Sciences et Techniques

Archives

Terre des Sciences publiera une fois par mois dans les colonnes d’Angers Mag les contributions de ses divers partenaires. Avec toujours le même objectif : comprendre le monde qui nous entoure. La preuve par l’exemple avec ce premier texte livré par l’enseignant chercheur Victor Pinsembert sur la question de la Cybersécurité.

La sécurité informatique, c’est pas que pour les geeks !

A l’ESAIP (École d’ingénieurs située à Saint-Barthélemny d’Anjou), nous formons des ingénieurs en informatique avec notamment la spécialisation en Cybersécurité. Il y a deux approches en sécurité informatique, la défense et l’attaque. A l’ESAIP, nous abordons dans un premier temps la Cybersécurité par l’attaque, en enseignant les techniques utilisées par les hackers d’aujourd’hui. Elles servent ensuite à tester la sécurité de système d’informations (SI) (aussi appelé ‘test d’intrusion’) de manière cadrée, dans le respect de l’éthique, dans le cadre d’un contrat entre l’entreprise souhaitant tester la sécurité de son SI et un prestataire de service d’audit de sécurité.

Dans un test d’intrusion, un professionnel expert en Cybersécurité attaque et compromet le SI de l’entreprise commanditaire puis, il rédige un rapport pour expliquer les faiblesses (vulnérabilités) exploitées et conseille des contre-mesures à appliquer pour les combler et ainsi éviter que l’attaque réalisée ne soit reproductible par un attaquant malveillant. Ce procédé est appelé hacking éthique ou ‘ethical hacking’.

Les travaux et connaissances nouvelles dans ce domaine

En Cybersécurité, sécuriser un système à 100% est impossible. Il y a toujours un moyen de contourner les dispositifs de sécurité mis en place, surtout si l’on prend en considération le facteur humain qui demeure, malgré une délégation de plus en plus importante de tâches aux machines. En effet, dans tout système d’information (SI), il y a toujours un humain pour commettre des erreurs (souvent involontairement) qui servira de porte d’entrée à un attaquant (via un email malicieux ou ‘phishing’, une clé USB infectée, etc.).

Mais il ne faut pas baisser les bras pour autant, chacun peut contribuer à sa propre protection et à celle des autres ou de son entreprise en ayant de bons réflexes. En 2015, selon une étude réalisée par IBM, 60% des attaques seraient d’origine interne au réseau de l’entreprise prise pour cible. Cela veut dire que 60% du temps, une attaque est permise par une machine interne déjà compromise (souvent par l’inadvertance des utilisateurs). Dans ce contexte, on comprend bien qu’en plus d’un besoin de formation en Cybersécurité pour apporter plus d’experts et d’auditeurs sécurité sur le marché, il est primordial de sensibiliser les citoyens / les employés, surtout les non-experts (responsables, commerciaux, secrétaires, etc.).

C’est pourquoi l’ESAIP réalise régulièrement des actions de sensibilisation sur les impacts de la Cybersécurité et transmet les bonnes pratiques (simples) à appliquer pour se protéger de la plupart des menaces.

POUR LES CONNAISSEURS (OU LES INTÉRESSÉS ?)

Dans ce métier, la veille technologique est primordiale, il faut se tenir informé de toutes les vulnérabilités. Comment ? Grâce à twitter tout simplement, avec les #infosec, #security, #cyberdefense, par exemple, et aux flux RSS de certains sites ou blogs bien connus du domaine (0x0ff.info, 0day.today, korben.info, …). Il existe également d’excellents podcasts francophones sur l’actualité de la Cybersécurité avec des personnalités importantes du milieu (nolimitsecu.fr et comptoirsecu.fr). L’avantage de ce dernier format est le recueil des retours d’expériences et des avis des experts.

Il faut savoir que la plupart des attaques exploitent des failles, pour la plupart, simples à prévenir :

  • des systèmes qui ne sont pas à jour
  • des mots de passe trop simples ou réutilisés à de multiples reprises sur différents comptes (messagerie, réseaux sociaux, sites marchands, …)
  • pas ou peu de gestion des droits d’accès (séparation utilisateur et administrateur des réseaux par exemple)
  • pas ou peu de surveillance des systèmes d’information
  • un cloisonnement insuffisant des systèmes qui permet à une attaque de se propager facilement dans le réseau (par exemple le service comptabilité / RH ou la Direction avec tous les autres salariés)
  • pas ou peu de gestion des périphériques USB et des supports nomades que l’on peut emporter du domicile au travail (BYOD)
  • une sensibilisation insuffisante des utilisateurs (et des dirigeants) aux risques numériques dont ils n’appréhendent pas les conséquences humaines et financières.

Pour se former à la Cybersécurité, il faut avant tout être curieux, persévérant et ne pas avoir peur d’éplucher de longues documentations et articles de recherche pour apprendre de nouvelles techniques d’attaque. En cybersécurité comme dans tous les métiers, les meilleurs sont les passionnés ! Enfin, il est également primordial de s’engager dans des études supérieures (un Bac+5 impérativement), de préférence spécialisées en Cybersécurité, et de posséder des compétences transversales indispensables comme la gestion de projet, la communication et les langues étrangères (surtout l’anglais).

POUR TOUS LES AUTRES

Il est important de savoir que la sécurité informatique n’est pas qu’une question de technique. Nul besoin d’être expert en informatique pour comprendre les enjeux de la sécurité et d’appliquer quelques pratiques simples pour se protéger et protéger son entreprise.

Vous êtes potentiellement une cible d’attaque, soit parce que vous êtes une cible digne d’intérêt, soit parce que l’attaquant souhaite atteindre votre entreprise à travers vous. Il faut donc :
1 – en être conscient et essayer de porter un regard critique sur son environnement
2 – prendre quelques mesures simples pour se protéger

Saviez-vous par exemple que, très simplement, on peut :

  • Aspirer des informations de votre carte bancaire si elle est équipée du paiement sans contact car ces informations sont suffisantes pour effectuer des paiements en ligne sur certains sites internet marchands étrangers qui n’appliqueraient pas de bonne mesures de sécurisation de paiement (avez-vous pensé à mettre un protège carte ?)
  • Espionner vos communications et potentiellement voler les identifiants de connexion de vos comptes grâce au free wifi quand vous êtes dans un lieu public comme la gare, ou un centre commercial (savez-vous que la plupart des smartphones se connectent automatiquement à ce free wifi ?)
  • Prendre le contrôle de votre ordinateur (webcam, microphone, documents, photos, etc.) en vous envoyant un simple mail (phishing : n’ouvrez pas de mail quand vous ne connaissez pas l’expéditeur ou quand vous soupçonnez une arnaque et, surtout, ne cliquez sur aucun lien ou ne téléchargez aucune pièce jointe de ces mails)
  • Prendre le contrôle de vos comptes personnels si vos mots de passe sont trop simples (n’utilisez jamais de mots que l’on trouve dans le dictionnaire, de prénoms ou de date de naissance que l’on peut trouver facilement … ou alors remplacez certaines lettres par des chiffres ou des caractères spéciaux par exemple : « j’aime les gâteaux » devient « jMlesg@t0 »).
​Si vous voulez en savoir plus, rendez-vous sur la page «  les métiers de la cybersécurité   » du site de l’ESAIP et lisez le Guide des bonnes pratiques informatiques   édité par l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, qui reprend les 12 règles essentielles pour sécuriser vos équipements numériques.

D’un côté, nous formons des experts techniques en test d’intrusion et des investigateurs numériques pour aider la police. De l’autre, nous réalisons des opérations de sensibilisation dans les écoles, les entreprises mais aussi lors de soirées « grand public » car il est primordial que chaque citoyen soit acteur de sa propre protection. Il devient de plus en plus facile d’utiliser des outils de hacking grâce à des tutoriels en ligne, ce qui augmente considérablement le nombre de menaces qui planent tant sur les entreprises que sur les citoyens.
Les experts en Cybersécurité font un travail formidable aujourd’hui pour sécuriser les entreprises et les applications que nous utilisons tous les jours, mais ils ne sont malheureusement pas assez nombreux pour endiguer toutes les menaces. Il est temps que chaque individu participe à cette lutte grâce à des gestes simples et quotidiens. Qui sait, vous serez peut-être la personne qui stoppera une attaque contre votre entreprise ? Citoyens ordinaires ou Cyber héros, à vous d’en décider !

L’ESAIP sera présente lors du Forum du numérique organisé au J – Angers connecté Jeunesse le mercredi 12 avril de 14h à 18h00 – Entrée Libre et gratuite.