FotolEdhar - Fotolia
Les SI des administrations américaines : des passoires ?
Un audit du système d’information des services secrets américains a révélé des vulnérabilités « inacceptables ». La NSA a été victime d’un autre vol de données massif. Et l’OPM était un nid à logiciels malveillants.
C’est une bien piètre image que donnent les systèmes d’informations des administrations américaines en matière de cybersécurité. A l’issue d’un audit complet, l’inspection générale vient en effet de pointer de nombreuses faiblesses dans la posture de sécurité informatique des services secrets américains : plans de sécurité des systèmes inappropriés, systèmes dont l’autorisation opérationnelle a expiré, contrôles d’accès inadéquats, non-conformité avec les exigences de contrôle des accès logiques, protection de la confidentialité insuffisante ou encore rétention trop longue de données.
Selon le rapport de l’inspection générale, « ces problèmes surviennent parce que les services secrets des Etats-Unis n’ont pas fait de l’administration une véritable priorité ». Leur DSI manquait ainsi « d’autorité pour l’ensemble des ressources IT et n’était pas efficacement positionné pour fournir la supervision nécessaire ». En outre, les politiques de sécurité informatique en place n’ont pas été mises à jour comme elles l’auraient dû. Sans compter des niveaux élevés de rotation des personnels affectés à la DSI ou encore l’insuffisance des effectifs.
Une surprise ? Non, pour Bobby Kuzma, ingénieur système chez Core Security : « il y a un problème institutionnel et culturel considérable au sein de nombreuses organisations, et pas uniquement dans les administrations ». Pour Rebecca Herold, Pdg de Privacy Professor, il faut également compter avec un parlement qui « coupe généralement les budgets de sécurité de l’information, s’oppose aux contrôles de sécurité robustes comme le chiffrement, ou encore ne donne pas aux RSSI l’autorité appropriée ». Pour elle, c’est bien simple : les RSSI des administrations américaines « n’ont souvent que peu de budget, peu d’autorité ou de soutien, et récoltent plein de critiques lorsque surviennent des incidents ».
L’an passé, le parlement américain n’avait d’ailleurs pas manqué d’étriller le bureau de gestion du personnel, l’OPM, à l’issu du double vol de données personnelles dont il a été victime. Devant la commission de surveillance du parlement, Katherine Archuleta, alors directrice de l’OPM, s’était défendue, soulignant la vétusté des systèmes et assurant « travailler au mieux de nos possibilités ».
Et des efforts semblent avoir été fournis, même s’ils se sont avérés trop tardifs. Selon une enquête parlementaire, l’OPM surveillait son trafic réseau avec RSA NetWitness et gérait ses informations de sécurité avec le SIEM ArcSight. Après la découverte d’un premier incident en mars 2014, les activités des comptes à privilèges étaient supervisées via une appliance Xceedium. Les passerelles de sécurisation des accès Web Websense ont été mises à niveau. Ce sont elles qui ont permis de détecter des traces de trafic SSL suspect en avril 2015. Et ce sont les outils de Cylance qui ont servi à débusquer un logiciel malveillant taillé sur mesure pour les systèmes de l’OPM, une variante de l’outil de prise de contrôle à distance PlugX. Mais si celle-ci n’était présente que sur quelques machines, plus d’un millier d’échantillons de logiciels malveillants ont été détectés sur l’ensemble de l’infrastructure, dont rien moins que 39 chevaux de Troie. Plusieurs serveurs clés dans l’infrastructure avaient été eux-mêmes compromis.
Mais avant l’OPM, c’est la NSA, l’agence américaine du renseignement, qui avait failli dans sa gestion de la sécurité informatique, comme l’ont montré les révélations d’Edgard Snowden. Et ce n’est manifestement pas un cas isolé : Harold T. Martin, arrêté durant l’été, aurait dérobé au moins 50 To de données au cours des vingt ans durant lesquels il a travaillé au service de l’agence comme sous-traitant.
Dans un tel contexte, on serait presque tenté de se demander s’il est bien raisonnable de reprocher à Hillary Clinton d’avoir utilisé un serveur de messagerie électronique personnel dans le cadre de ses activités aux affaires étrangères des Etats-Unis.