Nous avons donc réuni trois de nos spécialistes en la matière que sont Isabelle Roux (Cheaf Legal & PSF Compliance Officer), Benoît Morin (IT Network & Security Architect) et Florian Nicolas (stagiaire Cybersecurity), et leur avons demandé de faire le point sur ce phénomène.

 

Pourquoi parle-t-on davantage de sécurité en matière informatique qu’auparavant

Tout d’abord, l’entrée en vigueur en 2016, de manière uniforme, du Règlement (UE) 2016/679 relatif à la protection des données, plus communément connu sous le nom de « GDPR », a obligé toute entreprise européenne, quelle que soit sa taille ou quel que soit son objet social, à mettre en place les mesures techniques et organisationnelles nécessaires afin d’assurer la confidentialité, l’intégrité et la disponibilité de la donnée à caractère personnel.

Par ailleurs, les entreprises européennes franchissent davantage le pas du recours au cloud public et aux outils proposés par les célèbres GAFAM (Google (Alphabet), Apple, Facebook (Meta), Amazon et Microsoft), ce qui pose inévitablement la question de la sécurité des données confiées aux « Big Five » et surtout la question de la localisation de la donnée traitée.

En outre, la situation pandémique que nous connaissons depuis 2020 et la pratique « forcée » du télétravail, avec parfois l’utilisation d’outils de travail personnels ou de fortune non suffisamment sécurisés, a été une aubaine pour les hackers et cybercriminels.

Enfin, le contexte international actuel a également mis en exergue l’impérativité d’un niveau de sécurité efficient afin d’éviter, autant que faire se peut, l’offensive informatique annoncée par les autorités russes.

En tant que Service Provider, il nous appartient d’identifier ces failles sécuritaires potentielles et de mettre en place, dans le respect de la règlementation en vigueur, toutes les mesures techniques et humaines afin d’assurer la pérennité de notre activité mais surtout celle de nos clients.

 

Quels sont les types d’attaque informatique les plus souvent rencontrés par votre organisation ?

Le phishing est probablement la forme de cyberattaque la plus courante car ce processus est facile à mettre en œuvre et étonnamment efficace.

Pour exécuter l’attaque, l’acteur malveillant peut envoyer un lien qui vous amène à un site Web qui télécharge automatiquement des logiciels tels que des virus, activent des scripts malveillants ou incitent les attaqués à fournir des informations personnelles.

Dans de nombreux cas, les cibles ignorent pleinement avoir été compromises, ce qui permet aux attaquants de cibler d’autres utilisateurs au sein de la même organisation sans que cette dernière ne soit en mesure de suspecter une activité malveillante.

L’année 2021 a également été caractérisée par la découverte de vulnérabilités dans les serveurs et services exposés à Internet, en particulier le service de messagerie Microsoft Exchange Server ou Log4Shell qui offraient la possibilité pour un cybercriminel de faire fonctionner du code à distance depuis n’importe quel serveur dit « vulnérable ».

Suite à l’annonce publique de ces failles sécuritaires, ce sont des centaines de milliers de sondes qui ont tenté de détecter les points d’entrées à partir d’Internet.

Offrir un service au plus grand nombre a corrélativement pour conséquence d’ouvrir des portes dérobées potentielles à n’importe quel quidam. Par conséquent, la surface d’attaque, c’est-à-dire tous les points du réseau pouvant être utilisés par un attaquant pour pénétrer un système d’information, doit être contrôlée de manière appropriée afin de mitiger autant que faire se peut les risques de cyberattaque.

Par ailleurs, nous constatons également la prolifération de la pratique des scans de vulnérabilité intrusifs.

La Convention de Budapest du 23.11.2021 sur la cybercriminalité consacre l’utilisation d’outils d’audit intrusifs comme étant une infraction pénalement reprochable, excepté dans deux cas d’espèce, à savoir :

• Lorsque l’intention est bienveillante et dépourvue de toute volonté de commettre une cyberattaque. La charge de la preuve est donc délicate et primordiale dans ce cas de figure ;
• Lorsque ces scans de vulnérabilité ont été autorisés contractuellement. Dans ce cas précis, la conclusion d’un «non-disclosure agreement » est substantiel afin de protéger les données auxquels ces audits peuvent accéder.

La Convention de Budapest a été ratifiée par le Luxembourg par une loi du 18.04.2014 avec pour objectif de poursuivre une politique pénale commune entre les divers états membres de l’Union européenne, destinée à protéger la société contre la cybercriminalité.

Le Code pénal luxembourgeois a par ailleurs été adapté en ce sens.

Comment parvenez-vous à limiter le risque de voir vos systèmes informatiques exposés à une menace

System Solutions s’appuie sur la matrice MITRE ATT&CK pour mettre en œuvre une stratégie de sécurité afin de prévenir les divers exploits et vecteurs d’attaque couverts par le modèle. Par exemple, l’une de nos stratégies consiste à réduire la surface d’attaque en travaillant en amont, soit dès l’étape de reconnaissance.

Il est important de limiter autant que possible les flux de données provenant des sources suivantes :

• les « active scanning » non-autorisés permettant aux attaquants de récupérer des informations susceptibles de faciliter l’exploitation des vulnérabilités.
• Le réseau TOR  permettant aux acteurs malveillants de rester anonymes et rendant par ce fait difficile la traçabilité de l’origine de l’attaque.
• L’accès à notre infrastructure par l’intermédiaire d’un Logless VPN. Ceux-ci ne gardent pas d’informations personnelles permettant d’identifier son utilisateur.
• L’accès depuis des bulletproof hosts qui permettent de déployer de manière anonyme des serveurs Botnet C&C, des serveurs de spam, des attaques de types déni de services, etc.

Nous n’autorisons par ailleurs l’accès à certains services internes qu’aux seuls pays limitrophes du Luxembourg, pays au sein duquel se trouve notre siège social et nos data centres. Pour cela nous nous référons à la géolocalisation par IP permettant de localiser un pays par son adresse IP.  Privé de ces différentes techniques d’obfuscation réseau, un acteur malveillant, en cas de tentative d’accès à notre infrastructure, court le risque d’être détecté et de faire l’objet de poursuites judiciaires.

Enfin, ce point concerne principalement la gestion des flux entrants, mais il ne faut pas négliger les flux sortants pour autant car ces derniers peuvent représenter des exfiltrations de données.

Nous avons également entièrement revu notre processus conceptuel en pratiquant, à titre de pierre angulaire, le principe de « Privacy & Security by design ».

Chaque projet, chaque nouveau produit et chaque nouveau service sont élaborés sur base d’une analyse de risques préalable axée sur la sécurité et la confidentialité.

 

Vous évoquiez le cloud public.  A votre sens, quel est le meilleur des deux mondes entre le cloud public et le cloud privé

Le cloud public est très attractif en ce sens qu’il permet l’accession rapide à des ressources informatiques, sans besoin d’une intervention humaine, ainsi que l’acquisition de capacités de stockage très intéressantes à des coûts moindres.

Cependant, sans les compétences nécessaires en matière de sécurité et en l’absence d’une équipe technique efficiente, le recours au cloud public peut être constitutive de failles potentielles avec bien évidemment un coût important en cas de « data breach » et donc d’indemnisation des personnes concernées par le vol de données.

La sécurisation du cloud dans sa formule publique aura davantage de sens lorsque nous serons en possession d’un cloud européen permettant de géolocaliser la donnée à tout moment et assurer sa disponibilité au sein de l’Union européenne.

Actuellement, plusieurs groupes de travail privés ou gouvernementaux œuvrent pour la création de ce cloud à l’échelle européenne permettant de concurrencer les GAFAM évoqués en amont.  Nous pouvons citer, par exemple, le projet Gaia-X (initiative privée franco-allemande) ou encore l’IPCEI (appel européen visant à promouvoir, au sein des états membres de l’Union européenne, des projets innovants et sur lequel se fondent déjà d’importants projets liés au cloud européen).

A notre sens, le meilleur des mondes entre le cloud privé, souvent décrié pour son coût onéreux, et le cloud public, souvent craint quant au niveau de sécurité offert, se situe sur une formule hybride.

Une solution de cloud hybride permet effectivement d’ajouter une couche supplémentaire de protection en manageant, via un prestataire de services spécialisé, les outils souscrits auprès d’un fournisseur de cloud public.

 

Pour conclure cet interview, quels conseils suggéreriez-vous à nos lecteurs afin qu’ils puissent adéquatement se prémunir, autant que faire se peut, contre la cybercriminalité

L’important est de faire de la sécurité un partenaire privilégié dans chaque réflexion stratégique ou commerciale en instaurant dans les mœurs de toute entreprise le principe de « Security & Privacy by design ».

Il importe, pour ce faire, de déterminer à la genèse de chaque projet les compétences techniques et juridiques permettant d’anticiper les risques liés à la solution envisagée et de mitiger ces derniers dans la mesure du possible.

Il est également important de mettre en place non seulement les mesures techniques suffisantes, mais aussi de mettre en œuvre un programme de sensibilisation continue du personnel de chaque entreprise sur les risques liés à la cybercrimalité.  Car les attaques cyber ont principalement pour objectif de s’introduire au sein d’un système informatique au travers de collaborateurs qui, la plupart du temps, sont mal informés ou non suffisamment avertis sur les formes que revêt ces infractions dommageables.

Enfin, il convient, lorsqu’une entreprise ne bénéficie pas des compétences internes suffisantes en matière de sécurité et de protection de la donnée, de s’entourer d’un partenaire efficient.