Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gérôme Billois, Solucom : Les attaques ciblées, une réalité de plus en plus difficile à contrer

février 2011 par Gérôme Billois – Manager Sécurité – Solucom

Aurora, Stuxnet, Dragon night : trois noms qui mettent en lumière l’arrivée concrète des attaques ciblées. Faisant autrefois partie du « folklore » de la sécurité, les attaques ciblées étaient une menace lointaine et peu concrète pour une majorité d’entreprises. Mais depuis 2010 l’attaque ciblée contre Google a permis le vol d’une partie du code source des mécanismes d’authentification, le virus Stuxnet a entraîné la destruction de systèmes industriels en Iran et voici qu’en 2011 une attaque ciblée sur le secteur de l’énergie est dévoilée. Les conséquences de Dragon night sont encore à préciser mais l’on voit bien que les moyens consacrés à ces attaques sont sans commune mesure avec des incidents rencontrés classiquement tels que les attaques virales ou les réseaux de botnet.

Les attaques ciblées utilisent unitairement des failles simples mais les conjuguent de manière coordonnée sur tous les canaux possibles (Web, messagerie, poste de travail, ingénierie sociale, vols de login/mot de passe, utilisation du VPN…). L’objectif est de pénétrer progressivement les réseaux d’entreprise pour compromettre les postes de personnes clés et ainsi accéder aux données les plus sensibles.

Lutter contre ces attaques ciblées est complexe. En particulier dans les cas les plus pointus où l’on rencontre l’utilisation de failles non encore publiées, donc sans correctifs, ou de codes malicieux dédiés, donc non détectés par l’antivirus. Cependant de manière générale les personnes malintentionnées utilisent des failles classiques qui pourraient être interceptées par les outils classiques s’ils étaient bien configurés. Mais cela requiert une vraie rigueur dans le maintien du niveau de sécurité dans le temps. Et c’est là où le bât blesse ! Aujourd’hui peu d’entreprises assure un vrai contrôle permanent dans le temps des différents moyens de sécurité : tests d’intrusion réguliers sur les applications exposées, application rapide et suivi des correctifs, contrôle sur le taux de déploiement et de mise à jour de l’antivirus, vérification des paramètres de sécurité des postes à chaque connexion… C’est en s’assurant que les briques de sécurité jouent réellement leur rôle que l’on peut diminuer l’exposition aux attaques ciblées. Et au-delà même de la protection, les systèmes de détection et de traçabilité deviennent essentiels pour identifier ces attaques, réagir rapidement et pouvoir en comprendre les conséquences.

Nombre de sociétés ne sont pas aujourd’hui en mesure de détecter et de réagir à ces attaques car cela nécessite des moyens financiers et humains importants en particulier si l’on doit protéger un niveau avancé l’intégralité du SI. Pour rationaliser les efforts, le RSSI doit s’appuyer sur une approche de protection centrée sur les données les plus sensibles. En se focalisant sur le périmètre, il sera alors plus facile de déployer des moyens avancés et surtout de les suivre de manière efficace dans le temps.

Une gestion opérationnelle de la sécurité efficace couplée avec une stratégie de protection des données prend tout son sens aujourd’hui !


Voir les articles précédents

    

Voir les articles suivants