Légende urbaine numéro 1 : 80% des attaques contre les S.I. proviennent de l’intérieur. Quelle est la provenance de ce chiffre ? s’interroge Richard Bejtlich. La réponse, nous apprend le Docteur Eugene Schultz, grand pourfendeur d’idées reçues, trouve son origine dans une étude statistique effectuée par le FBI il y a plus de 17 ans. Bien avant l’ère des Botnets tentaculaires, du déploiement des réseaux DSL dans le monde entier, des attaques Web massives et de l’exploitation véritablement « commerciale » des malwares. Ce qui ne veut pas dire que l’ennemi intérieur n’existe pas. Toutes proportions gardées, il existe bel et bien mais le nombre de « traîtres à l’entreprise » sont traces par rapport aux hordes de cyber-malfrats qui errent sur la Toile.
Ces cyber-criminels sont à la délinquance en col blanc ce que l’agriculture extensive est à la production de céréales : le rendement à l’hectare ne vaut pas celui d’une petite exploitation. Si le professionnels du virus « password stealer » ou du zombificateur-polluposteur gagne de l’argent par effet de masse, l’ennemi interne frappe peu, peu souvent, mais les dégâts qu’il provoque sont sans commune mesure. Le retour sur investissement –ou le rendement per capita- est en faveur de l’ennemi intérieur, mais, en termes d’analyse de risques, la probabilité de sa présence est nettement plus faible que toutes les autres menaces « externes ».
En volume, le danger vient bien de l’extérieur, et la tendance se confirme d’années en années.
En 1999, les cyber-effractions étaient à 57% de provenance extérieure, à 51% provoquée dans le périmètre du SI.
En 2003,le CSI/FBI affine quelque peu sa terminologie et le sens de ses questions. L’enquête distingue désormais les assauts Internet, Intérieurs et par ligne téléphonique (RAS). Le résultat est sans appel : les « points d’attaque les plus fréquents » sont à 78% Internet, 30% les systèmes internes, 18% les RAS. Dans le détail, les intrusions Web externes représentaient 53 % des cas, les actions internes plafonnaient à 18%, et plus du quart des personnes interrogées déclaraient ignorer l’origine de l’attaque. Pour ce qui concerne les seuls sinistres internes, 80% ont été qualifiés de « attaque ou mauvaise utilisation » -catégorie très générique- mais seulement 36% de cette proportion était clairement qualifiée de véritable pénétration.
Sur le plan financier, là encore, les vols d’informations propriétaires ont été estimés (sur un échantillonnage de personnes majoritairement nord-américaines) à près de 70 millions de dollars, montant à comparer aux 2,8 M$ imputables aux « pénétrations dans les systèmes » et surtout aux quelques 406 000 dollars –seulement- dus aux « accès non autorisés effectués par des personnes appartenant aux services ».
Bejtlich, un vieux routier de la sécurité des SI de l’Administration Fédérale, consultant travaillant très souvent pour le compte de l’armée US, n’est pas réputé pour tenir des propos « politiquement corrects ». Ce billet, jetant ouvertement la mode des DLP aux orties, milite en faveur d’une politique de sécurité intelligente et réfléchie. Les « passades » de l’industrie pour le couple A.V./Firewall, puis en faveur des IPS et successivement des DLP, des UTM et autres remèdes miracles à trois lettres ne sont que d’incessantes tentatives d’oublier le problème plus général qu’est l’analyse de risques (la vraie) et la compréhension du système d’informations et de son périmètre. Crier « au loup » ou « à l’outil universel » cache trop souvent une vision parcellaire, incomplète du problème.