Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche

infosecEn matière de sûreté dans des environnements complexes, il convient de résister à la tentation de multiplier dans l’urgence les protections. Il s’agit plutôt de se concentrer en premier lieu sur un nombre restreint de mesures, afin de parer aux risques les plus importants. Cela est valable aussi bien en sûreté physique qu’en sécurité de l’information, comme nous le montre un cas récent – et grave – de piratage informatique dans le secteur de la santé aux États-Unis.

On apprenait la semaine dernière que le deuxième groupe d’assurances de santé américain, la compagnie Anthem, avait subi une attaque informatique d’envergure. Les pirates auraient en effet eu accès aux informations personnelles de 80 millions (oui, quatre-vingts millions) d’Américains.

Bien que ce ne soit pas le premier événement du genre dans le secteur de la santé, le « hack » d’Anthem semble cette fois avoir constitué un véritable électrochoc. Il est vrai qu’il survient peu après un autre piratage emblématique de l’ampleur du problème, celui de Sony Pictures Entertainment.

Les spécialistes de la sécurité informatique du secteur de la santé n’ont pas tardé à évoquer les solutions à mettre rapidement en place pour que « Plus jamais ça.»

L’un des articles qui a particulièrement retenu mon attention a été publié sur le site de référence Healthcare InfoSecurity. Son auteur, Marianne Kolbasuk McGee, y répertorie quelques solutions impératives. Certaines sont frappées au coin du bon sens – d’autres moins. Mais le problème est ailleurs. L’auteur propose neuf catégories de mesure, un nombre qu’elle légitime de façon quelque peu récursive par son point 4. Take a Multilayer Security Approach.

L’auteur cite à ce propos un article d’Avivah Litan, analyste chez Gartner. Mais sans en comprendre le sens : Litan n’est pas pour une approche multicouche (multilayer) mais multidimensionnelle (multi-pronged). Et c’est très différent.

Dans une autre vie professionnelle – pas si lointaine -, j’ai pesté continuellement contre cette idée trop répandue qui veut qu’un système multicouche, qui empile à la qui-mieux-mieux une multitude de mesures de sûreté, est nécessairement plus sécuritaire qu’un système qui n’en utilise que peu.

Il est toujours préférable d’avoir un petit système efficace plutôt qu’un mastodonte impuissant.

Ainsi, on a pu lire (trop) souvent sur ce blogue comment la Transportation Security Administration (TSA) et son homologue canadien (pour ne citer qu’eux) ont implémenté une multitude de mesures de protection de l’aviation civile. Le résultat : un système lourd, incohérent, incapable de prévenir le moindre acte terroriste tout en faisant de l’expérience-voyageur un cauchemar.

U.S. Aviation Security LayersLe système multilayer mis en place par la TSA compte une quinzaine de couches de protection de l’aviation civile au niveau des aéroports (sur un total de 20 couches). Et il est somme toute inefficace. Face à lui, le système israélien n’en compte que 4 ! Et niveau sûreté, pardon, mais c’est  le jour et la nuit. Pourquoi ? Parce que ces 4 niveaux sont conçus et opérés de manière concertée et cohérente. Ils ne s’additionnent pas bêtement, ils se multiplient.

On rétorquera que sécuriser l’aéroport Ben-Gourion de Tel-Aviv est une chose, et que protéger les serveurs informatiques d’un assureur américain en est une autre. Certes, d’un point de vue tactique, les mesures de sécurisation n’ont pas grand chose à voir. Mais sur le plan stratégique, il est toujours préférable d’avoir un petit système efficace plutôt qu’un mastodonte impuissant.

Bien sûr, ce n’est pas parce qu’on est gros que l’on est ipso facto inefficace. Mais force est de constater que les pouvoirs publics ont la fâcheuse manie de surréagir, de mettre en place dans l’urgence des systèmes pléthoriques et de communiquer sur l’air de « Oui, le gouvernement agit. La preuve.» Et on le constate dans tous les domaines.

Litanguillemet_I think all we have to look forward to is many more years of breaches against health care companies and other custodians of sensitive personal data. This will be followed by knee jerk regulatory reactions — one at a time — that put in place a series of patchwork security solutions which cost companies billions of dollars to comply with but which do very little to keep determined bad guys out.

Avivah Litman

D’un autre côté, s’il présente moins de mesures et semble donc moins sécuritaire, un système de sûreté plus léger peut en revanche s’avérer nettement plus efficace. Plus rapide à implanter, plus cohérent, facilitant les interactions entre les différents acteurs, il est susceptible de prévenir et de réagir avec une plus grande acuité. Plus efficace et surtout plus efficient, puisqu’il coûtera nettement moins en temps, en argent et en main-d’oeuvre.

Mais un tel système doit être à la base mûrement réfléchi. La clé de sa réussite réside dans la gestion du risque. Autrement dit, le refus du risque zéro, la priorisation des tâches.

Là où les pachydermes de sûreté tentent de boucher tous les trous, en tout temps, un système axé sur la gestion du risque va se concentrer d’abord sur les problèmes les plus graves.

Ce qui nous ramène au cas de l’assureur Anthem.

Doit-on, comme le préconise Mme McGee dans son article, mettre en place un système multicouche ? Non. En tout cas, pas s’il est conçu de la sorte. 9 couches, cela commence à faire beaucoup si l’organisation n’a pas (et c’est généralement le cas) les moyens de toutes les implanter.

Doit-on dans ce cas, diviser les ressources afin de couvrir en partie seulement l’ensemble de ces mesures de sûreté ? Non.

Mais dans ce cas, comment réduire rapidement et efficacement le risque d’une intrusion – comme chez Anthem ?

Anthem

Si l’on regarde précisément le mode opératoire des pirates, on s’aperçoit que l’élément fondamental du « hack » remonte au mois d’avril 2014 (oui, 9 mois avant la découverte de l’ampleur du piratage). il a, selon toute vraisemblance (voir : 1 – 23) pris la forme d’un courriel de harponnage, envoyé à cinq employés d’Anthem.

La principale vulnérabilité d’un système d’information se trouve « entre le clavier et le dossier de la chaise.»

Le harponnage est une variante plus sophistiquée du hameçonnage. Il consiste en l’envoi d’une missive électronique ayant des allures de message légitime mais comportant une pièce jointe ou un lien hypertexte piégé. Mais contrairement au hameçonnage (qui utilise un courriel générique envoyé à la multitude), le courriel de harponnage est destiné à un nombre très réduit de destinataires, que l’attaquant a soigneusement choisis – en raison de leurs fonctions – et étudiés – souvent à partir de sources ouvertes. Le but étant de rédiger à leur attention un courriel sur mesure, de nature à les persuader de la légitimité de la missive électronique et de les amener à cliquer sur la pièce jointe ou le lien html piégé. Un clic lourd de conséquence puisqu’il donnera au pirate un premier point d’accès au système ciblé, accès par lequel il pourra alors poursuivre son intrusion plus en profondeur.

L’hameçonnage est l’une des techniques de piratage les plus répandues. Et sa variante de harponnage se développe rapidement en raison de sa grande efficacité. Toutes deux exploitent la principale vulnérabilité d’un système d’information : celle qui se trouve « entre le clavier et le dossier de la chaise.»

En conséquence, en formant ses employés à comprendre et reconnaître les courriels de hameçonnage (voir entre autres : 12), une compagnie ou une institution pourrait considérablement (j’insiste sur l’adverbe) réduire les risques d’intrusion.

Même si elle a vocation à toucher tous les employés, l’initiative  ne nécesitera que fort peu de ressources pour une grande efficacité. Bref, une efficence maximale. Outre qu’en investissant dans son personnel, la compagnie pourrait même susciter des vocations, en révélant des zélotes de l’InfoSec qui s’ignorent (et sur lesquels on pourra ensuite s’appuyer, par exemple, pour lutter contre les employés malveillants – ou insiders).

Il est évident que cette seule action ne protègera pas la compagnie contre tous les piratages possibles. Il faudra bien sûr d’autres initiatives. Mais sur les 9 solutions présentées par l’article d’HealthInfoSecurity,  prenons-en seulement 3  :

1. Train Staff about Phishing Risks (tiens, tiens…)

6. Go Beyond a Focus on Compliance

X. Assess multifactor authentication (en réalité, ce point est de mon fait ; il ne figure pas dans la liste de McGee).

On trouve donc un seul projet purement technologique (X.). Les deux autres relèvent de la formation des employés (1.) et du changement de mentalité de certains décideurs (6.) – un beau défi, là aussi, soit dit en passant…

Si l’entreprise est capable de ne pas disperser ses ressources et d’implanter des mesures ad hoc dans ces trois domaines seulement, elle sera plus sécuritaire qu’elle n’aurait jamais pu imaginer l’être dans ses rêves les plus fous.

Sera-t-elle pour autant à l’abri des actes malveillants ? Non. Rappelez-vous : le risque zéro n’existe pas. Mais elle pourra ensuite sereinement investir dans d’autres initiatives de sûreté.

À propos de Arnaud Palisson

Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.