Interview
Cybersécurité : « les pirates nous défient »

Bernd et Marcel Steinkühler du spécialiste informatique Correct Power Institute sur les attaques Internet et les options de défense

Une entreprise doit-elle s'attendre aujourd'hui à ce que les cybercriminels l'attaquent ?

Bernd Steinkühler : si un emplacement comme un centre de données est mis en service, les pirates attaquent statistiquement après deux minutes au plus tard. Si les criminels parviennent à couper l'alimentation, ils peuvent rendre l'entreprise hors d'action. Il arrive souvent que les hackers appellent d'un numéro inconnu et disent : «Vous payez une somme x, ou on vous met à plat dans cinq minutes. » En général, les entreprises paient.

Qu'est-ce qui motive un hacker : la banque A l'engage et le paye pour attaquer la banque B ?

Bernd Steinkühler : la plupart des entreprises chinoises ou russes embauchent des hackers pour nuire à des entreprises concurrentes. C'est une organisation très professionnelle, c'est pourquoi les entreprises soumises au chantage paient généralement sans trop réfléchir. Vous savez, après dix minutes, on vous ferme vraiment le courant

Est-ce vraiment si simple ?

Marcel Steinkühler : c'est encore plus facile : un manager de premier plan perd son téléphone portable dans un taxi, le chauffeur de taxi trouve et le vend à un criminel, qui l'utilise ensuite comme passerelle vers l'entreprise. C'est rapide comme l'éclair : en quelques minutes, tout le réseau de l'entreprise est en panne. Les téléphones mobiles sont actuellement le principal point d'attaque. C'est actuellement l'astuce dans le monde bancaire de Londres.

digitalisierung_referenz_antsorg_interviewportait_bernd-steinkuehler_marcel-steinkuehler_x2_2000x2000.jpg

La première grosse erreur est de mettre les appareils sans précaution sur Internet.

Bernd Steinkühler

Correct Power Institute

Les entreprises sont-elles trop négligentes avec leurs données ?

Bernd Steinkühler : ils ne sont pas toujours conscients de ce qui peut arriver. La première grosse erreur est de mettre les appareils sans précaution sur Internet. S'il y a des architectures sensibles derrière, comme une usine d'eau, cette négligence peut avoir des conséquences désastreuses. Parce que si les hackers éteignent les pompes, plusieurs milliers de personnes n'ont soudainement plus d'eau. Par conséquent, des tests de pénétration seraient importants pour savoir où se situent les lacunes de l'architecture. Jusqu'à présent, ces tests ne sont pas systématiques. Mais progressivement, les entreprises y repensent, et la sécurité informatique devient de plus en plus importante. Pour les banques, c'est maintenant le sujet numéro un. Toutes les architectures qui y sont traitées sont sécurisées au niveau de l'informatique. En tant que fournisseur de services, nous sécurisons les routes de transport des données en utilisant systématiquement le cryptage. Il n'y a donc pas de vecteurs d'attaque dans l'Internet gratuit.

Alors, qui le veut peut se protéger à cent pour cent des cyber-attaques ?

Bernd Steinkühler : on doit être honnête, les pirates nous défient, et il n'y a pas de sécurité à cent pour cent. Chaque système a son point faible, quelque soit la façon dont il est bien construit. Mais si une entreprise est forte en matière de cybersécurité et qu'une centaine d'hommes s'occupent de cela, la tâche est difficile pour les pirates. Par contre, un individu n'a pratiquement aucune chance de se défendre. Nous avons mis beaucoup d'obstacles dans notre système de surveillance des centres de données : nous utilisons le cryptage et la détection d'intrusion, ce qui signifie que nous surveillons également le trafic sur notre réseau protégé. Si nous reconnaissons des modèles suspects, les paquets de données sont ignorés et ne sont plus transportés. Nous reconnaissons également s'il y a des failles de sécurité et où elles sont. De plus, notre architecture est conçue de telle sorte que seulement certains serveurs puissent intervenir dans l'infrastructure à surveiller. Les employés doivent se connecter en utilisant l'authentification à deux facteurs, et ils ne voient tout que virtuellement. Ils ne sont jamais physiquement sur un ordinateur. C'est l'essentiel : il faut toujours tout cacher pour qu'il n'y ait pas d'attaques.

Combien de temps faut-il pour obtenir un concept de sécurité ?

Bernd Steinkühler : notre architecture a pris deux ans pour être certifiée par Ernst & Young, et le processus d'optimisation continue. Lors d'un test de pénétration par Ernst & Young, lors de la première attaque, nous avions d'emblée 51 résultats. Nous avons essayé de les enlever, mais après le 13ème résultat, il n'y avait pas de solution car il y avait juste trop de lacunes et elles ne pouvaient pas être résolues. Nous avons constaté qu'il y a trop de systèmes qui ne sont pas à l'épreuve de la pénétration. C'est pourquoi nous avons complètement reconstruit l'architecture et, pour simplifier, nous avons construit un mur épais autour : avec un cryptage et avec Netscaler, qui fonctionne comme un pare-feu et un point de contrôle: tous les sites Web qui vont vers l'extérieur sont à nouveau vérifiés et protégés. Notre architecture de sécurité est comme un château-fort : seules quelques portes mènent à l'extérieur - et elles sont contrôlées très soigneusement.

digitalisierung_referenz_antsorg_interviewportait_bernd-steinkuehler_x4_2000x2000.jpg

Notre architecture de sécurité est comme un château-fort : seules quelques portes mènent à l'extérieur.

Bernd Steinkühler

Correct Power Institute

Ils ont des entreprises de différents secteurs en tant que clients. Y a-t-il une solution de sécurité qui peut être utilisée comme modèle pour tout le monde ?

Bernd Steinkühler : cela doit toujours être considéré individuellement. Le bon concept dépend finalement de la façon dont les données devraient sortir du centre de données. Les différentes options doivent être élaborées en collaboration avec les services de sécurité des clients. En outre, de nombreux standards et normes s'appliquent. La protection de base BSI est considérée comme la bible de la cyber-sécurité. S'il est pris en considération, vous avez au moins déjà atteint la protection de base. Le reste devrait être adapté aux besoins individuels.

Ils ont des entreprises de différents secteurs en tant que clients. Y a-t-il une solution de sécurité qui peut être utilisée comme modèle pour tout le monde ?

Bernd Steinkühler : cela doit toujours être considéré individuellement. Le bon concept dépend finalement de la façon dont les données devraient sortir du centre de données. Les différentes options doivent être élaborées en collaboration avec les services de sécurité des clients. En outre, de nombreux standards et normes s'appliquent. La protection de base BSI est considérée comme la bible de la cyber-sécurité. S'il est pris en considération, vous avez au moins déjà atteint la protection de base. Le reste devrait être adapté aux besoins individuels.

digitalisierung_referenz_correct-power_interview_bernd-steinkuehler_marcel-steinkuehler_x1_2000x2000.jpg

La protection de base BSI est considérée comme la bible de la cyber-sécurité. S'il est pris en considération, vous avez au moins déjà atteint la protection de base.

Bernd Steinkühler

Correct Power Institute

Quel rôle jouent les contrôleurs WAGO dans votre concept de sécurité ?

Bernd Steinkühler : très décisif Les systèmes d'exploitation basés sur PC doivent recevoir des mises à jour de sécurité hebdomadaires, sinon ils n'offrent pas une sécurité informatique suffisante. Le patchage n'est pas requis chez WAGO car les contrôleurs sont basés sur un système d'exploitation renforcé Linux® - la sécurité est donc intégrée ici. En outre, les contrôleurs WAGO fournissent deux interfaces, ce qui permet de séparer le niveau d'application et le niveau de gestion - un autre aspect important de la sécurité.

Marcel Steinkühler : il ne faut pas oublier que les systèmes basés sur PC ont aussi des interfaces USB. Du point de vue de la sécurité, ils sont la pire chose qui puisse vous arriver. Tout ce que vous avez à faire est d'insérer une mauvaise clé et immédiatement, le virus se propage rapidement. C'est difficile à croire, mais quand il s'agit de voyages touristiques dans les centres de données, cela arrive encore et encore : vous avez accès aux serveurs, l'armoire du serveur est ouverte et c'est fait. Le ver informatique Stuxnet est également arrivé via une clé USB dans le réseau et a manipulé à l'échelle mondiale l'ordinateur de contrôle des usines industrielles. Avec les bonnes caractéristiques de sécurité, de tels problèmes pourraient être évités.

Maintenant, même Industrie 4.0 arrive.

Marcel Steinkühler : le danger provenant de hackers pourrait en réalité devenir immense. Si nous rassemblons l'extraction des matières premières, les usines, l'ensemble des processus, ce qui est l'objectif, mais si dans le même temps nous n'élargissons pas la sécurité informatique, des entreprises entières pourraient être atteintes. C'est également la raison pour laquelle nos applications de surveillance fonctionnent dans le Cloud allemand. Ici, la sécurité est réalisée presque via l'architecture.

La numérisation avec WAGO :
C'est avec plaisir que nous répondrons à vos questions.