La protection des mainframes, un véritable défi pour les entreprises

Par Claire Vouters, le 07 décembre 2017

 

87% des transactions bancaires mondiales sont traitées par des mainframes. Ces machines puissantes aux performances inégalées manipulent ainsi des données hautement sensibles et sont considérées – souvent à tort – comme sécurisées « by design ».

Lors de l’événement annuel de hacking « Black Hat Europe » le 6 décembre 2017, Ayoub ELAASSAL, un des experts cybersécurité PwC, a présenté les outils permettant d’attaquer les mainframes afin de tester leur niveau de sécurité.  

 

Qu’est-ce qu’un mainframe et quel est son niveau de sécurité ?

Les mainframes sont des machines, répondant à des critères élevés de disponibilité et de performance, souvent utilisées par les entreprises pour héberger leurs applications et services les plus sensibles ainsi que les données hautement confidentielles : les transactions (virements bancaires, réservation de billets d’avion, transmissions d’ordres de bourse). Selon  IBM, 75% des entreprises Fortune 500 (classement des 500 premières entreprises américaines, classées selon l'importance de leur chiffre d'affaires) s’appuient sur des mainframes.

On constate, cependant, que plus les mainframes contiennent des informations sensibles moins ils sont testés efficacement. En effet, la sécurisation de ces plateformes est souvent négligée par les équipes en interne ainsi que par les chercheurs en cybersécurité. Comment expliquer ce manque de vigilance ?

  • Un mainframe est rarement surveillé par l’équipe de sécurité opérationnelle (SOC).
  • Aucun outil de numérisation n’est capable d’évaluer automatiquement la sécurité des mainframes série Z d’IBM, mainframes les plus déployés.
  • Un mainframe est généralement exempté – pour diverses raisons, souvent politiques – des exigences classiques de sécurité telles que la ségrégation des flux, les bonnes pratiques d’administration, la complexité des mots de passe, les tests d’intrusion, etc.
  • Très peu d’outils offensifs publics permettent d’évaluer le niveau de sécurité de la plateforme lors des audits de sécurité.

Ces raisons expliquent principalement la frilosité des entreprises à tester les mainframes de façon agressive et efficace malgré leur vulnérabilité.

De plus, on constate un véritable écart de maturité en matière de sécurité entre des plateformes classiques telles que Windows/Unix et « l’environnement mainframe ». Cela a généralement pour effet d’instaurer un faux sentiment de sécurité qui peut être fatal, comme l’a démontré l’attaque d’un mainframe en 2012 en Suède qui a causé la fuite de millions de données personnelles de citoyens suédois.

 

On constate un véritable écart de maturité en matière de sécurité entre des plateformes classiques telles que Windows/Unix et « l’environnement mainframe ». Cela a généralement pour effet d’instaurer un faux sentiment de sécurité qui peut s'avérer fatal.
Ayoub Elaassal
Expert Cybersécurité

A quel type d’attaques le mainframe est-il exposé ?

De manière générale, un mainframe n’est pas invulnérable aux attaques courantes et classiques affectant habituellement les plateformes plus « traditionnelles ». Nous pouvons prendre comme exemple le moteur JAVA dont les nombreuses failles se répercutent également sur le mainframe série Z qui possède ce moteur.

C’est dans une optique de contrôle et de sécurisation que de plus en plus de chercheurs proposent des outils permettant de détecter des défauts de configuration, de dénoncer des politiques de mots de passe peu robustes (absence de casse, mots de passe triviaux) et de repérer des manques de filtrage des flux, etc.

Il s’agit donc pour nos experts d’identifier des défauts de contrôle d’accès, souvent constatés sur les mainframes, afin de les rendre plus difficile l’accès à des utilisateurs malveillants. En effet, un attaquant qui disposerait d’un compte standard pourrait atteindre l’intégrité des données conservées (modifier les comptes bancaires des clients, émettre des virements, annuler des réservations de billets d’avion) et mettre la plateforme hors service. Les mainframes contiennent des informations critiques dont l’infiltration ou les modifications pourrait engendrer des conséquences désastreuses.

Un facteur vient principalement complexifier la sécurisation des mainframes. Le fait d’héberger des informations confidentielles implique une efficience sans interruption. Or, modifier les paramètres sécuritaires obligerait les entreprises à suspendre l’activité des mainframes pendant une période donnée, ce qui provoquerait des pertes financières non négligeables. En effet, rendre indisponible un mainframe entraînerait automatiquement l’arrêt total ou partiel de l’activité de l’entreprise. Pour une banque par exemple, cela signifie par exemple l’arrêt des DAB ou encore la suspension des virements.

 

Comment se prémunir des attaques ?

Les plateformes classiques telles que Windows et Unix étant souvent la cible des attaques opportunistes, il apparaît logique et nécessaire de sécuriser en priorité ces environnements-là.

Néanmoins, il est primordial de garder à l’esprit qu’un mainframe est la socle IT sur lequel repose une grande partie du métier de l’entreprise. A ce titre, cette plateforme doit bénéficier des mêmes mesures de sécurité que l’environnement Windows comme les tests d’intrusion, la surveillance des événements de sécurité au niveau du SOC, l’application d’une politique de mise à jour, le chiffrement des données, la revue des droits, etc.

Prendre l’habitude de configurer et d’activer leur sécurité et d’inculquer cette bonne pratique aux programmateurs est le défi qui s'impose aujourd'hui aux entreprises. Perçues au départ comme des contraintes, ces méthodes seront appréciées par la suite car elles permettront aux entreprises un retour sur investissement d’envergure sur le long terme.

 

A propos de Philippe Baumgart
Philippe est Associé Cybersécurité chez PwC.

0156571397

Pour aller plus loin