Dans une société digitalisée, où l’informatique et les systèmes d’informations prennent une part prépondérante dans l’échange de flux divers, il est prioritaire d’apporter un soin particulier à sécuriser les systèmes contre d’éventuelles attaques qui peuvent s’avérer désastreuses.
APT (menaces avancées) : peut on toutes les attraper ?
Cybersecurité dossier
1. CYBERMEQ
Dans une société digitalisée, où l’informatique et les
systèmes d’informations prennent une part
prépondérante dans l’échange de flux divers, il est
prioritaire d’apporter un soin particulier à sécuriser les
systèmes contre d’éventuelles attaques qui peuvent
s’avérer désastreuses.
2. I N T
R O D
U C T
I O N
La cybersécurité est un ensemble de processus visant à protéger les données résidant
sur un système informatique (ordinateur, serveur...). Le simple fait de définir un mot de
passe représente un acte de cybersécurité.
La cybersécurité s’est développée en réponse à l’augmentation du rythme d’apparition
des différentsmoyensd’attaques.Quelques dates sont cependant importantes à noter :
1986 Naissance des premiers virus
1986 Congrès adopte le Computer Fraud and Abuse Act qui rend illégal le piratage
1987 Apparition des premières sociétés d’anti-virus
1994 Le World Wide Web permet aux pirates d’attaquer via les mails et les sites web
1999 Virus Melissa qui cible les comptes de messagerie.C’est le virus le plus répandu de l’histoire
2007 Les attaques cyber se développent entre gouvernements
2013 Piratagede 3 milliards de comptes Yahoo
2016 Virus Petya
2018 Instauration du règlementeuropéen sur la protection des données personnelles
Deux protections contre ces cyber-menaces
PHYSIQUES
Barrières, alarmes, serrures, caméras : toutes les infrastructures qui
permettent de sécuriser l’accès aux locaux dans lesquels se trouvent
les équipements informatiques.
VIRTUELLES
Indentification, authentification, cryptage,
antivirus, sauvegarde : toutes les barrières
informatiques qui permettent de protéger les
systèmes.
1
3. P a r t i e 1
La non-sécurité :quelles menaces ?
Entreprises privées, institutions publiques ou simples particuliers, différents risques de piratage informatique existent. Il est nécessaire de
manager ces risques pour se protéger.Comme vuprécédemment, ilexiste deux risques distincts.
VIRTUEL
Tout ordinateur connecté à un réseau informatique est vulnérable à une attaque (exploitation d’une faille d’un système informatique) à des fins non-connues par
l’exploitant du système et généralement préjudiciable. On dénombre plusieurs attaques par minute sur chaque machine connectée. Elles sont, pour la plupart,
lancées automatiquement à partir de machines infectées (virus,chevaux de Troie...)
Plus rarement, il s’agit de l’action de pirates informatiques. Afin de contrer ces attaques, il est indispensable de connaître les principaux types d’attaques afin de
mettre en œuvredes dispositions préventives :
Attaque par déni de service :attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d’une organisation. Il s’agit la plupart du
temps d’attaques à l’encontre des serveurs d’une entreprise, afin qu’ils ne puissent être utilisés et consultés. Souvent, l’objectif est de nuire à la réputation de
sociétés ayantune présence sur internet et éventuellement de nuire à leur fonctionnement si leur activité repose sur un système d’information.
Exemple : Ovh,attaqué en 2016. Attaque avec plus d’1 Térabits dedemande par seconde (inondation du réseau). Les protections mises en place ont permis de limiter les
dégâts à quelques retards seulement.
Attaques par failles logiciels : exploitations de « trappes » volontairement laissées par les programmateurs afin d’intervenir ou exploitation d’erreurs de
programmation dissimulées dans un logiciel (Windows, Adobe...). Les erreurs de programmation contenues dans les programmes sont habituellement corrigées
assez rapidement par leurs concepteurs dès lors que la vulnérabilité a été publiée. Il appartient alors aux administrateurs de se tenir informés des mises à jour afin
de limiter les risques d’attaque.
Exemple : Wanacry est un ransomware exploitant les failles Windows (principalement XP). Bien qu’XP ne soit plus soutenu par Microsoft, la société a tout de même
effectué une mise à jour car le virus a immobiliséde nombreux services & industries.
2
4. Attaques par ingénierie sociale (et dérivés) :pratiques de manipulation psychologique à des fins d’escroqueries. Par méconnaissance ou par duperie,l’utilisateur va
ouvrir une brèche dans le système,en donnant des informations (mot de passe par exemple) ou en exécutant une pièce jointe. Ainsi,aucun dispositif de protection ne
peut protéger l’utilisateur contre les arnaques :il faut savoir identifier les mails & messages frauduleux.
Exemple : le hameçonnage est fréquent pour les impôts, les mails qui annoncent au destinataire un trop-perçu avec une demande des codes de carte bleue est
toujours frauduleuse. La Direction générale des finances publiques (DGFiP) publie souvent des notes invitant les contribuables à prêter attention à ces messages
frauduleux.
PHYSIQUE
Les menaces externes involontaires (environnement) : accidents impliquant les éléments naturels (incendies, inondations, tremblements de terre...) peuvent
endommager ou détruire le matériel. Seule mesure de sécurité : prévoir des sauvegardes sur différents « Cloud » ou disques durs entreposés dans des endroits
différents.
Exemples :Une rupture de canalisations d’eau a provoqué une inondation dans la salle informatique de l’université de Besançon,située en sous-sol. Toute l’université
a été privée d’informatiqueet de réseau durantplus de 24 heures.
Menaces internes à l’entreprise (négligences) : plusieurs catégories sont à notifier comme celles due à l’électricité, aux fortes températures, aux incendies
déclenchés en interne. De plus, les menaces dues aux Hommes sont importantes à prendre en compte : de nombreux acteurs (personnel, sous-traitants,
fournisseurs, prestataires) sont en contact avec les infrastructures informatiques. Il faut prendre en considération que tous les niveaux hiérarchiques sont de
potentielles menaces pour la sécurité des système d’information. Notons qu’un agresseur peut être actif (actions de piratage, violence) ou passif (transmission
d’informations susceptibles d’aider des agresseurs externes).
Menacesexternesvolontaires(attaques) :Attaques, vols (liés à une intervention physique), intrusion dans le but de pirater le système informatique.
Ransomware :
Wanacry
Exemple de
mail frauduleux
3
5. P a r t i e 2 La gestion de crise :prévention & cybersécurité
Etude de cas : Virus Petya
Le 27.06.2017, une attaque informatique a touché le monde entier. Banques, laboratoires, gouvernements, multinationales ont été victime
d’un virus de type Ransomware. La rançon exigée à chacune des victimes s’élevait à 300$, payable en monnaie virtuelle. À la suite de ces
attaques, différentsprocédéssont mis en place rapidement afinde gérer la crise et de prévoirla suite.
Procédésmis enplace en réactionà l’attaque
2000 entreprises ont été affectées. Ayant d’abord visé des entités étatiques d’Ukraine, de nombreuses entreprises ont été touchées dont
Saint-Gobain ou la SNCF en France. Le défi pour chaque entreprise est de réagir rapidement afin de limiter la propagation du virus au sein
de son système informatique.
Payer ou non ?
L’ANSSI (Agence Nationale de la sécurité des système d’information), autorité nationale en matière de sécurité informatique, conseille de ne
pas céder aux hackers en payant : rien ne garantit que les données seront restituées en service par la suite. D’après Intermedia, 37% des
entreprisesne suiventpas la précautionet décidentde payer.
Que faire alors ?
Malgré l’attaque, il est possible de mener plusieurs actions afin de limiter l’infection du système. Nous pouvons prendre pour exemple
l’entreprise dont nous avons fait l’interview (Annexe 1). Cette entreprise a été prise à partie par le virus Petya. Plusieurs activités de
l’entreprises ont du s’arrêter, comme l’activité de production ou celles des employés de bureaux qui ne pouvaient plus exercer leurs
opérationsquotidiennes.
La première décision, judicieuse, a été de stopper l’utilisation du matériel informatique afin d’isoler les ordinateurs infectés et éviter qu’ils
puissent affecterd’autres ordinateursencore « sains » enpassant par le réseau local.
Par la suite, une organisation du système informatique a été mise en place afin de réparer le matériel endommagé en priorisant les
fonctions les plus importantes de l’entreprise dans le but de limiter l’impact sur la performance de l’entreprise. Pour les données
corrompues, ellespeuventêtre définitivementperduessi aucune faille n’esttrouvée dansle viruspour accéder à ces dernières.
4
6. Actionsde prévention d’une éventuelle nouvelle attaque
Comme pour chaque crise, il est important d’en tirer des enseignements. Ainsi, prévenir et anticiper afin de se
protéger contre de futures attaques sont des axes majeurs à développer pour les entreprises.
Une partie des actions à mener concerne le personnel. Les salariés sont involontairement acteurs du piratage de
l’entreprise dans laquelle ils travaillent. Il suffit d’un e-mail infecté ouvert par un collaborateur pour mettre en péril
la sécurité entière de l’entreprise. La sensibilisation du personnel est donc primordiale dans une optique de
prévention des risques : changement de mots de passe, déclaration d’incidents significatifs, de mails suspicieux
ou de comportements malveillants sont différentes missions de prévention qui se doivent d’être réalisées.
L’organisation et plus particulièrement le service informatique ont aussi des actions à mettre en place afin d’éviter
le renouvellement d’une cyberattaque. L’entreprise interviewée a mis en place des dispositifs de détection
d’attaques adaptés. Cette organisation a internalisé de nouveau son système informatique dans le but d’avoir un
contrôle complet sur la sécurité de ses données. Ce changement s’accompagne de portails d’authentification
plus sécurisés et d’un manuel de protection (procédures afin d’assurer le contrôle interne de l’entreprise) qui
permet d’assurer une gestion efficace des activités, d’assurer un enregistrement correct de toutes les opérations
concernant la manipulation du matériel et de définir les responsabilités respectives des différents intervenants ou
opérateurs.
5
7. C O N C L
U S I O N
L
a problématique de la cybersécurité est au cœur de l’actualité. Nul n’échappe à la menace d’une attaque ou d’une menace
pouvant altérer le fonctionnement des systèmes informatiques. Les entreprises sont obligées de mobiliser les moyens
nécessaires pour faire face à cette menace.
Nous avons porté un regard sur les différents types de menaces et sur les risques liés à la non-sécurité des systèmes. Plus
portée sur l’analyse, la deuxième partie s’est intéressée à la gestion de crise et à la prévention en matière de cybersécurité au
sein de l’entreprise. Pour mener à bien cette partie, nous avons mené des consultations auprès d’une entreprise touchée par
la cyberattaque. L’analyse et l’étude des résultats obtenus lors de notre enquête auprès de l’entreprise ciblée ont confirmé
l’omnipotence de la cyberattaque.
Malheureusement, la question aujourd’hui n’est plus de savoir s’il faut prendre en compte la menace cyber mais de
déterminer les avantages et les risques que nous courons, quand nous optons de ne pas réagir. Nous avons dégagé
quelques actions préventives pouvant limiter les dégâts et assurer la protection de nos données personnelles et de nos
entreprises.
Les recherches en matière de réaction face aux attaques ont été compliquées :en effet,on ne peut que remarquer la mise en
silence des entreprises et des gouvernements face aux menaces causées par la cyberattaque. Ce sujet, tabou, est difficile à
aborder, en partie pour des questions de sécurité : dévoiler des informations risquerait de porter atteinte à la fiabilité des
systèmes et des structures de l’entreprise ou du gouvernement. Sans doute, il nous a semblé difficile de recueillir des
informations nécessaires auprès de l’entreprise ciblée parce qu’elle ne voulait pas en parler. 6
8. Interview
• Cybermeq : Bonjour, nous aimerions discuter avec vous de l’attaque cyber dont vous avez été victime en juin dernier. Pouvez-
vousnous éclairersur le poste que vous occupez dans votre entreprise ?
• Mme Attaq* :Bonjour, je suis chargée du recrutement etde la formationdans cette entreprise.
• C :Que s’est-ilpassé le 27.06dernier ?
• A :Les ordinateurs s’éteignent et un message crypté apparaît :« il faut donner 300$ » en anglais. Le virus s’est diffusé au fur et
à mesure dans le bureau. S’inquiétant de la situation, mon service et moi-même nous sommes rendus au service informatique
qui nous a donné l’ordre d’éteindre touslesordinateurs.
• C :La rançon a-t-elle été payée ?
• A :Non, les équipesse sont battues pour un retour à la normale.
• C :Quellesont été lesétapesclés en réactionà cette cyberattaque ?
• A :1) Éteindre les ordinateurs 2) Le SI a cherché comment empêcher le virus de bloquer les ordinateurs et ils ont procédés par
étape :d’abord les usines puis les fonctions les plus importantes de l’entreprise. Ils ont priorisé. L’usine a été bloquée environ 1
semaine. Notre priorité était de servir les clients. Les utilisateurs ont pu retravailler 10 jours après. Le retour à la normal total a
été constaté mi-septembre,soit 2 moiset demi après !
• C :Quellesont été lesprécautions prises ?
• A : Nous avons changé de réseau informatique ainsi que les portails d’authentification. Il y a eu aussi une mobilisation de
toutes les fonctions pour servir les clients. Le service informatique a sécurisé les données, le réseau et réparé le matériel qui
avait pu être infecté. Le problème c’est de savoir si notre système de sécurité (informatique et physique) est suffisamment
puissant pour se protéger. La sensibilisation des employés a aussi été un axe majeur : des intervenants sont venus nous
informer sur le fishing (mails infectés). Nous devonsdésormais changer nos mots de passe tous les 3 mois.
• C :Merci beaucouppour toutes cesinformations.
*Le Nom a été changécar l’entreprisesouhaiterester anonyme.
A
N
N
E
X
E
S
7
9. CHIFFRES
13% des entreprises européennes estiment qu’une
cyber-attaque leur feraitsubir des pertes commerciales.
92% des entreprises ont subi une cyber-intrusion
sous une forme ou une autre au cours des cinq dernières
années et seuls 42% d’entre elles s’inquiètent de la
possible récurrence d’un telincidentpar la suite.
90%des entreprises françaises ont subi une atteinte
à la sécurité des données au cours des cinq dernières
années
Bien que 97%des sondés aient entendu parler du RGPD, seuls
7% indiquent avoir une compréhension « approfondie » de ses
tenants et aboutissants. 57%affirment connaître « un peu » ou
« pas du tout » le sujet.
Chiffres issus de l’étude Lloyd’s « Faire face au
défi de la cyber-sécurité »,qui visait à décrypter
l’attitude des chefs d’entreprises européennes
vis-à-vis des cyber-risques.
Bibliographie/ Webographie
https://www.intermedia.net/report/datavulnerability2017-part2
https://www.sentryo.net/fr/cyberattaques-et-industries-protegez-vous-aussi-interieur/
https://www2.deloitte.com/content/dam/Deloitte/fr/Documents/risk/deloitte_cyber-securite_plaquette.pdf
https://fr.linkedin.com/pulse/cyber-sécurité-priorité-des-dirigeants-alain-bourdin
8