Fortinet: nouvelle infrastructure de protection contre les cyberrisques

Service navigation

Chercher

Bas de la page

Fortinet: nouvelle infrastructure de protection contre les cyberrisques

La cybersécurité est un thème récurrent. D’ailleurs, l’administration fédérale doit elle aussi parer tous les jours de potentielles cyberattaques. Pour y faire face, les spécialistes de la sécurité de l’Office fédéral de l’informatique et de la télécommunication (OFIT) pourront désormais compter sur un élément important, la nouvelle infrastructure Fortinet.

Nous sommes au début du mois de décembre 2021, et les nouvelles se multiplient. Les spécialistes de la sécurité informatique (dont le personnel du Centre national pour la cybersécurité ici) mettent en garde contre la présence d’une vulnérabilité de type zero day dans la bibliothèque de journalisation Java Log4j, qui est intégrée dans de nombreuses applications. La faille critique de sécurité «CVE-2021-44228», plus connue sous le nom de «Log4Shell», permet en effet aux cybercriminels d’activer à distance n’importe quel code malveillant. Cette faille est considérée comme critique et suscite l’inquiétude bien au-delà du monde de la cybersécurité.

D’un seul coup, le thème de la cybersécurité est de nouveau sur toutes les lèvres. Mais on a un peu tendance à oublier qu’il ne se passe en fait pas un jour sans que l’on soit exposé à des cyberrisques potentiels, en tant que particulier ou organisation. L’OFIT et, partant, l’administration fédérale n’échappent pas non plus à cette règle. L’utilisation d’une bonne infrastructure de protection est dès lors d’autant plus importante.

Harmonisation de l’infrastructure de sécurité du réseau de l’administration fédérale

Il y a encore quelques années, l’administration fédérale s’appuyait sur les solutions de divers prestataires. Or, ce qui allait bientôt devenir manifeste, c’était le morcellement constaté non seulement au niveau du paysage des produits, mais aussi du savoir-faire correspondant. De ce fait, il devenait de plus en plus difficile de gérer l’infrastructure de protection de manière globale et judicieuse et, par conséquent, de garantir la sécurité du réseau. La solution était alors évidente: il fallait harmoniser le paysage des produits grâce aux produits du prestataire Fortinet.

Aujourd’hui, la transformation des structures de protection est en cours. Fortinet livre à cet effet différents produits à l’administration fédérale, comme un pare-feu intégrant une fonction proxy qui contrôle à la fois les données entrantes et les données sortantes et protège ainsi le réseau de la Confédération contre toute attaque indésirable. L’ensemble de produits fournis par Fortinet comprend aussi une passerelle de courrier électronique sécurisée (mail security gateway), qui analyse tous les courriels envoyés aux collaboratrices et aux collaborateurs de la Confédération pour détecter les logiciels malveillants ou les attaques d’hameçonnage, ou encore le pare-feu d’application web (web application firewall ou WAF) qui repousse les tentatives d’attaque contre les applications web de la Confédération.

L’infrastructure Fortinet en action

Comment cela se passe-t-il dans la pratique? Pour répondre à cette question, il faut imaginer le scénario suivant.

Lundi matin, Martin revient à peine de ses vacances d’été. Un peu plus d’une centaine de courriels se sont entre-temps amassés dans sa boîte aux lettres. Le café qu’il vient de tirer lui sera certainement très utile, pense-t-il, avant qu’il ne fasse le point sur les innombrables messages qui se sont accumulés au cours des deux dernières semaines.

Soudain, un message accompagné de la mention «IMPORTANT» en lettres capitales attire son attention. Curieux, Martin clique sur le courriel et tombe sur un prétendu rapport financier. Au moyen d’un double-clic, il ouvre le document Excel et en active le contenu, mais il ne se passe rien. «Bizarre, bizarre», se dit-il. Après une nouvelle tentative infructueuse, il abandonne et passe au courriel suivant. Après tout, il a assez à faire après deux semaines d’absence.

Ce que Martin ne sait pas encore, c’est qu’Excel a de son côté très bien fonctionné. Car, en activant le contenu du document, Martin a exécuté un code qui a déjà lancé le téléchargement d’autres logiciels malveillants sur son ordinateur portable professionnel. Martin vient d’être victime d’une cyberattaque.

Une personne assise devant son ordinateur consulte sa messagerie. Le courriel qu’elle a ouvert contient en pièce jointe un document Excel encadré en rouge et relié par un trait à un symbole constitué d’un triangle rouge et d’une tête de mort.
Le courriel reste l'un des canals favoris des logiciels malveillants et des tentatives de fraude.

«Les cyberattaques menées au moyen de courriels, en particulier de macros Office, font partie des tactiques les plus simples, hélas aussi les plus efficaces, pour diffuser des logiciels malveillants», explique Rudolf Hänni, analyste de la sécurité informatique. «Notre infrastructure Fortinet aurait toutefois été capable de détecter et d’empêcher ce genre d’attaques à plusieurs niveaux si la mésaventure de Martin avait été réelle.»

Dans l’idéal, le message n’atteint même pas la boîte aux lettres de Martin. Il se peut donc que la passerelle de courrier électronique sécurisée considère déjà que l’expéditrice ou l’expéditeur n’est pas fiable et bloque l’envoi du message. Par ailleurs, il est également possible que le scanner de logiciels malveillants intégré reconnaisse la charge active (payload) ou que la vraie nature de la pièce jointe et de la macro soit démasquée dans le «bac à sable» (sandbox). Si toutes ces fonctions de protection devaient échouer, il resterait encore le proxy en dernier ressort. Celui-ci peut bloquer le chargement d’autres logiciels malveillants, en cela même qu’il est capable, par exemple, d’identifier le danger lié à une adresse URL ou à un téléchargement.

Scénario d’intervention no 2 – le pare-feu d’application web

Le pare-feu d’application web ou web application firewall (WAF) est un élément central de l’infrastructure de protection. Ainsi, l’administration fédérale propose de nombreuses applications et services web que les citoyennes et les citoyens ainsi que les cantons et les communes peuvent utiliser pour traiter différentes affaires avec leurs offices respectifs. Les cyberrisques sont là aussi permanents, comme le précise Rudolf Hänni: «Lorsqu'on met un nouveau système en ligne, il y a fort à parier que ses éventuelles failles seront identifiées en quelques minutes.» Les cybercriminels vont alors tenter d’exploiter les vulnérabilités trouvées, en lançant par exemple des attaques telles que l’exécution de codes à distance (remote code execution [RCE], p. ex. Log4Shell) ou l’injection SQL*.

«Le WAF est justement là pour contrer de telles attaques», souligne Günther Stattenberger, business owner de l’unité Network Services auprès de l’OFIT. Mais il protège surtout contre les tentatives d’attaque simples. Pour tout ce qui va au-delà, on pourrait plutôt le comparer à un pansement de premier secours: «Entre la publication d’une nouvelle faille et les premières tentatives d’attaque, il ne s’écoule souvent que quelques heures. Dans de tels cas, le WAF nous permet notamment de gagner du temps afin que nous puissions corriger ou réparer des applications vulnérables avant qu’elles ne soient compromises.» Le spécialiste en informatique insiste cependant sur le fait que le WAF n’est pas une solution permanente pour l’exploitation d’applications vulnérables.

Le WAF a également été utilisé de cette manière après la révélation de la vulnérabilité de type zero day Log4Shell. Ainsi, dans de nombreux cas, une exploitation de la faille a déjà pu être évitée précisément par cet élément de l’infrastructure de protection. Un gain de temps précieux a permis aux spécialistes de l’administration fédérale de procéder aux correctifs nécessaires.

*Remote code execution (RCE): l’exécution de codes à distance ou RCE est possible si, par exemple, la faille d’une application web permet à un cybercriminel d’exécuter un code malveillant sur un serveur web en y saisissant des données. Souvent, de cette manière, des invites de commande (webshells) sont exécutées sur le serveur et permettent au cybercriminel d’agir à distance. En règle générale, celui-ci tente à ce moment-là d’étendre ses droits et, partant, de prendre le contrôle total du système.

Injection SQL: lors de cyberattaques fondées sur des injections SQL, OS ou LDAP, les cybercriminels exploitent les points faibles d’une application web afin d’y introduire certaines commandes spécifiques ou des codes malveillants. Lors de ce processus, une saisie est manipulée de telle sorte que le code ou celui des cybercriminels soit lui aussi traité. De ce fait, ceux-ci peuvent par exemple accéder à de précieuses données ou mettre à exécution d’autres commandes malveillantes.

(Source: OWASP Top 10: https://wiki.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf)

Conseils aux utilisatrices et aux utilisateurs sur la manière de se protéger contre les cyberrisques

Les systèmes techniques tels que l’infrastructure Fortinet sont indispensables pour la protection contre les cyberattaques. Mais les utilisatrices et utilisateurs attentifs apportent une contribution tout aussi importante. Le Centre national pour la cybersécurité (NCSC) prodigue des conseils sur sa page web sur la manière de se protéger contre les attaques provenant d’Internet.

Courriels: le courrier électronique reste le canal favori des logiciels malveillants et des tentatives de fraude. Il y a lieu ici de vous méfier tout particulièrement des courriels qui vous incitent à cliquer sur un lien ou à ouvrir une pièce jointe. Aussi, ne saisissez jamais des données personnelles sur un formulaire que vous avez reçu au moyen d’un lien intégré à un courriel. Supprimez les courriels suspects en utilisant la combinaison de touches «Shift + Delete». Les collaboratrices et collaborateurs de l’administration fédérale peuvent transmettre les courriels suspects à l’équipe de sécurité de l’OFIT en actionnant le bouton «Rapporter un spam» dans Outlook.

Mots de passe: utilisez un mot de passe différent pour chaque service en ligne auquel vous avez recours et, dans la mesure du possible, une authentification à deux facteurs (p. ex. un mot de passe à usage unique ou un jeton SMS). Utilisez par ailleurs des mots de passe forts d’au moins 12 signes, composés de majuscules, de minuscules, de chiffres et de caractères spéciaux. Un gestionnaire de mots de passe vous aide à conserver la vue d’ensemble. À l’administration fédérale, l’application KeePass est disponible par défaut. Des tutoriels à ce propos sont disponibles ici.

Protection des appareils privés: beaucoup de nouveaux systèmes d’exploitation possèdent déjà un pare-feu intégré, une protection antivirus et une fonction de mise à jour automatique. Activez les mises à jour automatiques lors de la mise en service d’un nouvel appareil privé si vous y êtes invité. Des programmes obsolètes font le régal des cybercriminels. Assurez-vous que l’ensemble des appareils (ordinateurs, tablettes, smartphones, etc.) installent automatiquement les mises à jour de sécurité disponibles.

Vous trouverez d’autres conseils de protection contre les cyberrisques sur le site Internet du NCSC: https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-private.html

Contact à l’OFIT:

Günther Stattenberger
Business Owner Network Services
Tél.: 058 464 31 60

Texte: Suela Amin

 
 

OFIT Store

teaserbild_occ

Operation Control Center

De la direction

DaziT: nouvel ART

Satisfaction de la clientèle

Début de la page

https://www.bit.admin.ch/content/bit/fr/home/documentation/le-magazine-eisbrecher/eisbrecher-archiv/kundenzeitschrift-eisbrecher-ausgabe-79/fortinet.html