Prévues par la Loi de programmation militaire (LPM) de décembre 2013, les obligations en matière de sécurité informatique des opérateurs d’importance vitale (OIV) français tardent à se préciser. Si des décrets d’application ont bien été publiés en mars 2015, la mise en pratique concrète dépend toujours de la publication d’arrêtés sectoriels dont les premiers devaient sortir fin avril avant d’être désormais attendus dans le courant de ce mois. Est-ce à dire qu’il n’y a aucune règle ? Pas tout à fait. Michel Benedittini, ancien directeur adjoint de l’ANSSI et expert auprès du cabinet
Détecter rapidement une attaque toujours changeante
« La clé pour les OIV va être leurs capacités à détecter le plus rapidement possible qu’elles subissent une attaque ET leur capacité à réagir et à stopper l’attaque sans bloquer le fonctionnement de l’entreprise. La sécurité informatique évolue de la prévention à la gestion d’incident et à la gestion de la crise, et tout ça passe par une meilleure détection pour pouvoir déclencher une réponse associée », estime Laurent Heslault, directeur de stratégie sécurité Symantec. Le secteur financier est par définition un secteur très ouvert sur l’extérieur. On n’y fait pas d’affaires sans échanger des informations avec ses clients, ses prestataires ou ses collègues. Dans ce cadre et à l’heure où les réseaux eux-mêmes sont de plus en plus ouverts et où les canaux de communications sont de plus en plus nombreux (agences, réseaux privés à la SWIFT, mobile, Internet, etc.), la vieille sécurité paramétrique des systèmes d’information constituée de pare-feu, d’antivirus et d’autorisation d’accès ne suffit plus.
Ainsi une des méthodes possibles pour s’infiltrer dans un système d’information est celle du « watering hole » ou trou d’eau. À la manière dont les prédateurs attendent leurs proies près d’un point d’eau dans la savane, les cybercriminels, plutôt que de tenter d’infecter directement le poste visé, vont agir sur un site Web où ils savent que certains utilisateurs passeront (comme un site d’outils pour le développement d’applications ou d’informations relatives au secteur d’activité visé). Si certaines grandes banques ont déjà mis en place des outils plus évolués pour réagir rapidement face à une attaque comme des
Une nouvelle approche est-elle possible ?
Une autre solution, complémentaire, consiste à s'appuyer sur des outils comme iGuard ou l'« Enterprise Immune System » de Darktrace qui analysent en permanence ce qui se passe sur le système informatique de l'entreprise (y compris les connexions entrantes et sortantes) et, apprenant le comportement normal de tous les utilisateurs et appareils, détecte rapidement tout comportement anormal. « En couplant l'apprentissage machine et des algorithmes mathématiques, notre système peut s'affranchir de listes de signature et de règles. Il va remonter ce qui passe entre les mailles du filet des autres systèmes de sécurité, ce que l'on ne recherche pas », affirme Emmanuel Meriot, directeur régional France et Espagne pour Darktrace. « Il lui faut environ une semaine d'apprentissage. Il analyse le comportement des machines, des individus et du réseau pour déterminer un système comportemental normal, et il va détecter principalement deux types de menaces : les attaques violentes, comme les