Les attaques cibl\u00e9es sont difficiles \u00e0 d\u00e9tecter, \u00e0 juguler et \u00e0 emp\u00eacher. Le p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 r\u00e9seaux et les applications web ne sont plus forc\u00e9ment les premi\u00e8res portes d\u2019entr\u00e9e. L\u2019attaque va souvent jouer sur plusieurs tableaux pour atteindre son objectif. Ing\u00e9nierie sociale, faille applicative, attaque sur les r\u00e9seaux\u00a0 internes\u2026 tout est envisageable et envisag\u00e9.<\/p>\n
Il s\u2019agit ici de situations similaires \u00e0 celles observ\u00e9es dans le secteur de la d\u00e9fense depuis de nombreuses ann\u00e9es. Mais aujourd\u2019hui, les grandes organisations y sont confront\u00e9es au quotidien. Pour prot\u00e9ger les donn\u00e9es extr\u00eamement sensibles, il leur faut donc mettre en \u0153uvre des moyens avanc\u00e9s, drastiques, similaires \u00e0 ceux employ\u00e9s dans le secteur de la d\u00e9fense.<\/p>\n
Elles devront alors cr\u00e9er un SI d\u00e9di\u00e9, sp\u00e9cialis\u00e9, pour g\u00e9rer le \u00ab secret entreprise \u00bb analogue au \u00ab secret d\u00e9fense \u00bb. <\/strong>Et, si aucune mesure de s\u00e9curit\u00e9 n\u2019est infaillible, ces \u00e9l\u00e9ments permettront d\u2019augmenter la difficult\u00e9 des attaques et donneront plus de temps pour les d\u00e9tecter et y r\u00e9pondre, le cas \u00e9ch\u00e9ant. Quatre grands chantiers doivent \u00eatre envisag\u00e9s :<\/p>\n \u00a0Cr\u00e9er des sanctuaires pour les donn\u00e9es sensibles. <\/strong>Bas\u00e9s sur une infrastructure d\u00e9di\u00e9e, ils associent un nombre important et vari\u00e9 de mesures de s\u00e9curit\u00e9 : filtrage, chiffrement, isolation interserveurs, authentification forte d\u00e9di\u00e9e, contr\u00f4le de conformit\u00e9\u2026 Mais ils disposent \u00e9galement de processus sp\u00e9cifiques de mise en production afin de s\u2019assurer que tout nouveau syst\u00e8me est s\u00e9curis\u00e9. Ces syst\u00e8mes et leur r\u00e9seau devront \u00eatre diff\u00e9rents de ceux utilis\u00e9s dans l\u2019entreprise de mani\u00e8re classique. Ces sanctuaires seront maintenus par des \u00e9quipes d\u00e9di\u00e9es internes, sans utiliser d\u2019acc\u00e8s distant.<\/p>\n \u00a0Sp\u00e9cialiser les terminaux clients. <\/strong>Vecteur d\u2019intrusion classique lors d\u2019attaques cibl\u00e9es, le poste de travail devra \u00eatre sp\u00e9cialis\u00e9 en fonction des usages. Si l\u2019utilisation de postes distincts en fonction des usages est fr\u00e9quemment rencontr\u00e9e, elle reste complexe \u00e0 g\u00e9n\u00e9raliser. Le recours \u00e0 de nouveaux OS virtualis\u00e9s et isolant les machines virtuelles suivant leur sensibilit\u00e9 est une piste \u00e0 explorer. L\u2019utilisation de solutions de d\u00e9port d\u2019\u00e9cran peut \u00eatre une option temporaire int\u00e9ressante avant la g\u00e9n\u00e9ralisation d\u2019un poste de travail virtualis\u00e9. Les \u00e9changes avec la zone sanctuaris\u00e9e seront bien entendu chiffr\u00e9s et les postes ne permettront pas de stockage local d\u2019informations tr\u00e8s sensibles.<\/p>\n \u00a0Sensibiliser et contraindre. <\/strong>Les utilisateurs manipulant les donn\u00e9es les plus critiques sont souvent les plus difficiles \u00e0 convaincre de l\u2019importance de la s\u00e9curit\u00e9. L\u2019utilisation d\u2019exemples concrets et surtout la mise en place d\u2019un m\u00e9canisme coercitif en cas d\u2019\u00e9carts permettront de diminuer les solutions de contournement. Sur ces p\u00e9rim\u00e8tres sp\u00e9cifiques, il ne faudra pas tol\u00e9rer d\u2019\u00e9cart aux politiques de s\u00e9curit\u00e9, comme cela peut aujourd\u2019hui \u00eatre le cas, et composer avec les impacts m\u00e9tiers cons\u00e9cutifs.<\/p>\n \u00a0Surveiller, r\u00e9agir et pr\u00e9voir la reconstruction\u00a0: <\/strong>L\u2019attaque \u00e9tant tr\u00e8s probable, elle doit pouvoir \u00eatre d\u00e9tect\u00e9e et son impact minimis\u00e9. Une \u00e9quipe interne d\u00e9di\u00e9e \u00e0 la gestion des zones sanctuaris\u00e9es et \u00e0 la gestion des incidents et des crises devra \u00eatre form\u00e9e. La tra\u00e7abilit\u00e9 devra \u00eatre mise en place et suivie avec des moyens importants (H24, temps r\u00e9el, etc.). De nouvelles g\u00e9n\u00e9rations d\u2019outils devront \u00eatre test\u00e9es et d\u00e9ploy\u00e9es en particulier pour d\u00e9tecter les signaux faibles relatifs \u00e0 la fuite d\u2019information. Ces syst\u00e8mes seront \u00e9galement d\u2019une aide pr\u00e9cieuse pour enqu\u00eater sur les fuites de donn\u00e9es lors de l\u2019intrusion. D\u2019autre part, des actions de reconstruction devront \u00eatre imagin\u00e9es pour pouvoir repartir sur une base saine en cas de succ\u00e8s d\u2019une attaque. L\u2019utilisation du PCA\/PCI peut \u00e9galement \u00eatre envisag\u00e9e. Tous ces moyens sont contraignants et ont un co\u00fbt \u00e9lev\u00e9. Ils doivent \u00eatre limit\u00e9s \u00e0 un nombre restreint de traitements et de donn\u00e9es. C\u2019est le prix \u00e0 payer pour conserver un niveau de s\u00e9curit\u00e9 important. L\u2019arm\u00e9e am\u00e9ricaine estime que la s\u00e9curisation des projets tr\u00e8s sensibles entra\u00eene un surco\u00fbt de 20%, du fait des mesures additionnelles, mais aussi de la complexit\u00e9 et des contraintes pos\u00e9es sur le travail au quotidien (cloisonnement de l\u2019information, s\u00e9paration des \u00e9quipes, etc.).<\/p>\n Certaines entreprises sont pr\u00eates aujourd\u2019hui \u00e0 franchir ce pas \u00e0 la vue des risques encourus. Il s\u2019agit en particulier du secteur de la d\u00e9fense, des soci\u00e9t\u00e9s fournissant des syst\u00e8mes de s\u00e9curit\u00e9, des soci\u00e9t\u00e9s o\u00f9 l\u2019innovation est r\u00e9alis\u00e9e sur des cycles longs de recherche et de d\u00e9veloppement. Pour d\u2019autres, la s\u00e9curisation ne sera pas acceptable, soit pour des raisons de pratiques internes, soit pour des raisons budg\u00e9taires (les co\u00fbts d\u00e9passant la rentabilit\u00e9 du SI ou bridant la comp\u00e9titivit\u00e9). Il faudra alors peut-\u00eatre d\u00e9cider de r\u00e9duire le p\u00e9rim\u00e8tre de protection, et accepter consciemment de potentielles fuites de donn\u00e9es qu\u2019il faudra justifier et valider avec le management.<\/p>\n Le r\u00f4le du RSSI, entre \u00e9valuation des risques et pouvoir de conviction<\/strong><\/p>\n Il est \u00e9vident que ces menaces sont amen\u00e9es \u00e0 perdurer dans le temps. C\u2019est au RSSI de r\u00e9aliser\u00a0 l\u2019\u00e9valuation des risques de sa structure face \u00e0 ces menaces et de convaincre sa direction de l\u2019importance des actions \u00e0 mener.<\/p>\n Se prot\u00e9ger \u00e0 tout prix contre les attaques cibl\u00e9es n\u2019est pas envisageable et n\u2019a pas de sens. Par contre, construire un socle solide r\u00e9sistant aux attaques opportunistes sur lequel viennent se greffer des sanctuaires s\u00e9curis\u00e9s est une orientation \u00e0 \u00e9valuer chez chacun.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Les attaques cibl\u00e9es sont difficiles \u00e0 d\u00e9tecter, \u00e0 juguler et \u00e0 emp\u00eacher. Le p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 r\u00e9seaux et les applications web ne sont plus forc\u00e9ment les premi\u00e8res portes d\u2019entr\u00e9e. L\u2019attaque va souvent jouer sur plusieurs tableaux pour atteindre son objectif….<\/p>\n","protected":false},"author":15,"featured_media":6343,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[36,3225],"tags":[175,3320],"coauthors":[837],"class_list":["post-754","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-digital-trust","category-ethical-hacking-indicent-response","tag-apt","tag-incident-response-cert-w"],"acf":[],"yoast_head":"\n