Piratage à la hausse*
Hameçonnage, chevaux de Troie… quelle sera la prochaine astuce des pirates informatiques? Mais
surtout, comment garder une longueur d’avance sur ces malfaiteurs?
* Ce texte est la version intégrale d’un article résumé dans le numéro de
septembre 2006 de CAmagazine.
Par Greg Murray, PricewaterhouseCoopers
On On peut bien parler de radar et d’antiradar. Juste au moment où les entreprises se croient à l’abri des
attaques électroniques, quelqu’un trouve une nouvelle façon d’infiltrer leurs systèmes.
Les menaces pour la sécurité informatique sont de plus en plus ciblées et structurées et, chaque année,
elles sont à l’origine de pertes économiques de plusieurs milliards de dollars. De plus, ce chiffre ne cesse
d’augmenter de façon exponentielle depuis les 10 dernières années.
Les attaques électroniques sont maintenant orchestrées à la vitesse de l’éclair : les pirates
informatiques peuvent concevoir un programme en moins de 24 heures, l’envoyer à des millions d’ordinateurs,
puis le modifier suffisamment pour déjouer les contrôles des entreprises.
Les menaces pour la sécurité informatique évoluent à une telle vitesse que beaucoup d’entreprises y
réagissent plutôt que de les anticiper. Elles attendent d’être attaquées pour ensuite se défendre
fébrilement, bien qu’il soit déjà trop tard.
Cette attitude ne convient toutefois plus. Les brèches de sécurité représentent une perte d’argent, de
crédibilité et même d’informations stratégiques telles que les plans d’affaires à long terme. Imaginez
simplement ce que donneraient vos concurrents pour connaître vos stratégies d’affaires.
Pour les entreprises d’aujourd’hui, la sécurité informatique consiste à renforcer la capacité de sécurité
et les mesures de sécurité, et à devenir aussi souples que les pirates. Du reste, l’instauration d’une
culture de sécurité à l’intérieur de l’entreprise demeure l’un des meilleurs moyens de protection.
Exemples de menaces auxquelles les entreprises font face
Les menaces imprévues sont souvent celles qui font le plus de ravages. Les actifs d’une société tels que
le courrier électronique, la messagerie instantanée, la voix sur IP, la technologie sans fil ou Bluetooth
sont des couloirs que les pirates empruntent pour infiltrer les systèmes informatiques à l’aide de programmes
malveillants. La liste des dangers continue de s’allonger à mesure que les attaques contre la sécurité et la
confidentialité se raffinent. Voici quelques-unes des menaces les plus courantes.
L’hameçonnage – Il s’agit d’une attaque de type «ingénierie sociale» qui vise à obtenir des renseignements
personnels sensibles ou de l’information d’entreprise en gagnant la confiance des internautes. L’une des
méthodes les plus couramment utilisées consiste à usurper l’identité d’une entreprise de confiance
(généralement une banque, une société d’assurances ou une société de télécommunication) pour soutirer des
renseignements personnels. On a d’abord cru que l’hameçonnage se limitait aux courriels et à la messagerie
instantanée, mais il constitue maintenant une menace beaucoup plus étendue.
Les escroqueries les plus récentes consistent à envoyer des courriels contenant des hyperliens vers des
numéros de téléphonie sur IP. Comme les acteurs de ces faux centres d’appels agissent exactement comme de
vrais représentants, les internautes risquent de dévoiler par mégarde des renseignements personnels ou de
l’information d’entreprise, ce qui fragilise le système de sécurité.
Les chevaux de Troie – Programmes à première vue inoffensifs, les chevaux de Troie sont en fait conçus
pour voler des renseignements personnels ou de l’information d’entreprise. Les pirates, ingénieux,
dissimulent généralement le programme malveillant à l’intérieur d’un outil intéressant à télécharger. Le
cheval de Troie baptisé Haxdoor-IN offrait ainsi une grille de matchs de la Coupe du monde 2006 de la FIFA.
En réalité, il permettait à des utilisateurs non autorisés d’infiltrer votre ordinateur à votre insu.
Les logiciels espions/enregistreurs de frappes – Il s’agit de logiciels qui enregistrent les données d’un
ordinateur et les interventions de l’utilisateur, et qui transmettent à l’insu de celui-ci les renseignements
recueillis à des tiers non autorisés. Ces programmes malveillants sont de plus en plus perfectionnés comme en
témoigne le logiciel espion Spyware.SmartKeyLogger. Celui-ci permet d’intercepter et d’enregistrer les
données tapées au clavier, les messages instantanés, les activités sur Internet ainsi que l’utilisation des
logiciels, de faire des copies d’écran périodiques, puis de transmettre le tout à des tiers non
autorisés.
Les logiciels espions et les enregistreurs de frappes peuvent créer des risques opérationnels et
financiers. À titre d’exemple, le logiciel Spyware.SmartKeyLogger permet de déjouer le système de sécurité
d’une entreprise et de copier l’écran affichant les données préliminaires d’un rapport trimestriel préparé
par le directeur financier pour diffuser cette image sur Internet avant la date officielle où les chiffres
devaient être rendus publics. Les possibilités de tort à la marque et de dommages réglementaires qui en
découlent sont considérables.
Une question d’argent
Pour les pirates, tout est une question d’argent. Ces derniers lancent des attaques malveillantes pour
voler de l’information d’entreprise et des renseignements personnels qu’ils revendent.
Les pirates peuvent entre autres arriver à leurs fins au moyen du vol d’identité. Ce type de délit peut
mener à une série de fraudes et poser des problèmes significatifs en matière de sécurité. Malheureusement, la
plupart des entreprises ignorent la gravité du danger.
Le modus operandi des voleurs d’identité est connu : des pirates déjouent le système de sécurité d’une
entreprise et volent des renseignements confidentiels concernant des personnes ou l’entreprise. L’information
recueillie leur permet ensuite de se faire passer pour des clients légitimes et d’arnaquer d’autres
entreprises. Comme si cela ne suffisait pas, les escrocs réussissent à obtenir toujours plus de
renseignements confidentiels à mesure qu’ils infiltrent les systèmes de nouvelles entreprises. Il en résulte
un cercle vicieux : vol d’identité, informations perdues et risques de fraude et de tort à la marque.
Par ailleurs, il semble qu’un nouveau cycle d’attaques électroniques s’amorce. En juin, l’American
Institute of Certified Public Accountants (AICPA) a indiqué qu’en février 2006, un disque dur contenant des
renseignements personnels non chiffrés sur 330 000 de ses membres avait été perdu pendant le transport. Pis
encore, des rapports laissent entendre que l’AICPA aurait violé ses propres politiques de sécurité dans cette
affaire, ce qui en a fait une combinaison de problèmes de sécurité et de confidentialité.
Qu’est-ce qui rend le vol d’identité aussi dévastateur? La réponse est simple : l’identité est au cœur de
presque toutes les relations avec les clients et tous les processus d’affaires internes. Par exemple, il est
essentiel de s’identifier lors de l’achat d’une nouvelle voiture, de l’installation d’une ligne téléphonique
ou pour se connecter au réseau local de son entreprise. Laisser une personne dont l’identité est compromise
accéder à de l’information légitime brise le lien de confiance entre l’entreprise et son client ou
l’utilisateur final. Et, sans ce lien, il devient impossible de faire des affaires.
Quelle solution adopter, alors? Verrouiller vos systèmes informatiques pour protéger l’information? Des
contrôles trop contraignants risqueraient de rendre votre système peu convivial. Vos clients pourraient alors
être amenés à se tourner vers vos concurrents; et à l’interne, la productivité risquerait de s’en
ressentir.
Au bout du compte, il s’agit de trouver le juste équilibre entre la protection des renseignements et le
fait d’assurer aux utilisateurs un accès sécurisé à l’information dont ils ont besoin.
Alors, comment offrir des services sécurisés garantissant la protection du client et de l’utilisateur
final tout en répondant à leurs besoins d’affaires? Il vous faut déterminer où vous vous situez sur le plan
de la sécurité de l’information et être au fait des menaces qui planent. N’oubliez pas que la sécurité de
l’information fait partie du risque d’entreprise.
La sécurité de l’information dans votre entreprise
Pour prévenir les brèches de sécurité et le vol de renseignements, il vous faut déterminer les
informations à protéger et connaître leur emplacement dans votre environnement. Selon l’étude The Global
State of Information Security 2005 menée par PricewaterhouseCoopers et le magazine CIO à l’échelle mondiale,
47 % des répondants ont dit ne pas être au courant s’il y a eu des dommages économiques et informatiques au
sein de leur entreprise, 26 % ont déclaré ne pas savoir de quelle façon leur système avait été attaqué et 25
% ignoraient qui était à l’origine des attaques.
L’étude révèle également que 55 % des entreprises ne sauraient pas à qui faire appel si la sécurité de
leur système était compromise. Ce chiffre montre que nombre d’entreprises sont peu sensibilisées aux
questions de sécurité informatique et n’ont pas de plan de gestion de crise. Le fait de ne pas prévoir une
situation de crise aboutirait précisément à une telle situation. Les entreprises devraient prévoir qu’une
brèche de sécurité s’ébruitera et prendre les mesures nécessaires.
L’élaboration d’un plan n’est toutefois pas suffisante. Les entreprises doivent également le tester pour
s’assurer qu’il fonctionnera dans l’éventualité d’un problème. Il sera trop tard pour s’assurer de sa
fiabilité lors de l’éclatement d’une crise médiatisée.
Repérer les menaces
Les entreprises doivent repérer les menaces qui pèsent sur elles et les risques d’attaque, et évaluer leur
incidence possible sur leurs activités. Ce type d’analyse est nécessaire pour fixer les priorités en matière
de sécurité, établir les budgets et mettre au point des mesures de performance adéquates. Beaucoup
d’entreprises négligent cet exercice et oublient que les actifs informationnels n’ont pas tous la même
valeur.
La planification relative aux menaces pour la sécurité informatique devrait s’étendre à l’ensemble de
l’entreprise et faire appel à des représentants de tous les services. Sous-estimer l’importance de repérage
des menaces mène souvent à l’échec, et ce, avant même que l’entreprise ait lancé son programme de sécurité de
l’information.
Système de gestion des risques liés à l’information
Les entreprises devraient également devenir aussi souples que les pirates. Elles doivent avoir une vision
plus large de la sécurité et porter une attention particulière à la gestion des risques liés à l’information,
qui comprend tous les aspects de la protection des renseignements et de leur utilisation. Dès la mise en
place de leur programme de gestion des risques liés à l’information, les entreprises devraient y inclure la
sécurité et la protection des renseignements personnels, ainsi que des dossiers papier et électroniques.
Une fois la portée du programme établie, il s’agit pour l’entreprise de déterminer l’information à
protéger et de prévoir la manière dont divers types de renseignements varieront au fil des ans. Sa capacité à
inventorier, suivre et surveiller ces sources d’information ainsi qu’à y accéder doit évoluer conséquemment.
Bref, les systèmes et les processus de gestion des risques informatiques devraient être structurés de façon
qu’il soit possible de les adapter constamment.
De toute évidence, les menaces pour la sécurité informatique deviennent sans cesse plus complexes et plus
coûteuses, mais il est possible pour les entreprises de suivre le rythme. Favoriser une structure de gestion
des risques informatiques qui prenne en compte la sécurité et la protection des renseignements personnels est
la meilleure façon pour elles de s’assurer que leur capacité à contrer les attaques évolue plus rapidement
que les attaques elles-mêmes.
Greg Murray dirige le groupe Sécurité informatique des Services conseils en TI de
PricewaterhouseCoopers.
|
