Évolution des risques informatiques en entreprise


    André Ouellet - 07/03/2011

    Les risques de nature informatique pourraient s’intensifier dans les mois à venir. Prolifération des applications Web, virtualisation, réseaux sociaux, accroissement des travailleurs mobiles et des plateformes, voilà autant de facteurs appelant à une grande vigilance.

    En effet, la situation ne s’améliore pas: la firme de sécurité informatique PandaLabs a enregistré 20 millions de nouvelles souches de programmes malveillants en 2010, une hausse d’environ 50 % par rapport à l’année précédente. Au total, PandaLabs a répertorié quelque 60 millions de ces programmes. Au Canada, le volume de polluriel a doublé en 2010 par rapport à l’année précédente, selon un sondage effectué par Cisco. En somme, le cybercrime prospère, engrangeant des millions de dollars, et nombreux sont les malfaiteurs qui courent impunément.

    L’essor fabuleux de la mobilité préoccupe au premier chef les spécialistes de la sécurité. Une enquête récente du fabricant CheckPoint révèle que 54 % des entreprises prévoient une augmentation du nombre de leurs travailleurs mobiles en 2011. Cette croissance est largement stimulée par le désir des employés d’accéder à distance à des applications, à des données et à des ressources d’affaires à partir de dispositifs personnels autant que des terminaux d’entreprise. Une majorité de dirigeants se disent inquiets de la situation, qui risque d’exposer davantage les données sensibles.

    Au fil des ans, les organisations ont mis en place des couches de protection destinées à imperméabiliser leurs systèmes contre les attaques externes. Toutefois, les appareils mobiles sont reliés à la fois à Internet et aux réseaux d’entreprise, ce qui constitue « un point central entre l’interne et l’externe », créant une faille potentielle en matière de sécurité, explique Alex Bédard, directeur de la sécurité chez TechnoConseil et membre du Conseil d’administration de l’Association de la sécurité de l’information du Québec (ASIQ). « En outre, la très grande diversité des applications que l’on peut exécuter sur ces appareils et le fait qu’elles soient souvent méconnues amplifient les risques », croit-il.

    PRINCIPALES MENACES

    Divers périls guetteront les entreprises au cours des prochains mois en matière de sécurité de l’information. En voici un aperçu (selon diverses sources, dont PandaLabs et McAfee) :

    • Attaques ciblant les applications mobiles, les applications de géolocali­sation et les adresses URL raccourcies

    • Exploitation des vulnérabilités des navigateurs (drive by download) – Introduction d’un programme malveillant par l’entremise du navi­gateur d’un internaute visitant un site Web particulier

    • Nouveaux types de programmes malveillants, d’hameçonnage et de chevaux de Troie (sous forme de plugiciels et véhiculés par des lecteurs multimédias notamment)

    • Programmes malveillants ciblant Windows 7, HTML5 et les plateformes mobiles

    • Attaques mixtes (blended attacks) – Combinaison de plusieurs formes d’intrusion, par exemple un virus et un cheval de Troie

    • Attaques contre un serveur se répandant avant qu’on ne puisse les détecter

    • Menaces internes – Attaques perpétrées à l’intérieur même de l’organisation.

    • "Hacktivisme" – Utilisation du cyber­espace par des activistes de toutes tendances afin de promouvoir des idées ou une cause

    • Référencement malhonnête (Blackhat SEO) – Utilisation de techniques non éthiques pour obtenir un meilleur référencement

    Dans ce contexte, on peut penser que les plateformes d’Apple, qui détient une vaste part de marché grâce à ses appareils iPhone et iPad, seront ciblées à court terme par les cybercriminels, indique Dominique Bérubé, conseiller en sécurité au Bureau de sécurité des technologies de l’information de l’Université Laval. Selon lui, la complexification du contrôle de l’information force les entreprises à émettre des directives claires en matière de mobilité – a propos du chiffrement, notamment, et de la nature des données stockables dans un appareil mobile (téléphones intelligents, clés USB, appareils photo, etc.). Si Apple est susceptible de devenir une cible privilégiée, on peut croire également qu’une plateforme comme Android est déjà dans la mire des pirates. Il serait souhaitable, d’un autre côté, de dresser une liste des applications sûres et potentiellement dangereuses, question de mieux contrôler l’usage que font les employés des dispositifs mobiles.

    Réseaux sociaux, virtualisation et informatique en nuage

    Par ailleurs, l’engouement pour les réseaux sociaux fait craindre des incidents de sécurité. En 2010, déjà, Facebook et Twitter ont servi de rampes de lancement à certaines attaques, révèle PandaLabs. Alex Bédard évoque la clientèle captive des réseaux sociaux, plus susceptible de croire à un subterfuge. Pour cette raison, il pense que les tentatives d’hameçonnage se feront dorénavant au sein de ces réseaux davantage que par courriel. Les utilisateurs doivent se rappeler de ne pas publier sur ces sites de l’information confidentielle appartenant à l’employeur.

    Ici encore, une politique d’entreprise peut s’avérer fort utile. « On ne pourra tout contrôler, mais des directives précises peuvent faire réfléchir les employés aux dangers potentiels des réseaux sociaux », observe Dominique Bérubé. Pour sa part, Eugène Gaumond, directeur, Sécurité TI et conformité, à la Banque de développement du Canada (BDC), estime que l’on doit encadrer l’utilisation de ces réseaux adéquatement et professionnellement. « Le besoin existe bel et bien, et il est inutile d’en interdire l’accès », plaide-t-il.

    Attention aussi à la virtualisation, qui s’est beaucoup répandue dans les entreprises ces dernières années. « Une attaque perpétrée contre un serveur sur lequel on a virtualisé plusieurs environnements peut entraîner la perte simultanée de toutes ces partitions », rappelle Alex Bédard. Plus on crée de machines, plus le parc informatique grandit et plus la charge de gestion s’alourdit. « Il est important d’appliquer à tous les environnements virtuels les correctifs émis à la fois pour les systèmes d’exploitation et les applications, indique Dominique Bérubé. On doit le faire même lorsqu’un environnement n’est pas relié à Internet, car un virus peut aussi provenir d’un dispositif mobile », ajoute-t-il.

    Une partition virtuelle est parfois éphémère. Selon ses besoins, on peut la créer et la supprimer le même jour. Il devient alors primordial de faire un suivi de sécurité, suggère Eugène Gaumond. En plus des processus et des contrôles de sécurité adéquats, la virtualisation doit faire l’objet d’audits réguliers, estime-t-on à la BDC. Du reste, on commence à mettre la virtualisation à profit en tant que couche de sécurité supplémentaire. En effet, une technologie de virtualisation de navigateur peut aujourd’hui contribuer à protéger les réseaux.

    D’autre part, l’informatique en nuage constitue une tendance à laquelle les entreprises devront également porter attention car, en vertu de ce concept, elles confient la sécurité de leur environnement technologique à un tiers. « La seule façon de se protéger est d’établir par contrat la sécurité que l’on aurait soi-même mise en œuvre », indique Alex Bédard. Il importe aussi de savoir où les applications sont hébergées. Aux États-Unis, par exemple, le Patriot Act permet au gouvernement d’accéder à sa guise aux données des organisations, ce qui n’est pas le cas au Canada, souligne pour sa part Dominique Bérubé. Nonobstant le défi qu’elle soulève en matière de sécurité, l’infonuagique paraît incontournable à moyen ou à long terme. « Le jour où l’informatique en nuage sera très populaire, elle deviendra une cible également, soutient Eugène Gaumond. En attendant, il y a un climat de confiance à bâtir par rapport à ce concept, qui doit gagner en maturité. »

    Intégration aux processus globaux

    Quels que soient les enjeux qui se posent à une organisation, la sécurité fait aujourd’hui partie des processus d’affaires. Au sein des services TI, les barrières autrefois érigées entre sécurité et système/réseau ne tiennent plus – comme en fait foi l’acquisition récente de firmes spécialisées en sécurité par de grandes multinationales des TI (McAfee, Fortify et BigFix, respectivement achetées par Intel, HP et IBM).

    Les entreprises constatent que la sécurité doit constituer une partie plus stratégique de leur infrastructure TI globale. Selon le chef du marketing des produits de CheckPoint, Scott Emo, les organisations doivent examiner les méthodes permettant de sécuriser toutes les couches de données – stockées, en transit et en cours d’utilisation. Une telle approche contribuera à faire passer la perte de données du stade de la détection à celui de la prévention.