Les révélations parues sur le site WikiLeaks se sont répandues comme une traînée de poudre, gagnant rapidement la presse mondiale, les télévisions et les forums Internet. Conséquence : les pirates informatiques ont livré bataille à l’aide de logiciels destinés à lancer des cyberattaques contre des sociétés commerciales.

On estime qu’environ 260 000 documents secrets du Département d’État américain sont entre les mains de WikiLeaks, mais moins d’un pour cent de cette mine d’informations a été divulgué. WikiLeaks a publié des notes classées confidentielles, mettant potentiellement des vies américaines en danger, menaçant l’infrastructure du pays et la sécurité nationale. L’impact de WikiLeaks s’est également répercuté sur de nombreuses sociétés commerciales en ligne.

Une obscure nébuleuse de pirates informatiques est passée à l’offensive en lançant «Operation Payback», une vague d’attaques par déni de service distribué (DDoS), qui a paralysé les sites de PayPal, Visa, MasterCard et Amazon. S’il n’est apparemment pas directement rattaché à WikiLeaks, le mouvement «Operation Payback» en partage les mêmes idéaux de lutte pour la transparence et contre la censure. Ce déclenchement d’hostilités marque peut-être la première véritable guerre informatique.

Bien avant que WikiLeaks ne fasse la une de l’actualité, la cybersécurité était un sujet de préoccupation. Les affaires de vol de données personnelles et de données de clients étaient légion et les vols de numéros de sécurité sociale se comptent d’ores et déjà par centaines de milliers. Les autres cybermenaces redoutées sont les campagnes d’usurpation d’identité à grande échelle, l’explosion des fraudes sur Internet et la pédocriminalité.

L’un des événements les plus inquiétants en 2010 a été le ver informatique Stuxnet, capable de compromettre la sécurité des systèmes de contrôle industriels de sites sensibles comme les centrales nucléaires, les usines hydroélectriques, les réseaux électriques et d’autres installations énergétiques. La fréquence et la sophistication de ce type de logiciel malveillant – ainsi que les motivations possibles des auteurs – inquiètent les gouvernements et les exploitants d’infrastructures critiques.

Le cas du ver Stuxnet met en évidence la vulnérabilité des communications Internet et montre que certaines parties de l’infrastructure nationale critique peuvent être considérées comme des «bombes à retardement». Mais ce n’est pas le seul domaine où de nombreux pays sont vulnérables aux offensives de cyberguerre.

S’agit-il des prémices d’un mouvement qui ne fait que commencer? Si tel est le cas, les conséquences pourraient être catastrophiques pour les gouvernements, les organisations commerciales et les particuliers.

Les normes de cybersécurité

Peut-on estimer qu’à l’avenir l’environnement Web sera sûr pour les entreprises, les gouvernements et les citoyens ? Les entreprises et les gouvernements sont-ils pleinement conscients des risques et des conséquences?

De manière générale, la plupart des organisations n’ont toujours pas adopté une approche appropriée fondée sur les risques pour se protéger et protéger leurs actifs. Une telle approche implique l’appréciation des risques, la mise en œuvre de mesures de sécurité pour réduire ces risques, un suivi régulier et une vérification de l’efficacité des mesures, une réappréciation des risques et la mise en place des améliorations nécessaires si les niveaux de risque se sont élevés. (voir Figure 1). En d’autres termes, l’approche fondée sur les risques est un processus d’amélioration continue destiné à maintenir des systèmes à jour et bien protégés.

Figure 1

ISO/CEI 27001:2005, Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences, est une norme qui a été adoptée par des centaines de milliers d’organisations pour mettre en œuvre des processus appropriés de gestion des risques. ISO/CEI 27001, basée sur le risque, constitue un cadre de gestion efficace pour la sécurité des informations. En effet, elle tient compte de tous les types de besoins de sécurité organisationnelle et de toutes les exigences des entreprises et peut évoluer et améliorer le niveau de protection en fonction des changements dans l’environnement des cybermenaces.

De nombreux programmes visant à lutter contre les cyberoffensives font référence à la norme ISO/CEI 27001 et au code de pratique qui va de pair, ISO/CEI 27002:2005, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information. Le programme de sécurité intérieure des États-Unis, notamment, fait référence à ces deux normes en tant que cadres adéquats pour la gestion et la prévention des risques liés à la sécurité des systèmes informatiques. La norme ISO/CEI 27001 est appuyée par une série de documents constituant la famille des normes de la série ISO/CEI 27000 sur les systèmes de management de la sécurité de l’information (SMSI) :

  • ISO/CEI 27002:2005, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information
  • ISO/CEI 27003:2010, Technologies de l’information – Techniques de sécurité – Lignes directrices pour la mise en œuvre du système de management de la sécurité de l’information
  • ISO/CEI 27004:2009, Technologies de l’information – Techniques de sécurité – Management de la sécurité de l’information – Mesurage
  • ISO/CEI 27005:2008, Technologies de l’information – Techniques de sécurité – Gestion du risque en sécurité de l’information.

Une autre caractéristique importante de la norme ISO/CEI 27001 est qu’elle est applicable pour des audits de certification par tierce partie, ce qui signifie qu’une organisation peut faire certifier son SMSI par un organisme externe. C’est un gage de confiance et d’assurance que le SMSI est bien « adapté à l’emploi ». Plus de 12 000 organisations ont été certifiées ISO/CEI 27001 depuis la publication de la norme, il y a cinq ans. Chaque année, les statistiques de la certification se sont pratiquement multipliées par trois, ce qui reflète l’utilité de la norme dans la lutte contre les risques organisationnels.

Apprivoiser le cybertigre

Un autre domaine de normalisation ISO met l’accent sur les incidents de sécurité. Il est important, pour les organisations qui sont victimes d’un cyber-incident d’être en mesure de répondre efficacement et rapidement afin de limiter ses effets.

Le temps est capital – plus il faut de temps pour maîtriser l’incident et s’en remettre, plus les conséquences risquent d’être profondes dans les systèmes organisationnels. Si l’incident met à mal les systèmes métier de l’entreprise, celle-ci ne pourra poursuivre ses activités normalement. La question cruciale est de savoir combien de temps l’organisme peut tolérer que ses systèmes soient hors ligne.

Est-il acceptable que le site de l’entreprise soit inaccessible aux clients pendant 24 à 48 heures, ou la limite est-elle seulement de 12 heures ou moins? Combien de temps une entreprise survivra-t-elle si elle se trouve dans l’incapacité de fournir des services, et combien de temps les clients toléreront-ils cette situation avant de changer de fournisseur? Ces questions sont particulièrement importantes pour les systèmes financiers, la réservation en ligne, la gestion des approvisionnements en électricité et en gaz, les opérateurs de télécommunications et d’autres systèmes assurant des services à la clientèle.

Les technologies de l’information et de la communication (TIC) font maintenant partie intégrante de l’infrastructure critique dans tous les secteurs, qu’ils soient publics, privés ou associatifs. La prolifération des services de réseautage, et les possibilités qu’offrent ces systèmes et applications, ont pour corollaire que les organisations sont de plus en plus tributaires d’infrastructures TIC sécurisées et sûres. La défaillance de ces systèmes, y compris par le piratage et les logiciels malveillants, aura un impact sur la continuité des activités.

Les fonctions critiques qui nécessitent une continuité des activités sont généralement dans une relation de dépendance par rapport aux TIC. Cette dépendance signifie que les perturbations des TIC peuvent constituer des risques stratégiques pour la réputation de l’entreprise. C’est là qu’intervient ISO/CEI 27031, Technologies de l’information – Techniques de sécurité – Lignes directrices pour mise en état des technologies de la communication et de l’information pour continuité des affaires, actuellement au stade de projet final.

ISO/CEI 27031 traite de l’état de préparation pour la continuité des activités, qui permet aux entreprises d’être prêtes en cas d’incident, notamment de cyberattaque, et d’avoir des systèmes TIC de sauvegarde opérationnels dans les plus brefs délais. Elle va de pair avec différents autres référentiels ayant trait à la préparation aux incidents, à la planification de la reprise après incident, à l’intervention d’urgence et à la gestion des incidents, y compris :

  • ISO/CEI 27035 sur la gestion des incidents de sécurité informatique
  • ISO/CEI 24762 fournissant des lignes directrices pour les services de secours en cas de catastrophe dans les TIC
  • ISO/CEI 18043 sur la sélection, le déploiement et les opérations des systèmes de détection d’intrusion (SDI)
  • ISO/CEI 27010 sur la gestion de la sécurité de l’information pour les communications inter-sectorielles
  • ISO/PAS 22399:2007 donnant des lignes directrices pour la préparation aux incidents et la gestion de continuité opérationnelle
  • UIT-T X.1056 offrant des lignes directrices relatives à la gestion des incidents de sécurité dans les télécommunications.

Avec les normes de la famille ISO/CEI 27001, cette série de référentiels fournit un ensemble d’outils de gestion qui peuvent faire la différence entre la survie et la ruine de l’entreprise. Ces normes augmentent l’aptitude de l’entreprise à réduire les impacts de la plupart des cyberattaques.

L’environnement des affaires est en constante évolution. Les menaces qui pèsent sur la survie d’une entreprise évoluent elles aussi. En anticipation, les organisations doivent avoir prévu des dispositifs de défense. À cet égard, une excellente stratégie peut être échafaudée autour d’un SMSI ISO/CEI 27001 fondé sur le risque, ainsi que sur les processus de gestion de la préparation aux incidents et de la continuité des activités basés sur ISO/CEI 27031 et ISO/CEI 27035.

WikiLeaks défraye aujourd’hui la chronique, mais cette actualité pourrait facilement être éclipsée par une autre cyberoffensive. Les entreprises doivent se garder de croire que les incidents «n’arrivent qu’aux autres». Les risques existent bel et bien. Nous partageons tous la même technologie, le même Internet et de nombreuses applications. Le simple bon sens veut que l’on se tienne toujours prêt.

Edward J. Humphreys
Edward J. Humphreys
Animateur
ISO/IEC WG on ISMS standards