Les récentes cyber-attaques dont ont été victimes les média français (TV5) et belges (Rossel (Le Soir, Sudpresse), IPM (La Libre, La DH, Paris Match), et l’Avenir) illustrent bien les vulnérabilités et les menaces de notre société de l’information.
Cet article revient sur des éléments de contexte, ainsi que sur les activités du CETIC en lien avec la sécurité informatique.
Date: 22 avril 2015
Thème d'innovation: Cyber Sécurité ⊕
Peu d’informations sont disponibles concernant le cas de TV5 Monde, mais on retiendra la difficulté de gérer la sécurité de solutions métiers (sur mesure) complexes (1). Une autre facette de la sécurité a été illustrée dans la foulée via la mauvaise gestion de mots de passe (2) : rappelant que le facteur humain est toujours central dans le domaine de la sécurité.
Les sites de presse belge ont ensuite été la cible d’attaques veillant à rendre leur site web indisponible (DDoS, Distributed Denial of Service attack) (3). L’intégrité de ces sites ayant été préservée, il est inadéquat de parler de “piratage”. Sur ce type de problème, on notera que le site Github, bien connu des techniciens, a vécu il y a quelques jours une attaque similaire, mais d’une ampleur largement plus conséquente (4). Des mesures ad-hoc d’urgence restent indispensables dans des cas extrêmes.
Concernant les DDoS, qui ont été les plus couverts dans la presse, il est possible, dans certaines limites, de parer à ces types d’attaques. Il est aussi pertinent de replacer ces attaques un contexte plus large : le serveur étant préservé, mais indisponible durant quelques dizaines de minutes, quelle est la conséquence de cette indisponibilité sur l’activité de l’entreprise ?
Plus globalement, ces évènements ont mis à l’avant de la scène le rôle indispensable de la sécurité dans le domaine informatique, bien que celle-ci soit difficile à appréhender dans toute sa complexité, mal comprise de par sa nature souvent immatérielle, et souffre, comme d’autres activités pas directement liées au business, d’arbitrages nécessaires en termes de priorités d’investissement. Cette décision est tout autant économique que technologique, par rapport à d’autres types de problèmes à gérer, liés ou non à la sécurité.
Beaucoup des cyber-attaques pourraient être évitées si les bonnes pratiques en matière de cyber-sécurité étaient mieux appliquées. Il est important d’être proactif en matière de sécurité informatique, d’identifier les nouvelles vulnérabilités et de mettre en place des contre-mesures adéquates pour gérer les risques.
Les analyses structurelles de code (orientées qualité, performance,...) sont de mieux en mieux connues des entreprises du secteur. Il est également possible de réaliser des analyses de code orientées sécurité qui identifieront les mauvaises pratiques sources de failles de sécurité. Le CETIC peut amener ces pratiques habituellement réservées aux grandes entreprises vers les PMEs wallonnes.
Le CETIC intervient très régulièrement dans le cadre de preuves de concept, orientées plutôt sur la faisabilité technique. Néanmoins, la sécurité doit être intégrée nativement dans l’architecture, les coûts doivent être pris en compte dans le dimensionnement, les tests doivent être prévus, etc. Le CETIC s’assure de la présence de ces points sur les feuilles de route des entreprises.
Les PME sont soumises à de fortes contraintes, et la situation des applications qu’elles développent n’est dès lors pas toujours optimale. La sécurité peut faire partie de leur “dette technique”. Il s’agit alors d’évaluer en termes business l’impact des problèmes potentiels, et de le mettre en balance avec les risques économiques encourus. Le CETIC dispose d’outils d’audit rapides adaptés aux PME permettant de les conscientiser à ces risques et d’identifier les mesures à mettre en place en priorité et qui ne représentent pas forcément des coûts énormes.
En termes de recherche, le CETIC a été, et est encore, actif sur plusieurs projets européens liés à la sécurité. AssessGrid, GridTrust et BonFIRE-ExSec ont évalué des mécanismes de sécurité distribués et scalables. Cette dimension reste présente dans des projets dédiés au Cloud computing dans lesquel le CETIC est impliqué. En particulier, le CETIC coordonne le projet BEACON qui a pour but de permettre la fédération de réseaux sur le cloud. Ceci nécessite bien sur une forte dimension de sécurité dont le CETIC a la charge.
Le CETIC participe également à deux projets de la thématique FP7 Sécurité : EVIDENCE (feuille de route européenne concernant l’acquisition et l’échange de preuves numériques) et REDIRNET (interopérabilité entre les services de première intervention lors d’urgences et de crises).