Une approche multi sectorielle pour une problématique de sécurité commune
Une approche multisectorielle pour une problématique de sécurité commune
Plus de 400 spécialistes de la cybersécurité s’étaient donné rendez-vous aux Information Security Days Luxembourg, le 12 avril 2016. Les participants ont eu l’occasion d’assister à une table ronde organisée par Telindus intitulée « Une approche multisectorielle pour une problématique de sécurité commune ».
Cédric Mauny, Department Manager Security Audits and Governance Services chez Telindus, a ainsi donné la parole à un panel de professionnels de la sécurité de l'information issus de différents secteurs d’activité.
Les discussions ont porté sur les menaces qui pèsent sur l'ensemble des acteurs socio-économiques, sur les moyens à mettre en œuvre pour y faire face ainsi que sur les conditions nécessaires pour échanger de manière sure et efficace l'information, les modèles de défense et les bonnes pratiques.
A cette occasion, nous avons rencontré quatre des intervenants, chacun étant à la fois porteur des spécificités propres à son métier mais aussi convaincu de la nécessité d'unir les efforts contre une menace commune.
Ferrero: "la sécurité ne connaît pas de frontières"
Avec plus de 34.000 employés, 21 usines et 10 grandes marques internationales, le groupe Ferrero a atteint en 2015 la troisième place dans l'industrie mondiale de la confiserie. "Chez Ferrero, nous vendons du chocolat à travers le monde entier", rappelle Daniel Mathieu, Head of IT de Ferrero International et lauréat du Luxembourg CIO of the Year Award 2015. "La contrepartie, c'est que la notoriété de Ferrero l'expose à des attaques provenant de tous les points du globe. Les courriers indésirables, suspects, frauduleux et les tentatives de phishing représentent ainsi près de 95% des emails que nous recevons – avec comme conséquence le risque d'inflation du taux de faux positifs et de perte d'information lorsque des messages importants sont mis en quarantaine par les logiciels antispam", précise-t-il.
L'entité luxembourgeoise de Ferrero se trouve au cœur d'un processus de centralisation initié en 2010. "Au cours de ces trois dernières années, nous avons construit au Luxembourg une équipe internationale composée de personnes provenant de 12 pays différents et qui apporte son support à plus de 70 organisations nationales", explique Daniel Mathieu. "Il est donc crucial pour nous de détenir un dispositif de sécurité fort. Nous avons établi des partenariats avec des acteurs majeurs de la cybersécurité pour être informés de manière optimale sur l'état des risques et des menaces. Nous avons également développé un réseau en ce sens au sein de notre écosystème de fournisseurs ainsi qu'entre les consommateurs et nous."
"Nous accordons un soin particulier à la sécurité de nos données critiques", dit-il encore. "Pour cela, nous disposons de bases de données et de composants logiciels développés par nos propres soins qui font appel à des techniques de chiffrement et qui ne sont accessibles qu'à travers des réseaux soigneusement confinés afin de garder la maîtrise sur les flux de données, leur intégrité et leur sécurité. L'accès aux données qui relèvent de l'innovation, de la création et de la R&D – nos recettes, par exemple - est réservé à quelques comptes d'utilisateurs privilégiés qui font l'objet d'une authentification forte."
Elargir le cercle d'échange
Pour Daniel Mathieu, "la sécurité ne connaît pas de frontières: un problème qui apparaît au Brésil peut toucher demain le Luxembourg. C'est pour cette raison que nous devons aussi partager nos connaissances et nos pratiques avec nos partenaires locaux".
"De notre point de vue, qui est celui d'un acteur industriel international, la communication en matière de sécurité de l'information au Luxembourg est largement orientée vers le secteur financier", regrette-t-il. "Il serait souhaitable d'élargir le cercle à d'autres secteurs. Ainsi, chez Ferrero, nous disposons d'un certain nombre de groupes de pairs où nous échangeons, notamment, nos meilleures pratiques en matière de cybersécurité".
Deux types d'interlocuteurs sont à privilégier, selon lui: " d'une part, nous devons partager l'information avec des pairs de confiance et d'autre part organiser, lorsqu'un incident se produit, une communication claire à l'attention des métiers et des utilisateurs quant à la nature de l'attaque et à la manière dont nous y avons réagi".
E-santé : un environnement en pleine mutation
Didier Barzin est depuis 2013 le RSSI de l'Agence Nationale eSanté, dont le rôle est d’assurer une meilleure utilisation des informations dans le secteur de la santé et le secteur médico-social en vue d’améliorer la prise en charge coordonnée du patient. "De par son rôle d'opérateur d’une plateforme de partage et d’échange d'informations", explique-t-il, "l'Agence a fait de la confidentialité et de la disponibilité des données ses priorités en matière de cybersécurité". Par ailleurs, pour réduire les risques liés à l'intégrité des données, les hôpitaux, les établissements et les professionnels de santé luxembourgeois sont connectés à travers Healthnet, "un réseau privé qui permet de sécuriser les échanges". "De plus", poursuit Didier Barzin, "nous avons rassemblé dans un CERT dédié les compétences propres au secteur de la santé". Ce Computer Emergency Response Team est apte à faire face aux vulnérabilités liées, notamment, aux nouveaux usages tels que le recours de plus en plus fréquent à des dispositifs médicaux connectés.
"L'Agence eSanté est également intégrée dans un programme européen d'échange d'informations médicales relatives à des ressortissants de l'UE hospitalisés au Luxembourg", explique-t-il. Il s'agit du projet epSOS (Smart Open Services for European Patients), qui trouve d'ores et déjà une expression concrète dans les échanges entre le Luxembourg et le Portugal. "Pour parer aux risques liés à ce type d'échanges et éviter les abus du système, les transferts d'information sont identifiés au sein d'un hub au niveau national et les communications ont lieu ensuite de hub à hub."
Quelle valeur pour les informations de santé?
Le RSSI de l'Agence eSanté estime que le risque principal auquel cette dernière serait exposée serait celui d'une indisponibilité de la plateforme suite à une attaque, avec pour corollaire une mauvaise prise en charge du patient. Mais quelle valeur les données de santé ont-elles pour les cybercriminels? Aux Etats-Unis, l’OCR (Office of Civils Rights) recense depuis 2009 les brèches de sécurité dans les données médicales qui touchent plus de 500 personnes. Selon un rapport de l’OCR, surnommé Wall of Shame, 268 failles de sécurité ont été identifiées pour la seule année 2015, concernant plus de 113 millions de dossiers médicaux. "Les médias évoquent régulièrement la valeur de l'information de santé sur le Dark Web, mais je reste assez circonspect à ce propos. Cela dit, il y a un intérêt financier évident pour les hackers à dérober des données médicales: "ceux-ci pourraient s'emparer de ces données pour proposer des remèdes miracles à des personnes vulnérables atteintes de maladies graves". Mais la vrai valeur de ces données est une économie pour les caisses de maladie par une meilleur prise en charge des patients grâce au partage et à l’échange des données médicale entre professionnels de santé permettant une meilleur coordination des soins.
Apporter des garanties aux parties prenantes
Jusqu'il y a peu, les médecins et le personnel de santé luxembourgeois étaient amenés à utiliser des ressources informatiques traitant des données sensibles sans pour autant avoir d'assurance sur le niveau de sécurité concernant l’accès aux données. "En mai dernier", explique Didier Barzin, "l’Agence eSanté a obtenu la certification ISO 27001 pour son système de gestion de la sécurité des informations". Cette certification, rappelle le RSSI de l'Agence eSanté, "atteste du degré de maturité du système de management de la cybersécurité de l’Agence, mais aussi du professionnalisme de l’équipe ayant encadré et piloté l'ensemble de la démarche".
Pictet & Cie (Europe): trouver l'équilibre entre transparence et réputation
En 25 ans d'activité, Jean-Yves Mathieu a acquis une expérience considérable des enjeux de la sécurité de l'information. Actif au Luxembourg depuis 1990, cet expert chevronné en cybersécurité a notamment exercé chez EY, CTG et Fideuram Bank. Il est aussi l'un des fondateurs du Collège des Professionnels de la Sécurité de l’Information (CPSI à Luxembourg ainsi que de la L’Association pour la Protection des Données à Luxembourg (APDL) et un membre de la branche belge de l'ISACA (Information Systems Audit and Control Association). Après avoir assuré pendant près de huit ans les responsabilités de Chief Information Security Officer auprès de la banque J. Safra Sarasin, Jean-Yves Mathieu a rejoint Pictet & Cie (Europe) en août 2015, en tant que Head of Information Security Risk Management.
"Le meilleur des antivirus, c'est l'être humain"
"Dans notre Banque, tout nouvel arrivant est amené à suivre une session de sensibilisation à la sécurité de l'information, qu'il soit stagiaire, cadre ou consultant externe", explique Jean-Yves Mathieu. Cette action de sensibilisation est adaptée à chaque fonction. Elle met l'accent sur l'impact financier pour certains, sur le risque de réputation pour d'autres. Elle est axée sur le phishing, la bonne gestion des mots de passe, l'identification rigoureuse des clients et la détection de la fraude, mais aussi sur les bonnes pratiques à adopter dans le cadre de la vie privée: "plus un collaborateur se sent concerné dans ses pratiques quotidiennes, plus la sensibilisation est efficace", témoigne le RSSI de Pictet & Cie (Europe).
Selon lui, "les cyber-escroqueries arrivent en tête des dangers qui menacent aujourd'hui le secteur financier: fraude liée aux cartes de crédits, usurpation d'identité, tentatives d'extorsion de fonds, ou encore chantage à la destruction de données. Pour y faire face, la formation des utilisateurs demeure l’une des armes les plus efficaces". La première chose à faire lorsqu'une attaque est détectée est de s’y être préparé préalablement en disposant d’un plan de prévention et de réponse. Ensuite, de déconnecter les terminaux infectés, de conserver les preuves de l’attaque, de mettre tout en place pour neutraliser l’assaillant, (etc…). Il faut également former et sensibiliser les employés sur les méthodes utilisées par les hackers car à l’heure actuelle, ils attaquent rarement de front, explique Jean-Yves Mathieu. "Ils tentent plutôt de gagner la confiance de l'utilisateur. En cas de suspicion ou de fraude avérée, l'utilisateur doit avoir le réflexe de contacter le responsable de son département ou les équipes spécialisées qui ont l’habitude de traiter ce genre de cas.
Risque de réputation et cadre réglementaire
Même s'il est convaincu des bénéfices du partage de l'information en matière de cyber défense, Jean-Yves Mathieu doit admettre que ce partage doit se faire sous certaines conditions. Il faut pouvoir partager les informations importantes (vulnérabilités détectées, attaques connues déjouées ou non) rapidement via un canal sécurisé ou via un ‘’networking sélectif (Via une association comme le CPSI ou via le CIRCL)’’. Dans moins de deux ans, la nouvelle réglementation européenne en matière de protection des données (GDPR) imposera également aux entreprises de protéger les données personnelles (soient elles des employés ou des clients), "et les pénalités encourues seront très importantes", observe-t-il.
En outre, il est difficile pour le RSSI d'une banque de partager une information importante sans mettre en danger la réputation de l'institution. "Il est nécessaire de créer un canal de communication sûr entre responsables de la sécurité pour communiquer sur ce type d'information sensible. Un tel mécanisme existe en Suisse à travers la plateforme MELANI de la Centrale Nationale d'Enregistrement et d'Analyse pour la Sûreté de l'Information, qui diffuse auprès de ses membres les informations et les alertes dès l'identification d'un problème de cybersécurité, ce qui permet au RSSI d'une entreprise de mettre en garde les équipes responsables de la gestion de la sécurité de la banque mais aussi les utilisateurs ", explique Jean-Yves Mathieu. Il insiste encore sur l'importance "de disposer d'un canal de communication fiable de manière à ce que le l'identité de la société visée par les cybercriminels ne soit pas divulguée, ce qui porterait atteinte à son image et à sa réputation". Au Luxembourg, des organismes comme CASES (Cyberworld Awareness and Security Enhancement Services) et CIRCL (Computer Incident Respinse Center Luxembourg) peuvent jouer ce rôle, selon lui.
Luxmetering: un impact direct sur l'économie
Luxmetering G.I.E. a pour mission de développer et de gérer le système national de comptage intelligent pour l'électricité et le gaz naturel. Paul Hoffmann en est le Directeur depuis 2013. "La dimension la plus importante pour nous est clairement l'impact que peut avoir une attaque sur nos services", estime-t-il, "en particulier l'injection d'un firmware dans nos compteurs qui commanderait le déclenchement de ceux-ci. Si elle devait survenir, une attaque de ce type nous contraindrait à visiter individuellement chacun des 300.000 compteurs de notre parc, ce qui signifie qu'autant de foyers, d'entreprises et d'administrations se verraient privés d'électricité pendant des mois. En tant qu'infrastructure critique, nous avons un impact direct sur l'économie luxembourgeoise."
Des systèmes d'information conçus autour des exigences de sécurité
La protection des données personnelles est également un sujet qui revêt une grande importante aux yeux du directeur de Luxmetering, ainsi que la conformité vis-à-vis des lois relatives à l'organisation des marchés de l'électricité dont l'ILR est le garant.
"C'est pour faire face à ces contraintes que nos systèmes d'information ont été conçus autour de nos exigences de sécurité", explique Paul Hoffmann. "Notre politique de sécurité implique des audits internes sur une base continue ainsi que des audits réguliers de nos fournisseurs. Nous travaillons en étroite collaboration avec le GOVCERT (computer emergency response team of the Government of the Grand Duchy of Luxembourg), avec CIRCL (Computer Incident Response Center Luxembourg), et même avec des hackers éthiques pour conserver une longueur d'avance par rapport aux sources traditionnelles", souligne-t-il.
Recueillir et partager rapidement l'information
Pour Paul Hoffmann, il est essentiel de disposer des informations relatives à la cybersécurité dans des délais très courts afin de pouvoir réagir très rapidement: "nous ne nous contentons pas d'auditer nos infrastructures quelques fois sur l'année, nous le faisons sur une base quotidienne afin de restreindre au minimum le champ d'action de ceux qui menacent nos infrastructures. D'autre part, nous sommes tenus de partager nos informations au niveau international, avec d'autres réseaux en Europe et au-delà, et d'informer le public en cas d'attaque ou d'incident. Le marché de l'Internet des Objets, du Smart Metering et du Smart Grid dans lequel nous prenons pied est tout nouveau et l'expérience en matière de sécurité pour ces technologies n'est pas encore très développée. C'est pourquoi nous devons partager l'information au-delà des frontières".
Tirer parti de la petite taille du Luxembourg
Paul Hoffmann considère que le facteur humain est très important en matière de cybersécurité. Ainsi, "toute entreprise devrait pouvoir disposer d'une sorte de Security Starting Kit afin de sensibiliser l'ensemble des employés aux conséquences que peut avoir un simple clic de souris".
"Ma conviction est que la menace est commune à tous les secteurs. Nous sommes tous menacés de la même manière: nous devons donc travailler ensemble, partager nos connaissances et nos pratiques afin de nous protéger contre les menaces. Nous devons également partager l'information de manière plus efficace à travers les différentes plateformes dont nous disposons, les forums de discussion et les événements auxquels nous participons", ajoute Paul Hoffmann.
"Nous devrions également tirer parti de la petite taille du Luxembourg, du fait que tout le monde s'y connaît, pour communiquer dans un environnement de confiance. La proximité entre professionnels, de la sécurité notamment, est assurément à verser à l'actif du Luxembourg", conclut le directeur de Luxmetering.