Bilan du Forum 2006 du Cert-IST

Date : 04 Juillet 2009

Le thème du Forum 2006 était "l’Intégration des productions du Cert-IST dans les processus et les organisations".

La matinée, ouverte aux RSSI des Entreprises Françaises des secteurs Industrie, Services et Tertiaires, à leurs experts ainsi qu'aux personnalités qualifiées, a été consacrée à l'intégration des services du Cert-IST au niveau opérationnel, décisionnel et stratégique.

La table ronde de fin de matinée « Les organisations face aux outils à installation spontanée », était précédée d’une introduction de M. Laurent BELLEFIN, qui anime le groupe de travail « Sinistralité » du CLUSIF. Celui-ci a rendu publics le 28 juin les résultats 2006 de son étude "Politiques de sécurité des systèmes d’information et sinistralité en France". Quelques chiffres significatifs extraits de l'étude ont été présentés en avant-première au Forum Cert-IST.

Les représentants des principaux organismes de la SSI en France ont ensuite débattu de la problématique des outils à installation spontanée et des impacts / réponses aux niveaux opérationnels, décisionnels, stratégiques.

L'après-midi avait une composante plus technique et était consacrée à des retours d'expérience et/ou des tables rondes sur des  problématiques particulières (techniques de contournement des anti-virus, workflow structuré des informations de veille, etc...).

 

Compte-rendu détaillé des interventions

Allocution d'ouverture : « Management de la Sécurité, un enjeu stratégique »

Le Cert-IST a eu le privilège d’accueillir M. Philippe DULUC (Directeur de la Sécurité Groupe pour France Télécom - Secrétariat général) qui a prononcé une allocution d’ouverture « Management de la Sécurité, un enjeu stratégique ». Dans son intervention, M. DULUC a analysé les grandes tendances dans la gestion de la SSI, évoqué l’apport des CERTs et CSIRTs et tracé quelques perspectives. Ainsi, la convergence de l’ensemble des systèmes de communication vers IP crée un nouveau « cyberespace » : « Ce nouvel espace ressemble au Far West, royaume de la gratuité, de l’abondance, de la liberté et des fortunes faciles. L’impunité peut encore y régner. La  police et les autorités judiciaires doivent s’y adapter, et les comportements civiques s’y développer ».

La sécurité de l’information qui doit être une posture de sécurité globale, doit s’inscrire dans une démarche normalisée (ISO/IEC 27001, EBIOS, BS 7799-1 et 2, ITIL, et pour la gestion des risques FERMA, COBIT, Bâle II). M. DULUC a évidemment inscrit dans cette démarche le « Sarbanes-Oxley Act » (SOX) évoqué plus en détail ultérieurement. Il a ensuite exposé sa perception du rôle des CERTs qui : « constituent des organismes indissociables de la sécurité des réseaux et de l’information ». En conclusion, les acteurs de la SSI doivent anticiper une évolution normative de leur activité et les CERTs se préparer à développer de nouveaux services :

  • réactifs : gestion de crises, traitement d’incident, analyse post-mortem,
  • proactifs : alertes et prévention des attaques,
  • assistance au management de la sécurité (analyse de risques,  bonnes pratiques).

 

Aspects opérationnels : la lutte contre les attaques virales

En ce qui concerne le domaine opérationnel, l’équipe Cert-IST a choisi de traiter en priorité la lutte contre les attaques virales. En effet, on rappelle que le vote des 10 vulnérabilités de l’année, réalisé lors de la précédente édition du Forum en 2005, avait abouti au plébiscite par le public des attaques virales (Bagle, Netsky, Mydoom, Sasser). Ce résultat nous avait convaincu que le rôle des CERTs restait majeur dans la lutte anti-virus (pour plusieurs raisons que nous avons ensuite détaillées), en complément de celui des éditeurs.

Tout d’abord, les attaques les plus dangereuses font appel à l’exploitation de failles, et se produisent de plus en plus rapidement par rapport à la capacité de réaction des éditeurs et des équipes d’exploitation. Le rôle de qualification et d’alerte des CERTs prend alors tout son sens.

C’est dans ce contexte que le Cert-IST a développé tout au long de l’année l’expérience et les outils du hub de gestion de crise, permettant d’anticiper par des outils plus fins de mesure et d’avertissement sur la montée du risque, et de gérer les réponses en situation de crise par un accompagnement continu proposant des palliatifs jusqu’à la clôture de la crise.

D’autre part, la professionnalisation croissante des auteurs de virus les conduit à analyser et contourner toute faiblesse des outils conçus par les éditeurs. Ils développent donc dans leurs codes malveillants des caractéristiques d’efficacité de propagation, de furtivité et de persistance qui permettent parfois de contourner les solutions antivirales classiques (à base de signature).

Cet aspect n’a été que brièvement introduit puisqu’il faisait l’objet d’une présentation détaillée l’après-midi.

 

Aspects décisionnels dans la gestion des crises

Pour la présentation suivante sur les aspects décisionnels dans la gestion des crises, le Cert-IST a pu s’appuyer sur le savoir-faire du CERTA, illustré par M. Stanislas de MAUPEOU dans son intervention « Comment gérer ou se préparer à gérer des attaques critiques ».

Le CERTA a tout d’abord attiré l’attention de tous sur l’importance du contexte dans lequel se situe toute crise (humain, organisationnel) et sur l’impact déstabilisateur que les effets potentiels de l’attaque peuvent avoir, y compris sur le bon déroulement de la réponse.

Une attaque peut être critique parce que  :

  • la cible est critique (infrastructures vitales),
  • l’impact est critique (paralysie),
  • elle est ressentie comme telle par le public ou la concurrence.

Pour surmonter les crises, les équipes d’Emergency et d’Incident Response doivent se préparer à prendre en compte les paramètres techniques et non techniques : « La sécurité des systèmes d’information est une chose trop sérieuse pour être confiée à des informaticiens ».

L’importance de la rapidité et de l’autorité dans la décision a ainsi justifié au niveau gouvernemental le rattachement du CERTA, du COSSI et plus généralement du SGDN aux services du Premier Ministre.

Les plans de vigilance et de réaction du gouvernement français s’appuient sur le Centre Opérationnel de la SSI (COSSI), composé d’une Unité de Conduite & Synthèse (CEVECS) et d’une Unité Technique et Intervention (CERTA).

Les principaux enseignements issus des exercices portent sur :

  • un besoin de réflexion sur les conséquences des attaques, en particulier en s'appuyant sur une cartographie des « services » essentiels, qui reste souvent à établir,
  • un manque d’homogénéité dans la perception réelle des attaques, tous les acteurs n’ayant pas la même conscience des aspects pénaux et juridiques, et de la communication de crise.

 

En conclusion, le CERTA nous conseille de :

« Tout faire pour que les crises ne se produisent pas et prévoir que cela arrive…. »

En amont, utiliser les CERTs pour entraîner, prévoir, sensibiliser et par exemple, anticiper l’impact des risques nouveaux - qui seront évoqués lors de la Table Ronde - (Google Desktop, offre de stockage gratuit, ToIP, etc.).

Durant la crise, les CERTs apportent des éléments d’aide à la décision en terme de risques et d’impacts.

  • Les attaques réussies sont des attaques surprises : l’expérience des CERTs permet d’atténuer l’inévitable panique.
  • Beaucoup de bruit pour rien et des attaques furtives, cachées. Les CERTs apportent une certaine rationalité.

Bien préparé, bien actionné, le CERT est un facteur d’équilibre dans l’environnement instable des crises.

 

Aspects stratégiques : Les enjeux des référentiels (SOX, COBIT, ISO 17799, 27001)

Pour illustrer la dimension normative évoquée à l’ouverture, la dernière présentation de la matinée était un retour d’expérience de l’un des partenaires du Cert-IST, Alcatel, sur sa propre implémentation d’un référentiel : la loi « Sarbanes-Oxley ».

Hervé CHAPPE a d’abord rappelé qu’avant de s’intéresser à la SSI, SOX a pour objectif de s’assurer que les entreprises mettent en place les bons contrôles en matière financière, et dans ce cadre elle s’intéresse en particulier à la sécurité financière et aux règles de comptabilité.

La loi SOX est basée sur trois principes :

  • L’exactitude et l’accessibilité de l’information
  • La responsabilité des managers
  • L’indépendance des auditeurs

Toute société désirant se conformer à SOX doit :

  • Mettre en place les contrôles internes sur les processus financiers, ainsi que IS et IT comme supports de ces processus
  • Être certifiée par des auditeurs externes

Sans compter la gestion des documents et leur archivage.

En effet, la loi a été créée essentiellement pour s’assurer qu’aucun individu ne soit en mesure de manipuler les données financières d’une manière frauduleuse.

Chez Alcatel, SOX est géré comme un projet à part entière, impliquant :

  • le Corporate
  • les trois Régions (Amérique Nord, Europe+Amérique Sud, Asie)
  • les équipes internes de l’infrastructure IT
  • les équipes internes des applications IS
  • le Groupe Audit interne

Tout d’abord, les contrôles pertinents sont identifiés et documentés pour chacun des projets concernés, en particulier financiers. Le suivi global de l’avancement et l’attention des auditeurs s’attachent plus particulièrement à l’identification et l’implémentation des actions correctives.

Selon Hervé Chappe, « la loi SOX, qui a une envergure internationale, aura été considérée par les responsables de la sécurité comme un remarquable outil pour accélérer des améliorations qui sans elle auraient été beaucoup plus difficiles à mettre en place aussi rapidement. »

L’importance des sanctions civiles et criminelles qui s’appliquent aux responsables - nommément identifiés - a en effet largement facilité la prise de conscience.

Pour en revenir au Cert-IST, c'est au travers de la couverture des exigences ISO 17799 listées ci-dessous que le Cert-IST aide à satisfaire les exigences SOX (car l'ISO 17799 répond aux exigences de la section 404 de SOX sur l’implantation des contrôles liés à la sécurité de l’information financière).

  • 6.1.7 Contact with special interest groups
  • 12.6.1 Control of technical vulnerabilities
  • 13.2 Management of information security incidents and improvements

Pour l’anecdote, signalons que l’insertion de trois employés Alcatel Shangai-Bell dans le processus de traitement des avis du Cert-IST a été un facteur décisif leur permettant de satisfaire à une exigence SOX dans le délai imparti…

 

Table ronde : Problématique des outils à installations spontanées

Enfin, la Table Ronde de la fin de la matinée, consacrée à la problématique des outils à installation spontanée, a été ouverte sur la pré-publication de quelques résultats de l’enquête sinistralité du CLUSIF.

On rappelle que l'objectif de cette enquête est de faire un état des lieux sur les politiques de sécurité et la sinistralité informatique en France pour identifier les tendances fortes en matière de protection de l'information.

  • Degré d'avancement des entreprises et bonnes pratiques
  • Quelles technologies sont déployées ou en passe de l'être ?
  • Les incidents de sécurité auxquels nous avons réellement fait face en 2005 ?

Ainsi, Laurent BELLEFIN nous a appris, concernant la gestion des communications et des opérations, ou la sécurisation des nouvelles technologies, que la position majoritaire chez les RSSI est surtout une forte volonté de contrôle.

  • 76 % interdisent l’accès (webmail, extranet) à partir d’un poste non maîtrisé,
  • 73 % des interlocuteurs « interdisent la voix sur IP »
  • 56 % interdisent le wifi
  • 43 % (disent ou souhaitent …) interdire PDA et smartphones
  • 20 % interdisent l’accès au SI en situation de mobilité, même avec un poste contrôlé

Un premier commentaire qui est apparu, et qui a ensuite été plus que confirmé par la teneur des débats, est que cette position de fermeté est (ou sera) difficile à tenir face au déploiement de nouvelles technologies : tout d’abord, certaines sont appréciées des utilisateurs finaux, comme la voix sur IP, ou encore le webmail, le wifi, ou les assistants personnels (PDA).

Une opposition formelle et continue sera ressentie comme un frein à l’innovation.

D’autre part, dans un certain nombre de cas, l’interdiction est très difficile à faire appliquer sur un plan technique (cas de skype) ou humain (cas des PDA …).

Si la situation n’évolue pas, et que les mesures d’interdiction nécessitent un investissement pour être appliquées, il risque d’y avoir rapidement divergence entre les intentions et les faits.

L’analyse de ces chiffres et l’ensemble des débats de la Table Ronde auront ainsi confirmé, s’il était nécessaire, l’importance d’un équilibre entre les dimensions opérationnelles, décisionnelles ou stratégiques.

Problématiques techniques : Retour d'expérience du Cert-IST sur les techniques de contournement

Dans cette première intervention de l'après-midi, le Cert-IST a présenté l'évolution des activités malveillantes s'attaquant aux produits anti-virus.

Depuis la mi 2004, le Cert-IST observe en effet, au travers de sa veille quotidienne sur les nouvelles failles, une augmentation importante des vulnérabilités affectant les produits anti-virus. Ces vulnérabilités peuvent avoir pour conséquences :

  • la neutralisation de l'anti-virus (stopper l'antivirus)
  • le contournement (échapper à la détection)
  • ou même, dans des cas plus rares, l'infection du système ciblé (cas où l'anti-virus contient une vulnérabilité permettant à un attaquant d'exécuter un code arbitraire à distance).

En 2005 par exemple, il a été publié le résultat d'une étude visant à rechercher de manière systématique des failles dans le code des produits anti-virus (reverse-engineering du code). Des failles de type "heap overflow" ou "stack overflow" ont ainsi été identifiées dans la plupart des produits anti-virus du marché. Cela montre, si besoin était, que les logiciels anti-virus sont avant tout des logiciels, et qu'ils sont donc susceptibles de contenir des défauts de codage.

En octobre 2005, suite à des anomalies de détections reportées sur certains produits anti-virus lorsqu'un virus est transporté par un fichier d'archive "trafiqué" (fichier "ZIP" ou "RAR" volontairement abimé), le Cert-IST a démarré une étude systématique sur le sujet des archives malformées. Dans ce cadre, un jeu de test complet a été mis au point (3 malformations appliquées à 16 formats d'archives) et sept anti-virus ont été testés. Sur les 336 cas de ainsi contrôlés (3*16*7), 92 anomalies ont été identifiées (non détection de virus), dont 15 jugées "préoccupantes" (cas où l'anomalie concerne un format d'archive très courant, comme "ZIP"). Toutes les anomalies identifiées ont été signalées aux éditeurs anti-virus concernés. En date de rédaction de ce document, 5 éditeurs ont pris en compte ces anomalies, et 2 restent vulnérables.

La société Edelweb, qui a aidé le Cert-IST lors de cette campagne de test, a également présenté lors du Forum Cert-IST le phénomène de "persistance" observé de plus en plus pour certains codes malveillants. Il est en effet parfois très difficile de désinfecter les machines touchées, parce que le code malveillant utilise des techniques de protection empêchant son éradication (et en particulier son éradication automatique par un produit anti-virus). Le cas du ver "Brontok", rencontré fin 2005, a été pris comme exemple pour illustrer ces techniques de persistance.

En conclusion, le Cert-IST a insisté sur le fait que :

  • les produits anti-virus sont une protection indispensable, mais pas infaillible.
  • une prise de conscience, et une collaboration active des acteurs concernés (organismes de veilles, éditeurs de produits anti-virus, et entreprise) est nécessaire pour maintenir et renforcer les défenses face aux nouvelles attaques.

 

Problématiques techniques : Prise en compte des informations de veille et d’alerte dans un workflow structuré

Cette dernière présentation s'est intéressée aux solutions possibles pour mettre en place, au sein des entreprises, un processus élaboré de prise en compte des informations publiées par le Cert-IST.

Elle a montré tout d'abord les moyens prévus par le Cert-IST pour faciliter :

  • la prise de décision de l'entreprise face aux événements de sécurité signalés par le Cert-IST (structuration des publications, calcul d'un niveau de risque, etc..)
  • l'automatisation des traitements de ces événements (flux RSS, format XML, structuration )

Dans un second temps, un échange d'expériences a permis à plusieurs entreprises présentes au Forum d'expliquer les traitements qu'elles ont mis en place dans l'entreprise sur la base de ces moyens.

 

Précedent Précedent Suivant Suivant Imprimer Imprimer