L’espionnage des communications est une pratique millénaire. Qui n’a pas en tête l’exemple du Cheval de Troie Informatique, souvent utilisé par les services de renseignement, inventé en 1970 par un chercheur de la NSA, dont le nom est tiré du subterfuge d’Ulysse lors de la prise de Troie en 1184 av. J.-C ? En France, au XVIIe siècle, l’ouverture des Postes Royales s’est rapidement accompagnée de la création du « cabinet secret des postes », chargé de rapporter le contenu des courriers au roi. Si la donnée était déjà une denrée précieuse à l’époque, on imagine sans mal la valeur qu’elle peut revêtir aujourd’hui, à l’heure où le numérique régit nos sociétés. Des programmes de surveillance comme PRISM, ECHELON ou encore le non officiel « Frenchelon », pour n’en citer que quelques-uns, nous rappellent que les regards indiscrets sur nos « datas » peuvent venir de bien des directions, que la cybermenace n’est pas séparée entre « white hats » et « black hats » et que l’intelligence économique est parfois une zone grise.
Et les écoutes ne sont pas qu’une affaire d’interception des radios fréquences, loin de là. Dans un monde où l’entreprise n’a plus de frontières, où les données, les systèmes sont hyper-distribués, la quasi-totalité des communications mondiales transitent par des câbles sous-marins. On en dénombre environ 430 et ces lignes de fibre optique qui parcourent la planète, constituent des infrastructures absolument essentielles, particulièrement intéressantes à écouter pour quiconque cherche à recueillir des informations sensibles. Par ailleurs la capacité d’analyse de données étant démultipliée grâce à l’IA, un nouvel usage stratégique du droit, de la compliance, s’établit pour pénétrer au cœur des décisions stratégiques entreprises.
La protection et la garantie de fiabilité des données sont des enjeux globaux pas seulement économique ou numérique. La protection des données est donc logiquement un exercice tout aussi ancien que l’espionnage. Jules César lui-même utilisait le chiffrement par substitution pour préserver la confidentialité de ses correspondances. Aujourd’hui la course à la suprématie quantique est une nouvelle épée de Damoclès sur nos données. En mars dernier, l’ANSSI recommandait de se prémunir par anticipation contre cette menace et de prévoir rapidement une migration vers une cryptographie post-quantique.
Sécurité périmétrique : la ligne Maginot du numérique
Il est possible dorénavant, tout en restant à des milliers de kilomètres de sa cible, de lancer une cyberattaque destructrice capable de mettre à l’arrêt des entreprises ou des pans entiers d’une économie. Pourquoi ? Car nos données qui n’ont jamais été aussi précieuses n’ont jamais été aussi dispersées. Multicloud, mobilité, objets connectés, edge computing, la donnée n’a de cesse d’aller et venir entre le système d’information de l’entreprise et l’extérieur. Il n’existe pas de recette universelle et prête à l’emploi pour se protéger. Mais il existe des bonnes pratiques à mettre en œuvre. Tout comme l’ont été les fortifications de la ligne Maginot, la protection périmétrique est une stratégie robuste mais qui finira par céder, ne pouvant empêcher une intrusion dans notre environnement digital étendu. La sécurité doit être portée à tous les niveaux du service informatique grâce par exemple au micro-firewalling. Elle doit être supervisée et pilotée notamment grâce à l’usage d’un SOC.
- Attention aux données partagées
Il est important en premier lieu de créer une culture de la cybersécurité au sein de l’entreprise. Communication, sensibilisation et formation sont des piliers de toute stratégie de défense afin de s’assurer que les collaborateurs de l’entreprise ont connaissance des risques et appliquent les bons gestes d’hygiène numérique. Mettre en avant ses compétences et partager son expertise en ligne par exemple, est une démarche tant enrichissante que valorisante. Mais présenter en détail sur son blog ou sur son profil LinkedIn les technologies que l’on a mises en place au sein de son organisation peut donner des indications à un pirate sur de potentielles failles à exploiter. Attention également au phishing de plus en plus performant grâce aux IA auxquelles il s’adosse. Les informations personnelles affichées sur les réseaux peuvent être utilisées pour construire un faux mail personnalisée incitant à cliquer sur un lien ou à ouvrir une pièce jointe infectée. Dans le même ordre d’idée, l’IoT est la corne d’abondance des hackers. Suivre des indicateurs de performances avec une montre connectée peut être intéressant pour les sportifs… mais il faut bien veiller à ne pas utiliser ses objets connectés de partout pour ne pas révéler des informations sensibles.
- Attention aux appareils déplacés
Au niveau du terminal, il est nécessaire de renforcer l’authentification, en utilisant à la fois un mot de passe fort et un deuxième identifiant, comme une clé USB ou un capteur biométrique. Le chiffrement des données fait également partie des mesures indispensables, tout comme le filtre de protection apposé, ou encore mieux, nativement intégré, sur l’écran afin d’éviter les regards en coin sur vos documents. Le « géo-tracking » des équipements de l’entreprise est un bon moyen de lutte contre le vol aussi bien de matériel que des données qu’il contient. Une autre option qui peut être pertinente pour ceux qui doivent travailler sur des projets sensibles : utiliser un PC secondaire, spécifiquement prévu pour se déplacer à l’extérieur, et embarquant uniquement le minimum d’informations nécessaires pour se rendre à son rendez-vous. Cela peut limiter l’impact d’un vol, d’une perte, ou même d’une inspection ou d’une saisie par la douane ! Tous les pays n’ont pas les mêmes réglementations en matière de protection de la vie privée et il peut arriver que le disque dur d’un appareil soit copié à l’entrée sur un territoire étranger.
- Attention aux applications développées
L’ubérisation de nos sociétés a placé le code informatique et les applications au centre de nos économies. Le besoin de lancer toujours plus rapidement de nouveaux services numériques sur le marché pousse les organisations à accélérer drastiquement leurs cycles de développement. Au prix parfois de quelques compromis sur la sécurité. Selon une étude de US CERT, 90 % des failles de sécurité viendraient aujourd’hui de la conception des logiciels. Au niveau de la méthodologie, les entreprises doivent passer du DevOps au DevSecOps, pour rendre les applications sûres « by design ». Ensuite, elles doivent reprendre le contrôle de leurs API. Ces interfaces qui permettent à différentes applications de partager des données sont omniprésentes aujourd’hui dans développements applicatifs. Il faut absolument en conserver la maîtrise et veiller notamment à désactiver les accès de ces API lorsqu’ils ne sont plus nécessaires.
- Attention aux données sauvegardées
Que se passe-t-il si un hacker entre dans le SI ? L’étude Dell Technologies Global Data Protection Index montre que 65% des décideurs informatiques ne sont pas convaincus que leurs données/systèmes peuvent être restaurés en cas de sinistre. En effet jusqu’à présent, la sauvegarde était suffisante pour redémarrer à partir d’une copie saine. Mais dorénavant, les pirates vont cibler directement l’infrastructure de back-up, laisser leur malware en sommeil jusqu’à ce qu’il soit lui-même sauvegardé ou encore laisser dans l’architecture une Backdoor, une porte dérobée quelque part dans le système restauré, pour pouvoir revenir ultérieurement. Les solutions se trouvent encore une fois dans notre architecture militaire du passé. Retournons au XVIIe siècle dans les travaux de l’ingénieur Vauban sur le bastion et la contre-garde. On y trouve deux solutions de protection de la donnée. La première est de créer un bastion, via une appliance de sauvegarde déconnectée du réseau, protégée par des serveurs « data-diode », dotée d’un mécanisme d’immuabilité des données et de sécurisation de son administration. La deuxième, pour éviter d’importer un malware, est d’ajouter une intelligence artificielle chargée de surveiller les flux et de détecter tout comportement anormal afin de sanctuariser la donnée vitale d’une organisation.
- Attention aux personnes et aux équipements que vous laissez entrer
Le pirate peut être plus proche que vous ne le pensez et le vol de données se faire sans effraction. Un « insider » peut se dissimuler au sein des équipes IT et avoir un accès direct aux infrastructures. C’est pourquoi les droits d’administration doivent être attribués avec précision. Il ne peut pas y avoir de confiance par défaut dans un centre de données. Chaque intervenant doit être dûment authentifié et chaque action doit être monitorée et historisée. Autre point important : les livraisons de matériel doivent également être protégées. La vérification cryptographique des composants permet de garantir qu’aucune modification n’ait été effectuée pendant le transport.
Ι Pour aller plus loin
Pour tenter de combler toutes les failles, les entreprises utilisent aujourd’hui plusieurs dizaines d’outils de sécurité, transformant leur stratégie de protection en un puzzle trop complexe à administrer qui devient lui-même une source potentielle de faille ! Plus qu’un nouvel outil, c’est donc une nouvelle approche qui est nécessaire. La sécurité doit désormais être intrinsèque, c’est-à-dire intégrée et automatisée dans les applications, les terminaux, l’infrastructure et jusqu’au cloud. Pour plus de précisions, rendez-vous sur notre site dédié à la sécurité intrinsèque.
