Un Audit de Sécurité, ça sert à quoi ?!
ou "Comment simplement améliorer la sécurité en entreprise"
L’augmentation du nombre de cyberattaques et leur médiatisation nous font prendre conscience du manque de sécurité de nos systèmes, des risques informatiques et de la nécessité de s’en protéger. Alors on se lance et on empile les couches de protection : un antivirus par ici, un firewall par-là, et ici la dernière solution recommandée par mon collègue…. L’esprit léger, sûr de notre système de sécurité, on retourne à nos occupations.
Mais mal sélectionnées, mal configurées, pas mises à jour, inadaptées aux besoins et aux usages de l’entreprise, ces solutions ne peuvent pas jouer leur rôle de barrières de sécurité et sont inefficaces.
Améliorer la sécurité en entreprise : une seule solution
L’audit de sécurité, ou pentest, est la seule solution qui permet d’acquérir une vision claire et de faire une mise au point sur la réalité, sur l’efficacité de son système de protection. Mais derrière le mot « audit » se cachent en réalité une grande variété de tests et tout un panel d’outils, qui évoluent en parallèle de la progression des cyberattaques et des innovations des pirates.
Les différents types de cyberattaques
Revenons tout d’abord sur quelques définitions. D’après Wikipédia, « un audit est une expertise professionnelle effectuée par un agent compétent et impartial aboutissant à un jugement par rapport à une norme sur les états, le contrôle, l’organisation, la procédure, ou une opération quelconque d’une entité ». Cette définition met en avant le fait que l’audit doit être réalisé par un expert qualifié et impartial, qui émet un jugement par rapport à des bonnes pratiques établies au travers d’une norme réglementée ou d’un standard (PCI-DSS, OWASP, 2700X, OSSTMM).
Une cyberattaque, quant à elle, « … est une action volontaire, offensive ou malveillante, menée au travers du cyberespace et destinée à provoquer un dommage aux informations et aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support. » C’est ici la capacité de nuisance qui est mise en avant : le but d’une cyberattaque est de porter préjudice à votre entreprise, à vos traitements, à vos informations et à vos systèmes .
Bilan sur les cyberattaques aujourd’hui
Peut-être avez-vous déjà vu cette image de ransomware « ooops, your files have been encrypted ! » ? Un ransomware est un logiciel malveillant qui chiffre tous vos documents : vos bases de données, vos fichiers excel ou word, vos photos, etc., le contenu entier de votre ordinateur est rendu inaccessible sans la clé de déchiffrement correspondante. Cette image correspond au désormais très célèbre (Locky ou autre)
ransomware Wannacry, dont on a énormément parlé car il s’est répandu à une vitesse fulgurante : en un weekend, sa virulence a bien failli compromettre le bon fonctionnement d’internet. Il a heureusement été stoppé grâce à un chercheur en sécurité qui a trouvé le moyen, un peu par hasard, de l’empêcher de se propager. Mais même en si peu de temps, les dégâts ont été considérables : entreprises paralysées, chaines de production stoppées. Et les rançons une fois payées n’ont même pas forcément permis de récupérer les données chiffrées.
Les cyberattaques dans la presse
Des exemples de cyberattaques et de leurs conséquences sont de plus en plus relayés dans la presse. Ces articles mettent en avant aussi bien les problématiques des entreprises, que les conséquences de ce manque de sécurité : manque de temps pour appliquer les correctifs de logiciels ce qui rend les entreprises vulnérables, augmentation du nombre de cyberattaques sur les transactions (cible de choix pour les pirates qui monétisent directement le fruit de leurs actions). La presse essaie parfois même d’alerter sur des sujets sensibles comme la santé : par exemple, aujourd’hui même les simulateurs cardiaques peuvent être connectés à internet ; ils nécessitent donc des mises à jour de sécurité, et à défaut, sont susceptibles d’être piratés. On peut imaginer un scénario catastrophe dans lequel un pirate prend le contrôle de ces pacemakers ce qui lui donne la possibilité de tuer à distance, soit en accélérant le rythme cardiaque, soit en arrêtant le fonctionnement du système.
Sans en arriver à ces extrémités, les conséquences d’un piratage sur une entreprise peuvent être réellement préjudiciables :
– victime d’un ransomware, la société Clermont Pièces n’a pu récupérer ses données (gestion des stocks, base de données, sites clients, CRM, etc.). Après une période d’essai de remise en production infructueuse, la société a dû fermer ses portes en septembre 2017.
– une société dont le serveur de mails a été blacklisté a perdu la possibilité d’envoyer des mails : le pirate a utilisé ce serveur pour envoyer des spams sur tout internet, le serveur a donc été rapidement blacklisté grâce aux outils de détection automatiques, mais en conséquence tous les mails de l’entreprise ont été détectés comme spam et écartés des boites de réception. Comment imaginer pouvoir continuer son activité professionnelle sans communiquer par mail ? Résultat : plusieurs semaines de production perdues, et plusieurs mois pour régulariser les informations administratives (commandes, factures, etc.), perte de crédibilité auprès des fournisseurs comme des clients.
– les cas de « cryptomining » sont de plus en plus fréquents également : les pirates utilisent les ressources de vos machines (CPUs, ressources réseau, etc.) pour générer de la crypto-monnaie car cette activité demande beaucoup de forces de calcul. Ils génèrent donc de l’argent à vos dépens, en ralentissant vos machines et en réduisant l’accès à vos propres ressources.
– la perte de réputation est également difficile à rattraper : un pirate a besoin d’une vitrine pour exposer ses idées, il utilise alors votre site web pour y placer des slogans politiques, malveillants ou terroristes, jusqu’au jour où vos clients vous demandent pourquoi vous créditez de tels propos…
Les conséquences des cyberattaques peuvent être diverses en fonction du fonctionnement de votre entreprise, mais dans tous les cas, les pertes financières sont lourdes et le temps de réorganisation paralyse votre entreprise plusieurs mois.
« Les cyberattaques, ça n’arrive qu’aux autres, je suis protégé... »
Les cas de cyberattaques sont donc de plus en plus fréquents. Et pourtant, en tant qu’experts en cybersécurité, nous entendons tous les jours des responsables d’entreprise nous expliquer qu’ils ne sont pas concernés par les cyberattaques : « je n’ai rien qui intéresse les pirates », « je ne suis pas un gouvernement, ni une société cotée en bourse », « mon informatique fonctionne très bien », « et de toute façon je suis protégé, j’ai acheté un firewall et un antivirus ! ». Et pourtant, rien qu’en 2016, plus d’une entreprise sur deux a été victime d’une cyberattaque. Ces fausses idées réduisent votre vigilance et accroissent les risques de subir une attaque. Même si vous pensez ne pas intéresser les pirates, les pirates s’intéressent à vous.
Connaitre son environnement pour mieux se protéger
Sun Tzu, auteur de « L’art de la guerre » (livre de stratégie chinoise de l’an 1000 env.), est souvent cité lorsqu’on aborde le sujet de la cyberdéfense car ses propos s’adaptent parfaitement aux conflits numériques de notre monde actuel et plus particulièrement à la sécurité informatique.
« Si tu ne te connais pas et que tu ne connais pas ton ennemi : sur 100 combats, tu auras 100 défaites.
Si tu te connais mais ne connais pas ton ennemi : sur 100 combats tu auras 50 victoires et autant de défaites.
Si tu te connais et que tu connais ton ennemi : sur 100 combats, tu connaitras 100 victoires. »
Cette citation pose en fait deux questions importantes concernant la sécurité de votre entreprise : connaissez-vous bien votre infrastructure complète, ses défenses, ses mises à jour, ses points d’entrée ? et connaissez-vous bien la menace qui concerne votre entreprise (de qui voulez-vous vous défendre, de quel type de danger) ?
Déterminer la valeur des biens
Le premier concept de défense en profondeur est le château fort. Pour augmenter le niveau de protection du château, étaient construites non pas juste une muraille mais plusieurs couches de protection : porte d’entrée fortifiée, pont-levis, douves, enceintes, courtines, haute et basse-cour, etc., et un donjon dont la porte n’était généralement pas au niveau du sol mais accessible seulement via le premier étage du palais. L’idée de ce système de défense était de mettre les biens les plus précieux tout en haut du donjon afin de garantir au mieux leur sécurité. Pièces d’or, réserve de grains, princesse… ? Le chatelain ne pouvant pas tout mettre en haut du donjon, il fallait faire un choix, il devait donc réfléchir à ses priorités et sélectionner ce qui avait le plus de valeur pour lui.
En faisant le parallèle avec votre infrastructure, il vous faut tout d’abord savoir ce qui a de la valeur pour vous, pour votre entreprise. Quels sont les composantes cruciales pour son bon fonctionnement ? Votre site vitrine ? Votre base de données clients ? Votre capacité à communiquer (mail, etc.) ? En posant le niveau d’importance de chacun de ses points, vous pouvez y associer un niveau de protection.
Dans cette démarche, il faut également reconnaitre ce qui a de la valeur pour vous, et ce qui en a pour un attaquant.
Prenons par exemple ces deux voitures. De prime abord, on pourrait penser que la voiture de gauche a plus de valeur et nécessite donc les mesures de protection les plus élevées. Pourtant (fait réel relayé dans la presse), le voleur a préféré celle de droite : une bonne vieille Volvo de 2 tonnes, sans boite automatique, sans anti-patinage, sans airbag, habitacle indéformable… Pour lui, c’est cette voiture qui avait de la valeur : c’était l’outil idéal pour réaliser son projet de casse à la voiture bélier, elle lui a permis de faire voler en éclat la grille d’enceinte et le mur de la bijouterie qu’il convoitait.
Quantifier les priorités
On peut en déduire le schéma suivant : pour les données / les biens qui n’ont ni valeur pour votre entreprise ni pour le pirate, le risque d’attaque est faible. À l’opposé, ce qui a de la valeur pour vous et pour le pirate est donc exposé dans une « zone critique » et nécessite le maximum d’attention. C’est donc le premier point à protéger et à auditer car c’est celui qui statistiquement va subir le plus d’attaques. Vient ensuite la « zone à risque », c’est-à-dire celle qui a de la valeur pour le pirate et un peu moins pour vous. C‘est la deuxième zone la plus attaquée. Par exemple, votre entreprise, située en France, a une IP référencée comme étant française : bonne
réputation, bon référencement. Cela permettra à un pirate de diffuser un virus plus facilement, plus longtemps. Il envoie un mail/spam demandant aux lecteurs de télécharger une application infectée stockée sur votre site web, et votre site et votre IP étant français, il faudra donc plus de temps pour détecter que ce mail est malveillant que si le site avait été hébergé dans un pays très peu regardant sur les origines et les contenus des fichiers stockés. Une IP française a donc beaucoup de valeur pour un pirate. La troisième « zone à protéger » est celle qui contient ce qui a de la valeur pour vous. Dès que le pirate comprend l’importance de ces informations à vos yeux, cela les projette directement dans la « zone critique ». Ce qui a de la valeur pour vous a de la valeur pour lui. Une base de données clients par exemple a peu de valeur en soi, mais le pirate se doute qu’elle a de la valeur pour vous. De fait, s’il réussit à la voler ou à la chiffrer, il vous demandera une rançon.
Connaitre son ennemi : les différents types d’attaquants
Il existe différents types de profils de pirates, qui ont chacun des modes de fonctionnement propres et qui ciblent des données / des entreprises différentes.
les robots
Les plus courants sont « les robots » qui scannent automatiquement toutes les adresses IP de manière indistincte. Les firewalls permettent de bloquer la plus grosse partie de ce bruit de fond malveillant permanent.
les curieux
Viennent ensuite « les curieux ». Ils testent un script trouvé sur internet qui permettrait de pirater un siteweb, en choisissant une adresse (plus ou moins) au hasard, puis regardent ce qui se passent quand on clique sur « attaque » ! Ensuite, ils pourront se vanter de leurs exploits auprès de leurs camarades…
l'apprenti hacker
« L’apprenti hacker » quant à lui teste des outils qu’il sait offensifs. Il va passer un peu plus de temps à essayer de pirater un site sélectionné un peu au hasard, pour apprendre le fonctionnement de tous les outils qu’il a à portée de main. Jusqu’au moment où il réussit à entrer et pourra soit simplement tout casser, soit bloquer le site et demander une rançon.
l'employé malveillant
Un profil beaucoup plus fréquent qu’on ne l’imagine est « l’employé malveillant ». L’attaque est alors interne. Un employé simplement curieux, ou déçu de ne pas avoir eu une promotion, déçu de son salaire, etc., peut chercher à droite, à gauche, quelques informations, lister les dossiers du PDG, des RH, ou décider de manière plus malveillante de dégrader ou même de détruire sciemment la production de l’entreprise, par vengeance.
le pirate professionnel
Ce qui prime pour « le pirate professionnel », c’est l’appât du gain. C’est un mercenaire qui agit de manière autonome ou bien payé par un concurrent qui souhaite affaiblir votre production. C’est dans cette catégorie que nous retrouverons tous les ransomwares abordés précédemment : en arrivant dans votre entreprise un matin, tout votre SI a été chiffré et plus rien ne fonctionne, plus de CRM, plus de base clients, plus de mails, seulement un message qui vous invite à contacter une adresse mail et à payer une somme pouvant aller de quelques centaines de dollars à plusieurs millions.
l'idéaliste
Le dernier profil, un peu moins fréquent peut-être, est celui de « l’idéaliste » : il est guidé par des idées politiques, et peut passer jusqu’à plusieurs années pour détruire une entreprise dont il estime les pratiques contraires à ses idéaux.
Une fois les besoins internes déterminés, les différents risques appréhendés et les conséquences prises en compte, il ne reste plus qu’à mettre en place les défenses adéquates.
La cyberdéfense et les différents types d’audit de sécurité
Le piège du faux sentiment de sécurité
La première question à se poser lorsqu’on a mis en place des solutions de sécurité est : « mon infrastructure est-elle réellement protégée ? ». Prenons par exemple ce magnifique jardin, protégé par une porte à plusieurs serrures, des barreaux, un bon ancrage dans le sol et des fondations dignes d’un château fort. Mais le jardin est-il réellement protégé ?!
Cet exemple humoristique n’est en fait pas si éloigné de la réalité. En tant qu’experts en sécurité informatique, nous rencontrons régulièrement des entreprises qui ont mis en place d’excellents firewalls,
mais qui ne protègent absolument pas leur périmètre. Le fait d’installer un firewall n’implique en réalité pas forcément immédiatement que votre SI soit protégé.
Pour ne pas tomber dans le piège du faux sentiment de sécurité, mieux vaut donc vérifier ou faire vérifier l’efficacité de son système de protection.
La porosité entre l’interne et l’externe
On imagine en général assez bien les dangers liés à internet et les pirates à l’affut de nos moindres faiblesses, notre attention est donc portée principalement sur ce type de menaces. On n’imagine beaucoup moins le danger venir de l’interne, car il implique des personnes connues, des personnes de confiance. Le niveau de sécurité mis en place est donc généralement moins important car « il n’y a pas de risque ».
Or l’interne et l’externe communiquent énormément.
Que ce soit grâce à l’internet des objets ou IOT (caméra, imprimantes, etc.) qui échangent des données via internet, ou par le wifi dont les ondes ne s’arrêtent pas aux murs mais peuvent être captées dans la rue, si les accès sont mal protégés une personne mal intentionnée peut entrer directement sur votre réseau interne.
Les mails de phishing sont également un point d’entrée encore trop facile sur votre réseau interne : les collaborateurs reçoivent un mail suffisamment bien tourné pour les mettre en confiance et sans s’en douter ils fournissent des accès aux pirates (login de connexion + mot de passe). En général, ce sont des accès VPN, ce qui donne l’illusion que la personne est à l’intérieur du réseau alors qu’elle se trouve à l’autre bout de l’internet.
Les portables peuvent également être une source de contamination. Un utilisateur emmène sont portable à la maison, il se fait infecter par un virus qui, une fois le portable de retour sur le réseau de l’entreprise, pourra attaquer toutes les ressources internes.
L’affaiblissement de vos défenses peut également très fréquemment venir de la configuration même de votre matériel. Par exemple, un firewall qui avait été parfaitement installé et avait un niveau de protection optimal a été ouvert en grand le temps de faire un test quelconque de production, et malheureusement jamais remis dans son état initial. Il est alors très difficile de détecter cet oubli car tout semble fonctionner correctement (contrairement à un firewall trop fermé qui bloque tout le passage des informations), jusqu’au jour où un pirate, lui, s’en rend compte et prend la main sur toute votre installation.
Le matériel un peu obsolète dont on n’a plus fait les mises à jour depuis plusieurs années, un serveur oublié dans un coin, mais qui restent accessibles depuis internet, génèrent des vulnérabilités dans votre système et sont des points d’entrée extrêmement pratiques pour les pirates qui explorent le web.
La sécurisation est un processus
Il faut tout d’abord avoir conscience que la sécurité absolue n’existe pas ! Aucune société n’est capable de vous garantir de manière absolue la sécurité de votre infrastructure.
Le processus de sécurisation se déroule donc en deux temps :
Premièrement, la question à se poser est donc plutôt « que faut-il sécuriser ? », afin de monter mon niveau de sécurité d’un cran sur mes données les plus importantes, ou « quels sont les endroits à sécuriser ? » pour qu’ils ne soient pas accessibles par les pirates.
Et dans un second temps, on peut alors se demander « que faut-il contrôler afin de s’assurer de l’efficacité de son système de sécurité ? ». L’évaluation de son niveau de sécurité est aussi importante que les dispositifs mis en place eux-mêmes. Le fait d’ajouter des verrous à votre porte n’augmentera pas votre sécurité si la fenêtre est ouverte… Expertiser votre système de sécurité permet d’en faire ressortir les faiblesses et donc de les corriger. La sécurité n’est pas une fin en soi mais plutôt un processus : il faut entrer dans une démarche de sécurisation complète des systèmes et des réseaux. Le rôle de l’auditeur est de vous aider dans cette approche, car il mesure et évalue la sécurité d’un périmètre.
Cette démarche peut avoir lieu à n’importe quel moment du cycle de vie de votre système informatique : lors de la mise en production ou de la mise en place d’un nouveau système pour s’assurer que tout est sécurisé, aussi bien qu’après plusieurs années d’utilisation de ce moyen de production pour vérifier que le niveau de sécurité est resté constant et a bien suivi les mises à jour et les évolutions de sécurité. Un auditeur va également vérifier la qualité des défenses mises en place (il vérifie par exemple que le firewall est bien configuré et qu’il fait bien son travail). Il simule tous les types d’attaques telles que vous pourriez les subir, prend la place des différents types d’attaquants malveillants (scan automatique, apprenti hacker, mercenaire, etc.) et utilise toutes les tactiques et procédures afin de vérifier jusqu’où il parvient à pénétrer dans votre système.
Les différents types d’audits ou de pentests
Il existe différents types d’audit, mis en place en fonction du périmètre à évaluer :
- L’audit externe : l’auditeur essaie d’attaquer votre réseau depuis internet, comme le ferait un pirate,
- L’audit interne : l’auditeur joue le rôle d’un visiteur malveillant (accès au réseau sans autre information), ou d’un employé/stagiaire malveillant (l’auditeur a déjà un compte standard d’accès à votre réseau), et vérifie à quelles ressources il peut parvenir,
- L’audit wifi : l’auditeur vérifie que les réseaux wifi que vous utilisez sont correctement paramétrés et sécurisés,
- L’audit IOT : l’auditeur vérifie la sécurité de tous les périphériques connectés à internet (écrans, tablettes, android, imprimantes, et tous les équipements que les utilisateurs ramènent de chez eux et branchent au réseau de l’entreprise)
- Le social engineering : plutôt que d’attaquer les machines, l’auditeur va chercher à soutirer des informations de connexion directement auprès des utilisateurs, par exemple avec un mail de phishing dans lequel il se fait passer pour le service informatique / la direction / le comité d’entreprise, etc., ou directement par téléphone. Les pirates affectionnent particulièrement ce type d’attaque qui sont assez simples à mettre en place techniquement et leur permettent toujours de récupérer quelques logins et mots de passe, leur facilitant ainsi leur premier pas dans votre réseau.
- L’audit de réponse à incident : lorsqu’une attaque est survenue, l’auditeur peut l’analyser a posteriori afin de la rejouer, de comprendre comment le pirate a réussi à entrer, jusqu’où il est allé, et il peut alors détecter la faille utilisée afin de la bloquer rapidement et éviter ainsi une deuxième attaque,
- La formation : l’augmentation du niveau de sécurité de l’entreprise se fait également grâce au changement de comportement des utilisateurs. Que ça soit à la suite d’un phishing, de manière préventive ou pour des utilisateurs ciblés (développeurs, etc.), l’apprentissage des bonnes pratiques, des différentes vulnérabilités liées à notre utilisation d’internet et des différentes techniques utilisées par les pirates, permet de réagir correctement lors d’une attaque et de la bloquer efficacement.
La réalisation d’un audit de sécurité, quel que soit son type, permet donc d’améliorer la sécurité en entreprise. Mais elle apporte également de nombreux avantages à une entreprise.
Le premier est de mieux connaitre son infrastructure, ses faiblesses et ses points d’entrée qui intéressent les pirates, afin de corriger les brèches existantes.
Le deuxième bénéfice est d’obtenir un rapport complet avec les préconisations associées et ordonnées pour corriger les vulnérabilités détectées. Lorsque l’auditeur détecte une vulnérabilité, il la mesure pour noter sa criticité et son impact potentiel, puis rédige une préconisation afin de la bloquer et de réparer la faille produite.
Apprendre à tous les utilisateurs à avoir un comportement plus sain permet également de limiter les risques d’intrusions sur votre réseau.
Enfin, toutes ces connaissances, de son infrastructure et de ses ennemis, participent au fondement même de la sécurité informatique : anticiper la menace avant qu’elle ne survienne.