Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ARCSI : la SSI au cœur de l’Intelligence Économique

avril 2012 par Emmanuelle Lamandé

Le développement accéléré d’Internet et des nouveaux outils de communication n’a de cesse de faire affluer l’information de toutes parts. Difficile dans cet agrégat d’identifier et de protéger les informations réellement stratégiques pour l’entreprise… d’autant que les risques d’altération, de corruption et autres actions malveillantes sont décuplés dans le monde virtuel. Comment peut-on alors garantir l’intégrité ou la confidentialité d’informations si sensibles pour son entreprise ? Comment veiller à l’herméticité de ses systèmes ? Quel est l’impact de la Sécurité des Systèmes d’Information sur l’Intelligence Économique ? L’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) ouvre le débat à l’occasion de son dernier colloque qui s’est tenu à Metz.

Qu’il s’agisse de grands groupes, d’institutions ou encore de PME, chaque entreprise dispose, à son échelle, d’un patrimoine informationnel qui lui est cher. La gestion et la maîtrise de ces informations stratégiques, sensibles, voire confidentielles, sont nécessaires à la pérennité de l’entreprise et à la transmission du savoir-faire au sein même de la structure. L’enjeu est donc de taille, notamment à l’ère du tout numérique. Personne n’est, en effet, aujourd’hui à l’abri d’un acte de malveillance ou de négligence. Chaque entreprise se doit donc de mettre en œuvre des moyens de défense en rapport avec l’importance des enjeux la concernant. Pourtant, aujourd’hui la plupart des entreprises ne sont toujours pas vraiment sensibilisées à ces problématiques et ne savent d’ailleurs même pas si elles ont déjà été victimes d’une attaque ou non, constate le Général Jean-Louis Desvignes, Président de l’ARCSI.

Quelle politique de défense et de sécurité nationale ?

Les cybermenaces font partie des points essentiels qui peuvent mettre à mal l’économie d’un pays, explique M. le Préfet Richard Vignon, Préfet délégué pour la défense et la sécurité auprès du Préfet de la zone EST. C’est d’ailleurs pour faire face à ces menaces qui pèsent sur les systèmes d’information numériques que le Livre blanc sur la défense et la sécurité nationale de 2008 préconisait la mise en œuvre d’un ensemble de mesures. Toutefois, un certain nombre de facteurs nouveaux n’avaient pu être pris en compte à l’époque, comme la crise économique, mondiale et européenne, ou encore le Printemps arabe, qui ont modifié depuis l’approche géostratégique…

Le livre blanc sur la défense et la sécurité nationale avait notamment préconisé en 2008 de doter notre pays d’une stratégie de sécurité active. L’ANSSI a d’ailleurs été créée dans cette logique en 2009. La DCRI est, quant à elle, une pierre angulaire de ce dispositif. La capacité de l’État a également dû être renforcée tant au niveau central que local. C’est pourquoi il a été décidé, en complément de la création de l’ANSSI, la mise en place au niveau de chaque zone de défense et de sécurité d’un observatoire zonal de la sécurité des systèmes d’information (OzSSI). Ces observatoires, créés par le ministère de l’Intérieur, ont pour mission de relayer, sur l’ensemble du territoire national, les mesures prises pour améliorer la sécurité des systèmes d’information, mais aussi faciliter le partage des connaissances et les échanges de bonnes pratiques en matière de SSI. À cette fin, ils animent un réseau largement ouvert à l’ensemble des acteurs concernés : collectivités territoriales, organismes ayant une mission de service public, entreprises et opérateurs privés, etc.

En 2009, ces observatoires zonaux, à l’instar de celui de la zone de défense Est, ont été lancés en France métropolitaine dans chacune des sept zones, ils sont placés sous l’autorité du préfet de zone de défense et à la sécurité. L’OzSSI de la zone de défense Est couvre 5 régions administratives (Alsace, Bourgogne, Champagne-Ardenne, Franche-Comté et Lorraine). Son siège se situe à Metz.

L’observatoire, c’est l’oreille sur le terrain, explique René MENOT, Chef du Pôle Sécurité des Systèmes d’Information et Délégué de l’OZSSI de la zone de défense et de sécurité Est. C’est l’observateur qui remonte l’information. Il assure une assistance dans les traitements des incidents, mais aussi la communication et la diffusion des alertes SSI… Il apporte, en outre, conseils, informations et formations. La zone comprend à l’heure actuelle près de 140 correspondants (administrations, collectivités locales, chambres professionnelles…). Le pilotage est assuré par un délégué zonal du SZSIC Est. Parmi les différentes perspectives qui restent à développer, il mentionne, entre autres, le développement d’outils d’analyse permettant de sensibiliser, l’orientation dans la mise en place de PSSI, la poursuite des actions de formation, mais aussi le renforcement de la remontée d’incidents vers le Haut Fonctionnaire de Défense (HFD) et l’ANSSI.

De son côté, l’organisation institutionnelle de l’Intelligence Économique s’articule autour de 3 axes clés, souligne M. le Sous-préfet Philippe Ramon, Adjoint du Délégué Interministériel à l’Intelligence Économique, Chef du pôle Sécurité économique et affaires intérieures :
- La veille stratégique : l’Etat veille par lui-même pour lui-même. Ainsi, il doit disposer d’outils de veille. Les informations obtenues permettent d’élaborer des notes à destination de l’Etat.
- Le soutien à la compétitivité des entreprises : à travers la valorisation de la recherche publique au profit des entreprises françaises et européennes, le développement de l’influence de la France et de son rayonnement économique, ou encore le soutien auprès des entreprises souhaitant investir à l’étranger.
- Enfin, la garantie de la sécurité économique : il s’agit ici d’identifier les menaces et de prévenir les établissements de recherche et les entreprises. Parmi les principales menaces, on retrouve notamment celles qui pèsent sur l’innovation, la R&D, les actifs stratégiques, via les SI, le détournement de personnels, la corruption... Un volet important est également lié à l’image et à la réputation des entreprises qui peuvent être entachées par un processus de dénigrement, une tentative de déstabilisation… Toutefois, il ne faut pas perdre de vue que les attaques sont souvent liées à la négligence et auraient donc pu être évitées.

La Loi « Secret des Affaires » proposée par Bernard Carayon, adoptée le 23 janvier 2012 par l’Assemblée Nationale, pourrait aider les entreprises à aller dans ce sens. Cette loi vise à mettre à la disposition des entreprises françaises des règles susceptibles d’empêcher que, par des moyens indus, leurs concurrents n’entrent en possession d’informations sensibles pouvant compromettre gravement les intérêts de l’entreprise. Cette Loi intègre une véritable notion de Label « Confidentiel Entreprise » et un travail d’intelligence économique renforcé. On observe d’ailleurs une attente très forte de la part des entreprises en la matière.

Cybersurveillance et protection de l’information : que dit la Loi ?

Qu’il s’agisse de grands groupes, d’institutions ou encore de PME, personne n’est aujourd’hui à l’abri d’un acte de malveillance. Que peut faire l’entreprise ? Dans quelles mesures peut-elle recourir à la cybersurveillance ? Quelles en sont les limites ? Pour Isabelle Landreau, Avocate au barreau de Paris, l’entreprise doit déterminer, dans un premier temps, le degré de confidentialité qu’elle souhaite : quelles sont les données confidentielles, celles qui sont tenues au secret…

Parmi les principales obligations des employés vis-à-vis de leur entreprise, on retrouve notamment le principe de loyauté. Chaque employé doit, en effet, exécuter son contrat de travail de façon loyale, et ne doit pas dénigrer son employeur, en tous cas ni dans les sphères professionnelles et publiques. Les réseaux sociaux sont, en ce sens, un phénomène explosif pour les entreprises. D’ailleurs, 31% des employeurs auraient pris des mesures de contrôle sur les réseaux sociaux suite à des utilisations abusives ou autres problèmes. 29,3% des entreprises bloqueraient systématiquement l’accès aux médias sociaux. Difficile cependant d’être aussi drastique pour bon nombre de sociétés qui utilisent ces médias comme outils de communication. Une vigilance particulière s’impose donc, d’autant que l’employeur peut être responsable du fait de son employé (article 1384 du Code civil).

Pour Isabelle Landreau, il est important que l’entreprise contrôle l’usage d’Internet dès le départ et définisse clairement les différents types de données, en fonction de leur caractère plus ou moins sensible, le niveau de contrôle associé, le responsable du contrôle…

Quant à l’employeur, deux obligations s’imposent :
- L’obligation de transparence : qu’il s’agisse de vidéosurveillance, de contrôle d’accès, de géolocalisation…, il faut informer les employés de tous les contrôles qui seront faits ;
- L’obligation de proportionnalité : les mesures restrictives de liberté ne sont admises que si elles sont justifiées par la nature de la tâche à accomplir et proportionnelles au but recherché.

Parmi les prérequis, il est essentiel pour l’entreprise d’établir au préalable une charte de confidentialité. Cette charte doit être signée par chaque employé. Selon l’article 122-39 du Code du travail, cette charte peut être assimilée à un règlement intérieur. Il faudra toutefois en assurer la publicité par voie d’affichage. Cette charte devra également être soumise aux institutions représentatives du personnel (IRP), communiquée à l’inspection du travail et déposée au greffe du conseil de prud’hommes du ressort de l’établissement considéré.

Afin de se prémunir contre la fuite d’informations et se protéger d’éventuelles attaques contre l’entreprise, Isabelle Landreau recommande, outre une définition précise des données confidentielles et des données stratégiques, de stocker les informations relatives au secret des affaires sur des machines bien distinctes et isolées.

LORIA : la recherche au service de réponses techniques

Le LORIA (Laboratoire lorrain de recherche en informatique et ses applications) a pour mission, depuis 1997, la recherche fondamentale et appliquée en sciences informatiques. Plus de 400 personnes travaillent aujourd’hui au sein du LORIA, dont 160 chercheurs permanents. Parmi eux, 25 consacrent leurs recherches à la sécurité informatique autour de différents axes : la virologie et l’étude des logiciels malveillants (équipe CARTE), les primitives cryptographiques (équipe CARAMEL), la vérification formelle de protocoles de sécurité (équipe CASSIS)…

De très nombreuses applications, des cartes bancaires aux services Web, s’appuient aujourd’hui sur le cryptosystème RSA, explique Pierrick Gaudry, Responsable de l’équipe CARAMEL du LORIA. Il est d’ailleurs le plus fréquemment utilisé. La sécurité de ce système à clef publique RSA repose sur la difficulté présumée de la factorisation d’entiers. A titre d’illustration, il prend l’exemple d’un site Web lambda sur lequel il est facile de retrouver, dans les détails, l’identité du certificat. La clé publique est un entier ; si on sait factoriser cet entier, on peut personnaliser le site comme on le souhaite.

Le site www.keylength.com/ permet de déterminer le temps que prendrait la factorisation d’une clé de telle ou telle taille. Toutefois, cette estimation tient uniquement compte du temps de calcul, mais pas du temps de communication et de la mémoire nécessaire.
Le dernier record en date est le cassage fin 2009 d’une clé de chiffrement RSA de 768 bits, suite au défi lancé par RSA en 1991. L’équipe de chercheurs à l’origine de ce nouveau record a mis près de 2 ans et demi pour parvenir à la factorisation d’un nombre contenant 232 chiffres décimaux. Cette performance aura nécessité un réseau de plusieurs centaines d’ordinateurs. Le précédent record datait de 2005 avec un nombre fait de 200 chiffres décimaux (663 bits), et avait été réalisé par la même équipe. Bien que cette taille de clé ne soit plus utilisée à ce jour, la puissance de calcul nécessaire pour casser une clé de 1024 bits devrait, quant à elle, être disponible dans les prochaines années. « Notre équipe travaille actuellement sur l’utilisation de courbes elliptiques plutôt que de clés RSA ».

Jean-Yves Marion dirige, quant à lui, les activités de recherche, au sein de l’équipe CARTE du LORIA, concernant la logique et la théorie de la complexité, et s’intéresse à la virologie informatique. Pour lui, les systèmes de défense existants aujourd’hui, de type pare-feux et antivirus, ne détectent que ce qui est connu. Aussi, une simple mutation de code malveillant permet de varier quelque peu l’attaque et donc de passer outre ces systèmes de protection. Les virus récents Stuxnet et Duqu, qui visent plus particulièrement les grandes infrastructures, en sont l’illustration.

Malgré les similitudes existant entre ces deux malwares, notamment au niveau des mécanismes d’infection et de propagation, aucun des 43 antivirus de VirusTotal qui connaissaient Stuxnet depuis juin 2010 n’a su détecter Duqu avant septembre 2011.

Le LORIA propose en la matière une nouvelle méthode permettant de caractériser les virus, plus intrinsèque que les classiques bases de signatures, et qui se veut plus résistante aux mutations des virus. « Nous travaillons, en effet, au sein du LORIA sur la détection de codes malveillants par analyse morphologique, et avons développé son propre antivirus. Nous utilisons, pour ce faire, un ratio de comparaison sur différents critères entre Duqu et Stuxnet. Duqu est donc détecté à partir de Stuxnet par notre antivirus grâce à une analyse morphologique ».

L’Intelligence Économique… au-delà des contraintes techniques

Le SI représente certes une voie royale pour accéder aux informations d’une entreprise, toutefois on n’a pas forcément besoin de le pénétrer pour arriver à ses fins, constate le Commandant Rémy Février, Officier sous contrat de la Gendarmerie Nationale, ancien chef d’entreprise :
- Dans la majorité des cas, le test du « Paper Board » est significatif : certaines informations stratégiques évoquées en réunion apparaissent clairement au fil des pages du « Paper Board », mettant en péril la sécurité de l’entreprise ;
- Les photocopieurs, imprimantes... sont aujourd’hui de véritables appareils multifonctions avec disques durs, et doivent donc faire partis des points de vigilance pour l’entreprise ;
- Le vol d’ordinateur est aujourd’hui monnaie courante et ces vols sont parfois véritablement ciblés. Il faut également être particulièrement vigilant lors de déplacements à l’étranger. Il n’est, en effet, pas rare de se voir confisquer provisoirement son ordinateur par la douane sous de faux prétextes. C’est ce qui est arrivé à un salarié d’une entreprise française, avec pour conséquence le vol des plans d’un prototype. Dix-huit mois après cet événement, la société déposait le bilan.

Ces risques ne sont pas à prendre à la légère, quelle que soit la taille de votre entreprise, car ce sont avant tout vos emplois qui sont en danger, rappelle-t-il. Pourtant, alors que les PME constituent l’essentiel du tissu économique national, bien peu de leurs dirigeants ont conscience de la nécessité d’intégrer la sécurisation des informations stratégiques au rang de priorité et d’en faire un axe majeur de la culture d’entreprise.

Malgré tous les dispositifs techniques de protection (pare-feu, antivirus, antispam, protection du document…), la fuite d’information n’a, en effet, jamais été aussi courante, remarque Eric Wies, Représentant du CLUSIR - Est, Responsable informatique de l’Unité de Formation de Recherche en Mathématiques Informatiques, Mécanique et Automatique de l’Université de Lorraine. Elle est issue de 3 principaux facteurs : l’importance de la donnée numérique devenue capital d’entreprise, le mélange des dispositifs personnels et d’entreprise (la consumérisation) et les réseaux sociaux. Les conséquences peuvent être multiples, car outre la mise en danger non seulement des données, elle peut également toucher des personnes et des biens.

L’intrusion dans un réseau se fait très facilement, mais pour cela rien ne sert d’utiliser une quelconque combine technique quand une simple demande « gentille » suffit. Il prend l’exemple d’un « fournisseur de photocopieurs ». Dans le cadre d’un changement d’équipement, celui-ci envoie un formulaire demandant à l’entreprise les « Login/mot de passe » de l’administrateur, afin de permettre au technicien d’intervenir dans les meilleures conditions possibles. L’opérateur remplit le document, mais ne le renvoie pas. Il demande, en effet, le support du service informatique… car il ne connaît pas le mot de passe !

Autre exemple à la Cour d’appel de Metz, censée être plus sécurisée… L’entrée y est certes restreinte pour les visiteurs, mais non contrainte pour les personnels. Toutefois, on peut trouver sur les réseaux sociaux un tas d’informations concernant ces mêmes personnels (adresse, hobbies, fonction dans la Cour d’appel…). Alors il suffit aux personnes malveillantes d’exploiter ces informations pour entrer ou faire entrer un matériel quelconque dans la Cour d’Appel.

Dans l’usine d’un grand constructeur informatique, tous les travailleurs sont soumis à une certaine surveillance (portiques, fouilles, vidéosurveillance…). Mais les visiteurs peuvent garder leur téléphone et donc très facilement prendre des photos, effectuer des enregistrements audio et vidéo… et poster le tout sur Internet en temps réel !

En novembre 2010, le groupe humoristique de Canal +, Action Discrète, diffuse une vidéo filmée en caméra cachée (http://www.canalplus.fr/c-humour/pi...), montrant comment l’équipe a successivement réussi à pénétrer les locaux de Libération, du Nouvel Observateur et de Marianne. Sous des prétextes divers et variés, et pour le moins farfelus (mesure d’hygrométrie, Père Noël…), ils ont ainsi réussi à cartographier l’intérieur des bureaux, installer des caméras, placer un enregistreur dans une salle de réunion…

Formation et sensibilisation : de l’école à l’entreprise…

Face à ce phénomène, nous ne pouvons que principalement compter sur la formation et l’information des individus, et ce qu’il s’agisse d’entreprises ou du grand public. Cette formation doit commencer le plus tôt possible à l’école et être suivie tout au long du cursus scolaire et au-delà. Il faut répandre les bonnes pratiques, conclut-il.

Le CFSSI (service de l’ANSSI chargé de la formation des agents publics dans le domaine de la sécurité des systèmes d’information) avait réalisé, dans cette optique, en 2005, avec le réseau des Chambres de Commerce et d’Industrie et le ministère des Finances, un DVD intitulé « Bienvenue dans la SSI », explique Philippe Wolf, Conseiller du Directeur général de l’ANSSI. Différentes « saynètes » mettaient ainsi en scène un certain nombre de situations et délivraient les messages pédagogiques associés : installation d’un keylogger par un stagiaire, corruption d’une femme de ménage par une entreprise concurrente, téléchargement d’un trojan lors d’un surf sur Internet…

7 ans après, soit une éternité dans le cybermonde, ces « saynètes » sont-elles vraiment éloignées de la réalité des cybermenaces actuelles ? Les situations rencontrées par les entreprises et les messages pédagogiques véhiculés par ce support de formation sont-ils foncièrement différents aujourd’hui ?
Certes, le monde numérique évolue très vite, les applications se multiplient, les objets deviennent communicants (voitures, smart grids, etc.)… ce qui les rend toujours plus vulnérables. Nous nous dirigeons, de plus, vers ce qu’il appelle l’ère du CaaS (Crime as a Service). Mais, au final, les messages de sensibilisation véhiculés sont toujours plus ou moins les mêmes aujourd’hui, car les techniques d’attaques restent le plus souvent « classiques » et font appel à des techniques bien rodées, qu’il s’agisse d’exploitation de failles de sécurité ou d’ingénierie sociale…

La SSI dépend aussi des dispositifs physiques qui entourent ces systèmes

La sécurité des systèmes d’information dépend autant des mesures de protection qui leur sont propres que des dispositifs physiques qui les entourent, souligne le Colonel Jean Mornard, Directeur régional de la Protection et de la Sécurité de la Défense de Metz. Ainsi, c’est tout un écosystème auquel il est indispensable de réfléchir en amont afin de protéger son patrimoine, numérique ou non.

Dans le cadre de ses missions de sécurité économique et de la protection du secret de la défense nationale, la DPSD conseille les entreprises non seulement en SSI, mais également sur des aspects parfois négligés de la sécurité générale et particulière des sociétés.

Selon lui, il faut, dans un premier temps, savoir ce que l’on doit protéger. On ne peut pas tout protéger de manière égale. Avant de savoir comment protéger son patrimoine, il faut donc que celui-ci soit clairement identifié et décider en amont d’une politique de sécurité.

Concernant la protection physique, le défi repose sur le triptyque « détecter, protéger et intervenir ». L’intrusion se fera généralement si trois critères sont réunis : la facilité, l’impunité et la motivation.
Selon une étude menée par le CNPP (Centre National de Prévention et de Protection) concernant l’habitat, 82% des intrusions se feraient par la porte, 16% par la fenêtre. 30 à 40% des intrusions cesseraient en cas de détection précoce. Le temps est, dans ces cas-là, un facteur clé ; la détection est donc primordiale.
Enfin, la sécurité physique d’une entreprise ne sert à rien si vous ne protégez pas ce qui sort de l’entreprise (via vos salariés). Il ne faut pas oublier que l’homme se trouve au cœur de la SSI.

Pour conclure cette journée, deux des démonstrateurs de l’ARCSI nous ont prouvé qu’il y a et qu’il y aura toujours des moyens de contourner les dispositifs de sécurité par l’exploitation de failles de sécurité :

- Manipulation d’un poste de travail avec une clé USB :
Un expert de l’ARCSI nous montre comment, grâce à une petite puce programmable Teensy, que l’on peut mettre dans une clé USB ou une souris, il arrive à lancer l’exécution automatique de code sur un poste de travail Windows 7 malgré la désactivation de l’autorun. Le lancement d’un exécutable directement sur la clé permet de contourner l’autorun désactivé.

- Vol de données sur un disque chiffré :
TrueCrypt permet de chiffrer tout ou partie du disque. Donc, théoriquement, en cas de vol de l’ordinateur, il n’y a pas de risque puisque les données sont chiffrées, mais ce n’est pas tout à fait exact si la partition est ouverte. Grâce à sa forte entropie, il est possible de conserver la clé AES en mémoire pendant un bref délai (un délai amplifié si vous arrivez à geler la mémoire avec une bombe à froid). A partir du moment où la mémoire vive est conservée, l’utilisation de Passware permet de déchiffrer le disque.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants