NSA : pas de sécurité des systèmes d’information sans hygiène de base

Le temps passe et continue de donner raison à Patrick Pailloux, l’ancien directeur général de l’Agence nationale pour la sécurité des systèmes d’information. En 2011, lors des Assises de la Sécurité, il appelait à un « retour aux fondamentaux », aux bonnes pratiques, à une « hygiène élémentaire » de la sécurité informatique. Deux ans plus tard, la réalité du terrain pouvait lui donner des airs de prêcheur dans le désert. Mais les voix ne manquent toutefois pas pour lui donner raison, même à posteriori.

Déjà en septembre 2016, Curtis Dukes, responsable adjoint aux systèmes de sécurité de la NSA, le soulignait : « au cours des 24 derniers mois, aucune vulnérabilité inédite [zero-day] n’a été utilisées » dans le cadre des intrusions les plus retentissantes. Pour lui, le problème de fond rencontré par l’agence dans ses interventions « était une mauvaise hygiène cyber », en particulier en ce qui concerne l’administration des systèmes et la gestion des correctifs.

Intervenant à l’occasion de RSA Conference, qui se déroulait cette semaine à San Francisco, David Hogue, directeur du centre de sécurité opérationnel (SOC) de la NSA, n’a pas dit autre chose. Pour lui, « 93 % des incidents de sécurité de 2017 auraient pu être prévenus par des bonnes pratiques ». Et de réitérer le message de Curtis Dukes.

L’application rigoureuse des correctifs, pour difficile qu’elle soit à mettre en œuvre en pratique, apparaît donc essentielle. Et cela d’autant plus pour un acteur tel que la NSA. Car il faut généralement à ses équipes moins de 24h pour observer les premières tentatives d’exploitation de vulnérabilités nouvellement dévoilées sur ses systèmes.

Mais cela ne s’arrête pas là. David Hogue souligne également le rôle clé des utilisateurs, indiquant que 90 % des incidents sur lesquels la NSA a pu être amenée à intervenir l’an passé sont imputables à l’erreur humaine.

Alors, le directeur du SOC de l’agence américaine du renseignement renvoie aux cinq principes de base sur lesquels reposent son approche. Le premier consiste à « établir un périmètre défendable ». Dans le cas du système d’information non classifié de la défense américaine, cela se traduit par un effort de consolidation de l’infrastructure réseau, avec un nombre limité d’interconnexions vers l’extérieur, et « une couverture centralisée de plus de 99 % du trafic réseau ». Partant de là, il devient plus aisé de mettre en œuvre le second principe : superviser le trafic réseau en continu. Là, « l’efficacité du processus doit être mesurée en minute, et non en heures » pour l’identification et l’isolation du point de terminaison à l’origine d’une alerte.

Le troisième pilier de l’approche renvoie aux pratiques de référence, tandis que le quatrième touche à l’utilisation du renseignement sur les menaces et de l’apprentissage automatique pour aider les analystes à obtenir plus rapidement des résultats exploitables.

Enfin, le cinquième volet vise à développer une « culture de la curiosité », encourageant les analystes à regarder au-delà du simple incident et de son temps de résolution apparent, ainsi qu’à réfléchir à ce que les attaquants pourraient tenter face à de nombreux contrôles de sécurité. Car pour la NSA, un SOC « devrait toujours aspirer à des actions défensives anticipées et à inspirer une mentalité innovante à ses équipes ».