Sécurité

Nous avons visité la salle de guerre d’IBM qui simule les conséquences d’une fuite de données

En direct de Cambridge (USA) ? Les données de votre entreprise ont tout simplement été divulguées sur Internet. Un groupe de hackers a révélé sur Twitter sa base de données avec tous les noms de clients, les numéros de téléphone, les adresses physiques et électroniques. Plusieurs médias appellent pour confirmer la fuite et savoir où ils en sont. Et comme il existe plusieurs lois sur la protection des données dans le monde, comme GDPR en Europe, vous pourriez être obligé de payer une amende d’un million de euros. Et maintenant ?

J’ai eu l’occasion de voir ce qui se passe lorsqu’une entreprise subit une fuite de données. Une Cyber Range simulation du centre de commandement de l’IBM X-Force à Cambridge, Massachusetts (USA), a impliqué un cas basé sur des faits réels, beaucoup de travail de groupe et même une interview télévisée pour expliquer ce qui s’est passé.

Les invasions et les fuites coûtent de l’argent

Caleb Barlow, vice-président de Threat Intelligence chez IBM Security, a déclaré à un groupe de journalistes en Amérique latine : “Votre entreprise doit fermer toutes les vulnérabilités, mais les pirates n’en ont besoin que d’une seule”. Les entreprises se concentrent souvent sur l’aspect technique pour éviter les fuites – alors qu’elles y tiennent vraiment – et oublient qu’une invasion peut se produire même avec les meilleures défenses.

Selon Caleb, certaines entreprises de la liste Fortune 500 – qui regroupe les plus grandes sociétés du monde – ne prédisent tout simplement pas qu’une invasion aura lieu. Ils sont davantage concernés par la prévention, ou la “gauche de la flèche” (à gauche/après l’explosion) ; il n’y a pas de règles en cas de violation, la “droite de la flèche” (à droite/après l’explosion).

Il y a une bonne raison à cela : les invasions coûtent de l’argent. Les pirates informatiques peuvent voler l’adresse IP, détourner de l’argent ou nuire à l’entreprise de toute autre manière. Selon une étude d’IBM Security, une fuite de données génère des coûts de 3,86 millions de euros en moyenne. C’est un chiffre global ; en France, il est de 1,24 million de euros. En moyenne, il faut 240 jours aux entreprises pour identifier une infraction et 100 jours supplémentaires pour la contenir, soit presque une année entière au total.

Toutes les invasions ne donnent pas lieu à une fuite. Caleb rappelle que les pirates utilisent d’autres types d’attaques, soit pour effacer des données, soit pour les détourner (rançon) ou même pour les modifier. Le virus Shamoon rend les disques durs inutilisables en écrasant le MBR (master boot record) ; il a détruit les données des compagnies pétrolières en Arabie Saoudite et au Qatar en 2012. NotPetya a infecté les systèmes de l’opérateur logistique Maersk l’année dernière ; sa récupération a généré des coûts de près de 400 millions de euros.

  Chez VPN gratuit et illimité, le produit, c'est vous

Même les hackers professionnels sont paresseux

Malgré ce scénario inquiétant, Caleb note que les hackers sont en général “paresseux”, même les professionnels. Cela signifie qu’ils préféreront les cibles et les vulnérabilités qui demandent moins d’efforts. Marc van Zadelhoff, directeur général d’IBM Security, rappelle que la plupart des attaques ont lieu le vendredi : les pirates professionnels veulent revenir en famille et profiter du week-end. C’est pourquoi les entreprises devraient rendre possibles des invasions plus coûteuses et plus coûteuses ? puisqu’il n’y a aucun moyen de les éviter complètement.

Le budget de la sécurité doit être proportionnel à la taille de l’entreprise et aux risques qu’elle encourt, mais pas seulement. Caleb a fait l’analogie suivante : si vous êtes dans une forêt et que vous êtes découvert par un ours, vaut-il mieux courir autant que possible ou abandonner ? Il existe une troisième alternative : courir plus vite que les autres dans la forêt. Pour se protéger, l’entreprise n’a pas à dépenser tout son budget pour la sécurité (étant plus rapide que l’ours) ; elle ne peut pas non plus quitter cette zone. Au lieu de cela, elle doit investir plus que ses concurrents, ce qui rend les invasions plus coûteuses.

Marc explique que les entreprises doivent avoir un responsable de la sécurité au poste de CISO (directeur de la sécurité de l’information) qui rend compte directement au PDG et au surintendant des TI. Cela devrait devenir plus courant avec les lois sur la protection des données personnelles telles que la GDPR dans l’Union européenne et la législation adoptée en France. De même, la loi Sarbanes-Oxley – adoptée après plusieurs cas de fraude comptable, dont celui d’Enron – a fait que davantage d’entreprises ont adopté la position de CRO (risk director).

En outre, l’entreprise doit tenir compte de son écosystème car il peut être facile de pirater ses fournisseurs. C’est ce qui s’est passé avec le détaillant américain Target : il a donné un accès externe à une entreprise de climatisation et a été envahi, touchant 41 millions de clients.

Réagir à une fuite

Une simulation Cyber Range axée sur la “droite de la flèche”, c’est-à-dire le post-vidage. Bane Ox est une société hospitalière mondiale (et fictive) située aux États-Unis avec des bureaux dans le monde entier, et a échangé des données avec la société française Packet, Inc. en vue d’une éventuelle fusion. Nous étions une dizaine de personnes dans une salle de contrôle avec deux écrans, des dizaines de moniteurs et des téléphones. Nous avons été divisés en groupes responsables de différents domaines : informatique, relations publiques, finances et droit.

Et ça a commencé. Les lumières de la pièce sont devenues rouges et l’un des écrans – d’environ 5 m de long – a commencé à afficher une série d’informations sur la fuite. Sur Twitter, le groupe de hackers Daemon Crew (également fictif) a publié des liens vers une base de données Bane Ox. Le fichier de Pastebin contenait tout, y compris les noms, les adresses, et même les numéros de carte de crédit. Une caméra de sécurité a montré une équipe de journalistes de télévision au siège de l’entreprise, prête à interviewer les employés et à en savoir plus sur ce qui s’est passé.

  OnePlus ne recueillera plus autant de données auprès des utilisateurs

D’autres problèmes sont survenus au même moment : une photo a circulé sur les réseaux sociaux disant que l’ascenseur du bâtiment fonctionnait à cause d’une invasion de pirates informatiques ; et un e-mail de phishing a convaincu un employé de transférer de l’argent sur un compte externe. Sur l’écran plus petit, nous avons vu des tweets mentionnant Bane Ox et les actions de la société en bourse.

J’ai travaillé dans l’équipe des relations publiques. J’ai rapidement reçu un appel de quelqu’un se prétendant journaliste de Wired, Andy Greenberg, qui s’est enquis de la fuite. Il avait le texte pratiquement prêt, mais voulait une position de Bane Ox : est-ce vraiment réel ? Qui est à blâmer ? Que va faire l’entreprise à ce sujet ?

Légèrement désespérée, j’ai dit que je répondrais dans les 15 minutes par e-mail (en formation, nous avons appris à tout formaliser par e-mail chaque fois que possible, pour être sûrs de parler à la bonne personne). L’équipe a dû préparer trois communiqués avec l’aide de juristes : un pour la presse, un pour les clients et un pour le partenaire Packet in France.

Le département informatique devait décider comment trouver la source de la fuite. Pour ce faire, il serait important d’engager un enquêteur médico-légal pour savoir où se trouve le problème : sur l’ordinateur (malware), sur le compte d’accès (privilèges administratifs) ou sur l’employé (un dénonciateur). Pour Caleb, les entreprises devraient également avoir recours à un conseil juridique externe : cela garantit la confidentialité entre l’avocat et son client, de sorte que les questions abordées soient confidentielles, sans aggraver les effets de la fuite.

“Si vous ne communiquez pas, les gens vont spéculer”

Tout cela fait partie du plan d’urgence. Caleb recommande aux entreprises de disposer d’un “livret de règles” reprenant toutes les étapes à suivre en cas de fuite. Cela signifie qu’il faut adopter une communication de crise plutôt que des pratiques de relations publiques conventionnelles. “Si vous ne communiquez pas, les gens vont spéculer”, a-t-il dit. En d’autres termes, il ne sert à rien de publier un communiqué de presse vague, et encore moins de nier qu’un problème est survenu.

Cependant, vous ne pouvez pas être sûr que quelque chose s’est passé ? il y aura peu de temps pour répondre, donc peu de temps pour enquêter. Que faire ? Disposer d’un livret de règles avec des réponses pré-approuvées par le service juridique. Un exemple : “nous sommes conscients d’un éventuel incident de sécurité, une enquête est déjà en cours et nous sommes formés pour cela.

Nous arrivons donc à la dernière ligne droite de la simulation : une interview télévisée pour expliquer ce qui s’est passé. C’est moi qui ai été choisi pour apparaître devant la caméra, alors j’ai quitté le Cyber Range et je suis monté d’un étage pour aller dans une salle de clé chromatique. Un assistant d’IBM m’a mis le micro sur le dos, m’a montré un écran où je pouvais voir les interviewers – qui n’étaient pas dans le même studio – et m’a demandé si j’étais prêt. (Je n’étais pas prêt.)

  Une entreprise coréenne présente des orateurs transparents au CES

La nouvelle a commencé. L’interviewer a résumé ce qui s’est passé ? des données de Bane Ox a fui ? et a dit qu’elle était avec un représentant de la société. Visiblement nerveux, je suis apparu à l’écran pour répondre à trois questions : que s’est-il passé ? Que ferait l’entreprise ? Avais-je l’intention de démissionner de mon poste ? (Eita.)

J’ai essayé de répondre de manière plus décisive, en me rappelant que la priorité était les clients, que nous étions préparés à un tel événement, mais la journaliste m’a regardé d’un œil critique, comme si elle n’y croyait pas (IBM ne permet pas de prendre des photos ou d’enregistrer des vidéos de la simulation car il s’agit de matériel protégé). Je suis retourné au Cyber Range ? sous les applaudissements, ufa ? et la simulation s’est terminée. L’affaire est basée sur une véritable fuite de 2016.

La simulation peut durer jusqu’à cinq heures

Nous avons fait une courte simulation d’environ deux heures. IBM propose une expérience plus complète qui dure de quatre à cinq heures. Il existe une version standardisée avec des éléments préenregistrés (comme la partie entretien) qui n’a pas de coût, même pour ceux qui ne sont pas encore clients. Il est également possible de payer un montant non spécifié pour une version personnalisée: dans un cas, des “journalistes” ont envahi le Cyber Range en posant des questions sur la fuite et en prenant les participants par surprise.

L’objectif de la simulation n’est pas de démontrer les produits IBM ; l’idée est de donner aux clients une meilleure idée de la manière dont ils doivent agir sur le “droit de boum”. Lorsque nous avons visité le Cyber Range début octobre, le programme était déjà complet pour les sept mois à venir ; deux simulations sont réalisées chaque jour. 85% des entreprises demandent une deuxième formation en prenant différents cadres.

Fabio Campos, consultant commercial d’IBM pour l’Amérique latine, explique que la Cyber Range fait partie des solutions qu’IBM propose aux entreprises : elles ne peuvent pas se défendre si elles ne comprennent pas comment fonctionne une attaque.

En plus du conseil, IBM propose un certain nombre de produits de cybersécurité. L’un d’entre eux est Watson pour la cybersécurité : il lit les 60 000 billets de blogs de sécurité publiés au cours des 18 derniers mois, analyse les données et peut identifier les menaces éventuelles grâce à l’intelligence artificielle . IBM affirme que son système est 72 fois plus rapide que l’analyse manuelle et offre moins de faux positifs.

Felipe Ventura s’est rendu à Cambridge à l’invitation d’IBM.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire