Spécial sécurité : chômeur, chômeur… et voleur en plus !

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se sont intéressés à une étude Symantec sur la fuite de données en période de licenciements, au vol dans le secteur des cartes de crédit et enfin à la sécurité informatique de l'administration Obama.

Sommaire
1 - Chômeur, chômeur… et voleur en plus !
2 - Une nouvelle affaire Heartland en perspective
3 - L’administration Obama et la cyberdéfense

1 - Chômeur, chômeur… et voleur en plus !
Encore une étude catastrophiste publiée par le Ponemon et commanditée par Symantec. Cette étude se penche cette fois sur un panel d’un petit millier de personnes licenciées ou ayant quitté une entreprise durant les 12 derniers mois écoulés. 59 % des personnes interrogées admettent avoir quitté leur poste avec des données appartenant à l’entreprise, et 67% affirment avoir utilisé des informations obtenues dans le cadre de leur ancien emploi dans le but d’acquérir un poste plus important. Une forme de « prime à l’expérience professionnelle » en quelques sortes, car dans près de 40% des cas, les données « empruntées » sont des fichiers de clientèle. Dans près de 64%, en revanche, ces données sont des sauvegardes des échanges email, dont le contenu n’est pas précisé.

Plus de 24 % des personnes précisent que leurs accès au système informatique étaient encore possibles après que leur départ fut officiellement prononcé, 20% d’entre eux précisant que ces accès avaient perduré au-delà d’une semaine après leur départ. 82 % des sondés affirmaient même que l’entreprise n’avait jamais entamé le moindre audit concernant les fichiers informatiques ou dossiers papier consultés avant le départ de l’intéressé.
Le commanditaire de l’étude -spécialisé notamment dans la commercialisation de logiciels DLP- fait ressortir quelques chiffres impressionnants sur les supports utilisés pour faciliter les fuites de données en question. Dans 53 % des cas, les informations partent sur un DVD ou CD-ROM, dans 42% sur une clef USB et dans 38% via un attachement email.
Cette étude est probablement à conserver précieusement car elle se situe encore dans le contexte économique de l’année écoulée. Les causes de départ sont diverses : 37 % de mise à pied, 38% de départs volontaires suite à une proposition d’emploi, 21% de démissions « par anticipation » avant le commencement d’une charrette… L’accroissement des mises à pied et la diminution des offres d’emploi, tendance déjà constatée par l’ensemble de l’industrie occidentale, pourrait bien totalement modifier la prochaine édition de cette même analyse.

2 - Une nouvelle affaire Heartland en perspective
Cardnet et Tuscaloosa, deux sociétés de crédit américaines ont émis respectivement deux communiqués laissant entendre qu’une nouvelle affaire de vol d’information serait en train de secouer le monde des cartes de crédit/débit aux USA. Il s’agirait une nouvelle fois d’un hack ayant touché un intermédiaire bancaire dont le nom n’est pas encore communiqué. L’intrusion est certaine, mise en évidence par la découverte d’un programme intrus, mais il n’est absolument pas certain que les données collectées par cet agent aient pu être récupérées. Selon les communiqués, ce hack n’est pas en rapport avec le récent piratage des systèmes de Heartland… mais des personnes chargées de l’enquête tentent cependant de vérifier s’il existe des liens entre ces deux opérations. Pendant ce temps, Visa et Mastercard travaillent à établir un bilan exact de la situation et déclarent que, pour l’heure, aucune carte n’aurait fait l’objet d’un détournement d’argent. On parle de « centaines de cartes de crédit concernées » et d’une fenêtre de vulnérabilité restreinte aux mois de janvier et début février.

3 - L’administration Obama et la cyberdéfense
La Maison Blanche, tout comme le Pentagone, multiplient ces temps-ci les études, plans, communiqués et perspectives stratégiques relatifs à l’organisation d’une défense des infrastructures informatiques (tant nationales qu’appartenant à de grands organismes privés). L’on parle même de « riposte » du côté des militaires. Trois documents sont à lire avec attention, véritables « normes ISO » de la sécurité informatique d’Outre Atlantique. A commencer par «  Les 20 points de contrôle et métriques les plus importants pour une cyberdéfense efficace et une conformité Fisma » (Fisma pour Federal Information Security Management Act). L’on y apprend comment les CISO et responsables d’entreprises peuvent collaborer activement à cet « effort de défense passive », notamment en se tenant informé des alertes et communications diverses (alertes du Cert, classifications CVE, CPE, CWE etc) et en respectant les règles de conduite du Nist. La description de la structuration des équipes « sécurité » des infrastructures militaires et de celles des entreprises civiles sous-traitantes, ainsi que les procédures « point à point » d’assainissement d’un réseau informatique et d’entrainement des équipes d’intervention méritent à elles seules la lecture de ce rapport. De l’éradication des équipements et logiciels non référencés à la configuration des postes de travail, serveurs et équipements de commutation, en passant par le paramétrage des applications, l’analyse des logs, les tests de vulnérabilité… tout ceci a des relents de BS7799.

Richard Bejtlich va plus loin encore et commente 4 pages Powerpoint décrivant la Comprehensive National Cybersecurity Initiative (CNCI). C’est là une sorte de défilé du 14 juillet, où s’alignent les chars et les avions de cybercombat capables de protéger et défendre les Etats Unis contre une éventuelle répétition des récentes « cyber-attaques » Chinoises qui ont touché plusieurs pays occidentaux. Tout ceci, expl ique l’auteur du Tao de la Sécurité, se résume en une phrase : «  Expect greater military involvement in defending private sector networks ». C’est tout de même ce que l’on avait crû comprendre à la lecture du premier document. Toute la question est de savoir dans quelle proportion interviendra le bras armé de l’Etat et ce que cette armée considèrera elle-même comme une menace lui donnant droit d’agir, voir de riposter.

Armée, cyberdéfense et plus si affinité. Dans un long article publié dans IANewsletter, le Colonel John “Buck” Surdu et le Lieutenant Colonel Gregory Conti posent la question «  Army, Navy, Air Force, and Cyber—Is it Time for a Cyberwarfare Branch of Military »? L’Air Force, expliquent-ils, s’est constituée au lendemain de la seconde guerre mondiale, lorsqu’il est apparu que la guerre aérienne avait radicalement changé les tactiques de combat et la physionomie des champs de bataille. Aujourd’hui, il en va de même dans le domaine informatique, dont l’importance stratégique n’est plus à démontrer. Alors, pourquoi pas un corps constitué qui s’appellerait US-Bug Force, qui irait, la fleur au disque dur, combattre l’ennemi au côté de l’Army, de la Navy et de L’Air Force ? Et de tirer à boulets rouges (ou à coup d’obus-flèche, soyons moderne) sur le fait que les civils possèdent déjà un tel corps, la NSA, mais que ledit corps n’est pas du tout adapté à la vie militaire. C’est un problème culturel, affirment les auteurs. « Ne nous trompons pas, nous sommes déjà engagés dans une forme de cyber-guerre froide. Il nous faut dès à présent entrainer nos troupes à essuyer un feu informatique sur nos propres structures », à coordonner les efforts entre les différentes armes en fonction de leurs compétences internes en la matière, concluent en substance les deux auteurs.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)