SolarWinds : quelle leçon tirer de l’attaque du siècle ?

Les catastrophes semblent avoir été la norme en 2020. Souvenez-vous l’attaque “SolarWinds”, une infiltration d’une ampleur sans précédent, visait le gouvernement, et ses répercussions sont encore d’actualité. A l’origine, un serveur de l’entreprise de logiciels texane fait l’objet, en septembre 2019, d’une attaque informatique non détectée, alors que les pirates accèdent au système de production d’Orion, le logiciel phare de SolarWinds utilisé par des milliers d’entreprises dans le monde, mais aussi par différents gouvernements.

La technique des cyberattaquants consistait à installer un virus dans le système de mise à jour d’Orion. Les clients qui ont téléchargé et installé la mise à jour infectée ont donné la possibilité aux pirates d’accéder à leurs réseaux informatiques sans être détectés.

Si des entreprises ont ainsi pu être infiltrées, l’impact le plus catastrophique concerne le gouvernement américain, dont au moins six départements ont été touchés, à savoir l’Énergie, le Commerce, le Trésor, le département d’État ou encore l’Administration nationale de la sécurité nucléaire. Si on ne connaît pas précisément le volume d’information volées, on sait que l’attaque a duré des mois, probablement la majorité de l’année 2020, et que des failles sont encore relevées actuellement. Ce qui laisse présager la potentielle catastrophe en matière d’utilisations de données confidentielles, alors que les “backdoors” qui ont été installées lors de leur infiltration n’ont même pas encore toutes été détectées.

Il est primordial de ne pas attendre qu’une attaque se produise pour faire le ménage et constater l’étendue des dommages. Il est indispensable d’empêcher en amont les accès illicites et d’apprendre à contrôler le système pour se prémunir contre toute infiltration. Mais pour cela, il faut bien sûr comprendre l’évolution des techniques d’attaque et de piratage.

Sécurisation du SI : la nécessaire remise en cause de la notion de périmètre
Certes, la sécurité totale n’existe pas. Ce que les entreprises doivent assurer, c’est au minimum une sécurité optimale pour leurs réseaux et leurs utilisateurs. On l’a vu avec SolarWinds dont les outils de monitoring et de gestion ont été attaqués : les pirates n’ont pas cherché à attaquer directement le gouvernement, mais ils ont trouvé un biais grâce au phishing en installant un virus qui serait ensuite installé par les utilisateurs de toutes les organisations recourant au logiciel Orion.

A l’heure du télétravail généralisé, il est plus que jamais nécessaire de sensibiliser les utilisateurs à la nécessité d’une vigilance extrême. Mais pas seulement : il appartient aux entreprises elles-mêmes de déployer les approches pertinentes pour protéger leurs accès. Le modèle Zero Trust constitue une solution tout à fait adaptée au contexte.

Zero Trust est en effet promu comme une garantie d’accès aux ressources informatiques dans des contextes d’usages mixtes (télétravail, BYOD, cloud) : Il est question de remettre en cause la “confiance implicite” accordée dans le modèle périmétrique. L’accès à des données professionnelles dans des contextes non encadrés explose alors même que les menaces évoluent et se font de plus en plus pernicieuses. Les mesures traditionnelles de sécurisation du système d’information (pare-feu, cloisonnement physique ou logique, VPN) ne suffisent plus. Il faut faire évoluer la notion de périmètre.

Zero Trust : la garantie d’accès sécurisés aux ressources informatiques dans des contextes d’usages mixtes

Zero Trust implique donc de réduire cette fameuse confiance implicite et d’observer en permanence les droits et niveaux d’accès des utilisateurs connectés au réseau et aux équipements d’une entité donnée. Certes les protections périmétriques ne disparaissent pas, mais on les assortit de contrôle réguliers, dynamiques et granulaires selon quelques principes incontournables.

Il s’agira ainsi d’accorder un accès sur la base du plus faible niveau de privilège nécessaire pour réaliser une tâche, avec un contrôle qui sera similaire quelle que soit l’origine de la demande d’accès, que le périmètre soit intérieur ou extérieur à l’organisation. L’utilisateur n’est plus “de confiance” par défaut : il faut estimer qu’il est bien celui qu’il prétend être et lui accorder l’accès le plus strict possible. En parallèle, il faudra bien sûr veiller à s’assurer de la fiabilité et la viabilité des équipements, tout en assumant en permanence que le système n’est pas infaillible et qu’une attaque peut survenir à tout moment. Les défaillances éventuelles seront ainsi anticipées et analysées en continu pour faire preuve de proactivité en cas de faille, laquelle pourra bel et bien être constatée et traitée.

Avec la méthode Zero Trust, il est donc question pour les entreprises et les organisations de revoir entièrement leur philosophie en matière de gestion des accès. Son adoption est en pleine explosion dans le contexte de télétravail impulsé par la pandémie. Selon Deloitte, 37,4 % des professionnels de la sécurité admettent avoir accéléré leurs efforts en la matière avec la crise de Covid. Un chiffre qui ne devrait cesser d’augmenter, et qui montre bien la nécessité actuelle d’évoluer avec les menaces pour mieux s’en protéger.