L’informatique a pris depuis quelques années une place essentielle dans l’activité humaine. Imaginons quelques instants la vie quotidienne si on enlevait tout ce qui dépend de l’informatique : plus de téléphone portable, plus d’internet, plus de système bancaire en place, la quasi-totalité des entreprises arrêtées, même celles dont l’activité ne dépend pas de l’informatique.
Un cauchemar pour certains, un retour aux sources pour quelques autres, en tout cas, une belle pagaille en perspective. Notre mémoire elle-même s’est informatisée : toutes nos données, même les plus insignifiantes, sont ainsi stockées dans le disque dur de notre ordinateur personnel. Elles sont maintenant aussi stockées dans le cloud au travers des divers services de sauvegarde proposés sur Internet : on ne sait plus où elles sont physiquement.
Dans ce contexte d’hyper dépendance à l’informatique, tout événement affectant son bon fonctionnement peut avoir des conséquences qu’il est parfois difficile de quantifier. Il suffit de se rappeler la panique lors de l’effondrement du réseau Orange l’an dernier pour imaginer les conséquences d’un événement plus important.
De l’attaque artisanale (défi) à un phénomène qui prend une ampleur sans précédent…
Avec l’évolution des technologies et des moyens de communication, les attaques sur les systèmes informatiques ont évolué suivant le même rythme. Ainsi, les attaques se sont perfectionnées et ont atteint un niveau de sophistication important.
Pour s’en convaincre : les premiers virus attaquaient le système en détruisant tout ou partie de la mémoire, rendant inopérant l’ordinateur infecté. Puis, les virus ont rapidement évolué : étant devenus détectables facilement par les bases de signature des antivirus, ils sont alors devenus polymorphes, c’est-à-dire que leur composition change à chaque transmission vers un autre ordinateur, ce qui les rend plus difficilement détectables. On assiste ainsi à un perpétuel jeu du chat et de la souris entre les virus et les antivirus, la difficulté étant d’avoir des bases de virus le plus à jour possible.
Les moyens mis en œuvre pour mettre en péril un système informatique au sens large sont de plus en plus colossaux. Le temps du hacker solitaire est désormais révolu. Des organisations de type mafieux ont pris le relais. Le vocabulaire militaire est désormais utilisé dans ce cadre : la cyber-guerre.
Deux exemples largement médiatisés illustrent ce phénomène. L’attaque des serveurs estoniens en 2007 est imputée aux autorités russes. Cette attaque a opéré un déni de service : un nombre important de requêtes sur ces serveurs ont été réalisées simultanément, rendant inopérantes les demandes légitimes. Ce type d’attaque nécessite de coordonner un grand nombre de machines pour synchroniser les requêtes.
Le deuxième exemple est le virus stuxnet qui a paralysé la centrale nucléaire iranienne de Bouchehr en 2010. La sophistication de ce virus laisse à penser que seuls des États très bien organisés peuvent mettre en place de tels systèmes. De nombreux autres exemples apparaissent actuellement au grand jour, mais ce n’est sans doute que la face cachée de l’iceberg.
Pourquoi de telles attaques ?
La finalité des cyber-attaques est multiple. Elle constitue pour certaines une forme d’activisme idéologique, comme dans le cas du mouvement Anonymous. Cependant, cette partie est négligeable dans l’immensité des attaques.
Nous avons évoqué des attaques à grande échelle contre des États. Il existe des cibles assez faciles dont on ne parle que très peu : les entreprises. Chaque entreprise possède des données sensibles qui constituent sa richesse intrinsèque : ses brevets, ses commandes, ses prospects… Ce sont autant de cibles possibles dont la prise par une partie adverse peut avoir des conséquences dramatiques pour l’entreprise, allant jusqu’à la fermeture de celle-ci. Malheureusement, peu d’entreprises communiquent sur les attaques qu’elles ont subies. Cependant, le manque à gagner en raison d’attaques informatiques a pris une part de plus en plus importante au cours de ces dernières années et suit une évolution quasi exponentielle. Communiquer sur ces événements implique pour certaines entreprises une dévalorisation de leur image et peut avoir des répercussions importantes auprès des investisseurs toujours à l’affût d’indicateurs positifs. Ceci explique leur silence.
Un nombre croissant de cibles
Les attaques deviennent d’autant plus faciles que le nombre de cibles potentielles est en constante évolution. Le monde de l’entreprise et la sphère privée sont maintenant entremêlés de manière quasi fusionnelle. Combien de personnes utilisent leur portable (smartphone ou ordinateur) dans les deux contextes, sans vraiment faire de distinction entre les deux mondes. La problématique du BYOD (Bring Your Own Device) est apparue ces dernières années au sein des entreprises, laissant la porte ouverte à de nombreuses possibilités d’attaques. La liste des points d’entrée possibles dans un système d’information nécessiterait un article à part entière.
Comment se préserver de ces attaques ?
Face à toutes ces attaques, différentes stratégies sont possibles. En premier lieu, il convient de protéger le maillon faible de toute la chaîne : l’homme. Il s’avère qu’il est la cible directe d’attaques (ingénierie sociale) et que nombre d’entre elles pourraient être évitées par une simple « hygiène informatique ». Quelques exemples simples tiennent du bon sens : ne pas laisser un libre accès à des locaux de l’entreprise, ne pas communiquer son mot de passe d’accès au système informatique sous aucun prétexte. Il s’avère que ces recommandations sont très facilement mises en défaut, même dans des organisations de grande taille.
Il est également essentiel de mettre en œuvre des réponses technologiques pour éviter les attaques informatiques directes. C’est ce qu’apprend un ingénieur informaticien spécialisé en sécurité informatique. Il saura par exemple mettre en place des pare-feu (firewalls) pour filtrer les connexions entrantes et sortantes dans l’entreprise. Il saura aussi sécuriser les serveurs de l’entreprise, en particulier le boîtes de messagerie (mail) et les sites internet (web). Il saura détecter les points de vulnérabilités dans l’organisation et proposer les solutions adéquates. Ce ne sont là que des exemples de ses nombreuses missions.
Cependant, devant les conséquences d’une attaque potentielle, l’ingénieur sécurité ne doit pas rester seul. En effet, une attaque sur une entreprise pétrolière ne vise pas directement la santé de celle-ci. Elle peut aussi viser les cours du pétrole, dont les conséquences dépassent largement le cadre de l’entreprise. C’est pourquoi la responsabilité de la protection dépasse les prérogatives d’un ingénieur informaticien chargé de la sécurité.
D’un point de vue organisationnel, les entreprises et les administrations ont bien compris cette problématique en mettant en place des RSSI (Responsables de la sécurité des systèmes d’information). Ceux-ci dépendent directement de la direction générale de l’entreprise et non de la direction des systèmes d’information (DSI). L’action du RSSI est de définir les choix sur tous les aspects de la sécurité de l’entreprise (sécurité des systèmes, des réseaux, des applications, plan de reprise d’activité…) en lien avec les intérêts stratégiques de l’entreprise, ceux-ci étant définis par la direction générale.
Ainsi, il apparaît de manière claire que la sécurité du système d’information dépend de tous les acteurs de l’entreprise. L’ingénieur en sécurité informatique aidera à mettre en place des solutions qui ne seront efficaces que si elles répondent à la menace effective contre l’entreprise et si elles sont mises en pratique par tous les collaborateurs de l’entreprise. La société toute entière commence ainsi à intégrer et à comprendre dans le cas de l’informatique le danger inhérent à toute avancée technologique majeure.
Pascal Berthome
Professeur des Universités,
Responsable de la filière Sécurité et Technologies Informatiques
