B. ANALYSE GLOBALE DES RISQUES DANS LES ÉCHANGES NUMÉRIQUES

La conjonction des failles et des menaces peut entraîner des conséquences considérables sur les systèmes d'information des entreprises. Lors de leurs échanges numériques, les interlocuteurs s'exposent, mettant en jeu la disponibilité, l'intégrité et la confidentialité des objets et/ou des interlocuteurs pendant leur transport. Pour cette raison, les faiblesses portent sur les points d'entrée et de sortie des systèmes de transport ainsi que sur les personnes qui les utilisent .

Le principe de l'analyse de risques consiste à regrouper les éléments d'évaluation en vue de mieux contrôler ces faiblesses et de rendre les activités d'une entreprise les plus sûres possible, sachant que la sécurité complète ne peut être garantie .

L'évaluation de cet état le plus sûr possible repose donc sur deux éléments clés :

- la potentialité d'un incident qui se mesure généralement par l'historique de faits similaires survenus ou l'exposition particulière d'un élément du système d'information.

- l'impact d'un incident qui se mesure généralement à l'aide d'une évaluation financière.

Le schéma ci-après représente la règle de décision pour un événement . Un impact de niveau 4 et une potentialité de niveau 4 entraînent un risque de niveau 4 pour l'entreprise : celle-ci s'engage à le traiter alors qu'un incident rare mais d'impact élevé ne représentera qu'une priorité de niveau 2 dans le traitement du risque.

Schéma n° 77 : Règle de décision pour le traitement d'un risque pour une entreprise

Source : Méhari - CLUSIF

Néanmoins, si l'emploi de méthodes d'analyse de risque reste un atout considérable pour obtenir une connaissance objective de l'environnement d'une entreprise, ce processus est lourd face aux besoins d'agilité des entreprises pour assurer leur sécurité au quotidien.

1. L'identification des éléments pour l'analyse des risques

Pour mener cette analyse, les différents niveaux de l'entreprise doivent être étudiés.

Chaque entreprise détient des biens et services qui en font sa valeur. Les biens au sein du système d'information sont des données, des informations, des savoirs ou des savoir-faire .

« En effet, Total a établi un régime de classification des données en quatre catégories : jusqu'au niveau 2, il est possible d'utiliser le nuage mais, au-delà de 2, pour des raisons de sécurité, il est interdit de recourir au nuage. »

M. Patrick Hereng
Directeur des systèmes d'information et télécommunications, Total
6 mars 2014
Auditions. Tome II du présent rapport

L'analyse de risque étudie l'exposition de ces biens et services vis-à-vis de leurs vulnérabilités ou des menaces qu'ils occasionnent.

Les services représentent les algorithmes pour diffuser ces biens ou les produire sous une forme transportable (conditionnement). L'ensemble des services mis en oeuvre dans un même objectif de production forme un processus.

Les processus sont les savoirs et savoir-faire de l'entreprise pour produire ou transformer des valeurs en favorisant la circulation des biens et des services.

Le système d'information de l'entreprise se compose majoritairement de processus et d'actifs, les premiers visant à valoriser les seconds.

Du point de vue des échanges , les services représentent les algorithmes pour diffuser le bien ou le produire sous une forme transportable (conditionnement) .

Du point de vue de l'analyse des vulnérabilités , l'exposition des processus et actifs a lieu sur des points particuliers du système d'information.

Il est donc nécessaire d'identifier et localiser les mémoires qui hébergent les actifs, les lieux d'exécution des processus ou des services qui y sont rattachés ainsi que leurs points d'échanges, leurs réseaux de transports et d'interconnexions qui favorisent leurs circulations.

a) Identification des actifs

L'analyse de risque devrait porter sur l'ensemble de ces actifs en abordant leur niveau de sensibilité face aux atteintes en confidentialité, intégrité et disponibilité (DIC). Les méthodes d'analyse de risque facilitent l'identification des actifs à l'aide des classifications qu'elles proposent.

Par exemple, la méthode Méhari développée par le CLUSIF est une méthode pour aider les entreprises à mener une analyse de risque de leur système d'information. Elle propose une analyse des processus du système d'information d'une entreprise : la facturation, la production, etc. Pour chaque processus, elle permet de classifier les actifs selon plusieurs catégories : les services impliqués, les applications, les données, les fichiers, les documents papiers, les messages électroniques et papiers.

Ce travail d'analyse est fastidieux et s'avère difficile à automatiser.

b) Localisation des mémoires des actifs et des services

Il est important d' identifier les différentes localisations intervenant, directement ou non, dans la valorisation des actifs et des services de l'entreprise.

Ces éléments clés du système d'information sont portés par différentes entités :

- sites administratifs composés des mémoires physiques ou numériques (ordinateurs) ; sites industriels composés des mémoires physiques ou numériques (ordinateurs, MES , etc.) ; ordinateurs portables des personnels mobiles ; téléphones portables ou smartphones ; clés USB ; capteurs ; etc.

Les collaborateurs sont également à inclure comme éléments clés de la mémoire et des services de l'entreprise.

Il s'agit aussi d' identifier les composants de la chaîne de liaison car il est important de déterminer si ce composant est :

- privé , et, dans ce cas, il devrait être possible d'en garder la maîtrise à l'aide de règles et politiques de sécurité ;

- public et/ou mutualisé , et alors l'accès devient ouvert à tout le monde sans restriction ou à des groupes ; la robustesse des composants dépend de facteurs externes, humains et technologiques, difficiles à maîtriser .

Au-delà, il convient d'analyser la sécurité de la chaîne de liaison du système d'information de l'entreprise connectée pour identifier les éléments impliqués dans les opérations de transport et, en particulier, de conditionnement/déconditionnement. Ce sont les points d'échanges qui constituent majoritairement les points sensibles aux intrusions et aux fuites d'information.

(1) Interconnexions

Les interconnexions privées entre différents sites : interconnexion « site administratif - site industriel » articulée autour de la « boucle locale-Internet-boucle locale - site industriel » ; interconnexion « site administratif - opérateur » reposant sur la « boucle locale-Internet-boucle locale du côté de l'opérateur » ; interconnexion « site industriel - opérateur » reposant sur la « boucle locale-Internet-boucle locale du côté de l'opérateur » ;

Les interconnexions publiques entre différents sites : interconnexion « réseau mobile - Internet » ; interconnexion « réseau mobile - RTC » ; interconnexion « Internet - RTC ».

(2) Réseaux locaux ou distants

Les différents supports fédérant ces interconnexions sont :

Les supports privés : réseau local sans fil pour les utilisateurs de l'entreprise ; réseau local industriel sans fil composé de capteurs.

Les supports publics : réseau Internet composé des réseaux d'accès, ou boucle locale, reliés au coeur réseau Internet ; réseau 3G ou 4G mobile composé des réseaux d'accès par le biais des antennes et du coeur de réseau ; réseau RTC.

(3) Interconnexions privées/publiques

La valorisation des actifs et des services implique des échanges avec des acteurs externes, ce qui les rend vulnérables.

Du fait des technologies de l'information, le transport de ces actifs et services suppose qu'ils soient transformés sous une forme binaire , la seule compatible avec le médium.

Ces médias sont parfois publics ; dans ce cas ces flux seront alors davantage exposés.

Au sein d'un système d'information d'entreprise, l'analyse de risque implique la connaissance de chaque flux en identifiant leurs interlocuteurs ainsi que la nature des actifs transportés .

Parmi ces éléments clés, certains constituent des points d'échanges avec l'extérieur, ceux-ci pouvant être publics et mutualisés : vie publique et privée des personnels de l'entreprise avec l'extérieur ; DMZ publique du site administratif ; accès Internet des ordinateurs portables des personnels mobiles ; accès Internet des téléphones portables des personnels mobiles.

Au sein d'un système d'information étendu, une multitude de services et de flux sont échangés. L'analyse de risque propose une méthode pour les identifier de façon exhaustive puis les classifier. Il s'agit d'une matrice de flux précisant la fonction qu'il assure, son sens - public vers privé ou inversement - , son origine, sa destination ainsi que la nature des informations qu'il transporte. Une fois les flux identifiés, ils peuvent être analysés en fonction de leur source et destination afin de mettre en oeuvre des politiques pour les autoriser ou les bloquer .

Le tableau ci-après illustre les différents éléments requis pour mener une analyse de risque. Par exemple, le flux de messagerie fait intervenir des flux de type DNS , SMTP , HTTPS . Leur description permet d'identifier des règles de contrôles qui pourront être appliquées au moment de leur transit en DMZ publique.

Schéma n° 78 : Énumération des flux d'usages et techniques standards et correspondance avec leur numéro de port TCP/IP

SENS


TYPE DE FLUX PAR N° DE PORT

USAGES

DESCRIPTION




EXTERNE VERS DMZ publique (entrants)


DNS



INFRASTRUCTURE

Requêtes de résolution de noms venant d'un proxy d'authentification des Internautes (EXTERNE)


SMTP

Réception de messages livrés par les serveurs de l'Internet


HTTPS


USAGE

Requêtes de navigation sécurisées provenant d'Internautes sur le serveur web sécurisé du réseau INTERNE







INTERNE VERS EXTERNE (sortants)


SMTP



INFRASTRUCTURE

Envoi de messages du serveur de messagerie du réseau INTERNE vers les serveurs de l'Internet


DNS

Requêtes de résolution de noms DNS provenant du réseau INTERNE


HTTP





USAGE

Requêtes de navigation des utilisateurs du réseau INTERNE vers des serveurs web de l'Internet


FTP

Requêtes de transferts de fichiers sollicitées par les utilisateurs du réseau INTERNE vers des sites de l'Internet


HTTPS

Requêtes de navigation sécurisées provenant d'Internautes sur le serveur web sécurisé interne


LDAP

Requêtes des services d'annuaire pour la vérification des identifiants des utilisateurs du service web en DMZ




INTERNE VERS DMZ


HTTPS




GESTION


Administration distante des serveurs en DMZ publique


SSL

Tunnel VPN pour l'administration des serveurs en DMZ privée et publique


ICMP

Autorisation de valider la présence de serveurs en DMZ publique

Source : OPECST

Cette analyse des flux sera utilisée par les administrateurs de la sécurité afin de mettre en place les règles de filtrage d'un pare-feu. Ces règles représentent une part importante des politiques de sécurité de l'entreprise.

2. L'évaluation des risques

L'évaluation des risques repose également sur de nombreuses classifications. Elle regroupe plusieurs catégories principales qui peuvent évoluer en fonction de l'activité et des spécificités de l'entreprise, à savoir : indisponibilité passagère de ressources, destruction d'équipements, performances dégradées, destruction de software , altération de logiciels, altération de données, manipulation de données, divulgation de données ou d'informations, détournement de fichiers de données, perte de fichiers de données ou de documents, sinistre immatériel total, non-conformité à la législation et à la réglementation.

L'évaluation des risques combine l'évaluation des impacts et des probabilités d'occurrence d'un scénario.

a) Évaluation des impacts

Pour chaque service, Méhari (CLUSIF) propose d'identifier les différents points d'échange constitués des éléments de l'architecture.

Chaque actif est évalué en fonction de son besoin en disponibilité, intégrité et confidentialité (DIC).

Par exemple, la ligne « gestion commerciale » peut indiquer une sensibilité de niveau 4 concernant l'application, les données locales et échangées, les courriers échangés et une sensibilité de niveau 2 et 3 pour leur disponibilité.

b) Évaluation de la potentialité

Pour chaque scenario, Méhari évalue la probabilité d'occurrence de chacun d'entre eux.

Schéma n° 79 : Probabilité d'occurrence des événements

Source : Méhari (CLUSIF)

3. L'analyse des vulnérabilités

Le schéma de l'analyse globale des risques numériques de l'entreprise illustre les différents points d'entrée et angles d'attaques susceptibles d'être exploités par une personne malveillante contre un système d'information d'entreprise.

Afin d'identifier ces vulnérabilités très variées, chaque composant du système d'information doit être audité. Un audit consiste à sonder un système en le confrontant aux différents scenarii d'attaques possibles.

80

Complexité de l'audit

Un audit doit être mené de façon méthodique par un expert du domaine. Méhari a identifié quatorze domaines d'expertise couvrant des domaines aussi variés que les équipements systèmes, les réseaux, les logiciels ou encore la conformité des normes et lois. Chaque domaine comporte plusieurs centaines de scenarii , ce qui montre qu' un audit mené de façon exhaustive appellerait plus de quatre mille points de contrôle .

Schéma n° 81 : Exemple d'un questionnaire d'audit de sécurité

Source : Méhari (CLUSIF)

« Alors, nous disposons de la mise en place de normes ISO 27001 et suivantes, de la prise de conscience des directions générales, de la détection et du contrôle par l'ANSSI avec la loi de programmation militaire, des chartes informatiques, de la sensibilisation des personnels. Mais les entreprises n'ont pas tout cela. Éventuellement, elles ont la charte. Il faut leur proposer des chartes types et peu coûteuses parce qu'elles n'ont pas les moyens de payer pour avoir un vrai service. De plus, une entreprise entre vingt et cent cinquante salariés n'a pas la complexité d'une grande entreprise. En tout cas, il faut sensibiliser les entreprises à la sécurité numérique et les inciter fortement à notifier les violations de données à caractère personnel. »

Me Éric Caprioli

Docteur en droit, avocat à la Cour d'appel de Paris, vice-président, Club des experts de la sécurité de l'information et du numérique (CESIN )
19 juin 2014
Auditions. Tome II du présent rapport

Cartographie statique du système d'information

Bien que les méthodes actuelles d'audit se situent à un niveau technologique élevé capable de déceler de nombreuses failles, l'audit se heurte à trois difficultés majeures :

- l'obsolescence accélérée de l'audit : l'audit produit une vision instantanée de l'état d'un système, devenant inexacte dès le premier changement (ajout d'un disque, d'une mémoire ou changement de configuration, etc.) ;

- la variété excessive des technologies : l'audit doit permettre de déceler simultanément des vulnérabilités sur des systèmes récents et anciens ce qui suppose une connaissance de la constitution progressive du système d'information ;

« De leur côté, les opérateurs d'importance vitale seront tenus de cartographier leurs systèmes . Vous pouvez mettre au défit un grand industriel de vous montrer à quoi ressemblent ses systèmes d'information, notamment ses systèmes d'information industriels. En général, les industriels ne savent même pas comment est configuré leur système, où sont les interconnexions, les passerelles vers Internet. Le flou est assez abyssal. C'est également le cas des administrations. L'obligation de cartographier est donc absolument importante. »

M. Pascal Chauve

Conseiller du Secrétaire général de la défense et de la sécurité nationale (SGDSN)
19 juin 2014
Auditions. Tome II du présent rapport

- une vision partielle : dans la pratique, l'audit s'intéresse à une analyse excessivement locale qui fait courir le risque de potentielles zones d'ombres non auditées .

« Avant, le chiffrement supposait d'intercepter la transmission. L'arrivée de l'informatique a révolutionné cela. Snowden a révélé que c'étaient moins les algorithmes qui protégeaient, comme des sortes de portes blindées de systèmes informatiques, que la solidité des murs autour des portes, trop souvent aujourd'hui les équivalents de murs en carton. Dès lors, plutôt que de s'attaquer à la porte blindée, il est plus facile de découper le mur à l'aide d'un cutter . La plupart du temps, les normes américaines permettent d'extraire ce qui est sur l'ordinateur au moyen, par exemple, d'une porte cachée ( backdoor ) située sur le disque dur ou dans le système d'exploitation ( firmware) . Il faut donc avoir une vision globale de la sécurité incluant les portes et les murs

M. Éric Filiol

Directeur du laboratoire de cryptologie et de virologie opérationnelles
2 avril 2014
Auditions. Tome II du présent rapport

4. L'analyse de nouvelles vulnérabilités pour une informatique en nuage (cloud computing)

Ces menaces concernent tous les modèles de service , sauf la menace « abus et utilisation malveillante du cloud » qui ne concerne que les modèles IaaS et PaaS .

En effet, il n'y a pas réellement de menace spécifique au nuage informatique car toutes existent déjà mais, généralement, elles sont amplifiées dans cet environnement où il se produit une relative perte de contrôle sur les données et services ; ce contrôle étant délégué au fournisseur d'autant plus s'il est multilocataire.

Ce dernier offre une gestion des liens réseaux ou encore l'hébergement d'un de ses sites web . Pour cela, l'entreprise doit négocier les règles de gestion en signant un contrat de service.

D'où la nécessité, encore une fois, d' établir un contrat de service (ou SLA ) entre toutes les parties impliquées, qui définit le niveau de responsabilité de chacune .

Les menaces diverses sont répertoriées ci-après.

a) Violation de données

Mauvaise conception de la base de données d'un service en nuage multilocataire.

Accès aux données confidentielles de tous les clients, vol de données.

b) Perte ou fuite de données

Manque de vigilance , perte de clé, mesures de récupération de données ( back up ) non implémentées par le fournisseur de nuage.

Vol des données stockées dans le nuage par des pirates, ou pertes involontaires pour différentes raisons (oubli de sauvegarde, mais aussi en cas de catastrophe naturelle, incendie, etc.).

c) Détournement de compte/de service

En raison de mots de passe pas assez complexes , réutilisation fréquemment répétée des mots de passe, hameçonnage, fraude et exploitation des vulnérabilités des logiciels.

D'où l' espionnage possible des activités et opérations, de l'utilisation en question, la manipulation de ses données, le renvoi d'informations falsifiées.

d) Interfaces et APIs non fiables

Utiliser de faibles API . La sécurité et la disponibilité des services en nuage dépendent de la sécurité de ces interfaces.

Sinon, il y a un risque d'exposition à l'altération de données, de divulgation d'information, de contournement de la politique de sécurité .

e) Déni de service

Il existe des vulnérabilités des serveurs web , des bases de données, ou des ressources en nuage. Inonder un service en nuage de requêtes permet d'empêcher des utilisateurs légitimes d'accéder à leurs données ou aux applications.

Le client se trouve alors contraint de couper lui-même l'accès à son service pour éviter de se ruiner, puisque la facturation est à l'usage et donc fonction du nombre de requêtes.

f) « Traîtres » malveillants

Le manque de transparence sur les procédés et procédures des fournisseurs de nuage ainsi que sur leurs normes de recrutement peut avoir des conséquences néfastes.

Accès aux données confidentielles et contrôle des services en nuage par un adversaire - pirate amateur, agent du crime organisé ou espionnage industriel.

g) Abus et utilisation malveillante du nuage

Le modèle d'enregistrement souple aux services proposé par certains fournisseurs de nuage IaaS manque de contrôle.

D'où de possibles cassages de mot de passe et de clés , des dénis de service, de l'hébergement de données malveillantes, de contrôle des réseaux de « zombies ».

h) Manque de prévoyance

Adopter le modèle du nuage suppose d'avoir analysé auparavant les risques et les conséquences.

Mais il n'y a pas assez de formations dispensées aux employés sur l'utilisation du nuage . D'où une vulnérabilité à tous types d'attaques .

i) Problèmes liés à la mutualisation

Ces problèmes peuvent provenir de cloisonnements faibles entre les différentes machines virtuelles - et donc entre les différents clients -, et d'un hyperviseur faible.

Dans le cadre du nuage mutualisé, possibilité d'incidence sur les opérations des autres « colocataires » , accès à des données leur appartenant, à leur trafic réseau.

En conclusion, les échanges ne peuvent être fiables et sécurisés - ramenant le risque à un niveau d'attaque minimal -, qu'à condition d'utiliser en permanence des technologies adéquates .

À ce jour, la technologie la plus répandue et la plus efficace pour sécuriser ces échanges et permettre les accès distants est le VPN (réseau privé virtuel ).

5. Les vulnérabilités des protocoles d'authentification

L'analyse de l'exposition s'effectue habituellement à partir de l'impact rapporté aux propriétés de sécurité.

Il existe une multitude de protocoles d'authentification. Pour choisir entre eux, le compromis entre la facilité de leur déploiement, leur rapidité face à leur robustesse en constitue le principal élément.

Une comparaison entre quelques types de protocoles est esquissée ci-après.

a) Vulnérabilité du One Time Password (OTP)

Comme déjà indiqué, la technique de l' OTP consiste à n'utiliser un mot de passe qu'une seule fois, un autre mot de passe étant fourni à chaque session . Après le premier déploiement de la phase préalable de réglage, une carte matricielle détenue par le client permet de calculer le code au moment de l'ouverture de session ( login ).

En résumé, il y a l'utilisation d'un secret partagé, l'utilisation d'une carte matricielle (cryptographie symétrique), la non-répudiation n'est pas garantie à 100 % et le coût limité .

b) Certificat numérique

Il utilise la cryptographie asymétrique, sa non-répudiation est garantie et son coût très élevé .

c) Biométrie

Grâce à la reconnaissance d'une caractéristique ou d'un comportement unique, la non-répudiation est garantie et le coût très élevé .

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page