Salut,
Je viens de tomber sur un article de Numérama
J’ai cru halluciner…encore une attaque informatique sur un centre hospitalier…
Les sysadmins n’ont aucune honte…car là, qui est réellement à blamer?
Bonjour Loïc.
Pourquoi avoir titré ton message « Hack: … » ?
Alors qu’apparemment tu éoque un crack ?
En fait c’est bien plus complexe que ça n’en a l’air. Les cyberattaque de ce genre font appel à pas mal de vecteurs.
Les sysadmins n’étant que le bout de la chaine.
En premier lieu, la sécurité relève…de la sécurité, pas des administrateurs systèmes.
ensuite on a la sécurité à la hautueur de l’investissement qu’on y met, ce qui inclut:
- Les investissements matériel et logiciel (les plus évident mais en fait les moins importants)
- Les investissement en terme de sensibilisation et de formation, la cinquième roue du carrosse
- Les investissements en termes d’organisation (gestion des procédure, bureau des méthodes, adaptabilité des outils et conduite du changement) qui est la au mieux la 4ème roue.
les direction ne mettant l’accent que sur la rentabilité, avec des cadres dirigeants qui outrepassent très souvent les procédures mises en place pour…sécuriser l’ensemble, il ne faut pas s’étonner de la facilité avec laquelle les groupes de pirates prospèrent.
mais les sysadmins ne sont qu’un rouage d’exécution, pas un rouage de décision. et c’est au niveau des décisions que ça pêche.
J’ai eux 4 clients ces 3 dernières années qui ont fait l’objet de cyberattaques massives (avec cryptlocker notamment), et à chaque fois la déficience s’est trouvé au niveau du management, pas au niveau des exécutants.
Et il n’y a pas que les hôpitaux, il y a de tout, et tout le temps.
Parfois ce sont des attaques mineures, qui ont un impact de quelques heures, mais qui sont répétées, genre 2 à 3 attaques par semaines de quelques minutes qui bloque le service pendant deux ou trois heures.
Blâmer les sysadmins, c’est comme blâmer l’ouvrier à la chaine parce que la voiture a crevé.
3 J'aime
Et pour ma question ?
Et parfois, plus rarement certes, ce sont des attaques avec un haut niveau d’expertise et là, c’est beaucoup plus difficile à contrer.
Sans compter la guerre en Ukraine, qui fait que la Russie s’attaquent à pas mal d’administration nationales de plusieurs pays européen, dont la france en particulier.
l’objectif étant juste de créer de l’insatisfaction pas suppression de service; avec les conséquences qui en découlent
Hé même parfois et souvent de l’intérieur …
En fait, connaissant bien le problème de l’une des cibles, il n’y a rien de l’intérieur et globalement pour nos administrations, c’est rarissime voir inexistant.
Il faut bien comprendre que le scénario de ces attaques commence presque invariablement par la même chose. Les identifiants d’un employé sont obtenus par ruse : phsihing, ingénierie sociale, etc. Vous seriez étonnés avec quelle facilité on peut obtenir des accès.
Ensuite l’ampleur des dégâts dépend du niveau d’accès obtenu et des cloisonnements mis en place par les équipes informatiques.
La sécurité ce n’est pas que l’affaire des sysadmin, c’est un processus qui doit être pris en compte à tous les niveaux depuis le développement, le déploiement, l’administration et jusqu’au utilisateurs qui doivent être formés pour ne pas céder leurs accès à n’importe qui.
Et surtout, il doit être pris en compte au niveau de la direction générale et du RSSI (qui en passant ne doit pas être subordonné ni au business ni au DSI).
Les attaques ne sont pas seulement des tentative d’accès.
Il faut prendre en compte les DDOS, où le seul but est de rendre l’utilisation du service impossible pendant un temps donné. C’est ce qui se passe pour l’un de mes client. Aucune tentative d’accès mais des dégradation de service à répétition.
Donc l’administrateur systèmes n’a donc pas la responsabilité de la sécurité du systeme informatique? … vos informations vont révolutionner la fonction et surtout occasionner une sacrée baisse des salaires …déjà que l’admin sys est payé au lance-pierre dans beaucoup de boites
Il a la responsabilité de son implémentation pas de sa définition
ok…ok…mais lol quand même
edit: En vous lisant je comprends mieux tous ces cr(hack)s en série…dur dur la responsabilisation…grâce au « c’est pas ma faute…c’est l’autre »
Je précise qd même, pour en avoir l’expérience, le sysadmin à quand même , au cas où vous l’ignoreriez, la responsabilité des GPO, des règles de firewall, de la sécurisation de l’applicatif en général. Et aussi l’optimisation de la partie physique et logique du reseau (car la plupart du temps son poste est « administrateur systèmes et réseaux »)
J’avoue etre sidéré par vos propos
moi j’avoue être souvent surpris pas tes propos …
Autrement que dans une petite structure ou bien souvent il est le seul à devoir se démerder, dès que tu rentre dans une structure complexe tu n’est plus le décideur …
Comex, codir, comop, copil et autres joyeusetés où tous est décidé après consultation … tu crois encore que le responsable informatique d’un hôpital à véritablement son mots à dire concernant la sécurité ?
FAute de connaitre lke domaine peut être.
La sécurité d’(rune entreprise est définie dans la politique de sécurité de celle-ci, définie et validée par le RSSI et la direction générale.
Cette politique est ensuite décliné en un certain nombre de plans d’actions (suivant les périmètres concernés).
Ces plans d’actions intègre tout autant des opérations d’organisation, de documentations (procédures, etc…) et d’opérations techniques (i.e.: des changements).
Les changements réalisés à quelques niveau/catégorie que ce soit, doivent/devraient faire l’objet d’un accompagnement au changement.
Cet accompagnement a notamment pour but d’informer et de former.
Dans les changements opérés certains sont d’ordre technique, ils sont alors pris en charge par les différents administrateurs techniques (applicatifs, système, réseau et sécurité; il n’y a pas que le système dans un SI).
Le sysadmin n’a que des responsabilités techniques opérationnelles. or la partie d’implémentation technique n’est que le bout de la chaine d’une politique de sécurité.
Celle-ci part toujours du haut vers le bas, ou plus pragmatiquement du macroscopique vers le microscopique, ou encore si les mots dérangent, du général vers le détaillé.
Toute politique de sécurité qui ne fait que partir de son extrémité technique est le plus souvent vouée à l’échec; et les attaques, pénétrations de sécurité ou autres DDOS n’en sont souvent que le reflet mais uniquement. Toutes les défaillances ne sont pas purement techniques, elles peuvent organisationnelles, ou de la catégorie ingénierie sociale.
Et c’est presque 20 ans d’implication et d’expérience dans la sécurité des SI qui me le font dire.
Et je confieme les propos ci dessous cité de @Clochette manque le cotech au fait 
) pour participer moi-même régulièrement à de telles instances. C’est même une parti de mon métier.
Au détail près que le responsable informatique a son mot à dire tout comme le RSSI qui ne sont pas le plus souvent la même personne (et d’ailleurs ça vaut mieux). Après, les critère d’évaluation des risques, des risques eux-même, et les notions budgétaires entrent eux aussi en ligne de compte.
Mais c’est souvent la direction générale qui a le dernier mot.
Et pour ajouter sur le volet de la responsabilité légale (hors acte volontaire), le patron est responsable pénalement et civilement, le DSI et le RSSI sont responsable civilement.
En plus que général ces accidents sont le fruit de procédures de reporting nazes, de politiques sécuritaires tue l’amour et de l’acculture (même pas inculture) de l’organe de décision.
Typique nid à Kerviel, genre.
Le pire est que tout ça ne coûte quasi rien à corriger.