C’est Sun Tzu qui le disait il y a plus de 2 500 ans dans « l’art de la guerre ». L’avons-nous retenu ?
La récente attaque informatique contre TV5 Monde a malheureusement tendance à nous montrer qu’il n’en est rien. Cette impressionnante cyberattaque contre la chaîne internationale de télévision francophone – qui a réussi à interrompre la diffusion pendant plusieurs heures et a piraté, en même temps, la quasi-totalité de leurs comptes sur les réseaux sociaux– a commencé, selon des sources proches du dossier citées dans la presse, début janvier.
« Lorsque le coup de tonnerre éclate, il est trop tard pour se boucher les oreilles. » disait ce même Sun Tzu. Force est de constater qu’une fois de plus il avait raison. Lorsque l’attaque est effectivement lancée, il n’y a plus grand-chose à faire mis à part tout débrancher. C’est d’ailleurs ce que, semble-t-il, les équipes informatiques de TV5 Monde ont fini par faire.
Si les techniques utilisées pour pénétrer l’infrastructure n’avaient, apparemment, rien de très innovantes, la réussite, d’une opération de cette envergure a nécessité une phase de préparation à la fois minutieuse et discrète. Il parait tout à fait vraisemblable qu’elle ait pu commencer dès le mois de janvier.
Sans les données collectées pendant cette phase de préparation, il est peu probable que l’attaque ait pu être lancée et avoir l’impact que l’on connait.
La sécurité réelle des entreprises dépend donc de leur capacité à détecter ces phases de préparation. De leur capacité à identifier, à traiter l’ensemble de signaux faibles et à adapter rapidement les solutions de sécurité afin d’empêcher les attaquants de collecter les informations indispensables à la construction du vecteur d’attaque.
Mais la phase de préparation est silencieuse. Elle est souvent quasi invisible. Par définition elle doit passer sous les radars. Elle utilise généralement la principale faiblesse des architectures de sécurité actuelles que représentent les flux chiffrés. Si elles sont détectées ce ne sont souvent que quelques signaux faibles perdus dans une quantité de plus en plus importante d’alertes de sécurité.
La dangerosité d’une attaque est inversement proportionnelle à sa visibilité. Quand l’attaque devient visible il est trop tard. Le mal est fait.
Pour cela l’entreprise doit s’adapter. Elle doit passer d’une approche de type « réponse à incident » à une stratégie de « réponse et d’adaptation continuelle ». Elle doit éliminer les « trous noirs » qui rendent aveugle les solutions de sécurité.
Cela implique souvent des changements organisationnels, des ressources et des moyens supplémentaires. Mais les technologies évoluent également et permettent désormais aux organisations d’accompagner ces changements de manière efficace.
On dit que l’histoire est un éternel recommencement…. Espérons que cela change.