MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
C’est pourquoi, le 1er juillet, le secrétariat général de la défense et de la sécurité nationale a publié les premiers arrêtés relatifs à la sécurité des systèmes d’information des Opérateurs d’Importance Vitale (OIV). Il s’agit d’obliger les entreprises, privées et publiques, ayant des activités indispensables ou critiques pour la sécurité de la population, à prendre des mesures de protection contre les cyber attaques. La défaillance informatique de ces opérateurs pourrait en effet mettre en péril la sécurité nationale.
Cette mobilisation des Pouvoirs publics prouve l’importance de la sécurité informatique, qui doit être sérieusement mise en œuvre, au même titre que la sécurité des biens et des personnes.
Afin d’accompagner les OIV dans l’application efficace des mesures de sécurité informatique, NBS System propose aujourd’hui des solutions uniques en leur genre pour permettre aux sites internet de faire face aux cyber attaques, quelles qu’elles soient.
Cette entreprise française présente en effet la particularité rare de réunir des compétences à la fois en matière d’attaque et de défense informatiques. NBS System a débuté ses activités avec des tests d’intrusion, en 1999, et propose des solutions d’hébergement depuis 10 ans. Cette double compétence lui a notamment permis de développer le Cloud de haute sécurité « CerberHost ». Avec une combinaison unique de 20 couches de protection, il garantit la sécurité des sites à 99,9%. Testé par plus de 20 000 hackers et 60 experts, CerberHost résiste à toutes les attaques.
Philippe Humeau, Directeur Général de NBS System, explique : « Chez NBS System, la sécurité c’est notre problème, notre responsabilité, plus celle de nos clients, qui peuvent alors se concentrer sur d’autres sujets ; par exemple, la sécurité physique des locaux ou même de leur business. »
Cf. page 3 : la réaction de Philippe Humeau, Directeur Général de NBS System, à l’entrée en vigueur des nouvelles règles de sécurisation des systèmes d’information des OIV.
Chaque jour dans le monde, les entreprises sont exposées à de très nombreuses menaces : un virus inconnu est téléchargé toutes les 34 secondes, une application à haut risque est utilisée toutes les 5 minutes, des données sensibles sont envoyées toutes les 36 minutes, etc.[1] Si les cyber-menaces ont toujours existé, les hackers qualifiés étaient auparavant moins nombreux. Aujourd’hui, les tutoriels à disposition de tous sont disponibles sur la toile et les possibilités de piratage ont explosé. La fuite de données informatiques pèse ainsi de plus en plus lourd sur l’économie. D’après une récente étude portant sur 29 entreprises issues de 12 secteurs différents, le coût moyen d’un vol de données par entreprise est passé de 1,90 million d’euros en 2010 à 3,12 millions en 2015, soit une hausse d’environ +64%[2]. L’actualité démontre qu’aucune entreprise n’est épargnée par les attaques, pas même les plus grandes structures qui, au contraire, sont plus vulnérables avec une surface d’exposition beaucoup plus grande, plus de serveurs, plus de collaborateurs, plus de web services, d’applications...
CerberHost garantit le plus haut niveau de sécurité possible : 99,9%. Créé pour défendre les clients de tous types d’attaques informatiques, CerberHost a été soumis à divers tests et challenges depuis son lancement, mais n’a, pour le moment, jamais été contourné. Il a, en effet, été testé par plus de 20 000 hackers et 60 experts qui n’ont pas réussi à lui trouver de faille exploitable.
CerberHost est, à ce jour, la seule solution capable de fournir un tel niveau de sécurité sur les machines, les sites, les bases de données et le réseau. En effet, un client désirant égaler un degré de protection similaire devrait recourir à plusieurs prestataires et se doter de compétences internes en sécurité pour espérer bénéficier d’une qualité de sécurité comparable.
Aujourd’hui leader de l’hébergement e-commerce, NBS System s’est lancée en 1999 en tant qu’experte de la sécurité informatique. L’entreprise emploie aujourd’hui une équipe de 48 collaborateurs en France, proposant un service sans faille aux clients, avec une disponibilité 24h/24, 7j/7, 365 jours par an. En 2015, elle a réalisé un chiffre d’affaires de 6,3 millions d’euros, soit +34% par rapport à 2014 et 3 ans après le lancement de son Cloud haute sécurité « CerberHost ».. Début 2016, l’entreprise s’est associée au Groupe Oceanet Technology (OT) afin de renforcer son offre et de promouvoir plus largement l’hébergement hautement sécurisé, y compris à l’international.
Dans l’interview qui suit, Philippe Humeau, Directeur Général de NBS System, donne la position de l’entreprise sur ces nouvelles règles.
C’est une très bonne décision, un gros progrès dans le bon sens ! Avec les nouvelles technologies, de nouveaux risques apparaissent, et l’État réagit en conséquence. En effet, la « cyberguerre » est là, c’est indéniable, et elle va continuer à sévir : les vrais bons pirates sont complètement intraçables et même dans les rares cas où on les retrouve, ils sont inattaquables par manque de preuves. Cela offre aux criminels une impunité qu’ils ne sont pas prêts d’arrêter d’exploiter, et qu’une attaque physique ne leur offre pas. Ce n’est pas un combat perdu, mais il ne faut pas pour autant être une victime consentante !
C’est pourquoi l’approche de l’État est la bonne : sensibiliser, imposer des règles pour garantir un minimum de sécurité… L’ANSSI remplit tout à fait son rôle en mettant ces processus et vérifications en place. C’est le moment de protéger ces entités, pour qui la probabilité d’être attaquées est de plus en plus importante.
Il faut bien remettre les choses dans leur contexte. Qu’elle soit petite, moyenne ou multinationale, la sécurité du système d’information d’une entreprise ne regarde en général qu’elle, ses clients et ses partenaires. Certes, un vol de données dans une de ces entreprises pose de nombreux problèmes, mais elle ne met pas en danger la vie des citoyens.
Les OIV, en revanche, sont des entreprises pour qui les conséquences d’une attaque auraient un impact majeur sur la France et ses citoyens : les fournisseurs d’énergie, les Fournisseurs d’Accès à Internet (FAI), les aéroports… La population française subit un risque, mais ne peut rien y faire ! Imaginez par exemple la paralysie d’une centrale électrique à la suite d’un piratage : une zone entière privée d’électricité, en attendant par exemple le paiement d’une rançon demandée par les pirates ! Ce ne sont pas des scénarios catastrophes : un pirate a déjà réussi à prendre le contrôle d’un opérateur d’électricité américaine, heureusement dans le cadre d’un test…
Malgré cette influence effective sur la population, et le devoir de protection en découlant, les OIV ont été sous-estimés pendant longtemps. C’est donc une très bonne chose que l’État en prenne soin et encadre leur sécurité. Les autres entreprises peuvent bien sûr respecter les règles données par l’ANSSI (et devraient s’en inspirer), mais il n’est pas obligatoire de les inclure dans la règlementation. L’État ne peut pas tout, il a déjà beaucoup à faire avec les OIV, qui doivent eux-mêmes prendre en charge leur sécurité, même s’ils sont guidés et accompagnés par l’ANSSI. Il apporte un contrôle sur ces organismes dans le cadre de la protection des citoyens français ; une fois ce scope passé, ce sont aux entreprises elles-mêmes de prendre leurs responsabilités.
C’est la bonne question : les organismes travaillent avec des tiers, qui ne doivent pas devenir des points faibles en termes de sécurité, et donc des points d’entrée pour les pirates. C’est le cas par exemple des hébergeurs ; on parle souvent de FAI, mais les FAI ne font que transmettre de la donnée, ils ne la stockent pas. On sait déjà que l’ANSSI va accentuer son action sur le sujet de l’hébergement sécurisé, notamment avec sa norme de Cloud sécurisé, mais cela ne suffit pas. C’est le seul bémol que je donnerais à cette action.
Pour nous, la sécurisation du système d’information passe aussi par l’hébergement. Chez NBS System, la sécurité c’est notre problème, notre responsabilité, plus celle de nos clients, qui peuvent alors se concentrer sur d’autres sujets (par exemple, la sécurité physique des locaux ou même de leur business).
Un autre problème est lié à la question des prestataires : les OIV utilisent parfois des systèmes et outils propriétaires (par exemple, des scanners General Electric dans les hôpitaux ou des chaines de production mécaniques).. Ces systèmes sont rangés dans la catégorie des SCADA (Supervisory Control And Data Acquisition), et cela fait longtemps qu’ils sont dans le radar de l’ANSSI et du gouvernement, de par leur risque de compromission. En effet, il est beaucoup plus sûr de s’appuyer sur des outils open source, dont le code (public, partagé et auditable par définition) a été revu par tous les contributeurs, et donc a moins de chance de contenir des vulnérabilités exploitables. Bien entendu, il n’existe pas encore de technologie open source d’IRM, ce point est donc à relativiser…
Ce serait une mauvaise idée selon moi. Le fait de ne pas divulguer les incidents à plusieurs avantages : cela permet de garder cachées les protections utilisées par l’OIV, et de ne pas donner d’idées à de potentielles personnes mal intentionnées… Tous les détails, même s’ils paraissent anodins, pourraient être utilisés par d’autres pirates pour améliorer l’attaque jusqu’à ce qu’elle réussisse. Il vaut donc mieux que l’ANSSI et les OIV gardent cela pour eux, sauf bien entendu dans le cas d’une attaque réussie où la population serait menacée.
Il ne faut pas oublier que ces nouvelles règles ne concernent que le système d’information des OIV, et que d’autres règles de sécurité leur avaient déjà été imposées. Chacune des règles de l’ANSSI a une raison d’être et est totalement justifiée. C’est pourquoi mon premier conseil est simplement de suivre ces règles, de bien réfléchir à chaque point et d’y associer un plan d’action.
Mon deuxième conseil est de penser aussi à bien choisir ses prestataires : Target, l’an dernier, s’est fait compromettre par l’intermédiaire de son prestataire de climatisation. Bien entendu, en termes d’hébergement, nous ne pouvons que vous conseiller de choisir un hébergeur responsable, qui prenne en charge et assure la sécurité de vos données comme de votre système d’information dans son ensemble.
Les règles de l’ANSSI sont de très bons guides pour atteindre un niveau de sécurité acceptable. Ce n’est donc pas parce que vous ne faites par partie des OIV que vous ne pouvez pas les suivre ! Voici d’ailleurs quelques-unes de ces règles de sécurité des systèmes d’information, sur lesquelles vous pouvez également agir :
Création d’une politique de sécurité des systèmes d’information (PSSI),
Cartographie du système d’information, notamment pour apprécier l’impact d’une compromission éventuelle et donc faciliter le traitement des incidents,
Maintien en condition de sécurité (mise à jour de logiciels et application de correctifs),
Journalisation (logs) permettant de détecter les incidents et de les investiguer,
Détection des incidents,
Mise en place d’une organisation de gestion des incidents,
Activation de mesures de réaction pour limiter le périmètre de compromission en cas d’attaque,
Gestion de crise en cas d’attaque majeure,
Gestion des identités et des accès au système d’information,
Sécurisation de l’administration du système d’information, notamment par la séparation des flux d’administration et des autres flux,
Défense en profondeur,
Évaluation du degré d’exposition du système d’information.
