• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Sogeti cybersecurity
 

Sogeti cybersecurity

on

  • 124 views

La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte ...

La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.

Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.

Statistics

Views

Total Views
124
Views on SlideShare
114
Embed Views
10

Actions

Likes
0
Downloads
2
Comments
0

3 Embeds 10

https://www.linkedin.com 5
https://twitter.com 4
http://www.pinterest.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Sogeti cybersecurity Sogeti cybersecurity Document Transcript

    • Cybersécurité: conserver l’avantage dans la partie Erik van Ommeren Martin Borrett Marinus Kuivenhoven Les fondamentaux Coécrit avec IBM
    • Cybersécurité : conserver l’avantage dans la partie Les fondamentaux Erik van Ommeren  Sogeti Martin Borrett  IBM Marinus Kuivenhoven  Sogeti 2014 Sogeti et IBM
    • Cet ouvrage est protégé sous licence Creative Commons Attribution-Pas de Modification 3.0 France. Pour consulter une copie de la présente license, rendez-vous sur : http:// creativecommons.org/licenses/by-nd/3.0/fr/legalcode ou faites une demande par courrier à Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, États-Unis. Vous êtes autorisé à : Partager – copier, distribuer et communiquer le matériel par tous moyens et sous tous formats pour toute utilisation, y compris commerciale. L’Offrant ne peut retirer les autorisations concédées par la licence tant que vous appliquez les termes de cette licence. Selon les conditions suivantes : • Attribution – Vous devez créditer l’Oeuvre, intégrer un lien vers la licence et indiquer si des modifications ont été effectuées à l’Oeuvre. Vous devez indiquer ces informations par tous les moyens possibles mais vous ne pouvez pas suggérer que l’Offrant vous soutient ou soutient la façon dont vous avez utilisé son Oeuvre. • Pas de modifications – Dans le cas où vous effectuez un remix, que vous transformez, ou créez à partir du matériel composant l’Oeuvre originale, vous n’êtes pas autorisé à distribuer ou mettre à disposition l’Oeuvre modifiée. Les auteurs, les rédacteurs et la maison d’édition ont préparé le présent ouvrage avec soin, mais ne formulent aucune garantie explicite ou implicite de toute sorte et ne prennent aucune responsabilité concernant toute erreur ou omission. Ils n’assument aucune responsabilité concernant les dommages indirects ou accessoires en lien avec l’utilisation des informations ou programmes contenus dans le présent ouvrage ou en découlant. Les opinions exprimées dans le présent ouvrage sont celles de ses auteurs et ne reflètent pas la position officielle des sociétés partenaires. 1ère édition, mai 2014  2014 Sogeti et IBM Production LINE UP boek en media bv, Groningue, Pays-Bas (www.lineup.nl) Image de couverture Nick Lowndes isbn 978 90 75414 81 3 (livre), 978 90 75414 82 0 (livre électronique) Attribution-Pas de Modification 3.0 France (CC BY-ND 3.0 FR)
    • 3 Table des matières Avant-propos d’ibm — Un paysage en pleine évolution 7 Avant-propos de Sogeti — La partie est lancée 10 Résumé 13 1 Cybersécurité : conserver l’avantage dans la partie — Les fondamentaux 15 1. Peut-on faire confiance au système ? 15 2. Peut-on sécuriser davantage les organisations ? 16 3. Peut-on gagner la partie ? 16 4. Quelles seront les prochaines avancées technologiques ? 17 À propos du présent document 18 Remerciements 18 2 Au premier plan de la sécurité — Comment le combat continu entre les « gentils » et les « méchants » rend notre monde plus sûr 20 Vie privée et sécurité sont les deux faces d’une même médaille 22 L’impact de la cybersécurité … quelle importance ? 23 Vœux pieux du responsable de la sécurité 25 Les avantages à en tirer 27 3 Traiter les effets secondaires dus à la pratique « Bring-Your-Own- Device » — Des appareils et services largement disponibles vont envahir les organisations 29 Quelles sont les dernières évolutions ? 30 Quel intérêt pour nous ? 30 Quelles nouvelles mesures prendre ? 31
    • 4 cybersécurité : conserver l’avantage dans la partie 4 Lorsque l’entreprise est en danger, ne confiez pas la sécurité au service informatique — Des mesures d’atténuation des risques devraient prévoir cette atténuation au niveau de l’entreprise, et non pas uniquement une approche informatique 34 Quelles sont les dernières évolutions ? 35 Quel intérêt pour nous ? 35 Quelles nouvelles mesures prendre ? 36 5 La sécurité débute dès la conception — Confidentialité, qualité et sécurité doivent être prises en compte dès le départ 38 Quelles sont les dernières évolutions ? 38 Quel intérêt pour nous ? 39 Quelles nouvelles mesures prendre ? 40 Comment procéder ? 41 Quels sont les défis à relever ? 42 La voie à suivre 42 6 La clé de la sécurité : mettre en place des technologies persuasives — L’interaction par défaut entre l’utilisateur et la technologie devrait améliorer la sécurité 43 Quelles sont les dernières évolutions ? 44 Quel intérêt pour nous ? 44 Quelles nouvelles mesures prendre ? 45 7 La peur : une méthode qui s’émousse très rapidement — Les organisations doivent trouver comment recadrer les discussions sur la sécurité 48 De la peur à la valeur 49 Une seule pensée pour de nombreuses actions 50 8 Soyez votre pire ennemi — Pour déceler vos points faibles, la seule solution est de faire preuve d’une grande détermination 52 Quelles sont les dernières évolutions ? 52 Quel intérêt pour nous ? 53 Quelles nouvelles mesures prendre ? 53
    • Table des matières 9 Vous serez piratés, mais ce n’est pas grave — Tant que vous en êtes conscients et que vous savez rebondir 56 Quelles sont les dernières évolutions ? 56 Quel intérêt pour nous ? 57 Quelles nouvelles mesures prendre ? 57 10 Le data scientist sera le prochain superhéros de la sécurité — La reconnaissance des formes n’est pas une compétence de sécurité informatique commune 60 Quelles sont les dernières évolutions ? 61 Quel intérêt pour nous ? 62 Quelles nouvelles mesures prendre ? 62 11 Les hackers apprennent plus vite que les organisations qu’ils attaquent — Il est temps d’arrêter de répéter sans cesse la même erreur 64 Quelles sont les dernières évolutions ? 65 Quel intérêt pour nous ? 65 Quelles nouvelles mesures prendre ? 66 12 Le cryptage n’est qu’une énième course aux armements — Ce qui suffit aujourd’hui ne fera pas le poids demain 68 Quelles sont les dernières évolutions ? 69 Quel intérêt pour nous ? 69 Quelles nouvelles mesures prendre ? 69 13 La révolution du mobile a ouvert la boîte de Pandore — Votre vie sera piratée et seule une modification de vos habitudes peut garantir la sécurité 71 Quel intérêt pour nous ? 73 Quelles nouvelles mesures prendre ? 73 14 Tous les regards se portent sur la sécurité — Utiliser la convergence des évolutions technologiques pour faire progresser la sécurité 75
    • 6 cybersécurité : conserver l’avantage dans la partie À propos des auteurs 77 Index 78
    • 7 Avant-propos d’ibm — Un paysage en pleine évolution Par Steve Mills Au cours des trente dernières années, j’ai eu l’opportunité de jouer un rôle dans la détermination de l’influence exercée par la technologie sur le commerce et l’industrie. Aujourd’hui, les systèmes informatiques modifient la façon dont les entreprises fournissent des produits et ser- vices, dont les personnes communiquent entre elles, dont les organisa- tions prennent des décisions et même la façon dont chacun appréhende et interagit avec le monde qui l’entoure. Bon nombre de ces évolutions sont dues à la conjonction de tendances significatives et étroitement liées autour du cloud, des mobiles, du big data et des réseaux sociaux. Chacune de ces évolutions, considérées indépendamment, a son importance. Mais lorsqu’elles sont appréhen- dées ensemble, la vitesse à laquelle notre rapport à l’informatique évo- lue est extrêmement rapide et son impact est également profond. Or, de même que ces évolutions exercent un impact puissant sur une organisation, les attaques menées par le crime organisé, celles caution- nées par les États, et l’émergence d’un activisme social dans le monde numérique mettent en lumière une réalité nouvelle dans laquelle les risques pour la sécurité ne peuvent être dûment considérés comme de simples défis informatiques. En effet, ces phénomènes peuvent bien souvent faire peser une menace sur la marque d’une organisation, sa propriété intellectuelle, ses données commerciales sensibles et ses res- sources financières.
    • 8 cybersécurité : conserver l’avantage dans la partie Tous ces risques modifient l’approche de la sécurité adoptée par de nombreuses organisations. Les responsables de la sécurité des sys- tèmes d’information (rssi) doivent désormais rendre compte à leur pdg et au conseil d’administration. Ils assument un rôle d’intermédiaire entre les responsables Métier et les experts de la sécurité et aident chaque groupe à comprendre le point de vue, les défis, les exigences et les objectifs de l’autre. Il s’agit d’un partenariat dont l’importance est critique pour les organisations car il permet aux équipes de sécurité de développer une compréhension plus nuancée de la stratégie métier par rapport au risque numérique. Il permet également aux responsables « métiers » de prendre des décisions plus éclairées en termes de budget et de personnel, mais également d’apporter leur soutien en pilotant la transformation de l’entreprise en termes de sécurité. Des considérations de sécurité importantes sont associées à la façon dont la technologie et, par extension, le monde changent. Des débats nourris sont en cours sur la confidentialité, le rôle des gouvernements et l’impact des nouveaux modèles informatiques sur les considérations de sécurité. Le présent ouvrage examinera bon nombre de ces probléma- tiques plus en détail. Mais il y a lieu de souligner également l’opportu- nité unique qui s’offre actuellement. Le cloud, les mobiles et le big data sont souvent cités comme autant de défis pour la sécurité dans le contexte du stockage des données, de la gestion des terminaux et de la confidentialité. Pour autant, chacune de ces évolutions présente également des opportunités. La technolo- gie du cloud peut ainsi être utilisée pour transmettre rapidement des informations sur la sécurité et les menaces à des interlocuteurs finaux situés dans le monde entier. Les appareils mobiles et les applications qu’ils transportent peuvent potentiellement devenir plus sûrs que les ordinateurs portables traditionnels. Enfin, de nombreuses organisations font face actuellement à des milliards d’événements de sécurité chaque jour et la capacité de traiter ces données grâce à des dispositifs analy- tiques avancés permet aux organisations de détecter et de répondre aux menaces comme jamais auparavant.
    • Avant-propos d’ibm 9 Contrairement aux précédentes évolutions qu’a connues le secteur informatique, ces mutations surviennent dans un contexte dans lequel les organisations sont plus que jamais conscientes des risques qu’elles encourent. Les équipes de sécurité ont à présent l’opportunité et la mis- sion d’intégrer la sécurité dans le processus technologique et commer- cial de l’organisation comme jamais auparavant. Il leur faut également fournir de meilleurs résultats face à la pénurie de compétences et à une complexité technique généralisée. Les équipes de sécurité joueront un rôle majeur dans la transformation de l’entreprise, mais leur réussite dépendra de leur capacité à intégrer des contrôles et des processus et à développer en parallèle de nouvelles pratiques dans les domaines toujours plus importants de l’analytique, de la veille et de la réponse aux incidents et attaques. Steve Mills Senior Vice President et Group Executive, ibm Software & Systems
    • 10 Avant-propos de Sogeti — La partie est lancée Par Hans van Waayenburg Il n’a jamais été aussi facile et rapide d’envoyer un courriel, d’effectuer un virement bancaire, de réaliser une commande en ligne ou de réser- ver un vol directement depuis un mobile. À l’horizon 2020, 50 milliards d’appareils seront ainsi connectés à Internet. La plupart d’entre eux seront à peine protégés, ce qui sous-entend autant d’entrées potentielles susceptibles d’être utilisées par les hackers pour s’introduire dans nos appareils, nos entreprises, nos maisons et nos vies personnelles. De nos jours, le réseautage et la connectivité grandissants permettent à nos organisations d’être plus efficaces, plus productives et mieux informées. L’accès aux données et aux informations constituent des atouts clés pour l’ensemble des individus, des entreprises et des États. L’informatique est donc devenue vitale en matière de prise de décision. Elle permet l’optimisation des processus et l’industrialisation dans tous les domaines, de la commutation de voies de chemin de fer au contrôle du trafic aérien en passant par la distribution de gaz et d’électricité ou la chloration de nos réserves d’eau. Cependant, l’adoption grandissante de la technologie numérique est accompagnée d’un manque de compré- hension des enjeux qui l’accompagnent, notamment auprès des jeunes générations. « Peu importe comment ça marche tant que ça marche ». Nous sommes donc devenus vulnérables. À l’origine, le piratage informatique était un jeu, un passe-temps amu- sant pour des personnes curieuses et compétentes. Avec l’évolution d’Internet, ces compétences sont devenues un outil politique ou idéo- logique dans les mains de groupes d’hacktivistes qui ont perçu leurs activités comme une forme légitime de contestation sociale. L’utilisation
    • Avant-propos de Sogeti 11 criminelle des réseaux et des technologies est également très trou- blante. Bon nombre d’organisations font littéralement face à des mil- liards d’événements chaque jour, dont une grande partie implique des menaces significatives en termes de sécurité visant les données clients, la propriété intellectuelle et les données confidentielles. Ciblant à la fois les gouvernements et l’industrie, le cyber-espionnage est devenu une pratique commune. Les frontières entre toutes ces menaces sont floues, en particulier en raison de la conception et de la topologie du cyberespace : les limites entre voleurs, espions et activistes sont beaucoup moins nettes que dans la vie réelle. Et bien que certaines réglementations disciplinent la Toile, il existe une large zone grise où des hackers bien organisés semblent pouvoir œuvrer en toute impunité. Le cyberespace offre une couverture parfaite qui rend ces acteurs très difficiles à détecter et à identifier. De plus, la complexité des cyberattaques les rend encore plus déroutantes. Ici, il n’existe pas de drapeau, pas d’uniforme et pas de règle d’engage- ment établie et convenue. Un logiciel malveillant, un cheval de Troie ou un ver peut rester en sommeil dans un système informatique et accéder à vos informations pendant des mois avant d’être détecté. Chaque nuit, des milliers de giga-octets de données technologiques et stratégiques sont dérobés sur les milliers d’ordinateurs de nos entreprises occidentales. Une cyberat- taque peut générer des dommages importants à très grande échelle, sur une longue période et pour des coûts infimes. Enfin, une cyberattaque n’est généralement pas revendiquée car la dis- crétion et l’anonymat constituent des avantages évidents lorsqu’on choi- sit d’œuvrer sur Internet. Il est très complexe d’identifier les coupables et cette identification dépend de quelques caractéristiques telles que des preuves concordantes, le langage utilisé, les noms des commandes, etc. La perte de confiance dans nos systèmes informatiques représente l’un des principaux enjeux liés aux cyber-attaques. Des tentatives de mise
    • 12 cybersécurité : conserver l’avantage dans la partie en péril ont même eu lieu sur les systèmes industriels (scada). L’im- pact de ces menaces implique des conséquences potentielles graves. Le « simple » piratage d’une banque, d’un système de sécurité sociale ou d’une autre infrastructure ou service stratégique pourrait entraîner une grave perte de confiance de la part des consommateurs, utilisateurs et citoyens. Si l’on songe à l’utilisation grandissante de la technologie, et à la dépendance qu’elle suscite dans tous domaines de notre environne- ment économique et social, notre monde est beaucoup plus vulnérable que nous ne pourrions le penser. La menace d’une perte mondiale de confiance impose une diligence et une vigilance constantes pour limiter une telle menace et, dans l’idéal, pour l’éviter. C’est la raison pour laquelle il est essentiel de garder l’avantage dans la partie « cybersécurité ». Pour l’heure, ces menaces ne peuvent être annihilées, mais elles peuvent être contenues. Nous devons continuer à avancer sur cet échiquier et chercher à prendre l’avantage. J’espère que cet ouvrage, que je suis ravi d’avoir produit en collaboration avec ibm, notre partenaire de confiance, vous donnera l’occasion de mieux appré- hender ces différentes problématiques et vous proposera des idées qui vous permettront de conserver une longueur d’avance sur les menaces qui pèsent sur votre organisation. Face à ce défi, il est essentiel d’unir nos forces, et ce pas uniquement entre prestataires de service, mais également avec les pouvoirs publics, afin de tenir le rythme et de garder toujours une longueur d’avance ! Hans van Waayenburg Président Directeur Général, Sogeti
    • 13 Résumé La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’in- sécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences. Le risque en matière de cybersécurité est désormais clairement com- mercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer. La technologie est en mutation constante et aucune évolution récente n’a été aussi considérable que l’explosion de l’utilisation des appareils mobiles. Peu importe les politiques mises en place, les organisations font face à une vague irrépressible de collaborateurs apportant leurs propres appareils au travail. La demande de byod (Bring-Your-Own- Device : apportez vos propres appareils) augmente, mais elle pose des défis sérieux pour la gestion de la sécurité, à la fois en termes de techno- logie et en matière de procédures et de politiques. Ces appareils mobiles semblent être l’antithèse de ce que font les professionnels de la sécurité pour garantir cette dernière : ils sont mobiles, riches en données, faciles à perdre, et connectés à tous types de systèmes dont les dispositifs de sécurité sont insuffisants.
    • 14 cybersécurité : conserver l’avantage dans la partie La technologie offre également des opportunités. En effet, le Big Data offre notamment la perspective d’une approche de la sécurité plus proactive, sous réserve que les organisations puissent embaucher des personnes qui comprennent réellement ces nouvelles technologies. La recherche d’une sécurité de pointe tient pour l’essentiel aux per- sonnes et à leur comportement. Il est communément admis qu’avec suffisamment de détermination et de compétence, un attaquant per- sistant parviendra à passer n’importe quelle défense. Toutefois, en complexifiant ce processus à chaque étape, on diminue les risques et on augmente non seulement le délai dont disposent les organisations pour réagir aux incidents, mais également la capacité de les intercepter avant que leur incidence ne soit trop grande. Pour bénéficier d’une bonne sécurité, il faut instiller cette notion jusque dans les fibres les plus élémentaires de l’organisation, à la fois en termes de technologie (en intégrant la sécurité dès la conception) et en termes de comportement (en offrant des options sécurisées préférables aux options moins sécurisées). La peur risque de devenir très rapidement un outil inefficace de motiva- tion des utilisateurs.
    • 15 1 Cybersécurité : conserver l’avantage dans la partie Les fondamentaux La cybersécurité recouvre un ensemble de pratiques, de processus et d’acteurs s’appuyant sur la technologie et visant à protéger des infrastructures critiques, des entreprises numériques et des informa- tions sensibles de menaces ou de négligences internes et externes. Ce domaine est en évolution constante, peut-être davantage que l’infor- matique elle-même. Quoiqu’il en soit, l’essentiel reste de préserver les qualités qui font de l’informatique la ressource fiable dont dépendent l’entreprise et la société : confidentialité, intégrité, disponibilité. Mais quelles sont les évolutions que le secteur connaît actuellement ? Quel est l’essentiel aujourd’hui ? Les thèmes que nous aborderons s’or- ganisent autour des questions fondamentales suivantes : 1. Peut-on faire confiance au système ? Le principal thème abordé aujourd’hui est la question fondamentale de la fiabilité et la sécurité d’Internet et peut-être des technologies numériques dans leur ensemble. Internet n’a jamais été conçu en ayant comme fondement la sécurité et il apparaît aujourd’hui très clairement qu’il est possible de compromettre presque tout et n’importe quoi, pour autant qu’un hacker très motivé s’y emploie. La sécurité et la confiance numériques s’intègrent désormais au cœur des débats publics. Cela déclenche de nouvelles recherches et innovations pour faire d’Internet une infrastructure plus sûre.
    • 16 cybersécurité : conserver l’avantage dans la partie 2. Peut-on sécuriser davantage les organisations ? L’étape suivante consiste à créer une organisation sûre capable de survivre et de se développer en s’appuyant sur des technologies natu- rellement imparfaites. Afin d’implanter une culture de la sécurité dans l’entreprise, il y a lieu de passer de la peur à la valeur. Les menaces gagnent en sophistication et en précision, et l’impact qui leur est associé sur les organisations grandit. La sécurité doit donc évoluer et ne plus se concentrer sur la peur et le risque pour parvenir à intégrer le fait que le développement et le maintien de la confiance peuvent constituer et constitueront un facteur de différenciation par rapport à la concurrence à la fois au niveau de l’industrie et des pouvoirs publics. La sécurité ne constitue plus un risque informatique, mais un risque lié au « business » qui doit donc être géré comme tel. De plus, il est compris et largement accepté de nos jours que les attaques et les incidents sont possibles mais pas inévitables et que des pratiques associées à la détection et à la réaction doivent constituer une part essentielle et multidisciplinaire de la stratégie de sécurité de chaque organisation. 3. Peut-on gagner la partie ? À ce jour, le fait que des attaques élaborées franchissent quotidienne- ment les protections conventionnelles constitue une réalité. Les atta- quants bénéficient d’un certain nombre d’avantages stratégiques sur les acteurs chargés de la défense des réseaux : en particulier l’effet de sur- prise, la possibilité de rechercher et de cibler des individus spécifiques et peu méfiants, la complexité des infrastructures et une main-d’œuvre insuffisante dans le domaine de la cybersécurité à l’échelle mondiale. Le grand public n’est pas composé d’experts de la sécurité et le déséquilibre en termes d’expertise à chaque extrémité d’un courriel d’hameçon- nage constitue un avantage stratégique et tactique significatif pour les attaquants. Pour que les professionnels de la sécurité puissent traiter ces difficultés, il convient de disposer de compétences plus solides, de
    • 1 Cybersécurité : conserver l’avantage dans la partie 17 programmes informatiques mieux développés, d’une simplification des infrastructures, d’analyses et de capacités de réaction plus poussées ainsi que d’une éducation et d’une responsabilisation des utilisateurs. 4. Quelles seront les prochaines avancées technologiques ? Dans le cadre d’une étude, 70 % des responsables de la sécurité ont exprimé des inquiétudes sur la sécurité du cloud et des appareils mobiles. Ces évolutions informatiques remettent en cause les modèles de sécurité conventionnels et nécessitent non seulement de nouvelles technologies, de nouveaux processus et de nouvelles politiques, mais également une évolution significative de la culture associée à la nature du contrôle. Cependant, ces modifications peuvent également four- nir de nouvelles opportunités. Le principe « secure-by-design » (qui implique d’intégrer la sécurité dès le lancement de la conception) est développé à partir d’années d’expérience et peut être appliqué au lancement de nouveaux projets et de déploiements. Le cloud propose de nouveaux modèles de prestation en termes de sécurité et de ren- seignements sur les menaces. Le big data et l’analytique promettent un changement du secteur de la sécurité numérique de même que les entreprises et l’industrie se fondent à présent sur les données et sur leur analyse pour comprendre les tendances et prendre des décisions. En fin de compte, la partie de la cybersécurité n’aura pas de fin et il n’existera pas de gagnants ou de perdants. Mais cette conclusion peut être remplacée par une recherche permanente d’un avantage straté- gique, un rééquilibrage de l’équation entre attaquant et défenseur. En unissant nos forces, en prenant le temps de réfléchir et d’analyser ce qu’il se passe et en appliquant intelligemment ce dont nous disposons et ce que savons, les organisations peuvent prendre l’avantage, ce qui constitue en soi une victoire dans ce secteur.
    • 18 cybersécurité : conserver l’avantage dans la partie À propos du présent document Cet ouvrage cherche à inspirer et à encourager de nouvelles réflexions et idées, même si le sujet vous est déjà familier. Pour les nouveaux venus dans le domaine de la sécurité, il constitue un avant-goût offrant un aperçu de ce qui est essentiel à ce jour. Nous avons choisi de rester brefs et de nous concentrer sur les sujets les plus récents et les plus pertinents. Vous ne trouverez donc pas de descriptions exhaustives des pratiques bien connues telles que la gestion des risques de sécurité ou l’élaboration d’un modèle d’authentification, même si elles sont encore essentielles aujourd’hui. De plus, nous avons choisi de nous concentrer sur les dimensions organisationnelles, de gestion et de gouvernance de la sécurité, sans aborder la dimension technique. L’ouvrage peut naturellement être lu dans son ensemble, mais il est éga- lement structuré afin de pouvoir consulter uniquement les chapitres qui vous intéressent. Après l’introduction, chaque chapitre souligne l’une des évolutions les plus récentes, ses implications et les mesures qu’il conviendrait en conséquence d’adopter. Remerciements De nombreuses personnes ont offert leurs réflexions et leurs idées à cet ouvrage. Par le biais d’ateliers, d’entretiens, d’anecdotes, de contri- butions écrites et d’analyses, elles ont permis de faire le point sur les évolutions les plus intéressantes et les plus pertinentes dans le cadre de la cybersécurité à ce jour. Nous souhaitons remercier tout particulière- ment des clients et spécialistes qui ont pris le temps de nous faire part de leur vision, de leurs défis et de leurs solutions. Vous trouverez leurs citations (anonymées) tout au long du présent ouvrage. Nous souhaitons également remercier les personnes suivantes pour leurs contributions, par ordre alphabétique : Rogier van Agt, Didier Appell, Jean-Michel Bertheaud, Jean-Marc Bianchini, Jaap Bloem,
    • 1 Cybersécurité : conserver l’avantage dans la partie 19 Michiel Boreel, Bryan Casey, Jeff Crume, Doug Davidson, Vijay Dheap, Menno van Doorn, Jean-Marc Gaultier, Stéphane Janichewski, Edouard Jeanson, Yves Le Floch, Arnauld Mascret, Véronique Mireau, Patrick Morley, Charles Palmer, Orion Ragozin, Patrick Recchia, Pierre-Luc Réfalo, Djaafar Senoussi, Rene Speelman, Mike Turner, Martin Visser, Charlie Weibel-Charvet, Jim Whitmore.
    • 20 2 Au premier plan de la sécurité Comment le combat continu entre les « gentils » et les « méchants » rend notre monde plus sûr Où serions-nous sans Internet ? Le réseau des réseaux, créé comme un outil de communication simple et capable de survivre en cas de per- turbations à grande échelle, a défini notre époque. À l’origine, Inter- net n’était qu’un réseau textuel, mais au fil du temps, des dimensions graphiques puis commerciales, du streaming vidéo et de nombreuses autres extensions ont été intégrées. À présent, l’heure est (enfin) venue de réfléchir sérieusement à la sécurité et à la confidentialité. « De nos jours, nous ne savons pas comment poursuivre en justice la cybercriminalité dans le cadre juridique national ou mondial. Quel cadre sera applicable ? Qui servira de cyber-police ? Interpol est-elle la bonne agence ? L’activisme est-il une forme de cybercrimi- nalité ? Pour certains, je suis un terroriste. J’estime être davantage une force contraire. J’essaie juste d’être utile ! » – Cyber-activiste On ne peut pas dire que la sécurité ait été complètement absente depuis tout ce temps, mais notre dépendance croissante aux communications numériques et l’augmentation du niveau et du nombre d’attaques ont pris le pas. Depuis les débuts du commerce électronique, les commer-
    • 2 Au premier plan de la sécurité 21 çants et les sociétés de carte de crédit luttent pour préserver l’intégrité des paiements en ligne. Mais les choses ont changé : les attaquants ne recherchent plus simplement l’argent ou les informations des cartes de crédit, mais bien davantage. La réputation et la survie d’entreprises toutes entières sont en jeu. Pour une entreprise de taille moyenne, une attaque grave à des fins malveillantes pourrait impliquer une grave per- turbation de son activité. De nos jours, les attaquants sont divers et dynamiques : il s’agit de groupes criminels internationaux, d’intervenants parrainés par un État, de cyber-activistes idéalistes (hacktivists), et d’initiés cherchant à faire fuiter des informations. Ces attaquants constituent le pire cauchemar des responsables de la sécurité. Des « menaces persistantes et avancées » (apt : Advanced Persistent Threats) ont vu le jour : des individus très compétents cherchent à tout prix à percer les défenses et feront tout leur possible pour parvenir à leur but. Il est virtuellement impossible d’élaborer une défense efficace à 100 % contre ces menaces, et elles impliquent une approche différente des mesures de sécurité classiques, générales et génériques. Une telle défense impliquera une bonne gouvernance, une détection en temps réel des attaques en cours, des systèmes de sécurité intelligents, des intervenants formés, une révision de l’architecture de données, une mise en place de mécanismes de réac- tion, une révision des interactions avec les partenaires et une refonte des processus existants dans l’informatique et le commerce. Pour résister, avec chaque nouveau projet technologique, la sécurité doit être prise en compte dès le départ. Malgré tout, une certaine résignation s’est installée parmi les experts de la sécurité, générant une forme de sagesse peu conventionnelle : « Il existe deux types d’entreprises : celles qui ont été hackées et qui le savent et celles qui l’ont été et qui ne le savent pas. »1   1 http://www.usatoday.com/story/cybertruth/2013/09/26/lexisnexis-dunn--bradstreet-altegrity- hacked/2878769/
    • 22 cybersécurité : conserver l’avantage dans la partie « Un flux d’informations libre constitue un impératif économique » – Le Manifeste de la Cybersécurité Vie privée et sécurité sont les deux faces d’une même médaille Avec l’événement du big data, des réseaux sociaux et la prolifération des données de localisation, les défenseurs de la confidentialité se sont interrogés sur les propriétaires des données (ou « métadonnées ») et sur le niveau de contrôle dont disposent les particuliers et les organisations. Bon nombre de ces questions n’ont pas encore trouvé de réponses d’un point de vue technique (quels outils utiliser ?) ainsi que d’un point de vue financier et sociétal. Enfin, la confidentialité est un problème à la fois culturel et personnel, et un espace où la perspective et l’impact des natifs numériques (Net-generation) prend une plus grande importance. Cette génération, qui a été élevée avec Internet, amène un nouveau point de vue sur la confidentialité et la propriété des données. Certains concepts émergents relatifs à la propriété des données revi- sitent des pratiques existantes. Par exemple, l’idée qu’une personne restera éternellement propriétaire de l’ensemble des données la concer- nant. Toute entreprise souhaitant utiliser ces données devrait négo- cier avec leur propriétaire pour en obtenir l’accès et l’utilisation. Cela ne fonctionnerait que dans le cadre d’un système d’autorisation et de modèles d’accès complexe. En réalité, bon nombre de ces concepts ne fonctionneraient que s’ils étaient adoptés universellement. Il s’agit également là d’une similitude entre confidentialité et sécurité : elles dépassent les frontières organisationnelles. Lorsqu’une entreprise a établi sa propre culture de confidentialité et de sécurité, elle doit la partager avec ses clients, partenaires, pouvoirs publics et organismes officiels.
    • 2 Au premier plan de la sécurité 23 On découvre alors des similarités dans la façon dont les entreprises devraient traiter la sécurité et la confidentialité. Par exemple, si des données sont inutiles, elles devraient être supprimées afin de réduire efficacement les risques de sécurité et de confidentialité. L’impact de la cybersécurité … quelle importance ? Finalement, comment tout ceci affecte-t-il les organisations ? Le contexte idéologique de l’attaquant importe-t-il ? Est-il important que certains des attaquants soient parrainés par un État ? Il existe là des thématiques importantes à prendre en compte, telles que les ressources dont disposent l’attaquant et comment les organisations pourraient demander le soutien des pouvoirs publics si l’on détecte une parti- cipation étrangère. Cependant, bien que les risques varient, à la fois en termes de nature et de sévérité en fonction du secteur, en réalité, lorsqu’une attaque est lancée, elle reste une attaque. Les organisations ne se soucient des intentions de l’attaquant que dans la mesure où elles permettent de définir les dégâts que l’attaquant envisage de créer. L’objectif est-il de dégrader un site Internet, de voler des secrets ou de perturber l’activité ? Les motivations idéologiques ou le sponsoring sont à ce niveau d’un intérêt moindre. Dans l’éventail des acteurs œuvrant du côté des attaquants, ceux par- rainés par des États peuvent constituer le haut de gamme. Pourtant les criminels, qui peuvent être localisés partout dans le monde, ne sont pas loin derrière, car ils utilisent les mêmes vulnérabilités et les mêmes failles de sécurité. Les participants les moins doués dans cette dynamique sont les utilisa- teurs « de base », qui diffusent par inadvertance des données sensibles en ligne, qui fournissent leur mot de passe en réponse à un courriel malicieux, qui partagent leur mot de passe avec un ami au travail ou qui oublient une clé usb dans leur voiture de location. Ces utilisateurs
    • 24 cybersécurité : conserver l’avantage dans la partie représentent aujourd’hui l’un des défis les plus importants pour les responsables de la sécurité. Ils doivent mettre en place une stratégie et une approche pour établir des contrôles adaptés tout en évitant dans le même temps de perturber la créativité et les résultats économiques. Liste des attentes en matière de cybersécurité Lors d’un événement récent, un groupe international de responsables de la sécurité a établi une liste d’attentes à court terme, en répondant à la question « Quelle devraient être les avancées les plus importantes en matière de sécurité dans les prochaines années ? » Voici leurs réponses les plus fréquentes, classées en trois catégories : De meilleures solutions pour sécuriser les communications de bout-en-bout • Disposer de meilleurs mécanismes d’authentification pour pouvoir être sûrs à 100 % de qui se connecte à un système. • Pouvoir utiliser des applications sécurisées sur une infrastructure non sécuri- sée. Il faut reconnaître que les pc, tablettes, téléphones et l’Internet lui-même ne seront jamais sûrs. Il est donc impératif d’élaborer des applications sécuri- sées sur une base non sécurisée. • Un plus grand rôle à jouer pour la biométrie, qui pourrait servir de soutien à l’authentification en ligne, en permettant de nouveaux niveaux de sécurité. On parle d’empreintes digitales, d’analyses sanguines, d’échantillons d’adn, de rythme cardiaque et d’autres biomarqueurs. Des systèmes intelligents • Disposer d’un système de sécurité capable d’auto-apprentissage : un système qui pourrait apprendre des opérations de tous les jours et qui bloquerait auto- matiquement tous les mouvements inhabituels dans les systèmes. • Une classification automatisée des données, par une détection automatique de celles devant être sécurisées.
    • 2 Au premier plan de la sécurité 25 Un mode de communication amélioré avec les utilisateurs sur la sécurité • Disposer d’un cadre d’avertissements et d’alertes de sécurité permettant à l’utilisateur de mieux comprendre le risque réel et les implications de certaines actions. Cela pourrait s’appliquer partout, depuis les app store jusqu’à cer- taines actions dans un système d’entreprise. • Un label à attribuer aux applications et une certification pour les appareils informant les consommateurs du niveau de sécurité fourni. Vœux pieux du responsable de la sécurité Sans surprise, les responsables de la sécurité sont stressés. Dans leur secteur, on ne peut pas proposer de garantie à 100 %. Les risques augmentent chaque jour et les budgets restent limités. En matière de sécurité, certains disent : « on réitère sans cesse les mêmes choses jusqu’à ne plus avoir de temps ou de financement », ce qui constitue une approche très peu satisfaisante. Oui, les organisations auront besoin d’une stratégie et oui, il existe un nombre considérable d’ou- tils et de normes industrielles disponibles, mais rien ne garantit que les attaques les plus récentes et les plus puissantes ont été décou- vertes et documentées. « Ce ne sont plus les grandes entreprises qui sont attaquées. De nos jours, l’attaque des pme est un don de Dieu pour les hackers. » – rssi d’une société de services financiers Alors comment changer la donne ? Comment le monde de la sécurité peut-il avancer ? Il existe des données fondamentales qui ne changeront probablement jamais, par exemple le fait qu’Internet ne sera jamais une infrastructure sûre ou que les organisations ne disposeront jamais d’assez de budget, de main-d’œuvre ou de temps pour faire face à toutes les vulnérabilités ou encore que l’on ne pourra jamais vraiment prou- ver que les bonnes décisions ont été prises. Mais il y a de l’espoir : une meilleure sensibilisation des cadres et des progrès technologiques ou
    • 26 cybersécurité : conserver l’avantage dans la partie encore l’application du droit international pourraient changer la donne pour de bon. « Les premières choses à faire sont de se baser sur des bonnes pratiques, d’observer le marché pour obtenir des références et des normes. Je suis surpris qu’il n’y ait pas davantage de forums (...) pour partager les bonnes pratiques. » – rssi d’une société industrielle Une opportunité croissante et importante est centrée sur des systèmes plus intelligents qui s’adaptent et apprennent par eux mêmes. On note de nombreuses évolutions dans ce secteur, mais il reste difficile de présager de l’avenir car cela reviendrait à tenter de prévoir le compor- tement humain. La première fois qu’un nouvel évènement survient, ce dernier est par définition inconnu du système de sécurité. Les organi- sations et les personnes qui les composent changent constamment, la capacité à distinguer entre évolution naturelle du processus commercial et incident de sécurité potentiel reste un défi malgré les progrès signifi- catifs qui ont été réalisés dans le domaine de l’analytique en termes de sécurité. D’aucuns ont avancé l’idée que la prochaine ère de l’informatique serait centrée sur « l’informatique cognitive », celle des systèmes qui appren- dront naturellement de leur environnement. Cette étape dépasse les simples règles ou même les capacités analytiques basées sur les prin- cipes de base. Il faudra sans doute des années pour que ces capacités deviennent mon- naie courante sur le marché ou dans les divers contextes de la sécurité. Mais les organisations peuvent prendre dès à présent des mesures pour s’y préparer, et tirer parti de cette évolution, notamment dans leur méthode pour évaluer et cultiver les compétences au sein de leur orga- nisation. Les données et l’analytique prennent un rôle de plus en plus central dans l’identification et la réponse des organisations aux menaces
    • 2 Au premier plan de la sécurité 27 pour la sécurité ; les organisations devront donc faire appel à un type différent de professionnel de la sécurité, des personnes disposant d’une expertise à la fois dans le domaine de la sécurité et de l’analyse des données. Faire reposer les pratiques et les compétences sur une approche ana- lytique qualitative et quantitative de la sécurité constitue à la fois une valeur ajoutée immédiate et un élément clé pour la construction d’une stratégie de sécurité à long terme. Les avantages à en tirer Bien qu’il soit parfois difficile de juger positivement le déluge constant de divulgations, de menaces et de violations de données, il existe deux résultats très tangibles qui sont largement positifs. Tout d’abord, la plu- part des attaques actuelles cible des individus, c’est pourquoi une meil- leure sensibilisation du public aux menaces pour la sécurité permettra à terme aux particuliers de mieux résister aux attaques. Le fait d’aborder plus largement la thématique de la sécurité dans le domaine public per- mettra non seulement aux gens de comprendre qu’il existe une menace importante, mais également de discuter davantage de la nature de la menace, des méthodes utilisées lors des attaques et des mesures que les utilisateurs doivent prendre pour assurer leur protection et celle de leurs organisations. « Ce qui est intéressant pour moi aujourd’hui, c’est qu’au niveau de l’État, la cybersécurité et le cyber- crime sont vraiment pris en compte. (...) Les bases ont été posées, il faut à présent progresser dans ce domaine » – Responsable militaire de sécurité des informations et de lutte contre la cybercriminalité
    • 28 cybersécurité : conserver l’avantage dans la partie De plus, l’attention supplémentaire accordée aux problèmes de sécurité ainsi que le débat public sur le sujet poussent à la création d’une infra- structure informatique plus résistante. En l’absence de pression et de responsabilité publiques, de nombreux problèmes de sécurité reste- raient non résolus sans un véritable mécanisme d’entraînement. Bon nombre d’organisations ont par le passé abordé la sécurité après coup, et même pire, n’ont traité ces problèmes qu’après la survenance d’un incident. Cependant, de nos jours, la pression du public, la sensibili- sation et l’impact bien compris des menaces pour la sécurité poussent les organisations à aborder la sécurité comme un élément essentiel de conception et de fourniture des produits et services, de structuration des processus commerciaux au sein d’une organisation, ainsi que de stockage et de protection des données et des informations confiden- tielles et des clients. Plus les enjeux de la sécurité seront importants et mieux compris, plus il sera difficile d’exploiter les vulnérabilités humaines et techniques à des fins illégales. « L’accès à un Internet libre est un droit humain fondamental » – Le Manifeste de la Cybersécurité
    • 29 3 Traiter les effets secondaires dus à la pratique « Bring-Your- Own-Device » Des appareils et services largement disponibles vont envahir les organisations « Le principe byod nous expose à des problèmes de sécurité majeurs, car il crée des failles dans l’informa- tique de l’entreprise. Cela n’était pas le cas il y a dix ans, et il s’agit selon moi du vrai défi des prochaines années. » – Responsable militaire de sécurité des informations et de lutte contre la cybercriminalité Le rapport que les personnes entretiennent avec leurs différents gadgets est plus intime que jamais. Les préférences personnelles, les méthodes de travail et le « ressenti » déterminent quel appareil est le mieux adapté à une personne. Les utilisateurs apportent et se servent de leurs appa- reils « personnels » au travail. L’entreprise ne peut plus vraiment décider quels ordinateurs portables, téléphones, tablettes ou phablettes sont uti- lisés pour travailler. Pour l’heure, de nombreuses organisations essaient de limiter l’afflux d’appareils personnels par le biais de politiques strictes interdisant l’ensemble de ces appareils, mais à long terme, cette méthode risque de s’avérer intenable. D’autres entreprises s’attachent à
    • 30 cybersécurité : conserver l’avantage dans la partie mettre en place des politiques Bring-Your-Own-Device (« apportez vos propres appareils »), ou plus souvent Choose-Your-Own-Device (« choi- sissez vos propres appareils ») qui répondent au désir du collaborateur d’utiliser l’appareil de son choix tout en sauvegardant la sécurité de l’entreprise. Or, cela s’avère plus difficile qu’il n’y paraît. Les politiques byod pourraient-elles présager de la fin d’un contrôle digne de ce nom sur les appareils et la technologie ? « Les entreprises ne contrôlent plus leurs environnements logi- ciels et matériels. » – Le Manifeste de la Cybersécurité Quelles sont les dernières évolutions ? « On ne peut pas freiner l’arrivée de nouvelles technolo- gies. Nous sommes contraints de nous adapter. » – rssi d’une société industrielle Le principe byod est au cœur des préoccupations de nombreux dsi et atteint même le byo-it (apporter votre propre informatique) : il ne s’agit plus simplement des appareils, mais également des services utilisés sur les appareils qui sont largement disponibles « sur le cloud ». Les salariés apportent une multitude de choses au sein de l’entreprise, depuis leurs téléphones jusqu’aux tablettes, en passant par des solutions collabora- tives, de partage de fichiers et de gestion complète de la relation client. L’association des appareils des consommateurs et des services sur le cloud a donné naissance à des fonctions de niveau entreprise parfaite- ment exploitables en environnement professionnel. Quel intérêt pour nous ? Traditionnellement, la défense du périmètre constituait la principale, voire la seule ligne de défense. Le fait de laisser entrer d’autres appareils
    • 3 Traiter les effets secondaires dus à la pratique « Bring-Your-Own-Device » 31 ou même d’autres services a renversé ce paradigme, en nous poussant à repenser la sécurité de l’ensemble du portefeuille technologique. Quelles nouvelles mesures prendre ? Le problème principal du système byod tient à ce que la plupart des systèmes back-end n’ont pas été conçus en prenant en compte ce type de flexibilité. De plus, le passage d’un modèle de sécurité de type péri- mètre à un nouveau modèle inter-couches est assez abrupt. Ce modèle lui-même peut être connu depuis un certain temps, sa mise en œuvre à l’échelle de toute une organisation constitue néanmoins une étape majeure. Elle implique de prendre les mesures suivantes : « Cependant, l’attitude de certains responsables peut être irritante. Certains ne montrent pas l’exemple. Cela dépend souvent de la personne. Certains dirigeants sont conscients des risques et en font une priorité pour la société. Mais cela ne suffit toujours pas. » – Responsable militaire de sécurité des informations et de lutte contre la cybercriminalité •• Mise en œuvre de la sécurité sur l’ensemble des composants tech- nologiques. Nous ne pouvons plus faire confiance à un appareil, un canal ou une application unique : nous devons vérifier à chaque étape qu’un utilisateur autorisé a lancé l’interaction demandée dans un but reconnu. Cela implique d’intégrer à tous les composants techniques, du bus applicatif d’entreprise au serveur Web en passant par la base de données de l’entreprise, un certain modèle d’autorisation fondé sur des actions « autorisées » : définir ce qui est autorisé et interdire tout le reste. Il faudra ici sacrifier la flexibilité informatique (interfaces génériques, ouvertes) à la sécurité (interfaces spécifiques fermées). •• La sécurité concerne d’abord les données, ou plus précisément les données et leur contexte d’utilisation. Les modèles d’autorisation ne doivent pas être fondés sur un « accès » (connexion au système) mais
    • 32 cybersécurité : conserver l’avantage dans la partie sur l’accès aux données en fonction d’un contexte ou de scénarios déterminés : cet utilisateur peut-il à cette heure précise, à cet endroit, par le biais de cet appareil et dans ce but accéder à telle fonctionna- lité utilisant telles données spécifiques ? •• Nécessité d’un contrôle d’identité fort : un modèle utilisateur intégré constitue la base de toute approche de sécurité ; mais dans la réalité d’aujourd’hui, le modèle d’identité doit intégrer un modèle de sécu- rité personnalisé, définissant quel type de comportement est « nor- mal » pour un utilisateur donné, à l’instar des procédures appliquées par les sociétés de carte de crédit pour détecter un comportement frauduleux. •• Transformation du modèle de périmètre en modèle à couche ou modèle en oignon : il ne s’agit plus simplement de « l’intérieur » et « l’extérieur », car il existe probablement plusieurs couches au milieu. L’objectif serait de définir une zone aussi limitée que possible qui serait vraiment « secrète », et des zones en expansion constante dans lesquelles les données sont de moins en moins restreintes. Plus la couche à laquelle vous cherchez à accéder est « secrète », plus les requêtes relatives aux autorisations, aux appareils, au réseau utilisé, au cryptage, etc. seront nombreuses. Dans ce contexte, le « secret » correspond aux dommages qui pourraient résulter d’une exposition ou d’une perturbation des données concernées : que se passe-t-il lorsque votre adresse ip est dérobée, lorsque vos données clients sont exposées ou que vos plans stratégiques sont divulgués à la concurrence ? •• Ne pas oublier l’ancien modèle : lorsque l’on traite tous les thèmes mentionnés ci-dessus, il ne faut pas oublier que le périmètre reste une couche de défense importante. C’est la raison pour laquelle il convient de prêter attention à la gestion des appareils, aux machines virtuelles, aux appareils à mémoire partagée, etc. L’un des défis de l’infrastructure informatique moderne concerne la multitude de combinaisons possibles entre appareils, réseaux, applications et structures de messagerie. Chacun de ces éléments est susceptible d’être le maillon faible ; une solution de sécurité précise et ciblée s’im- pose donc pour chaque élément connu de votre infrastructure. Il faut
    • 3 Traiter les effets secondaires dus à la pratique « Bring-Your-Own-Device » 33 déterminer clairement quels sont les appareils qui ne sont pas placés sous le contrôle de l’entreprise et qui ne doivent donc pas être jugés fiables, même si une solution de sécurité optionnelle est susceptible d’être déployée •• Enfin, il existe naturellement les aspects juridiques et financiers liés au byod : définir des politiques claires précisant qui paiera l’appareil, qui est responsable de quoi, quels processus de sécurité doivent être suivis, quand l’entreprise peut accéder à l’appareil et quel type de responsabilité est accepté. Les universités constituent un bon exemple de la façon dont le prin- cipe byod pourrait fonctionner : tous les étudiants, et parfois même les professeurs, ont leurs propres appareils et doivent accéder à tous types d’outils et de systèmes. Ils apportent leurs propres appareils et choi- sissent souvent leurs propres outils pour travailler et collaborer. Ce concept pourrait également fonctionner pour d’autres organisa- tions. De plus, les mêmes modèles de sécurité s’adapteraient à d’autres tendances importantes relatives aux organisations des réseaux, à l’inté- gration de la chaîne logistique et à des alliances de projets. Malheureu- sement, à l’heure actuelle, les infrastructures et systèmes d’exploitation ne sont pas prêts. C’est pourquoi bien que le byod puisse répondre aux souhaits des salariés, le Choose-Your-Own-Device (cyod : choisissez votre propre appareil) représente souvent la meilleure solution possible pour le moment.
    • 34 4 Lorsque l’entreprise est en danger, ne confiez pas la sécurité au service informatique Des mesures d’atténuation des risques devraient prévoir cette atténuation au niveau de l’entreprise, et non pas uniquement une approche informatique Dans les organisations d’aujourd’hui, l’informatique a pris une place centrale. Elle est à la base de tous les processus, elle rend possible la plupart de nos Business models. Elle est au centre de l’engagement, de l’approche écono- mique et de la relation avec les clients. Nous dépendons plus que jamais de la technologie, non seulement pour enregistrer ou traiter des commandes, mais pour tout ce qui concerne le marketing, les ventes, les livraisons, les services et tous les processus internes. Les dommages potentiels dus à une défaillance du système voire pire, à un sabotage sont donc plus importants que jamais. Pourtant la gestion du risque numérique et la préparation des réponses aux incidents sont souvent confiées au service informatique, alors même que l’impact est à présent bien plus large. Cela doit changer. « La gouvernance de la sécurité ne peut rester une préoccupation mineure à l’heure où la cybersécurité est devenue une préoccu- pation majeure. » – Le Manifeste de la Cybersécurité
    • 4 Lorsque l’entreprise est en danger, ne confiez pas la sécurité au service informatique 35 Quelles sont les dernières évolutions ? Au cours des dernières années, les entreprises ont pris conscience de l’importance de l’informatique dans leurs relations clients et leurs processus clés. Entraîné par l’émergence des applications mobiles, des médias « sociaux » et des « systèmes d’engagement »1 , le niveau de dépendance à l’informatique s’est fortement accru dans un grand nombre de nouveaux secteurs d’activité. Dans le même temps, des pannes informatiques de première importance sont survenues et soulignent une nouvelle fois notre forte dépendance à l’informatique : par exemple le cas d’une compagnie aérienne dont les passagers se sont retrouvés bloqués en raison d’une panne de système, ou encore le cas de ces innocents arrêtés en raison d’erreurs système2 , ou même les problèmes rencontrés lors des élections aux États-Unis et au sein des marchés boursiers3 . Le caractère volatile de ce risque a fortement aug- menté : la connaissance des vulnérabilités se développe extrêmement vite et il existe un véritable marché où acheter et vendre des vulnérabili- tés « zero day» (des vulnérabilités dont personne n’est encore conscient lorsqu’elles sont exploitées). En conséquence, le laps de temps qui s’écoule entre « cela ne pourra jamais arriver » et « le risque est sérieux et réel » est aujourd’hui plus réduit que jamais. Quel intérêt pour nous ? La réponse à un incident détermine en grande partie les dommages subis par vos clients, votre propre réputation et la poursuite de votre activité. Une préparation efficace peut accélérer la réponse voire limiter les risques pour l’activité avant leur réalisation. Les risques pour l’en- treprise doivent être contrés par une atténuation générale au niveau de l’entreprise. 1 http://www.aiim.org/~/media/Files/AIIM%20White%20Papers/Systems-of-Engagement-­ Future-of-Enterprise-IT.ashx 2 http://mybroadband.co.za/news/software/39959-high-profile-software-failures-of-2011.html 3 http://www.net-security.org/secworld.php?id=14142
    • 36 cybersécurité : conserver l’avantage dans la partie Quelles nouvelles mesures prendre ? Traditionnellement, le service informatique prépare et réagit princi- palement aux incidents : reboucher les brèches, arrêter les systèmes, récupérer les données perdues et éventuellement traquer un attaquant. Ce n’est qu’à ce stade-là que le reste de l’organisation se réveille et com- mence à collaborer, pour autant que ce soit le cas. La gestion du risque numérique au niveau de l’entreprise modifie le niveau de préparation et de réponse : « De mon point de vue, en cas d’attaque, la meilleure méthode consiste à ne pas réagir immédiatement mais à commencer par réfléchir. » – rssi d’une banque •• Pour créer une stratégie de sécurité, l’organisation analyse les risques commerciaux associés aux pannes et aux attaques. Elle planifie une réduction de ces risques dans son contexte numérique (renforcement des défenses) mais également et surtout dans le domaine organi- sationnel (par exemple en modifiant les termes et conditions pour limiter la responsabilité, en sensibilisant les clients aux réactions à adopter en cas de problème, en préparant la communication, en établissant un processus d’escalade, en s’alignant sur la position des partenaires, etc.). Ces activités impliquent également des efforts de réduction des risques « métier » provenant de fuites ou d’attaques internes en élaborant une segmentation des rôles différente, et en modifiant les procédures de contrôle et autres dispositions limitant la possibilité et l’impact des violations ou du sabotage de données. •• Le plan de réponse aux incidents doit prévoir les délais et modes de communication aux clients, partenaires et aux pouvoirs publics des incidents de sécurité. En fonction de la gravité de l’incident, plusieurs types de messages peuvent être développés, mais, pour chaque inci- dent, la communication interne et externe doit adopter un message unique et cohérent. L’objectif principal est la protection des intérêts des clients et la réduction de leurs incertitudes. La communication
    • 4 Lorsque l’entreprise est en danger, ne confiez pas la sécurité au service informatique 37 doit être rapide et efficace et les parties concernées telles que les forces de l’ordre, les agences réglementaires et les partenaires doivent aussi être informées s’il y a lieu. •• Une équipe de réponse pluridisciplinaire doit être mise en place : ser- vice informatique en collaboration avec la communication, le service juridique, les décisionnaires principaux et les autres experts commer- ciaux concernés. Cette pratique est recommandée depuis un certain temps mais elle n’est pas appliquée assez souvent. •• Tester et réviser les processus de réponse d’urgence avec toute l’équipe, afin que les intervenants se familiarisent avec leurs collègues et avec les procédures. Comme l’a indiqué un consultant en sécurité : « S’il y a une attaque, savent-ils comment réagir ou autrement qui contacter ? La gestion des incidents devrait être simple et claire. S’il leur faut un manuel, cela ne marchera pas. » « Les réponses aux urgences de cybersécurité doivent être bien préparées, fonctionner correctement et avoir été bien pratiquées. » – Le Manifeste de la Cybersécurité De nos jours, dans les organisations, le rôle de dsi est de plus en plus souvent confié à une personne disposant d’une expérience « business », afin de garantir que le service informatique est effectivement géré dans le cadre de l’activité, et non comme une entité semi-indépendante. De même, le ciso ou le rssi doit disposer d’une connaissance solide des métiers et œuvrer pour aborder les questions sur la sécurité au bon niveau. Il convient d’inclure les risques sur la sécurité des informations dans les considérations de gestion des risques de l’entreprise et, chose essentielle, d’aider à limiter le risque « business » lié à une défaillance de la technologie. Le défi consiste ici à y consacrer du temps, sans bien évidemment abandonner pour autant la dimension opérationnelle de ce poste.
    • 38 5 La sécurité débute dès la conception Confidentialité, qualité et sécurité doivent être prises en compte dès le départ Si seulement il était possible de reconstruire tout depuis le début, tout serait plus facile : nous pourrions appliquer simplement l’ensemble des meilleures pratiques que nous connaissons et les données et systèmes resteraient sécurisés. Ah, si seulement … La notion de « sécurité par conception » paraît simple et hautement souhaitable : elle consiste à élaborer le système depuis le début en se fondant sur des principes sûrs suffisamment résistants pour faire face à toutes les menaces présentes et futures. Pour tout nouveau développement, c’est effectivement aussi « simple » que cela : la sécurité par conception consiste à définir la sécurité dans un système depuis son origine. Pour les logiciels existants, l’occasion est passée, mais elle peut tout de même être intégrée en s’as- surant que toute nouvelle modification accroît la sécurité du système de toutes les façons possibles. « Lorsque vous prévoyez une nouvelle mise à jour pour ce système ancien, vous devez appliquer un nouveau modèle de sécurité. » Quelles sont les dernières évolutions ? Le développement de logiciels s’est fortement professionnalisé au cours des dix dernières années, avec une plus grande attention por- tée à la modélisation, aux méthodes agiles, à la génération de code et
    • 5 La sécurité débute dès la conception 39 à une meilleure utilisation des cadres de référence, de composants et solutions. Ainsi, le processus de développement de code est devenu davantage prévisible et maîtrisable, et les modèles et composants de sécurité sont également largement disponibles. Avec l’introduction du cloud, l’infor- matique connaît une profonde transformation : les systèmes développés en interne sont remplacés par des systèmes du marché et de nouvelles solutions sont créées spécifiquement pour ce nouvel environnement. Il s’agit d’une excellente occasion de « bien faire les choses» ! « La sécurité doit être au cœur des systèmes, avec l’informatique de confiance. Il existe un fort besoin de bâtir des applications sûres au sein d’une infrastruc- ture qui ne l’est pas. Nous ne pourrons jamais sécuriser toute la chaîne. La sécurité doit constituer le premier thème abordé dans la planification des projets, avant de réfléchir au reste. Cependant, la démarche inverse est plus souvent appliquée. » – cso d’un institut de recherche Quel intérêt pour nous ? La sécurité par conception est l’une des approches les plus puissantes disponibles pour que tout soit plus sûr. Ne pas l’utiliser signifie renon- cer à une belle opportunité. Les fournisseurs de produits sont parfai- tement conscients des risques de sécurité ; c’est pourquoi le dévelop- pement personnalisé représente l’un des points les plus importants où les vulnérabilités sont intégrées à votre infrastructure technologique. Intégrer la sécurité dans chaque couche et à différents niveaux (défense en profondeur) constitue le seul moyen de résister aux attaques et de mieux y faire face à l’avenir, par exemple en se préparant à de nouveaux
    • 40 cybersécurité : conserver l’avantage dans la partie canaux, de nouvelles connexions, de nouvelles intégrations, la sécurité se trouvant intimement intégrée au cœur même du système central. Quelles nouvelles mesures prendre ? Concernant les tests logiciels et le débat sur la confidentialité, nous avons constaté que plus tôt certaines exigences sont prises en compte dans le processus, plus la mise en œuvre s’avère simple et rentable. Il en est de même pour la sécurité : •• Intégrer la sécurité à la discussion sur l’Architecture d’Entreprise, avec des exigences fermes sur les données, le contrôle de l’authentifi- cation et considérer « non fiables » les autres composants ou couches de votre architecture par défaut. Mettre en place un processus d’ho- mologation pour l’Architecture d’Entreprise en aidant les équipes « projet » à prendre les bonnes décisions. •• Créer des anti-modèles : des cas d’utilisation néfaste décrivant égale- ment les comportements indésirables, de sorte à clarifier ce qu’il faut mettre en place et contrôler au cours de l’élaboration. Par exemple, lorsqu’un cas d’utilisation autorisé indique « un utilisateur authen- tifié peut accéder à ces cinq dernières transactions », vous pouvez l’utiliser pour prendre l’hypothèse indésirable suivante « Un utilisa- teur non-authentifié peut accéder aux cinq dernières transactions du système » ou « Un utilisateur authentifié accède aux cinq dernières transactions de quelqu’un d’autre » Cela permet de clarifier ce que le code sous-jacent devrait autoriser et interdire, jusqu’au niveau des données. Cela permet d’établir très tôt dans le processus de concep- tion où mettre en place les restrictions. •• Consacrer suffisamment de temps et de budget pour traiter toutes les exigences non fonctionnelles de vos projets dès le début : sécurité, confidentialité, qualité, ergonomie, possibilité de gestion, etc. « Le monde d’aujourd’hui est préoccupant. Le péri- mètre du réseau a disparu. Nous disposions d’une
    • 5 La sécurité débute dès la conception 41 ­forteresse qui s’est progressivement évaporée avec l’expansion du réseau. Comment sécuriser les données dans ce contexte changeant ? » – rssi d’un établissement d’enseignement Comment procéder ? La sécurité par conception débute lorsqu’une équipe de développe- ment reconnaît qu’il existe des possibilités d’événements néfastes sur des logiciels apparemment corrects. De ce constat découle la nécessité d’une conception associant exigences fonctionnelles, exigences non fonctionnelles et exigences d’assurance (ou de prévention des risques). À partir de ces trois exigences, une dans chaque catégorie, il est essen- tiel d’établir quelle priorité les parties prenantes et les utilisateurs finaux donneraient à ces exigences. Par le passé, cette priorité pouvait être la suivante : caractéristiques fonctionnelles (orientées productivité), caractéristiques non fonctionnelles (orientées apparence et ressenti) et assurance (particulièrement si elle affecte la productivité ou l’apparence et le ressenti). De nos jours, il apparaît que la priorité est différente, et que l’assurance prend souvent le pas sur les exigences fonctionnelles ou non fonctionnelles, et ce pour de bonnes ou de mauvaises raisons. La sécurité par conception fonctionne sur deux voies parallèles. La première est celle de la technique, où les exigences de prévention des risques/d’assurance sont documentées. La seconde concerne la gestion de projet ou les processus, où les décisions relatives à la résolution de ces exigences sont suivies jusqu’à être satisfaites. « La sécurité est intégrée au démarrage des projets, ce qui n’était pas le cas il y a 10 ans. » – Responsable militaire de sécurité des informations et de lutte contre la cybercriminalité
    • 42 cybersécurité : conserver l’avantage dans la partie Quels sont les défis à relever ? L’un des principaux défis de la sécurité par conception consiste à pouvoir orchestrer et contrôler les projets. Tous les projets de dévelop- pement logiciels font face à des défis en termes de budget, de délais, de ressources, de complexité ainsi que d’évolution des exigences et priorités. S’il est notoire que l’absence d’une approche de sécurité par conception peut avoir un impact grave sur les délais, les ressources et la complexité d’un projet, on a également souvent l’impression qu’une approche de sécurité par conception rigoureuse constituerait un fardeau égal ou supérieur pour un projet. La voie à suivre Si elle est mise en place de façon correcte, la sécurité par conception ne constitue pas un fardeau et elle ne devrait pas être jugée optionnelle. Sa méthode d’exécution doit être déterministe et conforme aux tolérances de la méthode de gestion de projet. La sécurité par conception repré- sente ainsi davantage qu’une série d’étapes ; elle constitue plutôt une méthode disposant de mécanismes d’entrée, de sortie et de contrôle. Il s’agit d’un concept simple dont les conséquences et les résultats sont étendus.
    • 43 6 La clé de la sécurité : mettre en place des technologies persuasives L’interaction par défaut entre l’utilisateur et la technologie devrait améliorer la sécurité « Sélectionnez un mot de passe composé d’au moins 12 caractères conte- nant des majuscules, des caractères spéciaux et ne contenant pas de noms ou de mots communs. Et surtout : ne le notez nulle part. » Évidem- ment, lorsqu’on parle de sécurité, nous aimerions que tout le monde suivent nos consignes. Ne configurez pas votre navigateur pour qu’il sauvegarde vos mots de passe, n’utilisez pas d’outils conçus par des tiers, ne partagez pas de documents, etc. Mais ne soyez pas surpris lorsque des utilisateurs ignorent vos consignes et font ce qu’ils veulent, ou encore qu’ils essaient de contourner vos règles. Pour que les utilisateurs se comportent d’une façon permettant d’améliorer la sécurité de l’entre- prise, une seule solution : leur simplifier la vie, et ne pas la leur rendre plus compliquée. Il s’agit d’un des signes clés de notre époque, qui va à l’encontre de l’idée reçue selon laquelle il faut appliquer des politiques en ne tenant quasi- ment pas compte de leur impact sur le travail des utilisateurs. Ceux-ci ont davantage confiance lorsqu’ils interagissent avec la technologie et valorisent leur capacité à être autonomes vis-à-vis de cette dernière.
    • 44 cybersécurité : conserver l’avantage dans la partie Fort heureusement, cette interaction plus étroite entre utilisateur et technologie présente également des opportunités. Nous pouvons rendre cette technologie persuasive. Nous pouvons y intégrer des mécanismes et des déclencheurs qui suscitent chez l’utilisateur un comportement idoine. Bien faire les choses peut ainsi devenir naturel, logique, voire amusant. « La psychologie de la sécurité a encore du chemin à faire. » – Le Manifeste de la Cybersécurité Quelles sont les dernières évolutions ? Les utilisateurs ont la possibilité de contourner la règle. À moins que vous n’ayez bloqué tous les accès aux réseaux mobiles, à Internet et aux appareils et supports de données amovibles, ils trouveront le moyen de travailler comme bon leur semble. Au lieu de perturber le travail du salarié, les pratiques de sécurité devraient viser à l’assister dans la réali- sation de ses tâches. « La cybersécurité concerne les systèmes, processus de communication et particulièrement les personnes. Si les utilisateurs n’en sont pas convaincus, tout s’effondre. Aucune politique de sécurité ne peut réussir. Notre rôle de rssi consiste également à être l’ambassadeur des bonnes pratiques au sein de l’entreprise. » – rssi d’une société industrielle Quel intérêt pour nous ? On peut dire que l’utilisateur est le point faible de tout système, mais il peut également être considéré comme une très grande force utile : si les circonstances sont réunies, il peut transformer une action présentant
    • 6 La clé de la sécurité : mettre en place des technologies persuasives 45 une insécurité inhérente (communiquer en ligne avec des tiers incon- nus) en une action plus sûre (en vérifiant leur identité par plusieurs moyens, en traitant les pièces jointes avec prudence ou en orientant la collaboration vers une plateforme extérieure, etc.). La prévention des fuites accidentelles (perte d’une clé usb contenant des données clients) constitue le premier avantage évident, mais il est possible d’aller bien plus loin. L’utilisateur peut être intégré à votre système de détection afin de signaler tout événement sortant de l’ordinaire, par exemple en informant le service d’assistance si un courriel suspicieux passe entre les mailles du filet de vos filtres de courrier électronique ou lorsque le comportement d’identification change brusquement. De cette façon, les utilisateurs peuvent contribuer à contrer des attaques d’ingénierie sociale et d’hameçonnage ciblées. Quelles nouvelles mesures prendre ? L’approche la plus classique à ce jour consiste à imposer des restric- tions à l’utilisateur. La plupart des entreprises utilisent des méthodes comme une formation annuelle obligatoire, des directives restrictives et des conséquences graves (sanction) en cas de non application. Elles envoient des courriels très fermes insistant sur l’importance de la sécu- rité et de la confidentialité. Vous pouvez employer ces méthodes, mais les avancées les plus importantes peuvent être réalisées dans d’autres domaines : « Nous attendons trop de nos salariés. C’est à l’entre- prise de protéger et de contrôler ou pas leur environ- nement. Il faut trouver un équilibre et non se retrouver dans une situation insupportable pour l’utilisateur, avec des solutions pensées par des experts qui ne connaissent pas l’activité de l’entreprise. » – rssi d’une société de services financiers
    • 46 cybersécurité : conserver l’avantage dans la partie •• Repenser les processus organisationnels en gardant la sécurité à l’esprit. Par exemple, est-il possible d’anonymiser les données dans certains processus ? Peut-on automatiser ou mieux soutenir les pro- cessus qui sont à présent exécutés par courriel ? •• Donner aux utilisateurs des petites « récompenses » et des déclen- cheurs pour avoir bien fait les choses. Il ne s’agit pas nécessai- rement de cadeaux ou de gratifications financières, mais d’une récompense d’un autre type : par exemple, donner à l’utilisateur un meilleur aperçu de sa productivité ou de ses compétences, fournir des retours sur les réseaux sociaux, donner la satisfaction à l’utilisa- teur de constater qu’il a « réalisé » quelque chose (par exemple une barre d’état affichant 100 % lorsque toutes les actions ont été effec- tuées, etc.). De nombreux outils permettent de rendre l’interaction homme-machine plus attrayante en proposant de petits déclencheurs au sein de l’interface. •• Fournir les outils techniques pour faciliter la tâche : lorsque des utili- sateurs utilisent Dropbox, Gmail ou un autre outil en violation de vos politiques de sécurité, ne vous contentez pas d’interdire ces outils, mais proposez de meilleurs outils placés sous votre contrôle. Vos propres outils peuvent être associés à votre base de données utilisa- teur, pour une collaboration plus simple. Ils peuvent être associés à la recherche au sein de l’entreprise pour la faciliter, et peuvent égale- ment être reliés à d’autres systèmes, afin de permettre à un utilisa- teur de passer plus facilement d’un outil à un autre (par exemple un système de gestion d’exception utilisant le réseau social d’entreprise). Lorsque vous demandez aux utilisateurs de suivre des procédures de sécurité compliquées, réfléchissez aux solutions techniques qui faciliteraient leur utilisation : un jeton d’authentification peut-il être plus convivial que des politiques de mots de passe perpétuellement modifiées ? Un lecteur d’empreintes digitales peut-il répondre à nos besoins de sécurité et faciliter les signatures d’autorisation pour les utilisateurs ? L’évolution vers une solution voip vous permettrait-elle de prévoir des alarmes lorsque les appels proviennent de numéros suspects ? L’authentification unique peut-elle encourager l’adoption de services internes et limiter l’utilisation d’outils externes ?
    • 6 La clé de la sécurité : mettre en place des technologies persuasives 47 •• Rendre plus difficiles les actions non sécurisées : l’inverse est éga- lement vrai. Si vous découvrez des pratiques non sécurisées, vous pouvez modifier les paramètres pour les rendre plus difficiles à réaliser pour l’utilisateur. Par exemple, si les utilisateurs stockent trop de données sensibles sur leurs appareils, vous pouvez limiter la taille du disque. Si les utilisateurs envoient par courriel un trop grand nombre de documents stratégiques, vous pouvez limiter la taille des pièces jointes. Il s’agit d’une pratique délicate, car vous ne voulez pas pousser vos utilisateurs à adopter des pratiques encore moins sécurisées, et vous devez donc idéalement complexifier les pratiques non sécurisées tout en facilitant les pratiques sécurisées, pour aider l’utilisateur à aborder le changement : par exemple en proposant un bureau virtuel sans limite d’espace, de nombreux outils supplémen- taires et plus d’options pour personnaliser les paramètres selon vos préférences personnelles. « Ramener le cryptage au niveau de l’utilisateur moyen. » – Le Manifeste de la Cybersécurité De nos jours, la technologie peut nous séduire, nous distraire et nous pousser au dialogue de façon très sociale. Nous avons appris à concevoir les applications et sites Internet (les systèmes d’engagement actuels) pensés pour simplifier les interactions et les rendre plus agréables. Si nous souhaitons que nos utilisateurs se souviennent qu’ils doivent agir correctement, il nous faut utiliser ces mêmes compétences pour faire de leur pratique « sécurisée » une chose simple voire amusante. Si vous entendez un utilisateur se plaindre d’une politique trop lourde, prêtez une oreille attentive : il s’agit d’une opportunité d’amélioration.
    • 48 7 La peur : une méthode qui s’émousse très rapidement Les organisations doivent trouver comment recadrer les discussions sur la sécurité La peur est une source de motivation très forte : il est essentiel de savoir comment notre cerveau fonctionne. D’autres stimuli, même lorsqu’ils sont forts, tels qu’une bonne récompense, sont moins efficaces que la peur. C’est la raison pour laquelle, lorsqu’ils font en sorte que les utili- sateurs agissent d’une certaine façon en vue d’améliorer la sécurité (par exemple en utilisant des mots de passe solides, en ne partageant pas de documents ou en n’ouvrant pas de liens inconnus, etc.), les experts de la sécurité utilisent naturellement la peur comme moteur : peur de l’at- taquant, peur de la perte de données ou peur de conséquences person- nelles. On trouve toujours de bons exemples pour illustrer l’horreur liée au non-respect des consignes. Cette approche présente un problème majeur : la peur est un outil qui s’émousse très rapidement. On ne peut raconter une histoire qu’une seule fois, et si un utilisateur régulier ne fait pas face à une menace réelle une fois de temps en temps, il commence à oublier ou à mettre volontairement de côté votre histoire. Si vous procédez chaque année à une formation de sécurité obligatoire, dès la troisième année, le seul impact de la peur sera limité, si l’utilisateur n’a pas été témoin d’attaques résultant de ses actions ou de sa négligence. Le cerveau humain est
    • 7 La peur : une méthode qui s’émousse très rapidement 49 conçu pour obéir à la peur, mais également aux sensations, aux chan- gements et à de nouveaux stimuli. Une menace constante devient une norme et perd de son urgence. De la peur à la valeur Certaines entreprises ont intégré la sécurité au cœur des valeurs qu’elles apportent à leurs clients. Ici, la sécurité n’est pas un mal nécessaire, elle fait partie intégrante de leur offre de valeur : elle est enracinée dans le message à destination des clients, tissée dans les interactions avec les clients et représentent donc une partie intégrante de la culture quoti- dienne. Ici, la « sécurité » ne désigne pas uniquement une mesure de prévention des attaques, mais également une composante qui participe à la réussite de l’entreprise. Que faudrait-il à votre entreprise pour deve- nir la plus fiable du secteur ? « Je suis impressionné de l’impact que j’ai au niveau des managers ou des orientations « Métier » : on m’écoute, on suit mon avis. Il s’agit d’une excellente responsabilité. » – rssi d’une banque La valeur de la sécurité est bien évidemment réelle. Il s’agit tout d’abord de la valeur évidente qu’apporte le fait d’être « moins confronté à des risques ». Mais ce n’est pas tout : dans une société où les utilisateurs interagissent avec de nombreuses entreprises, « la confiance » a été rebaptisée « “l’amour” en langage des affaires ». Lorsque les marchés se banalisent très rapidement, comme c’est le cas actuellement, votre répu- tation, votre marque et votre expérience font la différence et la sécurité constitue ici l’une des valeurs cruciales. « La cybersécurité coûte cher à mettre en œuvre. Bon nombre d’entreprises font l’impasse sur la sécurité parce qu’elle coûte trop cher. J’estime que nous devrions
    • 50 cybersécurité : conserver l’avantage dans la partie aborder cette question d’un point de vue économique : N’est-il pas possible de transférer une partie du finan- cement à un assureur ? » – Consultant en sécurité Une seule pensée pour de nombreuses actions L’astuce pour intégrer la sécurité dans l’ensemble de l’organisation consiste à minimiser les références à la sécurité au quotidien. Cela peut sembler contradictoire à la création d’une culture de la sécurité, mais il n’en est rien. Il convient de créer des pratiques qui facilitent et rendent les tâches professionnelles plus efficaces et qui soient fondamentale- ment plus sûres. Il convient également de prendre le temps de repenser les activités quotidiennes afin de trouver des alternatives plus efficaces, plus simples et plus sûres. Par exemple : lorsque les utilisateurs tra- vaillent sur de nombreux fichiers, pourquoi ne pas travailler en colla- boration en ligne, sans jamais les télécharger sur un appareil portable ? Lorsque les analystes travaillent sur de larges ensembles de données, le système doit être élaboré pour leur permettre de faire tourner l’en- semble de leurs formules et de leurs programmes sur un serveur très rapide plutôt que de charger de nombreuses données sur leurs ordina- teurs portables. Lorsque les membres du service clients doivent accéder aux données clients, il suffit d’afficher uniquement les données relatives à ce client spécifique sur la base des informations que le client a ren- seigné par téléphone (afin qu’ils disposent immédiatement des bonnes informations mais également qu’ils ne puissent pas consulter ou divul- guer d’informations relatives à des tiers). Lorsque vos salariés doivent accéder à de nombreux systèmes différents, il suffit de leur fournir un mécanisme d’authentification unique (à deux facteurs) qui fonctionne sur tous les systèmes, afin qu’ils n’aient pas à mémoriser (ou à noter) plusieurs mots de passe. Lorsque vous devez télécharger temporaire- ment des fichiers sur votre appareil, assurez-vous que les données sont
    • 7 La peur : une méthode qui s’émousse très rapidement 51 automatiquement supprimées après un certain temps. Vous pouvez ainsi garantir que les utilisateurs travaillent avec les données les plus récentes, tout en réduisant le risque de vol. Il existe un très grand nombre de pratiques à imaginer pour vous simplifier la vie et améliorer la sécurité dans son ensemble. Il n’est pas facile de passer de la peur à la valeur, et vous utiliserez certainement une association des deux : mettez en évidence la valeur mais utilisez ponctuellement la peur pour maintenir l’attention. Cela consiste à terme à concevoir la sécurité dans ce que nous faisons, dans notre technologie mais également dans nos pratiques de tous les jours. Cela part du sommet et s’étend dans toute l’entreprise, à l’instar de toute culture organisationnelle.
    • 52 8 Soyez votre pire ennemi Pour déceler vos points faibles, la seule solution est de faire preuve d’une grande détermination La détermination et la communication figurent souvent parmi les principales différences qui distinguent un attaquant d’un défenseur. Lorsqu’une attaque devient un projet de groupe, le caractère compé- titif du « jeu » ne plaide pas en votre faveur. Pour rééquilibrer ce jeu, la seule solution serait d’inspirer le même niveau de détermination, de communication et de créativité au sein de votre organisation, avec ou sans l’assistance de tiers, tels qu’une équipe professionnelle de hackers éthiques (les « white hats »). « Le crime s’adapte et suit le rythme ; de nouvelles tech- nologies émergent, mais le crime évolue parallèlement. Les voleurs ont toujours une longueur d’avance. Ils ont davantage d’imagination que les personnes en charge de protéger les informations. Nous faisons face à des situations que nous n’avions pas imaginées. » – Consultant en sécurité Quelles sont les dernières évolutions ? Avec la hausse du nombre d’attaquants motivés par des raisons finan- cières ou politiques, la détermination de certains d’entre eux a for- tement augmenté. D’autre part, l’augmentation des sanctions, une
    • 8 Soyez votre pire ennemi 53 meilleure application des lois et des condamnations médiatiques ont dissuadé un grand nombre de script-kiddies dont le pouvoir de nuisance est limité, ne laissant sur le terrain « que » les attaquants plus profes- sionnels. Souvent utilisée, l’expression « menace persistante avancée » (apt, Advanced Persistent Threat) désigne leur détermination effrénée : les attaquants sont capables de passer du temps à percer vos défenses puis à profiter de leur accès sur une longue période pour accéder à vos données. Généralement, les attaquants traquent toute vulnérabilité puis cherchent à l’utiliser sur plusieurs organisations différentes ; mais dans l’environnement actuel, la cible est plus souvent une seule et unique organisation (ou personne), qui est attaquée de multiples façons. Quel intérêt pour nous ? L’ignorance et la détermination constituent deux enjeux pour notre sécurité : si vos propres collaborateurs sont totalement ignorants en la matière, la sécurité ne sera pas assurée. De même, si l’attaquant fait preuve d’une grande détermination, on estime communément que, dans le monde de la sécurité actuel, il finira par parvenir à ses fins. En traitant à la fois l’ignorance et la motivation au sein de votre entreprise, tout en améliorant vos défenses pour ne laisser le champ libre qu’aux plus déterminés, vous pouvez obtenir une situation de sécurité mieux gérable. L’objectif est toujours le même : garder une longueur d’avance. Quelles nouvelles mesures prendre ? De nos jours, l’approche commune consiste à appliquer des correctifs, à concevoir une infrastructure sécurisée et à éduquer les utilisateurs. La recherche de « l’attaque la plus plausible » est parfois envisagée, mais il ne s’agit pas pour le moment d’un fondement de la sécurité d’entreprise. Mettez-vous à la place des hackers et trouvez vos points faibles avant que d’autres ne le fassent :
    • 54 cybersécurité : conserver l’avantage dans la partie •• Utilisez régulièrement ou mettez sur pied votre propre équipe de tests d’intrusion (éthique), dont l’objectif sera de s’infiltrer et d’accé- der aux systèmes ou aux données auxquels elle ne devrait pas avoir accès. Vous pouvez mettre en place une « équipe rouge » permanente disposant du temps et des moyens nécessaires pour se mettre au niveau des hackers modernes. Vous pourriez même interchanger certains membres des équipes de « défense » et d’« attaque » tous les deux mois pour qu’ils expérimentent les deux côtés du problème. •• Adoptez une approche ludique : il existe de nombreux moyens de faire de la sécurité un jeu pour toute l’organisation. Certains utili- sateurs ont perdu des points pour avoir laissé leur ordinateur por- table déverrouillé et gagné des points pour avoir détecté un collègue dépourvu de badge d’accès ou trouvé des fichiers qui n’auraient pas dû être librement disponibles. La dimension ludique de la sécurité offre une approche positive à ces problématiques et améliore la sensi- bilisation et le respect des protocoles de sécurité. •• Assurez-vous de disposer de procédures de notification transpa- rentes : les personnes étrangères à votre entreprise doivent pouvoir vous contacter facilement si elles découvrent une faille de sécurité au sein de l’entreprise. La procédure de notification est délicate (il ne s’agit pas d’encourager les gens, mais il est souhaitable d’être averti des problèmes), mais elle doit être disponible et très réactive. Dès qu’un problème est signalé, un suivi rapide doit être mis en place et une récompense éventuelle prévue. •• Apprenez à connaître les attaquants (potentiels) : de la même façon que vous souhaitez connaître les clients les plus importants des organisations, ces dernières souhaitent apprendre à connaître leurs adversaires les plus dangereux. D’où viennent-ils, quelles sont leurs motivations, quel est leur marché … ? Lorsque seule la technologie est au centre de ces interrogations, l’anticipation est difficile. Pour obte- nir une meilleure vision des attaquants potentiels, il faut planifier des scénarios : qui pourrait attaquer, dans quel but, quelles seraient les conséquences prévues et imprévues et que peuvent faire les organisa- tions pour les contrer, soit en s’attaquant à leurs motivations ou à leur marché, soit en perturbant leur attaque ?
    • 8 Soyez votre pire ennemi 55 « Par exemple, si l’entreprise signe un contrat contro- versé, il faut signaler au service informatique qu’un contrat sensible pourrait exposer l’organisation à des attaques. Et pourtant, cette idée ne vient pas souvent à l’esprit ! » – Cyber activiste Le piratage offre une dimension mystérieuse très amusante : chercher un moyen d’exécuter un code, desserrer une petite partie pour générer une large faille. Cette motivation des hackers peut être un avantage pour votre entreprise si elle existe au sein de votre équipe de sécurité. Une dimension ludique permet d’éviter la vision tunnellaire et encou- rage la créativité nécessaire pour identifier les vraies faiblesses de vos défenses. Vous devez comprendre vos attaquants et essayer de leur ressembler un minimum.
    • 56 9 Vous serez piratés, mais ce n’est pas grave Tant que vous en êtes conscients et que vous savez rebondir Que se passe-t-il lorsque des personnes très déterminées portent toute leur attention sur vous ou sur votre entreprise ? Cette seule pensée peut faire frissonner n’importe qui : impossible de faire confiance au moindre courrier électronique, à la moindre pièce jointe, au moindre document, appel, visiteur, réseau wi-fi … Les hackers éthiques prouvent qu’ils peuvent faire presque tout, du piratage des portillons d’accès jusqu’à l’infiltration dans les comptes de la direction par ingénierie sociale ; ils offrent ainsi un aperçu de toutes les possibilités. Nous pouvons partir du principe qu’il en est de même pour les criminels et certains autres adversaires. Dans ce cas, que pouvez-vous faire ? Vous rendre, abandon- ner et laisser faire ? Bien sûr que non. La certitude qu’un fort achar- nement menacera vos défenses vous permet de vous préparer pour atténuer les effets et améliorer les chances de détection. « La question n’est pas “suis-je susceptible d’être piraté” mais “puis-je résister” ? » – rssi d’une société de services financiers Quelles sont les dernières évolutions ? Il a toujours existé des attaques très ciblées, en particulier dans les secteurs de la défense et de la finance. De nos jours, les acteurs dédiés
    • 9 Vous serez piratés, mais ce n’est pas grave 57 au crime sont de plus en plus nombreux, les groupes criminels pro- fessionnels passant la majeure partie de leur temps en ligne. Bien que l’expression « menace persistante avancée » serve souvent à désigner des attaques perpétrées par des acteurs parrainés par un État ou des acteurs « commerciaux », la communauté des hackers « privés » agit souvent de façon très similaire. Des communautés de hackers coordonnés ciblent des individus ou des entreprises à des fins hacktivistes sur des thèmes politiques ou sociaux qui enflamment une partie de la société ; puis ils se tournent vers le piratage pour imposer leur avis ou influencer les débats publics. « Dans le secteur bancaire, nous avons une cer- taine image, nous représentons le capitalisme, les « méchants ». D’un seul coup, nous faisons face à des menaces quotidiennes. Nous surveillons tous les activistes en ligne et nous nous préparons pour pouvoir lutter. » – rssi d’une banque Quel intérêt pour nous ? À l’instar des menaces internes, la menace persistante avancée repré- sente sans doute l’une des menaces les plus graves pour une organisa- tion car une défense infaillible est impossible ; pour autant, les dom- mages peuvent être gravissimes. Des attaquants persistants n’hésitent pas à influencer le personnel de votre entreprise, voire à se faire embau- cher pour obtenir un accès, rendant la détection encore plus difficile. Quelles nouvelles mesures prendre ? Traditionnellement, dans le domaine de la sécurité, l’objectif consistait prioritairement à défendre le périmètre, à maintenir la sécurité et à évi-
    • 58 cybersécurité : conserver l’avantage dans la partie ter l’exfiltration de données. Mais dans ce cas, une fois que les défenses étaient percées ou que les données avaient été exfiltrées, le mal était fait et les organisations n’avaient plus qu’à reboucher les brèches et à vivre avec les dommages provoqués. Que peuvent faire les organisations qui sont conscientes des menaces persistantes avancées ? « Pour nous, l’essentiel est de rebondir. » – rssi d’une banque •• Tout d’abord, vous devez mettre en place des contre-mesures tout au long du processus de l’attaquant : commencez en cherchant à miner sa motivation, jusqu’au moment de l’attaque en elle-même et poten- tiellement jusqu’à la publication après l’attaque. Il s’agit de mettre en place la « chaîne de frappe »1 . En vous familiarisant avec le processus suivi par les attaquants, vous pouvez essayer de détecter, refuser, per- turber, dégrader, repousser ou tromper les attaquants à chaque étape. •• Surveillez avec davantage de diligence votre réseau et vos systèmes : tant que vous ne savez pas ce qu’il se passe sur votre réseau, vous n’arriverez probablement pas à détecter une attaque sophistiquée. Bon nombre d’organisations conscientes d’avoir été piratées ont été prévenues des mois (ou des années) après l’intrusion initiale, le plus souvent par des organismes extérieurs tels que la police ou des cher- cheurs en sécurité. •• Réduisez de façon proactive l’effet potentiel des intrusions : par exemple en cryptant les données stockées, en ajoutant de fausses données aux données réelles, de sorte qu’en volant un million de numéros de carte de crédit, seul un millier de vraies cartes de crédit et près d’un million de faux numéros seraient concernés. •• Réagissez et atténuez l’effet des intrusions : communication et rattra- page immédiats, solutions orientées client ou contrepartie pour les clients affectés. 1 Plus d’informations sur la chaîne de frappe sur : www.appliednsm.com/making-­mandiant-apt1- report-actionable
    • 9 Vous serez piratés, mais ce n’est pas grave 59 Ainsi, même si votre organisation est piratée, considérez que vous avez perdu une bataille, mais pas la guerre. Faites en sorte que chaque étape de la bataille soit longue et ardue pour les attaquants : ils devront pénétrer péniblement chaque couche pour atteindre un nombre réduit de données. Même les menaces qui se concrétisent et parviennent à entrer ne doivent pouvoir accéder qu’à des bribes de données et ne pas pénétrer la totalité du système en une seule intrusion. Et pendant ce temps-là, vous êtes à l’affût, prêt à les prendre sur le fait.
    • 60 10 Le data scientist sera le prochain superhéros de la sécurité La reconnaissance des formes n’est pas une compétence de sécurité informatique commune Pouvez-vous prédire quelles mesures sont bonnes ou mauvaises ? Pouvez-vous classer les utilisateurs comme dangereux ou normaux en fonction de leur comportement ? Pouvez-vous détecter lorsqu’un administrateur système mécontent installe des programmes malicieux juste avant de quitter l’entreprise ? Voici les questions auxquelles nous souhaitons répondre en appliquant à la sécurité avancée les pratiques « analytiques » liées au big data. Cette « analyse avancée » intègre des modèles de représentation des menaces, des attaques ou même l’heuris- tique des observations. Les données sont nécessaires pour la formation et la déduction de formes à partir de ces analyses. Parfois, ces analyses visent simplement à offrir une visualisation afin de pouvoir y appliquer des connaissances humaines pour en déduire des idées. En associant les données tirées des fichiers journaux du système, les données historiques sur les adresses ip, les pots de miel, le comportement du système, les comportements des utilisateurs …, nous pouvons obtenir un aperçu bien plus exhaustif du comportement normal d’un utilisateur ou d’un scénario. L’astuce consiste à associer plusieurs sources différentes et à rechercher les formes dans ces différents systèmes qui signalent un comportement
    • 10 Le data scientist sera le prochain superhéros de la sécurité 61 indésirable. L’analytique avancée appliquée au big data peut être utili- sée pour détecter des intrusions extérieures, par exemple en identifiant des formes dans le comportement des attaquants lorsqu’ils procèdent à une reconnaissance, mais également pour détecter les risques internes, par exemple en générant une alerte automatique lorsqu’un utilisateur accède à des données inhabituelles à une heure inhabituelle. De nombreux avantages sont déjà disponibles même sans le big data, simplement en examinant ce qu’il se passe au niveau des silos, mais le big data offre des promesses plus ambitieuses et proactives. Une équipe de sécurité classique peut malheureusement avoir du mal à obtenir des résultats en ce qui concerne le big data, sauf si elle fait appel à un vrai data scientist capable d’assurer une reconnaissance des formes ou à donner un sens aux formes reconnues. « Nous disposons d’outils de détection efficaces pour limiter l’impact des attaques, mais la vraie révolution viendra du big data : nous serons en mesure d’analyser encore plus précisément ce qui est normal et ce qui ne l’est pas. » – rssi d’une entreprise d’électronique Quelles sont les dernières évolutions ? Le secteur de l’informatique a récemment découvert la valeur du big data et des informations susceptibles de se cacher dans des sources de données disparates et de grande taille. Ce nouvel intérêt pour les données s’est également répandu dans la communauté de la sécurité, avec l’application de technologies semblables aux sources de données disponibles pour détecter et prévenir les attaques. Les nouvelles tech- nologies et l’analytique permettent à présent d’appliquer une approche analytique avancée de big data.
    • 62 cybersécurité : conserver l’avantage dans la partie Quel intérêt pour nous ? En ce qui concerne les données, il s’agit de décomposer les silos de don- nées pour soutenir des pratiques d’analyse avancée. Nous pouvons déjà collecter de grands volumes de données de sécurité, ou même des don- nées de sécurité à haut débit mais nous recherchons à présent des don- nées provenant d’autres sources. L’analyse ne consiste pas réellement à séparer le bon du mauvais, ce qui s’avère presque difficile, mais plutôt à savoir ce qui est « normal » afin de pouvoir analyser les exceptions. La traçabilité et les liens deviennent essentiels, que vous observiez des flux de données, des conversations ou des entités. Cette promesse pousse de nombreuses organisations à se lancer sur cette voie. Un mécanisme offrant un aperçu plus précis sur les éléments inhabituels, anormaux et potentiellement dangereux au sein d’une orga- nisation constituerait un ajout de poids à l’arsenal des outils disponibles. Quelles nouvelles mesures prendre ? Sans l’utilisation de l’analyse avancée sur les big data, nous ferions face à une quantité presque trop importante de données : des fichiers journaux trop lourds pour que quiconque puisse les analyser, encore moins les associer à d’autres fichiers ou journaux, aux données des rh et à toute autre source dont nous pourrions disposer. La technologie nous permet de trouver les données pertinentes, sans quoi les données sont inutiles. Certains soutiennent même que notre méthode actuelle d’utilisation des données entrave en réalité la sécurité car nous y passons trop de temps pour des résultats trop limités. Dans ce cas, que faire ? •• Tout d’abord, vous devez vous forger une idée réaliste de ce que l’analyse avancée en sécurité basée sur le big data peut ou non offrir à vos mécanismes de détection. Bien que cette promesse soit attrayante, dans la réalité, la situation est sensiblement plus compli- quée car rien ne garantit que des formes soient identifiées, ou que ces
    • 10 Le data scientist sera le prochain superhéros de la sécurité 63 formes résistent à l’avenir. Qu’arriverait-il si, au moment des rapports annuels, toutes les alarmes se mettaient à retentir du fait que tous les types d’utilisateurs accèdent à des données qu’ils n’utilisent pas « nor- malement » ? Pouvez-vous utiliser vos données pour prévenir une attaque, ou, en cas d’attaque, serez-vous en mesure de faire mieux qu’une détection plus rapide ? •• Embauchez et réaffectez les personnes disposant des compétences nécessaires en termes de données : les data scientists, les passionnés d’informatique décisionnelle. Ils doivent avoir des connaissances sur les formes, les statistiques et la corrélation et également savoir com- ment utiliser les outils et les tendances de façon opérationnelle. •• Collectez et corrélez des données provenant de différents systèmes, niveaux et canaux. Par exemple, lorsque le système rh signale qu’un salarié est « susceptible d’être renvoyé ou de démissionner », ces données doivent participer à l’analyse du comportement de cet utilisateur. Les journaux sur les besoins liés au cloud, sur les sites, les besoins mobiles et internes doivent être transparents … « Sécuriser le cloud implique de le redéfinir comme un système sûr de bout en bout. » – Le Manifeste de la Cyber Sécurité Une meilleure vision permet de meilleures décisions. Ce postulat est vrai pour les opérations de sécurité ainsi que pour toutes les autres fonctions commerciales. Si vous fonctionnez actuellement à l’aveugle, que vous travaillez toujours sur des fichiers journaux de grande taille à partir de systèmes indépendants, c’est un peu comme si vous essayiez de gérer une entreprise sans disposer d’éléments aussi essentiels que des statistiques précises sur les ventes ou les stocks. Les innovations pro- mettant une automatisation de ce qui se fait encore aujourd’hui manuel- lement se trouvent au-delà de ce niveau basique. Le big data pourrait constituer une voie d’accès à des systèmes plus intelligents qui seraient pratiquement en mesure de s’autosécuriser.
    • 64 11 Les hackers apprennent plus vite que les organisations qu’ils attaquent Il est temps d’arrêter de répéter sans cesse la même erreur Lorsque les systèmes téléphoniques du passé étaient piratés, cela consistait à utiliser des codes de « commande » dans le « contenu » de l’appel : il était possible d’obtenir des appels gratuits illimités ou de pas- ser un appel aux frais de quelqu’un d’autre en utilisant des tonalités spé- ciales lors de l’appel. La même chose s’est produite lorsque nous avons introduit les bases de données : nous avons associé contenu et codes de commande dans le même « canal », rendant ainsi possible l’injection de codes de commande dans le contenu : l’injection sql. Il semblerait qu’à l’avènement d’une nouvelle technologie, nous devions sans cesse réap- prendre les mêmes leçons sur ce qu’il convient de faire pour sécuriser cette technologie. Les hackers le savent et lorsqu’un nouvel appareil ou une nouvelle application est mis sur le marché, ils essaient rapidement toutes les méthodes ayant fonctionné par le passé sur d’autres appareils ou applications : dépassements de mémoire, perturbation des com- mandes, injections, surcharges … les communautés de « hackers » sont connues pour leur partage rapide des connaissances, ainsi que pour leur formation de jeunes « apprentis » afin d’améliorer leurs compétences. Pour que la défense puisse faire face, il convient d’adopter la même attitude : appliquer diligemment les leçons tirées du passé et collaborer pour apprendre rapidement.
    • 11 Les hackers apprennent plus vite que les organisations qu’ils attaquent 65 « Le cybercrime a fortement évolué ; nous sommes passés d’opérations mal organisées au crime organisé. Les criminels échangent beaucoup d’informations et sont réellement très avancés. De notre côté, nous devons faire de même et partager nos expériences et nos meilleures pratiques. Toutes les données relatives à la menace, aux méthodes de détection de l’incident, aux analyses effectuées et à la gestion de l’évènement ; la communauté doit pouvoir utiliser ces données afin que tout le monde puisse en tirer parti. » – rssi d’un ministère des finances Quelles sont les dernières évolutions ? Avec l’introduction de nouveaux appareils, de nouvelles api, du cloud et de processus métier collaboratifs, les lieux où des attaques peuvent être orchestrées se sont multipliés. Nous pouvons nous attendre à ce que les leçons des « systèmes de piratage » soient également utilisées sur les interactions homme-machine, générant ainsi davantage de vecteurs susceptibles d’influencer les utilisateurs à prendre des mesures compro- mettant votre intégrité. Quel intérêt pour nous ? Chaque année, nous acquérons une plus grande expérience, mais cette expérience n’a d’importance que dans la mesure où nous valorisons réellement les connaissances obtenues. Si nous ne retenons pas les leçons du passé, nos visions les plus récentes sont inutiles. Si nous utilisons la dernière version d’un système de sécurité périmétrique dynamique orienté données, mais que nous oublions de mettre en place une politique sur les mots de passe pour nos utilisateurs, ou encore si
    • 66 cybersécurité : conserver l’avantage dans la partie nous utilisons des données réelles dans des environnements de test, le système de sécurité avancé n’a que peu de valeur. Quelles nouvelles mesures prendre ? Dans le cadre de la lutte contre les attaquants, nous recherchons tou- jours les menaces et contre-mesures les plus récentes. Cherchant à ne pas être distancés par un secteur très dynamique d’innovations techno- logiques, nous regardons exclusivement devant nous. Pourtant, avec le temps, notre liste de « meilleures pratiques » historiques a bien grandi ; il est donc temps de collaborer pour mettre en place des connaissances solides dans notre secteur : « La seule méthode efficace de lutte contre le cyber- crime consiste à mettre en place des équipes inter-en- treprises. Individuellement, chacun dans son coin, il ne se produira jamais rien. » – rssi d’une banque •• Il convient naturellement de connaître et d’appliquer les cadres de normes du secteur qui couvrent la sécurité des informations. Si vous inventez tout vous-même, vous ne réutilisez pas d’informations créées par d’autres personnes. •• Il convient de se renseigner sur le côté conceptuel et abstrait des attaques : quel type de formes est détecté, comment sont-elles appliquées dans les différentes couches et technologies et comment peut-on les contrer. Ensuite, lorsqu’une nouvelle technologie sera introduite (par exemple l’« Internet des Objets »), vous pourrez juger rapidement quelles formes peuvent être appliquées et comment concevoir votre système de façon sûre pour limiter les risques. •• Vous devez devenir le numéro un de la communauté en termes de sécurité : votre approche doit être proactive. Il ne suffit pas de participer, il faut encourager les pratiques de sécurité dans votre secteur, votre chaîne d’approvisionnement, votre pays … Pour que vos
    • 11 Les hackers apprennent plus vite que les organisations qu’ils attaquent 67 propres pratiques de sécurité soient les meilleures du secteur, vous devez chercher à être le numéro un dans le domaine en établissant les normes au lieu de vous contenter de les mettre en œuvre. Les professionnels de la sécurité sont notoirement mauvais en ce qui concerne le partage de l’expérience, par crainte d’offrir à leurs adver- saires un aperçu susceptible d’être utilisé pour une attaque. Mais les avantages liés au partage et à une communauté de la sécurité internatio- nale forte dépassent de loin les risques pour une entreprise individuelle. Imaginez le monde de la sécurité dans son ensemble, collaborant pour élaborer un Internet sûr et fiable, partager les méthodes de détection, identifier les malfaiteurs et concevoir ensemble des solutions. Les « gen- tils » n’ont que cette solution pour garder un avantage durable sur les « méchants ».
    • 68 12 Le cryptage n’est qu’une énième course aux armements Ce qui suffit aujourd’hui ne fera pas le poids demain Le chiffrement rsa a-t-il déjà été « cassé » ? Peut-on toujours utiliser les pki ? Nos jetons « électroniques » protègent-ils vraiment toujours notre réseau ? Nous partons généralement du principe que certaines choses sont « sûres » et « dignes de confiance », mais ces alliés fiables sont à chaque fois cassés dans la lutte pour le maintien de la sécurité. La progression des innovations technologiques est brutale et ne s’arrête pas pour des considérations de sécurité. Les mécanismes de chiffrement que nous utilisons chaque jour sont menacés par l’augmentation de la puissance numérique, le parallélisme et de nouveaux paradigmes infor- matiques. De nombreuses rumeurs soutiennent que certaines organisa- tions ont déjà découvert des méthodes de cryptanalyse des mécanismes utilisés communément en ligne, notamment le chiffrement utilisé pour le protocole https. La cryptographie joue un rôle clé dans tout ce que nous faisons, de la vérification des identités au maintien de la confiden- tialité en passant par l’intégrité des transactions. C’est pourquoi toute menace sur ce composant clé constitue une vulnérabilité intersystème de très grande envergure. « Nous ne prévoyons pas de révolutions technologiques. C’est plutôt rare dans ce domaine. » – rssi d’une entreprise d’électronique
    • 12 Le cryptage n’est qu’une énième course aux armements 69 Quelles sont les dernières évolutions ? Les lois de Moore, qui promettaient que ce qui était autrefois lent allait devenir rapide, étaient déjà inquiétantes. Mais avec l’avènement du cloud, nous sommes passés à la vitesse supérieure. N’importe qui peut lancer des milliers d’ordinateurs en un instant, ce qui facilite plus que jamais les attaques de force brute. Qu’apportera l’informatique quan- tique ? Il existe un buzz important et de nombreuses recherches dans ce domaine et si l’informatique quantique tient vraiment ses promesses, elle réduira instantanément la valeur des mécanismes de chiffrement que nous utilisons jusqu’à présent. Quel intérêt pour nous ? Il est évident que lorsqu’un mécanisme de chiffrement est cassé, il doit être remplacé par un nouveau mécanisme. Mais est-ce aussi simple ? Ces nouveaux mécanismes ont-ils été éprouvés ? Qu’en est-il de vos anciennes données qui étaient cryptées ? Si elles ont été dérobées, elles pourraient à présent être offertes à tous. Quelles nouvelles mesures prendre ? Vos politiques peuvent se fonder sur l’hypothèse « chiffrement = sécu- rité », mais cette dernière doit être nuancée : •• Évaluez de façon anticipée quels fichiers de données auraient pu être volés par le passé (peut-être à votre insu) et pourraient être facilement déchiffrés au vu de la technologie actuelle ou dans un futur proche. Quels seraient les risques organisationnels ? Ils pour- raient être graves, en particulier pour les données à durée de vie étendue : données personnelles, propriété intellectuelle, profils adn, empreintes digitales, communications internes controversées …
    • 70 cybersécurité : conserver l’avantage dans la partie •• Créez un plan d’action de haut niveau pour l’heure où vos méca- nismes devront être mis à jour : quels systèmes doivent être modi- fiés, quelles données doivent être de nouveau chiffrées, quels outils et applications pourraient être affectés par une mauvaise rétrocompatibilité … •• Pour les informations nécessitant une vraie protection à long terme, mais qui peuvent toujours être volées ou divulguées, utilisez les mécanismes de chiffrement les plus forts disponibles à ce jour pour retarder au maximum l’inévitable. « La feuille de route de la défense doit avoir une lon- gueur d’avance sur celle de l’attaque. » – dsi d’un institut de recherche En réalité, la sécurité constitue vraiment un jeu ou une course aux armements. Les calculs mathématiques complexes se compliqueront encore davantage, les outils actuels seront améliorés et complétés par de nouveaux outils plus puissants. La science a pour défi d’inventer la prochaine méthode de chiffrement, plus difficile à casser. Plus vos don- nées sont précieuses et durables, plus il est essentiel d’être à la pointe de l’innovation.
    • 71 13 La révolution du mobile a ouvert la boîte de Pandore Votre vie sera piratée et seule une modification de vos habitudes peut garantir la sécurité De nombreuses évolutions ont eu un impact sur le monde, mais rares sont celles qui ont eu un effet aussi rapide et étendu que l’adoption des smartphones et autres appareils mobiles. Cette explosion d’appareils et l’utilisation qui en est faite ont naturellement des implications en matière de sécurité : ces appareils sont relativement récents et donc très peu testés en termes de sécurité, mais ils sont également petits et légers et nous les transportons dans nos poches et dans nos mallettes, ce qui augmente le risque de perte ou de vol. Les risques spécifiques à ces appareils sont variés : 1. La diversité des appareils mobiles augmente – Nous utilisons aujourd’hui des smartphones (avec leurs nombreux systèmes d’exploitation différents), tablettes, ultra-portables, montres intel- ligentes, sport trackers et nous aurons bientôt des voitures intelli- gentes, des lunettes intelligentes et en réalité le « tout intelligent ». L’Internet des objets approche, et les implications en termes de sécu- rité sont loin d’être claires. Nous pouvons supposer une chose : plus la diversité augmente, moins il devient possible d’élaborer une seule technologie de sécurité couvrant toutes les situations. Le nombre
    • 72 cybersécurité : conserver l’avantage dans la partie d’appareils différents qui cherchent à se connecter à nos réseaux d’entreprise et à nos systèmes augmente chaque jour, comme autant de nouveaux vecteurs d’attaque potentielle. 2. Sécurité limitée – Ces appareils mobiles ont des capacités limi- tées pour une sécurité intégrée efficace et même si c’est le cas, bon nombre d’utilisateurs ne sécurisent pas leurs appareils. Certains utilisateurs « jail-breakent » même leurs appareils et suppriment une partie des mesures de sécurité intégrées au paramétrage initial. Le jail-break en lui-même est un exemple intéressant illustrant com- ment les mesures de contrôle et de sécurité se retournent contre nous : les utilisateurs qui s’estiment trop contraints par les restric- tions imposées par les fabricants des appareils ou les opérateurs suppriment ces contraintes et peuvent ainsi perdre davantage de sécurité qu’ils ne l’imaginent. Dans le même temps, la puissance de ces appareils est devenue phénoménale. Ils peuvent donc être utilisés comme porte d’entrée dans d’autres systèmes, par exemple comme botnet pour procéder à des attaques ou répondre à toute autre appli- cation souhaitée par un attaquant. Il suffit d’une application, d’un lien, d’un document ou même d’un sms compromis. 3. Perte et vol – Les vols de téléphones portables représentent 40 à 50 % des crimes commis dans des villes comme New York, Was- hington ou San Francisco1 . Aux États-Unis, presqu’une personne sur trois a déclaré avoir perdu ou subi un vol de téléphone2 . De nos jours, les smartphones présentent une plus grande valeur et un plus grand potentiel de perturbation que nos portefeuilles. En ajou- tant graduellement des fonctions et en téléchargeant de nouvelles applications, nous avons tout connecté à cet appareil unique. C’est précisément cette association de fonctions qui rend l’appareil indis- pensable aux utilisateurs. La perte de votre portefeuille était déjà un problème, mais perdre votre smartphone pourrait menacer ins- tantanément tous vos biens en ligne et hors ligne : réseaux sociaux, 1 http://www.marketplace.org/topics/business/cell-phone-theft-rise-industry-isnt-helping- much-infographic 2 http://pewinternet.org/Reports/2012/Mobile-Privacy/Main-Findings/Section-3.aspx
    • 13 La révolution du mobile a ouvert la boîte de Pandore 73 finances, communication, photographies, contacts, idées, notes ... Même les secrets de votre entreprise sont menacés. « Ce qui me fait peur ? Les objets connectés dont l’entre- prise deviendra dépendante. Que se passera-t-il si des mouvements extrémistes attaquent ces objets ? » – rssi d’une entreprise mondiale d’hébergement Quel intérêt pour nous ? En somme, la possibilité qu’un individu subisse un vol, un piratage ou une attaque devient très importante, avec des risques personnels et commerciaux graves. Quelles nouvelles mesures prendre ? L’évolution du comportement passe par la prise de conscience de la valeur de vos informations Dans votre vie de tous les jours, vous n’imaginez peut-être pas la valeur ou le potentiel de perturbation qu’un appareil perdu ou compromis pourrait représenter. Nous rechignons devant des mots de passe longs et compliqués, nous détestons le verrouillage automatique de l’écran ou la menace d’une fonction d’effacement à distance, car l’ergonomie de ces appareils nous attire et la plupart de ces mesures ont un impact négatif léger sur l’ergonomie de l’appareil. Pourtant, lorsque vous réalisez dans quelle situation chaotique vous vous trouveriez si quelqu’un venait à prendre volontairement votre téléphone, regarder vos photos, lire vos messages et utiliser vos applications pour accéder à vos boîtes de mes- sagerie, vos réseaux sociaux, votre vpn d’entreprise …, l’utilisation de mesures de sécurité plus strictes devient bien plus acceptable.
    • 74 cybersécurité : conserver l’avantage dans la partie Si vous ressentez au moins le désir fondamental de préserver votre sécurité, de nombreuses choses sont possibles : vous pouvez stocker autant que possible vos informations sur les serveurs et sur le cloud plutôt que sur votre appareil (et ne pas enregistrer vos mots de passe sur votre appareil), utiliser des codes d’identification complexes, activer le verrouillage automatique de l’écran, activer les fonctions de gestion à distance afin de pouvoir effacer ou verrouiller votre téléphone lorsque vous le perdez et naturellement, le plus évident : traiter votre téléphone comme n’importe quel autre ordinateur lorsque vous ouvrez des liens ou téléchargez des applications, des jeux, des économiseurs d’écran … « La sécurité doit être ce que la qualité était il y a 30 ans. Petit à petit, elle est devenue indispensable à tous les salariés. Le jour où nous aurons réussi à faire com- prendre aux utilisateurs que la sécurité fait partie de leurs tâches quotidiennes, nous aurons gagné ! » – rssi d’une entreprise d’électronique En parallèle, la technologie rattrape son retard et devient plus dispo- nible pour aider l’utilisateur à maintenir sa sécurité : des outils émer- gents permettent à votre organisation de scanner systématiquement votre téléphone pour détecter toute menace, vous pouvez utiliser des mesures anti-virus sur votre appareil et il existe des systèmes doubles où les utilisations professionnelle et privée sont parfaitement indépen- dantes … Mais ici aussi, si vous ne souhaitez pas préserver votre sécu- rité, vous êtes beaucoup plus susceptible d’être piraté. Les appareils mobiles ne disparaîtront pas ; ils vont devenir de plus en plus petits et omniprésents. Tout comme les voitures, les avions et les autres inventions, peu de temps après leur adoption massive, le public prendra réellement conscience des risques et du comportement néces- saire pour préserver sa sécurité tout en utilisant de nouvelles techno- logies. Les ceintures de sécurité dans les voitures et les briefings de sécurité dans les avions sont aujourd’hui des choses communes. Pour les mobiles, il est temps de commencer.
    • 75 14 Tous les regards se portent sur la sécurité Utiliser la convergence des évolutions technologiques pour faire progresser la sécurité L’intérêt et la compréhension des menaces et des défis liés à la sécu- rité sont plus importants que jamais. Le grand public et les dirigeants des organisations publiques et privées s’intéressent à ce problème et recherchent des réponses. Depuis des années, les professionnels de la sécurité se battent pour obtenir un budget, pour être impliqués dans la conception initiale des produits et des services et pour aider les dirigeants sans expertise tech- nique approfondie à comprendre l’impact et la nécessité des projets et programmes de sécurité. Cependant, ces dernières années, bon nombre des menaces théoriques sur ce qui « pourrait » advenir sont devenues des violations et des incidents réels. Les coûts sont en augmentation. De nombreuses grandes entreprises connues du monde entier ont déjà subi des dommages. L’opportunité de sensibiliser au défi que représente la sécurité sera toujours là, mais aujourd’hui, le monde s’intéresse à ce qui est fait pour repousser la vague incessante de divulgations, de vols d’identité, de fraudes, d’espionnages et de cyberattaques. Les professionnels de la sécurité auraient préféré atteindre ce niveau d’intérêt et de compréhension sans les incidents qui ont fait la une de
    • 76 cybersécurité : conserver l’avantage dans la partie ces dernières années, mais il est difficile de nier que l’heure est venue. L’opportunité d’influencer le changement est bien là. Le monde découvre une informatique de nouvelle génération basée sur le cloud, les technologies mobiles et l’explosion de la quantité de don- nées voyageant entre ces systèmes. Les organisations entreprennent de préparer leur infrastructure et leurs effectifs pour le cloud et le mobile, et les équipes de sécurité ont une excellente opportunité d’accepter le changement et de jouer un rôle clé dans ces transformations. Lorsqu’on parle de réseau, d’application web ou même d’Internet, on entend souvent « ils ont été conçus sans penser à la sécurité ». On a passé des décennies à greffer la sécurité après la conception, mais la réalité de la conception initiale reste inévitable. Aujourd’hui, le principal défi et la principale opportunité consistent à éviter de répéter les erreurs du passé. Des technologies transformatives critiques sont en cours de conception et d’élaboration. Elles auront un impact durable sur le monde et elles atteignent leur maturité à l’heure où l’intérêt pour la sécurité n’a jamais été plus fort. Il est temps pour les dirigeants de demander à leurs équipes de sécurité d’accompagner la transformation de l’entreprise et aux équipes de sécu- rité de répondre à cette opportunité qu’elles attendent depuis les trente dernières années. Aujourd’hui, tous les regards se portent sur la sécurité.
    • 77 À propos des auteurs Erik van Ommeren Directeur de l’Innovation chez vint Research, Sogeti www.linkedin.com/in/erikvanommeren Martin Borrett Directeur de l’Institut ibm pour la Sécurité Avancée en Europe www.linkedin.com/pub/martin-borrett/0/633/660 Marinus Kuivenhoven Spécialiste de Sécurité, Sogeti Netherlands www.linkedin.com/in/marinuskuivenhoven
    • 78 Index A atténuation au niveau de l'entreprise 34 B big data 14, 60-62 Bring-Your-Own-Device (byod) 13, 29-31, 33 C Choose-Your-Own-Device (cyod) 30, 33 communication de bout-en-bout, sécurisation ~ 24 confidentialité 20, 22, 38 cryptage 68 cybersécurité 13, 15, 24 impact ~ 23 liste des attentes 24 D data scientist 60 H hacker 64 hacktiviste 21 I impact de la cybersécurité 23 interaction par défaut 43 M menace persistante avancée (apt) 21, 53, 57-58
    • Index 79 P perte et vol 72 Q qualité 38 R reconnaissance des formes 60 responsable de la sécurité 25 révolution du mobile 71 S sécurisation de la communication de bout en bout 24 sécurité 22, 34, 38, 43, 48, 75 au premier plan de la ~ 20 responsable de la ~ 25 ~ limitée 72 sécurité par conception 17, 38-39, 41-42 V variation des appareils mobiles 71
    • À propos de Sogeti Sogeti est l’un des leaders de la prestation de services technologiques professionnels, spécialisé dans la cybersécurité, la gestion d’applicatifs, la gestion des infrastructures, l’ingénierie high-tech et le testing. En collaboration étroite avec ses clients, Sogeti leur permet de tirer parti des innovations technologiques et d’atteindre des résultats optimaux. Dans le domaine de la sécurité, Sogeti propose des services d’évaluation, d’amélioration et de surveillance de la sécurité, à la fois dans la technologie, et dans les politiques et l’organisation. Sogeti est un des principaux partenaires commerciaux d’ibm qui réunit plus de 20000 professionnels dans 15 pays. Ils sont présents sur plus de 100 implantations locales en Europe, aux États-Unis et en Inde. Plus d’informations sur www.sogeti.com. À propos d’ibm Security Le portefeuille d’ibm Security offre les informations nécessaires en termes de sécurité pour aider les organisations à préserver leur personnel, leurs données, leurs applications et leurs infrastructures de façon globale. ibm propose des solutions de gestion des identités et des accès, de gestion des informations et évènements de sécurité, de sécurité des bases de données, de développement d’applications, de gestion des risques, de gestion des terminaux, de protection contre les intrusions de prochaines générations… ibm est l’une des principales organisations de recherche et de développement et de fourniture de sécurité du monde. Elle intègre 10 centres d’opérations de sécurité, neuf Centres de recherche ibm, 11 laboratoires de développement de sécurité logicielle et un Institut de Sécurité Avancée avec des bases aux États-Unis, en Europe et en Asie-Pacifique. ibm suit 15 milliards d’évènements de sécurité par jour dans plus de 130 pays et détient plus de 3000 brevets de sécurité. vint | Vision • Inspiration • Navigation • Trends http://vint.sogeti.com ISBN 978-90-75414-81-3sogeti ibm security