Daimler met sa sécurité à l’épreuve
Le constructeur automobile Daimler dispose d’une équipe de pirates chargés de tester en continu l’efficacité des défenses informatiques du groupe dans la perspective d’un attaquant externe.
Le constructeur automobile Daimler dispose d’une équipe de pirates chargés de tester en continu l’efficacité des défenses informatiques du groupe dans la perspective d’un attaquant externe.
« Nous avons trouvé que le test d’intrusion [pentesting, NDLR] traditionnel n’allait pas assez loin pour mettre en lumière les vulnérabilités qui pourraient être exploitées par les attaquants », explique Lüder Sachse, RSSI de Daimler. « En essayant de s’introduire comme le feraient des attaquants externes, nous pouvons en apprendre plus et nous avons plus de chances de découvrir les vulnérabilités potentielles », a-t-il ajouté à l’occasion du sommet de la gestion de la sécurité et du risque qu’organisait Gartner mi-septembre à Londres.
Selon Sachse, cette approche a conduit à « de dures leçons » sur la manière d’appréhender correctement les bases de la sécurité. Mais elle a permis à ses équipes de se concentrer sur ce qui a le plus besoin d’être accompli, à n’importe quel moment. « Nous n’abordons plus la question sous un angle théorique, et nous concentrons nos efforts à l’élimination de vulnérabilités bien réelles que découvre notre équipe de pirates en se plaçant dans le contexte d’une véritable attaque », a-t-il ajouté.
Découvrir des vulnérabilités
L’équipe de pirates a aidé à mettre en lumière des vulnérabilités de base dont chacun pensait qu’elles étaient corrigées depuis dix ans. Et d’expliquer que, « pour la première fois, nous avons pu demander le budget nécessaire pour protéger des actifs spécifiques de réelles menaces, plutôt que de défendre des projets visant à corriger des risques théoriques pour répondre à des exigences de conformité ».
Daimler a adopté cette approche après que son équipe de sécurité informatique a réalisé que suivre à la lettre les exigences de conformité n’apportait aucune garantie quant à la sécurité effective des informations critiques du groupe. L’équipe a également réalisé qu’il était impossible de garantir la protection à 100 % en continu du million d’adresses IP de l’entreprise. Et que le pentesting applicatif ne couvrait pas l’ensemble du patrimoine IT.
Confronté au défi que représente la sécurisation de 500 sites liés entre eux, et de plus de 274 000 employés répartis dans plus de 8 421 endroits à travers le monde, Daimler a adopté un nouveau modèle de gestion de la sécurité de l’information en 2012. « Dans le cadre de cette nouvelle approche, nous avons commencé par attaquer notre propre entreprise de l’extérieur, sans tenir compte des frontières organisationnelles ni des régions géographiques », explique Sachse.
Autre élément clé de ce nouveau modèle : le positionnement de RSSI dans chaque localisation clé. « Cela signifie que l’on peut agir directement dans chacune d’entre elles, ce qui aide à dépasser les difficultés d’implémentation du changement à partir d’un seul bureau central », ajoute-t-il. « Rapporter directement au DSI implique également que je puisse avoir les discussions les plus difficiles avec lui à tout moment et obtenir des décisions rapides. »
La sécurité comme une responsabilité partagée
Le groupe de sécurité de l’information de Daimler est organisé en cinq divisions, chacune couvrant un aspect différent de la sécurité de l’information : renseignement sur les menaces ; standards et stratégies ; architecture et conception ; gestion des services IT ; sensibilisation et communication.
« Avec autant de personnes réparties dans le monde entier, il est important d’assurer une information régulière de la communauté », souligne Sachse. « Cela signifie aussi collecter l’information sur ce qui fonctionne et a fait ses preuves. » Et justement, utiliser les idées venant de la communauté aide à promouvoir l’adhésion et soutient les RSSI locaux dans leurs efforts pour présenter leurs projets à leurs managers en s’appuyant sur les succès enregistrés ailleurs.
Daimler utilise en outre une conférence interne annuelle sur la sécurité pour renforcer la compréhension des problématiques du moment à l’échelle du groupe. Plus de 500 personnes y participent. « Je peux clairement recommander cela à toutes les multinationales. Parce que cela permet de disposer d’un moment et d’un lieu où tout le monde se rassemble pour discuter de questions qui relèvent de l’intérêt mutuel, tout en animant une véritable communauté de la sécurité. »
Sachse s’est également employé à faire de la sécurité une responsabilité partagée, au-delà de l’équipe de sécurité. « Il est continuellement rappelé aux fonctions transversales qu’elles sont responsables pour l’implémentation des recommandations qui viennent de l’équipe de sécurité. »
Autre principe important mis en œuvre en matière de sécurité : réduire le nombre de projets, mais les conduire avec application en s’assurant de leur finalisation et de leur application au travers de l’ensemble du groupe.
Et même si la menace externe s’est considérablement développée au cours des dernières années, Dailmer continue de miser sur une culture interne de la sécurité forte, soulignant les risques associés au vol de données, pour lutter contre la menace interne. « Avec cette approche, nous avons été capables d’éviter la multiplication des contrôles de sécurité et leur impact sur l’utilisabilité, tout en réduisant le risque de violations de sécurité internes parce que tout le monde mesure le risque », estime Sachse.
Renforcer la résilience de l’IT
D’autre part, selon lui, le volume, l’ampleur et la complexité des menaces externes continuent de progresser, particulièrement sous la forme d’hacktivisme et de cyberespionnage. « Ces menaces ne peuvent pas être sous-estimées. Et, avec des véhicules de plus en plus connectés à Internet, nous fournissons d’importants efforts pour assurer que nos produits ne sont pas ainsi compromis. » Par le passé, Daimler testait uniquement la sécurité de chaque système de contrôle, de manière isolée. Mais son équipe de pirates cherche désormais toute vulnérabilité potentielle dans le contexte du véhicule complet.
« Obtenir une sécurité totale n’est pas possible. Ce n’est parfois même pas nécessaire », juge Sachse. « Il est préférable d’améliorer la résilience des systèmes IT et de réduire le temps de découverte des intrusions réseau. »
Autre élément du modèle de sécurité de Daimler : la nécessité de maintenir deux niveaux de sécurité. Une sécurité de base pour toutes les adresses IP, et une sécurité renforcée pour les actifs informationnels critiques. Avec cette approche, la sécurité de base est considérée comme suffisante lorsqu’elle peut résister à une attaque durant 4 heures : « il est peu probable que les attaquants passent plus de temps sur des systèmes qui ne contiennent pas de données critiques. » Et pour les autres, Daimler requiert un période de résistance de 5 jours.
Protéger les systèmes patrimoniaux nécessite généralement une ségrégation de réseaux et le recours à des pare-feu pour obtenir le niveau de protection voulu, du fait de l’absence de correctifs pour ces systèmes. Mais si Sachse formule des recommandations sur la manière d’atteindre les niveaux de résistance attendus, le choix de la manière d’atteindre ces standards reste à la discrétion des RSSI régionaux. « De la sorte, ils reçoivent une information dédiée sur les vulnérabilités et les risques qui s’appliquent à leurs systèmes, et peuvent identifier leurs priorités. En retour, cette information est transmise à l’équipe centrale de sécurité IT et cela me permet d’identifier les vulnérabilités du groupe pour définir les futurs projets en conséquence », détaille Sachse.
Cette approche communautaire permet en outre à l’équipe de sécurité IT centrale d’identifier les bonnes pratiques locales qui peuvent être partagées à l’échelle du groupe. Une fois mise en œuvre quelque part, ces pratiques sont réévaluées et modifiées, si nécessaire, pour garantir une amélioration continue de la sécurité au sein du groupe.
Réduire la complexité de la sécurité
Sachse est déterminé à réduire la complexité de la sécurité et a supervisé le lancement de cinq projets au sein de l’entreprise qui visent spécifiquement à répondre à ce problème - autour de domaines tels que la gestion des correctifs. Il attache en outre une grande importance à la formation continue à la sécurité, et pas seulement pour les utilisateurs finaux, mais également pour les professionnels de l’IT. « Dans un environnement marqué par une charge de travail et une pression importantes, il est facile d’oublier des choses telles que la sécurité de l’information. Ou alors certains choisissent de procéder d’une manière moins difficile ou moins compliquée », parfois au détriment de la sécurité.
Mais Sachse souligne l’importance de la gouvernance dans un environnement mondialisé et décentralisé. « Plus la gouvernance est forte, mieux c’est », estime-t-il ainsi. « Sans elle, vous n’avez aucune chance de mettre en œuvre avec succès les contrôles à l’échelle de toute l’organisation. »
En définitive, Sachse explique qu’il ne sert à rien d’identifier des menaces sans avoir la capacité de les traiter. Pour cette raison, Daimler a adopté un modèle de support qui s’appuie sur des partenaires de confiance pour répondre à la demande. « De la sorte, nous traitons les problèmes et nous maintenons les responsables métiers impliqués sans déclencher de panique. »
Sachse estime qu"adopter la perspective des attaquants, de manière concrète, peut permettre aux organisations d’identifier les vulnérabilités de sécurité les plus importantes et la manière de les éliminer au mieux.
Par Warwick Ashford, ComputerWeekly. Adapté de l’anglais par la rédaction.