octobre 6th, 2014

Assises de la Sécurité 2014 : Anssi nouvelle vague, protéger du CAC au particulier

Posté on 06 Oct 2014 at 8:09

C’est Guillaume Poupard, patron de l’Anssi, qui ouvrait la quatorzième édition des Assises de la Sécurité. Une quasi « première prise de contact » officielle avec l’industrie infosec, un discours attendu qui devait confirmer (ou non) le cap donné par son prédécesseur Patrick Pailloux.

Un Patrick Pailloux qui s’était montré plus que prudent l’an passé, se contentant de reprendre l’air de son grand succès « Back to Basic / no to Byod », modifiant çà et là quelques paroles pour y glisser des allusions aux OIV (opérateurs d’importance vitale) et à la question des réseaux Scada. Il faut dire que le père spirituel de l’Anssi, sur le départ, ne pouvait politiquement se montrer plus précis et engager la responsabilité de son successeur.

Depuis, la Loi de Programmation Militaire (LPM) a été votée. L’Anssi a été confirmée dans sa mission de défense du Trésor de l’Empire, et naturellement, Poupard revenait sur les thèmes OIV et surtout Scada, « objet de toutes mes craintes » précisait-il. Pourtant, l’on note de subtiles différences dans le ton. Si, politiquement, le Directeur de l’Agence affirme « je m’inscris dans la continuité de Patrick Pailloux », il martèle « Nous ne sommes pas là que pour la protection de l’Etat. Nous ne sommes pas qu’une entité technique, nous ne travaillons pas qu’au profit des grands. Il faut que nous apportions des solutions adaptées pour les PME, il faut une sécurité à destination des citoyens, il faut accompagner les nouveaux usages ».

Des bulles PME et Grand Public

Cette descente des hautes sphères était jusqu’à présent inespérée. L’Anssi, même au cœur des petites collectivités territoriales, est souvent vue comme le bouclier des Ministère et la bulle de sécurité du CAC 40. L’entendre parler des PME, mieux encore envisager (sans préciser encore sous quelle forme) de s’adresser au citoyen, au particulier, dénote d’un profond changement de mentalité. Et mentionner les « nouveaux usages », autrement dit les composants intelligents, les outils de mobilité, l’Internet des Objets, c’est indiquer clairement que l’Agence (accompagnée dans ces missions par d’autres Ministères, d’autres institutions) entend globaliser la vision sécurité de tout système d’information, du plus grand au plus insignifiant. Reste à espérer que ces messages « top-down » de sensibilisation et d’information ne seront ni déformés, ni dilués par les différentes strates, et ne s’achèveront pas dans de vagues opérations de « permis de conduire Internet pour pré-ado » ou des campagnes simplistes à la sauce « Protège ton ordi ».

Si l’on en revient au rôle initial de l’Anssi, garant des fleurons de l’Industrie Nationale, Poupard explique « La loi de programmation militaire a été le bon véhicule qui passait au bon moment. Il fallait une prise en compte des OIV en passant par la loi ». Certes, dit-il en substance, ces dispositions peuvent passer de prime abord comme contraignantes, risquant d’alourdir encore plus la partie « industrielle » de l’Opérateur. Mais ces « contraintes », qui sont de toute manière techniquement définies en collaboration avec les opérateurs eux-mêmes, vont rapidement être acceptées, digérées, puis peu à peu faire tâche d’huile, et déborder sur des secteurs pourtant nettement moins critiques ou stratégiques. En d’autres termes, c’est par l’école des « opérateurs d’importance vitale » et par cette obligation légale d’un certain nombre de procédures normées et certifiées que le gène de la sécurité se transmettra, de proche en proche. Du cœur de l’OIV vers les départements moins sensibles, de ces départements vers les entreprises collaboratrices (sous-traitants, partenaires), puis de ces satellites vers d’autres entreprises de plus petite envergure et ainsi de suite. « Et nous ne serons pas les seuls affirme Guillaume Poupard. Je suis certain que l’on verra des « articles 22 » dans d’autres pays en Europe. »

Détecter, renseigner, gagner du terrain : l’ère post-passi

A peine achevée la première fournée d’entreprises « certifiées » compétentes dans le domaine de l’audit de sécurité (les Passi, prestataires d’audit de la sécurité des systèmes d’information) que l’Anssi entame un nouveau Grand Chantier, celui des spécialistes de la détection. Il y aura donc des « prestataires es-sondes » portant un label Anssi, dont le rôle sera d’installer des systèmes permanents de surveillance, de détection et d’alerte en cas d’attaque. « Il faut améliorer les systèmes de détection, et non plus seulement faire confiance au périmétrique » insiste Poupard. Et de continuer « il ne faut plus pouvoir entendre « l’intrusion doit remonter au moins à trois ans… parce qu’avant, on n’avait pas encore de log ». Allusion transparente aux déboires d’Areva. Détecter mais aussi signaler, remonter l’information à destination des « savants » de l’Agence, pour que le risque puisse être analysé et signalé aux autres entreprises nationales. « Une attaque n’est jamais réellement unique. Les techniques d’intrusion sont employées parfois avec quelques variantes, et en connaître l’empreinte facilitera le déploiement de protections sur d’autres sites ». En d’autres termes, même s’il n’est jamais agréable d’avouer, il faut que les industriels, OIV en tête, divulguent chaque tentative de piratage, par solidarité industrielle et nationale.

Solidarité également du côté des différents professionnels de la sécurité Français qui doivent apprendre à coordonner leurs efforts, aplanir leurs différents pour mieux s’imposer sur les marchés étrangers, Européens tout d’abord, mondiaux ensuite. L’industrie de la protection des S.I. « made in France » est performante, mais ne dispose pas de la même force de frappe que ses homologues d’Outre-Atlantique par exemple. Pour progresser et conquérir réellement des parts de marché, il faut, dit en substance le patron de l’Anssi, que nous cessions de débarquer sur des côtes étrangères comme une tribu gauloise, dans un désordre qui nous dessert.

Etendre le périmètre de l’Agence, multiplier les filières certifiées, protéger les grands vecteurs de recherche et développement, sécuriser le tissus industriel du sol au plafond, développer une « furia francese » de l’industrie infosec tant en France que sur les marchés étrangers, inventorier et protéger les secteurs sensibles, établir des relations « de confiance sans illusion » avec des puissances amies afin d’enrichir les bases de connaissance en matière de sécurité… les missions de l’Anssi deviennent tellement variées qu’il devient parfois difficile de les embrasser toutes.

Une Mehari pour les PME

Posté on 06 Oct 2014 at 7:22

Mehari (MEthod for Harmonized Analysis of Risk) est une méthode Française destinée à accompagner pas à pas le responsible sécurité dans l’identification et l’analyse de risque. Née au milieu des années 90 sous l’égide du Clusif, elle adopte le modèle Open Source en 2010 pour mieux faciliter son adoption et surtout se montrer l’égale d’approches concurrentes et/ou complémentaires (eBios, Iso 27005, Nist 800, Marion, Octave…).

Disponible en téléchargement gratuit sur le site du Clusif, Mehari fait partie des méthodes retenues et conseillées par l’Enisa.

En cette seconde moitié 2014, un nouveau pas vient d’être franchi, avec la parution de Mehari Pro, une version de la méthode spécifiquement destinée aux PME. Tout comme les autres variantes de Mehari plus orientées “grande entreprise”, cet outil d’analyse de risques des S.I. propose la même approche méthodologique : identification des situations, évaluation des conséquences possibles, évaluation des probabilités d’occurrence, évaluation de la qualité et de l’efficacité des mesures préexistantes.

Le Botnet qui lisait Reddit

Posté on 06 Oct 2014 at 7:14

Cette technique décrite sur le blog de Dr Web n’est pas sans rappeler ce « proof of concept » très visionnaire développé en 2010 par Itzik Kotler et Ziv Gadot : le botnet qui prend ses ordres d’une publication en ligne ou d’un réseau social. Mais celui découvert par les chasseurs de virus Russes n’est pas un « botnet en chambre ». Il existe bel et bien dans la nature, a infecté près de 17 000 machines sous OSX, se nomme Mac.BackDoor.iWorm et prend ses ordre en lisant les commentaires publiés via ReddIt. La suppression du compte du Botnet est sans le moindre effet, puisqu’il ne faudra que quelques minutes au gardien de troupeau pour créer un nouveau compte de commande.

La solution miracle consisterait peut-être à fermer l’intégralité des réseaux sociaux… ou pas.

En Bref …

Posté on 06 Oct 2014 at 6:55

Adam Caudill et Brandon Wilson ont publié, à l’occasion de la dernière DerbyCon, un PoC situé dans la droite ligne de BadUSB .

Publicité

MORE_POSTS

Archives

octobre 2014
lun mar mer jeu ven sam dim
« Sep   Nov »
 12345
6789101112
13141516171819
20212223242526
2728293031