Dans son rapport annuel publié lundi 15 avril, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) met en exergue les attaques par rebond et entend proposer de nouveaux processus de certification pour lutter contre ce type d’attaque.
1. Qu'est ce qu'une attaque informatique par rebond ?
Pour rappel, les attaques informatiques dites par rebond consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu à l’attaque, et permettant à un cyber assaillant de dissimuler son identité. Dans ce cas, le hacker n’attaque pas frontalement sa cible mais s’intéresse plutôt à l’écosystème de sous-traitants ou de fournisseurs de services connectés aux systèmes d’information de la victime pour exploiter d’éventuelles failles de sécurité.
Les récentes attaques ayant touché AIRBUS et ALTRAN illustrent parfaitement ce type de risque actuellement en explosion. Ainsi, le cyber-incident intervenu chez AIRBUS il y a quelques semaines trouvait son origine dans un accès non autorisé à des données par un ou plusieurs individus qui s'étaient fait passer pour un sous-traitant de l'avionneur. A quelques jours d’intervalle, c’est ALTRAN qui fait état d’une attaque d’un logiciel malveillant ayant paralysé ses serveurs ; attaque ayant fait craindre une compromission des données de l’ensemble des clients de cette société d’ingénierie externalisée[1].
En guise de réponse, l’ANSSI est en cours de formalisation d’une liste blanche de prestataires d'administration et de maintenance sécurisée (Pams) « dans le domaine de l'informatique classique comme dans le domaine industriel ».
L’obtention d’un label pourrait être prochainement exigé des prestataires amenés à délivrer des prestations à risque visant des organisations critiques pour la sécurité de l’Etat - en ce inclus les grandes entreprises françaises et autres administrations publiques. Le référentiel de sécurité attaché à ce label est actuellement en cours de rédaction.
La lutte contre la cybercriminalité s’oriente ainsi vers un système global de certification permettant d’identifier des prestataires qualifiés tant en matière d’audit de sécurité informatique qu’en matière de sous-traitance et de fourniture de services informatiques externalisés.
Cette démarche fait directement écho au « Cybersecurity Act » Européen qui entrera prochainement en vigueur et qui sera à l’origine d’une procédure de certification dédiée aux solutions de cybersécurité pour l’ensemble des Etats membres de l’Union Européenne[2].
2. Quels enseignements tirer de ce nouveau type d’attaque ?
Lorsque vous êtes une organisation exposée au risque informatique
Par définition, toute organisation publique ou privée : établissements publics, PME, collectivités territoriales, multinationales dans le secteur industriel, start up, hôpitaux etc. est exposée au risque informatique. Pour s’en convaincre, il suffit d’observer l’actualité[3].
Se protéger contre les attaques par rebond supposera de cartographier l’ensemble de ses traitements et d’identifier avec précision l’écosystème des différents fournisseurs, sous-traitants et autres prestataires de services ayant un accès à ses systèmes d’information. Un contrôle strict devra être effectué à partir de cette cartographie tant sur le plan technique (ex. : audit de sécurité) que sur le plan juridique (ex. : audit contractuel, signature d’avenant, vérification des labels éventuels et demande de communication des polices d’assurance etc.).
Lorsque vous êtes sous-traitant / fournisseur de service de nature informatique
L’augmentation du niveau de sécurité et de garanties proposées à vos clients constitue un enjeu à la fois juridique et économique.
Sur un plan juridique, il s’agit d’être en capacité de répondre contractuellement aux exigences de la réglementation. Ainsi, le Règlement Général Européen sur la Protection des Données (RGPD) entré en vigueur le 25 mai dernier impose au sous-traitant comme au responsable de traitement de mettre en œuvre les mesures organisationnelles et techniques permettant d’assurer la sécurité et la confidentialité des données. Pour limiter son risque d’engagement de responsabilité, vous devrez en qualité de sous-traitant mettre en place un dispositif contractuel complet faisant état desdites garanties, informer vos clients de leurs propres responsabilités et engagements. La formalisation d’un Plan Assurance Sécurité[4] justifiant de l’ensemble des mesures prises et des labels obtenus sera ici déterminant. Il en va de même des accords sur la protection des données qui seront à régulariser dès lors que le sous-traitant traite pour le compte de son client des données à caractère personnel.
Sur un plan économique, la mise en œuvre d’un « référentiel sécurité »[5], la justification de la réalisation d’une analyse d’impact[6], la mise à disposition d’accords sur la protection des données présentant une politique de sécurité complète ou les garanties d’assurance[7] spécifiques apportées par les sous-traitants seront autant d’éléments clés permettant de se différencier de la concurrence, de rassurer les clients et investisseurs, bref, de se positionner pour conquérir de nouvelles parts de marché.
*
* *
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. Le département cybersécurité accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place de dispositifs dédiés à la gestion du risque cyber et à la protection des données. Pour en savoir plus, contactez nous ici.
[1] Cf. http://info.haas-avocats.com/droit-digital/cyber-sécurité-la-communication-au-cœur-de-la-gestion-du-risque-cyber
[2] Cf. http://info.haas-avocats.com/droit-digital/le-parlement-europ%C3%A9en-adopte-le-cybersecurity-act-
[3] Cf. http://info.haas-avocats.com/droit-digital/s%C3%A9curit%C3%A9-des-donn%C3%A9es-le-bilan-6-mois-apr%C3%A8s-le-rgpd
[4] https://www.haas-avocats.com/data/pourquoi-rediger-plan-dassurance-securite/
[5] Cf. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/
[6] Cf. http://info.haas-avocats.com/droit-digital/5-raisons-de-mener-une-%C3%A9tude-dimpact-pia
[7] Cf. http://info.haas-avocats.com/droit-digital/assurance-cyber-risque-vers-un-big-bang-