400 milliards de dollars : c’est ce que coûte chaque année la cybercriminalité dans le monde. Le vol de données constituant la cible privilégiée des attaquants, les entreprises cherchent à renforcer la sécurité de leurs réseaux, à grands coups de chiffrement. Mais comment peuvent-elles s’assurer d’être réellement et efficacement protégées ?

Failles SSL / TLS : portes d’entrée privilégiées des cyber-attaquants

Selon une étude[1], 80% des entreprises ont été victimes de cyber-attaques au cours de l’année écoulée. L’actualité regorge d’exemples plus ou moins emblématiques, qui révèlent le niveau de menace inédit pesant tant sur les organisations privées que publiques. Récemment, le Ministère des Affaires étrangères en France, sur recommandation de l’Agence nationale de la Sécurité des Systèmes informatiques (ANSSI), a ainsi préféré annuler les dispositions permettant de voter par voie électronique pour les prochaines élections législatives, du fait d’un « niveau de menace extrêmement élevé de cyber-attaques qui pourrait (…) compromettre le scrutin législatif[2] ».

On sait aujourd’hui que près de la moitié des cyber-attaques utilisent le chiffrement SSL pour échapper à la détection. Dans le même temps, 66% des organisations admettent qu’elles ne sont pas prêtes à détecter le trafic SSL malveillant, et 75% que leur réseau peut être exposé aux attaques par une vulnérabilité SSL.

Le chiffrement SSL/TLS n’est pas infaillible à cause de ses nombreuses vulnérabilités qui sont autant de portes d’entrées potentielles sur votre réseau pour les cybercriminels. Notons l’attaque récente « Drown » qui utilise le SSLv2 laissé ouvert sur les serveurs, ainsi 33% des serveurs web dans le monde seraient vulnérables à cette attaque. Si le HTTPS constitue évidemment une arme incontournable, il n’est réellement efficace que s’il est utilisé avec les bonnes configurations, les bons protocoles et les bons algorithmes de chiffrement.

C’est là toute la difficulté pour les Responsables de la Sécurité des SI (RSSI) : comment être sûr de sécuriser tous les flux sur l’ensemble des réseaux de l’entreprise. D’un côté, les RSSI sont confrontés à de nombreuses applications qui utilisent encore des algorithmes de chiffrement obsolètes et de l’autre à une évolution rapide des environnements qui ont de plus en plus d’interconnexions vers le monde extérieur. Les RSSI ne peuvent faire confiance ni aux réseaux internes, ni aux configurations https existantes.

Un cadre réglementaire de plus en plus contraignant

On connaît les coûts d’une cyber-attaque pour une organisation. Au-delà des dommages liés à la perte de données sensibles, la résolution des problèmes techniques dus à une cyber-attaque nécessiterait, selon NTT Com Security,  en moyenne 9 semaines, et pourrait coûter à l’organisation plusieurs millions d’euros. Une facture qui pourrait encore s’alourdir, compte tenu des récentes évolutions règlementaires, qui encadrent désormais de façon extrêmement contraignante la protection des données.

La norme européenne GDPR (General Data Protection Regulation), qui entrera en application en mai 2018, impose ainsi aux entreprises de sécuriser les données personnelles stockées contre les risques de perte, de vol et de divulgation. Son article 32 prévoit notamment la mise en œuvre d’une « procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ». A défaut de conformité, l’amende peut s’élever, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial.

Dans le secteur financier, la directive internationale PCI DSS v3.2, dont l’application est prévue le 1er février 2018, impose quant à elle une configuration plus restrictive des flux SSL/TLS, avec notamment la suppression des protocoles désormais obsolètes SSL v2, SSL v3 et TLS 1.0. Et ce afin de garantir une protection renforcée des transactions et des données bancaires.

La sécurité des réseaux, et plus spécifiquement des flux encryptés, constitue donc aujourd’hui un enjeu majeur, qui concerne toutes les organisations, tout le temps. Mais la multiplication des menaces, combinée à l’évolution rapide des règlementations et recommandations, rend la tâche particulièrement difficile pour les RSSI, qui doivent sans cesse mettre à jour et maintenir la sécurité de parcs applicatifs de plus en plus complexes et distribués.

3 piliers pour piloter efficacement la sécurité de ses réseaux

Comment, dans ce contexte, parvenir à piloter efficacement le changement ? Comment mettre en œuvre les contre-mesures aux failles SSL/TLS de manière adéquate et sûre ? Connaître les règlementations nationales et internationales, appliquer les best practices de configuration et d’implémentation recommandées par les différents consortiums indépendants et organismes d’état reconnus (ANSSI, NIST, etc.), développer une organisation SOC pour structurer les démarches, constituent des facteurs clés pour un pilotage efficace de la sécurité sur vos réseaux.

A condition toutefois de savoir quels protocoles de chiffrement sont réellement utilisés sur le réseau, quels ciphers sont autorisés, quelle taille de clé…, afin d’être en mesure de mettre en œuvre les bonnes configurations. Tout en anticipant les impacts potentiels sur l’accès aux services. Le passage à TLS 1.2 pose, par exemple, un problème de compatibilité avec certaines versions d’OS ou de navigateurs, qui peut affecter directement les utilisateurs. Pour prendre les bonnes décisions et les bonnes mesures, le RSSI doit avoir une vision claire et en temps réel de ce qu’il se passe réellement sur son réseau.

Il peut/doit pour cela s’appuyer sur trois piliers fondamentaux : la prévention, la détection et la correction des vulnérabilités. La prévention consiste ainsi à dresser une cartographie en temps réel de l’ensemble des flux SSL, ciphers, tailles des clés ou encore date de péremption des certificats. Ce qui permet de détecter les protocoles et les algorithmes non conformes aux exigences de sécurité. Dès lors, le RSSI pourra être alerté automatiquement et en temps réel d’une vulnérabilité, et déclencher l’action corrective en conséquence (via un script automatique, par exemple). Le RSSI est alors en mesure de suivre et de piloter en temps réel la sécurité de l’ensemble de son parc applicatif, et de renforcer sa protection contre les attaques via une vulnérabilité connue sur le chiffrement SSL/TLS, grâce à une mise à jour en continu.

En matière de sécurité des flux SSL/TLS, un audit ponctuel des réseaux ne suffit plus. Face à la complexité croissante des environnements, des applications, des règlementations et des attaques, les organisations doivent se donner les moyens d’avoir une vision exhaustive et en temps réel de leurs réseaux et de leurs protocoles de sécurité, afin de s’assurer de leur conformité avec les bonnes pratiques et les recommandations en la matière. Ce n’est qu’à cette condition qu’elles seront en mesure de renforcer la sécurité de leur système d’information et de protéger efficacement et durablement leurs données et leurs intérêts.

_________
Jean-Louis Lormeau est Digital Performance Architect chez Dynatrace