Protéger les infrastructures critiques contre les cybermenaces

  Posted On   By Razvan MURESAN   Cybersécurité pour les entreprises

 

 

Plus tôt cette année, lors de la RSA Conference 2017, Bitdefender a interrogé un certain nombre de responsables de la sécurité des systèmes d’information (RSSI) sur leurs principales préoccupations en matière de cybersécurité. Plus de 37 % des RSSI interrogés ont classé les menaces persistantes avancées (APT) en tête. L’étude a aussi révélé que pour 39 % des RSSI interrogés, les vulnérabilités zero-day sont une source d’inquiétude constante.

 

Dans le paysage moderne de l’interconnectivité des actifs d’infrastructure critique et de la technologie des systèmes, l’attention n’a jamais été autant portée sur la sécurité des infrastructures critiques. Les cyberattaques peuvent passer inaperçues pendant des mois et, dans la plupart des cas, les violations résultent de vulnérabilités zéro-day et de malwares au niveau du kernel. C’est précisément ce à quoi tendent les APT, car cela les empêche d’être détectés. Les APT ne se limitent pas aux attaques commanditées par des États, les entreprises peuvent également en être victimes lorsque les concurrents exploitent des vulnérabilités zéro-day pour installer des malwares hautement ciblés à des fins d’espionnage industriel et de vol de propriété intellectuelle.

 

Les gouvernements pourraient également utiliser frauduleusement des données sensibles exfiltrées à des fins militaires. Un exemple parlant d’APT utilisée pour voler des informations est la menace NetTraveler. Trouvant discrètement des informations depuis 2004, plus de 22 gigaoctets de données concernant l’aérospatiale, la nanotechnologie, les cellules nucléaires, les lasers, le forage, la fabrication dans des conditions extrêmes et les armes radioélectriques ont été subtilisées sans déclencher d’alarme.

 

Selon un rapport de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), la dépendance continue et la nature en réseau de ces systèmes aboutissent à un « nouveau chapitre de la sécurité informatique. Qui peut être appelé la sécurité des objets. Tandis que les économies modernes s’appuient sur les cyber infrastructures nouvellement développées, assurer leur sécurité est devenu la priorité absolue de nombreux acteurs (gouvernements, entreprises, etc.) car cela peut avoir des conséquences sur la protection des économies et des entreprises »[1].

 

Les responsables informatiques sont convaincus que les conséquences d’une menace persistante avancée – qui donne à un attaquant accès aux ressources les plus précieuses de leurs entreprises, y compris les infrastructures critiques – pourraient être aussi graves que des conflits armés ou des cyberconflits entre deux États ou des pertes en vies humaines. Et selon 39 % des Suédois, une perte humaine est une conséquence grave mais possible suite à une APT. Près de 30 % des personnes interrogées en Allemagne et près de 20 % aux États-Unis font également mention des pertes humaines.

 

58 % des entreprises disposent d’un plan d’action pour répondre aux incidents et redresser l’activité après une attaque APT ou une violation massive, et 37 % ont commencé à développer une telle stratégie. Moins de 4 % manquent n’ont développé aucune procédure de la sorte. Selon l’enquête, les entreprises les mieux préparées se trouvent aux États-Unis et en Italie (plus des deux tiers des répondants indiquent disposer d’un plan d’intervention en cas d’APT), tandis que les moins préparés sont des entreprises suédoises et danoises (4/10 répondants ont mis en place un tel mécanisme complet).

 

Selon une étude de L’Union internationale des télécommunications (UIT, une agence des Nations Unies), The Global Security Index indique que sur les 193 États membres de l’Organisation des Nations unies, 38 % ont publié une stratégie de cybersécurité et 11 % seulement ont une stratégie autonome. Le rapport précise que « Le degré d’interconnectivité des réseaux implique que tout et n’importe quoi peut être exposé, et tout, de l’infrastructure nationale critique à nos droits humains fondamentaux, peut être compromis. « Il existe toujours un écart évident entre les pays en termes de sensibilisation, de compréhension, de connaissance et enfin de capacité à déployer les stratégies adaptées, les capacités et les programmes appropriés », peut-on lire dans le rapport.

 

Principaux points à retenir :

  • Les données critiques et stratégiques liées à la sécurité nationale et aux infrastructures clés, doivent être stockées sur site uniquement, avec un accès réservé uniquement au personnel autorisé.

 

  • Le cloud privé nécessite une isolation complète de l’accès Internet public pour empêcher les pirates d’exploiter les vulnérabilités et accéder aux données à distance.

 

  • Seul le personnel autorisé nécessite d’accéder à des données critiques et sensibles, et uniquement en respectant des protocoles de sécurité stricts et des mécanismes d’authentification avancés.

 

  • Outre l’authentification à deux facteurs, une authentification à deux personnes pourrait être mise en place pour les systèmes critiques, à l’instar des institutions financières dans lesquelles les transactions importantes doivent être autorisées par deux personnes ou plus.

 

[1] Selon le rapport “The cost of incidents affecting CIIs