Comment se préparer à des attaques de sécurité complexes
Livre blanc
IBM Global Technology Services IBM Security Services
Comment se préparer à des attaques de
sécurité complexes
Quatre mesures que vous pouvez prendre dès à présent pour protéger votre organisation
2 Réagir à – et se remettre – d’attaques de sécurité complexes
Introduction
Comme tant d’autres choses dans notre monde actuel, les
cyberattaques – et ceux qui les commettent – se perfectionnent
d’année en année. Parallèlement, les ressources informatiques
sortent des limites du pare-feu et les entreprises distribuent
leurs applications et données sur de nombreux périphériques.
Il devient donc clair que la simple protection du périmètre
d’une organisation ne suft plus. Ces attaques complexes – qui
incluent les menaces persistantes avancées (Advanced Persistent
Threat ou APT) – contournent les défenses classiques.
Nous ne savons que trop comment les incidents de sécurité majeurs
peuvent affecter les données, réseaux et la marque d’une société.
Nous savons également que les attaques complexes, conçues
pour obtenir un accès continu aux informations critiques ou
endommager une infrastructure vitale, augmentent en intensité,
en fréquence et engendrent des coûts de plus en plus élevés.
Sommaire
2 Introduction
3 Etape 1 : Classer vos objectifs métier par priorité et
définir la tolérance aux risques
4 Etape 2 : Protéger votre organisation à l’aide d’un plan
de sécurité proactif
7 Etape 3 : Préparer votre réponse face à l’inévitable : une
attaque complexe
8 Etape 4 : Favoriser la sensibilisation aux risques de
sécurité
10 N’attendez pas que votre société devienne une victime :
commencez dès aujourd’hui
12 Informations complémentaires
Quel niveau de gravité ? Les attaques complexes peuvent avoir
pour but de :
• Voler de la propriété intellectuelle
• S’approprier des comptes bancaires et d’autres actifs nanciers
• Propager des logiciels malveillants sur des ordinateurs
individuels ou à travers les systèmes
• Publier des informations métier et/ou clients condentielles
en ligne
• Endommager une infrastructure vitale.
A quelle fréquence ? Une enquête de 2012 auprès de 2 618 chefs
d’entreprise et praticiens de sécurité aux Etats-Unis, au Royaume-
Uni, en Allemagne, à Hong Kong et au Brésil a révélé que ces
entreprises subissaient en moyenne 66 attaques hebdomadaires ;
les organisations situées en Allemagne et aux Etats-Unis signalant
le nombre d’attaques le plus élevé : 82 et 79 par semaine,
respectivement. Et dans leur rapport bimestriel de 2012, les
équipes de recherche et de développement IBM X-Force notaient
une tendance générale à la hausse des vulnérabilités, et prédisaient
un éventuel pic sans précédent pour la n de l’année.2
A quel prix ? Le coût moyen de récupération après une
cyberattaque était estimé à près de 235 000 euros par les
organisations sollicitées dans l’enquête 2012 ci-dessus.3 Ce qui
pourrait se monter à près de 800 millions d’euros sur une année.
Qui plus est, nous savons que les personnes à l’origine de ces
attaques complexes planient sur le long terme et se montrent
très patientes. Elles explorent et ciblent des vulnérabilités
spéciques. Et elles se concentrent davantage sur la destruction
que sur l’exploitation pour l’instant.
IBM Global Technology Services 3
Identifier les domaines les plus vulnérables aux attaques
Tout comme il existe des priorités pour la sécurité, il existe
également des domaines plus vulnérables que d’autres. Il ne
s’agit pas de pointer du doigt ou de blâmer. Au contraire, c’est
l’occasion de voir les choses telles qu’elles sont – pour vous
permettre de créer un environnement globalement plus sûr.
Identifier les types d’attaque qui constituent les plus
grandes menaces
Les attaques complexes sont conçues pour semer le plus de chaos
possible et se traduisent en général par la perte ou l’utilisation
malveillante de données critiques, l’interruption d’une
infrastructure vitale, ou les deux. C’est pourquoi vous devez
examiner les systèmes d’informations et métier critiques de
l’entreprise du point de vue d’un attaquant. Puis vous devez
vous poser la question : comment un attaquant s’y prendrait-il
pour causer le plus de dégâts possible ?
Identifier les domaines qui subiraient les plus grandes
pertes en cas d’attaque
C’est là que vous devrez affronter votre plus grand cauchemar.
Si vous voulez élaborer un plan viable, vous devez connaître
exactement les effets dévastateurs d’une attaque qui réussirait à
frapper les endroits les plus vulnérables de l’entreprise.
Dans ce livre blanc, nous présenterons quatre étapes proactives
que vous pouvez – et devez – mettre en œuvre dès maintenant
pour protéger votre organisation :
• Classer vos objectifs métier par priorité et dénir la tolérance
aux risques
• Protéger votre organisation à l’aide d’un plan de sécurité
proactif
• Préparer votre réponse face à l’inévitable : une attaque complexe
• Favoriser la sensibilisation aux risques de sécurité.
Etape 1: Classer vos objectifs métier par
priorité et dénir la tolérance aux risques
L’expérience de ces dernières années a clairement mis en évidence
que « la sécurité » n’est que relative. En effet, quel que soit notre
désir de créer une entreprise en permanence entièrement sécurisée,
la réalité est tout autre. Néanmoins, la menace croissante d’attaques
complexes exige que nous prenions au sérieux la sécurisation
de nos informations et la protection de notre personnel et de
l’infrastructure. Pour cela, il faut commencer par dénir des
priorités.
Déterminer ce qui est vital pour la sécurité de l’entreprise
et pourquoi
Cela peut sembler évident. Mais prendre le temps de réellement
rééchir à vos objectifs métier et discuter de ce qui est le plus
important – ainsi que du degré de risque que vous êtes prêt à
tolérer – contribuera à jeter des bases solides pour une stratégie de
sécurité qui répondra aux besoins uniques de toute l’organisation.
Une fois cette ligne de référence établie, vous aurez déjà fait
un grand pas dans la bonne direction.
Vous devez examiner les systèmes
d’informations et métier critiques
de l’entreprise du point de vue d’un
attaquant.
4 Réagir à – et se remettre – d’attaques de sécurité complexes
Etape 2 : Protéger votre organisation à l’aide
d’un plan de sécurité proactif
A présent que vous connaissez vos priorités, le moment est venu
d’élaborer vos plans, de mettre en place la bonne technologie
et de tout déployer. C’est à ce stade que vous prenez les mesures
pour vous assurer que votre entreprise connaît les menaces
potentielles et s’efforce de se défendre face à elles de manière
proactive – en permanence.
Elaborer une approche proactive et informée de la
sécurité informatique
Développez une stratégie de sécurité avec des règles et des
technologies conçues pour protéger de manière proactive les actifs
et les informations identiés comme prioritaires à l’étape 1. Armer
votre organisation pour gérer avec succès ces vulnérabilités est
une part essentielle d’une vision proactive de la sécurité. Les
stratégies de sécurité que vous développez constitueront les
bases de votre stratégie de gestion de la sécurité des données.
Ces stratégies doivent formaliser vos exigences, processus et
normes technologiques de sécurité. En prime, outre la détection
et l’élimination des vulnérabilités, une stratégie de sécurité
intelligente peut également améliorer les opérations métier
en diminuant les risques et les coûts de gestion de la sécurité
informatique.
Identifier les vulnérabilités existantes et les corriger
Cela peut impliquer un processus aussi simple (mais gourmand
en ressources) que s’assurer que chaque système d’exploitation
sur chaque machine est à jour de ses correctifs de sécurité – et
le restera. D’autres vulnérabilités sont plus difciles à détecter
et corriger, par exemple, les points faibles des applications métier.
Sites de jeux et de divertissement en ligné piratés, 100 millions
d’enregistrements clients compromis
Coût estimé : 3 milliards d’euros
Victime : sites de divertissement et communauté de jeux en ligne
Ce qui s’est passé : une « intrusion externe » à un réseau de jeu
s’est traduite par la compromission de 70 millions de comptes
clients, mettant en danger les données personnelles et de carte de
crédit. L’entreprise a dû geler les services en ligne durant
l’enquête, ce qui a causé des réactions négatives du public et
une mauvaise presse en général. Un deuxième piratage dans la
division divertissement a compromis de nouvelles données client.
Pourquoi cela est arrivé : les pirates ont pu pénétrer la sécurité
réseau et accéder aux données de comptes et utilisateurs non
chiffrées voire même à certaines données de carte de crédit.
Les dégâts : outre, le ressentiment public généralisé, l’entreprise a
dû faire face à des coûts supérieurs à 130 millions d’euros en
perte d’activité et frais de réponse. La capitalisation boursière de
la société a chuté d’environ 3 milliards d’euros et le cours de
l’action a perdu 12 %.
Les leçons qu’il faut en tirer : apparemment, l’une des vulnérabilités
exploitées était connue de la société. Les entreprises doivent
s’appuyer sur une infrastructure pour gérer les risques associés
aux actifs informationnels et établir des mécanismes de
gouvernance renforcés pour soutenir cette infrastructure.
A titre d’information uniquement. Les faits réels et dommages associés à
ces scénarios peuvent différer des exemples fournis. Estimation basée
sur des informations financières publiques et les articles publiés.
IBM Global Technology Services 5
En raison de l’évolution constante du paysage sécuritaire, il est
tout aussi important d’implémenter des règles de tests et de
révision réguliers.
Adopter une approche intelligente des informations de
sécurité
Comment maîtriser tout cela – sans que le service informatique
soit constamment en état de panique ? Des outils de sécurité
intérieure et d’analyse peuvent surveiller activement et tirer
des corrélations à partir de l’activité des données provenant de
plusieurs technologies de sécurité, vous offrant la visibilité et les
connaissances de ce qui se passe dans votre environnement – pour
vous aider à détecter et enquêter sur le type d’activité suspecte
qui pourrait indiquer une attaque. Ils permettent de réduire la
complexité en communiquant dans un même langage pour des
environnements hétérogènes, tout en libérant votre service
informatique, permettant à la fois des gains de temps et d’argent.
Développer des procédures de gouvernance et
attribuer la responsabilité des risques
Comme nombre d’autres choses, les programmes et stratégies
de sécurité conçus pour vous défendre contre les menaces
telles que les attaques complexes dépendent entièrement de
l’aptitude de votre organisation à s’assurer que chacun respecte
les règles. Vous devez donc avoir en place un plan pour rester
maître de la situation sur le long terme. Cela implique de décider
qui surveille et gère les stratégies de sécurité et comment vous
allez prouver que votre stratégie face aux risques est maintenue.
Assurez-vous que quelqu’un est responsable de votre programme
de sécurité et que des interlocuteurs lui sont affectés dans les
domaines métier vitaux. En étendant les responsabilités et la
sensibilisation aux domaines clés à risques, vous générerez une
meilleure compréhension et application des contrôles de sécurité
que vous avez mis en place. Ce qui vous permettra de créer un
environnement métier sécurisé.
Arbitrer les menaces existantes
Etes-vous sûr que vous n’êtes pas déjà victime d’une
attaque complexe ? Les attaques pernicieuses, telles que les
APT (Advanced Persistent Threat), sont conçues pour rester
invisi-bles aussi longtemps que possible, passant d’un hôte
compromis à un autre, sans générer de trac réseau identiable.
Au cœur de chaque APT se trouve une fonction de contrôle à
distance, qui permet aux criminels de naviguer vers des hôtes
spéciques dans les organisations cibles, en manipulant les
systèmes locaux et en obtenant un accès continu aux
informations critiques. Pour vous protéger, vous devez disposer
d’outils conçus pour détecter les communications par contrôle
à distance entre votre système et l’envahisseur criminel.
Il est devenu plus important que
jamais de prêter une attention
particulière aux tests d’efcacité
des stratégies, procédures et
technologies de sécurité.
Tester, tester et encore tester
L’émergence des attaques complexes s’accompagne de l’évidence
que l’une d’entre elles frappera un jour votre organisation. Ce
n’est qu’une question de temps. C’est pourquoi il est devenu
plus important que jamais de prêter une attention particulière
aux tests d’efcacité des stratégies, procédures et technologies
de sécurité – car il s’agit d’un élément clé des exigences juridiques
et réglementaires liées à l’obligation de prudence et de diligence.
Pour tout manquement à ces exigences, les dirigeants sont tenus
responsables des résultats d’une violation de sécurité.
6
7
8
9
10
11
12
1
/
12
100%
