Lo­cam se paie un « hack » per­son­na­li­sé

IT for Business - - SOMMAIRE - MA­RIE VA­RAN­DAT

Dans le do­maine de la sé­cu­ri­té, mieux vaut pré­ve­nir que gué­rir, et c’est pré­ci­sé­ment ce que vient de faire la fi­liale du Cré­dit Agri­cole en s’of­frant un au­dit de cy­ber­sé­cu­ri­té.

Éprou­vante, l’an­née 2017 a été mar­quée par des at­taques spec­ta­cu­laires avec une cy­ber­cri­mi­na­li­té qui change de di­men­sion. Se­lon le rap­port « Cy­ber­crime Re­port 2017 : A Year in Re­view » de la so­cié­té Th­reat­me­trix, spé­cia­li­sée dans la pro­tec­tion des iden­ti­tés nu­mé­riques, les cy­be­rat­taques avec prise de contrôle ont connu une hausse de 170%, tan­dis que 83 mil­lions de ten­ta­tives de créa­tions de comptes frau­du­leux ont été en­re­gis­trées entre 2015 et 2017. Et quelque part, les vi­rus Wan­na­cry et No­pe­tya ont réus­si là où les ex­perts de la sé­cu­ri­té ga­lèrent de­puis des dé­cen­nies : por­ter le su­jet de la sé­cu­ri­té au ni­veau de la di­rec­tion gé­né­rale des en­tre­prises. Ob­jec­tif : faire prendre conscience des en­jeux et dé­ga­ger les bud­gets pour prendre les me­sures qui s’im­posent. Et c’est pré­ci­sé­ment le che­mi­ne­ment que vient de suivre Lo­cam, so­cié­té de fi­nan­ce­ment spé­cia­li­sée dans la lo­ca­tion fi­nan­cière et le cré­dit-bail en B2B, fi­liale du Cré­dit Agri­cole. « Notre dé­marche s’ins­crit dans le cadre d’une di­rec­tive du groupe, le Cré­dit Agri­cole ayant de­man­dé une mise à ni­veau sur les ou­tils de sé­cu­ri­té à toutes ses fi­liales, pré­cise Ch­ris­tophe Sa­mard, res­pon­sable Sé­cu­ri­té du Sys­tème d’in­for­ma­tion. Reste que la sé­cu­ri­té du sys­tème d’in­for­ma­tion est au­jourd’hui une prio­ri­té stra­té­gique pour tous les res­pon­sables in­for­ma­tiques et tout par­ti­cu­liè­re­ment pour nous, la pro­tec­tion des don­nées clients consti­tuant un en­ga­ge­ment fort de notre di­rec­tion » .

Ba­sée à Saint-étienne (Loire), la so­cié­té a été créée en 1977. Elle compte quelque 280 col­la­bo­ra­teurs et 3000 clients par­te­naires, de la start-up au grand groupe in­ter­na­tio­nal. Consciente que l’uti­li­sa­teur est clé dans la mise en oeuvre d’une po­li­tique de sé­cu­ri­té, Lo­cam a mis en en place une dé­marche vi­sant à sen­si­bi­li­ser ré­gu­liè­re­ment ses col­la­bo­ra­teurs sur la base de com­mu­ni­ca­tions in­ternes et for­ma­tions or­ga­ni­sées par l’équipe in­for­ma­tique in­terne, la­quelle est com­po­sée d’une di­zaine de per­sonnes. « Mais c’est in­suf­fi­sant, es­time Ch­ris­tophe Sa­mard, et plu­tôt que d’être dans l’in­con­nu et dans le fan­tasme de ce qui pour­rait nous ar­ri­ver, nous avons man­da­té un pres­ta­taire pour au­di­ter notre sys­tème d’in­for­ma­tion » . Le choix de Lo­cam s’est por­té sur l’ex­pert en sé­cu­ri­té Cer­ti­lience pour deux prin­ci­pales rai­sons, la pre­mière d’entre elles étant la proxi­mi­té. « Quand on de­mande à un pres­ta­taire de ve­nir tes­ter les vul­né­ra­bi­li­tés de son sys­tème d’in­for­ma­tion ou, en d’autres termes, d’iden­ti­fier toutes les brèches par les­quelles on peut su­bir une at­taque, il vaut mieux éta­blir une re­la­tion de confiance, sou­ligne Ch­ris­tophe Sa­mard. Nous avons bien en­ten­du si­gné des clauses contrac­tuelles qui couvrent les risques liés au fait qu’ils ont une connais­sance ap­pro­fon­die de notre sys­tème d’in­for­ma­tion et choi­si un pres­ta­taire qui a pi­gnon sur rue dans son do­maine, mais la proxi­mi­té est fon­da­men­tale. Cer­ti­lience est ba­sé à Lyon, soit près de notre siège, ce qui m’a per­mis de connaître per­son­nel­le­ment chaque ex­pert qui est in­ter­ve­nu pen­dant l’au­dit. Pour ce genre de pres­ta­tion, c’est es­sen­tiel » .

La se­conde rai­son est liée à la na­ture de la re­la­tion que Lo­cam sou­hai­tait éta­blir avec son pres­ta­taire : « nous ne cher­chions

« Pour sé­cu­ri­ser notre SI de ma­nière pé­renne, nous ins­cri­vons notre col­la­bo­ra­tion avec Cer­ti­lience sur le long terme, avec no­tam­ment des re­vues ré­gle­men­taires d’au­dit chaque an­née » Ch­ris­tophe Sa­mard, res­pon­sable Sé­cu­ri­té du Sys­tème d’in­for­ma­tions de Lo­cam

pas une pres­ta­tion one shot, pour­suit le res­pon­sable sé­cu­ri­té, mais un par­te­na­riat sur le long court avec un pres­ta­taire qui nous au­dite ré­gu­liè­re­ment et nous aide à as­su­rer la sé­cu­ri­té de notre sys­tème d’in­for­ma­tion dans la du­rée. C’est l’offre et le po­si­tion­ne­ment que nous re­cher­chions parce que la sé­cu­ri­té est un tra­vail de tous les jours qui sup­pose des mises à ni­veau ré­gu­lières, ryth­mées par des évo­lu­tions du sys­tème d’in­for­ma­tion et l’émer­gence de nou­velles me­naces » .

Ra­pi­de­ment mis en place, l’au­dit s’est dé­rou­lé en deux temps. Lan­cée en no­vembre 2016, la pre­mière phase por­tait sur un pé­ri­mètre d’in­tru­sion ex­terne au sys­tème d’in­for­ma­tion : ac­cès no­mades, sites web, adresses por­tées par les fi­re­walls, etc. Cer­ti­lience a car­to­gra­phié les sys­tèmes et iden­ti­fié les vul­né­ra­bi­li­tés à ré­soudre. Le ser­vice in­for­ma­tique de Lo­cam a gé­ré di­rec­te­ment les mises à jour et cor­ri­gé les ano­ma­lies. Un contre au­dit a eu lieu dé­but 2017 pour va­li­der les cor­rec­tions ap­por­tées. En juin 2017, le pres­ta­taire a pro­cé­dé à un se­cond au­dit, por­tant cette fois-ci sur le ré­seau in­terne (mul­ti-sites, in­fra­struc­ture SI, zones sé­cu­ri­sées) avec une si­mu­la- tion d’at­taque par un ac­teur in­terne dans l’en­tre­prise avec une vo­lon­té mal­veillante, afin de vé­ri­fier l’ac­cès aux in­for­ma­tions avec les équi­pe­ments dis­po­nibles (or­di­na­teur, smart­phone). Ce nou­vel au­dit a don­né lieu à une nou­velle pré­sen­ta­tion des ré­sul­tats, gé­né­ré de nou­veaux li­vrables et re­com­man­da­tions de mises à jour. À chaque fois, Lo­cam don­nait très peu d’in­for­ma­tions aux ex­perts, l’ob­jec­tif étant, no­tam­ment dans le cadre de la ten­ta­tive d’in­tru­sion par l’ex­té­rieur, qu’ils se com­portent comme un in­ter­naute mal­veillant, la réus­site de « l’at­taque » dé­pen­dant uni­que­ment de leurs com­pé­tences tech­niques. « Nous étions bien en­ten­du pré­ve­nus de la date, pré­cise Ch­ris­tophe Sa­mard, mais nous n’avions au­cune idée de ce qui al­lait se pas­ser. Étant en­ten­du que l’ob­jec­tif n’était pas de nuire à la pro­duc­tion, mais de mon­trer jus­qu’où il était pos­sible d’en­trer dans notre sys­tème d’in­for­ma­tion » . Réa­li­sé dans des condi­tions si­mi­laires, l’au­dit in­terne a été ef­fec­tué par un ex­pert de Cer­ti­lience à qui Lo­cam avait confié un poste confi­gu­ré exac­te­ment comme n’im­porte quel poste four­ni à un col­la­bo­ra­teur en in­té­rim. À cette oc­ca­sion, Lo­cam a pu consta­ter que mal­gré une ges­tion ri­gou­reuse des droits de chaque uti­li­sa­teur, des failles étaient tou­jours pos­sibles. « Toute la dif­fi­cul­té pro­vient du bon com­pro­mis à trou­ver entre les droits né­ces­saires pour per­mettre à un uti­li­sa­teur de faire ce qu’il est cen­sé faire sans lui per­mettre d’ou­tre­pas­ser ces droits, ex­plique Ch­ris­tophe Sa­mard. De la même fa­çon, des comptes gé­né­riques mal gé­rés peuvent per­mettre à des uti­li­sa­teurs de de­ve­nir ano­nymes et donc de ne plus être iden­ti­fiés. Toutes ces failles peuvent être sé­cu­ri­sées » . Pour ren­for­cer la dé­marche, Lo­cam a aus­si mis en place un ré­fé­ren­tiel d’iden­ti­tés qui, com­bi­né à l’an­nuaire d’en­tre­prise, per­met de gé­rer très fi­ne­ment tous les droits.

Très sa­tis­fait par cette ex­pé­rience, le res­pon­sable de la sé­cu­ri­té avoue avoir dé­cou­vert des « su­jets » liés à des mises à jour mal gé­rées ou des bonnes pra­tiques mal im­plé­men­tées. « Ty­pi­que­ment, comme la plu­part des en­tre­prises, nous fai­sons ap­pel à des pres­ta­taires ex­té­rieurs pour faire évo­luer notre sys­tème d’in­for­ma­tion, ex­plique Ch­ris­tophe Sa­mard. Ils sont sup­po­sés être plus com­pé­tents que nous en in­terne sur ces su­jets, si­non on ne fe­rait pas ap­pel à eux. Se pose alors la ques­tion de sa­voir comment on chal­lenge leur tra­vail. C’est no­tam­ment ce que l’on vient de réa­li­ser avec notre au­dit : on pen­sait cer­tains ser­veurs très sé­cu­ri­sés alors que le rap­port a ré­vé­lé des écarts. Il ne s’agit bien en­ten­du pas d’un acte de mal­veillance de la part des pres­ta­taires aux­quels nous avons fait ap­pel, mais plu­tôt d’un manque de ri­gueur dans l’ap­pli­ca­tion de cer­taines re­com­man­da­tions qui se concré­tise par des vul­né­ra­bi­li­tés. De fait, et même si ce n’était pas un ob­jec­tif au dé­part, l’au­dit de sé­cu­ri­té a aus­si ser­vi à me­su­rer la qua­li­té du tra­vail de nos pres­ta­taires » .

Lo­cam a bien en­ten­du cor­ri­gé toutes les ano­ma­lies après les avoir clas­sées par prio­ri­té se­lon leur im­pact. Très ins­truc­tive, cette ex­pé­rience a aus­si per­mis à Ch­ris­tophe Sa­mard de se confron­ter à trois grandes réa­li­tés dans le do­maine de la sé­cu­ri­té : le zé­ro faille n’existe pas ; il ne sert à rien de sé­cu­ri­ser le sys­tème d’in­for­ma­tion à un mo­ment don­né, il faut réa­li­ser un ef­fort sur la du­rée ; et, en­fin, « la sé­cu­ri­té uni­que­ment par la tech­nique, ça ne fonc­tionne pas. Les uti­li­sa­teurs sont clés. Il faut les for­mer et les in­for­mer en leur don­nant les moyens de com­prendre leur contexte de sé­cu­ri­té. En d’autres termes, une dé­marche sé­cu­ri­taire doit for­cé­ment prendre en compte la tech­nique et l’hu­main, deux vo­lets qu’il faut né­ces­sai­re­ment tra­vailler en pa­ral­lèle », conclut le res­pon­sable sé­cu­ri­té.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.