Priorité à la protection des données et des systèmes d’information

Organisée par Acteurs Publics, une table ronde dédiée à la cybersécurité a réuni à SAS Forum d’éminents spécialistes issus de la fonction publique et du conseil, afin de dresser un état des lieux spécifique à l’administration. Si les outils sont de plus en plus sophistiqués, la sensibilisation des différents acteurs doit rester une priorité.

Animée par Pierre-Marie Vidal, Directeur de la publication d’Acteurs Publics, cette table ronde regroupait Philippe Loudenot, Fonctionnaire en charge de la sécurité des systèmes d’information au Secrétariat général des ministères chargés des affaires sociales  ;  Michel Cazenave, Responsable de la sécurité des Systèmes d’information au ministère des Affaires étrangères et du Développement international  ; Philippe Kerael, VP en charge de l’offre analytique chez Capgemini et Filip Verbeke, en charge des solutions dédiées à la fraude chez SAS.

En introduction, Pierre-Marie Vidal s’est réjoui que l’Etat français ait pris la mesure de l’ampleur du phénomène et bien sûr des enjeux et dangers qui l’accompagnent. La création de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) a permis d’élever la cybersécurité au rang de priorité nationale, considérant que les enjeux relèvent non seulement du domaine économique (préserver les compétences, savoir-faire et avantages concurrentiels, en un mot la compétitivité et donc l’emploi), mais également de la souveraineté nationale (autonomie de décision et d’action dans les domaines politique, diplomatique et militaire et protection de l’ensemble des infrastructures critiques). Mais, où en est-on réellement sur le terrain ? Existe-t-il un écart entre les annonces et la réalité opérationnelle ?

 

Ministères sociaux : des outils et des risques très variés

 

L’une des difficultés de la mission de Philippe Loudenot réside dans la diversité des métiers et donc des risques associés aux activités des secteurs dont il a la charge : affaires sociales, santé, travail, sport et droits de la femme. En tant que point d’entrée de l’ANSSI dans les Ministères sociaux, il sait bien que 80% de la fraude est liée à une faiblesse de sécurité des outils. Si les textes de loi sont bien sûr utiles, la médiatisation d’affaires spectaculaires de fraude a contribué à la prise de conscience des décideurs politiques.

Cette variété des métiers et des risques a entraîné la mise en œuvre d’outils de cybersécurité très hétérogènes. Selon Ph. Loudenot, ce n’est pas une difficulté si ces outils sont bien paramétrés et utilisés. Car la sécurité, bien loin d’être une affaire uniquement technique, relève surtout d’une problématique de gouvernance et donc de management. Ainsi, les Ministères sociaux ont mis en place un système anonymisé de remontée d’incidents qui a permis de localiser plusieurs tendances de menace :

  1. Le piratage direct, avec intention de nuire
  2. Le piratage ou la fraude d’un utilisateur opportuniste
  3. Le mésusage du système d’information

Selon Ph. Loudenot, l’Internet des objets n’est pas un problème en soi (« on en fait depuis des années avec les dispositifs médicaux »), mais ce qui est nouveau c’est la volumétrie. Pour répondre aux nouveaux défis, il convient de ne pas rester passif, de se remettre en question en permanence et de sensibiliser les dirigeants.

Enfin, il est également essentiel d’organiser le dialogue et la collaboration des équipes concernées : les métiers, la direction de la fraude et la direction informatique. La sensibilisation de l’ensemble de ces acteurs, doit être accompagnée de l’analyse des signaux faibles. En résumé, l’humain apporte une valeur ajoutée que la technique, qui n’est pas une fin en soi, ne peut assurer, notamment pour réduire les faux positifs et quantifier les risques.

 

Ministère des Affaires étrangères : traquer les mauvaises pratiques

 

Si Michel Cazenave a insisté également sur la diversité des métiers et des attributions du Ministère des Affaires étrangères – au-delà de la diplomatie : sécurité des Français de l’étranger, étrangers étudiant en France, développement international, adoptions… Mais a contrario, son système d’information est homogène : chaque direction utilise les mêmes outils et applique les mêmes pratiques qui ont été standardisées. La démarche de cybersécurité, considérée également comme une priorité, a été industrialisée. Et si, selon le principe de Pareto, 80% des menaces peuvent être évacuées avec 20% des efforts engagés, 20% des menaces nécessitent encore de déployer d’énormes efforts. La cyber-analytique est, dans ce contexte, porteuse de nombreuses promesses.

Pour M. Cazenave, le premier danger qui menace l’intégrité du système d’information d’un ministère, voire d’une entreprise, réside dans les pratiques très risquées de certains agents ou employés. Aujourd’hui, tout professionnel dispose d’un smartphone et une mauvaise utilisation peut mettre en danger la sécurité du système d’information. Les décideurs en ont pris conscience, la preuve, on ne parle plus de « sécurité des SI » mais de « Cyber ». La priorité est donc de sensibiliser les différents acteurs à la grande variété de risques et de leur fournir des bonnes pratiques simples à mettre en place.

 

Cybersécurité : l’approche analytique

 

Filip Verbeke a démontré les limites des solutions traditionnelles de sécurité, qui déclenchent une avalanche d’alertes (parfois plus de 10 000 par jours) sans résoudre le problème, du fait notamment d’une grande quantité de faux positifs. Au contraire, avec le temps, on constate que le délai nécessaire pour contrer une attaque s’allonge continuellement. Au final, en 2015, malgré un investissement de 42 milliards de dollars du gouvernement fédéral américain, plus de 35% des cyberattaques ciblant l’administration n’ont pas été détectées.

Avec l’approche analytique proposée par SAS, l’analyse prédictive vient enrichir la palette d’armes contre les cyberattaques. La solution de SAS analyse les relations entre machines – au-delà de l’analyse des logs – et propose une approche par les risques permettant de catégoriser les menaces.

Dans le cas d’un virus, l’attaque est, en général, connue et on peut la maîtriser rapidement. Dans le cas d’une tentative de fraude ou d’une menace persistante avancée, la problématique est plus complexe. Filip Verbeke cite le cas d’une grande entreprise dont l’un des fournisseurs de services de conditionnement d’air avait accès à son système d’information. Le système d’information du fournisseur a été piraté et le fraudeur est parvenu à remonter jusqu’à des systèmes stratégiques de l’entreprise qui contenait des informations confidentielles. Avec la solution de SAS, cette entreprise aurait pu analyser en temps réel le comportement des machines, pour localiser celles affichant un comportement inhabituel et bloquer toute tentative d’intrusion.

Compte-tenu de l’énorme quantité de données générée par ce type d’analyse, SAS fournit des outils à ses clients pour les traiter et exploiter. Des premiers résultats sont obtenus en moins de trois mois.

Filip Verbeke cite également l’exemple d’une banque qui exploitait un système traditionnel reposant sur 52 indicateurs et générant environ 20 000 alertes par jour. Celui-ci permettait de détecter à peine la moitié des fraudes (en moyenne 3 cas avérés par jour). Avec SAS, la banque a réduit le nombre d’indicateurs à 11 et le nombre d’alertes à 100, pour parvenir au final à couvrir 90% de la fraude.

 

Capgemini : vers la cyberanalytique

 

Selon Philippe Kerael, si la cybersécurité était exclusivement portée dans le passé par le département informatique, la cyberanalytique concernent également aujourd’hui les métiers. Ces derniers participent à l’enrichissement continuel des algorithmes de détection en coopération avec l’IT. Si l’on constate encore une faible maturité des DSI français dans ce domaine, les progrès sont notables. Les exemples de collaboration entre des DSI, data scientists ou experts de la business intelligence, et des spécialistes de la cybersécurité, autour du développement d’algorithmes de cybersécurité, se multiplient.

L’approche conjointe SAS et Capgemini répond aux enjeux modernes auxquels sont confrontées les banques et institutions financières pour lutter contre la fraude, qui les déleste en moyenne de 5% de leur chiffre d’affaires chaque année. Elle propose notamment une analyse des comportements atypiques, une analyse des liens (qui permet d’identifier d’autres entités associées à des catégories de fraude connues), ainsi que des outils de scoring des fraudes et d’analyse statistique détaillée.

 

En complément :

Un article sur la conférence d’ouverture des Assises de la sécurité 2016 par le Directeur de l’ANSSI

et un autre sur les risques de piratage des systèmes de vote électronique aux Etats-Unis.