Quinze ans qu’il attaque inlassablement les systèmes d’information des entreprises pour en dénicher les failles. Expert de la sécurité informatique chez Provadys, Christophe Kiciak décrypte les tendances et bonnes pratiques pour aider les DSI à protéger leurs données, mais pas seulement.
Quelle est la situation en 2016 ? Les cyberattaques ont-elles changé de nature ?
Christophe Kiciak : En 2016 plus que jamais, personne ne peut se déclarer à l’abri. Il y a une quinzaine d’années, le piratage était plutôt ciblé sur les entreprises gérant des données très sensibles comme les établissements financiers ou les organisations étatiques. Aujourd’hui, ce n’est plus le cas.
Nous avons affaire à un piratage de masse dirigé contre toutes les entreprises, toutes tailles et tous domaines d’activité confondus.
Nous avons affaire à un piratage de masse dirigé contre toutes les entreprises, toutes tailles et tous domaines d’activité confondus. La raison en est simple : sur le web, tout est monnayable que cela soit la bande passante, la puissance de calcul d’un ordinateur et même l’espace de stockage. Les pirates ne recherchent donc pas nécessairement les données à tout prix. Loin de l’imaginaire hollywoodien du hacker solitaire, ce sont des mafias organisées et criminelles qui cherchent à soutenir leurs trafics.
Pas dans tous les domaines. Les techniques d’ingénierie sociale (e-mail malveillant, matériel infecté offert, etc.) restent encore largement sous-estimées. Il y a peu, nous avons fait le test. Nos experts ont abandonné, un matin, cinq clés USB infectées dans le parking d’une entreprise cliente. Avant midi, quatre étaient connectées au système d’information de la société. Nous estimons qu’environ un tiers des collaborateurs manquent de sensibilisation sur le sujet et cliquent sans hésiter sur un lien douteux.
D’un autre côté, les sites web restent encore très vulnérables. Les développeurs s’intéressent – et c’est normal – aux questions d’ergonomie et de fonctionnalités au point de négliger, bien souvent, la cybersécurité. Dans ce domaine, on ne sent pas venir de changements réellement significatifs pour le moment.
Dès lors, comment les DSI doivent-ils s’y prendre pour lutter contre les cyberattaques ?
J’aimerais donner une réponse unique. Malheureusement, il n’y a pas de méthode miracle. Toutefois, on peut dégager quelques bonnes pratiques. Il convient d’abord de n’exposer que le strict minimum. Prenons un exemple : lorsque l’on développe un site web sur WordPress, le back-office est visible depuis n’importe quelle machine Internet. Ce n’est absolument pas justifié : on connaît les administrateurs et les postes depuis lesquels ils vont agir. Il faut donc définir un certain nombre d’IP autorisées. Ne pas effectuer cette action, c’est s’exposer inutilement aux attaques.
Les DSI doivent sortir la tête du guidon, prendre une feuille blanche et tracer une ligne : d’un côté ils inscrivent ce qui ne doit absolument pas être attaqué, sous peine de mettre en péril l’entreprise, de l’autre ce qui n’est pas vital.
Plus globalement, j’ai acquis la conviction que lutter contre les cyberattaques oblige à une approche militaire. Les DSI doivent sortir la tête du guidon, prendre une feuille blanche et tracer une ligne : d’un côté ils inscrivent ce qui ne doit absolument pas être attaqué, sous peine de mettre en péril l’entreprise, de l’autre ce qui n’est pas vital.
En fonction de cette analyse des risques, on définit une politique de sécurité du SI (PSSI). Un document fondateur qui guidera ensuite tout le travail des responsables informatiques. Sur le terrain, ils doivent adopter une approche systématique, militaire avec des contrôles automatiques et permanents. Une vigilance de tous les instants : on ne peut pas se permettre de faire le travail à 98 %. Les 2 % restants suffisent à un pirate.
L’essor de l’hébergement Cloud change-t-il quelque chose à cette méthodologie ?
En réalité, la technologie change mais les méthodes des pirates restent les mêmes. Le seul changement majeur auquel font face les DSI avec une infrastructure Cloud, c’est l’apparition d’un nouvel acteur : le fournisseur. C’est pourquoi il faut travailler avec le département juridique pour établir un certain nombre de règles de sécurité – liées à la PSSI – dans le contrat d’infogérance. Dans de trop nombreux cas, on constate l’absence même d’un chapitre consacré à la cybersécurité dans les contrats !
Après une formation d’ingénieur informatique, Christophe Kiciak commence sa carrière en tant que IT hacker avant de devenir très vite un expert de ces questions de sécurité informatique. C’est ainsi qu’il rejoint le cabinet Provadys comme spécialiste de la sécurité offensive.