De multiples études, y compris et surtout celles de l'ANSSI et du CLUSIF, alertent sur la vulnérabilité des systèmes d'information (SI) des entreprises françaises. La crise sanitaire que nous vivons ajoute aux risques encourus et révèle l'ampleur de certaines faiblesses. Les entreprises devraient faire un état des lieux de leur SI, selon cinq axes, pour répondre à ces questions : est-il robuste, protégé, résilient ?
Quelques constats
Les cyber-attaques ne sont plus une probabilité mais une certitude
Quelques chiffres d'une étude de l'APAVE datée d’octobre 2019 (https://www.apave.com/actualite/surete-malveillance-les-entreprises-doivent-se-proteger) sont éloquents :
- 66% des entreprises déclarent être confrontées à des problèmes de sûreté.
- 52% citent les cyberattaques comme leur principale préoccupation.
- 60% déclarent ne pas être assez armées pour y faire face.
- 44% se disent être impactées dans leur activité.
- 41% craignent une atteinte à leur image et leur réputation.
"On parlait autrefois de risque de cyberattaques, aujourd'hui il ne s'agit plus de risque mais de certitude. Aucune entreprise ou organisation, quelle que soit sa taille ou son secteur, n'y échappera." C'est désormais le message des institutions telles que l'INHESJ (Institut National des Hautes Études de Sécurité et Justice), l’IHEDN (Institut des Hautes Études de Défense Nationale) ou l'ANSSI (Agence nationale de la sécurité des systèmes d'information).
En particulier les petites et moyennes entreprises qui ne se pensaient que peu concernées, parce qu'elles ne sont pas dans des secteurs stratégiques ou financiers, doivent, elles aussi, adopter les mêmes démarches de protection.
La vétusté du SI altère augmente sa vulnérabilité
Les nouvelles applications et les nouveaux systèmes se sont multipliés à un rythme bien plus élevé que le désengagement des vieux systèmes. Ces derniers sont peu ou pas maintenus, tournent sur des versions de logiciels que les éditeurs ne tiennent plus à jour, ce qui induit des risques :
- Les vieilles versions des logiciels techniques (système d'exploitation, bases de données, firewall, antivirus, EAI, serveurs d'application, serveurs DNS, etc) constituent des failles de sécurité, répertoriées et bien connues des hackeurs.
- La réinstallation est difficile en cas de sinistre majeur (incendie, inondation, cyberattaque massive ...).
- Le redéploiement vers le télétravail est difficile : postes de travail obsolètes, accès à certaines applications ou tout simplement au SI risqué parce que mal protégé.
Évaluer le SI pour mieux le protéger
Dans ce contexte, les DSI (directeurs/directrices des systèmes d'information) ont une première mission : éablir un diagnostic de leur SI, un peu comme un check-up santé, selon les cinq dimensions présentées ci-après.
1 - Quelle est la dette technique du système d’information ?
On inclut dans la "dette technique" les matériels et les logiciels vieillissants non maintenus, les matériels et les logiciels qui ne sont plus utilisés, les composants (matériels, logiciels, télécoms) qui ne reçoivent plus de patches de sécurité.
On identifie essentiellement trois types de risques :
- Ces systèmes vieillissants, en particulier OS et firewalls, constituent des failles de sécurité et des portes d'entrée pour des hackeurs. C'est ce qui est arrivé par exemple à Saint-Gobain avec le virus NotPetya que des pirates avaient installé sur des PC en Windows XP.
- L'absence de dépannage et support.
- La difficulté voire l'impossibilité de réinstallation en cas de déménagement, de migration vers une nouvelle infrastructure hébergée ou de sinistre.
Il faut avoir le courage et l'honnêteté d'établir, à partie de la cartographie du SI, le diagnostic vétusté et le degré de risque induit.
2 - Quel est le plan de continuité d’activité informatique (PCA) ?
Dans des situations telles que bâtiments inutilisables (travaux, inondation, incendie, réparations imprévues, évacuation imposée, etc), épidémie ou pandémie, grèves dures et longues, il devient nécessaire d'avoir des moyens de relocaliser du personnel et des postes de travail :
Afin d'anticiper ces évènements, il faut vérifier :
- Quels sont les moyens de télétravail ? Tout le personnel concerné a-t-il un ordinateur portable ?
- Les postes de travail sont-ils bien protégés (identification multiple, stockage chiffré) ?
- Les moyens d’accès au SI sont-ils sécurisés ?
- Les solutions ont-elles été testées ?
- Dispose-t-on de locaux de secours pour réinstaller du personnel ? Ces locaux sont-ils préinstallés (avec des postes de travail reliés au SI) ou bien faut-il les configurer ?
L'inexistence ou la faiblesse du PCA présente le risque d'une activité partielle, ralentie, voire bloquée quelques temps.
3 - Quel est le plan de reprise d’activité informatique (PRA) ?
Les risques majeurs sont rares mais lorsqu'ils se produisent, l'absence d'un PRA, ou bien un PRA inopérant, sont catastrophiques. Voici les vérifications à faire :
- Quel est le dispositif de PRA : dispose-t-on de serveurs de secours dans un autre site, ainsi que les moyens de recharger applications et données ?
- Le PRA est-il externalisé ? Si oui, quel est l'engagement contractuel du prestataire PRA (délai de réaction, périmètre de couverture, services garantis) ?
- Si l'informatique est externalisée ou partiellement externalisée, s'est-on bien assuré dans le contrat que le prestataire avait son propre PCA et son propre PRA pour continuer à fournir ses services à ses clients ? Cela est-il bien rédigé dans le contrat ? Est-il possible d'auditer le prestataire pour vérifier ses dispositifs ?
- Le PRA est-il bien documenté et est-il testé régulièrement, au moins annuellement ? Le PRA jamais testé est bien souvent inopérant lorsqu'on a besoin de le déclencher.
- Le data-center de secours est-il suffisamment éloigné ?
- Le PRA protège-t-il tous les systèmes critiques ? Permet-il de redémarrer tous les systèmes et applications vitaux pour l'entreprise ? Et sous quel délai ?
4 - Quelles sont les dispositions techniques de sécurité informatique ?
Les systèmes doivent évoluer en permanence car ils sont engagés dans une course incessante : leur capacité de réponse aux attaques. On invite donc à vérifier les éléments suivants :
- Mise à jour permanente des antivirus, sondes et firewalls.
- Actions de corrélation des logs.
- Système de surveillance des accès : un SOC (Security Operation Center) peut être externalisé.
- Tenue à jour et robustesse de l'architecture DMZ et cloisonnement des réseaux.
- Règles et gestion des accès.
- Règles de programmation bannissant les failles de sécurité.
- Anonymisation des jeux de données confiés aux sous-traitants (développement et maintenance d'applications).
- Tests de pénétration réguliers.
- Sauvegardes régulières, duplication et stockage dans des sites sécurisés (ce qui constitue souvent une des dispositions du PRA).
- Chiffrement des données sensibles, sur baies de stockage, disques serveurs, disques des postes de travail.
- Sureté des accès distants : VPN, clés chiffrées, login à plusieurs étapes.
5 - Quelle gouvernance sûreté–sécurité du SI et quelles actions de prévention ?
Les moyens physiques ne sont efficaces que s'ils sont régis par une réelle gouvernance de la sécurité du SI (protection contre les accidents) et la sureté du SI (protection contre les agressions ou malveillances). On invite donc à vérifier l'existence et l'efficience des points suivants :
- Un RSSI (responsable de la sécurité du SI) est-il nommé ? Remarque : une entreprise petite ou moyenne peut avoir recours à un RSSI partagé.
- La chaine de sécurité et sureté du SI est-elle organisée ?
- Quel est le budget qui lui est consacré ?
- Y a-t-il une politique et des directives de classification des données ?
- Y a-t-il une politique et des directives de protection et prévention sur l'usage des postes de travail (mots de passe, rangement, sauvegarde) ?
Bâtir et justifier un programme de mise à niveau
Ce diagnostic en cinq axes permet d'identifier les travaux à engager pour arriver à garantir la protection et la résilience du SI face aux différents risques. Ce sont des projets d'envergure qui peuvent être couteux, en voici quelques exemples :
- Campagne d'upgrade (mise à jour) de versions de systèmes d'exploitation, de bases de données et de middleware : au-delà du projet de migration technique, cela peut avoir un impact sur les applications qui s'appuient sur ces OS (il faut parfois les réécrire ou les adapter).
- Opérations de même nature et de même impact avec les upgrades.
- Upgrades d'antivirus, firewalls, outils de chiffrement ...
- Importants travaux d'évolution d'architecture : séparation de réseaux, isolation de zones, confinement d'applications.
- Remplacement d'applications obsolètes.
- Remplacement de serveurs obsolètes et réinstallation des applications.
- Recrutement d'un RSSI et mise en place d'une politique de sécurité et sureté.
Reste à "vendre" de telles opérations à une DG ou une DAF alors qu'elless n'ont pas de valeur ajoutée métier tangible : exercice difficile ! Il faut bâtir un argumentaire solide pour justifier l'investissement nécessaire :
- La valorisation des risques (la perte business) si cet investissement n'est pas fait.
- Le poids, donc le coût en entretien, de la dette technique.
- La valorisation de l'amélioration de la performance du SI.
In fine, la question à débattre entre DG, DAF, métiers et DSI est : quel est le prix de la résilience et de la performance du SI, une fois tous les ingrédients (sécurité, sureté, et robustesse) mis bout à bout ?