Alliance Géostratégique

Nous dédions cet article à M. Pascal Lointier, le président du CLUSIF, qui nous a quittés brutalement le 14 février 2012. Passionné, engagé, doté d’un solide sens de l’humour et respecté par ses pairs, il aura fortement contribué à l’essor de la SSI en France. Qu’il en soit remercié !

(Source)

Ce quatrième article de notre chronique sécurité se veut un éclaircissement sur la physionomie globale des risques, d’origine majoritairement internes, tout en insistant sur la capacité d’adaptation des menaces. Rappelons tout d’abord quelle a été notre démarche. Dans un premier article, nous constations l’échec, des pratiques actuelles en termes de Sécurité de l’Information, un sentiment partagé par une majorité de la profession. L’occasion nous était donnée, dans un second temps, de développer notre analyse quant aux raisons de cet échec en insistant sur un certain manque d’adaptation et une fâcheuse tendance aux effets de mode et aux facilités coupables… Dans un troisième opus, nous traitions de la problématique de l’inventaire et du volume des données tout en interrogeant la pertinence des méthodologies « clés en main »  vis à vis d’une approche pragmatique consistant à évaluer, questionner puis valider une démarche de sécurité avant son démarrage.

Si l’on veut essayer de comprendre la fragilité des Systèmes d’Information (S.I.) qui traitent des données, données sur lesquelles nous nous étions concentrés dans notre précédent article, il va nous falloir faire un peu “d’archéologie” technologique et introduire la notion d’urbanisme du S.I.

Lorsque l’on remonte 3 ou 4 décennies en arrière, l’informatique était originellement “grand système”, c’est à dire basée sur un mainframe ou ordinateur central auquel étaient (et sont encore parfois) connectés des terminaux c’est à dire des interfaces essentiellement tournées vers de la consultation d’informations. Petit à petit, les ordinateurs personnels (les PC), dotés de capacités autonomes de calcul et de traitements sont venus compléter puis supplanter les grands systèmes. Durant des années, la coexistence des deux n’a pas posé véritablement de problème puisque les deux familles étaient basées sur des protocoles (de communication, pour faire simple) différents et les systèmes étaient alloués à des tâches différentes.

C’était aussi une époque où l’importance relative des systèmes d’informations était moindre notamment du fait qu’ils n’assuraient pas forcément des fonctions critiques ou traitaient d’informations à forte valeur ajoutée. Les principaux risques étaient l’erreur de l’opérateur (instruction / manipulation), l’indisponibilité prolongée du système ou la destruction accidentelle d’un support magnétique. En parallèle un besoin évident d’interopérabilité est apparu en même temps que Windows devenait LE système d’exploitation accompagnant l’explosion de l’informatique d’entreprise puis personnelle (fin des années 80, début des années 90).

Pour autant, un phénomène insidieux et dont personne, y compris parmi les professionnels, n’avait conscience se développait : le S.I. croissait de manière anarchique, son évolution se faisant de manière désordonnée, sans cohérence autre que répondre à l’urgence des besoins et avec un empilement de systèmes, de logiciels et de technologies hétérogènes. Ce chaos, en apparence organisé, générait de plus en plus de pannes et rendait une simple migration un exercice complexe et souvent délicat puisque générant même des comportements inattendus et souvent non-reproductibles.

On peut penser que cette période est un tournant mal négocié puisque l’Internet version Web 1.0 arrivait et qu’il n’était pas visionnaire de penser qu’une révolution informationnelle allait avoir lieu. Au lieu de remettre à plat ou, du moins d’essayer de préparer le “coup d’après” en proposant une informatique moins instable, la réponse fut de répondre en traitant les conséquences au lieu de s’attaquer aux causes. L’émergence d’un besoin d’urbanisation du S.I. date peu ou prou de cette époque et malgré le professionnalisme et l’expertise technique de ses disciples, la tâche de renverser une tendance lourde était perdue d’avance.

Le S.I. est devenu un monstre instable et intrinsèquement perclus d’innombrables vulnérabilités, essentiellement logicielles. Frappé par le syndrome du plat de spaghettis, il aura fallu une décennie pour comprendre combien il était vulnérable de par ses erreurs de conception mais aussi la non-détection de zones “d’angle mort” où des interactions protocolaires ou applicatives généraient des erreurs induisant des pertes en intégrité fréquentes ou des plages d’indisponibilité (réseaux, outils, applications, machines) par moments surréalistes et potentiellement coûteuses.

“Le plat de spaghettis”

Sivis Pacem se souvient encore d’une intervention d’urgence dans une entreprise en pleine croissance dont le S.I., en cours d’évolutions  presque quotidiennes, absorbait plusieurs dizaines de nouveaux utilisateurs par jours, de nouvelles applications métier chaque semaine  (!)  tandis que la seule passerelle de filtrage, un proxy-firewallisé était un simple PC, localisé au sous-sol, avec deux cartes réseaux et un Squid / ACL (en mode standard). Ce qui devait arriver arriva : l’indisponibilité du S.I. (infrastructure au niveau européen tout de même) durant une interminable matinée, le temps que l’origine du problème soit identifiée (le proxy-firewall) puis solutionnée. Coût estimé et impact sur le métier : 100 000 €, au bas mot ! Cette histoire s’est produite en…2005 ! Gageons que d’autres histoires similaires se produisent encore de nos jours.

L’analyse livrée ci-dessus évoque l’une des raisons qui ont toutes participé à l’état hautement vulnérable de nombreux S.I. aujourd’hui. La notion de “plat de spaghettis” qui génère, par ailleurs, une augmentation sensible en termes de coûts humains et matériels, constitue de notre point de vue l’un des facteurs principaux du niveau de sécurité, moyen à faible, observé. Ce niveau réel permet ainsi à de nombreuses attaques d’être couronnées de succès.

Bien évidemment, l’aspect un peu “monstrueux” de nos systèmes modernes peut s’expliquer par d’autres éléments que ceux que nous évoquons. Nous nous accorderons pourtant sur la définition et l’état moyen des S.I. : bien que l’urbanisation soit souvent mise en avant, tous les acteurs actuels du marché connaissent cet état transitoire/perpétuel où le poids de la gestion quotidienne empiète bien trop souvent sur le temps réclamé par les actions nécessaires à une meilleure gouvernance.

En termes d’impact sur la sécurité, nous pouvons résumer les choses ainsi : la surface d’attaque s’en trouve, de manière générale, fortement augmentée par les couches protocolaires successives offrant chacune des vulnérabilités et, par un manque général de maîtrise, contribue un peu plus encore à la réussite des attaques. Le danger est démultiplié puisque un système initialement vulnérable est immergé dans un environnement mutable, évolutif et agressif. Cet environnement fait penser à un affluent du fleuve Amazone où, sous la surface boueuse, se trouveraient des milliers de piranhas prêts à attaquer la première proie qui s’amuserait à se mettre à l’eau.

Les exemples récents d’attaques sont frappants car celles-ci présentent souvent de nombreux points communs tant dans la physionomie que dans le déroulement ou la cinématique. Ainsi, les fameuses “APT” (Advanced Persistent Threat) débutent presque toujours par l’intrusion dans un système d’information grâce à la complicité involontaire et indirecte d’un ou plusieurs salariés, préalablement “exploités” via les diverses techniques d’ingénierie sociale. L’intrus une fois entré, et en fonction de son expertise et de son niveau de renseignement (collecté préalablement puis actualisé à mesure de sa progression), il lui sera plus ou moins aisé de profiter des oublis et autres naïvetés (ouvrir une pièce jointe non sollicitée, par exemple), des manquements organisationnels (absence de sensibilisation, pas de défense en profondeur, etc.) et des vulnérabilités multiples et diverses dans un S.I. devenu tout à la fois omnipotent, hétérogène et pour tout dire incontrôlable.

De manière générale, les attaquants ne peuvent être qu’en avance : l’état moyen voire inexistant de la sensibilisation est malheureusement illustré par un cas typique plutôt courant : la lecture et la signature d’une page à l’embauche, en une minute chrono, qui traite spécifiquement de sécurité et de protection de l’information. Si les sanctions et les rappels réglementaires sont eux bien présents si ce n’est sur-représentés, on évoque rapidement l’hygiène du comportement, on passe encore plus rapidement sur les éléments de bon sens (qu’est-ce qu’un comportement informationnel suspect, qui avertir, etc.) ou les usages à risques (BYOD, sessions ouvertes, etc.) ! Fautes et failles organisationnelles associées à un manque criant de vision globale de l’information (valeur, protection, ressource stratégique) risquent bien de profiter encore longtemps aux attaquants, affamés d’espaces non contrôlés ou facilement accessibles afin de mener leurs attaques. On voudrait aider voire encourager la malveillance informationnelle qu’on ne s’y prendrait pas autrement !