Quel est le point commun entre Verisign, RSA et Symantec ?

Tous trois sont des spécialistes de la confiance et la sécurité informatique de taille internationale, tous trois ont récemment vu leur réseau compromis par une attaque informatique restée un temps non-détectée, et tous trois sont aujourd’hui encore incapables de documenter clairement l’impact de ces attaques. Qu’ils ne le veuillent pas ou ne le puissent pas, peu importe : leurs clients sont, aujourd’hui encore, dans l’incertitude malgré une communication qui se veut rassurante.

Et s’ils sont ici montrés du doigt, c’est uniquement parce qu’ils s’agit d’acteurs majeurs, capables d’allouer des ressources considérables à leur protection et dont l’activité exigeait un très haut niveau de sécurité. Mais ils sont bien entendu loin d’être les seuls. « Qui peut le moins, peut le pire » pourrait-on écrire en détournant le dicton : d’autres acteurs de la confiance sur Internet (Comodo ou DigiNotar, par exemple) ou même des banques (dont PostBank, qui perdait le mois dernier 6,7 millions de dollars en dépit d’un investissement de deux millions de dollars en solutions anti-fraude il y a tout juste trois ans) ont également faits les frais de telles attaques.

Alors, qu’est-ce qui ne tourne pas rond ? Comment de telles entreprises, à la fois bien financées et ayant un besoin objectif de sécurité, peuvent-elles ainsi être compromises ?

Lors de la dernière édition des Assises de la Sécurité, à Monaco, Patrick Pailloux, Directeur de l’ANSSI, proposait une explication : les entreprises n’assureraient tout simplement plus le minimum syndical en matière de sécurité. De quoi déplaire au millier de professionnels de la sécurité présent pour l’écouter, eux qui triment chaque jour afin d’assurer la sécurité de leur entreprise. Bien que l’argument du patron de l’ANSSI tienne pourtant parfaitement la route lorsqu’il s’agit du tout-venant des entreprises, est-il possible que RSA, Verisign, Symantec ou des établissements bancaires ne fassent pas le minimum syndical en matière de sécurité ?

Cela semble peu probable. L’argument ne semble pas adapté à ces spécialistes de la sécurité. Du moins, pas totalement. Car si l’on peut avoir l’impression qu’ils « n’en font pas assez », peut-être est-ce parce qu’ils se trompent d’adversaire. L’ennemi, pour eux, n’est pas (que) l’équipe de pirate de haute voltige. C’est avant tout le chaos : la taille de ces entreprises, le nombre d’employés concernés par la moindre opération, la diversité de leur système d’information, la nébuleuse de leurs sous-traitants, le brouillard qui entoure leur périmètre exact (combien de systèmes ? Combien de mini-sites conçu pour le service marketing par une agence média ?).

Chez RSA, que l’on peut féliciter pour sa transparence quant au modus operandi des pirates, c’est un employé qui est allé récupérer dans sa boîte à spams un courrier doté d’une pièce jointe nommée « 2011 Recruitment plan.xls« . Il s’agissait bien entendu d’un document piégé. Certaines solutions techniques auraient peut être pu empêcher cela (et leurs éditeurs ne se sont d’ailleurs pas privés de le faire lourdement remarquer). Mais, globalement, c’est impossible : si ce n’est pas cet employé aujourd’hui, ce sera un autre demain, face à un autre code malveillant et protégé par un autre produit moins efficace. Plus l’entreprise est étendue, plus cette probabilité est forte.

Quelles solutions apporter alors ? L’on peut évoquer trois pistes d’amélioration :

• Changer de paradigme. Passer de « je ne veux pas être piraté » à « je serai piraté, donc je l’accepte et je m’organise pour en limiter l’impact et reprendre mon activité au plus vite« . C’est le principe de tolérance aux intrusions dont nous parlions déjà en 2009.
• Réduire la voilure. Se réorganiser afin d’opérer en départements de taille réduite, autonomes, et dont les collaborateurs auraient un sens plus immédiat des conséquences de leurs actes sur le business. Bien entendu, cela va à l’encontre du besoin de rationalisation et de réduction des coûts au sein d’une grande entreprise, il est donc illusoire d’espérer voir un tel changement à court terme.
• Ouvrir les yeux. Etre capable de mesurer l’activité sur le réseau et les postes de travail, et de détecter les comportements anormaux. Savoir tracer le parcours des fichiers, des exécutables, y compris après-coup (des solutions existent, dont récemment celle d’Immunet, acquise par SourceFire et intégrée sous la marque FireAmp). Mais au delà des solutions technique, cette approche exige une expertise humaine capable de repérer l’anormal. On ne met pas « la puce à l’oreille » d’un programme informatique. Toutefois ce domaine demeure l’un des plus prometteur pour l’avenir, et des plus excitants.

Ce qui est certain, c’est que si l’on persiste avec les modèles actuels de telles affaires se multiplieront. Il y a donc péril en la demeure sécurité, et nécessité de changer d’approche(s).

Et vous, quelles seraient vos stratégies en la matière ?