« Nous devons nous soucier autant de la sécurisation de nos systèmes que de leur fonctionnement si nous voulons apporter le changement révolutionnaire nécessaire. » – Le groupe de travail Wikileaks de la CIA.
Ainsi se termine une section clé d’un rapport Agence centrale de renseignement des États-Unis produit à la suite d’une énorme violation de données en 2016 qui a conduit à Wikileaks publiant des milliers de documents classifiés volés à la division des cyberopérations offensives de l’agence. L’analyse met en évidence une série choquante de failles de sécurité dans l’une des entités les plus secrètes au monde, mais les faiblesses sous-jacentes à l’origine de la violation sont malheureusement trop courantes dans de nombreuses organisations aujourd’hui.
La CIA a produit le rapport en octobre 2017, environ sept mois après que Wikileaks a commencé à publier Coffre 7 – des tonnes de données classifiées détaillant les capacités de la CIA à effectuer une surveillance électronique et une cyberguerre. Mais le contenu du rapport est resté caché au public jusqu’au début de cette semaine, lorsque des parties fortement expurgées ont été incluses dans une lettre de Le sénateur Ron Wyden (D-Ore.) au directeur du renseignement national.
La CIA a reconnu que ses processus de sécurité étaient si « terriblement laxistes » que l’agence n’aurait probablement jamais été au courant du vol de données si Wikileaks n’avait pas publié les documents volés en ligne. Quel genre de failles de sécurité a créé un environnement qui aurait permis à un ancien employé de la CIA d’exfiltrer autant de données sensibles ? En voici quelques-unes, sans ordre particulier :
- Ne pas détecter rapidement les incidents de sécurité.
- Ne pas agir sur les signes avant-coureurs concernant des employés potentiellement à risque.
- Avancer trop lentement pour mettre en place des mesures de sécurité clés.
- Un manque de surveillance de l’activité des utilisateurs ou de capacité d’audit de serveur robuste.
- Aucun contrôle efficace des supports amovibles.
- Aucune personne n’est habilitée à garantir que les systèmes informatiques sont construits et maintenus en toute sécurité tout au long de leur cycle de vie.
- Données historiques disponibles pour tous les utilisateurs indéfiniment.
Remplacez l’expression « cyberarmes » par « productivité » ou simplement « systèmes informatiques » dans le rapport de la CIA et vous lirez peut-être le post-mortem produit par une entreprise de sécurité engagée pour aider une entreprise à se remettre d’une violation de données très dommageable.
DIVISÉS NOUS RESTONS, UNIS NOUS CHOMONS
Une phrase clé du rapport de la CIA fait référence à des lacunes dans la « compartimentation » des risques de cybersécurité. À un niveau élevé (pas nécessairement spécifique à la CIA), le cloisonnement des environnements informatiques implique des concepts importants tels que :
- Segmenter son réseau afin que les infections ou les violations de logiciels malveillants dans une partie du réseau ne puissent pas se propager dans d’autres zones.
- Ne pas autoriser plusieurs utilisateurs à partager des mots de passe de niveau administratif
- Développer des bases de référence pour l’activité des utilisateurs et du réseau afin que les écarts par rapport à la norme soient plus visibles.
- Inventaire, audit, journalisation et surveillance en continu de tous les appareils et comptes d’utilisateurs connectés au réseau informatique de l’organisation.
« L’Agence a développé et exploité pendant des années des systèmes de mission informatique en dehors de la compétence et de la gouvernance de l’informatique d’entreprise, invoquant le besoin de fonctionnalité et de rapidité de la mission », a observé la CIA. « Bien qu’elle remplisse souvent un objectif valable, cette » informatique fantôme « illustre un problème culturel plus large qui sépare l’informatique d’entreprise de l’informatique de mission, a permis aux propriétaires de systèmes de mission de déterminer comment ou s’ils vont se contrôler eux-mêmes. »
Toutes les organisations connaissent des intrusions, des failles de sécurité et des oublis de faiblesses clés. Dans les entreprises suffisamment grandes, ces défaillances se produisent probablement plusieurs fois par jour. Mais le facteur de loin le plus important qui permet à de petites intrusions de se transformer en une violation de données complète est le manque de capacité à détecter et à répondre rapidement aux incidents de sécurité.
De plus, étant donné que les employés ont tendance à être la faiblesse de sécurité la plus abondante dans toute organisation, il est judicieux d’instituer une sorte de formation continue de sensibilisation à la sécurité pour tous les employés. Certains experts en sécurité que je connais et que je respecte considèrent les programmes de sensibilisation à la sécurité comme une perte de temps et d’argent, observant que peu importe le niveau de formation d’une entreprise, il y aura toujours un certain pourcentage d’utilisateurs qui cliqueront sur n’importe quoi.
Cela peut être exact ou non, mais même si c’est le cas, au moins l’organisation a alors une bien meilleure idée des employés qui ont probablement besoin de contrôles de sécurité plus granulaires (c’est-à-dire plus compartimentés) pour les empêcher de devenir un sérieux problème de sécurité.
Lettre du sénateur Wyden (PDF), une série de failles de sécurité persistantes à la CIA, dont beaucoup ont déjà été corrigées par d’autres agences fédérales, notamment l’authentification multifacteur pour les noms de domaine et l’accès aux systèmes classifiés/sensibles, et l’anti-spam protections comme DMARC.