L'ANSSI

Dans le monde actuel, nous ne pouvons pas ignorer les menaces permanentes qui entourent chacune de nos installations réseau. Ainsi, le gouvernement a mis en place des structures qui donnent certains repères aux entreprises pour se prémunir des risques et menaces qui entourent les infrastructures.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) propose, sur son site internet, des informations pour aider les entreprises à mesurer les risques numériques et à s'en protéger.

Elle instruit et prépare les décisions gouvernementales relatives à la sécurité du numérique et à celles des données sensibles, mais elle participe aussi à la construction ainsi qu'au maintien des réseaux et des terminaux de l'État.

L'ANSSI accompagne le gouvernement, mais aussi les organismes d'importance vitale dans la sécurisation de leurs systèmes d'information en appliquant un corpus de 20 règles de sécurité. L'ANSSI a donc une politique d'accompagnement, de sensibilisation et de formation pour les entreprises et les citoyens.

Si une attaque est avérée, ou soupçonnée, le COSSI (Centre opérationnel de la sécurité des systèmes d'information) assure la défense des services de l'État et des opérateurs privés les plus sensibles.

L'ANSSI publie des e-books, des visas de sécurité et plusieurs autres catégories de documents pour se protéger et se préparer à toutes les attaques connues.

Le logo de l'ANSSI

Les systèmes d'information

Définition

Les systèmes d'information représentent l'ensemble des ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d'une organisation. Ce sont les données les plus importantes des organisations, ces dernières doivent donc protéger leurs systèmes d'information de la meilleure façon possible.

La perte ou l'intrusion de ces systèmes d'informations par des personnes mal intentionnées peut avoir de grandes répercussions sur l'entreprise, que ce soit au niveau financier, juridique et réglementaire, organisationnel ou encore sur sa réputation.

Heureusement, il existe de nombreuses ressources et solutions sur le site de l'ANSSI pour être préparé à toutes les éventualités.

ANSSI et rançongiciel

On peut trouver sur le site de l'ANSSI un PDF expliquant comment se protéger des rançongiciels (ransomware). Ici.

Un rançongiciel chiffre les données d'un ordinateur ou d'un système, et réclame ensuite une rançon pour déchiffrer les données. C'est le programme malveillant le plus utilisé depuis plusieurs années. Dans l'article concerné, on peut lire des exemples : le 15 novembre 2019, l'attaque a visé des ordinateurs et des serveurs d'un CHU ; le 11 octobre 2019, c'est le Groupe M6 qui a été attaqué.

L'ANSSI propose plusieurs solutions pour s'en protéger :

• Sauvegarder les données : le mieux, pour protéger ses sauvegardes d'un rançongiciel, est d'utiliser des solutions de stockage à froid comme des disques durs externes ou des bandes magnétiques. Ces sauvegardes doivent être déconnectées du système d'information.

• Maintenir à jour les systèmes et les logiciels : il peut y avoir des vulnérabilités dans des systèmes d'exploitation s'ils ne sont pas mis à jour régulièrement. C'est pour cela que les éditeurs proposent des mises à jour de sécurité qu'il faut impérativement effectuer. Il faut aussi faire attention au cycle de vie des applications et du matériel pour maintenir les mises à jour. Pour les ressources sur Internet comme les messageries, il faut systématiquement faire attention, car des failles peuvent aussi être utilisées par des attaquants.

• Utiliser et maintenir à jour les logiciels antivirus : il faut toujours avoir son logiciel antivirus à jour, pour détecter rapidement chaque nouveau virus qui pourrait être présent dans le système.

• Cloisonner le système d'information : il faut mettre en place plusieurs dispositifs de filtrage entre les différentes zones de réseau et d'administration pour empêcher les programmes malveillants de se répandre et de faire encore plus de dégâts.

• Limiter les droits des utilisateurs et les autorisations des applications : il faut vérifier que les utilisateurs ne sont pas déclarés comme administrateur de leur poste de travail, car aucune installation ou exécution de programme ne doit être faite sur ces comptes. Il faut veiller à ce que le compte administrateur ne soit pas connecté à Internet. Pour finir, il faut procéder au durcissement de la configuration des postes de travail, des serveurs et des applications.

• Maîtriser les accès internet : il faut mettre en place une passerelle internet sécurisée qui bloque les entrées non conventionnelles, car en accédant à un site internet piégé, une exécution involontaire peut être faite.

• Mise en œuvre d'un contrôle des journaux : assurer un contrôle des incidents de sécurité informatique nécessite de mettre en place une politique de journalisation sur les différentes ressources du SI. Elle comprend les serveurs d'infrastructure système, les postes d'administration et postes utilisateurs, les serveurs métiers et les équipements réseau et sécurité situés en périphérie ou au cœur du système d'information. Elle permet d'enregistrer les événements générés par les différents services hébergés, d'enregistrer les événements associés à l'authentification, à la gestion des comptes et des droits à l'accès aux ressources, aux modifications des stratégies de sécurité ainsi qu'à l'activité des processus et du système sous-jacent.

• Sensibiliser les collaborateurs : les attaques par rançongiciels sont le plus souvent effectuées par le moyen d'une pièce jointe ou d'un site web piégé, mais aussi d'une clé USB. Pour s'en protéger, la sensibilisation grâce aux ressources disponibles sur le site de l'ANSSI et cybermalveillance.gouv.fr, doit être effectuée.

• Mettre en œuvre un plan face aux cyberattaques : il faut mettre en œuvre un plan de continuité informatique pour permettre à l'organisation de continuer à fonctionner quand survient une altération du système d'information. Il faut aussi mettre en place un plan de reprise informatique permettant de remettre en service les systèmes d'information qui ont dysfonctionné, mais aussi de prévoir la restauration des systèmes et des données.

• Penser sa stratégie de communication de crise cyber : il faut élaborer une stratégie de communication de crise pour pouvoir définir un plan d'action et des messages adaptés à présenter à la direction de l'entité. Le responsable informatique devra rendre compte en temps réel de la situation et de ses possibles évolutions.

Les principales menaces

Remarque

Cette catégorie décrit les principales menaces que l'on peut rencontrer dans une organisation et comment s'en prémunir. Il faut savoir qu'aujourd'hui, les personnes qui menacent les organisations ne sont plus des personnes seules, mais des groupes de personnes organisés poursuivant un but précis.

La déstabilisation

Les hacktivistes profèrent souvent des menaces qui sont relayées sur les réseaux sociaux, dans le but de déstabiliser les entreprises visées. Ces menaces, une fois mises en œuvre, peuvent avoir plusieurs conséquences. Par exemple, une attaque DDOS (Attaque par déni de service), qui rend un site inutilisable pendant un certain moment.

La défiguration, qui permet de prendre le contrôle d'un site internet, et même l'accès aux données stockées telles que les données bancaires.

Le risque étant que ces données soient divulguées à la vue de tous si l'entreprise ne paye pas une rançon.

L'espionnage

L'espionnage est mené généralement dans un but économique et scientifique. Cet espionnage est effectué de deux façons. Cela peut-être au moyen d'une attaque par point d'eau ou « watering hole » : un site internet légitime est piégé pour infecter les ordinateurs y accédant. L'autre danger est l'attaque par hameçonnage ciblé, le « spearphishing ». Cette attaque utilise la confiance pour infecter un ordinateur, en se faisant passer pour une personne de confiance dans un e-mail (ami, collège, service public, etc.) et en proposant à la victime d'ouvrir une pièce jointe piégée, permettant ainsi d'accéder petit à petit aux serveurs et aux droits administrateur de l'entreprise.

Le sabotage

Le sabotage permet de mettre en panne le système d'information d'une organisation. Les moyens pour effectuer un sabotage sont nombreux, et les organisations ne sont souvent pas préparées à de telles situations.

La cybercriminalité

La cybercriminalité est vaste, mais deux types d'attaques sont souvent utilisés pour accéder aux données, ou les bloquer.

• Le rançongiciel, qui permet de chiffrer les données, et qui réclame une rançon pour rendre l'accès.

• L'attaque par hameçonnage ou « phishing », qui se définit par l'envoi d'un e-mail, orientant vers un site piégé. Ce site factice ressemble à un site légitime, pour que la victime rentre des informations personnelles ou professionnelles à l'intérieur.

Il existe énormément de façons de se protéger de ces attaques qui, avec un peu de vigilance, pourraient facilement être évitées.

• Mettre à jour les systèmes de sécurité,

• Une politique sécurisée pour les mots de passe et les droits d'accès,

• Séparer les usages de compte administrateur et de compte utilisateur sur le réseau,

• Une bonne analyse des systèmes d'information, comme le réseau,

• Cloisonner le système pour que les attaques ne se propagent pas,

• Interdire l'accès aux périphériques USB,

• Limiter l'accès aux systèmes d'information depuis l'extérieur, avec le télétravail,

• Une plus grande sensibilisation des utilisateurs par rapport aux risques et aux menaces.

EBIOS

L'ANSSI a une méthode de gestion des risques appelée EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). EBIOS est indispensable pour la réflexion sur la Sécurité des Systèmes d'Information (SSI).

Avant de commencer l'exemple d'utilisation de EBIOS, il faut connaître la définition du risque : c'est un scénario combinant un événement redouté et un ou plusieurs scénarios de menaces. Son niveau est estimé par sa gravité et par la possibilité qu'il se réalise.

Imaginons une situation

Un adolescent s'est introduit dans le système informatique de son collège pour modifier ses notes. Il n'a pas réussi à les modifier, alors pour se venger, il a saturé le système informatique du collège avec plusieurs milliers d'e-mails, ce qui l'a rendu inopérant pendant plusieurs jours. Cette attaque est appelée le « mail bombing », c'est une attaque DDOS (attaque par déni de service).

Complément

Si une étude EBIOS avait été appliquée avant cette situation, elle aurait permis au collège plusieurs choses :

• Identifier ces deux risques, et peut-être d'autres, qui pèsent sur son système d'information,

• Estimer leur niveau de gravité, les cartographier et agir en conséquence,

• Choisir les mesures à prendre en termes de prévention, protection et récupération.

Exemple

Voici un tableau représentant les 10 questions essentielles pour gérer les risques :

Complément

Pour réussir une étude et l'appliquer, il faut respecter 4 grands principes :

• Utiliser la méthode EBIOS comme une boîte à outils,

• Utiliser la méthode avec souplesse pour que l'organisme ait une bonne compréhension,

• Garder l'étude à jour, pour s'assurer qu'elle correspond bien au contexte actuel,

• Être en adhésion avec les acteurs du système d'information, pour une bonne élaboration des solutions de protection.

Les attaques informatiques

Des attaques informatiques sont effectuées chaque jour, il suffit de regarder les actualités à ce sujet pour s'en rendre compte.

Des dates marquantes

• Le 5 juillet 2021, une attaque par ransomware a eu lieu dans une entreprise de logiciel, ce qui a eu comme répercussion de faire fermer 800 magasins d'une chaîne de supermarché pendant plusieurs jours.

• Le 10 juin 2021, il y a eu une fuite de données du site Pôle emploi, comprenant 1,2 million de données sur les personnes inscrites sur le site. L'attaque a été effectuée par supply chain.

• Le 21 juin 2021, la ville de Liège a subi une attaque par ransomware, ils ont dû réinitialiser environ 1 800 ordinateurs.

• Le 3 juin 2021, Montréal s'est fait dérober les données privées de 2 300 personnes du CIUSSS (Centre intégré de santé et de services sociaux).

Toute personne trouvant une faille de sécurité ou une vulnérabilité peut le signaler au site de l'ANSSI, par e-mail ou par voie postale. L'ANSSI gardera votre identité et votre déclaration confidentielles.

Les failles et les vulnérabilités évoluent constamment, on ne sait jamais quand un nouveau virus, ou une nouvelle façon de récupérer des informations personnelles seront créés, c'est pour cela qu'il faut toujours faire attention à ce que l'on fait. Le site de l'ANSSI met à jour sa base de données et les façons de se protéger à chaque fois qu'une attaque est découverte.

Une carte des cyber-menaces

En allant sur le site https://threatmap.checkpoint.com/, on peut visualiser sur une carte les attaques informatiques en direct. Son fonctionnement n'est pas très compliqué, c'est en fait une carte montrant des attaques effectuées sur des millions de « honeypot » (des appareils conçus pour susciter des attaques informatiques) et des données recueillies par des capteurs. Ce n'est donc pas vraiment une carte en direct, mais une carte montrant des attaques effectuées précédemment. Grâce à cette carte, on peut voir quel type d'attaque a été utilisé et quel pays est le plus touché.

Source : ANSSI