Le titre accroche. « Sécurité et espionnage informatique », ça sent la jamesbonderie à plein nez, l’aventure au coin du clavier, le cyberflingue en pogne. Et si l’on entame l’ouvrage par la fin, chapitre 11 (Exemples de campagnes de cyberespionnage), on est effectivement plongé dans un bain où barbouzes et truands se côtoient, s’échangent des astuces et des outils, tapotent avec confiance des épaulettes de haut gradés de l’armée Chinoise ou officiers supérieurs de la Loubianka. Ainsi aurait donc pu débuter (par des faisceaux de preuves et de présomptions) un livre destiné aux dirigeants d’entreprises, ceux pour qui, aujourd’hui, le risque informatique est un « risque parmi tant d’autres » dont il faudra s’occuper lorsque surviendra une crise… pas avant. C’est oublier que le « risque informatique » ne provoque pas la moindre crise, du moins pas immédiatement, et qu’une fois détecté, il s’est souvent passé 300 ou 600 jours durant lesquels la victime s’est peu à peu fait saigner à blanc. L’abus d’images fortes et de rapports de hacks inquiétant serait donc un moyen comme un autre d’attirer l’attention des CxO en matière d’InfoSec.
Mais le livre de Cedric Pernet est écrit pour des RSSI, des Directeurs informatiques, des administrateurs systèmes et réseaux. Des gens qui ne sombrent pas facilement dans le sensationnalisme. L’aspect quasiment anecdotique des « hommes derrières les APT », les dates auxquelles les grandes cyber-attaques ont été lancées, les liens supposés entre groupes actifs passent donc en second plan. Pernet propose une vision opérationnelle et technique des APT (méthodes d’attaques, exemples de codes et vecteurs d’intrusion) et des moyens pour s’en préserver (détection, remédiation, mécanismes préventifs). Un travail de titan ou de bénédictin qui retrace parfois plus de 10 ans d’évolution des techniques d’intrusion. Il « parle » le langage de son lecteur, le RSSI, pour qui les attaques « évoluées et persistantes » ne constituent pas un risque latent, mais une réalité d’autant plus difficile à saisir qu’elle est polymorphe. On ne cherche pas à combattre un risque viral clairement identifié, on ne s’évertue pas à colmater une défense périmétrique, à combattre une campagne de phishing, à interdire la fuite des hachages de mots de passe ou à bloquer du XSS… la chasse à l’APT, c’est tout ça à la fois et plus encore, un combat défensif sur plusieurs fronts. Car « en face », les malware kits ressemblent de plus en plus à des bombes à fragmentation. Le seul moyen de les combattre, semble expliquer l’auteur, c’est de tenter d’en connaître les principaux rouages, les astuces les plus courantes, donc de les « comprendre » et pas seulement les détecter, pour défendre au mieux. La sécurité est un processus, pas une réaction conditionnée. Et surtout, insiste-t-il, il faut communiquer, faire savoir à la communauté SSI. Plus vite un risque est identifié, mieux il sera déjoué. Communiquer, mais aussi surveiller, notamment l’activité des trafics provenant de noms de domaines suspects, sensibiliser (car bon nombre d’APT ont encore recours aux vieilles ficelles de l’ingénierie sociale) et enfin pratiquer la religion du test de pénétration.
Sécurité et espionnage informatique
Auteur : Cedric Pernet
Editeur : Eyrolles, 220 Pages