Cyber-défense et JO : comment rester maître en son château ?

Les grandes compétitions sportives internationales sont désormais l'objet d'attaques informatiques massives, ce qui représente un défi pour les équipes en charge de la cybersécurité. Ainsi, lors des JO de Tokyo, en 2021, 450 millions de tentatives de cyberattaques avaient été repérées, en amont et pendant la compétition. Il en sera de même pour les Jeux Olympiques (26 juillet-11 août) et Paralympiques (28 août-8 septembre) de Paris (JOP). Même s'il est prématuré de préciser dès à présent quand les attaques auront lieu, une chose est sûre : elles auront bel et bien lieu. En raison de la surface d'exposition mondiale que représentent les Jeux (4 milliards de téléspectateurs, 13 millions de spectateurs, 15 000 athlètes), du contexte national et international dans lequel ils s'inscrivent, des flux physiques et financiers qu'ils génèrent, cette manifestation sportive constitue une aubaine pour les cyberattaquants. Dernière partie de notre série : Les techniques traditionnelles suffisent-elles pour se défendre contre les cyber-attaques ? Comment se prémunir ?

Les approches traditionnelles inadaptées à l’envergure mondiale des JO

La démarche traditionnelle de défense, comparable à celle d’un château fort et utilisée depuis les débuts de l'informatique, repose sur des outils classiques. On érige des remparts autour de son réseau sur lesquels on installe des pare-feu configurés pour contrer les attaques extérieures. Cependant, avec la migration vers le cloud et l’avènement du travail hybride, cette approche présente une faiblesse majeure : les applications et les utilisateurs se trouvent en dehors de ces remparts, que ce soit sur des plateformes type Azure, GCP, Salesforce ou Zendesk, ou simplement en dehors du réseau. Ainsi, cette approche vole en éclats face à une réalité où les menaces peuvent surgir à tout moment.

Appliquer ces méthodes traditionnelles périmétriques, même en les virtualisant, ne suffit plus. Les applications et les utilisateurs étant omniprésents, une protection efficace doit être déployée partout, au plus près des utilisateurs et des éventuels attaquants. Comme nous l’avons vu, les JO, en raison de leur envergure mondiale, de la multiplicité des systèmes d’information en jeu, du nombre considérable d’applications et sites web qui seront déployés et de leurs multiples utilisateurs, constituent un cas d’école particulièrement crucial en matière de cyberdéfense.

L’approche Zero Trust, un préalable indispensable

Dans ce contexte, l’approche Zero Trust permet d’appréhender la sécurité en partant du principe que les menaces sont déjà présentes au sein de l’organisation. Concrètement, elle repose sur l’idée que la confiance ne doit jamais être accordée aveuglément, à l’intérieur comme à l’extérieur des périmètres organisationnels, que ce soit à l’égard des utilisateurs, des appareils ou des applications.

Elle s’appuie sur trois principes majeurs :

1 - Vérification continue : chaque demande d’accès est traitée comme si elle provenait d’une source non fiable, nécessitant une vérification rigoureuse avant d’être approuvée. Cette approche rompt avec les paradigmes traditionnels de sécurité qui se basent sur des périmètres définis.

2 - Protection renforcée : en mettant l’accent sur la vérification continue des utilisateurs et des accès, l’approche Zero Trust offre une réponse robuste aux menaces modernes. Il redéfinit ainsi les normes de la cybersécurité.

3 - Principe de moindre privilège (PMP) : l’approche Zero Trust limite l’accès par défaut aux applications, sites internet et données seulement à ce qui est nécessaire. Ainsi, seuls les utilisateurs et dispositifs authentifiés et autorisés peuvent accéder aux ressources de l’entreprise.

Cloudflare a la capacité de proposer toutes ces solutions au travers d’une plateforme intégrée. Grâce à son réseau mondial étendu qui couvre 95% des internautes, sa technologie permet de se protéger pro-activement quasiment partout dans le monde contre toute une typologie d'attaques (attaques DDOS, attaques volumétriques sur les niveaux applicatifs, sur les niveaux de couche réseau, tentatives d'exploitation de failles applicatives, notamment.). Enfin, elle permet de contrer des attaques en temps réel à l’inverse de la sécurité traditionnelle qui nécessite de configurer et réajuster en permanence les défenses, en fonction des nouvelles vulnérabilités.Trois recommandations de défense :

A l’approche des JO, il est encore temps d’ajuster sa stratégie de défense face aux cyber-menaces, selon trois axes principaux :

1 - Assurer la disponibilité de son infrastructure. Sécuriser son infrastructure implique de la rendre disponible tout le temps. Facile en mettre en œuvre, une protection DDoS réduit le risque d’immobilisation du SI. Une protection contre les bots réduit le risque de pénuries (attaques d'inventaire), est également simple à mettre en place. Surtout, au regard du coût potentiel de l’attaque, son prix est dérisoire. Elle est certes complexe car elle nécessite une protection applicative, type WAF, pour se protéger contre les vulnérabilités web.

2 – Contenir l’intégrité et la confidentialité des données. 80% des attaques proviennent d'un mail de phishing. Il est simple mais crucial de sensibiliser ses équipes aux bonnes pratiques. Par exemple, bannir les mots de passage écrits sur des post-it, mettre en place des écrans de veille après plusieurs minutes d'inactivité, ne pas communiquer de mot de passe, rendre obligatoire les filtres écran pour les personnes exposées aux voyages et aux lieux publics.

Il est simple de mettre en place une protection anti-phishing et malware. Autre outillage de défense : une solution de filtrage DNS et Web, éventuellement couplée à un EDR pour le monitoring local des postes et serveurs.

Une stratégie d’isolation, de zero-trust pour éviter les mouvements latéraux (propagation de l’infection) est plus complexe mais peut encore s'envisager pour les JOP. Eviter l'exfiltration de données avec du DLP (Data Loss Prevention) nécessite en général de classifier ses données, ce qui prend un temps non négligeable.

3 - Protection des personnes : elle est plus complexe à mettre en place dans le cas des JO car personne ne maîtrise l'agenda des visiteurs ni leur appétence pour la sécurité. Néanmoins, il est possible d’inciter les visiteurs à prêter attention aux appels inconnus (l'application Orange Téléphone est très pratique pour filtrer les spams vocaux). D'une manière générale, rappeler que tout ce qui paraît trop beau pour être vrai doit être questionné (pas d’argent gratuit, SMS de Netflix, Vouchers gratuits, SMS de ses proches qui ont subitement perdu leur téléphone, etc.).

Face à la dimension mondiale des JO et à la diversité des menaces, une approche Zero Trust, appuyée par des solutions du même type que celles proposées Cloudflare, semblent indispensables pour exercer une défense efficace. Et conserver ainsi son titre de maître du château.