Repenser la sécurité


Selon un article du Spiegel du 7 mars dernier, un rapport de situation spécial de l'Office fédéral de la sécurité des technologies de l'information (BSI) avertit le gouvernement fédéral que l'Allemagne pourrait bientôt faire face à une attaque contre des "cibles de grande valeur" dans le cadre de l'invasion russe de l'Ukraine : Depuis le début de la crise, on observe "Les cyberattaques contre les fournisseurs d'énergie ou les installations militaires, par exemple, sont considérées par les milieux de la sécurité comme la plus grande menace actuelle pour l'Allemagne".
L'Office fédéral allemand de protection de la Constitution met en garde contre les capacités des services secrets russes à "saboter considérablement et durablement des infrastructures critiques". Cette évolution n'est pourtant pas nouvelle : le rapport AXA Future Risks 2021 qualifie déjà les risques de cyberattaques de deuxième menace mondiale après le changement climatique et avant les pandémies.
Architectures Kritis
Personne ne veut s'imaginer les conséquences d'un piratage réussi pour une centrale nucléaire ou une usine hydraulique. Ou même si des pirates parvenaient à couper l'électricité sur l'ensemble du territoire. Les infrastructures critiques concernent de nombreux domaines de la vie quotidienne. Outre l'État et l'administration, l'énergie et l'eau, elles comprennent la santé, l'alimentation, les transports et la circulation, la finance et les assurances, les technologies de l'information et les télécommunications, les médias et la culture. La nouvelle loi sur la sécurité informatique SiG 2.0, entrée en vigueur au début de l'année, répond à leur niveau de menace.
La loi sur la sécurité exige des mesures procédurales, directives et réactives, entre autres une surveillance de la sécurité dans les systèmes, des mesures de monitoring pour effectuer en amont le durcissement des systèmes selon les normes du marché. Et il y a des obligations concrètes sur la manière de construire des architectures Kritis. Il est obligatoire de définir l'infrastructure et les processus de manière à ce qu'ils puissent être contrôlés et acceptés ultérieurement au regard de la SiG 2.0. Cette qualité de l'architecture et des processus doit être prouvée tous les deux ans et suppose un changement de mentalité : on ne peut pas simplement continuer à faire ce que l'on a toujours fait, mais on doit répondre à des exigences concrètes.

Un point important de la loi sur la sécurité est que la responsabilité a été redéfinie et que les mécanismes de surveillance et de contrôle doivent être intégrés et désormais évaluables en temps réel. Cela correspond à notre expérience de ces dernières années : la plupart des systèmes étaient purement fonctionnels et ne disposaient pas de capteurs qui nous auraient permis d'être détectés d'une manière ou d'une autre lors de tests d'intrusion mandatés. Et si nous y parvenons lors du test d'intrusion convenu, un attaquant réel y parviendra également.
En d'autres termes, les entreprises ne pouvaient jusqu'à présent constater leurs lacunes qu'après un incident de sécurité grave - et il n'était pas clair depuis combien de temps cette vulnérabilité était exploitée. En plus du bureau de notification général pour la sécurité informatique au niveau national, le BSI doit donc logiquement être autorisé à détecter les risques de sécurité. Le paragraphe dit de piratage permet au BSI d'"attaquer" des entreprises et des infrastructures pour ensuite exiger la mise en œuvre de mesures techniques et organisationnelles. L'intention est claire : les programmes malveillants, les failles et les risques de sécurité doivent être détectés et éliminés de manière proactive.
Exemple SAP
L'exemple des environnements système SAP montre clairement que les directives de la LSP 2.0 vont dans la bonne direction, même pour les entreprises non critiques, mais qu'elles ne peuvent pas couvrir tous les points faibles. Pour S/4 par exemple, les exigences ont encore changé, la base de données, l'interface utilisateur, la passerelle, les applications et les autorisations sont devenues plus étroitement liées, l'accès aux données importantes est devenu plus complexe - et donc plus difficile à surveiller. SiG 2.0 exige une planification détaillée de la continuité des activités et des scénarios de reprise après sinistre avec l'utilisation de systèmes de détection d'intrusion (IDS) conformes à "l'état de l'art" (§8a).
Les IDS détectent et concrétisent les attaques à l'aide de fichiers journaux qui doivent désormais être non seulement enregistrés, mais aussi analysés. Les systèmes SIEM seront donc indispensables à l'avenir pour identifier rapidement les cyberattaques, même s'ils ne sont souvent pas suffisants pour SAP. En effet, ils considèrent avant tout les infrastructures et dans ce cas, SAP, en tant que système largement autonome, passe à travers la grille de détection, à moins que l'expertise des professionnels de la sécurité SAP et des logiciels spéciaux ne soient utilisés.
Grâce à son intégration avec l'outil SIEM, tous les incidents liés à la sécurité des paysages SAP peuvent être consolidés avec d'autres systèmes informatiques pertinents et le tableau de bord intégré crée en outre une transparence sur tous les systèmes. Les entreprises Kritis et tous ceux qui ont un besoin réaliste de sécurité obtiennent ainsi, en appuyant sur un bouton, une représentation et une documentation évaluées basées sur un tableau de bord de leur état de sécurité global. L'intégration d'un partenaire de sécurité professionnel est donc essentielle pour la mise en œuvre immédiate de SiG 2.0 dans l'exemple de SAP.
Ainsi, le client SAP existant rku-it, en tant que fournisseur de services informatiques pour les fournisseurs d'énergie, a non seulement répondu efficacement aux exigences de la nouvelle loi sur la sécurité informatique 2.0, mais a également augmenté la sécurité de révision de l'environnement système SAP. L'utilisation de la suite Sast a permis de réaliser des dérivations des rôles de gabarit en fonction de l'organisation des clients. Dans l'entreprise, elle sert à valider les rôles et les autorisations en matière de sécurité et de SoD, à analyser l'utilisation, à optimiser davantage les rôles et les autorisations et à utiliser la fonctionnalité d'utilisateur de secours pour les tâches d'assistance des collaborateurs de rku-it.
Problèmes et opportunités
Le manque de concentration reste un problème majeur pour une stratégie de sécurité globale orientée vers SiG 2.0. La direction doit s'y consacrer avec toute l'urgence et la priorité qui s'imposent et, par conséquent, focaliser et mettre à disposition des ressources. Cela demande de l'attention, du personnel et bien sûr de l'argent. Or, on constate encore dans de nombreuses entreprises que la création de postes, de départements, de services d'état-major, même dans une organisation qui s'occupe de disponibilité et de sécurité, est encore souvent négligée, comme si cela était facultatif. Or, au vu des évolutions actuelles, cette mise en place et cette disponibilité doivent tout simplement être considérées comme une exigence, et pas seulement pour les exploitants de Kritis, et elles coûtent tout d'abord un investissement top-down.
SiG 2.0 et conversion
Pour revenir à l'exemple de SAP : Dans la perspective de la SiG 2.0, une migration S/4 imminente peut justement être utilisée comme une opportunité de faire passer sa propre sécurité informatique à un niveau supérieur. Elle donne par exemple l'occasion de nettoyer les anciennes interfaces et surtout de les standardiser. Les opérateurs de criticité comme les fournisseurs seraient un cas classique. Il y a de très longues chaînes de processus, des points de mesure, des exploitants de points de mesure, des décomptes, la séparation de la distribution et du réseau. Ce sont des systèmes très complexes, où l'on observe que le business est hautement standardisé par des directives réglementaires, des logiciels, des processus - et ce sont des choses que l'on peut très bien faire évoluer, où l'on peut former de bons modèles pour l'énergie, le gaz et l'eau, harmoniser les interfaces et ensuite introduire les modèles pour les autorisations, les utilisateurs et les processus. C'est un énorme gain de sécurité de standardiser les choses pour qu'elles fonctionnent de la même manière et que les processus soient identiques.
Compétence en matière de sécurité
Ralf Kempf et son équipe travaillent pour environ 200 clients dans le domaine de la cybersécurité SAP et de la gouvernance des accès, dont de nombreux exploitants de Kritis : "Nous connaissons les défis auxquels les exploitants de Kritis sont désormais confrontés et nous les aidons à répondre efficacement aux exigences de la SiG 2.0 tout en renforçant la sécurité de leur environnement système SAP. L'époque où les entreprises pouvaient se permettre de négliger leur sécurité informatique est donc définitivement révolue - et cela ne vaut pas seulement pour les exploitants de Kritis. Il est donc décisif d'adopter une approche et une stratégie de sécurité globales qui réunissent tous les thèmes et qui tiennent compte des scénarios de menaces actuels.
