TV5 Monde, une attaque qui en annonce d’autres ?

« Une destruction méthodique et structurée », voilà comment Jean-Pierre Verines, directeur informatique de TV5 Monde, décrit aux Echos l’attaque conduite par un groupe djihadiste à l’encontre du média le 8 avril. Les observateurs se perdent jusqu’ici en conjectures sur ce qui a pu provoquer le piratage du site et l’arrêt momentané des programmes de la chaîne.

« Il faut se méfier des interprétations », prévient Laurent Hausermann, directeur associé de Sentryo, éditeur de logiciels de cybersécurité. « Une enquête est en cours, mais à l’heure actuelle il semble acquis qu’il s’agit d’une attaque menée sur un mode opératoire assez traditionnel. Apparemment, les attaquants ont pénétré par un premier ordinateur, puis se sont déplacés pour cartographier le réseau, identifier les postes administrateurs et rebondir sur les serveurs. C’est une action qui prend du temps ! Dans le cas du distributeur américain Target, l’an passé, l’attaque avait été préparée durant deux mois. Je pense que l’on est à peu près dans le même cas », estime-t-il.

« Être dans une posture de défense »

Un tel délai suppose que la présence des intrus aurait pu être détectée avant l’attaque. Comment alors ne l’a-t-elle pas été, ce qui aurait permis de déjouer l’opération ? « Il faut trois choses pour empêcher une telle attaque, et elles n’étaient en l’occurrence sans doute pas réunies », détaille Laurent Hausermann. « D’abord, il faut être dans une posture de défense. Autrement dit,  il faut considérer non pas qu’il peut y avoir un assaillant, mais qu’il est déjà bel et bien présent, pour détecter au plus tôt sa présence.

Il faut une vraie sécurité opérationnelle, cesser de penser en équipement de réseau ou de postes de travail, mais mobiliser des équipes ou des prestataires capables de détecter les intrus.

Ensuite, il faut évangéliser les salariés, leur faire comprendre, sans tomber dans la paranoïa, qu’afficher ses mots de passe au mur, en particulier quand ce mur sert de fond alors qu’on est interviewé, ce n’est pas l’idéal. Enfin il faut protéger le système métier critique, en l’espèce le système de production audiovisuelle. C’est là-dessus qu’il faut concentrer les efforts. »

Deux approches possibles

Comment, dès lors, se prémunir de telles attaques? « C’est évidemment très délicat », poursuit Laurent Hausermann, « mais il y a grosso modo deux approches. La première, traditionnelle, consiste à segmenter le réseau, avec des firewalls ou des antivirus, qui peuvent être très intrusifs et avoir un impact sur le système métier. On peut aussi privilégier une autre approche, plus passive, qui va potentiellement laisser passer une partie de l’attaque pour venir la détecter au plus tôt. Cette technique, plus fine, permet une meilleure aide à une décision qu’on doit prendre très rapidement en cas de piratage», explique-t-il.

Au-delà de TV5 Monde, les entreprises françaises sont-elles préparées à de telles attaques? « Non », regrette Laurent Hausermann. « C’est peut-être un problème générationnel, avec des dirigeants pas toujours au fait de ce genre de risque, ou culturel, puisqu’à la différence des pays latins nous ne sommes pas vraiment technophiles. En tout cas, la plupart des entreprises françaises seraient incapables de contrer ce genre d’attaque…. »

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !