Attention au prisme déformant des attaques destructives !

Des solutions de continuité couteuses et complexes

Les projets se multiplient pour savoir comment éviter ces destructions et comment répondre au plus vite. Mais les moyens requis sont complexes et aujourd’hui peu réalistes. En effet, comment revenir sur des années de centralisation de l’information et d’uniformisation des technologies ? Si ce mouvement est salutaire pour la réduction des coûts et pour augmenter la qualité du service rendu, il s’avère délétère lorsqu’il s’agit d’éviter une attaque destructive. En effet, il suffit bien souvent d’un compte administrateur sur les systèmes centraux (de type Active Directory ou de télégestion du parc) pour pouvoir en « un clic » lancer un effacement de masse et prendre la main sur l’ensemble des systèmes !

Mais alors comment réagir ? En compartimentant le SI avec des technologies et des équipes d’administration différentes ? En redéveloppant en double, mais avec d’autres technologies et d’autres équipes d’administration, les applications sensibles afin qu’elles résistent à une compromission ? En distribuant des clés USB permettant de booter sur un système alternatif qui sera difficile à maintenir ? En recréant des datacenter de secours « à froid », déconnectés, que l’on relance manuellement en se basant uniquement sur des sauvegardes des données (dont il faudra aussi garantir l’innocuité…) ? Oui, tout cela est possible mais très couteux. Certains secteurs peuvent se le permettre, voir doivent le faire compte tenu de la criticité de leur SI, mais cela n’est pas vrai pour tous.

Les attaques destructives : l’arbre qui cache la forêt ?

D’autant plus que la mobilisation croissante sur les attaques destructives se fait parfois au détriment des autres types d’attaques ! Et en particulier les attaques insidieuses, celles visant à s’introduire dans le SI en profondeur et à en prendre le contrôle pour voler de l’information. Ces attaques sont très difficiles à appréhender de manière concrète dans les entreprises. Et même celles qui sont touchées directement mettent un certain temps à réagir ! Surprenant ? Pas tant que cela. Imaginons entrer dans le bureau d’un secrétaire général pour lui annoncer que son SI est attaqué, sa première réaction sera souvent « Mais je ne comprends pas ; tout marche bien ? ». Eh oui ! Car l’objectif de l’attaquant, c’est de s’assurer que le système continue de fonctionner correctement pour qu’on ne le détecte pas !

Bien définir ses priorités en analysant son attractivité

Pour éviter de tomber dans ces problèmes de priorisation, le bon réflexe consiste, en plus de l’analyse des impacts, à analyser son attractivité aux yeux des cybercriminels. Pourquoi pourriez-vous être attaqué et par quels acteurs malveillants ? Les attaques destructives dans le passé ont toujours eu lieu dans des contextes géopolitiques très particuliers (TV5 Monde avec la revendication par le Cybercaliphate, le nucléaire Iranien et Stuxnet, SaudiAramco et le pétrole au Moyen Orient, le conflit entre la Corée du Nord et la Corée du Sud et les relations difficiles avec les États-Unis pour Sony…). Alors, oui ces attaques ont des impacts majeurs et certaines organisations pourront être touchées, mais certainement pas toutes. Alors que beaucoup plus d’entreprises vont être visées tout simplement parce qu’elles manipulent des données qui ont de la valeur pour de très nombreux cybercriminels... et donc que la probabilité d’attaques insidieuses est beaucoup plus élevée !

Prendre du recul, savoir expliquer et prioriser sans tomber dans le piège médiatique du plus spectaculaire sont des actions difficiles ces temps-ci, avec des attaques qui s’enchainent rapidement, mais des actions sont nécessaires pour protéger le patrimoine informationnel de son organisation.