Your SlideShare is downloading. ×
MENACES AVANCEES :LE NOUVEL ORDRE MONDIALConclusions du Sommet RSA sur les APTsOctobre 2011                            RES...
Conclusions du Sommet RSA sur les APTs                                             Sommaire                               ...
Conclusions du Sommet RSA sur les APTs                                             2011 : L’ANNEE DE LA BRECHE ?          ...
Conclusions du Sommet RSA sur les APTs                                             DES ATTAQUES DE MASSE AUX OFFENSIVES CI...
Conclusions du Sommet RSA sur les APTs                                             Les participants s’accordent sur un poi...
Conclusions du Sommet RSA sur les APTs                                             Les participants au sommet ont fait rem...
Conclusions du Sommet RSA sur les APTs                                             CHAINES D’APPROVISIONNEMENT : UN POINT ...
Conclusions du Sommet RSA sur les APTs                                             REVELATION DE MENACE : MONTRE-MOI TES F...
Conclusions du Sommet RSA sur les APTs                                             LA NOUVELLE NORME : AGIR COMME SI VOUS ...
Conclusions du Sommet RSA sur les APTs                                             Un expert de la sécurité présent dans l...
Conclusions du Sommet RSA sur les APTsLivre blanc RSA
Conclusions du Sommet RSA sur les APTs                                           A PROPOS DE RSA                          ...
Upcoming SlideShare
Loading in...5
×

Menaces avancées : le nouvel ordre mondial

571

Published on

En juillet 2011 s’est tenue à huis clos une réunion organisée conjointement par RSA et TechAmerica, à laquelle ont assisté une centaine d’éminents responsables sécurité des secteurs public et privé. Le thème du sommet : les APT — Advanced Persistent Threats. Ce livre blanc fait le point sur les menaces avancées constatées directement par les entreprises, les forces de l’ordre ou services de répression et par les organismes gouvernementaux.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
571
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Menaces avancées : le nouvel ordre mondial"

  1. 1. MENACES AVANCEES :LE NOUVEL ORDRE MONDIALConclusions du Sommet RSA sur les APTsOctobre 2011 RESUME En juillet 2011 s’est tenue à huis clos une réunion organisée conjointement par RSA et TechAmerica, à laquelle ont assisté une centaine d’éminents responsables sécurité des secteurs public et privé. Le thème du sommet : les APT — Advanced Persistent Threats. Cet événement interactif fut l’occasion de débattre non seulement des attaques APT, mais aussi, plus généralement, des menaces de plus en plus sophistiquées perpétrées par des attaquants ultra organisés. Les participants y échangèrent notamment sur la thématique de la sécurité au niveau des utilisateurs finaux, points d’entrée privilégiés des menaces avancées. Autre thème abordé : l’insuffisance du partage d’informations sur les menaces, tant dans les secteurs public que privé. Une aubaine pour les hackers, qui peuvent ainsi tester les versions bêta de leurs méthodes d’attaque sur une entreprise, puis les peaufiner avant de lancer leur offensive sur la cible finale. La particularité de ce type de menaces réside dans le temps, l’énergie et les ressources que les hackers sont disposés à consacrer à la conception d’attaques taillées sur mesure et particulièrement ciblées. À tel point que les solutions technologiques basées sur les signatures se retrouvent totalement dépassées. Comme le précise l’un des participants : « Ils ne vous attaquent pas sur vos points de défense, mais ciblent plutôt vos faiblesses, qu’il s’agisse de vos processus, de vos équipes ou de vos technologies ». Conséquence directe : les entreprises doivent désormais rester en permanence sur le qui-vive — partant du principe que leur sécurité est d’ores et déjà compromise —, et bâtir une capacité défensive qui ne repose pas sur la confiance dans une partie quelconque de leur infrastructure informatique ou de leurs collaborateurs. De même, les menaces ne concernent plus seulement les entreprises ciblées, mais l’ensemble de l’écosystème des sociétés. Dans un tel contexte, le salut passera nécessairement par la consolidation de la chaîne d’approvisionnement et la visibilité sur les sous-traitants et partenaires commerciaux. « Notre objectif n’est pas la perfection en défense, mais de stopper les actions des malfaiteurs en divers points et niveaux de nos systèmes », confirme un participant. Ce livre blanc fait le point sur les menaces avancées constatées directement par les entreprises, les forces de l’ordre ou services de répression et par les organismes gouvernementaux. Conclusions du Sommet RSA sur les APTs
  2. 2. Conclusions du Sommet RSA sur les APTs Sommaire 2011 : « l’année de la brèche » ?......................................................................................3 Des attaques de masse aux offensives ciblées.................................................................4 Collaborateurs : le maillon faible......................................................................................4 Partage d’informations : le rideau de fer...........................................................................5 Les attaquants visent un avantage, pas la notoriété.........................................................6 Chaînes logistiques : un point d’entrée de choix...............................................................7 Révélation de menace : montre-moi tes failles, je te dévoilerai les miennes......................8 La nouvelle norme : Agir comme si vous étiez déjà piraté.................................................9 La route à suivre............................................................................................................10Livre blanc RSA
  3. 3. Conclusions du Sommet RSA sur les APTs 2011 : L’ANNEE DE LA BRECHE ? La scène se passe dans une salle de conférence, au cœur de Washington D.C. Membres duIls ne vous attaquent Congrès américain, hauts responsables du FBI et de la NSA, et dirigeants des plus grandespas sur vos points de entreprises mondiales sont réunis pour débattre d’une crise sécuritaire grandissante.défense, mais ciblent Nous sommes en plein mois de juillet. Le temps est radieux, idéal pour un déjeuner en terrasse. Pourtant, personne ne songe à profiter des rayons du soleil. En effet, l’heure estplutôt vos faiblesses, grave. Le cyber-espionnage — ces attaques électroniques destinées à exfiltrer des données hautement sensibles (propriété intellectuelle, brevets industriels, secrets d’Etat, etc.) — vientqu’il s’agisse de vos de franchir un nouveau cap. Dans la salle, l’atmosphère est empreinte d’inquiétude et deprocessus, de vos curiosité : Quelle est l’ampleur de ces attaques ? Quelles en sont les cibles ? Des tendances se dégagent-elles dans les techniques utilisées par les cybercriminels et autres hacktivistes ?équipes ou de vos Doit-on s’attendre à des révélations ? Pendant toute la matinée, certains participants écoutent attentivement les interventions de leurs pairs, tandis que d’autres vocifèrent. Mais tous ont entechnologies. commun des expériences qui valent la peine d’être entendues. Baptisée « Advanced Persistent Threats Summit », la réunion fait suite à une série d’incidents de sécurité graves, survenus en début d’année 2011. Dès le mois de mai, certains s’étaient déjà avancés à qualifier 2011 de « Year of the Breach » (année de la brèche). Depuis plusieurs mois, des attaques retentissantes faisaient en effet la une des journaux, certaines étant l’œuvre de groupes d’hacktivistes comme Anonymous et Lulzsec. Cependant, une crise plus large semblait se profiler. De fait, parmi les attaques d’hacktivistes qui ont visé Sony, HBGary Federal et l’OTAN, on a également assisté à l’infiltration des cibles les plus variées par des cybercriminels clandestins disposant à la fois d’une expertise rare, d’importants moyens financiers et de ressources spécialisées qui sont habituellement l’apanage des filières étatiques. Or, ces attaques présentaient des caractéristiques inédites : elles étaient discrètes, de longue haleine et alliaient des compétences techniques et sociales. Pour infiltrer leurs cibles, certaines utilisaient l’ingénierie sociale, tandis que d’autres tiraient parti de vulnérabilités « zero-day », à savoir l’exploitation d’une faille de sécurité non encore identifiée dans un logiciel. Si les attaques avancées ne sont pas un phénomène nouveau, les participants au sommet ont noté deux tendances émergentes : les menaces sont devenues plus audacieuses et plusTenter de définir [les fréquentes. Autres caractéristiques notables, elles sont désormais ciblées au millimètre,attaques avancées] taillées sur mesure, soigneusement préparées, et intègrent à la fois des composantes techniques et sociales. De telles attaques complexes et sophistiquées sont généralementpourrait nous limiter connues sous le nom d’APT (Advanced Persistent Threats), mais les participants ont fait remarquer de manière judicieuse que les hackers ne recherchaient pas la sophistication pouret reviendrait à nous elle-même mais juste pour que le travail soit fait, donc ils peuvent ne pas avoir recours à desfixer des œillères. méthodes « avancées » pour parvenir à leurs fins. C’est pourquoi il est extrêmement difficile d’en donner une définition précise, et, comme l’a souligné l’un des intervenants, « tenter deLes caractéristiques définir ces attaques pourrait nous limiter et reviendrait à se fixer des œillères. Les caractéristiques étant fortement dynamiques, nous devons les réévaluer en permanence ». Auétant fortement cours de ce sommet, les experts se sont avant tout intéressés aux techniques de hackers ultradynamiques, nous organisés. Leurs attaques — APT et autres — vont de l’espionnage à l’hacktivisme.devons les réévaluer en Pendant neuf heures, les participants ont débattu, partagé leurs expériences et échangé leurs avis en la matière. Ce livre blanc présente quelques points clés de ces discussions. Il a pourpermanence. vocation de faire progresser le dialogue, l’innovation et la connaissance, grâce aux témoignages de quelques-uns des plus éminents experts de la sécurité informatique.Livre blanc RSA page 3
  4. 4. Conclusions du Sommet RSA sur les APTs DES ATTAQUES DE MASSE AUX OFFENSIVES CIBLEES En 2000, le ver ILOVEYOU infecta plus de 50 millions de PC. Le mécanisme était simple, mais imparable : l’utilisateur recevait un e-mail avec pour objet « ILOVEYOU ». Lorsqu’il cliquait sur le fichier joint, intitulé « LOVE-LETTER-FOR-YOU », un ver informatique infectait son PC. Si les dommages étaient importants, une solution partielle arriva sous forme de logiciel antivirus : celui-ci s’appuyant sur une signature virale pour identifier le fichier malicieux et bloquer l’action du virus. De nos jours, les malwares génériques restent nombreux, mais les antivirus reposant sur les signatures — au niveau du réseau ou de l’hôte — permettent d’en limiter la contagion. Ce qui démarque les récentes menaces est leur défiance de ce mécanisme de signature. Dans le monde des menaces avancées, les malwares évoluent très rapidement, et les participants au sommet ont d’ailleurs fait état de plusieurs cas de malwares dédiés réalisés sur mesure pour viser une cible précise. Certains malwares ont même été compilés dans les heures qui ont précédé le lancement d’une attaque. Les témoignages apportés par les participants et les intervenants ont mis en lumière un fait avéré : les outils de sécurité traditionnels, basés sur les signatures, ne constituent plus à eux seuls un rempart efficace contre les nouvelles attaques perpétrées par des auteurs ultra organisés. Si les modes de diffusion de certaines menaces avancées restent standards, les stratégies d’infiltration sont, pour leur part, souvent personnalisées en fonction de la cible. À cet effet, les hackers utilisent les réseaux sociaux pour collecter des informations et identifier les utilisateurs qu’ils vont viser au sein de l’entreprise. E-mails, Skype et messageries instantanées constituent les vecteurs d’infection les plus couramment cités lors du sommet. Les malwares sont quant à eux véhiculés sous la forme de fichiers PDF, de fichiers HTML compressés, de scripts, d’exécutables ou de pièces jointes. Au-delà de l’infiltration, la personnalisation des techniques s’applique en outre à l’exfiltration des données. Grâce à des méthodes ultra élaborées, les hackers parviennent en effet à compresser, crypter et transmettre les données vers d’autres entreprises compromises, ne laissant ainsi aucune trace ni de l’origine de l’attaque, ni de la destination des données dérobées. Ce passage du générique au personnalisé, des attaques de masse aux offensives ciblées, contraint les équipes de sécurité à repenser leurs stratégies au-delà des simples signatures et à procéder à une évaluation de l’efficacité de leur système de protection. Pour Seuls 35 % des les participants au sommet, le talon d’Achille de la plupart des stratégies de défense actuelles participants au est désormais les collaborateurs, et non pas les technologies. sommet considèrent COLLABORATEURS : LE MAILLON FAIBLE qu’il est possible « Les collaborateurs constituent le maillon faible » : un cliché qui a la vie dure dans la sécurité d’apprendre aux des informations. Les experts de la sécurité savent depuis longtemps que les utilisateurs peuvent faire de mauvais choix, cliquer sur des liens compromettants et installer des collaborateurs à se malwares sans se méfier. De simples ruses suffisent à les piéger. Pour lutter contre ces menaces, les départements informatiques multiplient les contrôles : filtrage des e-mails prémunir contre la malveillants en amont, blocage des liens malicieux par le réseau, détection de contenus plupart des attaques douteux via les scans réseau et, en bout de chaîne, l’antivirus de l’hôte, dernier rempart destiné à bloquer les attaques qui seraient passées entre les mailles du filet. Certes, ces de type phishing. solutions ont prouvé leur efficacité face aux attaques génériques de masse ; il suffit de mettre rapidement à jour la base de signatures virales pour immuniser les utilisateurs. Elles s’avèrent 57 % pensent le cependant impuissantes face à des attaques avancées. Ces dernières reposent en effet sur contraire. des scénarios suffisamment crédibles pour inciter les utilisateurs à cliquer sur des boîtes de dialogue proposant de prétendues mises à jour logicielles pour contrer de faux malwares, récupérer les contenus placés en zones de quarantaine et exécuter (sans s’en rendre compte) des actions pour le compte de l’attaquant. Au fil des discussions, le facteur « humain » s’est imposé comme l’un des thèmes phares du sommet. Avec une question centrale : est-il possible de sensibiliser les collaborateurs à un comportement plus responsable ? Les participants ont donc été invités à se prononcer sur l’affirmation suivante : « il est possible d’apprendre aux collaborateurs à se prémunir contre la plupart des attaques de type phishing ». Tandis que 35 % se sont déclarés d’accord ou tout à fait d’accord avec cette affirmation, 57 % se sont prononcés en désaccord ou en désaccordLivre blanc RSA total — les 8 % restants étant sans opinion. page 4
  5. 5. Conclusions du Sommet RSA sur les APTs Les participants s’accordent sur un point : les hackers savent parfaitement user des faiblesses et des comportements de chacun pour les retourner contre leurs victimes. Pour ce faire, ils font preuve d’une créativité sans borne pour identifier les collaborateurs qui les aideront à atteindre leur objectif. Comme le faisait remarquer l’un des participants : « Les escroqueries sur Internet sont d’ordinaire des actions de masse, peu ciblées et élaborées ». Mais les menaces avancées défient ce stéréotype. Un autre participant souligne justement : « le périmètre de l’entreprise n’est pas le firewall, mais nos utilisateurs. Ces derniers ne voient pas leur PC comme un adversaire, mais comme un outil — une extension d’eux-mêmes. Ils luiLe périmètre de vouent donc une entière confiance. »l’entreprise n’est plus À elle seule, la technologie ne peut prétendre résoudre les lacunes humaines. Les entreprisesle firewall, mais nos doivent donc sensibiliser leurs collaborateurs aux thématiques de sécurité et les mettre en face de leurs responsabilités personnelles.utilisateurs. Ces derniersne voient pas leur PC PARTAGE D’INFORMATIONS : LE RIDEAU DE FERcomme un adversaire, Contrairement aux idées reçues, la sécurité informatique véhicule une forte composante collaborative. Les experts sont généralement prompts à échanger des idées, meilleuresmais comme un outil pratiques et analyses. Toutefois, lorsqu’il s’agit de dévoiler les détails d’un incident ou d’une— une extension d’eux- tentative d’intrusion, les portes se ferment. De même, les structures juridiques et techniques en matière de partage d’informations interentreprises s’avèrent encore largement immatures.mêmes. Ils lui vouent D’où la principale faiblesse du secteur de la sécurité informatique : l’absence d’une intelligence temps réel sur les menaces.donc une entière À cela s’ajoute l’incapacité de mesurer le savoir-faire et la compétence en sécurité deconfiance. l’information. Tandis que l’échec est immédiatement pointé du doigt, l’excellence en matière de sécurité est rarement reconnue. Dans cet environnement difficile et bipolaire, les entreprises sont peu enclines à partager les informations sur les attaques dont elles ont été victimes — en particulier si ces attaques ont réussi. Or, le partage rapide d’informations est essentiel à la capacité d’adaptation. Plus que jamais, l’agilité est de mise. Comme l’a souligné l’un des participants, « nul ne peut se défendre correctement en se repliant sur soi. Il est essentiel de se tourner vers l’extérieur, de scruter l’horizon pour voir arriver la tempête ». Les lacunes en matière de partage d’informations entre entreprises sont apparues comme l’un des grands thèmes de ce sommet sur les APTs. Plusieurs explications ont été avancées : absence d’un forum dédié, capable de préserver la confidentialité des échanges ; mécanismes de partage d’informations en temps réel inexistants, et pourtant essentiels pour faire face à l’évolution constante des attaques ; inquiétudes quant à la réaction du public à l’annonce d’une attaque ; ou encore responsabilité juridique liée à la divulgation d’un incident. Certains responsables ont reconnu bénéficier de conseils précieux et d’informations relatives aux menaces via leurs relations personnelles, dans le cadre de réseaux informels. Nombre de participants se connaissant déjà, un véritable sentiment de cohésion a dominé la réunion. Ont également été abordés les défis que représentent les approches formelles en matière d’échange d’informations, en particulier le manque de véritable structure juridique destinée à encadrer de tels échanges, sans que planent les questions de responsabilité. Autre point soulevé : la valeur — et les risques — liés au partage des données relatives aux menaces de sécurité entre des concurrents directs. Tandis qu’une poignée de programmes de partage d’informations n’ont plus à faire leurs preuves — à l’instar du FS-ISAC —, de nombreuses initiatives collaboratives peinent à atteindre leurs objectifs. Les réseaux informels règnent en maîtres, mais leurs résultats s’avèrent souvent inégaux et peu évolutifs, créant par là même des brèches dans lesquelles les hackers sont prompts à s’engouffrer. La sécurité informatique a donc besoin d’une meilleure structure de communication des informations relatives aux menaces. Pour y parvenir, elle doit pouvoir s’appuyer sur des partenariats public-privé inédits. Et s’affranchir des questions de responsabilité juridique.Livre blanc RSA page 5
  6. 6. Conclusions du Sommet RSA sur les APTs Les participants au sommet ont fait remarquer que le partage d’informations entre les hackers fonctionne beaucoup plus efficacement qu’entre les entreprises légitimes. Les hackers n’ontNul ne peut se défendre pas de contraintes juridiques, pas de questions de responsabilité ni de réglementations comparables à celles qui régissent les entreprises privées et les organismes publics oucorrectement en se gouvernementaux. Comme le souligne l’un des intervenants : « les attaquants savent user de nos faiblesses et comportements — notre culture, nos actionnaires, et nos situations derepliant sur soi. Il est contentieux — pour les retourner contre nous ».essentiel de se tourner Les participants s’accordent à considérer le partage d’informations en temps réel comme unevers l’extérieur, de priorité stratégique absolue pour la communauté de la sécurité. Pour ce faire, ils ont esquissé une ébauche de cahier des charges susceptible de sous-tendre la mise en place d’une tellescruter l’horizon pour structure : terminologie et processus de reporting standardisés, immunité juridique pour le partage d’informations ou toute action menée à des fins de cyber-sécurité, et infrastructurevoir arriver la tempête. technique pour partager et analyser les informations sur les menaces à une « cadence machine ». « Nous devons aboutir à un ensemble d’indicateurs riches et dynamiques », précise un intervenant. LES ATTAQUANTS VISENT UN AVANTAGE, PAS LA NOTORIETE Les attaques avancées ne sont pas le fait de simples amateurs en quête d’un moment de gloire. Elles requièrent généralement des mois de planification et de préparation minutieuse afin de découvrir et de cartographier, petit à petit, le réseau interne de la cible visée. Mais cette phase de reconnaissance va parfois bien plus loin : les hackers identifient des collaborateurs clés, examinent les détails de leur vie en écumant les médias sociaux, et mettent au point des attaques sur mesure, à la fois discrètes, patientes et redoutablement efficaces. Certes, les attaques des cybercriminels qui cherchent à dérober les numéros de cartes de crédit et autres données monnayables ont elles aussi gagné en sophistication, mais les attaques avancées sont d’un genre différent. Elles relèvent de plus en plus souvent de l’espionnage et se concentrent sur l’exfiltration de données spécifiques représentant une valeur et une importance stratégiques pour le commanditaire — qu’il s’agisse de gouvernements étrangers, de concurrents ou de filières criminelles organisées. Pour parvenir à leurs fins, les entités qui se cachent derrière cesLes attaquants savent attaques sont prêtes à investir des moyens considérables.user de nos faiblesses Par ailleurs, les entités perpétrant beaucoup de ces attaques avancées se distinguent souventet comportements des groupes d’hacktivistes sur qui les projecteurs se sont braqués récemment. Ces groupes cherchent pour leur part à dénoncer et exposer au grand jour les activités de leurs cibles, et— notre culture, s’enorgueillissent d’exploits qu’ils n’hésitent pas à étaler au grand jour. A contrario, les auteurs d’attaques avancées opèrent dans la plus grande discrétion. Ils fuient toute publicité etnos actionnaires, cherchent avant tout à ne pas être découverts.et nos situations de À ce propos, une hypothèse intéressante a été émise lors du sommet : certaines attaques avancées se feraient passer pour des attaques d’hacktivistes. Objectif : brouiller les pistes, etcontentieux — pour les rejeter la faute sur des groupes qui se retrouvent volontiers sous les feux de la rampe. Dans unretourner contre nous. tel contexte, en présence d’un bouc émissaire volontaire, il s’avère extrêmement difficile d’évaluer l’ampleur du phénomène et d’identifier les véritables coupables lors des analyses post-incidents.Livre blanc RSA page 6
  7. 7. Conclusions du Sommet RSA sur les APTs CHAINES D’APPROVISIONNEMENT : UN POINT D’ENTREE DE CHOIX Il est possible Les menaces avancées ont montré que la sécurité doit s’appréhender à l’échelle de de contrôler les l’écosystème. Les hackers prennent le temps d’infiltrer des cibles intermédiaires parmi les fournisseurs de la cible principale (prestataires de services, consultants, juristes, etc.) La risques émanant sécurité de la chaîne d’approvisionnement est donc plus que jamais d’actualité. Or, les des équipements entreprises disposent généralement d’une visibilité limitée des opérations et de la sécurité de leurs fournisseurs. Bien que monnaie courante, les garanties contractuelles attestant des détenus ou gérés par processus de sécurité en place chez les fournisseurs font rarement l’objet de vérifications. Pourtant, pour atteindre leur cible finale, les hackers remontent de plus en plus loin dans la les collaborateurs. chaîne d’approvisionnement. Certains intervenants ont même relaté des attaques ayant visé les fournisseurs de fournisseurs — soit deux maillons en amont dans la chaîne. De tels Tout à fait d’accord 0% témoignages soulèvent de nombreuses interrogations en matière de confiance, de stratégie, D’accord 32 % d’externalisation et de capacité à gagner en visibilité à l’échelle de la chaîne de valeur étendue. Sans opinion 7% En matière de sécurité, la loi du maillon faible s’impose : la sécurité d’une entreprise est à la Pas d’accord 40 % hauteur de celle de son fournisseur le plus vulnérable. De fait, dans un écosystème intégré, les entreprises ne bénéficient pas seulement des forces de leurs fournisseurs, elles héritent Pas du tout d’accord 21 % également de leurs vulnérabilités et des risques auxquels ils sont exposés. S’il est aisé d’évaluer les avantages d’un fournisseur, il est beaucoup plus difficile d’en mesurer les risques. Or, face aux menaces avancées, il est impératif de tendre vers une approche de la sécurité couvrant l’ensemble de l’écosystème. Les hackers ne manqueront pas d’exploiter les moindres faiblesses des acteurs de la chaîne. Une surveillance de la sécurité de chacun d’eux représente donc non seulement un besoin, mais aussi un véritable enjeu. Les entreprises ne peuvent plus se contenter des garanties contractuelles. En ce sens, les participants au sommet ont proposé plusieurs pistes de réduction des risques : – Base de notation commune de la réputation des fournisseurs. L’un des experts a proposé la création d’une base de données publique rassemblant des informations relatives aux pratiques des fournisseurs en matière de sécurité, et contenant des notations selon un barème spécifique à chaque secteur. Une telle approche pourrait nécessiter des outils contractuels particuliers. Elle présenterait cependant un double avantage : d’une part, elle permettrait aux entreprises de faire des choix avisés en matière de risques, et, d’autre part, la visibilité accrue inciterait les fournisseurs à améliorer leurs pratiques de sécurité. – Évaluation externe de la sécurité des fournisseurs. Une grande entreprise a présenté la solution qu’elle a mise en place pour évaluer le profil public d’un fournisseur : surveillanceCertaines entreprises de la façon dont les collaborateurs internes du fournisseur partagent les informations sur les réseaux publics, exécution de scans bruts sur ses systèmes, etc. L’entreprise a intégré cesont excellentes sur processus dans sa procédure de validation précontractuelle de ses fournisseurs.les évaluations, mais Tout au long du sommet, la consolidation de la chaîne d’approvisionnement a constitué uns’en sortent beaucoup thème récurrent, revenant régulièrement au fil des discussions et des sessions. L’un des intervenants s’est même risqué à une déclaration un brin provocatrice : « certaines entreprisesmoins bien lorsqu’il sont excellentes sur les évaluations, mais s’en sortent beaucoup moins bien lorsqu’il s’agit de sécurité réelle ». Les discussions ont permis de mettre en évidence trois besoins essentiels :s’agit de sécurité une visibilité accrue des fournisseurs, une standardisation des moyens d’évaluation, et laréelle. mise en œuvre d’un véritable système de référence permettant de comparer des éléments sur la base de critères communs. La réalisation de ces trois conditions permettra une surveillance continue des fournisseurs dans le temps. La sécurisation de l’écosystème est essentielle, et la liste des avantages est longue. Elle constitue une condition nécessaire pour lutter non seulement contre les menaces avancées, mais aussi contre l’essor de l’hacktivisme et la maturation du cyber crime, sans oublier la réponse qu’elle apporte aux besoins croissants en matière d’audit.Livre blanc RSA page 7
  8. 8. Conclusions du Sommet RSA sur les APTs REVELATION DE MENACE : MONTRE-MOI TES FAILLES, JE TE DEVOILERAI LES MIENNESDans un contexte de Si les expressions menaces avancées et APT sont quelque peu galvaudées, il ne fait aucunlassitude face aux doute que les cyber-attaques ultra sophistiquées et ciblées sont bien plus fréquentes que ne le suggèrent les gros titres des journaux. Pour preuve : la plupart des participants ont avouéattaques et aux pertes avoir été la cible d’une menace avancée ou d’une attaque APT au cours des douze derniersde données répétées, mois.une faille de sécurité Si ces attaques sont nouvelles pour certains secteurs, plusieurs participants issus des domaines de l’armement, des agences gouvernementales américaines ou des infrastructurespeut être pardonnée. stratégiques n’ont pas manqué de rappeler que l’espionnage, et en particulier les APT, faisaient depuis longtemps partie de leur quotidien.Pas le silence. Pourtant, peu d’informations circulent publiquement sur ces attaques. Ce n’est qu’une fois que les entreprises intègrent « le cercle » fermé des victimes qu’elles réalisent la mine d’informations auxquelles elles peuvent accéder. Ainsi, les responsables de la sécurité des entreprises ciblées par de telles attaques sophistiquées avouent n’avoir eu accès aux informations détenues par d’autres organisations victimes qu’après avoir elles-mêmes dévoilé leurs propres incidents. La plupart découvrent les réseaux informels de partage d’informations en phase post-incident, ce qui réduit à néant tout effort de prévention. Au-delà du partage d’informations, peu d’entreprises développent de véritables compétences en matière de réponse aux incidents et de communication de crise. Par ailleurs, certains experts ont alerté sur le faux sentiment de sécurité que procurent les plans de crise. Ces derniers ne doivent en aucun cas être statiques ni ponctuels. Au contraire, les entreprises doivent impérativement réaliser des analyses détaillées sur une base annuelle, voire semestrielle. Objectif : résoudre les problèmes, identifier les collaborateurs idoines et adapter en permanence les plans à l’environnement actuel. Autre suggestion : conserver l’ensemble des fonctions et plans d’intervention à la fois sur des systèmes en ligne et hors ligne, et disposer d’une version papier des numéros de téléphone des équipes, afin de préserver toutes ses facultés de réaction en cas de panne réseau. Dans le cadre d’une discussion approfondie sur la planification de la réponse aux incidents et la divulgation des attaques, l’un des experts — juriste —, a fait part de son avis en la matière : « les juristes doivent être de la partie, mais ne doivent pas prendre les commandes. » En effet, leur mission étant de limiter les risques, ils ont souvent tendance à favoriser la non-Les juristes doivent divulgation des informations. Mais la réduction des risques ne constitue pas le seul aspect àêtre de la partie, mais prendre en considération. Entrent également en ligne de compte le devoir d’éthique envers les clients et le public, ainsi que les risques d’atteinte à la réputation en cas de fuitene doivent pas prendre d’informations sur un incident de sécurité qui aurait été volontairement étouffé par l’entreprise. Un participant prévient : « dans un contexte de lassitude face aux attaques et auxles commandes. pertes de données répétées, une faille de sécurité peut être pardonnée. Pas le silence. » Et un autre conférencier de commenter : « responsables de la sécurité et dirigeants se doivent de soutenir toute victime d’une attaque et de l’encourager à partager l’information de sorte que d’autres en bénéficient dans les meilleurs délais. Pourquoi ? Les victimes craignent le battage médiatique, dont le risque est en fait l’impact en termes de marketing et d’image. Or plus on partage l’information, mieux c’est. Il n’y a pas de sécurité dans l’obscurité. »Livre blanc RSA page 8
  9. 9. Conclusions du Sommet RSA sur les APTs LA NOUVELLE NORME : AGIR COMME SI VOUS ETIEZ DEJA PIRATé Les événements des douze derniers mois ont démontré que des attaquants déterminésConsidérez que vous peuvent toujours trouver moyen d’exploiter des failles à travers les individus ou lesêtes déjà piraté, environnements informatiques complexes actuels. Il est par conséquent irréaliste de chercher à empêcher à tout prix les attaquants d’entrer. De fait, les entreprises ont tout intérêt àagissez et vivez dans planifier leur défense et agir d’emblée en mode post-incident. « Considérez que vous êtes déjà piraté, agissez et vivez dans ce nouveau contexte de défiance », conseille un éminentce nouveau contexte responsable de la sécurité.de défiance. La sécurité repose sur trois principes fondamentaux : cloisonnement, défense en profondeur et limitation des privilèges. Utilisés conjointement, ces trois principes limitent les risques : si un système (ou un collaborateur) est compromis, il n’en résulte pas une compromission de l’ensemble du système. Si en théorie cela paraît simple, en pratique la mise en œuvre de ces trois principes s’avère difficile. Les entreprises ont longtemps compté sur la notion de « périmètre », où un grand rempart — sous la forme de firewalls et de passerelles de sécurité —, protège l’entreprise, avec les bons (les utilisateurs internes) d’un côté du mur et les méchants (les attaquants) de l’autre. Cette vision périmétrique de la sécurité est totalement dépassée. Dans l’entreprise moderne d’aujourd’hui, les frontières sont impossibles à définir. Elles sont devenues totalement poreuses, avec l’intégration d’utilisateurs externes de confiance partielle, allant des clients aux fournisseurs, en passant par les sous-traitants et autres prestataires de services et de solutions de Cloud Computing. À l’éradication des frontières traditionnelles s’ajoute la consumérisation de l’informatique, qui a fait entrer dans la sphère professionnelle une multitude d’équipements non gérés et qui expose l’entreprise à des services — et des fournisseurs — opaques. Autre conséquence de la consumérisation : l’instauration d’un plus grand flou entre vie professionnelle et vie privée des employés. Nous sommes donc passés de Mon entreprise a l’illusion d’un périmètre de sécurité à un état de compromission permanent. mis en place une Intégrer le fait que certains systèmes, collaborateurs ou services soient peut-être déjà sous l’emprise des attaquants permet d’aborder la stratégie de sécurité informatique sous un tout véritable stratégie autre jour. Et oblige les entreprises à revenir aux trois fondamentaux : cloisonnement, de gestion des défense en profondeur et limitation des privilèges. L’objectif est de fermer la fenêtre d’exposition et de limiter les dommages en concentrant les efforts sur le cloisonnement des menaces APT. systèmes, le blocage des fuites de données sensibles et la contention de la malveillance. Ce nouveau modèle requiert en outre de repenser les moyens de partage des informations Vrai 46% sensibles — code source, plans produits, et feuilles de route stratégiques — moyens souvent Faux 54% basés sur des processus collaboratifs qui supposent que le périmètre de sécurité peut neutraliser les attaquants. La sécurité s’améliore par une plus grande prise en compte des contextes et situations : avoir la capacité de comprendre ce qui se passe au-delà des frontières du réseau, pour mieux détecter les menaces qui se profilent à l’horizon. Pour y parvenir, les entreprises étendent leur champ de vision au-delà de leur infrastructure pour se projeter à l’échelle de leur écosystème. Cette approche repose cependant sur le partage actif, entre les organisations, des informations relatives aux menaces. Autre condition : bénéficier d’une visibilité accrue de la sécurité des fournisseurs et services providers à l’échelle de la chaîne d’approvisionnement.Notre objectif n’est Dans un tel contexte, il est essentiel d’identifier les ressources numériques devant êtrepas la perfection en protégées, leur emplacement, les personnes habilitées à y accéder, et les moyens de les verrouiller en cas de violation. Cette faculté de resserrer l’étau avant et pendant une attaquedéfense, mais de est primordiale, et requiert un processus mature de gestion des incidents. Pour ce faire, lastopper les actions des réponse aux incidents ne saurait être considérée exclusivement comme une fonction de sécurité. Elle relève en fait d’une compétence organisationnelle qui doit être développée etmalfaiteurs en divers constamment aiguisée, bien avant la survenue d’une attaque. Au moment de l’incident, il est déjà trop tard pour planifier toute réponse. En revanche, miser sur le développement despoints et niveaux de compétences en amont permet de lancer automatiquement les activités et processus denos systèmes. ré-médiation — tel un réflexe.Livre blanc RSA page 9
  10. 10. Conclusions du Sommet RSA sur les APTs Un expert de la sécurité présent dans l’assistance a d’ailleurs conseillé à ses pairs « mettez à profit vos temps de paix ». La phase précédant une attaque est en effet critique. En modélisant les menaces et en déroulant des exercices de réponse aux incidents, les entreprises peuventLa réponse aux s’assurer du bon fonctionnement des relations entre les équipes fonctionnelles et lesincidents ne saurait collaborateurs clés.être considérée Et l’un des participants de confirmer : « Notre objectif n’est pas la perfection en défense, mais de stopper les actions des malfaiteurs en divers points et niveaux de nos systèmes ».exclusivement commeune fonction de LA ROUTE A SUIVREsécurité. Elle relève en La réalité des menaces avancées requiert une véritable rupture avec les approches de sécurité traditionnelles — avec des entreprises capables d’être agiles et de prospérer même dans cetfait d’une compétence environnement de défiance. Cette approche doit être appliquée de manière globale : la défense contre les menaces avancées n’est pas une fonction isolée, mais un prolongementorganisationnelle qui naturel d’une sécurité à la fois robuste et agile.doit être développée et La complexité informatique est notre ennemi. Comme l’a suggéré un participant,constamment aiguisée, « pour chaque dollar dépensé en sécurité, nous devrions consacrer 9 autres dollars à nous débarrasser des systèmes obsolètes, faire du nettoyage, documenter à nouveau tout ceci etbien avant la survenue mieux comprendre notre environnement existant ». La plupart des failles actuelles sont imputables à une infrastructure informatique complexité ingérable. La sécurité informatiqued’une attaque. reposant sur la loi du « maillon faible », son efficacité passe nécessairement par une parfaite connaissance des équipements, processus et points de terminaison. Mais au-delà de la simplification de l’infrastructure et du déploiement d’une sécurité efficace, nous devons également faire preuve de créativité et réfléchir aux motivations des attaquants, qui dépassent largement le simple cadre du vol de données. Intoxication, paralysie ou embarras sont autant de motifs qui sous-tendent les attaques — avancées ou autres. Chaque nouvelle technologie est l’occasion d’intégrer la composante sécurité dès la phase de conception, et de prendre un nouveau départ. Nous sommes au début d’un mouvement important vers des services et systèmes en Cloud Computing et cela s’accompagnera d’un bouleversement technologique radical. Comme l’a fait remarquer l’un des participants, « si nous n’arrivons pas à régler vraiment la sécurité avec le Cloud, honte à nous. » Aujourd’hui plus que jamais, la sécurité est l’affaire de tout un écosystème où chaque acteurSi nous n’arrivons pas est investi d’une responsabilité. Les attaquants sont capables de coopérer, de partager des informations, de remonter la chaîne d’approvisionnement, d’exploiter les négligences desà régler vraiment la salariés d’entreprises et de contourner les dispositifs de sécurité en place. Pour contre-sécurité avec le Cloud, attaquer, il nous faut un nouveau mode de collaboration et de l’innovation en termes de défense. Coopération, partage d’informations et agilité accrue : telles sont les armes quihonte à nous ! nous permettront de vaincre les attaques APT et autres menaces avancées.Livre blanc RSA page 10
  11. 11. Conclusions du Sommet RSA sur les APTsLivre blanc RSA
  12. 12. Conclusions du Sommet RSA sur les APTs A PROPOS DE RSA RSA, la Division Sécurité d’EMC, est le premier fournisseur de solutions sécurité, de gestion du risque et de la conformité pour l’accélération business. RSA contribue au succès des plus grandes entreprises mondiales en solutionnant leurs challenges de sécurité les plus complexes et sensibles. Ces défis comprennent notamment gérer le risque organisationnel, sécuriser l’accès mobile et la collaboration, prouver la conformité et sécuriser les environnements virtuels et Cloud. En combinant les contrôles métiers sensibles majeurs au niveau de la certification d’identité, du chiffrement et gestion de clés, du SIEM, du Data Loss Prevention et de la protection contre la Fraude avec des capacités eGRC leaders de l’industrie ainsi que des services efficaces de consulting, RSA apporte la visibilité et la confiance à des millions d’identités utilisateurs, aux transactions qu’elles exécutent et aux données qu’elles génèrent. Pour plus d’information, visitez www.RSA.com et www.EMC.com. EMC2, EMC, RSA et le logo RSA sont des marques ou des marques déposées d’EMC Corporation aux États-Unis et dans d’autres pays. Les autres marques citées sont la propriété de leurs détenteurs respectifs. ©2011 EMC Corporation. Tous droits réservés. Publié aux États-Unis. www.rsa.com h9038-aptnwo-wp-1011

×