11 Février 2023
Garder ses services actifs et ses données saines et accessibles est le véritable enjeu de la sécurité informatique.
Types d’attaques ? Résilience ? Bonnes pratiques et solutions ? Nous avons interviewé notre Architecte Cloud SAP, Paul Louis dit Picard, sur les enjeux de la sécurité informatique.
La sécurité informatique étant un sujet très large, notre expert a décidé de se focaliser, pour cet article, sur les enjeux de la sécurité informatique dans deux cas : les pannes et les attaques informatiques.
Un équipement, qu’il soit de stockage, virtualisation, réseau ou autre, tombe forcément en panne à un moment ou un autre de son cycle de vie. Ce phénomène est bien connu et acté par la plupart des DSI et des entreprises. Les entreprises et industriels mettent donc en place des systèmes résilients et des process pour pallier ce problème et assurer une continuité de service.
Concernant la panne d’un équipement, la mise en place d’équipements préconfigurés prêts à prendre le relai représente un gain de temps conséquent. On parle de systèmes résilients. Ces architectures sont la base de la plupart des environnements cloud.
Bien connu des services techniques, les systèmes de bascule liée à la virtualisation sont de nos jours bien rodés et présents sur les infrastructures critiques. De ce fait, si un hôte hébergeant un serveur tombe en panne, quand le système est résilient c’en est un autre qui va prendre la main, évitant un arrêt de service pour remplacer l’équipement et le relancer.
Lors de pannes plus globales, panne générale dans un data center, problèmes réseau…, l’enjeu consiste à minimiser le temps de perte de données (RPO) et le temps de récupération du service (RTO). Les Plans de Reprise d’Activité (PRA) précisent l’ensemble des procédures à appliquer en cas de sinistre et permettent de répliquer les données vers un autre data center, une autre région, un autre cloud ; et ainsi, récupérer les données et le service le plus rapidement possible.
Dans l’environnement SAP, la base de données SAP HANA prévoit un système de PRA - ‘SAP HANA System Replication’ (HSR) - qui permet de répliquer les données de la base de données HANA sur la base d’un RPO de 15 minutes maximum. Le RTO, lui, sera différent en fonction des infrastructures et des solutions de Disaster Recovery plan (DRP).
Panne particulière ou globale, de manière générale les entreprises ont plutôt bien cerné l’importance de la mise en place d’un système résilient. Elles sont sensibilisées sur le sujet car, comme dit plus tôt, on est sûr de sa fatalité et il est important que la résilience soit vue, comprise et intégrée dès le début d’un projet afin d’éviter des surcoûts et du temps supplémentaire pour rétablir un service.
Cela étant dit, cette notion de résilience, même si elle est quasi systématique dans les clouds publics, peut s’avérer déficiente dans certains contextes. On pourrait penser que le fait de réaliser son PRA dans un cloud public suffit en ce qui concerne la sécurisation des données ; malheureusement ce n’est pas toujours le cas.
Ainsi, certaines entreprises restent sur un environnement ‘on premise’ et externalisent leur PRA sur du cloud public en pensant assurer une certaine redondance voire résilience. Cependant, la réalité est toute autre ; certains applicatifs « legacy » plus ou moins vieillissants peuvent être confrontés à une certaine obsolescence, pannes matériel ou logiciel et constituer ainsi un single point of failure (SPOF) des infrastructures et de la résilience.
La sécurité face aux attaques informatiques est encore, à elle-même, un très large sujet. Il existe quantité d’attaques différentes qui impliquent nombre de bonnes pratiques à mettre en place au niveau informatique : implémentation des patchs de CVE, mise en place de la sécurité by design, protection des applicatif Web (WAF) et encore d’autres.
Comme on sait qu’un matériel tombera en panne un jour ou l’autre, aujourd’hui, on sait que toute entreprise ayant recours à un système d’information et/ou un site internet sera un jour ou l’autre cible d’attaques informatiques : vol d’identité, vol de données, intrusion de système, injections SQL, Attaque MITM, cryptolocker, distributed deny of service (DDoS), etc.
En ce qui concerne le vol d’identité, ces attaques sont de manière générale liées à un mot de passe trop faible ou à du social engineering (exploiter les faiblesses psychologiques, sociales et plus largement organisationnelles pour obtenir un mot de passe ou autres informations).
Un exemple d’attaque connue et publique concerne Uber qui a reconnu s’être fait hacker son système d’information le 22 septembre dernier. L’attaquant avait acheté des identifiants VPN sur le Dark Web et s’est fait passer pour une personne du service informatique qui avait besoin de la validation de l’authentification multi-facteurs (MFA) d’un des employés. L’employé ayant accepté, l’attaquant a eu accès à l’ensemble des données chez Uber, tous les comptes de Cloud chez AWS, toutes les clés et autre. Un exemple de la faiblesse de la protection liée à l’exploitation d’une attaque pourtant bien connue et peu compliquée.
Les attaques par cryptolocker sont de nos jours accessibles via des sites web fournissant des cryptolocker prêts à l’emploi, on parle de « Cryptolocker as a Service ». Cette possibilité d’acheter des cryptolockers a engendré forcément un accroissement conséquent d’attaques de ce type.
Chaque jour voit son lot d’exemples d’attaques comme celui de la mairie de Caen qui en a subi récemment les conséquences. Un employé a ouvert un mail de phishing et une partie du système a été contaminé. La mairie a donc dû arrêter tout le système informatique pendant une semaine.
Autre problématique : les attaques de type DDoS. Elles consistent à envoyer un nombre excessif de requêtes sur un serveur pour le faire tomber en panne. Ce sont ce qu’on appelle des équipements zombie (botnet) qui vont se charger d’envoyer des milliers de requêtes par seconde, le but étant de saturer la bande passante du service afin qu’il tombe en panne.
Nous avons dans cet articles énumérés les attaques qui alimentent le quotidien des DSI. A chaque attaque correspond des systèmes de sécurité pour s’en prémunir. On peut parler des systèmes anti DDoS, équipements qui vont permettre de rediriger le flux pour empêcher l’attaque par exemple, comme d’autres outils de sécurisation qui voient le jour face à la découverte quotidienne de nouvelles failles ou faille « zéro-day » pour les vulnérabilités dont l'éditeur du logiciel ou le fournisseur de service n'a pas encore connaissance, ou qui n'ont pas encore reçu de correctif. Une solution telle que Command Vulnerability and Exposure (CVE) recense les vulnérabilités publiques et propose le patch associé, ce qui pourra faciliter la vie des services informatiques dans le maintien en condition opérationnelle des infrastructures.
Cet article de Paul Louis Dit Picard brosse très rapidement les enjeux liés à la sécurité du système d’information. Toutefois, gardez en tête qu’on parle de panne ou attaque informatique, le risque est omniprésent. Il est donc important de se poser les bonnes questions : Que mettre en place ? Quelles sont les solutions existantes ? Quels investissements faire sur son système ? Sur la mise en place des bonnes pratiques ?
Des enjeux qui, face à l’ampleur qu’ont pris les attaques informatiques, concernent non seulement la partie technique, mais aussi les procédures avec les infogéreurs et la gouvernance avec les garants du maintien en condition opérationnelle des infrastructures et applications.
Quelle trajectoire pour Endexar en 2024 ?
L'Offre edxGUARD
ENDEXAR s’appuie sur Microsoft Sentinel ...
Pourquoi une offre de sécurité Endexar ?
Cyberattaques : Les enjeux de la sécurité informatique...
