Sébastien Faivre (Brainwave) : « Mettre une porte blindée ne suffit plus à protéger une entreprise »

Face aux capacités des pirates, défendre « la porte d'entrée » des groupes industriels n'est plus suffisant, il faut aussi défendre l'intérieur des systèmes, explique à l'AFP Sébastien Faivre, directeur associé de Brainwave, spécialiste des problèmes de fraudes et de fuites de données dans les entreprises.

Le dirigeant fait ce constat à l'occasion de la 14e édition des Assises de la sécurité et des systèmes d'information à Monaco, rendez-vous annuel des acteurs de la sécurité informatique.

Est-il encore possible de prévenir toute intrusion dans une entreprise?
Entre un hacker et l'entreprise qui cherche à se protéger existe à peu près la même dynamique qu'entre le cambrioleur et le serrurier. En informatique, le passe-partout du voleur est une attaque imparable car menée sur une vulnérabilité dite "zero-day", utilisant des failles non détectées jusque-là dans un logiciel.
Mettre une porte blindée n'est plus une option viable vu la complexité des systèmes car l'entreprise est dépendante des échanges et en ouvrant on crée fatalement des brèches dans lesquelles les hackers s'engouffrent.
Cette ligne Maginot a été perdue, surtout que les hackers se sont industrialisés, qu'il s'agisse de particuliers, d'états ou d'organisations criminelles. Le sujet ce n'est donc plus tant la porte d'entrée de la maison mais ce qui se passe derrière.

Comment se déroulent les intrusions ciblées pour extraire des données?
Lorsque le hacker casse la porte, il arrive dans un labyrinthe. Il ne sait pas dans quelle pièce il se trouve, en l'occurrence sur quelle machine il tombe, et il y a très peu de chance que ce soit celle qui l'intéresse.
L'attaquant installe alors un passage secret qui va lui permettre de faire des allers-retours sur cette porte d'entrée. A partir de là, pendant en général deux à trois mois, il va essayer discrètement de rebondir de salle en salle, de machine en machine pour aller chercher la donnée qu'il recherche.

Comment l'entreprise doit-elle réagir?
Avant, on considérait qu'à l'intérieur de l'entreprise il ne fallait pas mettre en place trop de protocoles de sécurité pour qu'elle reste efficace et opérationnelle. Il y a eu une prise de conscience ces dernières années de la nécessité d'implanter une défense en profondeur.
L'important c'est de détecter les signaux faibles. On part du principe qu'il ne reste pas de milieux sains dans l'entreprise. La gestion des identités sur le réseau interne est donc devenue primordiale. Dans certains groupes, celle-ci est encore effectuée à la main avec des fiches papier! Cela consiste par exemple à surveiller les machines qui se mettent à avoir des comportements bizarres ou repérer les comptes d'accès qui n'étaient pas utilisés depuis longtemps et qui se remettent soudain à fonctionner. C'est là que réside la clé.