La sécurité informatique

La sécurité informatique est un ensemble de techniques et de processus qui permettent d'assurer la confidentialité, l'intégrité et la disponibilité des ressources informatiques et de garantir leur usage exclusif par les personnels autorisés.

Elle englobe la protection des équipements (ordinateurs, téléphones, clés usb, disques durs externes) et des infrastructures (site internet,base de données, serveur, réseaux) utilisés par l'entreprise, la mise en oeuvre des bonnes pratiques d'utilisations (ne pas utiliser l'ordinateur de l'entreprise à des fins personnelles) et une sensibilisation des opérateurs sur l'importance de leur rôle dans cette chaîne. 

L'enjeu avec les chiffres clés de 2019 :

Le total des pertes déclarées liées à des cyberattaques est passé de 1,1 milliard d’euros à près de 1,6 milliard d’euros.
Les pertes unitaires les plus importantes s’élèvent à 79,9 millions d’euros.

Identifier les dommages possibles et définir les niveaux de risques :

De nombreuses entreprises ignorent les dommages potentiels des cyber attaques.

On définit 3 types de dommages possibles.

Les dommages directs : espionnage industriel, perte de marché, perte de données sensibles, immobilisation du parc informatique, chantage, etc.

Les dommages indirects : perte de confiance des clients, mise à mal de la comptabilité pouvant mettre l'entreprise dans l'impossibilité de répondre à ses obligations légales, utilisation d'un réseau privé pour héberger un site pirate rendant coupable le propriétaire de l'adresse IP, etc.

Et enfin les dommages écologiques/sanitaires : ouverture du système de purge d'un château d'eau, défaillance d'un système de refroidissement d'une centrale nucléaire, ouverture des systèmes de purge d'un pétrolier chargé, fermeture des soupapes d'un système industriel provoquant une explosion,etc.

Ces listes ne sont pas exhaustives et les criminels ne manquent pas d'imagination.

Quelques exemples concrets de besoin :

Chaque entreprise est exposée à des risques différents dépendant du métier et de sont infrastructure.

Le cloud :

Une entreprise qui utilise activement les systèmes de clouds doit garantir que ses données sensibles sont bien stockées de manière cryptée sur les serveurs distants. Elle doit également s'assurer que les postes des opérateurs ne sont pas compromis en amont. Que le réseau wifi de la structure n'est pas accessible à des personnes non autorisées et que seuls les équipements autorisés peuvent y accéder. Elle doit également avoir la certitude qu'en cas d'accès d'un terminal non autorisé (ex. le téléphone d'un collaborateur) au réseau de l'entreprise une alerte est remontée immédiatement à son responsable sécurité.

 

Les terminaux nomades :

Les structures qui gèrent la distribution d'eau potable, doit quant à elle garantir que les équipements mobiles utilisés pendant les plages d'astreintes par ses opérateurs sont correctement sécurisés de manière à ne pas être utilisable en cas de perte de ceux-ci. Ils doivent également s'assurer que les transmissions qui transitent entre le terminal de contrôle et l'infrastructure (château d'eau, station d'épuration) est sécurisée de manière efficiente (ex : si wifi WPA2 sur un réseau fiable, si donné mobiles 4G ou 5G spécifiquement...). Elle doit également avoir la certitude que chaque requête effectuant un ordre sur l'infrastructure est forgée de manière unique de façon à ne pas pouvoir être captée et rejouée.

 

Les industries :

Les industries qui disposent de moyens électromécaniques (vanne de purge pilotée, chaine de production, automate,etc.) utilisent souvent des systèmes d'exploitation obsolètes. Ils doivent donc s'assurer que ces postes ne soient pas accessibles physiquement à n'importe qui. Qu'ils soient toujours hors du réseau de l'entreprise et surtout jamais connecté à internet.

 

 Notre manière d'opérer est simple :

  1. Nous évaluons les risques liés à votre activité et à votre infrastructure.
  2. Nous définissons le niveau de criticité des différents points névralgiques.
  3. Avec votre accord, nous effectuons une itération d'attaque ou nous répondons à trois schémas :
    • Nous ne disposons pas d'informations (attaque externe, concurrent,etc.)
    • Nous disposons d'un nombre limité d'informations (simulation d'une fuite d'informations).
    • Nous possédons toutes les informations sur l'infrastructures, les personnels, etc. (cas d'une attaque interne).
  4. Suite aux résultats de ces différents tests, nous recherchons et proposons des parades à ces failles.
  5. Nous effectuons une nouvelle itération d'attaque pour contrôler la fiabilité et l'efficacité dans la mise en oeuvre des moyens de sécurisation.

 

Nos méthodologies d'attaques répondent aux standards : OWASP, Offensive Security, OSSTMM, ISC², ISACA, GIAC :

Injection SQL
Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Sheel Injection
Broken Authentification / Session Management
Using Components with Known Vulnerabilities
Insecure Direct Object References
Security Misconfiguration
Sensitive Data Exposure
Missing Function Level Access Control
Unvalidated Redirects and Forwards
Waterhole
Phishing

En conclusion, il convient de garder à l'esprit que le risque zéro n'existe pas. Que les sécurités sont valables à un instant T et que l'évolution technologique permet de rendre obsolète des moyens considérés comme fiables jusqu'a lors.