CYBERSÉCURITÉ : comprendre, anticiper et tenter de déjouer les cyberattaques en entreprise [Atelier TARMAC]

Inovallée et le Tarmac recevait un expert de la DGSI (direction générale de la sécurité intérieur) pour animer un atelier autour de la cybersécurité pour avoir un aperçu de ce qui se passe sur le territoire, comprendre et identifier les risques, prendre des mesures adaptées pour tenter de déjouer les cyberattaques en entreprises.

La DGSI exerce une compétence générale en renseignement pour lutter contre toutes les activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation et à la sécurité nationale. Ses missions principales sont :

• la lutte contre le terrorisme,
• la répression de toute forme d’ingérence étrangère,
• la protection du patrimoine économique et scientifique de la Nation,
• la lutte contre la menace cyber
• la prolifération des armes de destruction massive.

La cybersécurité qui était l’objet de l’intervention est un de ces piliers. C’est un sujet transversal car il nécessite une expertise dans nombres de domaines : juridique, technique, RH, financier, gestion des données aux quotidiens, etc. Une seule personne ne peut couvrir tous les sujets. C’est pourquoi la présence d’un DPO (délégué à la protection des données/data protection officer), souvent plébiscité par les entreprises, ne peut être la seule et unique solution. Le DPO est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné. Cela n’en fait pas un expert en sécurité.

Toute entreprise sera forcément un jour la cible d’une atteinte

L’idée ici n’est donc pas de chercher à éviter l’attaque, mais plutôt de s’y préparer au mieux pour anticiper les réactions et faire en sorte qu’elle soit le moins nuisible possible.

En effet, la crise financière et énergétique a valorisé un contexte d’intrusion. Les atteintes ont été multipliées par 6 depuis 4 ans, et le secteur de l’innovation y est particulièrement exposé. Avec des secteurs à la pointe de l’IA, de la santé, où les laboratoires d’innovation technologiques comme sociales fleurissent, Grenoble en tant que 5^e ville la plus innovante au monde (installation Huawei, Apple, Google) est un terrain propice aux cyberattaques.

Les motivations d’une attaque sont variées et peuvent être multiples, mais qu’on se le dise, il y aura toujours une bonne raison :

• Économique
• Déstabilisation
• Espionnage
• Idéologique
• Politique
• Influence

L’existence de la menace étant acceptée, il convient de :

1. Sanctuariser les éléments essentiels : identifier les éléments sensibles (ceux qui mettent en péril l’activité si corrompus) et impérativement les protéger). En général, ils représentent 10% du patrimoine et peuvent revêtir différentes formes.
2. Identifier les acteurs : les concurrents.
3. Se protéger : la notion de protection est singulière pour chaque activité, mais elle se décompose en trois parties : les outils ; les données ; le critère humain.

Se construire un plan de protection adapté

Chaque frein/barrière pourra être levé quelques soient sa taille et son niveau de difficulté. Cependant, tout cyber attaquant a un critère de rentabilité qui s’établit sur le ratio temps passé/valeur de ce qui est piraté. Il va de soi que plus les barrières pour les ralentir sont nombreuses, plus il y a de chance qu’ils s’essoufflent, ralentissent et finissent par abandonner.  La stratégie efficace consiste donc à mettre plusieurs niveaux de freins pour les ralentir et se laisser le temps de s’organiser entre chaque étape.

A l’image d’un plan de bataille, il faut veiller à se créer un plan de protection

1. Identifier les risques (endogènes, exogènes, environnemental, social etc.) : savoir à quoi on peut être exposer.
   Ex : En cas de rupture barrage Monteynard, il faut compter 10 min avant la 1^e vague, un potentiel risque de 220 000 morts.
2. Identifier l’impact (projets sensibles/conséquences) : si on coupe une ressource particulière, il faut être capable d’évaluer l’impact et le risque que cela représente pour l’activité de l’entreprise.
3. Avoir un Bouclier juridique (favoriser le droit français) : différents organes interviennent en fonction des pays
   – USA = privacy shield (accès aux données utilisateurs pour Google, Facebook, etc.) ;
   – Chine = PIPL (obligation des entreprises chinoises à fournir les données de leurs salariés au gouvernement pour analyse) ;
   – Europe = RGPD.

Je me protège de quoi ? Comment quantifier ?

Quand on respecte les limites de vitesses en conduisant, on ne peut pas quantifier le nombre d’accidents auxquels on a échappé. Il en va de même pour la cybersécurité !

Le problème dans le domaine de la sécurité, c’est que rien n’est obligatoire.

90% des attaques cyber commencent par du Social engineering

En exploitant la faille humaine, ce modus operandi permet aux attaquants d’obtenir un accès légitime et autorisé à des informations confidentielles. L’ingénierie sociale est aussi dangereuse et nuisible que toute autre attaque plus technique comme les virus. En fait, on pourrait dire que l’ingénierie sociale est plus grave que d’autres menaces, car les êtres humains sont souvent le maillon le plus vulnérable. Il n’est pas si difficile de configurer correctement un pare-feu alors qu’il est très difficile de former le personnel d’une entreprise aux dangers de la manipulation.

Comment contrer les attaques de Social Engineering ?*

Il faut avant tout prévenir toute tentative de manipulation psychologique :

• Être attentif aux traces que l’on laisse sur internet. Le pirate cherche des informations qu’il aura réussi à trouver un peu partout (centres d’intérêt, loisirs, habitudes, amis). Plus il en sait sur une personne, plus il pourra la manipuler.
• Apprendre à repérer le manipulateur : il est généralement du sexe opposé au vôtre et n’utilise jamais sa vraie identité pour vous piéger. Prenez le temps de lui demander des informations qu’il n’aurait pas en sa possession.
• Faites échouer une attaque à tous les coups en suivant ces principes de base :
  • Ne jamais donner ses informations sensibles sur Internet à une personne que l’on ne connait pas physiquement (et même pas à une que vous connaissez)
• • Changer régulièrement ses mots de passe.
  • Être toujours vigilant et ne pas croire les offres très spéciales, alléchantes, etc.

Certains outils open sources, comme OSIT, permettent de prendre conscience de notre lisibilité à l’extérieur et donc de qualifier la pertinence d’une attaque en analysant :

• Les différentes connexions qui sont visibles (proches, intime, famille, travail, people)
• La localisation (lieux, mode de transport, fréquence)
• Les métadonnées (adresse IP, téléphone, répertoire contact, énergie)
• Le profil psychologique (besoins, envies, faiblesses, personnalité)
• La consommation (moyens de paiement, avis, achats, coordonnées)

A partir du nombre d’informations récoltées, la cyberattaque peut également passer par la création d’avatar ou de double numérique nuisible. Vous l’aurez compris, la science-fiction n’a rien inventé !

La cyber kill chain : savoir comment les attaquants vont nous solliciter

Une cyberattaque se déroule toujours en suivant les mêmes étapes :

1. Reconnaissance -> Armement
2. Livraison -> Installation -> Exploitation
3. Commande et contrôle -> Action

On dénombre 3 types d’actions :

1. Voler info ;
2. Modifier info ;
3. Détruire le patrimoine

Pour toute cyberattaque, le délai de réactivité est primordial. Plus tôt l’attaque est détectée, plus on a de chance de limiter la casse :

• Intervention dans les 2h : préserve la majorité et perd un petit peu
• Intervention entre 2h et 6h : permet de préserver l’essentiel

Une vigilance particulière peut être apportée à l’attaque qui modifie les infos car elle est souvent peu ou pas détectée.

L’attaque Cryptolocker ou Ransomware

Technique d’attaque courante de la cybercriminalité, le ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.

En cas d’attaque, il convient de :

• Faire une déclaration à la CNIL sous 72h car passées ce délai, les données ne sont plus protégées.
• Débrancher Wifi et câble réseau, éteindre.
• Se faire accompagner

De nos jours, avec la multiplication des objets connectés qui représentent chacun une porte d’entrée et donc une vulnérabilité, il convient de sensibiliser les utilisateurs aux environnements dans lesquels ils vont utiliser leur dispositif .

Mots de passe et sauvegarde : deux points d’entrées à ne pas négliger

De façon général, il faut veiller à ne jamais concentrer le pouvoir dans les mains d’une seule personne. Idéalement, il faut 3 niveaux.

Le plan de sauvegarde : 3, 2, 1,

• 3 réplications
• 2 supports matériel différents (carte SD, disque dur externe, clé USB, lecteur à bande LTO, etc.)
• 1 sauvegarde hors site pour se prémunir de tout incident sur site (vol, incendie, etc.)

Source : https://www.data-labcenter.fr/news-et-reportages/conseils-et-generalites/strategie-de-sauvegarde-3-2-1/

Mot de passe : le temps des mots de passe ) 8 caractère est révolu ! Sachez qu’un mot de passe sécurisé aujourd’hui c’est pas moins de 16 caractères avec la panoplie minuscule/majuscule, chiffre et caractères spéciaux. Par ailleurs, on veillera à préférer une solution de centralisation de mot de passe audité par la communauté opensource (ex : bit warden)

Pour creuser le sujet de la sécurité du parc informatique, l’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Prévention, protection, réaction, formation, c’est une mine d’info à la portée de tous ! L’un des guides publiés par l’ANSSI peut aider à se protéger : https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

Mieux informé, plus concernés, mieux protéger !

Pour conclure, l’existence de la menace est un fait. Mieux vaut donc se préparer car nous sommes acteur de nos protections. Sensibiliser ses collaborateurs est un point essentiel pour diminuer le risque et cet atelier en a été la parfaite illustration. Mieux informé, plus concernés, mieux protéger !

* Source :