Comment une agence capable d'envoyer un homme sur la lune peut-elle être aussi négligente pour protéger ses serveurs ? Le rapport publié à la suite de l'audit et intitulé «Des mesures de sécurité insuffisantes exposent le principal réseau de la NASA à une cyber attaque » est aussi embarrassant que préoccupant. Surtout, il est révélateur de la question plus générale de la sécurité des réseaux au sein des entreprises. Car si RSA, sur laquelle repose l'authentification sécurisée au sein des réseaux de nombreuses entreprises, si Comodo, qui sécurise les sites web avec des certificats SSL cryptés, et si la NASA, l'une des principales agences du gouvernement des États-Unis qui doit protéger des données cruciales et confidentielles, ne sont pas en mesure de verrouiller leurs systèmes, les administrateurs informatiques d'entreprises de taille moyenne sont en droit de se demander ce qu'ils peuvent faire.
Plusieurs spécialistes de la sécurité ont été sollicités pour donner leur avis sur le rapport de la NASA. Ainsi, selon Tim Keanini «TK», CTO de nCircle, la sécurité est une procédure, et apparemment la NASA ne s'est pas employée à en affiner les contours. « La bonne exécution d'une procédure dans un domaine donné est une chose et la sécurité en est une autre, même pour des entreprises qui ont la parfaite maîtrise de certains processus. Ce n'est pas une excuse, c'est juste une réalité, » a t-il commenté. « Je suis certain que si la NASA gérait la sécurité de son système informatique avec le même niveau d'exigence qu'elle le fait pour ses missions, cette situation ne se produirait pas et nous aurions beaucoup à apprendre de ses méthodes. »
Pour Anup Ghosh, fondateur et directeur scientifique d'Invincea, des événements comme les attaques récentes menées contre HBGary, RSA, et Comodo, auxquelles s'ajoute ce rapport de la NASA, pourraient conduire les administrateurs des services informatiques à se dire : « Si cela se produit dans ces entreprises, que peut-il nous arriver ? » Mais, selon lui, la meilleure question serait: « Si cela se produit pour des entreprises très sécurisées, cela veut dire que ça arrive partout dans le monde ? » Anup Ghosh pense que la réponse à cette question est sans doute « oui ». Et il explique : « Si vous regardez n'importe quel réseau à la loupe, vous allez trouver des problèmes. Donc le problème de la sécurité ne concerne pas que la NASA, mais l'ensemble des réseaux. Si l'audit n'avait pas mentionné de difficultés, il y aurait eu lieu de s'interroger sur sa validité. Plus important encore, la réponse de la NASA, du Gouvernement, de l'industrie ne devrait pas se réduire uniquement à proposer plus de cycles de mise à jour. La bonne réponse serait plutôt de modifier l'architecture des réseaux, des serveurs et des postes de travail pour leur permettre de résister aux attaques. »
Des risques à relativiser et à préciser
Randy Abrams, directeur de l'enseignement technique chez ESET, appelle à la prudence face à cette affirmation selon laquelle la vulnérabilité des systèmes de la NASA pourrait mettre en danger les missions de la navette spatiale, ou rendre la Station spatiale internationale inopérante, une appréciation faite « davantage pour les gros titres, mais pas vraiment le risque principal, » selon lui. Les pirates s'infiltrant dans les serveurs de la NASA sont plus intéressés à s'emparer de données sensibles et sur une durée la plus longue possible - comme des données relatives au vol furtif hors de portée des radars, par exemple. Des attaques contre une mission de la navette spatiale leur procurerait peu de bénéfices, et serait aussi moins lucrative. Pour Randy Abrams, « c'est trop facile d'exagérer une menace en parlant de crash de la navette ou d'immobilisation de la station spatiale alors que le risque réel concerne plutôt la protection des données classifiées et des systèmes du Gouvernement. »
Oliver Lavery, directeur de recherche sur la sécurité et le développement de nCircle fait un bon résumé de la situation. Celui-ci explique que, aujourd'hui, les entreprises sont confrontées au défi de sécuriser un réseau de plus en plus diversifié et impalpable, et de protéger une quantité colossale et sans cesse croissante de données. Il explique que « la vulnérabilité du programme de sécurité n'est sans doute ici pas liée à un élément technique, mais plus probablement à l'insuffisance de la modélisation des menaces, de la hiérarchisation des évènements, et du processus d'évaluation. » Selon lui, « le vrai défi pour les grosses entreprises est de faire en sorte que les investissements consacrés à la sécurité soient justifiés et efficaces. »
Donc, Houston, nous avons, bien un problème. Mais, pas de panique. Évitez le sensationnalisme en agitant le spectre d'attaques terroristes contre des missions de la navette, et concentrez-vous sur les véritables enjeux qui ne figurent pas dans le rapport d'audit de la NASA. Ce que nous pouvons apprendre de la NASA, c'est que la sécurité est un processus, et non un événement, et que les entreprises doivent être aussi diligentes que possible pour identifier et résoudre - au minimum atténuer - de manière proactive ce qui expose leurs réseaux à un risque.
« Houston, nous avons un problème... » : Les systèmes de la NASA vulnérables
0
Réaction
Un rapport d'audit réalisé en interne par l'inspection générale de la NASA estime que certains ordinateurs, de même que le réseau de l'agence spatiale américaine, présentent de graves lacunes en matière de sécurité, lesquelles pourraient compromettre les missions des astronautes, voire même mettre leur vie en danger.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire