Journée Franco-Israélienne de la CCFI : première table ronde sur les PME au cur des cyber-attaques
Les PME au c?ur des cyber-attaques
La première table ronde avait pour thème cyber-attaques ciblées et guerre économique, l'équipement des PME dans la ligne de mire. Elle réunissait Pascal Lointier, Président du CLUSIF, Christian Harbulot, Directeur de l'Ecole de Guerre Economique et Itzik Kotler, CTO de Security Art. Pour Pascal Lointier, les équipements industriels de production sont aujourd'hui la cible des pirates informatiques, car ils sont accessibles par les réseaux. Par contre, les entreprises sont mal préparées à ces attaques. Il faudra plusieurs années aux Grands Comptes pour réduire ces risques. Il a cité le M2M qui est particulièrement vulnérable car la sécurité n'a pas été prévue. Cette technologie est embarquée dans de nombreux outils comme les imprimantes? Si dans les Grands Comptes le risque est mal pris en compte, c'est pire dans les PME?
Pascal Lointier, Christian Harbulot et Itzik Kotler
Pour Christian Harbulot, directeur de l'Ecole de Guerre Economique (EGE), créée il y a 10 ans, la cyber-guerre c'est à la fois des attaques sur des réseaux mais aussi la guerre de l'information. Cette dernière n'est pas nouvelle, déjà durant la guerre du Vietnam les Etats-Unis avaient certes gagné la guerre au niveau militaire, mais avaient perdu celle de l'information. Effectivement, reprend Pascal Lointier, l'informatique offensive a été utilisé lors de la guerre du Kosovo pour cartographier l'impact des cibles stratégiques détruits comme les réseaux de communication. Par contre, il a précisé qu'il ne faut pas confondre la cyber-guerre et les cyber-attaques. Pour nos intervenants, viser les PME c'est aussi agir pour déstabiliser les Etats. Itzik Kotler, CTO de Security Art, société de conseils israélienne spécialisée entre autres dans l'audit de vulnérabilités, a montré que les attaquants pouvaient utiliser des bombes logiques, des attaques en DDOS permanents, mais aussi du social engineering qui reste une arme très dangereuse. Bien sûr, reprend Pascal Lointier, on peut avoir tous les outils de sécurité, l'agression psychologique est la plus difficile à parer : « bien souvent en étant poli on peut obtenir ce que l'on veut ». Ainsi, les actions de sensibilisation doivent être répétées afin que les utilisateurs adoptent un comportement sécuritaire sans tomber dans la paranoïa. Pour Christian Harbulot au-delà des failles humaines, il y a celle de la connaissance et de l'information. Itzik Kotler a présenté des outils permettant de produire des attaques ciblées quasiment imparables. Ainsi, il est possible d'attaquer les CPU, de faire de l'overvolting, du Power cycling? Pour lui, aucun outil de sécurité ne protège à 100%, il s'agit donc pour un attaquant de trouver une seule faille pour s'y engouffrer. Souvent il ne s'agit pas d'utiliser des outils mais uniquement du social engineering en passant par les réseaux sociaux. Toutes ces attaques peuvent aussi être associées à des bombes logiques ou des DDOS. Christian Harbulot a déploré une absence de vision globale qui prendrait en compte la guerre de l'information. Pascal Lointier estime qu'il manque dans les entreprises une cartographie des enjeux de l'entreprise et une sécurisation des principales parties du SI à sécuriser en priorité. Dans ce contexte, les PME doivent bénéficier d'un accompagnement pour déployer des outils et faire une analyse de risque.