Cyberdéfense : Bâtir une stratégie de défense basée sur une approche systémique

Cyberdéfense : Bâtir une stratégie de défense basée sur une approche systémique

535
0
SHARE

Introduction

Alors que le numérique fait partie intégrante de nos vies personnelles et professionnelles, la Cybersécurité est trop rarement prise en compte dans nos utilisations. Les nouvelles technologies, présentes à tous les niveaux de nos vies, sont pourtant porteuses de cyber-risques pesant lourdement sur les particuliers, les entreprises et les institutions.
Par exemple, les informations stratégiques et sensibles (fichiers clients, contrats, projets en cours…) peuvent être subtilisées par des pirates informatiques ou récupérées en cas de perte ou vol d’un smartphone, d’une tablette, d’un ordinateur portable. La Cybersécurité est aussi une prérogative pour la stabilité des systèmes industriels africains même si embryonnaires (création et fourniture d’électricité, distribution d’eau…). Une cyberattaque sur un système de commande industriel peut causer la perte de contrôle, l’arrêt ou la dégradation des installations. Ces cyber-incidents ont souvent pour conséquences de graves répercussions en termes de sécurité, de pertes économiques et financières et de dégradation de l’image de l’entreprise ou de l’institution. Ces dangers peuvent cependant être énergiquement réduits par un ensemble de dispositions, peu dispendieuses, voire gratuites, et faciles à mettre en œuvre pour un particulier, une entreprise et une institution.
Ma note de ce mois s’organisera en 7 parties :
1. Partie 1 : Les Sept principes de la Cybersécurité
2. Partie 2 : Les trois types de cyberattaques
3. Partie 3 : Pourquoi les cyberattaques vont bouleverser les rapports de force militaires traditionnels en Afrique ?
4. Partie 4 : Comment les systèmes sont-ils pénétrés ?
5. Partie 5 : Cyberstratégie : Comment mettre en place un dispositif de Cybersécurité/Cyberdéfense
6. Partie 6 : Cyberdéfense : Bâtir une stratégie de défense basée sur une approche systémique
7. Partie 7 : Guides pratiques de cyberprotection
Partie 1 : Les Sept principes de la Cybersécurité
1. La Connaissance est synonyme de Pouvoir
2. Le Maillon le Plus Faible
3. Simplifier afin de Mieux
4. Plus Coûteux Ne Veut Pas Dire Plus Sécurisé
5. Il est Correct De Faire Confiance À Quelqu’un (Mais Vous Devez Toujours Connaître La Personne À Qui Vous Faîtes Confiance)
6. Il N’existe Pas de Sécurité Parfaite – Un Compromis Est Toujours Nécessaire
7. Ce Qui Est Sécurisé Aujourd’hui Peut Ne Pas l’Être Demain
La sécurité n’est pas un acte ponctuel : c’est un processus.
La protection contre les cyberattaques est devenue un enjeu décisif. Car, dans un monde de plus en plus connecté et virtualisé, elles peuvent irrémédiablement affecter des réseaux économiques et financiers, ainsi que des industries et systèmes gouvernementaux stratégiques.
Partie 2 : Les trois types de cyberattaques
Nous pouvons classer les cyberattaques en trois grandes catégories.
L’espionnage économique
Elle est pratiquée en générale par des services étatiques ou paraétatiques travaillant au profit d’industriels ou des états. Ils piratent les systèmes informatiques des entreprises et institutions visées pour récupérer des données classifiées confidentielles ou stratégiques. Il peut s’agir de programmes de R&D, de projets commerciaux, de futures lois de finances, de contrats ou encore des emails des personnes ressources. En général, les cyberattaques de type espionnage économique se manifestent par des actions très discrètes et plusieurs entreprises et institutions se font espionner sans s’en rendre compte, avec une conséquence directe sur leur niveau de compétitivité et leur capacité à anticiper.
Le sabotage
Elle est pratiquée en générale par des services secrets, des forces armées voire des organisations terroristes. Ces actes de guerre ou de terrorisme consistent à pénétrer des systèmes informatiques avec comme objectif de déstabiliser une industrie, un pays ou une force armée. Toutes les données stratégiques d’une nation reposant sur des systèmes informatiques sophistiqués sont théoriquement exposés aux attaques de type sabotage. Plus les systèmes sont connectés, plus ils sont susceptibles d’être victimes de «cyberarmes».
La cybercriminalité
Elle se manifeste par les fraudes bancaires, organisées par des réseaux de criminelles très organisés. D’autres phénomènes comme le rançonnage ont fait leur apparition en 2013. Ce phénomène consiste à chiffrer les données de tout ou d’une partie de du disque dur, d’un particulier, d’une PME, d’une grande entreprise ou d’une institution, pour lui exiger ensuite une somme d’argent en contrepartie du déchiffrement des données. C’est un véritable problème. En effet lorsque le système informatique est inaccessible, plus aucune donnée n’est accessible, par ricochet le système devient inopérant.
Partie 3 : Pourquoi les cyberattaques vont bouleverser les rapports de force militaires traditionnels en Afrique ?
L’une des particularités de la Cybermenace est qu’elle est très asymétrique, indétectable la plupart du temps et réalisable avec un minimum de moyens financiers. Avec quelques de spécialistes et quelques millions de francs, il est possible de mettre en place une véritable organisation dédiée aux cyberattaques hyper efficaces. De plus il est ardu de localiser la provenance exacte de ces cyberattaques, qui passent la plupart du temps par des serveurs proxy (rebonds successifs sur les réseaux de différents pays) permettant ainsi soit de complexifier la trace soit de la perdre complétement. Nous avons donc affaire à une arme redoutable de nouvelle génération et peu couteuse donc accessible a des ennemis avec des moyens financiers inferieurs. Il faut comprendre qu’elle est très interconnectée et très digitalisée, donc très exposés. La Cybermenace change profondément le rapport de force traditionnel du faible au fort.
Partie 4 : Comment les systèmes sont-ils pénétrés ?
La pénétration des systèmes repose sur un certain nombre de principes. Le premier est le celui de l’interconnexion. Dès que votre système est connecté à un autre plus ouvert ou à Internet il accroit le risque d’être attaqué de façon exponentielle.
Ensuite il y’a le fait que les systèmes informatiques reposent sur des logiciels, malheureusement, conçu avec des vulnérabilités exploitables ensuite pour les pénétrer plus ou moins facilement.
Puis nous avons la mauvaise connaissance des systèmes utilises par les informaticiens qui conduisent à des erreurs de configuration ou de paramétrages. Ces erreurs permettent ensuite de les pénétrer très facilement.

Partie 5 : Cyberstratégie : Comment mettre en place un dispositif de Cybersécurité/Cyberdéfense
La Cybersécurité est un véritable processus et résulte d’une approche systémique.
Dès la phase de conception d’un nouveau système informatique, il faut mettre en place des architectures cyber-résilientes. Il s’agit de mettre en place plusieurs niveaux de sécurisation selon un concept de défense en profondeur. Première étape : la protection périmétrique et la segmentation des réseaux, qui consiste à compartimenter les systèmes afin de permettre de contenir les attaques par zone compartimentée. On réduit significativement ainsi le risque de compromettre l’ensemble du système. Ensuite, pour traiter les attaques qui pourraient réussir à passer, il faut mettre en place des systèmes de monitoring et de détection d’intrusion sophistiqués a plusieurs niveaux. Au niveau des réseaux (équipements et transferts des données), des serveurs, des stations de travail importantes et les logiciels stratégiques (bases de données, applications métiers, services réseaux etc…). Leur objectif est de fournir une capacité opérationnelle d’anticipation et de réaction en détectant tout élément anormal et en permettant de neutraliser la menace.
Pour permettre de réduire les risques d’interruption des services en cas de réussite d’une attaque, il faut mettre en place, pour finir, un dispositif de continuité d’activité (cyber-résilience). Ce dispositif est composé de procédures de sauvegardes régulières et de restaurations des systèmes et des données ainsi que des mécanismes de redondances aussi bien au niveau des services que des équipements.
Au-delà de la mise en place des systèmes informatiques, Il faut contrôler leurs configurations et leurs modifications dans le temps via une surveillance proactive.
Il ne faut pas non plus sous-estimer la veille vulnérabilité/menace afin de se tenir au courant en temps réel des changements et réagir en conséquence le plus rapidement possible. Cela permettra de se doter d’une véritable capacité d’adaptation à l’évolution des mécanismes d’attaque et à l’apparition de nouvelles vulnérabilités.
Partie 6 : Cyberdéfense : Bâtir une stratégie de défense basée sur une approche systémique
Après l’annonce faite par Yahoo! sur les 500 millions de compte piratés en 2014, la Cybersécurité s’est hissée au centre des attentions chez les professionnels et les particuliers.
Si les entreprises et les particuliers savent se protéger et réagir une fois l’attaque de leurs données effectuées, beaucoup pèchent dans l’anticipation de ces attaques.
Face à la montée en puissance des cyber-risques et des cyber-menaces, les entreprises africaines commencent à renforcer la prévention et la sécurité de leur système d’information. Cette démarche s’illustre par de nombreux colloques, des forums ainsi que des ateliers un peu partout sur le continent. D’un point de vue technologique et organisationnel, la protection des réseaux, le contrôle d’accès physique et logique, la protection des données et les plans de continuité ou de reprise d’activité commence à s’intégrer de plus en plus dans les stratégies à des niveaux élevés.
Pour autant, le risque zéro n’existe pas et les conséquences d’une cyber-attaque peuvent remettre en question la pérennité même de l’entreprise et de l’institution !
Ma note de ce mois va guider les lecteurs dans la conception d’une véritable stratégie de cyber protection à moindre cout et techniquement accessible au plus grand nombre.
Vous êtes un particulier, un journaliste, un professionnel, un fonctionnaire ou toute personne manipulant des informations pouvant devenir à tout moment compromettante, vous pouvez exploiter ce guide pour réduire de façon significative les cyber-risques et cyber-menaces auxquels vous êtes potentiellement exposés. Cette publication vous aidera à vous défendre de la surveillance, vos amis et vous-même, en utilisant des outils simples et en développant des pratiques prudentes.
NB : Il est important de préciser que ces solutions, bien que très efficaces, ne sont pas inviolables. Le but ici est de fournir un dispositif de cyber protection globale facile à mettre en œuvre et peu couteux.
Si ces outils sont puissants, ils n’offrent pas de garantie contre la surveillance du gouvernement, surtout du fait de la possibilité de l’existence de « backdoors » encore inconnues dans le hardware et le software grand public.
Ils réduiront significativement les risques liés à la surveillance et améliorera de façon générale votre sécurité.
Partie 7 : Guides pratiques de cyberprotection
La sensibilisation des utilisateurs aux règles de cyber protection est essentielle et surtout très efficace pour réduire une partie importante des menaces. Ces deux guides ont pour objectifs de vous informer sur les cyber-risques et les solutions pour vous en prémunir en acquérant des réflexes simples pour sécuriser votre usage de l’informatique.
Guide pratique de cyberprotection : Pour les PME, PMI et institutions
La sensibilisation des utilisateurs aux règles de cyber-hygiène est essentielle et surtout très efficace pour réduire une grande partie des risques. Ce guide a pour objectif de vous informer sur les cyber-risques et les solutions pour vous en prémunir en acquérant des réflexes simples pour sécuriser votre usage de l’informatique.
Création d’une machine ultra sécurisée
Sécuriser un environnement peut être un travail ardu. Même lorsque vous connaissez les problèmes, certaines solutions peuvent ne pas se trouver à portée de main. Par exemple, vos collègues de travail peuvent souhaiter que vous continuiez d’ouvrir les pièces jointes de leurs e-mails, même si vous savez que les pirates pourraient se faire passer pour eux et vous envoyer des programmes malveillants. Ou vous pouvez vous soucier que leur ordinateur principal soit déjà compromis.
Solution : SubGraph ou Qubes OS
Une technologie novatrice, un système d’exploitation complet nommé SubGraph OS qui peut être installé sur un PC ou un Mac pour fournir toute une gamme d’outils de communications cryptées. SubGraph est le dernier d’une série d’outils différents mais similaires, comme Tails – un système d’exploitation qui peut être lancé sur n’importe quel ordinateur par le biais d’une clé USB – et Qubes, un autre système requérant une installation sur des ordinateurs pour lesquels la sécurité a spécifiquement été renforcée sur mesure.
Conseils pour augmenter le niveau de cyber-protection des entreprises et institutions
Choisir avec soin ses mots de passe
Exemple réel rencontré lors de mes missions
Dans le cadre de ses fonctions de comptable, Koudjo va régulièrement consulter l’état des comptes de son entreprise sur le site Internet mis à disposition par l’établissement bancaire. Par simplicité, il a choisi un mot de passe faible : abc123456def. Ce mot de passe a très facilement été reconstitué lors d’une attaque utilisant un outil automatisé (brut forcing) en moins de 10 minutes : l’entreprise s’est fait voler 12.000.000 FCFA
Le mot de passe est un outil d’authentification utilisé notamment pour accéder à un équipement numérique et à ses données. Pour bien protéger vos informations, choisissez des mots de passe difficiles à retrouver à l’aide d’outils automatisés ou à deviner par une tierce personne. Choisissez des mots de passe composés si possible de 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire. Deux méthodes simples peuvent vous aider à définir vos mots de passe :
La méthode phonétique : « J’ai mangé 7 akassas pour deux cent franc ce midi » : gmg7aka%2CFcmd ;
La méthode des premières lettres minuscule majuscule alternée : « Je suis décidé à sécuriser mon mot de passe à partir d’aujourd’hui !» : JsDaSmMdPaPa!
En entreprise :
Déterminez des règles de choix et de dimensionnement (longueur) des mots de passe et faites-les respecter ; modifiez toujours les éléments d’authentification (identifiants, mots de passe) définis par défaut sur les équipements (imprimantes, serveurs, box…) ;
Sensibilisez les collaborateurs au fait qu’ils ne doivent pas préenregistrer leurs mots de passe dans les navigateurs, notamment lors de l’utilisation ou la connexion à un ordinateur public ou partagé (salons, déplacements…).
Mettre à jour régulièrement vos logiciels
Exemple réel rencontré lors de mes missions
Hamed, administrateur* du système d’information d’une PME, ne met pas toujours à jour ses logiciels. Il a ouvert par mégarde une pièce jointe piégée. Suite à cette erreur, des pirates ont pu utiliser une vulnérabilité logicielle et ont pénétré son ordinateur pour espionner les activités de l’entreprise.
Dans chaque système d’exploitation (Android, IOS, MacOS, Linux, Windows), logiciel ou application, des vulnérabilités (failles de sécurités) existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité. Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les pirates exploitent ces vulnérabilités pour mener à bien leurs opérations encore longtemps après leur découverte et leur correction.
Perdez l’habitude de sauvegarder vos mots de passe
Sauvegardez régulièrement vos données sensibles sur des disques durs ou clés cryptes avec VeraCrypt
Exemple réel rencontré lors de mes missions
Rodolphe, agent commercial, a perdu la totalité de son fichier client suite à une panne d’ordinateur. Il n’avait pas effectué de copie de sauvegarde.
Pour veiller à la sécurité de vos données, il est vivement conseillé d’effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple). Vous pourrez alors en disposer suite à un dysfonctionnement de votre système d’exploitation ou à une attaque.
Protéger ses données lors de vos déplacements
Exemple réel rencontré lors de mes missions
Dans un aéroport, Boris sympathise avec un voyageur prétendant avoir des connaissances en commun. Lorsque celui-ci lui demande s’il peut utiliser son ordinateur pour recharger son smartphone, Boris ne se méfie pas. L’inconnu en a profité pour exfiltrer les données concernant la mission professionnelle très confidentielle de Boris.
Avant de partir en mission :
1. N’utilisez que du matériel (ordinateur, supports amovibles, téléphone) dédié à la mission, et ne contenant que les données nécessaires ;
2. Sauvegardez ces données, pour les retrouver en cas de perte ;
3. Si vous comptez profiter des trajets pour travailler, emportez un filtre de protection écran pour votre ordinateur ;
4. Apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour vous assurer qu’il n’y a pas eu d’échange pendant le transport ;
5. Vérifiez que vos mots de passe ne sont pas préenregistrés.
Pendant la mission
1. Gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme pendant votre séjour (ne les laissez pas dans un bureau ou un coffre d’hôtel) ;
2. Désactivez les fonctions Wi-Fi et Bluetooth de vos appareils ;
3. Retirez la carte SIM et la batterie si vous êtes contraint de vous séparer de votre téléphone ;
4. Informez votre entreprise en cas d’inspection ou de saisie de votre matériel par des autorités étrangères ;
5. N’utilisez pas les équipements que l’on vous offre si vous ne pouvez pas les faire vérifier par un service de sécurité de confiance ;
6. Évitez de connecter vos équipements à des postes qui ne sont pas de confiance. Par exemple, si vous avez besoin d’échanger des documents lors d’une présentation commerciale, utilisez une clé USB destinée uniquement à cet usage et effacez ensuite les données avec un logiciel d’effacement sécurisé ;
7. Refusez la connexion d’équipements appartenant à des tiers à vos propres équipements (Smartphone, clé USB, baladeur…)
Après la mission
1. Effacez l’historique des appels et de navigation ;
2. Changez les mots de passe que vous avez utilisés pendant le voyage ;
3. Faites analyser vos équipements après la mission, si vous le pouvez.
4. N’utilisez jamais les clés USB qui peuvent vous avoir été offertes lors de vos déplacements (salons, réunions, voyages…) : très prisées des pirates, elles sont susceptibles de contenir des programmes malveillants.
Séparer les usages personnels des usages professionnels
Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, smartphone, etc.) personnels et professionnels.
1. Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles ;
2. N’hébergez pas de données professionnelles sur vos équipements personnels (clé USB, téléphone, etc.) ou sur des moyens personnels de stockage en ligne ;
3. De la même façon, évitez de connecter des supports amovibles personnels (clés USB, disques durs externes, etc.) aux ordinateurs de l’entreprise.
Guide pratique de cyberprotection : Pour les particuliers et les professions libérales
Sécuriser vos emails
La majorité des internautes utilisent des messageries électroniques comme Yahoo, Outlook et Gmail pour communiquer et stocker leurs mails. Continuez à utiliser ces services mais en utilisant aussi des services plus sécurisés.
Solution de sécurisation de vos mails : Protonmail
ProtonMail est un système de messagerie internet créé en 2013 au CERN, par Jason Stockman, Andy Yen et Wei Sun. ProtonMail se différentie d’autres systèmes d’email (Gmail, Hotmail…) par le cryptage des données avant qu’ils soient envoyés aux serveurs. Le service de base est gratuit.
Il est important de noter que les serveurs sont hébergés en Suisse et échappent ainsi à la législation américaine et européenne.
ProtonMail avait environ 1 000 000 d’utilisateurs en mars 2016.
Sécuriser vos données
La problématique de la sécurisation des données est protéiforme. Elle se compose en effet d’un aspect technologique, évident pour tout le monde, mais aussi d’un aspect comportemental.
Solution de sécurisation de vos données : VeraCrypt
VeraCrypt est un outil de puissant sous licence libre utilisé pour le cryptage à la volée (OTFE). Il a été conçu par la société française IDRIX et permet de créer un disque virtuel chiffré dans un fichier ou une partition. Pour y accéder ensuite, une demande d’authentification est obligatoire avant de monter le disque virtuel.
Points faibles
Soumis à des vulnérabilités connus au niveau des clés de cryptage.

Sécuriser vos communications vocales chats et sms
WhatsApp est le logiciel de messagerie de fait de beaucoup d’africain. Il devient aussi un logiciel de communication pour les appels téléphoniques. Même si depuis le premier trimestre 2016 il chiffre ses communications, les données transitent toujours par des serveurs centraux.

Solution de sécurisation de vos communications : vocales sms et chat
Vous avez besoin d’un système sécurisant vos communications à moindre cout ? Je vous suggère Signal.
« Signal a été adopté par des hauts fonctionnaires, y compris à Washington, mais aussi par des familles ordinaires qui veulent protéger les communications de leurs enfants … »
Je vous conseille Signal si :
1. Vous êtes un peu à cheval sur votre vie privée : cette application est plus sécurisée que la plupart des solutions de voix sur IP.
2. Vous cherchez à disposer d’outils simples et sécurisés.
3. Vous voulez téléphoner à l’étranger. L’appli ayant besoin pour fonctionner d’un réseau de données (Wi-Fi, 3G, 4G), elle fonctionne aussi bien avec des correspondants situés dans le même bureau que vous qu’avec vos contacts dans un autre pays.
4. Vous voulez automatiquement supprimer vos conversations confidentielles sans aucune intervention pour qu’en cas de vol vos communications soient inaccessible

Points faibles
Ne protège pas contre les mouchards de type micro par exemple.
Sécuriser vos communications WIFI
Solution de sécurisation de vos communications WIFI, 3G, 4G : Opera VPN
Un VPN, ou réseau privé virtuel, établit un tunnel de communication chiffré entre votre machine et des serveurs distants, qui agissent ensuite comme des relais. Toutes les données que vous recevrez ou enverrez sur Internet transiteront par ces relais avant d’atteindre leur destination. Cela permet de relativement sécuriser la connexion (pas les données) et de maquiller son origine géographique afin, par exemple, d’accéder à des sites uniquement disponibles dans certains pays.
Le VPN pour Android d’Opera propose ainsi plusieurs localisations virtuelles : les États-Unis, le Canada, l’Allemagne, Singapour ou encore les Pays-Bas. D’autres localisations viendront prochainement s’ajouter à la liste.
Ce dernier bloque également les trackers publicitaires et intègre un outil permettant d’évaluer la sécurité d’une connexion Wi-Fi. Cet outil tient compte de plusieurs critères : le caractère privé ou public du réseau, la présence ou non d’une solution de chiffrement, le nombre d’appareils connectés, l’exposition de l’adresse IP et de la localisation de l’utilisateur ou encore l’accessibilité des informations relatives à l’appareil utilisé. Cela lui permet, à terme, de donner une note au réseau pouvant aller de A à F.

Source: http://azizdasilva.cloudaccess.host/index.php

NO COMMENTS