Vos bots sont-ils sûrs?

Blog /Vos bots sont-ils sûrs?
NTT DATA Services blog 3

Aujourd’hui, les bots surveillent les équipements de survie, gèrent le réseau électrique, rapprochent des transactions de grande valeur, paient les factures, ouvrent des comptes bancaires, détectent des transactions de blanchiment d’argent et déposent des demandes de remboursement pour l’assurance maladie. Quelqu’un peut-il détourner votre bot et lui faire faire des choses qu’il n’est pas censé faire? Des utilisateurs malveillants peuvent-ils détecter les vulnérabilités du système et voler des données? Faire en sorte que le bot paralyse des équipements critiques? Ou même utiliser des bots comme point d’entrée dans votre réseau pour y installer des rançongiciels?

Non, ce n’est pas un scénario de film de science-fiction. Il s’agit de la réalité.

Prenons le cas de l’attaque du rançongiciel WannaCry au début de l’année. Celle-ci a paralysé les activités de nombreuses entreprises utilisant le système d’exploitation Microsoft Windows, y compris des organismes essentiels, tels que des hôpitaux, dans plusieurs pays du monde. Cet exemple montre que même les concepteurs de logiciels les plus avancés (Microsoft, dans ce cas) ont laissé des failles que les pirates peuvent exploiter.

Ou encore, prenez le tristement célèbre braquage de la banque du Bangladesh en 2016, où des cybercriminels ont exploité la faiblesse du réseau mondial de paiement SWIFT pour voler près d’un milliard de dollars à la banque centrale du Bangladesh.

Les bots sont des logiciels qui effectuent des tâches critiques et, comme tout autre logiciel, ils sont vulnérables aux menaces, même si votre périmètre est sécurisé.

Les bots de traitement interagissent constamment avec leur environnement pour inclure d’autres applications, qui envoient et reçoivent des données critiques et contrôlent les API et les connecteurs. La sécurité de cet écosystème dépend du maillon le plus faible de la chaîne. Même si vous suivez le processus de sécurité le plus avancé lors du développement du bot, l’écosystème peut toujours l’exposer à des vulnérabilités.

Dans les incidents suivants, les pirates ont profité de l’écosystème dans son ensemble pour voler des données.  Des cybercriminels sont entrés dans un environnement sécurisé en exploitant des vulnérabilités trouvées chez l’un des fournisseurs de Target et ont volé les données des cartes de crédit et de débit d’environ 40 millions de clients de Target. De même, Lowe’s a subi une importante brèche de sécurité, qui a entraîné une fuite d’informations sur ses employés (y compris les numéros de sécurité sociale) qui ont été stockées dans une base de données en ligne, gérée par un fournisseur tiers.

De plus, la plupart des bots de traitement se connectent à plusieurs systèmes en utilisant des identifiants stockés; certains traitent les courriels, les bots de conversation assurent le service à la clientèle, d’autres gèrent des documents à processus multiple. Si vous ne suivez pas les spécifications de sécurité avancées pendant le développement, les points de vulnérabilité laissés dans le code peuvent être exploités par des pirates informatiques. Alors, comment protéger ces bots contre l’hameçonnage ou le harponnage? La fraude psychologique numérique ciblant ces bots de processus pourrait très bien définir la prochaine vague de cyberintrusion.

Pour garantir les processus de sécurité, les bots doivent respecter les normes de cybersécurité les plus élevées en subissant une évaluation de vulnérabilité et des tests de pénétration rigoureux avant leur déploiement. Les entreprises doivent également s’assurer qu’elles disposent d’un mécanisme intégré d’alerte et de signalement, et le surveiller tout au long du déploiement.

Fonctions de sécurité

Les bots doivent être codés en suivant des principes de sécurité stricts tels que ceux spécifiés par le modèle de maturité de capacité pour l’ingénierie de sécurité systèmes (ISO/IEC 21827) ou les principes d’informatique de confiance du cycle de développement sécurisé de Microsoft. Ces protocoles définissent des processus d’ingénierie qui ajoutent à chaque phase une série d’activités et de livrables axés sur la sécurité lors du développement de logiciels qui doivent résister aux attaques.

Il est essentiel que ces activités soient suivies tout au long du cycle de développement. Les programmeurs doivent définir les caractéristiques de sécurité lors de la phase des spécifications, modéliser les menaces pour identifier les risques de sécurité lors de la phase de conception du bot, utiliser des outils d’analyse statique et d’examen du code lors de la mise en œuvre, et effectuer des tests axés sur la sécurité (y compris des tests à données aléatoires), lors de la phase d’essai.

Enfin, pendant la phase de publication, un examen final de sécurité doit être effectué par une équipe d’experts en sécurité afin de garantir l’intégrité du code.

Évaluation de la vulnérabilité

L’identification des vulnérabilités permet d’éviter que des codes malveillants exploitent ces faiblesses et prennent le contrôle des systèmes. Des techniques d’évaluation, telles que celles spécifiées dans les Critères communs d’ITSEC, doivent être appliquées.

Lors d’une évaluation de la vulnérabilité, il faut veiller à ce que les programmeurs effectuent un examen approfondi pour détecter les faiblesses de l’ensemble de l’environnement informatique et pas seulement du code des bots, et utiliser les outils NMAP (Network Mapper) et Metasploit.

Tests de pénétration

Les programmeurs doivent simuler une attaque sur l’écosystème informatique afin de tester sa résistance aux attaques. Chez NTT DATA Services, lorsque nous avons effectué des tests de pénétration, certains aspects se sont révélés problématiques :

  • Configuration sécurisée et renforcement des appareils critiques
  • Contrôle d’accès logique
  • Gestion des mots de passe
  • Gestion des correctifs de sécurité
  • Protection du code des applications contre des attaques comme l’injection SQL et les scripts intersites (XSS)

Au cours des dernières décennies, chaque secteur a développé un ensemble complet de protocoles de sécurité pour les opérateurs humains qui ont été consignés dans des politiques réglementaires telles que la HIPAA et la SOX. Comme l’automatisation remplace de plus en plus le rôle d’opérateurs humains, une action concertée est nécessaire pour élaborer des réglementations similaires pour les bots de traitement.

Dans notre prochain article, nous définirons plus en détail ces caractéristiques de sécurité avancées, l’évaluation de la vulnérabilité et les tests de pénétration spécifiques aux bots de traitement.

Apprenez-en davantage sur l’automatisation robotisée des processus par NTT DATA.

Découvrez nos services d’assurance qualité et d’essais (QAT).

Lisez le document : Using Virtual Agents to Create HighTouch Customer Service for Health Plans

Date de la publication : 2017-09-27

PARCOURIR NOS BLOGUES