Technologies

Cybersécurité : les mainframes en accusation aux Etats-Unis

Le professeur Min-Seok Pang a étudié les vulnérabilités du Legacy public américain

L'utilisation de nombreux mainframes par le gouvernement américain est à l'origine de plusieurs intrusions de hackers. Une modernisation du système gouvernemental reste la meilleure protection.

PublicitéDe nouvelles publications viennent contredire l'assertion couramment entendue sur la sécurité des systèmes informatiques reposant sur les langages Cobol et Fortran. Les plates-formes seraient en effet plus sûres car les pirates informatiques ne seraient pas familiers avec ces technologies. Une étude récente sur le piratage des systèmes gouvernementaux américains - publiée par l'Université Temple et l'Université du Texas - indique au contraire que ces systèmes obsolètes, qui ne peuvent pas être chiffrés ou même correctement documentés, étaient plus sensibles aux menaces.

En analysant les données publiques disponibles sur les dépenses fédérales et les violations de sécurité, les chercheurs ont constaté qu'une augmentation de 1% des dépenses pour de nouveaux développement informatiques entrainait une diminution de 5% des failles de sécurité. « En d'autres termes, les organismes fédéraux qui dépensent plus dans le maintien des systèmes patrimoniaux sont confrontés à des incidents de sécurité plus fréquents, ce qui contredit la notion répandue selon laquelle les systèmes patrimoniaux sont plus sécurisés », a conclu l'étude. Le document de recherche a été rédigé par Min-Seok Pang, professeur adjoint en systèmes d'information de gestion à l'Université Temple à Philadelphie , et par Huseyin Tanriverdi, professeur agrégé au Département de l'information, des risques et des opérations de l'Université du Texas à Austin.

Les développements nouveaux réduisent les vulnérabilités

« Peut-être que la sagesse conventionnelle assurant que les systèmes historiques sont sécurisés pourrait être juste », a déclaré Min-Seok Pang, dans une interview. Mais l'intégration de ces systèmes à des plates-formes plus modernes « rend l'architecture globale de l'entreprise trop complexe, trop désordonnée » et moins sécurisée, a-t-il dit. Les organismes fédéraux américains ont vu une augmentation rapide des incidents de sécurité, souligne le document, citant des données fédérales rassemblées par le Government Accountability Office. De 2006 à 2014, le nombre d'incidents de sécurité signalés a augmenté de plus de 1 100%, passant de 5 503 à 67 168. Un incident peut couvrir une large gamme d'activités, comme un déni de service, un code malveillant exécuté avec succès et des violations qui donnent un accès à des hackers.

L'une des plus grandes violations du système fédéral a eu lieu en 2015, lorsque des pirates informatiques ont eu accès à quelque 18 millions de documents de l'Office of Personnel Management (OPM), le service en charge de la gestion des fonctionnaires. Tony Scott, l'ancien DSI du gouvernement fédéral sous la présidence Obama, a déclaré à des parlementaires - lors d'une audience l'an dernier - que près des trois quarts des budgets informatiques sont consacrés à l'entretien des systèmes existants. « Ces systèmes posent souvent des risques importants pour la sécurité, comme l'incapacité d'utiliser les meilleures pratiques actuelles de sécurité, y compris le chiffrement des données et l'authentification multifactorielle, ce qui les rend particulièrement vulnérables aux cyberactivités malveillantes», a déclaré le DSI.

Publicité D'autres violations attendues

Aux États-Unis, plus de 3 400 professionnels de l'informatique ont été employés pour maintenir des langages de programmation hérités, a déclaré un comité de la Maison Blanche après la violation de l'OPM. Si le gouvernement fédéral ne modernise pas ses systèmes, Min-Seok Pang indique qu'il s'attendait à de intrusions similaires à celle de l'OPM.

En l'absence de modernisation, le chercheur assure qu'une gouvernance informatique efficace « atténue les risques de sécurité des systèmes existants ». Il a également recommandé de déplacer les systèmes vers le cloud. Enfin, Min-Seok Pang recommande au gouvernement de signer la loi sur la modernisation de la technologie gouvernementale. Cette mesure législative, qui a été approuvée par la Maison Blanche l'an dernier, aurait stimulé les dépenses informatiques d'environ 9 milliards de dollars de 2017 à 2021 si le bureau du président l'avait entériné.

Article de Serge Leblal avec IDG NS