Les changements que le web social pourrait apporter dans le milieu dans lequel j'évolue, soit la sécurité informatique au sein d'une entreprise de produit chimique, sont nombreux. Je vais tenter ici de les décrire et élaborer sur chacun de ces aspects sur trois échelles de temps différentes: un an, cinq ans et vingt ans. Le tout couvrira une génération complète ce qui nous donnera une bonne aperçu de ce à quoi ressemblera le futur du web social en ce qui à trait à la sécurité information dans une grande entreprise et plus précisément dans une entreprise de produit chimique où la sécurité sous toutes ses formes, est primordiale.
Avant d'entrer dans le vif du sujet, je vais faire une mise au point concernant la situation actuelle dans une entreprise comme celle-ci. Premièrement, depuis avril 2007, le Department of Homeland Security des États-Unis, suite aux attentats terroristes de septembre 2001 à New York, à introduit une règlementation sur la sécurité informatique pour les usines de produit chimique. Chacune des usines ayant été ciblées par cette réglementation doit ce conformé au "Chemical Facility Anti-Terrorism Standards (CFATS)". Ce standard décrit toutes les facettes à prendre en considération concernant la sécurité des réseaux de contrôle d'usine chimique. Dans un des volets on y retrouve le web social.
La problématique de départ aujourd'hui est que la majorité des réseaux de contrôle informatique de procédé (Process Control Networks) conçu au départ spécifiquement pour contrôler les usines, avait été planifier pour être totalement indépendant des réseaux corporatifs donnant ainsi aucun accès que ce soit à Internet aux employées et par conséquent aucun accès possible non plus au hackers, terroristes ou autres personnes mal intentionnées. Depuis les cinq ou dix dernières années, nous voyons une demande accrus pour la connectivité entre ces deux réseaux afin de permettre l'analyse en temps réel des données et le "benchmarking" entre les différentes usines d'une même entreprise. Que ce soit les ingénieurs, les managers ou dirigeant, tous veulent pouvoir avoir accès à ces données. Donc, au départ, la connectivité ne donnait pas vraiment de maux de tête aux administrateurs de réseau, qui n'avait qu'à brancher un câble et le tour était joué. Avec l'avènement d'Internet et les problèmes de sécurité que nous connaissons aujourd'hui et surtout des attaques terroristes (voir le film Die Hard IV avec Bruce Willis pour références. Il s'agit ici d'un film d'Hollywood avec tout ce que ça comprend d'exagération à l'américaine, mais il reste néanmoins vrai que les techniques et les impacts demeurent vraisemblables et réels dans le monde d'aujourd'hui). Donc, il est bien évident que de nos jours, la plupart de ces réseaux sont protégés par des pare-feu (Firewall) mais l'avènement des réseaux sociaux joue un vilain tour aux administrateurs de la sécurité. Les réseaux sociaux sont incontournables de nos jours. Les gens veulent et dans certains cas, doivent avoir accès à ces sites du Web Social. Cela amène sont lot de problème de sécurité, que l'on pense au "Phishing" au "social engineering" et autres techniques permettant de manipuler une personne à faire une certaine action dans le but d'activer une "backdoor" dans les réseaux d'entreprises à l'insu de tous et ainsi contourner les pare-feux.
Voici un graphique démontrant l’augmentation incessante depuis 2004 des attaques utilisant les techniques de « Phishing » ou hameçonnages.
La majorité du temps, ces derniers utilisent le Phishing contre les clients des banques et autres services de paiement en ligne, mais cela peut aussi bien servir contre les usagers des compagnies. Les raisons de vouloir accéder à ces réseaux sont nombreuses : espionnage industriel (data leakage) dans le but de s’approprier illégalement des données industrielles (soit les recettes ou autres informations concernant la fabrication de produit, des informations sur les pratiques illégales qu’une compagnie utiliserait, la liste des clients, les situations financières et autres), qui pourrait se retrouver facilement sur des sites comme Wikileaks et ainsi faire énormément de tort à la compagnie en question. Dans un autre ordre d’idée, pour un terroriste, l’idée de vouloir accéder à ces réseaux de contrôle pourrait être l’idée de mélanger deux produits dangereux afin de provoquer une explosion dans le centre d’une grande ville, ou simplement d’ouvrir une valve d’acide, par exemple, afin de rendre son message sérieux à sein des autorités gouvernement en blessant ou tuant les gens sur place. Pour les autres, on peut penser à seulement vouloir arrêter la production des usines afin de causer un certain préjudice financier.
Maintenant, ce type d’attaque cible de plus en plus l’exécutif des entreprises avec un profil plus large afin d’avoir accès directement à toute les ressources. Ce type d’attaque s’appel « Whaling ». Il est particulièrement virulent dans les sites de réseaux sociaux aussi utilisé par les présidents et autres exécutifs de compagnie. La plupart des gens ne se doute pas que les informations qu’ils affichent sur ces sites sont très prisées par les « hackers » afin de les utiliser. Les chiffrent démontrent que plus de 70% des attaques de type « Phishing » sont réussies sur les réseaux sociaux, ce qui démontre l’importance de faire particulièrement attention à l’information que nous y entrons.
Dans les autres types d’attaque sur Facebook et autres réseaux sociaux, on retrouve les « Link manipulation » (manipulation de lien URL). Cette méthode permet de changer un le URL d’un lien afin de le pointer vers un site suspect afin de soit, démarrer un logiciel permettant d’installer une « backdoor » sur les ordinateurs du réseau, soit d’obtenir de l’information en falsifiant un site web connu afin que l’utilisateur saisisse par exemple son nom d’usager et mot de passe, qui seront par la suite enregistrés afin d’être réutilisés sur le véritable site par les malfaisants.
Il existe aussi la technique appelée « Filter evasion » permettant au « Phishers » d’utiliser des images à la place du texte afin que les filtres « anti-Phishing » sur les pare-feux ou autres appareils de sécurité du genre ait plus de difficulté à détecter. Cette technique est très populaire et facile d’utilisation sur Facebook. Ensuite, nous avons la méthode de « Phishing» par téléphone. Cette dernière est aussi très populaire et permet soit d’avoir l’utilisateur qui appel un système automatique afin d’entré ces informations personnelles ou d’avoir un « représentant » qui appel la victime et se fait passer pour une personne du support informatique et lui demandant des informations soient personnelles ou sur la compagnie.
Ce sont les problématiques actuelles que doivent faire face les entreprises qui désire être « connectées » (au sens physique et populaire !). Dans un an, ces techniques ne seront que de plus en plus sophistiquées rendant la protection par les administrateurs en sécurité plus difficile. Les attaques de type social engineering et de type « web apps attacks » seront vraiment au point permettant en un clin d’œil de la part des « hackers » d’avoir accès à une multitude d’information autrement classée confidentiel et secrète. La prochaine génération de menace est désignée pour identifier et extraire les données financières et autres pièce d’information pour le vol d’identité. Ces ce qu’on appel le « Pharming ». Le « Pharming » est encore plus dangereux que le « Phishing » parce qu’il est conçu pour être complètement caché des usagés. Contrairement au « Phishing » qui requiert une action de la part de l’usagé, le « Pharming » ne requiert aucune action de l’usager à l’extérieur de ces activités de « surfing » sur Internet. Ces attaques réussissent en redirigeant l’utilisateur d’un site légitime vers un semblable mais frauduleux qui a été créé afin de ressembler au site authentique.
Il est donc essentiel aujourd’hui de ce protéger contre ce genre d’attaque et surtout contre ce genre de « bad guy » qui utilise le web social afin d’en tirer profit au détriment des compagnies et de leurs usagés/employés.
D’ici les cinq prochaines années, apparaîtront des applications sur les « Smartphone » comme les Iphone et autres, permettant d’autres types d’attaques toujours plus sophistiquées et laissant les individus toujours plus dans une zone grise. Ces applications sur les téléphones intelligents donneront accès à des informations en temps réel sur les usines et même un accès permettant le contrôle de certains appareils (voir de l’usine entière) à distance. On peut facilement voir les avantages d’un point de vue strictement pratique, que ce soit de permettre à un expert qui est chez lui d’aider un collègue qui aurait un problème sans avoir à ce déplacer (« sustainability », buzz Word en finance pour les entreprises !), ou tout simplement pour un superviseur de pouvoir contrôler son inventaire en temps réel ou même la performance de ces employés, et tout cela sans avoir à ouvrir son ordinateurs, ce connecter au réseau de l’entreprise et même à partir de n’importe où. Cependant, ces appareils étant sans-fil, donc étant accessible par tous le monde dans un rayon limité lorsqu’en mode « Wifi » ou limité au réseau cellulaire (qui aujourd’hui est extrêmement large !), s’accompagne d’un risque lié à la sécurité. Ces appareils n’ont pas de mécanisme de protection avancées et en temps normal, n’en requiert pas. Mais lorsque ces applications verront le jour, il sera primordial des les inclurent.
Pour ce qui est des 20 prochaines années, c’est ici que cela devient intéressant. Il est évident qu’on parle purement de spéculation, mais il existe déjà de bons indicateurs permettant de voir de quoi sera fait le futur du web social dans 20 ans et par le fait même, de prédire les vecteurs d’attaques et les risques de sécurité que cela représentera pour les entreprises. Tout d’abords, on parlera ici de Web 3.0 ou même le Web 4.0. Il s’agit ici du web sémantique qui est surtout un terme pour décrire que les machines seront assez intelligentes pour chercher exactement ce que l’on veut en fonction des circonstances et de nos goûts, intérêts ou ce sur quoi on travail. On parlera aussi d’un monde virtuel (nous avons déjà accès au machine virtuelle pour les serveurs et autres) ainsi que de l’intelligence artificielle. Avec le Web sémantique, on parle d’une intégration encore plus importante entre les données/vie privées et publiques. Cela aussi amène son lot de problème en matière de sécurité autant pour les individus que pour leurs employeurs. Imaginons simplement que les machines prendront les décisions à notre place. Nous recevons une demande d’amitié sur Facebook, notre ordinateur analyse le tout, et décide que oui, puisque cette personne est déjà amie avec un de nos propres amis, il décide d’approuver sa demande. Nous recevons ensuite des messages contenant des liens vers des sites frauduleux et en répondant pour nous à ces messages, l’ordinateur décide d’ouvrir ces liens. Il est bien évident que cela semble irréel, et que même si cela devait arriver, il existera sans doute des mécanismes plus sophistiqués qu’aujourd’hui en matière de sécurité pour prévenir ce genre d’arnaque de se produire, mais il reste néanmoins que les attaques aussi seront plus avancées et qu’il en reviendra seulement au jugement d’une machine de décider (bien que dans certain cas, cela soit avantageuxJ) dans ces cas là. Ce seront les logiciels qui pousseront l’information à nous au lieu que nous allions la chercher, ce qui décrit vraiment l’idée du web social futur. Dans cet ordre d’idée, on parle aussi que dans 20 ans, il sera moins important de ce protéger des « bad guys » mais plus de nous. En effet, cette révolution dans les façons de faire changera complètement nos habitudes de vie et de travail. Pour décrire la raison d’être de « blâmer » plus les employés d’entreprise que les « bad guys /hackers », voici un exemple. Dans le futur, on verra de plus en plus les téléphones intelligents comme outil de travail, que ce soit pour faire la lecture des niveaux de réservoir, de contrôler un équipement quelconque ou saisir des données manuellement ou à l’aide de « tag » RFID. Ces téléphones serviront évidement aussi à envoyer et recevoir des appels. Les gens n’ont déjà plus qu’un seul téléphone qu’ils apportent chez eux. Prenons l’exemple d’un Iphone. Avec ce type d’appareil, il existe des façons pour les entreprises de les sécuriser et ainsi minimiser le risque. Par contre, pour les employés les plus alerte en matière de technologie, ils savent qu’ils peuvent utiliser les « jailbrake » afin « d’ouvrir » la configuration et ainsi enlever toutes les restrictions, permettant ainsi d’installer d’autres applications (même gratuitement dans les cas d’application que nous devons payer en temps normal) et se soustraire aux politiques de la compagnie. Ces mêmes employés ne prendrons pas la peine de vérifier la validité des applications et ne se méfierons pas lorsqu’ils se reconnecteront au réseau corporatif de savoir s’ils ont été victime d’une attaque quelconque ouvrant ainsi une brèche de sécurité. Comme on vient de le voir, il s’agit ici beaucoup plus d’un problème provenant des « bons » que des « méchants ». Par contre, tout cela est évitable.
Il est certain que la progression de ces tendances montantes n’arrêtera pas à un certain point. Comme nous le constatons déjà depuis plusieurs années, il ne fait que s’aggraver avec des conséquences de plus en plus désastreuses. Les réseaux de contrôle n’existent pas seulement pour les usines de produits chimiques mais aussi pour contrôler les stations d’épuration et de traitement des eaux, les centrales nucléaires et hydro-électriques fournissant l’électricité à la population et services essentiels (hôpitaux, lumière de circulation, tour de contrôle aérienne, etc.). Alors, si un terroriste peut réussir à entrer dans ces réseaux par la faute des employées utilisant le web social, cela pourrait jusqu’à coûter la mort de plusieurs centaines de millier de personnes.
Il est bien entendu qu’il existe des pistes de solutions et des recommandations pour éviter un tel scénario. Il n’est pas question pour les entreprises de retourner 10 ans en arrière et de débrancher toute connexion existante. Cela pourrait même être désastreux pour les avantages commerciaux que possèdent les entreprises entièrement connectées et exploitant au maximum les technologies afin de rester en contrôle de leur production et de leur coût. On parle donc de balancer les opportunités d’affaires et les risques que cela amène. Et c’est faisable, mais cela a un prix. Dans les solutions potentielles, on mentionne ici de réduire les risques, d’augmenter la sensibilisation (awareness) et la mitigation. Je vais décrire chacun de ses solutions en détail.
Réduire les risques consiste ici à s’assurer que chacun des éléments que nous ajoutons dans notre réseau informatique d’entreprise, qu’il s’agisse d’élément physique ou logiciel, avec ou sans fil, qu’ils représentent un minimum de risque. Il faut donc au préalable, les avoirs tester dans un environnement de test ou laboratoire et d’avoir déjà en main une liste de critère que doivent remplir ces technologies. Il faut aussi s’assurer que tous ces appareils soient mis à jour et le plus rapidement possible selon les recommandations des vendeurs.
On peut aussi compter parmi la réduction des risques, d’augmenter la sensibilisation des usagers à ces technologies et leurs risques. On parle ici de formation amenant les employés à connaître les risques, les technologies, les techniques utilisées par les « hackers » et autres. Ces formations serviront en particulier à limiter les actions et interventions qui pourraient s’avérer nuisibles pour l’entreprise par les utilisateurs. Rendent ces derniers conscient de tout ce qui existe comme méthode ou technique d’hameçonnage, les risques lier au non respect des procédures et politique de la compagnie fera en sorte de réduire les risques considérablement. Dans un avenir plus ou moins rapproché, on parlera plutôt de « situation awareness », terme anglais pour désigner que la sensibilisation devra se faire ou s’adapter à chaque situation, en suivant le progrès des nouvelles techniques. On parle ici d’impliquer les employés à être au courant de ce qui arrive autour d’eux, toujours en matière de sécurité informatique dans ce cas précis, de s’assurer qu’ils comprennent comment l’information, les événements et autres actions (que ce soit les leurs ou les actions dictées par n’importe quelle méthode, influence et impacte la sécurité et l’intégrité de l’entreprise à court et moyen terme dans le futur.
La mitigation qui signifie l’atténuation de risques majeurs pour survenir ou être générés par un humain ou système indésirable afin de les rendre plus acceptable par les entreprises. Il est donc nécessaire de développer une politique de prévention qui vise à réduire d'une part la vulnérabilité des enjeux et d'autre part l'intensité de certains aléas tels que les techniques d’hacking et « Phishing » mentionnées plus haut. Il faut cependant s’assurer que la mitigation n’est pas considérée comme une façon 100% sécuritaire et que nous pouvons nous considérer comme « blindé » en matière de sécurité, ce qui serait totalement faux.
Donc, en conclusion, les changements que le web social apportera ou pourrait apporter pour les réseaux de contrôle, que ce soit d’usine de produit chimique ou autres, continuerons à causer des mots de têtes au administrateur de réseau en matière de sécurité. Il est évident qu’il est pratiquement impensable d’enlever complètement les réseaux sociaux qui émergent de partout et sont devenus indispensables pour les individus mais aussi pour les entreprises. Donc, il faudra trouver des façons de faire, tel que mentionné ci-haut, afin de gérer le risque et d’en réduire les risques. Bienvenue dans l’air du 2.0, 3.0 et 4.0…
No comments:
Post a Comment