ?

C’est la bonne question : les organismes travaillent avec des tiers, qui ne doivent pas devenir des points faibles en termes de sécurité, et donc des points d’entrée pour les pirates. C’est le cas par exemple des hébergeurs ; on parle souvent de FAI, mais les FAI ne font que transmettre de la donnée, ils ne la stockent pas. On sait déjà que l’ANSSI va accentuer son action sur le sujet de l’hébergement sécurisé, notamment avec sa norme de Cloud sécurisé, mais cela ne suffit pas. C’est le seul bémol que je donnerais à cette action.

Pour nous, la sécurisation du système d’information passe aussi par l’hébergement. Chez NBS System, la sécurité c’est notre problème, notre responsabilité, plus celle de nos clients, qui peuvent alors se concentrer sur d’autres sujets (par exemple, la sécurité physique des locaux ou même de leur business).

Un autre problème est lié à la question des prestataires : les OIV utilisent parfois des systèmes et outils propriétaires (par exemple, des scanners General Electric dans les hôpitaux ou des chaines de production mécaniques). Ces systèmes sont rangés dans la catégorie des SCADA (Supervisory Control And Data Acquisition), et cela fait longtemps qu’ils sont dans le radar de l’ANSSI et du gouvernement, de par leur risque de compromission. En effet, il est beaucoup plus sûr de s’appuyer sur des outils open source, dont le code (public, partagé et auditable par définition) a été revu par tous les contributeurs, et donc a moins de chance de contenir des vulnérabilités exploitables. Bien entendu, il n’existe pas encore de technologie open source d’IRM, ce point est donc à relativiser…

Le public devrait-il être tenu au courant des incidents enregistrés ?

Ce serait une mauvaise idée selon moi. Le fait de ne pas divulguer les incidents à plusieurs avantages : cela permet de garder cachées les protections utilisées par l’OIV, et de ne pas donner d’idées à de potentielles personnes mal intentionnées… Tous les détails, même s’ils paraissent anodins, pourraient être utilisés par d’autres pirates pour améliorer l’attaque jusqu’à ce qu’elle réussisse. Il vaut donc mieux que l’ANSSI et les OIV gardent cela pour eux, sauf bien entendu dans le cas d’une attaque réussie où la population serait menacée.

Quels conseils pourriez-vous donner aux OIV ?

Il ne faut pas oublier que ces nouvelles règles ne concernent que le système d’information des OIV, et que d’autres règles de sécurité leur avaient déjà été imposées. Chacune des règles de l’ANSSI a une raison d’être et est totalement justifiée. C’est pourquoi mon premier conseil est simplement de suivre ces règles, de bien réfléchir à chaque point et d’y associer un plan d’action.

Mon deuxième conseil est de penser aussi à bien choisir ses prestataires : Target, l’an dernier, s’est fait compromettre par l’intermédiaire de son prestataire de climatisation. Bien entendu, en termes d’hébergement, nous ne pouvons que vous conseiller de choisir un hébergeur responsable, qui prenne en charge et assure la sécurité de vos données comme de votre système d’information dans son ensemble.

Et aux autres entreprises ?

Les règles de l’ANSSI sont de très bons guides pour atteindre un niveau de sécurité acceptable. Ce n’est donc pas parce que vous ne faites par partie des OIV que vous ne pouvez pas les suivre ! Voici d’ailleurs quelques-unes de ces règles de sécurité des systèmes d’information, sur lesquelles vous pouvez également agir :

• Création d’une politique de sécurité des systèmes d’information (PSSI),
• Cartographie du système d’information, notamment pour apprécier l’impact d’une compromission éventuelle et donc faciliter le traitement des incidents,
• Maintien en condition de sécurité (mise à jour de logiciels et application de correctifs),
• Journalisation (logs) permettant de détecter les incidents et de les investiguer,
• Détection des incidents,
• Mise en place d’une organisation de gestion des incidents,
• Activation de mesures de réaction pour limiter le périmètre de compromission en cas d’attaque,
• Gestion de crise en cas d’attaque majeure,
• Gestion des identités et des accès au système d’information,
• Sécurisation de l’administration du système d’information, notamment par la séparation des flux d’administration et des autres flux,
• Défense en profondeur,
• Évaluation du degré d’exposition du système d’information.




Voir les articles précédents

    

Voir les articles suivants