Stratégie des systèmes d'information
Informatique operationnelle Communication operationnelle Communication strategique Informatique strategique
Portrait de Jean Paul Poggioli
Attaques et compromissions des données numériques, quelle stratégie adopter pour s’en protéger ?

Les données stockées ici ou là sur les systèmes informatiques sont-elles sécurisées ? Quelles « chances » avons-nous de les voir piratées ou compromises ? Et comment faire pour se protéger ? Le rapport d’enquête de Vérizon et le guide des bonnes pratiques de l’Anssi ouvrent des voies à une stratégie de protection.

 

Publié fin 2013, le rapport d’enquête de l’entreprise Vérizon*  montre que la majorité des attaques et compromission des numériques résulte d’un manque de protection à la source.
Ainsi, on découvre que trois-quarts des intrusions réseaux résultent d’une protection insuffisante de la part des utilisateurs.
En effet 76 % des intrusions réseau exploitent des identifiants volés ou d’un niveau de force insuffisant. 75 % des attaques sont d’ailleurs opportunistes. Elles ne ciblent pas une entreprise ou une personne précise.
Dans le même ordre d’idée on note que  29 % des attaques (presque un tiers) résultent d’informations données par les utilisateurs eux-mêmes par le biais de l’ingénierie sociale : courrier électronique, appels téléphoniques, réseaux sociaux.
D’ailleurs près de 80% des attaques utilisent des techniques d’un niveau de difficultés faibles : 68 % ne nécessitent que peu de ressources et de compétences. 10 % sont du niveau d’un utilisateur lamdba (niveau très faible de techniques à mettre en œuvre).

 

Sur la détection de ces compromissions

Dans ce même rapport d’enquête sur les compromissions de données numériques Verizon montre aussi que les victimes réagissent peu rapidement :
- 62 % des compromissions prennent des mois pour être détectées,
- 4% ne sont pas détectées avant plusieurs années.
Des chiffres à mettre en parallèle avec les quelques heures, voire minutes nécessaires à l’accès initial conduisant à la compromission.
Et la situation s’aggrave puisqu’en 2012 seules 56 % de ces infractions ont été découvertes en un mois ou plus.

Qui repère ses compromissions, sommes-nous alors en droit de nous demander ? La réponse interroge sur la performance des services informatiques des organisations qui ne décèlent que 6% de ces « main basse » sur les données (les utilisateurs font mieux en repérant 10% des compromissions). On retiendra le chiffre clé : 69 % des compromissions ont été repérées par des tiers.

 

Sur les données attaquées

Déconcertant également : 71 % des victimes n’ont pas su déterminer exactement les périmètres des données concernées par l’attaque.
On retiendra pareillement que tous types d’actifs sont susceptibles d’être attaqués : pour 47 % des attaques il y a des PC de bureau et des PC portables. Pour 22% des serveurs de fichier. Pour 41 % des matériels non approuvés (clés USB…). Pour 10% des applications web. Le total étant bien sûr supérieur à à 100% car plusieurs actifs sont généralement touchés dans une même attaque.

 

Les 10 questions essentielles pour gérer les risques

 

 

 

Sur les stratégies de sécurité

Alors quelle stratégie de sécurité adopter ? Il est acquis qu’il est impossible de protéger un système d’information (SI) contre tous les types d’attaque. Ce, d’autant que le SI s’ouvre de plus en plus vers l’extérieur et que chaque jour de nouvelles techniques de compromission voient le jour.
« Tout SI sera attaqué un jour, le protéger c’est pouvoir répondre rapidement et efficacement aux attaques ».
Traiter de la sécurité des SI suppose donc d’être en capacité de supprimer toutes les failles permettant des attaques de très faible ou faible niveau de technicité aussi bien qu’opportunistes. Il s’agit ensuite de former et accompagner ses utilisateurs pour qu’ils soient sensibilisés à la préservation de leur identité numérique. Il faut également déterminer ce qu’il faut protéger, de quoi il faut le protéger (vol, altération, destruction…) et comment (quels niveau de protection avec quelles contraintes…). Enfin, il s’agira de surveiller son système d’information afin de détecter quand il est attaqué, comment il est attaqué, par qui, et d’y apporter remède.

 

Définir une politique de sécurité des systèmes d’information (PSSI)

Un PSSI met en rapport les besoins de protection du SI avec les menaces qui pèsent sur lui, afin de déterminer un objectif de sécurité et les pratiques à mettre en œuvre pour atteindre ces objectifs.
Une PSSI moderne embarque également la surveillance du SI en capacité d’identifier une attaque non prévisible sur le périmètre objectif.
Il existe des méthodologies pour élaborer ces Politiques de sécurité des systèmes d’information. L’agence nationale de la sécurité des systèmes d’informations (l’ANSSI) prône la méthode Ebios (expression des besoins et identification des objectifs de sécurité) qu’elle détaille sur son site.  Ce guide des bonnes pratiques traite des recommandations mais également des principes d’organisation et des outils méthodologiques à mettre en œuvre.