Cet article est paru à l'origine dans l’édition Juin/Juillet 2017 de Australian Security Magazine.
Il ne se passe plus une semaine sans que l'on parle partout d'une nouvelle menace, attaque ou atteinte contre un grand groupe qui touche des milliers de parties prenantes qui en dépendent. L'attaque du ransomware WannaCry est encore dans toutes les têtes et la portée des dégâts qu'il a créés se fait encore sentir. La cybersécurité concerne bien plus que des uns et des zéros – nous faisons tous partie du «système de défense de la cybersécurité», ce n'est pas uniquement l'affaire des conseillers en sécurité de l'information et des services informatiques.
Comment l'Australie s'en sort-elle ?
Les entreprises australiennes ne font pas exception quand il s'agit de cyberattaques – CERT Australia, le principal point de contact en matière de questions liées à la cybersécurité qui touche les grandes sociétés australiennes, a répondu à près de 15 000 incidents sur l'année fiscale 2015-2016. Ce chiffre ne recense que les incidents signalés. Avec une cybercriminalité en pleine expansion et la divulgation obligatoire des violations qui devrait voir le jour l'année prochaine, nous pourrions voir ce chiffre grimper brutalement.
Qu'est-ce qui est ciblé au juste ? Comme l'on peut s'y attendre, les principales cibles sont les secteurs de l'Énergie et de la Banque, qui présentent un rendement élevé. S'agissant des incidents auxquels la CERT Australia a répondu sur cette période, plus d'un tiers concernaient les secteurs de l'Énergie et de la Banque.
Il est important de reconnaître que les attaques aléatoires ou ciblées sur un groupe précis ont des répercussions directes sur les consommateurs et les autres secteurs et groupes. Cet effet est accru à mesure que notre interdépendance avec l'informatique est de plus en plus forte – la croissance des services informatiques, des transactions dématérialisées, et le déplacement global vers l'IoT impliquent que les cyberattaques auront un impact de plus en plus lourd et étendu.
Le datacenter pris pour cible
La majorité des gens associent les cyberattaques aux logiciels – des attaques en provenance de logiciels malveillants, dans les courriels, etc. Cependant, dans notre monde connecté, le datacenter à proprement parler, de par sa nature, est le principal point de connexion entre un groupe et ses fournisseurs tiers, par conséquent, le monde extérieur. Il s'agit d'une zone à haut risque, ne vous y méprenez pas.
Les pannes de datacenters peuvent miner une activité, notamment du fait de l'accroissement de la dépendance envers les services IT. La cybercriminalité est la deuxième cause principale des pannes de datacenter dans le monde, et celle qui augmente le plus rapidement.
Les différents nœuds d'accès d'un datacenter – câble, fibre, ondes, etc. – doivent être protégés contre les intrusions, car des acteurs doués peuvent s'en servir pour accéder au datacenter et toutes les précieuses données qu'il contient. La fibre, les nœuds de réseaux et de communication sont généralement considérés comme les cibles les plus probables, en particulier pour la tristement célèbre attaque DDoS, du genre de celle qui a perturbé plus d'une douzaine de sites Web importants, parmi lesquels Twitter, Spotify, Netflix et Amazon.
Comment protéger votre datacenter
Les entreprises veulent désormais comprendre clairement les dispositions existantes ainsi que la perception de la situation en matière de cybersécurité. Cela implique un plan global abordant tous les aspects, y compris les pare-feu, la détection des menaces, la gestion des antivirus, les outils, les correctifs et le contrôle de révision des logiciels.
Du côté du datacenter, cela entraîne des actions spécifiques comme le déploiement obligatoire d'une solution de gestion de l'infrastructure de datacenter (DCIM), afin d'évaluer les actifs inexploités ou sous-exploités d'un datacenter – les serveurs inactifs sont des cibles de choix pour les attaques par cheval de Troie, le cloisonnement IT, la résilience des infrastructures améliorée, etc.
Bien qu'il n'y ait pas de stratégie ou d'empreinte claire et universellement admise pour protéger le datacenter, vous pouvez entreprendre de nombreuses actions à cet effet.
- Établir un périmètre, probablement pour le datacenter lui-même, mais éventuellement pour les pièces qui l'entourent
- Dresser un inventaire de tous les actifs en matière d'IT, de réseau, de stockage et d'IP, ainsi que tout ce qui est connecté en direct ou à distance
- Supprimer les actifs inutilisés
- Recenser tous les utilisateurs du datacenter – attribuer un accès unique et mettre en place des politiques d'utilisation
- Changer les mots de passe au moins tous les 90 jours
- Créer une politique d'administration obligatoire, qui commence par remplacer tous les paramètres par défaut des fabricants d'équipements d'origine (OEM) avant de lancer une connexion réseau.
Vous pouvez adopter d'autres mesures comme participer à une réunion ou une conférence dédiée aux utilisateurs de datacenter, où vous pouvez écouter ou vous adresser à un expert local à propos des menaces actuelles et des moyens de les atténuer. Vous pouvez également engager un chevalier blanc qui vous livrera la dure vérité quant aux faiblesses de votre datacenter.
Des normes globales devraient voir le jour également – le Règlement Général sur la Protection des Données ('GDPR') de l'Union européenne, adopté en mai 2016 et qui devrait entrer en vigueur d'ici mai 2018, comprendra, avec un peu de chance, des recommandations détaillées concernant la cybersécurité des datacenters, qui pourront s'appliquer à l'échelle mondiale.
Il convient de ne pas oublier qu'investir aujourd'hui dans la protection de votre datacenter vous coûtera moins cher, d'un point de vue économique autant que pour votre réputation auprès de vos clients, que d'avoir à gérer les retombées d'une belle cyberattaque.