Category Archives: Français

Les banques à l’heure de la Cyber sécurité

La “cyber” sécurité est un sujet qui est de plus en plus prioritaire dans les grandes entreprises, en ce y compris dans les organisations financières. Je ne suis pas un grand amateur de “buzz words” et “Cyber” ne fait pas exception à ce principe. Comme souvent, on utilise un nouveau mot que personne ne comprend réellement pour parler d’un sujet qui est déjà présent depuis bien des années. Dans ce cas-ci, la cyber sécurité couvre clairement le domaine de la sécurité informatique avec une certaine tendance à s’étendre jusqu’à la sécurité de l’information (qui n’est franchement pas uniquement Cyber). Quoi qu’il en soit, on ne va pas se plaindre si ça permet de sensibiliser un peu plus les conseils d’administration et autres “board of directors” aux problématiques de plus en plus importantes de la sécurité des systèmes d’information. D’autant plus que certaines entreprises plus sensibilisées que d’autres songent, si ce n’est déjà fait, à appointer un CCSO (Chief Cyber Security Officer, le nouveau nom à la mode pour la fonction de CISO ou de RSSI) comme membre de leur comité de direction, ce qui est la position hiérarchique idéale pour pouvoir mettre en place une gouvernance transverse de la sécurité au sein de l’entreprise.

La BIS (Bank for International Settlement), un organisme international regroupant les 60 banques centrales comptant pour 95% du PIB mondial, à publié en novembre 2015 son guide pour la cyber résilience des infrastructures critiques des marchés financier (Guidance on cyber resilience for financial market infrastructures).

Dans ce document de 25 pages, les experts du CPMI (Committee on Payments and Market Infrastructures) soulignent l’importance de la mise en place du gouvernance appropriée et d’une gestion des risques spécifiques afin de gérer les risques propres à chaque entité ainsi que les risques systémiques (ceux liés aux interdépendances entre les banques) posés par les nouvelles technologies et les “nouvelles” manières de travailler. A l’heure ou de plus en plus de banques et d’opérateurs d’infrastructure financières se penchent sur le phénomène blockchain, il est de plus en plus nécessaire d’avoir des personnes qui maîtrisent les enjeux des technologies, et des risques qu’elles représentent, qui soutiendront ces nouveaux produits (s’ils arrivent sur le marché).

En soi ce nouveau guide n’apporte pas de grandes nouveautés dans ses recommandations si ce n’est de souligner l’importance des échanges entre les différentes institution pour faire face aux menaces (il me semble que ces dernières années la sensibilisation aux risques systémiques a bien fonctionné dans le monde financier). Notons aussi l’éternel rappel au point 2.3.1 de l’ultime responsabilité du comité de direction pour définir la stratégie et s’assurer qu’elle est appliquée et efficace, pour ne pas dire efficiente. Les 2 points suivant remettant une couche sur la nécessité d’établir une réelle culture de la gestion des risques informationnels et de s’assurer que l’entreprise possède toutes les ressources qualifiées pour atteindre ses objectifs (ce qui reste un véritable challenge de nos jours, surtout si l’on regarde au delà des titres d’expert et des certifications). Pas étonnant d’ailleurs que celles-ci prennent part à des événements comme le Cyber Security Challenge pour trouver les perles rares qui vont les aider à relever les nombreux défis de la cyber sécurité.

Bref, un petit pas pour la BIS qui laisse entrevoir les nombreux autres petits pas à effectuer par nos institutions financières pour pouvoir survivre à l’aire digitale.

Allo, pourriez-vous m’aider? La phrase qui va ruiner votre sécurité?

Allo, pourriez-vous m’aider? Cette phrase, n’importe quel employé d’une entreprise est susceptible de l’entendre chaque jour. Que ce soit un collègue, un client, un fournisseur qui appelle la comptabilité, le service clientèle, le support IT ou la gestion de l’immeuble, la plupart des collaborateurs d’une entreprise ont pour vocation d’aider d’autres personnes. C’est d’ailleurs de plus en plus souvent une valeur forte des entreprises. Vous avez déjà probablement lu cette phrase : “le service clientèle n’est pas un département, c’est une attitude”. Les entreprises 2.0 mettent leurs clients au centre de leur processus. Aider ses client n’est même plus qu’une tendance naturelle, c’est un objectif d’entreprise, une culture et une obligation. Même si en Europe nous avons parfois encore à apprendre sur ce sujet, de plus en plus d’entreprise améliorent l’attitude de leur personnel envers leur clients, internes ou externes, et les incitent à être plus collaboratif, empathique et aidant. Et c’est tant mieux! C’est finalement l’un des objectif principal d’une organisation: servir ses clients (et générer des bénéfices la plupart du temps)

Malheureusement, ce progrès vient avec un coup important en termes de sécurité. En effet, pour atteindre cet objectif, les employés ont souvent de plus en plus accès aux différentes informations relatives à leurs client afin de pouvoir mieux les servir et de plus, dans la mouvance 2.0, chaque collaborateur est responsabilisé et “empowered” afin de pouvoir atteindre ses objectifs. Et là aussi, l’entreprise y trouve énormément d’avantages en termes de bien-être et d’efficience. Mais là encore, la surface de risque augmente. Chaque employé à potentiellement plus de pouvoirs qu’auparavant, exposant donc à lui tout seul encore plus l’entreprise aux risques que sont les “human hackers”

Dans la petite vidéo ci-dessous, l’émission Real Future à demandé à nos très respectés collègues de www.social-engineer.com, d’effectuer une attaque par vishing (hameçonnage téléphonique en français). Comme vous pourrez le voir, il ne faudra que quelques minutes à Jessica Clarck pour obtenir l’adresse email de Kevin Roose et pour se faire créer un nouveau compte à son nom à elle, lui permettant ainsi d’accéder au compte de Kevin. Facile n’est-ce pas! Ne négligeons pas cependant les petits détails qui font la différence entre l’échec et le succès dans ce genre d’exercice.

Commençons par les plus facile et les plus évident: D’abord, Jessica est une femme. Comme je l’ai déjà écrit dans ce blog, la séduction est une arme souvent fatale mais dans ce cas-ci c’est la vulnérabilité associée aux femmes et la tendance chevaleresque des hommes qui est exploitée. Les cris de bébés dans le fond ajoutent au climat de détresse et permettront aussi probablement à amener le correspondant, homme ou femme, à vouloir encore plus aider notre “Visher”. Les êtres humains ont une réaction quasi instinctive de désir d’aider à l’écoute de cris de bébés. Autres caractéristique, Jessica est charmante, s’excuse de prime abord et met son interlocuteur sous pression en lui expliquant qu’un tiers non-présent, son mari, lui demande de faire quelque chose aujourd’hui même. Elle joue donc sur la réciprocité, la dissolution de responsabilité et sur la pression du temps, d’autres facteurs importants dans les techniques d’influence.

Un autre facteur plus complexe, très important et pourtant peu mis en avant dans cet exercice est le “spoffing” (l’usurpation) du numéro de téléphone. Les opérateurs téléphoniques utilisent fréquemment des systèmes qui affichent automatiquement les informations de leurs clients lorsqu’ils appellent avec le numéro de téléphone que ce même opérateur leur a attribué. Cela met d’office l’opérateur en confiance vu que son système lui dit que la personne qui l’appelle est bien qui elle prétend être. Ce n’est pas une petit élément et il n’est pas facile à obtenir même si ce n’est pas des plus compliqués. En effet, l’usurpation de numéro est une fonction qui existe chez tous les opérateurs et qui permet, par exemple, d’avoir votre propre numéro de GSM qui s’affiche quand vous appelez avec un opérateur VoIP comme Skype.

Notez aussi comment Jessica contourne la proposition de l’opérateur d’envoyer un PIN par SMS. Elle ne peux pas le recevoir en même temps. Avec les cris du bébé, l’opérateur ne va pas lui proposer une alternative et va l’aider directement. Dans la mise en place de contrôle d’identité, comme pour tout contrôle de sécurité en général, la convivialité, la simplicité doivent être pris en compte. L’opérateur aurait du pouvoir poser quelques questions simple à la personne (adresse de résidence, second prénom de son mari, date de naissance) afin d’identifier la personne. Simple mais efficace. Ce n’est pas le contrôle que l’on définirais par défaut mais il ne ferait pas de tort d’avoir la possibilité de le faire si d’autres contrôles s’avère impossible. un autre contrôle aurait pu être de proposer de rappeler la personne afin de s’assurer qu’il n’y a pas eu de spoofing (mais il faut déjà accepter la possibilité que ce soit possible pour penser à mettre de tels contrôles en place).

Bien sûr, comme souvent, la clé reste dans la préparation et dans la formation. Ce genre de vidéos, tout comme celle que nous avons réalisé dans le cadre de l’émission de la RTBF “On n’est pas des pigeons” font partie des moyens didactiques qui permettent d’augmenter la conscientisation et la capacité à identifier les techniques utilisées par les hackers.

Bien sûr des tests “in vivo”, annoncés ou non, permettent aussi d’augmenter la vigilance, la reconnaissance et de mesurer l’efficacité des mesures de prévention et des contrôles mis en place. Qu’importe les moyens que vous avez décidé ou que vous déciderez de mettre en oeuvre pour prévenir ce genre d’attaque, qui peuvent coûter des millions d’Euro comme nous l’a malheureusement encore rappelé l’attaque réussie contre Crélan, il est important que ce soit un effort soutenu et régulier. Quand il s’agit d’éducation, la répétition est le maître mot.

Le binômage: plus rapide, plus sûr et pourtant si peu fréquent.

Photo of pair programming from pexels.com

De nos jours, la gestion de projets en mode “agile” est de plus en plus utilisée dans les entreprises. Elle est même à la mode. En effet, ses principes, ou du moins certains de ses modes de fonctionnement sont même appliqués à des processus de transformation de l’entreprise qui se doit elle-même d’être de plus en plus agile, réactive. Cependant, cette méthode est encore souvent employée dans un cadre qui n’est pas agile, avec, dès le départ, une demande du “client” d’avoir certaines fonctionnalités livrées à un moment donné (ce qui va en soi un peu à l’encontre du principe même des méthodologies agiles). Entre parenthèse, il me semble aussi assez souvent qu’une partie des quatre principes de base de la méthodologie (le focus sur les personnes et de leurs interactions, l’importance de livrer un logiciel opérationnel avant tout, l’implication forte du “client” dans le processus et l’adaptation continue aux changements) sont souvent ignorés ou minimisés, probablement de par la différence culturelle que cela implique au sein de l’entreprise.

Mais ce n’est pas là que je veux porter votre attention aujourd’hui. Parmi les méthodes “agiles”, celle que je rencontre le plus souvent, pour ne pas dire exclusivement, est la méthode Scrum. Pourtant, ce n’est pas la seule méthode agile existante. XP, eXtreme Programming, développée en 1999,  un peu après Scrum (en 1995), s’inspire aussi des principes de la méthode agile. Une des pratiques courantes de la méthode XP est le binômage, la programmation en binôme. Ce mode de programmation requière deux programmeurs: le conducteur (driver) et l’observateur (observer). Le conducteur programme pendant que l’observateur l’assiste en faisant une revue du code en direct. Déjà, du point de vue des bonnes pratiques de sécurité, telles celles édictées par la désormais incontournable OWASP, la case “revue du code source par une tierce partie” peut-être cochée. Mais de plus, cette pratique semble permettre d’augmenter la vitesse de livraison et la qualité du code fourni. Quand on connaît le coût et le temps passé à tester et re-tester les applications, une augmentation de la qualité du code devient très vite un avantage financier non-négligeable, sans compter la diminution de la frustration chez les utilisateurs quand ils tombent sur un “bug”. Parmi les autres avantages, celui qui doit théoriquement venir avec les méthodes agiles  mais qui devient une condition sine qua non est l’amélioration de la communication au sein de l’équipe, tout au moins, au sein du binôme.

Alors, quand verra t’on le binômage dans nos exigences de sécurité pour les projets de développement?