RSA tire les leçons de son intrusion
Loin des discours culpabilisants ou des critiques, Tom Heiser, Président de RSA, tire les enseignements de l’intrusion dont l’entreprise a été victime au début de l’année et en profite pour prodiguer ses conseils.
L’entrée en matière est presque brutale : «imaginez ce scénario. Vos employés sont visés par du phishing; ils reçoivent des courriels d’une entreprise et d’une personne, dans cette entreprise, qu’ils connaissent. Dans ces courriels, un logiciel malveillant armé d’un exploit 0-day. Le tout résultant en une menace avancée persistante active au coeur de votre infrastructure, avec de multiples couches de résilience. » Difficile de ne pas tomber dans le piège, en effet. Ce que décrit là Tom Heise, président de RSA, c’est le point de départ de l’infiltration dont l’éditeur a été victime plus tôt cette année. Et d’ajouter que deux groupes étaient à l’oeuvre, l’un servant de couverture au second. Ce les outils de supervision du trafic réseau de NetWitness qui ont permis à RSA de découvrir l’attaque dont il était victime, alors même que les pirates utilisaient des techniques de chiffrement et de compression avancées - Art Coviello, président exécutif de RSA, estime d’ailleurs qu’assez «ironiquement,» l’incident «conforte notre stratégie». Mais Tom Heiser veut regarder vers l’avenir et il s’intéresse notamment aux leçons à retirer de cette attaque.
Repenser la sécurité et l’analyse du risque
Pour lui, les entreprises doivent «revisiter leur analyse du risque,» en adoptant la «perspective de l’attaquant» pour évaluer la valeur des actifs informationnels de l’entreprise... pour elle-même mais au-delà, dans l’ensemble de la chaîne de valeur dans laquelle elle s’inscrit. Et donc ses clients. Pour Tom Heiser, RSA n’était à l’évidence pas la cible finale visée par les pirates; ce n’était qu’une étape intermédiaire : «Souvenez-vous, vous pouvez être attaqué dans le cadre d’une attaque plus vaste, visant quelqu’un d’autre. Et cela devenir de plus en plus commun.» Losckheed Martin et Northrop Grumman auraient été attaqués à la suite de l’intrusion chez RSA.
Pour la protection à proprement parler, Tom Heiser ne remet pas en cause l’utilisation des outils classiques de lutte contre les logiciels malveillants, il appelle à revoir la protection contre les exploits 0-day : «nos adversaires s’adaptent et apprennent de nouvelles tactiques plus vite que nous nous pouvons répondre. Ils trouvent des exploits dans nos environnements IT complexes et en perpétuel changement. Nous devons nous préparer à ce nouveau type d’attaques, plus lentes, plus furtives que les assauts frontaux du passé.» Tom Heiser mise aussi sur la virtualisation : «soyez agressifs pour isoler et administrer les systèmes dans un état non conforme.»
Pour lui, il faut plus que jamais déployer - et effectivement surveiller - des outils de supervision de l’activité réseau, en ciblant précisément le positionnement des sondes et ne rechignant pas à capturer l’intégralité du trafic au niveau des éléments les plus critiques - «ne vous contentez pas des IDS traditionnels; déployez des outils de SIEM». Et puis Tom Heiser encourage à renforcer l’authentification et - surtout - le contrôle d’accès - «minimisez les accès à privilèges élevés et protégez-les par une authentification à facteurs multiples.»
Former, éduquer, contrôler
Mais il n’y a pas que la technologie, pour RSA «la dimension humaine est aussi importante que les outils que l’on déploie.» Et de viser l’organisation interne : «pour faire face, nous avons cassé nos silos internes; une organisation plate et décloisonnée est clé pour une prise de décision rapide. [...] La réponse doit se faire à l’échelle de l’organisation; pas simplement de la DSI. Tout le monde doit être impliqué. Le DSI et RSSI doivent avoir de très bonnes relations et communiquer constamment avec les responsables exécutifs.» Mais pas seulement.
«Formez, formez, formez.» Tim Heiser encourage à élever le niveau de conscience de la menace au sein de l’entreprise, de sa base jusqu’à son sommet - «si le conseil d’administration n’évoque pas ces questions, quelque chose ne va pas.» Et de viser le risque associé aux réseaux sociaux : «nos employés diffusent tellement d’information sur les réseau sociaux, que cela fait de nous une grosse cible. [...] Interdisez à vos utilisateurs à privilèges élevés de partager de l’information sur Facebook.» Ce n’est pas populaire, relève-t-il, mais... «c’est essentiel.»