3 janvier 2023

Décrypter la cybersécurité

Cyril Bras, directeur de la Cybersécurité au sein de Whaller, nous décrypte la cybersécurité.

 

Qu’est-ce la Cyber Resilience ?

La résilience, ce sont toutes les mesures qui vont me permettre de mieux faire face à une situation anormale. Par exemple, je suis victime d’une inondation, j’ai un étage, je monte tous mes meubles à l’étage et quand l’inondation est finie, je peux redescendre mes meubles. La Cyber Resilience, ça va être la même chose mais du point de vue numérique, c’est “qu’est-ce que je fais en amont ?”, “Quelles mesures je prends pour me prémunir d’une cyberattaque ?

 

Par exemple, je vais faire des sauvegardes et je vais m’assurer que ces sauvegardes ont fonctionné. Je vais avoir un inventaire de mon parc, je sais quel serveur, quelles ressources, quel logiciel j’utilise. Je vais avoir tout un ensemble de mesures organisationnelles en place pour que le jour où un incident survient, je ne sois pas à la recherche d’informations pour recréer mon infrastructure ou redémarrer mon service à minima pour, à terme, revenir à une utilisation nominale.

 

Qu’est-ce qu’un « Firewall » ?

Un “Firewall” ou “Pare-feu” en français, c’est un équipement en réseau physique. Mais maintenant on se rend compte qu’un pare-feu, ça peut être aussi un logiciel qui vise à protéger la ressource informatique des accès malintentionnés. Je vais avoir ne serait-ce que moi, ma maison, j’ai mon ordinateur et bien je vais avoir un pare-feu qui va être installé dessus pour empêcher que des gens s’introduisent dans ma machine et aussi pour limiter ce que ma machine envoie par l’extérieur.

 

Dans une entreprise, je vais avoir un pare-feu en entrée, en coupure, entre la connexion Internet et mes serveurs. Sur ce pare-feu, je vais écrire des règles qui vont dire par exemple que j’autorise les personnes de l’extérieur à venir consulter mon site web. En revanche, les personnes de l’extérieur ne peuvent pas aller sur un autre serveur. De la même façon, le pare feu va aussi embarquer des mesures de sécurité. Par exemple, il peut y avoir un antivirus à l’intérieur, il peut faire de l’analyse de trafic Internet. Ce qui fait que mes utilisateurs dans mon entreprise, lorsqu’ils vont vouloir sortir sur Internet, toutes leurs requêtes vont être analysées par le pare feu qui va oui ou non, les laisser sortir en fonction des mesures de sécurité qui auront été définies.

 

Qu’est-ce qu’un antivirus ?

L’antivirus, c’est un logiciel que l’on va installer sur un serveur, sur un poste de travail ou même sur un pare-feu afin de détecter des codes malveillants. Les codes malveillants, qu’est-ce que c’est ? Ce sont des programmes informatiques qui ont une finalité malveillante d’exfiltrer de l’information, de chiffrer de la donnée pour me réclamer une rançon derrière, ou bien tout simplement de la détruire ou même de détruire physiquement du matériel. Un antivirus à l’heure actuelle, il n’y a aucun équipement qui ne devrait se trouver sans antivirus. Il n’y a pas de système qui n’a pas de menaces vis-à-vis des codes malveillants.

 

Que ce soit un ordinateur Windows, que ce soit un Mac, que ce soit un Linux, peu importe, tous ces systèmes-là sont infectés par des virus. Il y avait une légende urbaine d’ailleurs, qui consistait à penser que les systèmes Mac n’étaient pas concernés par les virus, qu’il y en avait très peu. Il se trouve que c’est vraiment totalement faux puisque l’année passée il y a eu plus de code malveillant développé pour les Mac que pour Windows. Donc c’est vraiment une belle illustration.

 

Un antivirus, ça ne peut pas être gratuit parce qu’encore une fois, “si c’est gratuit, c’est vous le produit”. Il suffit de regarder dans la presse où l’on se rend compte qu’il y a eu déjà des cas où les données ont été revendues derrière. Il y a vraiment une nécessité d’être mis à jour fréquemment. Fréquemment c’est-à-dire plusieurs fois par jour, une fois par heure, etc. Une version gratuite, au mieux on aura une mise à jour par jour, donc ça sera très largement insuffisant pour avoir une idée du volume que ça représente ces codes malveillants. Tous les jours, on a plusieurs millions de nouveaux virus qui sont créés et petit à petit, l’antivirus est capable de les détecter car ce sont des virus déjà connus et tous les jours il reste 3000 nouveaux virus totalement inconnus. C’est vraiment important d’avoir quelque chose qui va être capable d’éliminer tous ces virus et de souscrire un abonnement auprès d’un fournisseur.

 

En termes de choix, tout dépend si on a à cœur la souveraineté ou pas. Il y a des opérateurs européens, des opérateurs américains et des opérateurs russes. Tout dépend à qui on souhaite accorder sa confiance sur la détection de codes malveillants.

 

Qu’est-ce qu’une plateforme MISP ?

MISP c’est un logiciel qui permet de partager des IOC. Les IOC sont des indices de compromission, des artéfacts techniques qui correspondent à des tentatives d’intrusion, à des attaques avérées, mais des marqueurs, c’est-à-dire que si je les analyse, si je les reprends dans un autre environnement, si je les trouve chez moi. Ça veut dire que potentiellement, mes serveurs, mes ressources ont été attaqués et peut-être ont été compromis.

 

Chez Whaller, nous avons décidé de déployer ce type de plateforme pour accumuler de l’informations parce que nous avons des serveurs qui sont attaqués tous les jours et nous avons des signatures d’attaques qui sont intéressantes, de cumuler pour nous pour pouvoir savoir qui nous veut du mal. Nous avons décidé de les partager avec nos clients et nos partenaires afin de les aider en leur donnant ces éléments-là.

 

Si vous les retrouvez chez vous, peut-être potentiellement vous avez été attaqué et ça serait bien de chercher à savoir si c’est vrai ou pas.

 

Qu’est-ce qu’un « pentest » ?

L’objectif de ces tests d’intrusion, c’est de rechercher les vulnérabilités sur un système. Nous définissons un périmètre que nous voulons tester, par exemple, les serveurs de l’entreprise. Nous allons tout d’abord effectuer une recherche sur les services exposés sur Internet. Une fois que nous avons énuméré tous ces services-là, nous les avons identifiés.

 

Nous allons utiliser des outils qui vont spécifiquement tester ces services pour savoir s’ils sont à jour, si j’ai mis des mots de passe robustes, s’il n’y a pas des erreurs de configuration, “est ce que je n’ai pas laissé la configuration par défaut” ?

Donc trouver un point d’entrée sur ces services-là.

 

Le pentest, ça peut être aussi de l’intrusion physique. C’est-à-dire que si je me rends compte que par Internet je ne peux pas accéder à une ressource, elle est bien protégée, il y a un pare-feu, il y a des règles qui font que c’est compliqué d’y arriver. Je vais voir si par l’environnement physique, je ne peux pas m’introduire sur ce serveur. Pour cela c’est soit je m’introduis physiquement dans les locaux de la structure où l’on fait le pentest, j’essaye d’aller sur le serveur, brancher une clé USB, brancher un implant informatique qui va me donner un accès à distance ou bien m’appuyer sur la vulnérabilité humaine en jetant des clés USB devant l’entrée de l’entreprise afin de voir qui va prendre ces clés USB les range sur son ordinateur pour me donner accès au système d’information.

 

Qu’est-ce que représente la qualification SecNumCloud ?

La qualification SecNumCloud a été créée il y a quelques années par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) afin d’obliger les fournisseurs de services cloud à respecter un certain nombre de mesures de sécurité afin de garantir à leurs clients un usage en confiance de leurs technologies et des services qu’ils proposent.

 

SecNumCloud, c’est aussi la garantie que les données sont hébergées en France. C’est une des obligations à respecter, les serveurs doivent être en France et ne pas être soumis à des lois extraterritoriales.

 

 

Qu’est-ce que le RGPD ?

Le Règlement Général de Protection des Données (RGPD), c’est un règlement européen qui a été mis au point en 2016 par la Commission européenne, qui a demandé aux États membres de le transposer dans leurs législations nationales et avec une entrée en vigueur prévue le 25 mai 2018.

 

Concrètement, à quoi ça correspond ? L’idée, c’est de protéger les données des citoyens européens, quel que soit l’endroit où ces données sont localisées. Si elles sont sur un serveur en France ou un serveur aux Etats-Unis, le RGPP va s’appliquer.

 

De quoi parle le RGPD ? Il aborde deux critères. Le premier, c’est que la sécurité doit être là par conception, c’est-à-dire que lorsque je mets en place une solution, elle doit embarquer des mesures de sécurité, elle doit être à l’état de l’art. Je ne peux pas me permettre d’avoir des serveurs pas à jour, d’avoir des mots de passe triviaux, etc.

 

Le second élément, c’est de garantir la confidentialité par défaut. C’est le nerf de la guerre. C’est de faire en sorte que ces données-là, elles ne soient pas librement accessibles auprès de n’importe qui, n’importe quel internaute.

 

Le RGPD, va également demander le consentement des citoyens. C’est-à-dire que lorsque je donne des données me concernant, on doit me demander mon avis, on doit me dire ce qu’on va en faire. Ce n’est pas un libre accès à mes données et un usage sans mesure.

 

L’autre élément aussi, c’est qu’il y a eu un changement entre temps, quand ce RGPD est arrivé, en France, nous avions la loi informatique et liberté qui cadrait déjà ce que nous pouvions faire avec les données personnelles. Le RGPD est venu un peu modifier le rôle de la Commission nationale de l’informatique (CNIL) et des libertés qui est l’organe en charge de l’application du RGPD en France et qui est passé d’un organe qui va s’assurer que c’était à peu près bon, à maintenant nous vous faisons confiance. Vous avez de votre côté vous désignez une personne qui va être le délégué à la protection des données, qui va avoir la charge de référencer tous les traitements de données qui sont dans l’entreprise.

Le jour où un incident survient, c’est lui qui va servir d’interlocuteur avec la CNIL pour expliquer ce qui s’est passé et quelles données ont été affectées. Est-ce que ces données étaient bien correctement enregistrées dans son registre de traitement ?

 

Qu’est-ce qu’un VPN ?

Le VPN – Virtual Private Network, c’est une technologie qui, en anglais, signifie un réseau privé virtuel et qui a pour objectif de créer un tunnel entre un poste client, un ou plusieurs postes client, et un nœud de communication, en général le serveur à un serveur de l’entreprise.

 

L’idée de tunnel VPN c’est que lorsque je le lance, toute ma navigation, tout ce que je vais faire va être cachée vis-à-vis d’Internet va être envoyée dans ce tunnel qui est un tunnel chiffré et toutes les données seront véhiculées de façon transparente vers le point de sortie.

 

L’autre avantage aussi du VPN, c’est que le poste client se retrouve dans la même situation que s’il était physiquement dans les locaux de l’entreprise. De ce fait, toutes les mesures de sécurité qui sont mises en œuvre au quotidien pour protéger l’accès aux ressources, l’accès à Internet, le collaborateur qui se retrouve en situation de nomadisme va bénéficier des mêmes avantages, des mêmes protections.

 

 

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés