Une petite manchette dans Le Soleil du premier octobre porte sur un appel d’offres du directeur général des élections du Québec. Ce dernier est à la recherche d’une solution de détection des intrusions pour ses installations informatiques et de services professionnels pour s’assurer que les incidents détectés sont traités correctement.
Le journaliste pose quelques questions à la représentante de l’organisme auprès des médias, sans obtenir de réponses bien concluantes. Ce n’est ni surprenant, ni suspect.
Les systèmes informatiques branchés sur internet sont régulièrement bombardés de code malicieux de toute sorte – virus, vers, chevaux de Troie – qu’on regroupe sous le nom générique de « malware » en anglais.
Dans la plupart des cas, ce code malicieux est généré automatiquement par d’autres ordinateurs déjà infectés et éparpillés dans le monde. Ceux-ci tentent d’étendre l’infection de manière automatique à tout autre ordinateur vulnérable et non protégé qui pourraient se retrouver sur internet. Leurs cibles sont donc plus ou moins aléatoires, sans égards aux fonctions particulières des systèmes touchés. Il s’agit d’une première catégorie d’attaques informatiques que les systèmes de détection d’intrusions sont en mesure de détecter et même de bloquer instantanément.
Ces mêmes systèmes de détection pourraient également identifier des attaques plus pernicieuses, qui viseraient directement le DGEQ et ses systèmes dans le but de les compromettre et en atteindre à la confidentialité et à l’intégrité des informations gardées par l’organisme. C’est le scénario qui fait peur, et auquel on pense immédiatement lorsqu’on lit ce genre d’article, mais il est important de garder à l’esprit que ces attaques demeurent rares en comparaison à la première catégorie, qui sont suffisamment problématique à elles seules pour motiver le DGEQ à se protéger correctement.
Les systèmes de détections d’intrusions nécessitent souvent une expertise très pointue pour s’assurer qu’ils sont configurés correctement. Il faut, par exemple, s’assurer d’éliminer certains faux positifs qui pourraient amener l’organisation à se croire victime d’une attaque alors qu’il n’en est rien. Face à trop de faux positifs, le personnel pourrait en venir à ignorer les avertissements du système de détection en cas d’incident réel, ce qui n’est évidemment pas souhaitable.
Finalement, le système de détection et ses processus d’exploitations doivent être liés au processus de gestion des incidents internes de l’organisation; en cas d’incident de sécurité informatique, le personnel en TI doit être prêt à identifier correctement la nature de l’incident, ségréguer le serveur du reste des équipements informatiques afin d’empêcher l’infection de se propager, et effectuer les opérations nécessaires à son éradication du serveur compromis.
Que peut-on déduire de l’intérêt aujourd’hui de le DGEQ pour ce type de technologie? En vérité, pas grand-chose. Toutes les organisations moyennement importantes pratiquent la détection d’intrusions d’une façon ou d’une autre, via une expertise interne ou celle d’une tierce partie spécialisée. Sans avoir lu l’appel d’offres concerné, les exigences exprimées par le DGEQ ressemblent à celles qu’on retrouve ailleurs sur le marché.
Plusieurs compagnies québécoises se spécialisent dans la détection et la réponse aux intrusions pour des clients locaux et internationaux. Un second article sur le même sujet mentionne Above Security, une compagnie de Montréal, mais il en existe d’autres. Parions qu’elles seront intéressées à ajouter un client prestigieux comme celui-ci à leur feuille de route.
Cryptique César! 