agsandrew - Fotolia
Attention au prisme déformant des attaques destructives !
Les attaques destructives focalisent l’attention, en effet leurs impacts majeurs sont simples à comprendre. Mais ne sont-elles pas sur-priorisées face à d’autres attaques plus discrètes ?
Les attaques destructives sont indéniablement une réalité sur le terrain. Depuis leur médiatisation en 2012 avec l’attaque sur Saudi Aramco qui a entraîné la destruction de 35 000 postes de travail, elles font frémir beaucoup de grandes entreprises. Chacune d’entre elles défraie la chronique : Stuxnet en 2010 avec la destruction des centrifugeuses iraniennes ; en 2013, la Corée du Sud et ses banques et chaînes de télévision touchées par l’attaque Dark Seoul ; en 2014, l’attaque sur Sony Pictures Entertainment avec 100% des postes Windows et 80% des serveurs effacés résultant en 8 semaines d’interruption complète du SI ; en avril 2015, TV5 Monde et l’interruption de diffusion de la chaîne pendant plusieurs heures. Pour finir avec l’attaque ayant touché la distribution d’électricité en Ukraine en décembre 2015. Cette fois-ci ce sont les systèmes de pilotage du réseau électrique qui étaient ciblés.
Dans les grandes entreprises, ces attaques ont entraîné de multiples réactions. Les responsables de la continuité d’activité et de la cybersécurité se sont emparés du sujet et lancent actuellement de nombreuses initiatives de cyber résilience visant à éviter ces situations. Cette mobilisation est d’autant plus simple que les directions générales et les métiers comprennent rapidement les impacts d’une telle attaque : il n’y a plus d’informatique !
Des solutions de continuité couteuses et complexes
Les projets se multiplient pour savoir comment éviter ces destructions et comment répondre au plus vite. Mais les moyens requis sont complexes et aujourd’hui peu réalistes. En effet, comment revenir sur des années de centralisation de l’information et d’uniformisation des technologies ? Si ce mouvement est salutaire pour la réduction des coûts et pour augmenter la qualité du service rendu, il s’avère délétère lorsqu’il s’agit d’éviter une attaque destructive. En effet, il suffit bien souvent d’un compte administrateur sur les systèmes centraux (de type Active Directory ou de télégestion du parc) pour pouvoir en « un clic » lancer un effacement de masse et prendre la main sur l’ensemble des systèmes !
Mais alors comment réagir ? En compartimentant le SI avec des technologies et des équipes d’administration différentes ? En redéveloppant en double, mais avec d’autres technologies et d’autres équipes d’administration, les applications sensibles afin qu’elles résistent à une compromission ? En distribuant des clés USB permettant de booter sur un système alternatif qui sera difficile à maintenir ? En recréant des datacenter de secours « à froid », déconnectés, que l’on relance manuellement en se basant uniquement sur des sauvegardes des données (dont il faudra aussi garantir l’innocuité…) ? Oui, tout cela est possible mais très couteux. Certains secteurs peuvent se le permettre, voir doivent le faire compte tenu de la criticité de leur SI, mais cela n’est pas vrai pour tous.
Les attaques destructives : l’arbre qui cache la forêt ?
D’autant plus que la mobilisation croissante sur les attaques destructives se fait parfois au détriment des autres types d’attaques ! Et en particulier les attaques insidieuses, celles visant à s’introduire dans le SI en profondeur et à en prendre le contrôle pour voler de l’information. Ces attaques sont très difficiles à appréhender de manière concrète dans les entreprises. Et même celles qui sont touchées directement mettent un certain temps à réagir ! Surprenant ? Pas tant que cela. Imaginons entrer dans le bureau d’un secrétaire général pour lui annoncer que son SI est attaqué, sa première réaction sera souvent « Mais je ne comprends pas ; tout marche bien ? ». Eh oui ! Car l’objectif de l’attaquant, c’est de s’assurer que le système continue de fonctionner correctement pour qu’on ne le détecte pas !
Bien définir ses priorités en analysant son attractivité
Pour éviter de tomber dans ces problèmes de priorisation, le bon réflexe consiste, en plus de l’analyse des impacts, à analyser son attractivité aux yeux des cybercriminels. Pourquoi pourriez-vous être attaqué et par quels acteurs malveillants ? Les attaques destructives dans le passé ont toujours eu lieu dans des contextes géopolitiques très particuliers (TV5 Monde avec la revendication par le Cybercaliphate, le nucléaire Iranien et Stuxnet, SaudiAramco et le pétrole au Moyen Orient, le conflit entre la Corée du Nord et la Corée du Sud et les relations difficiles avec les États-Unis pour Sony…). Alors, oui ces attaques ont des impacts majeurs et certaines organisations pourront être touchées, mais certainement pas toutes. Alors que beaucoup plus d’entreprises vont être visées tout simplement parce qu’elles manipulent des données qui ont de la valeur pour de très nombreux cybercriminels... et donc que la probabilité d’attaques insidieuses est beaucoup plus élevée !
Prendre du recul, savoir expliquer et prioriser sans tomber dans le piège médiatique du plus spectaculaire sont des actions difficiles ces temps-ci, avec des attaques qui s’enchainent rapidement, mais des actions sont nécessaires pour protéger le patrimoine informationnel de son organisation.