DZHack: La sécurité au cœur des métiers Les batailles secrètes pour collecter vos données et contrôler votre monde 

Notre monde est de plus en plus, sinon totalement, dépendant des télécommunications. L’Internet explose, l’usage du courrier électronique se banalise, la téléphonie mobile séduit le plus grand nombre. Mais cette passion dévorante pour la technique a un prix : vivre dans un environnement de plus en plus exposé aux menaces de sécurité. La journée DZHack, organisé par Elit, a été  structurée en trois temps. La conférence suivie par une table ronde que nous avons animée à la demande d’Elit, les Workshop pour aller plus loin dans la compréhension et le challenge qui est une compétition conçue pour tester les connaissances hacking des équipes. C’est un évènement est de type Jeopardy CTF (Capture the Flag), qui a vu 7 équipes de hackers se disputer sur 4 thèmes (Web,Pwn,Forensic, et crypto). 

Il est 8h à l’école de la Sonelgaz de Ben Aknoun et les petites fourmis s’animent pour mettre en place les derniers ajustements du premier DzHack organisé par Elit, la filiale It de la Sonelgaz. «Nous voulons que cette journée soit une journée de sensibilisation sur le hacking et la sécurité et nous voulons inscrire cette journée comme Journée nationale sur la sensibilisation à la sécurité informatique» nous dit Abdelwaheb Boukharouba, PDG d’Elit.
9h, la ruche s’agrandit. La salle de conférences est presque remplie. 350 invités pour 280 places. «Nous avons invité presque toutes les entreprises et tous les organismes car c’est une problématique qui interpelle», souligne le PDG d’Elit lors de son speech de bienvenue tout en ajoutant que «et pour cela nous avons invité un panel d’experts internationaux pour nous en parler car la réalité c’est que l’on n’y croit pas. Et pour voir la réalité, il faut plonger et cette journée nous le permet».
Quant à Nouredine Bouterfa, PDG de Sonelgaz, celui-ci souligne dans son discours que «nous sommes des industriels et une entreprise de réseaux et un acte malveillant peut nous coûter très cher, voire un blackout similaire à ce qui s’est passé dernièrement en Turquie». Tout en ajoutant «aujourd’hui, la gestion et la production se font avec l’informatique et donc Sonelgaz ne prend pas cela à la légère, car savoir c’est gérer», il déclare la journée ouverte. Ce sera un Lamine Ouyahia, fraîchement élu vice-président de l’AASSI –Association algérienne de sécurité des systèmes d’information- qui lancera journée avec «La sécurité des illusions» où il s’attaque de front aux «standards» qui dira-t-il sont plus «pour se rassurer» tout en affirmant que «la sécurité à 100% n’existe pas» et que «l’utilisateur est responsable de sa propre sécurité». Il va plus loin en disant que «on fait confiance, la question de savoir si nous disposons d’une sécurité réelle ou si nous avons une sécurité faite d’illusions mérite d’être posée». En montrant des exemples, l’orateur met en lumière notre pire adversaire: l’excès de confiance. Qu’il soit dans les standards, les outils et les architectures. Il terminera son exposé par une phrase lourde de sens «qui a payé le développement d’une solution ? Car la sécurité est un sentiment et une réalité».
Dimitri Kuznetsov abordera Scada et bien entendu Stuxnet et dira que «19.6% déclare être infecté» tout en ajoutant «et combien l’ignore-t-il ?» car dit-il «si dans les IT, nous changeons de matériel toutes les années, dans l’industrie le changement se fait tous les 10 ans». Il abordera en outre un thème que l’on ne retrouve pas beaucoup dans la littérature à savoir qu’après les agences gouvernementales de type NSA et autre, ce sont maintenant des entreprises privées qui se lancent dans les attaques des systèmes d’information.
Il ajoutera qu’avec la multiplication des types de connexion Wireless, les systèmes industriels deviennent de plus en plus faciles à pirater. Et il terminera son exposé en disant que «la sécurité de l’Internet a commencé réellement au XXIe siècle»
Michel Gerra parlera de l’homme et dira que «La grande majorité des attaques s’appuie à un moment ou à un autre sur une défaillance, provoquée ou non, du comportement d’un utilisateur du SI». 52% des attaques viennent d’une défaillance humaine, selon CompTIA, dira-il et ajoute qu’«il ne saurait y avoir de stratégie sécurité qui ne prenne pas en compte le volet humain. L’Homme est une priorité pour l’entreprise». La sensibilisation et le développement d’une culture de la sécurité numérique a fait que «selon PWC,  les coûts des incidents de sécurité ont baissé de 76%» et de l’autre côté, selon CompTIA «il n’y a que 54% des entreprises qui font de la sensibilisation». Il précise que tous les chiffres qu’il donne concernent uniquement les entreprises et le marché américain. Rafik Bencheraiat parlera de la «Protection des infrastructures critiques et dira dans son préambule que «toutes les infrastructures sont connectées et donc menacées». Il ajoute que les menaces sur les infrastructures critiques sont en hausse, tous les Etats ainsi que les entreprises gérant ces infrastructures sont fortement préoccupés par leur défense ou tout au moins leur détection et atténuer les impacts possibles. Pour y remédier, il parlera de normes (ISO 27002, 27001, 27005), de SOX tout en préconisant la création de norme sectorielle et spécifique. Donnant des exemples, il parlera de ce qui se fait en Amérique du Nord dans le cadre des industries de l’énergie et les systèmes de contrôle de l’industrie avec les normes NERC-CIP, Ferc… Même s’il met en avant le fait que ces organismes sont lourds.
«Que ce soit en cybercriminalité, cyber-espionnage ou cyber-terrorisme, l’exposition est réelle, il ne s’agit plus de savoir si l’on va être attaqué, mais plutôt est-ce qu’on en a déjà subi une, ou tout au moins quand est-ce qu’on va être infecté ?». Des menaces, il y en a et il y en aura d’autant plus ajoute-t-il «80% des attaques vont vers le secteur de l’énergie et avec l’entrée des APT, cela se complique encore plus».Les menaces sont tellement fortes que «cela devient une priorité du FBI au Etats-Unis» et pour cela il propose une approche qui repose sur deux choses à faire. Une approche globale qui sera la création d’une agence nationale et une approche sectorielle qui mettra en place un Cert et prendre en charge des activités journalières. La journée Securité-Elit a vu la présence du «gourou» Bruce Schneier celui qui a dit que ce sont «Les États-Unis qui ont le plus de contrôle sur la collecte des données par le gouvernement que tout autre pays au monde dépense plus sur la collecte et l’analyse de renseignements que le reste du monde combiné.». Il a travaillé au Département de la Défense des États-Unis (DoD) ainsi qu’aux Bell Labs. Il est cryptologue émérite et auteur de plusieurs algorithmes de chiffrement et de plusieurs livres. Dans un article publié en 2014, il considère que la surveillance est devenue le «business modèle de l’Internet». Selon lui, on construit des systèmes qui rendent service aux gens, mais qui en contrepartie permettent de les espionner. «C’est ma première visite en Algérie», dira-t-il avant d’aborder l’attaque Sony en novembre-décembre 2014 qu’il décortiquera presque heure par heure et terminant cela par une question «qui a attaqué ? Et d’où provient l’attaque». Il explique que «les entreprises et les personnes doivent absolument savoir, de manière à survivre ou rester libres à l’heure d’Internet. Car si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n’avez rien compris, ni aux problèmes, ni à la technologie». Le développement des technologies de l’information et de la télécommunication a favorisé la diffusion d’énormes quantités d’informations sur le web. Celles-ci varient selon les sources en partant des données professionnelles jusqu’aux données plus qu’intimes. Ces data ou données représentent une mine d’or à plus d’un titre et cela suscite l’attrait tous azimuts de nombre d’entités car dit-il «dans une cyberattaque, on ne peut pas savoir d’où elle vient : gouvernement, public, privé …Il n’existe pas de panacée en matière de sécurité informatique. Les failles connues ou non encore connues au sein des systèmes, les attaques et pirateries s’accroissant, il devient vital de bien gérer cet état de fait et de protéger ses données. Comprendre qui sont les agresseurs, ce qu’ils veulent, comment contrer les dangers qu’ils représentent, connaître les technologies de sécurité, leurs possibilités mais aussi leurs limitations, assurer une veille technologique, définir une gestion des risques, mettre en œuvre une politique de sécurité, voilà entre autres les thèmes abordés. Aux Etats-Unis, la cryptologie «indépendante» ‘celle qui se développe hors du giron de l’Etat‘ est une science politiquement engagée, une discipline rebelle et la question que se pose ce cryptographe rebelle mais philosophe est «comment se protéger ?». Il donne des pistes, plus de transparence, plus d’information et surtout de savoir qui finance sans oublier de renforcer la vie privée. Il termine par le trio magique : consommation, régulation et vie privée car  «nous sommes plus sensibles aux histoires qu’aux données», conclut-il. «Faute de formation ou d’information, le salarié, en contournant la sécurité, devient une source potentielle de malveillance», explique Hafedh Ben Hamida, spécialiste en piratage informatique et investigations des crimes cybernétiques. Les exemples relevés par les différents orateurs ne manquent pas : utilisations abusives de modem RTC et d’accès ADSL pour se connecter à son poste de travail depuis son domicile, USB privé, réseaux Wi-Fi sauvages, répertoires partagés pour l’échange de fichiers, ou communication irresponsable de son mot de passe. S’y ajoute l’emploi de ressources professionnelles à des fins personnelles, relevé par 78% des entreprises américaines, selon le CSI. Prendre en compte le facteur humain nécessite d’abord de sensibiliser les utilisateurs. «Contrôler les employés est une question de démarche», insiste Haythem El Mir, consultant en cybersécurité et spécialiste Scada. La première étape concerne la communication et l’explication d’une charte de sécurité. «Elle préviendra de la possibilité d’audits surprises sur les postes de travail afin d’en vérifier la correcte utilisation», assène Rafik Bencheraiat. Intégrer la menace représentée par l’utilisateur se résume à un objectif : savoir, à tout instant, qui fait quoi dans le système d’information. Ce qui exige de prendre certaines précautions. «Il faut s’astreindre à des accès nominatifs et ne donner accès à l’utilisateur qu’à ce dont il a besoin», préconise Rafik Bencheriat. Un des grands axes de la prévention en matière de sécurité des systèmes d’information de ces dernières années est la sensibilisation des utilisateurs. Pratiquement tous les désastres informatiques ont désormais comme origine un utilisateur dans la structure affectée. «Faire en sorte que l’utilisateur ait les bons réflexes et sache adopter les bons comportements.»resume Abdelwahab Boukharouba, Pdg d’Elit.

Sorti sur IT MAG n°360 du 20 mai au 3 juin 2015