Une sécurité optimale pour les OIV ?

Prévues par la Loi de programmation militaire (LPM) de décembre 2013, les obligations en matière de sécurité informatique des opérateurs d’importance vitale (OIV) français tardent à se préciser. Si des décrets d’application ont bien été publiés en mars 2015, la mise en pratique concrète dépend toujours de la publication d’arrêtés sectoriels dont les premiers devaient sortir fin avril avant d’être désormais attendus dans le courant de ce mois. Est-ce à dire qu’il n’y a aucune règle ? Pas tout à fait. Michel Benedittini, ancien directeur adjoint de l’ANSSI et expert auprès du cabinet CEIS [1] , explique que « la loi fixe déjà un certain nombre de choses pour les OIV : des normes minimales de sécurisation, une obligation de faire des audits réguliers et d’en rendre compte avec des partenaires qualifiés par l’ANSSI, l’obligation de faire un compte rendu des incidents de sécurité constatés auprès de l’ANSSI ». Ces informations restent confidentielles contrairement à ce que prévoit la future directive européenne sur les réseaux et la sécurité informatique (NIS). « La directive propose le même genre de mesures que la LPM, mais parle de services essentiels, ce qui est infiniment plus large que les 218 OIV visés par le droit français. Elle imposera aux États de mettre en place une organisation dédiée à la cybersécurité, et des normes minimales par secteur, précise Michel Benedittini. Avec la LPM nous avons des standards de sécurité plus élevés, mais la NIS aura une assise plus large. » Ainsi, même si tous les acteurs financiers ne sont pas dans la liste des OIV, ils font partie d’un des secteurs essentiels à la bonne marche du pays et devraient donc s’inspirer des obligations les plus fortes pour leurs propres sécurités. Comment faire ?

Détecter rapidement une attaque toujours changeante

« La clé pour les OIV va être leurs capacités à détecter le plus rapidement possible qu’elles subissent une attaque ET leur capacité à réagir et à stopper l’attaque sans bloquer le fonctionnement de l’entreprise. La sécurité informatique évolue de la prévention à la gestion d’incident et à la gestion de la crise, et tout ça passe par une meilleure détection pour pouvoir déclencher une réponse associée », estime Laurent Heslault, directeur de stratégie sécurité Symantec. Le secteur financier est par définition un secteur très ouvert sur l’extérieur. On n’y fait pas d’affaires sans échanger des informations avec ses clients, ses prestataires ou ses collègues. Dans ce cadre et à l’heure où les réseaux eux-mêmes sont de plus en plus ouverts et où les canaux de communications sont de plus en plus nombreux (agences, réseaux privés à la SWIFT, mobile, Internet, etc.), la vieille sécurité paramétrique des systèmes d’information constituée de pare-feu, d’antivirus et d’autorisation d’accès ne suffit plus.

Ainsi une des méthodes possibles pour s’infiltrer dans un système d’information est celle du « watering hole » ou trou d’eau. À la manière dont les prédateurs attendent leurs proies près d’un point d’eau dans la savane, les cybercriminels, plutôt que de tenter d’infecter directement le poste visé, vont agir sur un site Web où ils savent que certains utilisateurs passeront (comme un site d’outils pour le développement d’applications ou d’informations relatives au secteur d’activité visé). Si certaines grandes banques ont déjà mis en place des outils plus évolués pour réagir rapidement face à une attaque comme des CERT [2] et des SOC [3] , d’autres peuvent s’en remettre à des prestataires qualifiés à l’image du service proposé par Thales à Élancourt (voir encadré).

Une nouvelle approche est-elle possible ?

Une autre solution, complémentaire, consiste à s'appuyer sur des outils comme iGuard ou l'« Enterprise Immune System » de Darktrace qui analysent en permanence ce qui se passe sur le système informatique de l'entreprise (y compris les connexions entrantes et sortantes) et, apprenant le comportement normal de tous les utilisateurs et appareils, détecte rapidement tout comportement anormal. « En couplant l'apprentissage machine et des algorithmes mathématiques, notre système peut s'affranchir de listes de signature et de règles. Il va remonter ce qui passe entre les mailles du filet des autres systèmes de sécurité, ce que l'on ne recherche pas », affirme Emmanuel Meriot, directeur régional France et Espagne pour Darktrace. « Il lui faut environ une semaine d'apprentissage. Il analyse le comportement des machines, des individus et du réseau pour déterminer un système comportemental normal, et il va détecter principalement deux types de menaces : les attaques violentes, comme les cryptolockers [4] ou les APT [5] lentes et silencieuses qui vont entraîner des comportements anormaux et pourront être arrêtées avant de faire des dégâts. » Ces outils de sécurité sont récents et n'ont pas cinq ans d'existence. Même s'ils assurent que leurs solutions, une fois installées pour un pilote, sont adoptées dans 95 % des cas par le client, leurs promoteurs ont du mal à convaincre certaines réticences liées à la nouveauté. Ainsi Thierry Goigoux, fondateur d'i-Guard, le constate : « Le problème des OIV est qu'ils ont peur de se faire voler des données. Et ils ne veulent pas répondre à n’importe qui. Nous passons par des gens déjà référencés chez eux qui ont déjà en amont testé notre solution. Nous devons passer par de grosses sociétés ou des consultants experts en sécurité qui préconisent nos solutions. Nous travaillons pour être référencés sur l’ANSSI, mais celle-ci nous demande un gros dossier technique et cela fait trois mois que nous y travaillons. » Cette étape de qualification par l’ANSSI, cruciale, est déjà faite pour les sociétés d'audit, mais il faut attendre l'arrivée des arrêtés sectoriels pour que les conditions d'attribution aux autres prestataires de sécurité soient mises au clair.

 

 

1 Coorganisateur du Forum international de la cybersécurité. 2 Computer Emergency Response Team. 3 Security Operation Center. 4 Malware chiffrant les données contre rançons, ndlr. 5 Advanced Persistant Threat.