Les auteurs de ce papier, qui s’avèrent être des praticiens de la sécurité des systèmes d’information, s’expriment avant tout en tant que clients du système bancaire libanais.
Certains d’entre nous ont été les premiers à faire face au Malware Gauss qui a sévi dans les systèmes d’information de certaines banques libanaises. Nous avons également pris connaissance de la note de la Banque du Liban (BDL), diffusée à l’ensemble des directions informatiques bancaires du pays en réaction à cet incident. Nous avons par ailleurs lu divers communiqués dans la presse arabe et libanaise, attribués à des cadres bancaires libanais, s’exprimant pour certains au nom de la BDL.
Nous pouvons tout à fait comprendre le besoin d’une telle communication dans la presse, celle-ci visant à accroître le niveau de confiance dans le secteur bancaire libanais auprès des médias. Elle vise également à rassurer le public qui, en grande majorité, est profane dans le mode opératoire de Gauss.
Cependant, vu la nature extrêmement létale et furtive du malware Gauss, nous craignons qu’une telle analyse, pour peu qu’elle soit considérée comme suffisante et non éprouvée, nuit beaucoup plus à la réputation du secteur bancaire libanais qu’elle n’apporte la confiance recherchée.
En effet, les propos attribués à certains cadres bancaires s’exprimant dans la presse pourraient être trompeurs et donneraient l’impression que la BDL n’a pas suffisamment bien cerné le mode opératoire du malware Gauss, surtout que ce dernier s’attaque aux postes de travail des clients finaux alors qu’ils sont connectés à leur banque en ligne, plutôt qu’aux systèmes d’information eux-mêmes des banques concernées.
La solution annoncée dans la presse et consistant à se contenter de mettre à jour les systèmes antivirus des banques n’empêchera pas de futurs malware sophistiqués de prendre pour cible le secteur bancaire libanais. Plus dangereusement, cela pourrait même inciter la partie adverse, étatique ou pas, à effectuer des opérations de hacking et de cyber-espionnage encore plus létales et fréquentes...
Gauss est un outil de cyber-espionnage extrêmement sophistiqué, s’inscrivant dans la catégorie des Menaces persistantes avancées, ou APT (Advanced Persistent Threats). Ce malware est loin d’être le fruit d’adolescents bricoleurs, ou Script-Kiddies, en mal de reconnaissance.
En relatant des analyses simplistes sur Gauss, le secteur bancaire libanais ne serait pas en train de manifester une réelle aptitude à se protéger.
Par ailleurs et dès lors qu’il s’agit de la quintessence même du secteur bancaire local, il est choquant de lire dans la presse que «d’autres responsables bancaires affirment ne pas être concernés par un quelconque virus en insistant qu’ils n’ont rien à cacher».
Est-ce que la BDL est en train d’appliquer les normes et standards de sécurité selon les règles de l’art? Est-ce que les banques sont suffisamment sensibilisées à ces problématiques? Est-ce que des investissements adéquats sont consentis en la matière?
Les autorités de régulation et de contrôle doivent réellement inciter les banques libanaises à obtenir la conformité ISO 27001 en se dotant d’un véritable Système de management de la sécurité de l’information, ou SMSI. Un tel mécanisme d’amélioration continue accroîtra concrètement la réputation des banques libanaises, surtout en ce qui se rapporte à la gestion de leurs risques opérationnels.
Ainsi, il apparaît clairement que le chemin est encore long pour atteindre une telle maturité. Découvrir dans la presse que plusieurs cyber-attaques ciblent de manière répétée les mêmes actifs bancaires n’est pas à l’avantage de ce secteur. Nous espérons sincèrement que cet incident déclenchera des actions plus sérieuses et plus efficaces! Un programme de sécurité de l’information doit exister et doit reposer sur une stratégie claire avec des résultats mesurables et une réelle identification des rôles et responsabilités de toutes les parties prenantes.
Du moment que beaucoup trop de temps s’est écoulé entre la divulgation, par Kaspersky, de l’infection virale et la réaction «publique» de la BDL, nous pouvons légitimement nous demander si celle-ci a désigné un porte-parole officiel en cas de crise. Une telle personne s’appuierait sur un Computer Security Incident Response Team (CISRT) ou structure équivalente afin de diagnostiquer l’incident et de protéger le secteur bancaire et ses clients de toute information inexacte, voire dangereuse dans les médias.
Il n’est pas honteux d’admettre nos défaillances face à une menace cybernétique sans cesse évoluée et complexe, tant que nous nous engageons à y pallier tout en rassurant les citoyens en portant à leur connaissance l’ensemble des mesures requises pour endiguer et éradiquer ce malware.
N’oublions pas que de gigantesques institutions financières et non financières de par le monde ont été victimes de cyber-attaques. Même des entreprises spécialisées en sécurité des systèmes d’information ont eu elles-mêmes à subir les affres de telles attaques. Néanmoins, grâce à la mise en place d’un véritable SMSI, elles étaient aptes à rebondir et réagir rapidement et professionnellement.
Les initiés connaissent les trois attributs fondateurs en sécurité que sont la disponibilité, l’intégrité et la confidentialité de l’information. Ces derniers sont nécessaires, mais non suffisants. Il faut les agrémenter de la «responsabilité ultime» ou Accountability, seule garante d’un SMSI
efficace.
Pour finir sur une note plus légère, nous nous amusons tous lorsque les Libanais applaudissent lors de l’atterrissage de leur avion sur le tarmac de l’AIB, alors qu’il est plus que normal et prévisible de vivre un atterrissage réussi! Le même constat s’applique ici aux banquiers qui «mettent régulièrement à jour leurs systèmes antivirus»: quoi de plus normal et attendu en 2012?
Une cyber-sécurité durable ne sera possible qu’à travers un programme d’amélioration continue!
Zouheir ABDALLAH, Élias DIAB,
Hadi el-KHOURY, Michel GHANEM
et Jocelyne ZIADÉ
Certains d’entre nous ont été les premiers à faire face au Malware Gauss qui a sévi dans les systèmes d’information de certaines banques libanaises. Nous avons également pris connaissance de la note de la Banque du Liban (BDL), diffusée à l’ensemble des directions informatiques bancaires du pays en réaction à cet incident. Nous avons par ailleurs lu divers communiqués dans la presse arabe et libanaise, attribués à des cadres bancaires libanais, s’exprimant pour certains au nom de la BDL.
Nous pouvons tout à fait comprendre le besoin d’une telle communication dans la presse, celle-ci visant à accroître le niveau de confiance dans le secteur bancaire libanais auprès des médias. Elle vise également à rassurer le public qui, en grande majorité, est profane dans le mode opératoire de Gauss.
Cependant, vu la nature extrêmement létale et furtive du malware Gauss, nous craignons qu’une telle analyse, pour peu qu’elle soit considérée comme suffisante et non éprouvée, nuit beaucoup plus à la réputation du secteur bancaire libanais qu’elle n’apporte la confiance recherchée.
En effet, les propos attribués à certains cadres bancaires s’exprimant dans la presse pourraient être trompeurs et donneraient l’impression que la BDL n’a pas suffisamment bien cerné le mode opératoire du malware Gauss, surtout que ce dernier s’attaque aux postes de travail des clients finaux alors qu’ils sont connectés à leur banque en ligne, plutôt qu’aux systèmes d’information eux-mêmes des banques concernées.
La solution annoncée dans la presse et consistant à se contenter de mettre à jour les systèmes antivirus des banques n’empêchera pas de futurs malware sophistiqués de prendre pour cible le secteur bancaire libanais. Plus dangereusement, cela pourrait même inciter la partie adverse, étatique ou pas, à effectuer des opérations de hacking et de cyber-espionnage encore plus létales et fréquentes...
Gauss est un outil de cyber-espionnage extrêmement sophistiqué, s’inscrivant dans la catégorie des Menaces persistantes avancées, ou APT (Advanced Persistent Threats). Ce malware est loin d’être le fruit d’adolescents bricoleurs, ou Script-Kiddies, en mal de reconnaissance.
En relatant des analyses simplistes sur Gauss, le secteur bancaire libanais ne serait pas en train de manifester une réelle aptitude à se protéger.
Par ailleurs et dès lors qu’il s’agit de la quintessence même du secteur bancaire local, il est choquant de lire dans la presse que «d’autres responsables bancaires affirment ne pas être concernés par un quelconque virus en insistant qu’ils n’ont rien à cacher».
Est-ce que la BDL est en train d’appliquer les normes et standards de sécurité selon les règles de l’art? Est-ce que les banques sont suffisamment sensibilisées à ces problématiques? Est-ce que des investissements adéquats sont consentis en la matière?
Les autorités de régulation et de contrôle doivent réellement inciter les banques libanaises à obtenir la conformité ISO 27001 en se dotant d’un véritable Système de management de la sécurité de l’information, ou SMSI. Un tel mécanisme d’amélioration continue accroîtra concrètement la réputation des banques libanaises, surtout en ce qui se rapporte à la gestion de leurs risques opérationnels.
Ainsi, il apparaît clairement que le chemin est encore long pour atteindre une telle maturité. Découvrir dans la presse que plusieurs cyber-attaques ciblent de manière répétée les mêmes actifs bancaires n’est pas à l’avantage de ce secteur. Nous espérons sincèrement que cet incident déclenchera des actions plus sérieuses et plus efficaces! Un programme de sécurité de l’information doit exister et doit reposer sur une stratégie claire avec des résultats mesurables et une réelle identification des rôles et responsabilités de toutes les parties prenantes.
Du moment que beaucoup trop de temps s’est écoulé entre la divulgation, par Kaspersky, de l’infection virale et la réaction «publique» de la BDL, nous pouvons légitimement nous demander si celle-ci a désigné un porte-parole officiel en cas de crise. Une telle personne s’appuierait sur un Computer Security Incident Response Team (CISRT) ou structure équivalente afin de diagnostiquer l’incident et de protéger le secteur bancaire et ses clients de toute information inexacte, voire dangereuse dans les médias.
Il n’est pas honteux d’admettre nos défaillances face à une menace cybernétique sans cesse évoluée et complexe, tant que nous nous engageons à y pallier tout en rassurant les citoyens en portant à leur connaissance l’ensemble des mesures requises pour endiguer et éradiquer ce malware.
N’oublions pas que de gigantesques institutions financières et non financières de par le monde ont été victimes de cyber-attaques. Même des entreprises spécialisées en sécurité des systèmes d’information ont eu elles-mêmes à subir les affres de telles attaques. Néanmoins, grâce à la mise en place d’un véritable SMSI, elles étaient aptes à rebondir et réagir rapidement et professionnellement.
Les initiés connaissent les trois attributs fondateurs en sécurité que sont la disponibilité, l’intégrité et la confidentialité de l’information. Ces derniers sont nécessaires, mais non suffisants. Il faut les agrémenter de la «responsabilité ultime» ou Accountability, seule garante d’un SMSI
efficace.
Pour finir sur une note plus légère, nous nous amusons tous lorsque les Libanais applaudissent lors de l’atterrissage de leur avion sur le tarmac de l’AIB, alors qu’il est plus que normal et prévisible de vivre un atterrissage réussi! Le même constat s’applique ici aux banquiers qui «mettent régulièrement à jour leurs systèmes antivirus»: quoi de plus normal et attendu en 2012?
Une cyber-sécurité durable ne sera possible qu’à travers un programme d’amélioration continue!
Zouheir ABDALLAH, Élias DIAB,
Hadi el-KHOURY, Michel GHANEM
et Jocelyne ZIADÉ
Les auteurs de ce papier, qui s’avèrent être des praticiens de la sécurité des systèmes d’information, s’expriment avant tout en tant que clients du système bancaire libanais.Certains d’entre nous ont été les premiers à faire face au Malware Gauss qui a sévi dans les systèmes d’information de certaines banques libanaises. Nous avons également pris connaissance de la note de...
commentaires (0)
Commenter