Se connecter
Mettez un pirate dans vos ordinateurs
Lundi matin. Comme après chaque début de semaine lorsque vous êtes de retour dans votre entreprise, vous mettez votre ordinateur en route pour consulter votre fichier clients et voir lesquels vous démarchez cette semaine. Et là, surprise : impossible d’accéder à la base de données. Un message d’erreur s’inscrit sur l’écran, tout le fichier a disparu. Envolé. Et avec lui tous les précieux renseignements confidentiels amassés à force d’années de travail. Scénario de science-fiction ? Détrompez-vous. Aujourd’hui, les “cyber-pirates” peuvent facilement s’introduire dans le réseau de votre entreprise et y causer de graves dégâts. Parfois ils détruisent tout simplement vos fichiers, d’autres fois, ils les “kidnappent”. Des renseignements qui peuvent alors être revendus à vos concurrents ou bien qui vous seront restitués en échange du paiement d’une rançon. Deux banques anglaises ont ainsi dû débourser plus de 100 millions de livres pour récupérer leurs données ! Et pour ces exemples qui sont sortis au grand jour, combien d’autres n’ont pas été ébruités… Car en la matière, la discrétion est de rigueur et on ne communique pas volontiers sur ce qui ferait une très mauvaise publicité. D’autant qu’une fois entré dans votre système, un hacker peut en profiter pour aller pirater un autre réseau auquel vous êtes relié par un intranet. Et dans ce cas, sachez que vous êtes juridiquement responsable de ce piratage, au même titre que le hacker. Encore sceptique ? Alors voici quelques chiffres qui devraient achever de vous convaincre des enjeux de la sécurité informatique. Selon une étude d’une association américaine pour la sécurité, en 1999 plus de la moitié des entreprises ont été victimes d’un piratage interne de la part d’un employé indélicat. Imaginez par exemple un commercial qui part à la concurrence avec les fichiers de l’entreprise sous le bras… Et près de 20 % des entreprises interrogées ont déjà subi une intrusion externe de hacker. Des incidents graves qui ont entraîné un arrêt de fonctionnement dans 45 % des cas. Des intrusions autorisées C’est dans ce contexte que, depuis un an et demi, quelques sociétés françaises proposent des audits complets de sécurité avec en particulier la réalisation de tests d’intrusion. IDC prévoit le développement de ces outils de surveillance. Ce segment de marché, encore infime puisqu’il ne représente que 3 % des dépenses globales des entreprises pour la sécurité, devrait augmenter dans des proportions impressionnantes, de l’ordre de 400 % entre 1999 et 2002. Un succès que le cabinet d’études explique par deux avantages principaux : les outils d’intrusion “permettent de tester régulièrement l’étanchéité du système et de faire évoluer la politique de sécurité en conséquence. Ces tests sont aussi l’occasion de "couvrir" la direction informatique aux yeux de la direction générale en garantissant que tout est mis en œuvre pour sécuriser le système d’information.” En novembre dernier, certaines de ces sociétés de services se sont regroupées au sein d’une association, la Fédération des professionnels des tests intru-sifs (FTPI), afin de garantir déontologie, transparence et confidentialité. Car ce que font ces sociétés n’est ni plus ni moins que du piratage “autorisé”. “Nous essayons de pénétrer les systèmes d’une entreprise qui nous a mandatés pour le faire, explique Philippe Lemaire, responsable commercial chez CF6. L’objectif est de mesurer le niveau de sécurité, la facilité de piratage : est-ce que n’importe qui peut s’introduire dans le réseau ou au contraire faut-il une semaine à un hacker fou pour le faire ?” Bien souvent, il ne faut pas plus de deux jours ou une semaine aux spécialistes de CF6 pour trouver les failles du système informatique et découvrir l’emplacement et les mots de passe donnant accès aux bases de données de l’entreprise. Pourquoi ? Tout simplement parce que les systèmes intra/extra/internet sont autant de portes dont on ne sait pas toujours si elles sont bien fermées. “Les hackers profitent de toutes les failles, précise Philippe Lemaire, ils peuvent pénétrer par le standard téléphonique lorsque celui-ci a une adresse IP, qu’il est relié au réseau. Ils peuvent aussi bousiller le site web institutionnel censé représenter l’image de marque : c’est arrivé par exemple au site de l’Unicef qui s’est retrouvé avec des filles à moitié nues sur sa page d’accueil, ou au site de la CIA. Les pirates peuvent aussi essayer d’accéder au fichier des transactions dans l’e-commerce.” Un marché en plein boom L’idée des tests d’intrusion est donc de vérifier périodiquement (tous les deux mois par exemple) que le niveau de sécurité est maximal. Pour cela, les spécialistes de CF6, d’Edelweb et d’Apogée Communications (les trois sociétés faisant partie de la FPTI) utilisent les mêmes moyens que les hackers délinquants : ordinateurs de puissance habituelle et pas superpuissants, connexions aux sites web des pirates eux-mêmes pour, au final, entrer dans le réseau de l’entreprise cliente. Mais là s’arrête la comparaison avec les hackers : une fois l’intrusion réussie, il s’agit de proposer des solutions et de dispenser des conseils pour sécuriser les réseaux (cf. encadré). CF6 est vital pour certaines sociétés : leurs clients ...se nomment Aérospatiale, Dassault, Crédit Lyonnais, Banque Générale du Luxembourg ou Ministère de la Défense, notamment. Mais au-delà de ces clients traditionnels dont les besoins en sécurité sont évidents, ces sociétés spécialisées en tests intrusifs voient se développer une nouvelle clientèle, de grands comptes déjà victimes de piratages et qui prévoient désormais un budget dédié à la sécurisation de leurs réseaux. Un mouvement qui devrait s’amplifier encore dans les années à venir, car aujourd’hui il ne faut pas s’appeler Einstein pour pirater une entreprise : le web offre en libre-service manuels, outils et méthodes très perfectionnés et simples d’utilisation pour qui veut s’essayer à la cyber-criminalité.
Une panoplie de solutions Même si, comme le rappelle Philippe Lemaire, de CF6, “en matière de sécurité informatique, le risque zéro n’existe pas”, il y a toute une panoplie de solutions à mettre en œuvre pour obtenir une protection maximale et éviter toute intrusion dans votre réseau informatique. Il s’agit des anti-virus (protection des logiciels), des solutions de cryptage de données (intéressantes pour les entreprises “sensibles” comme la banque ou le e-commerce) et les traditionnels firewalls (protection des réseaux grâce à de véritables portes blindées). Des solutions efficaces, à condition qu’elles soient disposées à chaque point faible. Mais la sécurité passe aussi par de la formation et des conseils aux employés. Exemple : sensibiliser un commercial au fait qu’il ne doit pas, lorsqu’il est à son bureau, se connecter à internet via un simple modem si son ordinateur est relié au réseau de l’entreprise. Pourquoi ? Simplement parce qu’un modem n’est absolument pas protégé et qu’il constitue donc un boulevard pour les hackers.
La sécurité : un marché en croissance Pour les entreprises informatiques, le marché de la sécurité est très prometteur. Avec le développement d’internet, des technologies qui y sont reliées (intra/extranet) et la multiplication des serveurs de BDD, les sociétés devraient consacrer de lourds investissements pour se protéger des pirates. Dans une étude de 1999, IDC prévoit ainsi que le marché français de la sécurité des systèmes d’information représentera 3,350 MdF en 2002, soit un triplement par rapport à 1998. Les anti-virus continueront de se tailler la part belle, en représentant près de 47 % des dépenses des entreprises. Cela se comprend aisément lorsque l’on sait que 45 000 virus, selon la société Data Fellows, sont en circulation dans le monde aujourd’hui et que d’année en année, leur nombre est en augmentation ! Ensuite, les firewalls, ces portes blindées des systèmes informatiques, constitueront un tiers du marché.
Ce qu’il faut retenir .En 1999, plus de la moitié des entreprises auraient été victimes de piratages de leurs systèmes d’information par des employés “indélicats”, et 20 % affirment avoir subi des assauts de pirates extérieurs. Des incidents qui ont entraîné un arrêt de fonctionnement dans 45 % des cas. .La sécurité est d’abord une affaire de bon sens : par exemple, il faut sans cesse rappeler à ses employés de ne pas se connecter à internet via un simple modem non sécurisé. Et savez-vous que les pirates peuvent se faufiler dans vos ordinateurs via le réseau téléphonique lorsque celui-ci dispose d’une adresse IP ? .Le marché de la sécurité devrait tripler d’ici à 2002. Les anti-virus et les firewalls constitueront l’essentiel des dépenses des entreprises. Mais les tests d’intrusion augmenteront de 400 % entre 1999 et 2002.
