Le stress-test IT des banques britanniques est-il suffisant ?

L’industrie de la sécurité informatique a exprimé des inquiétudes à la suite du tout dernier test de résilience aux attaques informatiques de l’infrastructure IT financière du royaume.

Les professionnels de l’IT estiment que cet exercise constitue une bonne opportunité pour mettre en évidence les failles avant que les défenses informatiques du Royaume-Uni ne soient repoussées dans leurs derniers retranchements par les attaquants. Mais beaucoup pensent que le test devrait survenir plus régulièrement - le précédent a eu lieu en 2011. En outre, certains experts estiment que le test pêche par certains aspects et s’interrogent sur la manière dont ses organisateurs définissent les attaques informatiques.

Alors que nombreux participants et de nombreuses activités basées sur du papier se sont concentrés sur les règles et les procédures, John Yeo, directeur Europe de Trustwave, estime ainsi que le test ressemble plus à un exercice de planification logistique qu’à une simulation pratique : « ce qui doit être implémenté, ce sont des scénarios d’attaques du monde réel qui mettent véritablement à l’épreuve les plans d’action des entreprises. »

Identifier les attaques

Le test est censé simuler la manière dont les entreprises peuvent se coordonner et communiquer entre elles, mais Yeo estime que le problème le plus important est ce sur quoi elles communiquent et ce qui se passe avec une attaque plus sournoise, aux effets qui ne seraient pas immédiatement évidents lorsqu’elle survient : « la plupart des organisations victimes d’une violation de sécurité ne s’en rendent pas compte avant un certain temps. Et que dire de l’origine de l’attaque et de son déroulement… »
Dans l’édition 2013 de son rapport sur la sécurité IT, Trustwave a révélé que les organisations mettent en moyenne 210 jours à découvrir qu’elles ont été attaquées. « Il est crucial que les entreprises dispose de contrôles de sécurité adaptés qui ne se contentent pas de prévenir des attaques, mais qui soient capables, lorsqu’en survient une, de l’identifier et de répondre de manière appropriée et mesurée, » estime Yeo. Et d’ajouter qu’elles « doivent comprendre les techniques à mettre en oeuvre pour relancer leur activité, pour minimiser l’impact d’une telle attaque. »

D’autres se son interrogés sur l’absence d’effort relatif aux menaces internes. « Pour combattre les menaces internes, les entreprises doivent investir dans la formation des employés et dans des programmes d’information visant à éviter les incidents de sécurité accidentels, » explique ainsi Peter Armstrong, directeur Cybersécurité chez Thales UK. Selon lui, « les organisations devraient également envisager certains contrôles des employés administrés par l’IT, dont la surveillance du réseau qui alerte les personnes concernées en cas de connexion au réseau de terminaux suspects susceptibles d’infecter le SI de l’entreprise. »

Pour d’autres, l’exercice mériterait une implication plus grande du gouvernement britannique. « Alors que les attaques deviennent de plus en plus complexes, il est important que les agences gouvernementales, telles que GCHQ et le MI5, s’impliquent dans ces préparations. Les secteurs privé et public doivent combiner leur expertise pour déjouer des attaques toujours plus sophistiquées, » estime ainsi Jarno Limnell, directeur Cybersécurité de Stonesoft, une filiale de McAfee.

Le test sera-t-il complet ?

Certains représentants de l’industrie de la sécurité informatique se demandent si l’exercice va assez loin. Richard Horne, associé Cybersécurité de PwC, estime qu’un exercice tel que Waking Shark 2 aide à mettre en lumière l’ampleur du défi. « Mais véritablement comprendre toutes les interdépendances et développer des plans de reprise et de confinement pertinents va demander beaucoup de travail technique détaillé et de test, coordonnés à l’échelle de l’industrie, » juge-t-il.
Mais pour certains, la véritable valeur ajoutée de l’exercice tiendra à l’analyse de la manière dont les systèmes et les processus se sont comportés. « Il est essentiel que les participants étudient la manière dont le scénario s’est déroulé et quelles leçons doivent être retenues, » explique David Emm, chercheur en sécurité chez Kasperky Labs. Pour lui, « il est important que les organisations de tous les secteurs se penchent sur les risques posés par les menaces informatiques et développent leurs propres scénarios de gestion d’attaques. »

Ross Brewer, vice-président et directeur général marchés internationaux de LogRythm, estime de son côté que, si le secteur financier fait un pas dans la bonne direction, il serait bon que les leçons apprises soient suivies d’actes et partagées avec une audience plus large : « on compte trop d’organisations qui continue de s’appuyer sur des mesures de sécurité réactives alors qu’elles devraient être constamment prêtes à une attaque. Et il y a de bonnes chances que cet exercice s’avère être un processus issu d’une pensée dépassée. »

Surveiller le réseau

Selon Brewer, le seul moyen d’assurer que les entreprises ont les meilleures chances de faire face aux menaces actuelles est la supervision 24h/24 de l’activité réseau : « tout entreprise qui s’en retient regrettera cette décision - et lorsqu’il s’agira d’une véritable attaque, pas d’un test, ce sera trop tard. »

Andrew Miller, Directeur opérationnel de Corero Network Security, estime pour sa part que le principal bénéfice de l’exercice ne sera pas tant comment les banques apprennent à se protéger que comment elles apprennent à coopérer : « il faut plus de partage d’information entre institutions financières sur les plus récentes menaces et attaques, afin qu’elles puissent développer un ensemble de ressource pour lutter contre elles. »

Pour Miller, les organisations qui travaillent ensemble sont plus susceptibles de développer des défenses efficaces que celles qui oeuvrent de manière isolée. Toutefois, selon lui, et alors que le menace de la cybercriminalité d’accentue du point de vue des clients, les banques doivent faire la démonstration de leur capacité à protéger les données de leurs clients : « le sujet du test d’aujourd’hui n’est pas de savoir si telle ou telle banque sait protéger les données de ses clients ou pas. Il s’agit de tirer les enseignements du test. De savoir quels domaines doivent être améliorés pour garantir la continuité de l’activité en cas d’attaque. »

Plus d’attention à la fraude

Mais Alan Carter, directeur des services Cloud de SecureData, va plus loin, s’interrogeant sur ce que les banques peuvent retirer de l’exercice alors qu’elles sont attaquées quotidiennement. Et qu’elles conduisent des tests de pénétration et des recherches de vulnérabilités dans le cadre de leurs stratégies de cybersécurité : « les motivations de Waking Shark 2 ne sont spontanément évidentes et il reste à savoir ce que l’exercice va changer dans la manière dont [les institutions financières] vont opérer au quotidien. »

Pour Carter, les chiffres de la britannique National Fraud Association suggèrent que le gouvernement local devrait se concentrer sur la fraude, alors que compatibilité frauduleuse ne concerne qu’un peu plus de 0,5 % des 73 M£ perdus en 2011 au nom de la fraude : « n’oubliez pas que ces chiffres intègrent une fraude marginalement liée aux SI des banques, et qu’il y a là plus important que la copie de cartes bancaires. »

La cybersécurité relève déjà de la routine pour les banques et leurs RSSI, et ceux-ci « ne vont probablement y voir qu’une tentative futile du gouvernement pour obtenir un peu de communication positive. Mais en procédant ainsi, on risque de générer une attention non voulue et un surcroît inutile de pression sur les RSSI, quitte à les punir pour le bon travail qu’ils fournissent. 

L’opération Waking Shark 2 fera l’objet d’un rapport public d’ici la fin du premier trimestre 2014.

Adapté par la rédaction

 

Pour approfondir sur Réglementations et Souveraineté