[Replay] Comment sécuriser les SI des établissements et organismes de recherche ?

Les actes de malveillance informatiques vont croissant, dans l’ESR comme partout ailleurs, imposant aux établissements une vigilance de tous les instants. À chacun ses solutions pour se préparer au mieux à contrer les cyberattaques, dans un environnement où la technologie est omniprésente et incontournable.

Les cyberattaques : une menace multiforme, de plus en plus affûtée

« Depuis une vingtaine d’années, on retrouve les trois mêmes types d’attaques. Au premier chef le phishing (hameçonnage), puis l’usurpation d’identité. Vient ensuite le ransomware (chiffrement des données suivi d’une demande de rançon pour les récupérer) », présente Patrice Puichaud, responsable de l’ingénierie client de Google Cloud Security. 

« S’y ajoutent aujourd’hui deux autres plus récentes : les risques liés aux clouds mal configurés et à l’utilisation d’interfaces de programmation d’application (API) mal protégées », poursuit-il.

Des dangers encore renforcés récemment avec l’arrivée des intelligences artificielles (IA) génératives, qui permettent des campagnes multimodales de plus en plus fines, via email, messages écrits, audio et vidéos usurpés.

« Nous avons eu 48 piratages de comptes cette année, souvent via du phishing, témoigne Damien Bongart, directeur des systèmes d’information de l’Insa Rennes. Les messages reçus sont de plus en plus spécialisés et difficiles à détecter. »

Hervé Debar, directeur adjoint de Télécom SudParis et expert en cybersécurité, appuie : « On compte désormais des attaques encore plus sophistiquées, de type “zéro clic”, permettant de provoquer des actions néfastes à l’insu même de l’utilisateur, via un simple numéro de téléphone. »

Impact organisationnel, financier, mais aussi en termes d’image

Souvent à la faveur d’un incident de proximité, toutes les directions d’établissements ont aujourd’hui pris conscience qu’une cyberattaque peut avoir des retentissements conséquents en termes de reprise et de continuité d’activité. Mais aussi en termes d’image.

« Un incident cyber fini sur la place publique. Quand on forme de futurs ingénieurs en informatique et qu’on n’est pas capable de sécuriser son SI, cela impacte notre crédibilité », pointe Damien Bongart. 

Différents plans d’action mis en place par les établissements

Face à la menace, les établissements s’entourent de dispositifs divers, du plus pointu au retour aux recettes de protection les plus basiques.

Des dispositifs de pointe

L’Université Paris 1 Panthéon-Sorbonne a pris le taureau par les cornes. « Nous avons mené un projet sur plus d’un an, d’abord pour nous préparer à la gestion de crise, avant une seconde phase visant à élaborer les plans de restauration et de continuité d’activité pour nos services le jour où le système sera inopérant », rapporte Carine Souveyet Jarosz, vice-présidente conseil d’administration, coordination et pilotage du système d’information et professeure des universités.

Même démarche proactive à l’Insa Rennes. « Nous envisageons la mise en place avec la DRH d’un parcours cybersécurité de 2 h obligatoire pour tous les arrivants », ajoute Damien Bongart.

Retour aux vieilles recettes

Comme ailleurs, l’école d’ingénieurs se rabat aussi sur des méthodes très « 20^e siècle », mais qui ont fait leurs preuves, comme la sauvegarde froide sur bandes. « C’est de l’assurance-vie quand plus rien ne marche ! », note Damien Bongart.

Adopter une méthodologie d’action structurée

Miser sur la prévention au premier chef

Patrice Puichaud préconise de s’appuyer sur quatre piliers : prévention, détection protection et réponse. « Le maillon faible de la chaîne, c’est principalement l’humain, c’est pourquoi le premier est le plus important. La prévention repose avant tout sur l’éducation : être sensibilisé sur les risques, savoir utiliser les bons outils et adopter les bons réflexes », détaille-t-il.

L’ESR : des enjeux spécifiques

Les enjeux de sécurisation sont particulièrement délicats dans le milieu académique. La recherche aspire à une grande liberté, en particulier de communication, souvent avec la planète entière. D’où des échanges incessants, difficiles à filtrer.

Quant à l’enseignement, il nécessite de nombreuses ressources en ligne : Mooc, quiz, agendas… Sensibiliser tout cet écosystème constitue un vrai challenge au quotidien pour les DSI.

« Nous ne cherchons pas à faire peur, mais à jouer franc jeu sur le fait que personne — y compris les utilisateurs les plus qualifiés — n’est à l’abri d’une bêtise », commente Damien Bongart.

Anticiper et tester en continu

Une validation constante est également requise. « Nous mettons en place des audits et des tests réguliers, visant à nous assurer que l’utilisateur soit capable de repérer les dysfonctionnements du SI et nous prévenir le plus tôt possible, pour nous permettre d’aller plus vite dans la remédiation », illustre Hervé Debar.

Un processus exigeant et chronophage, mais aussi crucial qu’une alerte incendie. « On a beau tout préparer, le jour J, on est dans la panique et on risque de tout oublier », explique Damien Bongart.

S’assurer ou non ?

C’est un arbitrage pas toujours facile à faire, car s’assurer coûte cher. « Soit on paie cash quand ça nous arrive, soit on s’assure à l’avance, mais c’est toujours un bénéfice-risques à peser », pointe Carine Souveyet Jarosz.

La gestion de crise : de nombreux écueils à lever

Une démarche qui soulève plusieurs questionnements. D’abord, sur la manière de sonner l’alarme. « Nous avons mis en place des systèmes d’alerte par SMS par groupes, mais les massifier sur l’ensemble des étudiants pose des questions de gestion des données personnelles », soulève Hervé Debar.

Ensuite, sur les alternatives à trouver en cas d’attaque. « Pour continuer à travailler, il faut avoir sous la main des ordinateurs non connectés au réseau, souligne Carine Souveyet Jarosz. L’idéal étant d’avoir un site B, non hébergé dans notre périmètre attaqué ou chez un autre opérateur, rassemblant toutes les informations nécessaires à la continuité du service. » 

Enfin, sur la remontée à faire aux autorités. « En cas de phishing, saisir la justice risquerait d’engorger inutilement le système : mieux vaut faire un signalement sur des plateformes comme cybermalveillance.gouv », conseille Hervé Debar.

S’appuyer sur les équipes en place ou externaliser ?

L’Insa Rennes essaie de laisser une large part à l’interne. « À ce jour, faute de moyens, nous n’avons pas vraiment élargi les équipes, hormis le renfort d’élèves ingénieurs en apprentissage témoigne Damien Bongart. Mais nous avons sanctuarisé un budget cybersécurité à la DSI, de 15 à 20 % selon les années. Une démarche valorisable en interne sur le plan de la communication. »

Le plus souvent toutefois, le choix est fait d’externaliser tout ou partie de la sécurité, comme l’expose Carine Souveyet Jarosz.

« Cela nous permet d’aller plus vite. Mais aussi de pallier les contraintes de réactivité en cas d’attaque, lesquelles peuvent survenir à tout moment, y compris la nuit, le week-end ou les vacances. Or, instaurer en interne un système d’alerte 24 h/24 et 7 j/7 nécessiterait de mettre en place un dispositif d’astreinte, qui plus est avec du personnel qualifié. » Les recommandations d’un expert extérieur peuvent aussi être mieux entendues par les équipes.

Comment bien choisir son prestataire ?

Différentes solutions se distinguent : si un security operation center (SOC) s’impose sur la prévention, la détection et la remontée d’alertes au quotidien, lorsqu’il s’agit d’affronter une attaque conséquente, l’interlocuteur adéquat est un prestataire de réponse d’incident-sécurité.

« Pour trouver la perle rare, privilégier des prestataires labellisés par l’Agence nationale de la sécurité des systèmes d’information (Anssi) », recommande Hervé Debar.

Miser sur la mutualisation

Associer les moyens financiers, matériels et humains entre établissements d’un même groupe ou d’un même territoire est un moyen sûr de se sécuriser de manière plus efficace et à moindres frais.

Une démarche entreprise avec succès à l’Insa Rennes, qui met actuellement en œuvre un SOC (Security Operations Center) mutualisé sur l’ensemble de sept établissements rennais.

Mais aussi à TélécomSudParis. « La démarche nous est venue par le RGPD, qui a occasionné le besoin d’avoir un data protection officer, d’abord au niveau groupe, puis dans les écoles », informe Hervé Debar.

L’IA : des apports encore limités

Un outil précieux pour décharger des tâches sans valeur ajoutée

L’IA trouve tout son sens pour décharger les équipes des tâches les plus fastidieuses, comme trier des alertes, enrichir des informations ou générer du code basique. « À la clé, la possibilité, pour les ingénieurs en cybersécurité, de se concentrer sur l’analyse des alertes les plus importantes », pointe Patrice Puichaud.

Un outil encore très imparfait

Hervé Debar pointe que si l’IA est très performante pour détecter des anomalies sur un réseau, c’est souvent de manière assez vague et sans donner de vraies pistes d’action.

« Derrière la phase de détection, l’intervention humaine reste indispensable pour analyser ce qui a été détecté et qualifier l’importance de l’incident remonté », commente Carine Souveyet Jarosz.

Qui plus est, l’outil est à double tranchant : c’est aussi l’IA qui aide les hackers à fabriquer des pièges numériques de plus en plus efficaces. C’est pourquoi son impact global en matière de cybersécurité reste à ce jour limité.

« Le gain de productivité permis par l’IA générative sur l’exploitation et la maintenance de notre infrastructure globale est de l’ordre de 8 %, précise Patrice Puichaud. C’est dire que l’IA n’est pas prête à remplacer les humains ».

S’organiser, s’associer et partager les bonnes pratiques demeure la clé pour sortir indemne de la cyberguerre.

---