Le Cert, en collaboration avec l'US Secret Service, vient de publier un rapport de 45 pages traitant des « menaces et attaques internes ». Et l'on apprend qu'après une longue étude, les chantres de la cybersécurité découvrent les conséquences des brimades et des frustrations humaines. Ce que l'on pourrait nommer les attaques en dépit de service en quelque sorte.

Si, dans plus de 90% des cas, le criminel est retrouvé, dans 90 % des cas également l'attaque a été couronnée de succès et son déroulement n'apparaît qu'après la chute d'un ou plusieurs serveurs. Punie donc, mais diablement efficace. Efficace également doivent être les mesures que le Cert recommande à ses lecteurs. Notamment une stricte observance des règles d'administration, et une rigoureuse protection des journaux d'événements, souvent la seule preuve subsistant après une attaque couronnée de succès. Logs d'activité côté applicatifs, mais également, et surtout insiste le Cert, des journaux des liens RAS, une grande partie des bombes étant déclanchées depuis l'extérieur. Déclanchées à la main, pourrait-on dire, puisque les études prouvent aussi que les « techo-vengeurs » préfèrent généralement l'attaque directe à l'utilisation d'automates.

« Dans la plupart des cas, les attaques pourraient être évitées grâce à un simple respect des règles d'hygiène : politiques de mots de passe complexes et fréquemment changés, application des bonnes pratiques de contrôle d'accès et d'identification ... Les programmes sophistiqués d'analyse comportementale ne sont pas nécessairement une solution efficace et rentable » insiste le rapport. « Le criminel est la plupart du temps un membre du personnel, passé ou présent ». Dans près de 60 % des cas, ces pirates par vengeance n'émargent plus dans l'entreprise (48 % de licenciés, 38 % de retraités) et 40 % en font encore partie. Employés à plein temps ou sous-traitants, les « taupes » sont, dans bien des cas, des spécialistes des nouvelles technologies, administrateurs système (38%), programmeurs (21%), ingénieurs et spécialistes NTIC (respectivement 14% pour chaque catégorie. Pas de chiffre précis sur les vengeances de RSSI et autres « security pundit », soit parce qu'ils échappent aux statistiques -le crime informatique parfait- soit parce que dégager cette catégorie des statistiques peut poser quelques cas de conscience à l'administration américaine. Quis custodiet ipso custodies?

Une chose peut étonner,à la lecture de ce rapport, c'est l'appel systématique et aveugle à des méthodes. Indiscutablement, la parade à bon nombre de ces malversations consiste à renforcer les politiques de sécurité et les règles de management -de gouvernance- de la sécurité des systèmes informatique. Mais un vieux principe politique dit que s'il est préférable de parer une menace en interdisant, il est encore mieux de prévenir avant que d'interdire. Car plus un système ou un macrocosme est policé de façon apparente, plus il devient psychologiquement difficile à supporter et tend à provoquer des effets pervers ou inverses. Une sorte de complexe d'Orwell en d'autres termes. Et pourtant, pas une ligne du rapport du Cert ne conseille de combattre les causes de frustration avant même que d'en prévenir les risques. Un spécialiste de la lutte par la prévention et la sensibilisation confiait à un membre de l'équipe « Tôt ou tard, il faudra que les dirigeants sécurité prennent en considération cette dimension humaine. Tôt ou tard, leur travail viendra empiéter un peu sur les prérogatives des DRH. » Le matériau humain est important, fragile, difficile à façonner, mais c'est en l'ignorant que l'on accroît le risque de ces attaques de l'intérieur, qu'il s'agisse de piratages par « social engineering », d'accidents réseau provoqués par simple « inadvertance », ou accidents causés par un non respect des bonnes pratiques les plus élémentaires.

. Web-profils.com, la place de marché du conseil et de l'ingénierie