Sécurité des Systèmes d’Information (vol.1)

La sécurisation des systèmes d’information est devenue, avec l’ouverture et l’interconnexion de ces systèmes, un sujet tellement vaste qu’il fera probablement l’objet de plusieurs billets dans ce blog.

Qu’il s’agisse d’une grosse entreprise ou d’une petite structure, qu’elle soit publique ou privée, on a tous constaté la multiplication, dans les faits divers, d’organisations prises en otage par des ransomware.

Ce n’est qu’un exemple d’acte malveillant parmi tant d’autres et on pourrait également citer l'espionnage industriel ou encore le vol de données ou d’argent.

Mais le préjudice ne s’arrête pas là : un acte de piraterie subi par une entité a des répercutions très négatives sur l’image de la victime, la confiance qu’elle inspire et finalement sur ses revenus.

Pour conclure cette introduction et aller plus loin dans la réflexion, il faut bien prendre conscience qu’il s’agit de trouver des palliatifs au problème insoluble de la perpétuelle course à l’armement que constitue la lutte contre les différentes formes de piraterie.

Mais par où commencer ?

Les mécanismes et technologies développés depuis des décennies pour lutter contre la piraterie étant devenus relativemment efficaces et maîtrisés, les pirates se sont naturellement tournés vers l’une des failles les plus difficiles à “contrôler”: le facteur humain.

Peu importe le nombre de dispositifs de protection mis en place, si le pirate arrive à “manipuler” un individu à l’intérieur de l’entreprise ou si le pirate y est lui-même (en tant qu’employé ou prestataire), il les contourne tous.

Ceci explique la recrudescence des mails d'hameçonnage (phishing), d'usurpation d’identité (spoofing) ou de mise en relation sur les réseaux sociaux.

Les principales conséquences de ces attaques par l’individu est qu’il ne faut pas négliger les mécanismes de protection en interne et prêter attention à la robustesse des processus de gestion du personnel tout comme à la qualité du contrôle de leur application. Cela commencera par une gestion stricte de la désactivation des comptes et la définition de rôles utilisateurs suivant le principe du least privilege.

A minima sensibiliser, ou mieux, former les employés à reconnaître ces techniques pour leur éviter de tomber dans ces pièges va de paire avec le maintien d’un niveau constant d'information des employés sur l’émergence de nouvelles techniques.

Conscient des effets dévastateurs pour les entreprises, mais également parce que ses systèmes doivent s’ouvrir et représentent des cibles de choix, le gouvernement oeuvre contre la Cyber Malveillance et propose des solutions pour aider les entreprises à se protéger (https://www.cybermalveillance.gouv.fr/) avec notamment la mise en place d’un label Cyber Expert.

Mais le risque zéro n’existe pas et, même avec l’aide de tous les experts du monde, il peut suffire d’un grain de sable pour percer la carapace de protection mise en place. Sachant cela, on doit normalement comprendre l’importance à donner aux actions à mener vis-à-vis des employés.

Dit autrement, partir du principe que vos systèmes seront un jour “percés” et que vos données seront divulguées est un bon point de départ à la réflexion sur la sécurisation. Et ce principe doit conduire à :

  1. Catégoriser les données par sensibilité,
  2. Appliquer la sensibilité la plus élevée des données aux systèmes qui les manipulent,
  3. Définir les populations d’employés par niveau d’accréditation,
  4. Définir le niveau de protection souhaité des systèmes selon la sensibilité dont ils ont hérité,
  5. Surveiller les accès aux systèmes les plus sensibles et définir les règles de déclenchement d’alertes.

Toutes ces actions peuvent sembler simples mais en réalité elles peuvent conduire a un vrai casse-tête ou à une sur-catégorisation avec pour résultat des systèmes sur-protégés et des processus ultra-contraignants pour les personnes qui vont les opérer.

Il convient donc d’aborder systématiquement ces points sous l’angle du risque encouru. C’est en effet la gestion du risque, qui combine le niveau d’un risque et ses impacts s’il se réalise, qui doit déterminer où porter les efforts de sécurisation.

Enfin le coût de l’effort de sécurisation doit être mis en regard du coût évalué des impacts comme nous l’évoquerons dans un billet à venir sur le FinOps.

To be continued...