Interview
Cybersécurité : « les pirates nous défient »
Bernd et Marcel Steinkühler du spécialiste informatique Correct Power Institute sur les attaques Internet et les options de défense
Bernd et Marcel Steinkühler du spécialiste informatique Correct Power Institute sur les attaques Internet et les options de défense
Une entreprise doit-elle s'attendre aujourd'hui à ce que les cybercriminels l'attaquent ?
Bernd Steinkühler : si un emplacement comme un centre de données est mis en service, les pirates attaquent statistiquement après deux minutes au plus tard. Si les criminels parviennent à couper l'alimentation, ils peuvent rendre l'entreprise hors d'action. Il arrive souvent que les hackers appellent d'un numéro inconnu et disent : «Vous payez une somme x, ou on vous met à plat dans cinq minutes. » En général, les entreprises paient.
Qu'est-ce qui motive un hacker : la banque A l'engage et le paye pour attaquer la banque B ?
Bernd Steinkühler : la plupart des entreprises chinoises ou russes embauchent des hackers pour nuire à des entreprises concurrentes. C'est une organisation très professionnelle, c'est pourquoi les entreprises soumises au chantage paient généralement sans trop réfléchir. Vous savez, après dix minutes, on vous ferme vraiment le courant
Est-ce vraiment si simple ?
Marcel Steinkühler : c'est encore plus facile : un manager de premier plan perd son téléphone portable dans un taxi, le chauffeur de taxi trouve et le vend à un criminel, qui l'utilise ensuite comme passerelle vers l'entreprise. C'est rapide comme l'éclair : en quelques minutes, tout le réseau de l'entreprise est en panne. Les téléphones mobiles sont actuellement le principal point d'attaque. C'est actuellement l'astuce dans le monde bancaire de Londres.
Les entreprises sont-elles trop négligentes avec leurs données ?
Bernd Steinkühler : ils ne sont pas toujours conscients de ce qui peut arriver. La première grosse erreur est de mettre les appareils sans précaution sur Internet. S'il y a des architectures sensibles derrière, comme une usine d'eau, cette négligence peut avoir des conséquences désastreuses. Parce que si les hackers éteignent les pompes, plusieurs milliers de personnes n'ont soudainement plus d'eau. Par conséquent, des tests de pénétration seraient importants pour savoir où se situent les lacunes de l'architecture. Jusqu'à présent, ces tests ne sont pas systématiques. Mais progressivement, les entreprises y repensent, et la sécurité informatique devient de plus en plus importante. Pour les banques, c'est maintenant le sujet numéro un. Toutes les architectures qui y sont traitées sont sécurisées au niveau de l'informatique. En tant que fournisseur de services, nous sécurisons les routes de transport des données en utilisant systématiquement le cryptage. Il n'y a donc pas de vecteurs d'attaque dans l'Internet gratuit.
Alors, qui le veut peut se protéger à cent pour cent des cyber-attaques ?
Bernd Steinkühler : on doit être honnête, les pirates nous défient, et il n'y a pas de sécurité à cent pour cent. Chaque système a son point faible, quelque soit la façon dont il est bien construit. Mais si une entreprise est forte en matière de cybersécurité et qu'une centaine d'hommes s'occupent de cela, la tâche est difficile pour les pirates. Par contre, un individu n'a pratiquement aucune chance de se défendre. Nous avons mis beaucoup d'obstacles dans notre système de surveillance des centres de données : nous utilisons le cryptage et la détection d'intrusion, ce qui signifie que nous surveillons également le trafic sur notre réseau protégé. Si nous reconnaissons des modèles suspects, les paquets de données sont ignorés et ne sont plus transportés. Nous reconnaissons également s'il y a des failles de sécurité et où elles sont. De plus, notre architecture est conçue de telle sorte que seulement certains serveurs puissent intervenir dans l'infrastructure à surveiller. Les employés doivent se connecter en utilisant l'authentification à deux facteurs, et ils ne voient tout que virtuellement. Ils ne sont jamais physiquement sur un ordinateur. C'est l'essentiel : il faut toujours tout cacher pour qu'il n'y ait pas d'attaques.
Combien de temps faut-il pour obtenir un concept de sécurité ?
Bernd Steinkühler : notre architecture a pris deux ans pour être certifiée par Ernst & Young, et le processus d'optimisation continue. Lors d'un test de pénétration par Ernst & Young, lors de la première attaque, nous avions d'emblée 51 résultats. Nous avons essayé de les enlever, mais après le 13ème résultat, il n'y avait pas de solution car il y avait juste trop de lacunes et elles ne pouvaient pas être résolues. Nous avons constaté qu'il y a trop de systèmes qui ne sont pas à l'épreuve de la pénétration. C'est pourquoi nous avons complètement reconstruit l'architecture et, pour simplifier, nous avons construit un mur épais autour : avec un cryptage et avec Netscaler, qui fonctionne comme un pare-feu et un point de contrôle: tous les sites Web qui vont vers l'extérieur sont à nouveau vérifiés et protégés. Notre architecture de sécurité est comme un château-fort : seules quelques portes mènent à l'extérieur - et elles sont contrôlées très soigneusement.