Comment gagner la cyberguerre ?

Par :
Jeff Hudson

jeu, 14/03/2013 - 10:55

La cyberguerre est devenue une réalité et que nous veuillons l’accepter ou non, nous sommes tous concernés. Il y a à peine quelques mois, le secrétaire de la défense des Etats-Unis Leon Panetta a déclaré que les agences de sécurité des Etats-Unis observaient « un nombre croissant de menaces informatiques qui pourraient devenir aussi dévastatrices que les attentats du 11 septembre 2001 si rien n’est fait pour les empêcher ». Par Jeff Hudson, Président Directeur Général de Venafi.

Sommes-nous en guerre ? Sans aucun doute. Et tant que nous, particuliers et entreprises, ne commençons pas à nous comporter et à réagir de façon appropriée, nous continuerons à perdre cette guerre.

Notre première tâche est d’étayer nos défenses. Nous sommes en train de fuir un ennemi qui attaque des systèmes de défense obsolètes conçus pour la fin du 20ème siècle. Les technologies de firewall, IPS et IDS ont toujours une place mais elles sont aussi efficaces que des défenses du littoral lorsque l’ennemi approche par voie aérienne.

Le tournant dans la lutte actuelle contre le malware sera notre capacité à protéger le cœur de nos équipements de confiance : nos clés et nos certificats, qui représentent la cible ayant la valeur la plus importante pour l’ennemi. Si nous privions l’ennemi des munitions nécessaires pour lancer une attaque contre nous à l’aide de malware, nous éliminerions immédiatement un vecteur d’attaque important. Stuxnet, Duqu, Flame, Shaboom et des centaines de milliers d’autres malwares ont tous eu besoin d’une clé SSL et d’un certificat valides pour atteindre leurs objectifs. Des grandes entreprises telles que Realtek, Google, C-Media, Microsoft, Yahoo et Eldos ont été victimes de vol ou de compromission de certificats délivrés par des autorités de certification reconnues telles VeriSign, Microsoft et Globalsign. D’après McAfee, l’une des actions de Duqu consistait à voler des certificats numériques (et les clés privées correspondantes) des ordinateurs attaqués pour aider les virus venant ensuite à prendre l’apparence d’un logiciel sécurisé.

Ce mode opératoire implique que les organisations privées et publiques doivent maîtriser leur chiffrement. Il n’y a rien de mauvais en soi dans la technologie du chiffrement, uniquement des défaillances dans la manière dont elle est gérée et contrôlée. Selon Colin Powell « Il n’existe pas de secrets au succès. Il est le résultat de la préparation, du travail et de l’apprentissage de l’échec ». Voici donc quelques astuces pratiques pour se protéger :

1.    Elaborer un inventaire exhaustif

Le point de départ dans toute stratégie de gestion de certificats et de clés privées consiste à réaliser un inventaire exhaustif de tous les certificats, leurs emplacements et leurs responsables. Il ne s’agit pas d’une tâche insignifiante car les certificats sont déployés dans de multiples emplacements et par des personnes et équipes différentes.

2.    Analyser votre inventaire

Commencez tout de suite par l’évaluation et le suivi de vos certificats, en prêtant beaucoup d’attention aux composants critiques, par exemple, les longueurs de clé, les algorithmes de hachage et les autorités de certification émetteuses. Ensuite remplacez immédiatement tout certificat qui utiliserait des algorithmes (MD5) ou des longueurs de clé (inférieures à 2048) compromis. En plus de cela, gérez vos fichiers truststore afin de vous assurer que seules les autorités de confiance dont vous avez besoin sont autorisées à accéder à n’importe quel système.

3.    Sensibiliser

Dès que vous aurez identifié les écarts de conformité entre vos politiques et vos environnements et processus actuels, sensibilisez les utilisateurs de votre organisation au sujet des meilleures pratiques opératoires.

4.    Automatiser

Là où il est possible, tirez parti des outils de gestion pour réduire les risques opérationnels et améliorer la sécurité tout en réduisant les frais d’exploitation. Imaginez-vous en train de faire la guerre avec des documents contenant des procédures !

La responsabilité repose sur les cadres supérieurs, les directeurs informatiques, les directeurs techniques et les RSSI d’accepter la responsabilité et d’agir pour faire baisser le risque pour l’entreprise et la société. Selon Norman Schwarzkopf « La vérité sur ce sujet est que vous savez toujours ce qu’il faut faire. Le plus difficile est de le faire. » J’ajouterais que si quelqu’un qui possède la responsabilité aujourd’hui dans une entreprise ne sait pas que faire, alors il est temps qu’il laisse la place !

Dernièrement, l’Union Européenne a publié un document « Réduire l’impact de l’usage terroriste d’Internet » (“Reducing terrorist use of the Internet”), et l’ayant parcouru, je ne peux que répéter les paroles de George S. Patton : « Aucune bonne décision n’a été prise dans un fauteuil à bascule ».

Jeff Hudson, Président Directeur Général de Venafi

A propos de l'auteur

Jeff Hudson