Les films, les séries et même
les jeux vidéo tendent à entretenir une image erronée de l’activité malicieuse
des pirates informatiques. Dans la pratique, les pirates informatiques ne sont
pas des surdoués capables d’infiltrer des serveurs en l’espace de quelques
minutes. Ils ne sont pas du genre à annoncer leurs cibles en grande pompe avant
de se lancer dans de véritables escarmouches digitales. Loin de là, la
véritable menace informatique pour les entreprises de nos jours est la discrète
et silencieuse intrusion opérée par les menaces persistantes avancées (Advanced
Persistent Threats ou encore APT).
Qu’est-ce
qu’une APT ?
Une APT n’est pas une attaque
ciblée dont le but est de détruire, de capturer ou de compromettre des données
spécifiques. Au contraire, les APT sont des démarches coordonnées en plusieurs
étapes dont l’objectif est généralement plus large. Les APT peuvent mettre en
œuvre tout le spectre des attaques informatiques, en passant par l’ingénierie
sociale aux codes malicieux autonomes, afin de parvenir à leurs fins.
Vu la nature de ces attaques
« lentes et subtiles », on comprend qu’elles soient le choix par
excellence dans le monde de l’espionnage industriel. Un type de menace que la
plupart des entreprises sont incapables de reconnaître et dont elles ne peuvent
pas se protéger efficacement.
Comment
s’en protéger ?
La première étape de la
protection, c’est l’identification de la menace. Les APT répondent à trois
critères essentiels.
Des flux de données suspects :
qu’il s’agisse de données circulant d’un ordinateur du réseau de votre
entreprise vers un autre ou de données qui sortent du réseau de votre
entreprise vers des destinations inconnues, il y a de quoi être inquiet. Étant
donné que les pirates ont besoin de communiquer au moins quelques fois avec
leurs outils infiltrés dans votre réseau, ils ont tendance à générer du trafic
réseau qui sort de l’ordinaire.
Des lots de données
dupliquées. : lorsque vous découvrez des données stockées dans des
emplacements où elles ne devraient pas se trouver, c’est sans doute que les
pirates ont désigné des emplacements de collecte où les logiciels espions vont
copier les données capturées.
Des journaux de connexion
suspects : dans la plupart des cas, les APT dupliquent les données de
connexion d’un employé de l’entreprise. C’est donc avec des autorisations
authentiques que les logiciels espions sont installés. Mais chaque fois que le
logiciel espion opère avec ces autorisations de connexion, il laisse des traces
dans les journaux des serveurs informatiques. Si vous y découvrez que des
employés se sont connectés alors qu’ils ne sont physiquement pas sur place ou
qu’ils ont tendance à se connecter de façon récurrente après les heures de
service, c’est sans doute l’œuvre d’un logiciel qui est arrivé à dupliquer
leurs données de connexion.
Le
cloud computing comme protection contre les APT
Une solution simple est de
relocaliser toutes les données sensibles dans le cloud. L’idée peut sembler
saugrenue, mais dans la pratique, c’est une solution qui fonctionne très bien
en raison de la sécurité
de niveau militaire qui est mise en place.
Tout d’abord, les fournisseurs
de cloud computing ont conscience qu’ils sont les cibles préférées des pirates informatiques.
C’est la raison pour laquelle ils mettent tout en œuvre pour concevoir des
systèmes aussi « imprenables » que possible. Certes, aucun système
n’est invulnérable à 100%, mais les garde-fous prévus permettent de réduire
considérablement les risques. Il s’agit par exemple des authentifications en
deux étapes, de l’absence de profils super-administrateurs irrévocables et bien
plus encore.
Ensuite, les entreprises de
cloud investissent des fortunes dans la sécurité. Leur personnel est formé afin
d’éviter qu’ils ne deviennent malgré eux les complices de ce type d’intrusion.
Ils ne sont pas autorisés à ouvrir les emails privés du service et parfois même,
ils ne sont pas autorisés à utiliser des équipements personnels dans l’enceinte
des locaux du fournisseur de cloud.
Enfin, la dernière pierre
apportée à l’édifice est le cryptage des données. Les serveurs cloud sont
toujours cryptés afin de protéger les informations des clients. Et bien souvent,
le client a encore la liberté de rajouter une couche de cryptage s’il le
souhaite. Ainsi, on retrouve parfois plusieurs clés de cryptage de types AES
256 bit avec de nombreuses surcouches.
Dans un tel contexte, les
chances qu’une APT réussie soit conduite sont très minces. En plus de cette
sécurité quasi-invulnérable, les clients bénéficient du travail acharné des
équipes de cyber-sécurité qui effectuent des suivis constants des réseaux et de
l’activité sur les serveurs mis à disposition.
