La rencontre «autour d’un verre» du 8 juillet 2019 nous a permis de recevoir Romain Hennion pour une conférence-débat fort intéressante. Ce compte-rendu a été rédigé à partir de notes de Françoise Camus et Véronique Pelletier.
Le comité de Relecture ADELI a participé activement à son amélioration.
La cybercriminalité fait régulièrement la une des médias, nous exposant à de nouvelles formes d’attaques et de nouveaux remèdes : Virus, phishing, malware, ransomware, vol de données, attaques DDoS, défacement de site Web, la liste des cybers attaques et menaces de sécurité est longue. Les conseils sur le Web ne manquent pas, souvent associés à des offres de produit ou de services.

Directeur Sécurité chez Deloitte
Romain Hennion nous a exposé sa vision organisationnelle et managériale de la sécurité informatique. Romain Hennion est auditeur ISO 27001/sécurité des SI et 22301/continuité d’activité (PECB). Il est aussi certifié Forensics (ISO 27037), Risk Manager (ISO 27005), Lead Cyber Security Manager (ISO 27032), et Certified Data Protection Officer (GDPR). Il est Directeur chez Deloitte Cyber Academy | Risk Advisory. Il intervient régulièrement à l’École Centrale de Paris en formation continue, ainsi qu’à l’EDHEC. Il est ingénieur Arts et Métiers, et titulaire du MBA et de l’AMP de Dauphine et de l’INSEAD. Il est coauteur, avec Anissa Makhlouf d’un ouvrage de référence sur la cybersécurité.
LES CARACTÉRISTIQUES DES S.I AU XXIe SIÈCLE
«Les systèmes d’information sont de plus en plus complexes. C’est pourquoi il est difficile de les modéliser aujourd’hui, de prévoir les comportements comme la météo ou l’économie. En revanche, les utilisateurs sont encore plus complexes que les systèmes d’information.»

Cybersécurité
63% des incidents de sécurité sont liés aux machines ainsi qu’aux hommes et aux femmes, utilisateurs internes. Il n’y a pas de frontières connues de la cybersécurité. De même que l’on peut se demander quelles sont les frontières d’Internet ? Les attaques sont de plus en plus complexes. Tout est permis car il n’y a plus de frontières physiques. Des mafias sont de mieux en mieux organisées ce qui entraîne d’importants problèmes de piratages qui sont difficiles à trouver. Paradoxalement, certains pirates sont rémunérés par des entreprises, voire des gouvernements et cela rapporte énormément, plus que le trafic de la drogue. Sur le Dark web, les achats de virus, de drogues, d’armes, etc. représentent environ 80 % de l’activité. Il est possible d’acheter des virus « zero day » de 50$ à 5 000$ qui exploitent les failles du matériel ou des éditeurs. Les logiciels ont des failles non identifiées par le constructeur sur le matériel. Le marché de la cyber criminalité : États, mafia, etc. représente des milliards de $ en raison de la transformation digitale.
DES EXEMPLES DE PIRATAGES
Romain nous donne des exemples de piratages connus :
- Craquer un compte gmail ;
- Voitures que l’on fait klaxonner à distance, déclenchement des warnings, des freins, etc. Elles sont pleines d’électronique, voire autonomes ;
- Accéder à des fonctions de pilotage des avions de commerce ;
- NHS, Hôpitaux en Grande Bretagne qui ont refusé de payer les rançons ;
- Sony s’est fait pirater par la Corée du Nord : le film sur le dictateur Kim Jong-un a été diffusé gratuitement, d’où un manque à gagner pour la société Sony ;
- Menace de bloquer la production, la distribution d’eau (Philadelphie) si l’entreprise ne verse pas la rançon ;
- Un site de rencontres pour couples infidèles a été mis en ligne sur le net, d’où divorces et même suicides ;
- France 24 a été piraté ;
- Botnet prend le contrôle de certains PC sans que l’utilisateur ne le sache. Une attaque peut être lancée par le pirate sur 10 000 PC pour bloquer un serveur. Cela correspond à une attaque par déni de service (DDoS) ;
- Atteinte à l’image d’une entreprise. Blocage du serveur BforBank, une banque en ligne qui ne vit que de cela ;
- Espionnage, soit d’un concurrent, soit d’un État en récupérant des informations. La motivation peut être le gain financier, l’avantage concurrentiel, l’alignement technologique ;
- Sabotage, avec intention de nuire par des « hacktivistes », cela peut être pour des opinions religieuses, des opinions politiques ;
- Attaque Stuxnet, les centrales iraniennes étaient sur le point de produire de l’uranium enrichi. Ils avaient un réseau démilitarisé ;
- etc.
Tout cela devient banal. Le risque est qu’il n’intéresse plus, que cela devienne une habitude. En 2014 le nombre le plus important de vols des informations personnelles a été enregistré. Cependant, il faut être attentif aux statistiques à qui l’on peut faire dire ce que l’on veut. D’autre part, souvent les entreprises ne dévoilent pas les vols de données, sinon le public saurait qu’elles ne sont pas suffisamment sécurisées. L’adresse IP est l’adresse utilisée pour se connecter à Internet. Elle est facile à maquiller. L’adresse MAC est l’adresse unique de votre carte réseau. Elle est difficile à dissimuler.
LE CLOUD COMPUTING
Amazon est le plus gros fournisseur de Cloud Computing. Le Cloud computing est composé de multiples couches. Chacune est fragile, donc difficile à protéger. Le système doit être protégé a priori et non a posteriori. D’où le Security by design, la sécurité imaginée dès la conception.
« Le cloud est une véritable « passoire » en termes de sécurité. »
MOTIVATIONS DES PIRATES
Quelles sont les motivations des pirates ? Romain apporte les réponses suivantes :
- Volonté de nuire ;
- Défis techniques.
COMMENT AGISSENT-ILS ?
Romain nous dresse un panorama des différents styles d’attaques :
- Attaque par déni de service : un serveur Web envoie des milliers de requêtes, ce qui a pour conséquence le blocage du serveur. Il devient fragile, c’est là que l’on peut prendre le contrôle. Les ports se libèrent : chantage, rançons…
- Attaques de plus en plus sophistiquées, sur des entreprises et même par des États pour collecter de l’information sur les humains (phishing ou hameçonnage) : numéro de la carte bleue, promesse de remboursement, abonnement gratuit.
- attaque sur les entreprises Boeing, Airbus. Il s’agit de se faire passer pour le dirigeant en demandant le paiement d’une facture ;
- APT – Advanced Persistent Threat, souvent orchestrées par des gouvernements sont des attaques silencieuses qui permettent de récupérer des données pendant très longtemps. C’est une attaque non détectée, et l’entreprise ne voit rien. Au bout de combien de temps une entreprise se rend-elle compte qu’elle a été hackée ? 200 jours !
- Emma.bovari@bercy.fr envoie aux 150 000 fonctionnaires de Bercy un mail leurs promettant des places de cinéma gratuites. Entre 10h et midi, 30 000 personnes avaient cliqué !
- Dans un faux mail Orange, ils promettent un abonnement gratuit à la 6G alors que l’on n’est pas encore à la 5G ! Bien sûr il fallait cliquer sur un lien.
COMMENT SE PROTÉGER ?
La voiture autonome
La voiture autonome sera-t-elle fiable ? La voiture est un serveur. En 2020-2025 la voiture sera électrique et autonome.
Le Smart Grid
Le smart Grid est un système de systèmes interconnectés. En 2030, il faut prévoir un black-out sur un grid.
OIV – Organisations d’Importance Vitale
200 entreprises sont d’importance vitale (OIV) en France. Elles ont des plans de secours et un cadre normatif ISO 27001. Les entreprises doivent avoir des plans de secours en cas de cyber attaque. Toutes peuvent être hackées. Trois choses sont à protéger :
- la disponibilité ;
- l’intégrité :
- la confidentialité.
Sémantique
Il est nécessaire de distinguer :
- la donnée personnelle, c’est l’information qui identifie la personne ;
- la donnée confidentielle, seules les personnes autorisées y ont accès ;
- la donnée qui est brute ; par exemple, le nombre 39 est une donnée ;
- l’information a du sens. Par exemple : 39 degrés Celsius ;
- Une information n’est pas automatiquement informatisée ;
- la sécurité qui protège l’information ;
- la sûreté de fonctionnement, par exemple être capable de redémarrer.
LA GESTION DES RISQUES
Le risque zéro n’existe pas. Lorsqu’un incident s’est produit, il faut être réactif. Le risque est potentiel et préventif, il n’est qu’une probabilité. Le temps pour qu’une entreprise décèle le problème est en moyenne de 200 jours. La gestion limite l’impact de l’incident, c’est la gestion de l’incertitude. Il existe 4 grandes familles de risques :
- cybercriminalité : le site affiche en temps réel les flux anormaux (c’est-à-dire une différence de 5%) ;
- atteinte à l’image : une banque en ligne piratée ;
- espionnage ;
- sabotage : intention de nuire.
Les techniques sont les mêmes, les motivations diffèrent.
Le système SCADA – Système de contrôle et d’acquisition de données
Le système SCADA (en anglais : Supervisory Control And Data Acquisition): tous les boitiers pour gérer la climatisation, les ascenseurs, les groupes électrogènes… ont été conçus il y a 30 ou 40 ans et n’ont jamais été imaginés pour être sécurisés. Le système n’a pas été prévu pour aller sur Internet. Quand on veut attaquer un serveur, on attaque ses systèmes SCADA, reliés au serveur, en particulier les caméras vidéo, puis on s’introduit dans le système. Il n’y a plus de respect de la vie privée ! Dans l’exemple que Romain nous a montré, la caméra de l’hôtel est directement reliée au port 8080, qui est non sécurisé. Sur la Google hack database, il est possible de vérifier les vulnérabilités des sites que l’on veut étudier : https://en.wikipedia.org/wiki/Google_hacking.
«Nous avons repéré une faille de sécurité dans Google : on a accès directement à une base de données d’un site marchand. Je peux me faire livrer gratuitement 10 chaises chez moi… J’efface mes traces après…»
30% des sites web sont sous WordPress qui est facile à « craquer ». L’architecture du site WordPress est connue. Les pirates savent exactement où il faut aller.
«Sur mon site, je vous dis comment on récupère le mot de passe».
Comment craquer un compte gmail. On utilise « Cali » sur une machine virtuelle. Ce sont des distributions de Linux que l’on peut télécharger librement sur Internet. Je vais faire une attaque de social engineering, par vecteur Web. Romain nous fait la démonstration. Cela semble, en effet, très simple.
AUDIT
Lorsque l’on fait un audit, on vérifie trois processus :
- Gestion des actifs et des configurations. On veut savoir si l’entreprise maîtrise son système d’Information (CMDB ou CMS) ; dans 80% des entreprises ce processus n’est pas maîtrisé ; on trouve encore des personnes qui sont parties depuis six mois de l’entreprise et qui ont gardé leur PC ;
- Gestion des risques ; processus documenté et appliqué pas uniquement dans les outils mais dans le comportement des personnes qui l’utilisent ; on a défini des niveaux de maturité pour cela; ce n’est pas parce que vous achetez Word que vous aurez le prix Nobel de littérature ! Il faut s’organiser – sous forme de processus ;
- Gestion des incidents ; on lance des incidents et on regarde la capacité de réaction de nos clients ! puis leur capacité d’apprentissage ! Il s’agit de l’ « entreprise apprenante ». Dans les normes ISO, c’est l’ « amélioration continue ». Lorsque l’on fait des erreurs, on doit être capable de les détecter et surtout, on doit apprendre de nos erreurs.
Les Anglais, pragmatiques, disent : “We try, we fail, we fix”. Michel Audiard a dit : « un con qui marche va toujours plus loin qu’un intello assis ».
Lorsque l’on fait des simulations de phishing, tout le monde va cliquer sur le premier mail, ensuite les utilisateurs apprennent à se méfier. C’est de la « sensibilisation », il est souhaitable de changer le comportement des personnes. C’est difficile de leur faire changer d’ habitudes : on parle alors de « résistance au changement ». Par exemple, on a pu faire le constat que seulement cinq personnes sur neuf ont badgé en entrant dans le data center alors qu’une politique des entrées / sorties existait.
Quelques questions sont posées par l’assistance
Qu’en est-il de la sécurité des objets connectés ?
«Est-ce qu’un frigidaire est fait pour être sécurisé ? A-t-on vraiment besoin d’un frigo connecté ?” “Plus c’est connecté à Internet, plus c’est faillible car ils ne sont pas conçus pour être sécurisés.»
On peut regarder le principe de la « destruction créatrice » de Schumpeter pour l’ « innovation ». Vous innovez :
- avec de nouveaux produits ;
- par les moyens de production ;
- par les moyens de distribution ;
- etc.
Facebook en analysant nos « like » a 80% de chances de savoir pour qui nous allons voter ! De plus, ils ont revendu une partie de nos données ! Il existe des failles de sécurité dans Google. 30% des sites sont sous WordPress, on peut récupérer le mot de passe en clair. Il est facile de craquer un compte gmail. Un milliard d’objets connectés dans le monde : réfrigérateur intelligent, poubelle, four… idem dans la salle de bain, la chambre, le séjour, le jardin… Encore plus pervers, la poupée connectée qui demande à la petite fille d’ouvrir la fenêtre pour laisser entrer les voleurs. Ce n’était heureusement qu’un test ! Ne vous en faites pas, c’est la modernité, le progrès ! Vous pouvez regarder la Série sur Canal+ « Years and years » pour vous faire une idée sur les perspectives d’avenir… En cas de black-out total d’Internet, il restera les câbles, le morse et les signaux de fumée… Tous les objets connectés à internet sont faillibles.
En conclusion
Cette conférence débat montre que l’homme peut être «bon ou mauvais» suivant le camp dans lequel il se place, l’éducation qu’il a reçue… Pourquoi certains ont-ils besoin de faire du mal aux autres ? Ont-ils besoin de reconnaissance ? Font-ils subir aux autres ce qu’ils ont subi eux-mêmes ? Celui qui lutte contre la cybercriminalité est-il un justicier ? L’humanité doit réfléchir, à ce que le capitalisme, a pu apporter de meilleur pour l’homme et vers quels abimes il va le plonger si rien ne change. Le progrès ne peut pas être nié. Toutes les innovations ont amélioré la vie des hommes. On ne voit plus ces gens dans les champs cultiver à la main leurs semences. La voiture a amélioré les déplacements, ce faisant, elle a amélioré toute une partie de l’économie qui a fait circuler les fruits, légumes, les biens tout d’abord localement, puis en France, en Europe et dans le monde… C’est là, que peut-être, on n’a pas assez réfléchi aux impacts sur notre planète. L’homme vit beaucoup plus longtemps qu’il y a un siècle dans les pays développés. On vit plus longtemps, en meilleure santé. L’énergie a permis de se chauffer, de se déplacer, de construire des usines, de voir la nuit, chez soi, dans les rues (même à la campagne). L’eau courante a permis aux femmes de gagner du temps, d’être sensibilisées à l’hygiène, d’avoir des machines à laver… Mais combien d’hommes sont morts au fond des mines, dans des accidents de la route, des accidents d’avion, des accidents dans les usines, sur les chantiers, dans les laboratoires de recherche ? ou même d’infarctus à cause d’une nourriture trop riche, de l’alcoolisme, du tabagisme ? Une société est diverse. Elle doit se protéger, protéger ses concitoyens contre les individus «mauvais». Des règles ont été développées, des lois ont été écrites. La vie s’améliore globalement, mais pas pour tous, pas individuellement. Attention de ne pas aller trop vite, de ne pas faire d’erreurs irréversibles. Nous devrions marquer un palier, profiter des bienfaits actuels. La retraite, en France est une avancée sociale incroyable. Il est vrai que nous avons payé, payé très cher pendant que l’on travaillait. Mais ce système est une bénédiction. Mais vivre, simplement, peut apporter beaucoup.
Le numérique devrait être perçu comme un complément, une aide, une optimisation pour de très nombreuses activités. Il peut aider à réguler, mesurer, améliorer… Il faudrait vivre avec le numérique et non vivre pour le numérique ! Vous trouverez sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information – ANSSI de nombreux conseils et bonnes pratiques en cybersécurité.