les leçons en cybersécurité – pas encore gagné
TRANSCRIPT
Les leçons en cybersécurité – pas encore gagné
On dit qu’« une leçon apprise est une leçon acquise », mais est-ce vraiment le cas concernant la cybersécurité ? Dans notre article précédent, nous avons parlé du vol de la banque bangladaise (lire ici) et son manque choquant de sécurité de base. Dès que les détails de l’arnaque ont été publiés en Février, tout le monde s’est précipité pour pointer du doigt le comment. Comment cela était-ce possible ? Eh bien, tout simplement, une institution financière avec plus de 5.000 ordinateurs interconnectés, n’a pas jugé nécessaire d’investir dans un pare-feu. Cette partie est claire. Mais, malgré le résultat désastreux, personne n’a pris le temps de réfléchir au pourquoi. Pourquoi une banque internationale n’a pas jugé utile, sinon évident, de protéger son réseau ?
Depuis le début de l’année, les cyberattaques ont prouvé leur capacité à faire d’énormes dégâts partout. En janvier, un fabricant de pièces d’avion autrichien a également perdu 54 millions $ de la même façon lorsque des pirates ont ciblé son département des finances. Les entreprises de toutes formes et tailles sont désormais confrontées à une menace croissante, car les cybercriminels restent principalement motivés par le gain financier. Que ce soit par des tactiques d’ingénierie sociale ou au travers de nouveaux logiciels malveillants, les pirates courent après l’argent et des objectifs tels que la Banque centrale du Bangladesh devraient être en première ligne dans le renforcement de leur cyberdéfense. Eteindre le feu dans votre réseauUn expert du Département des enquêtes criminelles de l’Institut Bangladaise de formation judiciaire à fait remarquer que le système SWIFT aurait pu être « difficile à pirater s’il y avait un pare-feu » pour commencer.
Mais qu’est-ce qu’un pare-feu ? Le terme a d’abord été utilisé pour décrire une paroi destinée à confiner les potentiels incendies dans un bâtiment (anglais : « fire » = feu et « wall » = mur). De la même manière, un pare-feu en informatique est un logiciel de cybersécurité placé entre le réseau interne d’une entreprise et l’Internet – un filtre empêchant l’accès indésirable au système d’information d’une organisation depuis l’extérieur. Il est semblable à un point de contrôle de l’aéroport, à l’exception qu’il ne contrôle pas vos affaires, juste votre trafic Internet.
Lorsqu’il est connecté à l’Internet, vous êtes visible à travers ce qui est communément connu sous le nom d’un port. Il y a 6 ports principaux que vous êtes susceptible d’utiliser : le port 80 (pour le World Wide Web), le port 110 (pour le courrier entrant) et le port 25 (pour le courrier sortant), le port 443 (pour le HTTPS), le port 21 (pour ftp) et le port 22 (pour ssh). Un pare-feu efficace est là pour fermer les ports inutilisés. De cette façon, il permet de prévenir les violations ainsi que de détecter les attaquants, tout en vous empêchant d’aller « vers le côté obscur » et accéder à des sites non sécurisés (la tentation est grande, mais vous devez résister). Peut-il seul marcher à travers les flammes ?Non. Un pare-feu ne suffit pas. En effet, un ordinateur connecté doit impérativement être protégé par au moins un pare-feu. Nous disons au moins parce que la réalité est, compte tenu de la dynamique en évolution de la cybercriminalité de nos jours, même les fournisseurs de pare-feu recommandent la mise en œuvre de mesures de sécurité supplémentaires par dessus. Le problème ici n’est pas uniquement en lien aux pirates externes qui pourraient trouver un moyen de contourner la sécurité (propagation de logiciels malveillants par courrier électronique, par exemple), mais aussi aux employés internes qui peuvent facilement accéder à des données sensibles sans jamais passer à travers le pare-feu.
La solution ? Ne prenez pas pour acquis la cybersécurité. Aucune solution est sûre à 100% et ce qui été révolutionnaire il y a 10 ans est maintenant obsolète. De plus en plus d’entreprises prennent conscience de la nécessité d’un nouveau paradigme de la sécurité, un système de supervision en temps réel complété par de l’analytique avancé (voir notre précédent article sur comment « Mettre la chance de votre côté avec des outils d’analyse de sécurité » ici). Pensez-y comme ça : dans un aéroport, vous ne pouvez pas vous permettre de compter uniquement sur vos agents pour sécuriser les différents points de contrôle. Vous devez leur donner des détecteurs de métaux et installer des caméras de surveillance aussi. De la même façon, le réseau d’une entreprise a également besoin d’outils supplémentaires pour détecter les menaces inconnues et pour assurer une protection complète du périmètre. Difficile, mais pas impossibleLa présence d’un pare-feu aurait rendu les choses plus difficiles pour les pirates qui ont attaqué la banque bangladaise, mais pas impossible. En étudiant les détails techniques de l’attaque (voir le rapport complet réalisé par BAE Systems ici), il devient clair que le niveau de préparation des pirates va au-delà exploiter simplement l’existence de la vulnérabilité du réseau. Cependant, si les représentants de SWIFT avaient conseillé à la banque bangladaise de mettre à niveau ses mesures de sécurité avant et non après le hold-up de 81 millions $, peut-être n’aurions nous pas cette discussion.
Le cas de la banque bangladaise et celle de la société autrichienne sont des preuves convaincantes que les cyber-voleurs augmentent leurs attaques directes sur les systèmes financiers. Cela étant dit, les organisations qui croient ne pas être concernées par les cyber-attaques ou imperméables à celles ci, font face à un chemin rocailleux semé d’embûche. Les entreprises qui comptent sur un pare-feu autonome bloquent la porte d’entrée, mais oublient de fermer à clef les portes de derrière. Le choix d’ « investir » dans une infrastructure de réseau basique et peu coûteuse ne vous portera pas loin jusqu’à ce que l’ensemble du système s’effondre. Rogner sur les coûts afin de maintenir des revenus en hausse est le but, mais pas au détriment de votre niveau de sécurité.
Quand tout est dit et fait…Nous envisageons une longue convalescence pour la banque centrale du Bangladesh – saupoudrée d’une forte dose de formation à la cyber-sensibilisation, accompagnée d’énormes dépenses en outils de sécurité avancée et d’éléments d’infrastructure et surtout, d’une vaste campagne de relations publiques difficiles dans un effort de se racheter aux yeux de ses clients.
Il pourrait être déjà trop tard pour ceux qui sont déjà tombés au combat, mais tous ceux qui n’ont pas encore été victimes de cyber-attaques ont la chance de pouvoir apprendre du malheur des autres. Les actualités sur le piratage informatique ne sont pas là pour nous divertir, elles sont là pour nous avertir, nous effrayer et nous inciter à prendre les bonnes précautions. La cybercriminalité devrait servir de rappel que nous ne pouvons plus nous permettre d’être avides avec nos serveurs, la sauvegarde et le maintien du réseau. Elle devrait nous enseigner, avec force donc, que l’ère numérique est une ère de possibilités infinies, où le piratage des millions de dollars d’une banque internationale n’est plus simplement l’intrigue d’un blockbuster hollywoodien. Soyez attentifs à tout ce qui se passe autour de vous parce que la cybercriminalité ne se produit plus juste sur grand écran.
Liens :
https://www.reveelium.com/fr/cybersecurity-lessons-not-earned/
https://www.itrust.fr/les-lecons-en-cybersecurite-pas-encore-gagne/