Par Yves Therrien, collaboration spéciale
Peu importe le type d’entreprise ou sa grosseur, peu importe le niveau de sécurité du système informatique, le problème ne consiste pas à savoir quand la compagnie sera attaquée par des pirates, mais plutôt de savoir comment détecter les tentatives d’intrusion pour empêcher le vol des données, car des tentatives d’intrusions, il y en aura.
Pire encore que le vol des données, ce sont les rançongiciels (ransomware) capables de crypter les informations en bloquant toutes les activités dans un réseau. Des entreprises de Québec ont été victimes récemment de ce type d’attaque au point de paralyser leur commerce pendant plusieurs jours. En attendant le redémarrage des systèmes du réseau, les gestionnaires espéraient que les copies de sauvegarde étaient saines.
« La première étape de la prévention, explique Michel Cusin, spécialiste en sécurité informatique, c’est de procéder à un état de la situation, que ce soit la gouvernance, le réseau, les systèmes d’exploitation, les copies de sauvegarde, le site Web ou le protocole des mises à jour. L’évaluation globale permet de savoir en quoi l’organisation est bonne, pas si pire, mauvaise ou en danger. Cela mène à un plan directeur pour découvrir les tâches prioritaires à effectuer dans les prochaines semaines, les prochains mois et dans les années à venir. »
Président de Cusin Sécurité et vice-président de l’Association de la sécurité de l’information du Québec, Michel Cusin soutient qu’aucune entreprise n’est totalement à l’abri des attaques des pirates. Par contre, des moyens de détecter les menaces existent, notamment l’analyse comportementale des attaquants.
LA CALAMITÉ DES RANÇONGICIELS
Actuellement, la grande calamité pour les entreprises ce sont les rançongiciels. Des entreprises connues l’ont vécu, comme Canac et les cliniques vétérinaires du vétérinaire vedette de la télévision Sébastien Kfoury, la Société de transports de Montréal, et même des hôpitaux et des fermes un peu partout au Canada. Les demandes de rançons se chiffrent en millions de dollars, mais les pertes de production et le temps pour remettre tout en ordre sont aussi colossaux.
« La meilleure façon de se prémunir contre ce type d’attaque est d’adopter une excellente stratégie de sauvegarde », affirme M. Cusin. « Ça ne sera pas simplement une sauvegarde dans des serveurs sur le réseau local, car les logiciels malveillants se propagent et les sauvegardes locales risquent d’être corrompues. »
« L’idéal, estime-t-il, serait d’avoir des sauvegardes dans le « cloud », dans l’infonuagique : des sauvegardes qui ne sont pas branchées en partage réseau local, mais dans un système de serveurs distants, et des réplications sur d’autres disques dans d’autres serveurs. »
De même, il faut tester l’intégrité des sauvegardes régulièrement pour être certain que tout fonctionnera en cas de besoin. Dans le cas d’un bris physique ou mécanique, avoir une sauvegarde locale permettra de reprendre le boulot rapidement, tout en ayant un service dans l’infonuagique.
PERSONNE N’EST À L’ABRI
Plusieurs entreprises manufacturières se pensent à l’abri des attaques prétextant que l’informatique prend peu de place dans leurs équipements. Cependant, avec la robotisation et les équipements connectés à un réseau pour la gestion des tâches, le danger est réellement présent.
« Il faut mettre la barre le plus haut possible pour réduire les possibilités d’attaque et empêcher les malfaiteurs d’entrer », continue M. Cusin. « Il est pratiquement impossible de rendre un système totalement étanche. Un attaquant motivé trouvera toujours un point d’entrée. Cependant, les techniques actuelles permettent de retracer ceux qui réussissent à passer par-dessus la clôture en effectuant une analyse de certains types d’activités sur des machines infectées dans le réseau. »
Selon lui, bien des intrusions dans une entreprise servent de relais ou de pont pour des attaques vers d’autres compagnies, que ce soit des clients, des fournisseurs ou des donneurs d’ordre. Il peut se passer plusieurs semaines, voire quelques mois avant que l’entreprise compromise reçoive un avis d’un tiers qui a vu ses informations vendues sur le « Dark Web ».
LA PORTE DÉROBÉE
Le pare-feu est aussi fort que la configuration qui a été faite. Les antivirus reconnaissent des signatures. Mais les pirates ont beaucoup d’astuces pour se déguiser et passer outre les blocages pour infecter un réseau.
« Dans 90 % des cas, précise M. Cusin, la porte d’entrée sera l’hameçonnage par un courriel qui semble valide, mais qui contient des fichiers aussi simples qu’un fichier Excel conventionnel ou une facture envoyée au compte fournisseur. Il y aura une macro-commande qui cachera une commande de type « backdoor » ou porte dérobée. »
Cette commande permet une connexion en sortie vers le serveur de l’attaquant qui pourra envoyer d’autres commandes malicieuses par la suite. Le pare-feu reconnaît les attaques dans les connexions entrantes, mais il n’empêche pas les sorties. Le système compromis ira chercher ses commandes à l’externe sans être ennuyé par le pare-feu et l’utilisateur ne verra rien. Le malfaiteur vient de passer sous le radar.
« La solution consiste à effectuer une analyse comportementale du trafic. Je pourrai voir un poste à l’interne qui se connecte à une machine externe toutes les 10 secondes ou chaque minute avec le même type de paquet informatique sur une période de 24 heures. Il peut même y avoir plusieurs machines avec connexion à différents moments réguliers. C’est ce qu’on appelle le « beaconing », un comportement automatisé qui peut être reconnu par un spécialiste des contre-mesures de piratage. Bien souvent, je fais la preuve du concept chez des clients en leur démontrant que je passe à droite lorsqu’il regarde à gauche. Si cela peut se gérer à l’interne dans de grosses compagnies avec leurs spécialistes en informatique, pour les petites entreprises, mieux vaut faire faire le travail en impartition par des entreprises spécialisées en sécurité. »
Cette technique de piratage, tout comme les rançongiciels, fait partie des moyens de nuire à n’importe quelle entreprise, même à l’acculer à la faillite, en volant les secrets industriels, des bases de données de recherche et développement ou les listes de clients.
Ce n’est pas parce qu’une entreprise n’a jamais eu d’attaque jusqu’à maintenant qu’elle ne sera pas attaquée. Pour Michel Cusin, la solution réside dans la cyberdéfense active pour trouver la brèche capable de perturber la vie de l’entreprise au point de la faire disparaître du monde des affaires.
