Au regard de ces récents évènements et des différents types d’attaques (Tribune n°1) , le RSSI doit aujourd’hui plus que jamais évaluer l’exposition de son organisation aux attaques externes. Le secteur d’activité, la visibilité de la marque ou encore la sensibilité des données manipulées sont autant de critères à prendre en compte. Cette évaluation doit être faite de manière régulière en fonction de l’actualité de l’organisation et de son environnement.
La direction générale doit être informée de cette évaluation de l’exposition. En parallèle, il s’agit également d’identifier les données les plus sensibles de l’entreprise. Sans viser une classification exhaustive de l’ensemble des informations, il est important de bien identifier les données les plus sensibles et/ou les plus exposées, mais aussi qui elles peuvent intéresser, que ce soit des personnes malveillantes internes ou externes pour les protéger de la manière la plus efficace possible. Ces éléments permettent à l’organisation d’évaluer le risque d’être visée par une attaque opportuniste ou ciblée. Ils permettent de mieux organiser les plans d’actions de protection.
Lutter contre les attaques opportunistes : retour aux fondamentaux
Les attaques opportunistes sont souvent simples. Elles utilisent des vulnérabilités évidentes dans le SI et visent les systèmes exposés publiquement. Il est facile de s’en protéger en investissant les moyens nécessaires pour mettre en place, concrètement, les bonnes pratiques de sécurité. Trois thèmes ressortent particulièrement :
• La sécurité applicative : les vulnérabilités web sont le vecteur principal d’attaque (injection SQL, mots de passe simples et stockés en clair, etc.). Il est crucial de rapidement renforcer la sécurité applicative en agissant en amont sur les développeurs et les métiers, et en aval sur les audits avant mise en production.
• Le maintien à jour de l’infrastructure : même si des efforts ont été réalisés, la gestion des correctifs, le durcissement des systèmes (y compris des comptes administrateurs) et l’utilisation de zone d’isolation (DMZ) ne sont encore parfois mis en oeuvre que partiellement.
• La mise en place de contrôles réguliers : que ce soit par l’intermédiaire d’audits, de tests d’intrusion ou par la mise en place de systèmes de détection d’intrusion ou de gestion des traces, des contrôles réguliers sont essentiels pour garantir le niveau de sécurité dans le temps.
Ces mesures matures et largement maîtrisées permettent aujourd’hui de lutter efficacement contre les attaques opportunistes. Aujourd’hui, elles sont efficaces car le système d’information repose sur un modèle de protection périmétrique, distinguant le réseau interne des réseaux externes, plus exposés. Dans le futur, ce modèle disparaîtra irrémédiablement et les applications internes seront de plus en plus exposées.
Nous détaillons dans le focus « 2015 : une révolution pour la sécurité ? », comment adapter sa stratégie pour répondre à ces évolutions et mettre en place une sécurité centrée sur les données en profondeur dans le SI.
Lutter contre les attaques opportunistes est possible en utilisant les moyens de sécurisation existant, mais comment réagir face aux attaques ciblées ? (Tribune n°3)