Analyse de risques cybersécurité : l’audit de sécurité

Quelques mots sur le contexte cyber

Des enjeux de taille

Lors d’un incident de sécurité, les impacts financiers et métiers peuvent être considérables, au point, parfois, de forcer l’entreprise à mettre la clé sous la porte. Parmi les principaux impacts, on peut énumérer les suivants :

Le vol de données

Personnelles : Que l’attaque concerne un simple forum, un site d’e-commerce ou le système d’information complet de l’entreprise, les hackers sont bien souvent en mesure de récupérer des données personnelles des clients, des employés, des candidats, etc.

La fuite de données doit être déclarée par l’entreprise victime, qui peut se voir infliger une amende par la CNIL allant jusqu’à 4% de son chiffre d’affaires mondial. Exemple : Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE

Métier : Dans le cadre d’espionnage industriel ou pour revendre les données volées au marché noir, ce type de fuite de donnée peut faire perdre un avantage concurrentiel important.

Les données volées peuvent également contenir des informations compromettantes pour l’entreprise (plan de licenciement, acquisition future, données financières confidentielles) dont la divulgation pourrait avoir des conséquences graves.

L’atteinte à la réputation de l'entreprise

En France, une fuite de données personnelles doit obligatoirement être déclarée. On imagine facilement que les utilisateurs d’une plateforme puissent décider de boycotter cette dernière si elle a démontré qu’elle n’était pas capable de protéger leurs données personnelles.

C’est d’autant plus le cas lorsqu’il s’agit d’une entreprise réputée pour traiter des données particulièrement confidentielles (banque, gestionnaire de mot de passe, hébergeur,...). Exemple : Hackers hit authentication firm Okta, customers 'may have been impacted’

Toujours sur le plan de l’atteinte à l’image de marque, le site peut également être défacé (son contenu est remplacé par l’attaquant) pour promouvoir une idéologie en désaccord avec les valeurs de l’entreprise (terrorisme, propagande...)

L’indisponibilité, causée par une attaque par déni de service (DOS) ou un ransomware peut entraîner des manques à gagner élevés, au-delà même parfois de la rançon demandée par les pirates, notamment dans le cas d’une plateforme d’e-commerce.

Comprendre les motivations des attaquants

Sur le terrain, nous avons pu observer que les attaquants utilisent 2 types d'approche :

• Une approche opportuniste : L'attaquant recherche avant tout une cible facile. Beaucoup d'entreprises ont, à tort, le raisonnement "Je suis trop petit, de toute façon je n'intéresse pas les pirates". En réalité, les attaquants ciblent rarement une entreprise en particulier. Ils utilisent des outils qui scannent le web à la recherche de services vulnérables exposés comme shodan. Moins il y a d'efforts à fournir, plus la cible est intéressante. Une fois à l’intérieur du système d’information, les pirates feront leur possible pour élever leurs privilèges et obtenir l’accès à l’ensemble des services et des données disponibles.
• Une approche ciblée : Cette approche est beaucoup moins utilisée car moins "rentable" à court terme. Les attaquants qui emploient cette approche ont bien souvent des motivations personnelles (ancien employé mécontent, concurrent,...) et ne cherchent pas tant le profit qu'à nuire à l'entité visée.

On comprend alors qu’il n’y a pas “un” profil type d’attaquant. Les entreprises sont confrontées à une population hétérogène d’attaques, menées parfois par de véritables organisations cybercriminelles, par un simple adolescent en quête de reconnaissance ou par un concurrent peu scrupuleux. Au même titre, les motivations de ces personnes sont donc multiples. En résumé nous pouvons hiérarchiser les motivations suivantes :

1. La facilité de la compromission
2. Les gains financiers résultant de l’attaque
3. Des motifs personnels

Identification des facteurs de compromissions

Des inégalités fondamentales avec les pirates

Dans le monde de la cybersécurité, il est courant d’opposer d’un côté les défenseurs (aussi parfois appelés Blue Team), et les attaquants (Red Team).

Le travail de la blue team est rendu bien plus difficile que celui de la red team en raison d’une inégalité bien connue dans l’informatique :

Le niveau de sécurité d’un système d’information est donné par celui de son maillon le plus faible.

Cela signifie que la sécurisation d’une infrastructure ne doit rien omettre, car il suffit d’un seul élément vulnérable pour permettre aux attaquants de s’engouffrer dans la brèche et ainsi prendre le contrôle de l’ensemble du système d’information.

Dans la pratique il existe des façons de mitiger ces impacts et d’éviter de se retrouver dans ce genre de situations, notamment via le principe de défense en profondeur.

Une méconnaissance générale de la cybersécurité

Si le concept de piratage est presque aussi vieux que l’informatique elle-même, le domaine de la cybersécurité a connu un véritable engouement ces dernières années. Cela est dû notamment à la médiatisation de nombreux incidents de sécurité et à l’augmentation constante de ces derniers au cours du temps.

Ces incidents ne sont pas le fruit du hasard, ils s’expliquent au travers des 3 constats suivants faits lors d’audits de sécurité :

• L’absence de budget dédié à la sécurité, ou des budgets trop faibles, ce qui aboutit bien souvent à des équipes sécurité dépassées et empêche ou retarde les chantiers de sécurité pourtant nécessaires.
• Le manque de compétences :
  • Les équipes métier ne sont, en règle générale, pas ou peu formées aux bonnes pratiques de sécurité. Leurs compétences et préoccupation sont avant tout tournées vers les objectifs métiers (disponibilité, efficacité, vitesse de delivery) ce qui se traduit par la publication d’applications vulnérables.
  • Au niveau de la DSI, le constat est semblable, en particulier chez les TPE/PME où il n’existe bien souvent pas d’équipe dédiée à la sécurité. Du point de vue de la gouvernance, ces entreprises peinent à se placer dans une démarche de sécurisation de leur système d’information et se retrouvent démunies lorsqu’elles sont confrontées à un incident de sécurité.
• Le manque de visibilité sur son système d’information est en réalité l’un des facteurs les plus importants menant à brèche de sécurité. En effet, au cours d’audits de sécurité, on se rend bien souvent compte que de nombreux éléments du SI ne sont pas maîtrisés. Exemple : des défauts de mise à jour, un manque de connaissance des ressources exposées sur internet, des mots de passes triviaux permis par une politique de mots de passe insuffisamment forte…

Apprendre à maîtriser le risque grâce à l’audit de sécurité

Lorsque l’on analyse l’ensemble des dysfonctionnements et causes évoqués précédemment, on peut identifier une cause initiale, directement à l’origine de l’explosion du nombre d’incident de sécurité aujourd’hui : le manque de visibilité et de connaissances dans ce domaine.

En effet, pour rappeler en quelques mots ce qui a été dit dans les parties précédentes, nous avons fait le constat que les entreprises ne connaissent souvent pas :

• Leur surface d’exposition
• Le niveau de sécurité de leur système d’information
• Le risque qu’elles encourent à rester dans cette situation

Ce manque de visibilité induit un manque de moyens dédiés à la sécurité, ce qui induit a son tour :

• Un manque de compétence sécurité au sein de leurs équipes
• Un manque de sécurisation des infrastructures IT

Ce qui, dans le même temps contribue à maintenir une visibilité et une connaissance cyber faible chez les entreprises. La boucle est bouclée.

Il existe deux façons principales de briser ce cercle vicieux :

• Lorsqu’un incident de sécurité se produit, ce qui amorce systématiquement une prise de conscience et la mise en place d’une hygiène de sécurité.
• Via la réalisation d’un audit de sécurité, volontaire ou imposé par un client, un investisseur ou un tiers ayant été sensibilisé au risque cyber.

Qu’est-ce qu’un audit de sécurité ?

Un audit de sécurité consiste à faire vérifier par des experts le niveau de sécurité de tout, ou partie d’un système d’information.

Un audit de sécurité peut être conduit via 3 approches différentes :

• En boîte noire : L'attaquant n'a aucune connaissance privilégiée de l'élément audité.
• En boîte blanche : L'attaquant a toute connaissance de l'élément audité (accès système, schéma d'architecture, accès au code source)
• En boîte grise : Cette approche est un entre-deux et consiste à simuler une situation dans laquelle l'attaquant a un certain niveau d'information et de privilèges sur la plateforme (compte applicatif par exemple) et peut ainsi tester plus de fonctionnalités sur la plateforme.

Un audit de sécurité peut avoir plusieurs formes et cibler des éléments très hétérogènes. Voici quelques-uns des audits qui sont les plus courants :

• Le test d’intrusion, aussi appelé Pentest (de la contraction Penetration Testing). Il consiste à simuler une attaque en conditions réelles sur un système et est en général conduit en boîte noire ou grise. On y retrouve ainsi :
  • Le test d’intrusion Web, dans lequel l’objectif est de compromettre le site web, les données qu’il contient et de prendre le contrôle du serveur.
  • Le test d’intrusion sur Application Mobile, avec les mêmes objectifs sur le backend mais avec en plus toute une dimension sur la protection des données utilisateurs de l’application en cas de vol du smartphone ou d’applications malveillantes installées sur l’appareil.
  • Le test d’intrusion interne, qui consiste à simuler les conséquences d’une intrusion dans le réseau interne de l’entreprise (via la compromission du poste d’un collaborateur par exemple).
• L’audit de code source, se réalise par définition en boîte blanche et consiste à analyser la sécurité d’une application exclusivement en cherchant des vulnérabilités dans son code source
• L’audit de configuration permet de lister les non-conformités d’un système (OS, BDD, middleware, ...) à un standard de sécurité.
• L’audit d’architecture : afin de valider la pertinence et la conformité des schémas réseaux et des équipements de sécurité avec les exigences du contexte et l’état de l’art
• L’audit d’organisation : permet de valider les politiques et procédures liées à la cybersécurité (gestion des droits et des accès, administration du SI, mises à jour, etc.)

Après un audit de sécurité, un rapport de vulnérabilités est remis au client avec une liste d’actions à réaliser pour corriger ces vulnérabilités. Certaines entreprises comme Padok proposent également de prendre en charge l’implémentation des correctifs à l’issue de l’audit.

Il faut garder à l’esprit qu’un audit représente une photo, prise à un instant donné du périmètre audité. Ainsi, afin de tirer le maximum de profit d’un audit, il est primordial d’enclencher les chantiers de sécurisation sans tarder et de tirer le plus de leçons possibles de l’audit lors des opérations futures ayant lieu sur le Système d’information.

Se placer dans une démarche d’amélioration continue

Des dizaines de vulnérabilités sont découvertes et enregistrées chaque jour. À titre d’exemple, en 2021, 20 171 vulnérabilités ont été enregistrées dans la base de CVE (Common Vulnerabilities and Exposures) et ce chiffre augmentera de 30% en 2022. Le monde de la sécurité informatique évolue rapidement et nous l’avons évoqué dans la première partie de cet article, la cybersécurité est un métier à part entière. A ce titre, il est primordial pour les entreprises, même de petite taille, de se mettre dans une démarche de sécurisation de leur système d’information et de s’entourer de professionnels de la cybersécurité.

Du point de vue macroscopique, cette démarche consiste à :

1. Réaliser une analyse de risque afin de mieux appréhender les probabilités, vecteurs et impacts d’une attaque.
2. Faire réaliser les audits permettant d’évaluer le niveau de sécurité de l’existant.
3. Mettre en place les chantiers de sécurisation qui viendront mitiger ces risques.
4. Réitérer à partir de l’étape 2 afin de valider l’implémentation des correctifs et les évolutions du système d’information lorsqu’elles se produisent (déploiement d’une nouvelle application, changement des zones réseau, ...) et continuer ce cycle vertueux.

L’hygiène de sécurité consiste pour une entreprise à intégrer ces démarches d’audit et de sécurisation régulières au sein de ses processus. Avoir une bonne hygiène de sécurité permet de maîtriser au mieux les risques liés à la sécurité informatique.

Et Padok dans tout ça ?

Depuis sa création, Padok a su s’imposer comme une référence pour toutes les problématiques liées au cloud (migration vers le cloud, optimisation des coûts, infogérance, ...). Nos méthodes de travail nous amènent chaque jour à travailler directement avec nos clients, ce qui nous a permis de prendre conscience de la valeur ajoutée que nous pouvions apporter sur les thématiques de cybersécurité.

C’est de ce besoin identifié qu’est né Padok Security, avec une ambition double :

1. Intégrer directement une composante sécurité dans l’ensemble des projets de Padok
2. Démocratiser la cybersécurité en prenant en charge de A à Z la sécurité de nos clients de la phase d’audit à l’implémentation des correctifs.

Padok Security propose un accompagnement complet dans la démarche de sécurisation de ses clients, sur tout ou partie de leur système d’information.

Conclusion

Alors qu’il n’y a jamais eu autant de cyberattaques signalées dans le monde, les entreprises peinent encore à combler leur retard en matière de défense et de sécurisation de leur infrastructure.

Ces lacunes s’expliquent par un manque global de visibilité sur leur système d’information et de connaissances dans le domaine de la sécurité informatique, qui implique mécaniquement une mauvaise appréciation des risques et un manque de chantiers de sécurisations pourtant nécessaires.

Obtenir de la visibilité sur son niveau de sécurité passe inévitablement par la réalisation d’audits de sécurité qui permettront d’identifier les vulnérabilités et les chantiers prioritaires, de qualifier le risque et donc d’assurer la pérennité de son entreprise.

N’attendez plus, identifiez les faiblesses de votre système d’information, de votre site web, de votre application mobile ou de n’importe lequel de vos assets métier parmi les plus critiques. Réalisez un audit de sécurité et mettez en place une véritable hygiène de sécurité afin de maîtriser le risque cyber !