Cybersécurité : un cas coréen ?

2020 March 2

Par Marc de Supervielle & Julien Provenzano, associés RALF KAIROS

Marc de Supervielle intervient sur les problématiques relatives à la gestion des risques, aux contrôles et à la performance du système d’information. Il est auditeur SI (CISA) et manager sécurité de l’information certifié (CISM). En aval, il intervient sur les problématiques de fraude en entreprise.

Avec 14 ans d’expertise en déploiement de nouvelles technologies en cybersécurité, Julien Provenzano a fondé KAIROS, société spécialisée en consulting pour les secteurs de la banque, assurance, industrie, télécommunications, défense et agences gouvernementales.

 

Dix milliards de KRW.

C’est la valorisation des informations financières volées cet été à un million de porteurs de cartes de crédit en Corée. Cet accident s’ajoute à la liste des cyberattaques portées à la connaissance du public : fuite de données KT, intrusion système aux Jeux olympiques, attaques sur les sous-traitants.

De quoi ces évènements sont-ils le signe ? Faut-il y voir une normalité ou une spécificité de la place coréenne face à la cybermenace ?

 

D’un modèle d’attaque type…

Le vol de données chez KT s’est poursuivi pendant cinq mois avant que la société ne s’en aperçoive. C’est la caractéristique de certaines cyberattaques : pénétration sans détection. Les attaques se déroulent selon un modèle type (voir Illustration 1).

Dans le cas évoqué, l’attaque a consisté en une infiltration dans les systèmes puis une exfiltration de données. L’infiltration peut être dormante, l’exfiltration massive ou perlée. Une fois la cible atteinte, l’attaquant peut choisir de maintenir une présence dans les systèmes tout en effaçant les traces qu’il génère.

On rappelle que la sécurité des systèmes d’information[1] a pour objectif la garantie de trois fondamentaux :

  • la disponibilité des systèmes ;
  • l’intégrité des données ;
  • la confidentialité des données.

…à un processus hors-sol de la cybersécurité

La cybersécurité s’appréhende comme un processus d’entreprise : celui de protéger les actifs informationnels. Elle ne peut être dans les seules mains d’informaticiens, administrateurs réseaux ou gestionnaires de base de données. La bonne pratique consiste en une séparation des fonctions entre la gestion des technologies de l’information et la gestion de la sécurité de l’information. Une vision stratégique doit être décrite et actualisée. Sa mise en œuvre fait l’objet d’une politique de sécurité validée. Les principaux indicateurs des évènements sécurité sont suivis en temps réel par le RSSI[2] et reportés périodiquement à la direction. Le pilotage de ces KPIs peut être délégué à un tiers comme les centres opérationnels de sécurité (SOC).

Une faible gouvernance de la cybersécurité accroit le risque de compromission du système. L’effort budgétaire consacré doit être cohérent et réactualisé annuellement en fonction les besoins. Au-delà de ces concepts invariants, l’environnement coréen présente-t-il des spécificités à prendre en compte pour une protection efficace des actifs informationnels ?

Un sens pernicieux de la sécurité en Corée

Les chiffres de la petite délinquance en Corée sont inférieurs à la moyenne des pays de l’OCDE. De plus, certains patrons d’entreprise disent avoir confiance dans les agences du gouvernement comme la Korea Internet & Security Agency (KISA) et le Korea Internet Security Center (KrCERT/CC) pour la surveillance des cyberattaques. Certains dirigeants réduisent la menace à celle émanant d’un terrorisme d’Etat.

Le montant moyen d’une fraude en Asie (330 000 USD) est le double du reste du monde[3]. La menace interne est plus importante ici comme le montre les attaques récentes par ransomware notamment par Remote Access Trojan[4].

Un risque numérique national différencié ?

Le paysage du risque numérique diffère par pays. Ainsi, le risque environnemental sur les systèmes, est regardé avec précaution au Japon. En France, le risque social est factorisé dans les plans de continuité d’activités informatiques. La Corée ne fait pas exception à un risque numérique national propre.

On pourrait tenter d’en dessiner quelques particularités :

  1. Une culture de la gestion du risque incertaine en entreprise ;
  2. Une menace persistante d’acteurs étatiques, constaté avec l’accroissement des cyberbraquages contre les institutions financières et les entreprises ;
  3. Un risque de non-conformité en rapport avec la loi sur la protection des données personnelles ;
  4. Un risque organisationnel : une autorité traditionnelle qui est basée sur la séniorité en organisation et présente un risque de court-circuitage des contrôles ;
  5. Un risque technique : les problématiques de sécurisation d’entreprise face aux nouveaux malwares, à l’hybridation des données vers le cloud, à l’utilisation massive du SaaS[5] et des réseaux sont ardues d’autant que la connectivité des employés est forte et le risque numérique méconnu.

En Corée comme ailleurs, l’amélioration de la sécurité numérique de l’entreprise réside dans l’implication du personnel à tous niveaux : de la direction pour son impulsion, aux employés pour l’adhésion aux règles de base. La maîtrise des solutions techniques de sécurisation est critique, tout comme la préalable compréhension des besoins liés aux métiers. Finalement, la cybersécurité ressemble aux autres processus d’entreprise. La notion d’évaluation du risque et la mise en place de contrôles adéquats restent le nerf de la guerre numérique. De ce point de vue, aucune spécificité n’est à signaler.

Notes 

1 Sécurité des Systèmes d’Information (ou SSI) ou cybersécurité sont employées de façon interchangeable dans l’article.

2 Responsable de la sécurité des systèmes d’information.

3 Les statistiques de la cybercriminalité restent peu fiables. Une étude mondiale sur les fraudes, périmètre plus large que la seule criminalité numérique, donne cependant l’ampleur des enjeux. “Report to the Nations 2018, a Global Study on Occupational Fraud and Abuse” publiée par l’ACFE (Association of Certified Fraud Examiners).

4 On peut citer Ammyy et CLOP. Le but de ces attaques est de chiffrer les fichiers après compromission des serveurs. Une rançon est alors demandée en monnaie virtuelle pour déchiffrer les données chiffrées.

5 Software as a Service.

Comments are closed.