Les dernières fuites de données redéfinissent la notion d'échec
Nous avons vu d’importants vols de données d'entreprise par le passé. Mais ce qui me frappe sur l'épidémie de 2011, c'est l'incapacité quasi-totale d’organisations de grande envergure à protéger leurs plus précieux actifs numériques.
Cela peut paraître exagéré mais, pour diverses raisons, ces incidents récents redéfinissent la notion d’échec dans la sécurité de l’information. Récapitulons brièvement les exemples les plus flagrants :
- le cas RSA SecurID. Cela a commencé avec une attaque par phishing ciblé. Au moins un employé de la division sécurité d’EMC a été victime d'une attaque ciblée par e-mail; les cybercriminels ont combiné ingénierie sociale et pièces jointes malveillantes, exposant des détails sensibles sur le produit d'authentification très rentable de RSA, SecurID. Portons toutefois au crédit de RSA, l'une des marques les plus en vue en matière de sécurité de l'information, qu’elle avait déjà installé toute la technologie nécessaire pour détecter et arrêter l'attaque rapidement, limitant très probablement les dommages que l’intrusion était susceptible de causer.
- l’incident de sécurité d’Automattic. L’entreprise qui est derrière la plate-forme de blogs populaire WordPress a subi ce qu'elle a appelé une «intrusion de bas niveau (root)», impliquant plusieurs serveurs et résultant de ce qui était apparemment un vol de données sensibles, de code source personnalisé.
- Sony a dévoilé la compromission de son service PlayStation Network. Dans ce qui pourrait être l’un des plus grands vols de données à ce jour, les attaquants ont contourné le soi-disant «système de sécurité très sophistiqué» de Sony et volé des données personnelles de plus de 75 millions de membres - ce qui équivaut à un quart de la population américaine. Les données chiffrées de cartes bancaires des clients pourraient également avoir été dérobées.
Et cette liste ne comprend même pas les attaques significatives sur des sites Web chez McAfee et Barracuda Networks, ni même le fiasco HBGary Federal, qui vaudrait sûrement à celui-ci de remporter cette année le Prix Darwin de la sécurité de l'information (ou de son absence), s'il y en avait un.
Bien que tous ces vols de données récents aient été causés par des lacunes différentes dans les contrôles de sécurité, impliquant à la fois processus et technologie, ils illustrent tous une incapacité fondamentale à protéger ce que les entreprises ont de plus précieux : la propriété intellectuelle et les données clients.
Il est difficile de connaître les mesures exactes prises par ces organisations pour se prémunir contre ce genre d'événement, mais les observateurs de l'industrie doivent comprendre la leçon - aussi précieuse soit-elle - que ces incidents ont à offrir : l’approche traditionnelle de prévention de l’intrusion ne fonctionne pas. Si une organisation comme RSA -qui comprend mieux la sécurité que la plupart des entreprises, et base sa réputation sur sa propre sécurité - a finalement échoué à empêcher des pirates de lui voler certains éléments de sa propriété intellectuelle (dont les plus sensibles), on peut légitimement s’inquiéter pour les autres entreprises.
Je vois là deux leçons principales : les entreprises doivent rechercher pro-activement leurs failles de sécurité (de tous types) avant que les attaquants ne le fassent ; et même si cela est fait, les entreprises doivent être préparées à l'échec de leurs initiatives de sécurité, et à réagir en conséquence.
«Pour mieux contrer les attaques ciblées, il faut mener des opérations de contre-attaque. En d'autres termes, les défenseurs doivent activement traquer les intrusions dans leur entreprise », indiquait Richard Bejtlich, CSO de Mandiant, dans une édition récente de l’ Essential Guide to Threat Management du magazine Information Security Magazine.
Bejtlich présente une vision très perspicace de la meilleure façon de justifier l'approche de la contre-attaque et de créer une équipe dédiée. Mais le principal point à retenir est qu’il faut mettre en place un effort continu de recherche de nouvelles méthodes originales. Il ne s'agit pas seulement d'identifier les menaces et les faiblesses, mais aussi de rendre opérationnelles ces approches avec une technologie fiable et des processus reproductibles afin que les analystes sécurité puissent les exploiter. Dites ce que vous voulez au sujet des attaquants, mais ils sont très motivés ; pour rester dans la course face à eux, les entreprises doivent compenser par l'innovation.
Cela dit, aussi crucial qu’il soit d’assurer la réussite des efforts de protection des données, l'échec est inévitable et les vols de données surviendront. Lenny Zeltser, directeur senior du Conseil en Sécurité de l’hébergeur Savvis, m'a dit cette semaine que les organisations doivent se préparer à la perspective de violation de leurs données et identifier les principales étapes nécessaires pour minimiser les dommages, bien avant qu’un incident ne survienne.
«Plus une entreprise compte d'employés, plus la surface d'attaque est grande, car chacun des employés peut faire l’objet d’efforts d’ingénierie sociale. Dès lors, quel que soient les efforts entrepris pour protéger l’infrastructure, il y aura forcément, un jour ou l’autre, compromission,» estime-t-il. «Créez votre stratégie à cette perspective », lance-t-il alors.
A un moment où la prolifération sans pareil des terminaux mobiles et la fin rapide des réserves d’adresses IPv4 devraient figurer parmi les principales préoccupations des responsables de la sécurité IT, il est regrettable que cette nouvelle vague de vols de données de grande ampleur ait dominé l’actualité de l’industrie. Ce sont des choses que nous avons déjà vu par le passé; nous espérons que les entreprises comprennent qu’il est temps d’adopter une nouvelle approche pour la sécurité des données. Les entreprises n’ont rien n’a y perdre, sinon les données qui ont pour elles le plus de valeur.
Par Eric B. Parizo, chef de rubrique à SearchSecurity.com
Adapté de l’anglais par la rédaction