Comme beaucoup d’autres, le monde de la SSI est petit. Outre les interlocuteurs réguliers, il arrive fréquemment de retrouver d’anciennes connaissances.
La DPSD dans le quotidien SSI du monde civil
De mes longues années passées à la DGA, j’ai, pour ma part, conservé de nombreux contacts et j’ai notamment la chance de parfois échanger quelques nouvelles avec un ex-bon collègue désormais à la DPSD.
Du contexte …
Dans le contexte actuel, qui n’est pas nouveau et que chacun connait (la constante montée en puissance des systèmes d’information et des attaques qu’ils subissent), je vous propose de revenir sur le rôle de cette fameuse DPSD.
La Direction de la Protection et de la Sécurité de la Défense est de prime abord moins visible que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). En effet, c’est avant tout le service de renseignement dont dispose le ministère de la Défense pour assumer ses responsabilités en matière de sécurité du personnel, des informations, du matériel et des installations sensibles. Mais se focaliser sur les forces armées serait oublier que la DPSD intervient beaucoup dans les domaines de la sécurité industrielle et de la contre-ingérence économique.
Ces actions ciblent alors notamment les industries en lien avec la Défense nationale ou présentant un intérêt pour celle-ci, ce qui constitue plusieurs centaines, voire milliers d’interlocuteurs. Il est d’ailleurs fort probable qu’un grand nombre des lecteurs de cet article soit directement concerné dans la mesure où la seule industrie de défense représente environ deux mille entreprises. Pour paraphraser les Textes, le rôle de la DPSD consiste, donc, ici à déceler et neutraliser toute menace contraire aux intérêts nationaux et à la souveraineté nationale, résultant de l’activité, légale ou non, d’états, de services de renseignement ou de concurrents étrangers au profit d’intérêts extérieurs pouvant affecter le secret de la Défense nationale, le potentiel scientifique et technique de la Nation, les intérêts ou le patrimoine matériel et immatériel des entreprises ou organismes liés à la Défense.
… à la sensibilisation
Dans sa démarche de sensibilisation, la DPSD a pour habitude de commencer par souligner le fait que tout le monde peut être visé, les menaces ne concernent pas que des cibles militaires ou des grandes infrastructures. Pour vous rafraîchir la mémoire ou vous initier, je me fais le relais du service.
• Brossons d’abord un panorama des principales menaces.
Menaces humaine, stratégique, ludique, terroriste, vengeur, cupide, idéologique, etc., celles qui pèsent sur la tête de votre SI ne manquent pas.
• Les attaques, elles-aussi, sont des plus variées.
En effet, puisqu’elles dépendent des objectifs (la cible visée et ce que l’on souhaite lui faire subir). On peut ainsi recenser des méthodes d’attaque via spam, Flash, USB, brute force, virus, DDoS, ransomware, water holing, etc…
• Mais alors, quid de l’homologation ?
Le rôle du RSSI, notamment, est de gérer le risque. Une homologation permet de valider les mesures en place mais au-delà de cela, elle va identifier les risques résiduels. Si ceux-ci subsistent, c’est en souvent en raison d’un mauvais rapport coût/efficacité, impliquant d’assumer certains risques.
Difficile de ne pas mentionner la certification ISO 27001 permet à une entreprise de formaliser la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) selon les exigences de la norme du même nom. Elle définit des exigences basées sur le fameux modèle PCDA : planifier, mettre en œuvre, contrôler, agir.
• A chacun son métier, et mieux vaut parfois déléguer.
Via une compétence interne ou un prestataire, quoi qu’il en soit, avant, pendant, après, de façon continue ou ponctuelle, entourez-vous d’experts capables de comprendre votre situation et maîtrisant autant la théorie que la pratique.
• Revenons à l’attaque elle-même, dont il faut connaître le principe. Lorsqu’elle est bien construite, une attaque digne de ce nom débutera par une identification de la cible. On ne saura trop vous mettre en garde contre les réseaux sociaux. Alors que les actions purement techniques laissent des traces dans les journaux et mènent rarement directement au cœur du réseau, un peu d’ingénierie sociale peut facilement conduire derrière les pare-feu, sur le réseau interne. Le maillon le plus faible est l’humain !
La deuxième phase consiste à placer la charge utile, bien souvent un fichier (virus, keylogger…). L’attaquant pourra passer par une clé USB ou une pièce jointe à un e-mail. De votre côté, vous pourrez empêcher ou contrôler toute connexion d’un support externe, scanner les e-mails, ou encore désactiver les exécutions automatiques.
Enfin, vos fichiers seront exfiltrés ou détruits…
On s’aperçoit que ce schéma est classique d’une APT. Un acronyme quelque peu à la mode mais qui ne révolutionne pas l’art de la piraterie informatique si ce n’est en termes de ce que l’on pourrait appeler le sérieux et l’intelligence de la démarche.
Suivre les conseils de base vous épargnera bien des soucis (activez pare-feu et anti-virus, installez les dernières mises à jour, utilisez des mots de passe forts, limitez les privilèges utilisateurs, etc.).
Et quoi d’autre ? Les faux points d’accès Wi-Fi (notez le lien avec la nouvelle loi sur le renseignement…) sont aussi dangereux que les hot-spots non sécurisés. Lors d’un voyage, sur le trajet ou à l’hôtel, mieux vaut réserver sa connexion à un usage « loisir » à partir d’un équipement personnel. Bien entendu, il en est de même pour le Bluetooth de votre smartphone : à désactiver dans la mesure du possible, sinon, surveiller tant les sollicitations inattendues que l’activité des applications que vous avez installées.
Alors …
Pour conclure, tout agent de la DPSD saura vous rappeler que la valeur d’une entreprise est à 86% immatérielle (source banque mondiale). De plus en plus menacées, les entreprises doivent mettre en œuvre des solutions techniques et organisationnelles adéquates.
De plus, l’avènement du BYOD et du Cloud amène son lot de problématiques économiques et sécuritaires. C’est sûrement là une nouvelle occasion de revoir sa PSSI.
Enfin, prenez garde à l’excès de confiance… 84% incidents sont liés au facteur humain. Renforcer la sensibilisation aux cyber-menaces est un impératif. Si la DPSD ne vient pas à vous, allez à elle. Et faites vôtre sa devise : « renseigner pour protéger ».
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.