En espace de trois mois en France nous avons eu à la fois la loi sur les grandes oreilles du gouvernement et la loi sur les organismes d’Importance Vitale (OIV).
De façon générale et en dehors du contexte français, la généralisation de l’Internet des objets (IoT) amène des préoccupations de cyber sécurité de façon prégnante dans des secteurs qui pouvaient jusqu’à présent se sentir moins concernés. En effet, qu’est-ce qu’un objet connecté si ce n’est du hardware plus du software et une connexion à Internet : donc bienvenue dans le monde de l’antivirus et des contre-mesures, bienvenue dans le monde de la Cyber-Sécurité.
En effet, une fois que quelqu’un a mis un objet connecté sur le marché, sa hantise est de recevoir une menace d’un hacker lui posant un ultimatum de rançon après avoir découvert une faille.
Activité de ce trimestre:
Comme tous les TT, lors de ce premier trimestre nous avons défini notre prisme de lecture et notre langage commun. Ensuite nous explorerons les nouvelles théories et nouveaux modèles d’un côté et nous analyserons les REX rapportés par la presse et nos contacts. Ainsi nous aurons « un peu la tête dans les étoiles mais bien les pieds sur terre ».
Pour comprendre le risque, nous avons repris cette segmentation des types d’attaques rencontrés qui est assez robuste et ensuite nous pourrons au cours du trimestre suivre les événements dans la presse et les positionner sur cette matrice.
Nous avons défini aussi les 10 principes pour manager votre cyber sécurité et l’expliquer à la direction générale :
-
L’espionnage est vieux comme le monde, et donc il faut à la fois éviter la psychose et surtout rester humble dans ses prétentions. En effet, les directions générales ont maintenant compris qu’il n’existe pas de citadelle digitale imprenable. Il faut rester humble et essayer de boxer dans sa catégorie. Il y a un adage assez répandu qui dit « Soit tu joues en première ligue … soit tu ne te vantes pas ! ». Pour 99% d’entre nous, on reste prudent et modeste dans son coin. Seuls les champions du digital, les GAFA, prétendent être les meilleurs dans leur catégorie et sont prêts à se faire challenger par des hackers qui pourraient leur montrer leurs failles.
Ils ont tous, en effet, adhéré à une nouvelle organisation « hackerone » qui promet aux hackers ayant trouvé des failles parmi ses 122 membres des récompenses pouvant aller jusqu’à plusieurs millions de dollars. On organise en quelque sorte la profession avec des exercices de guerre blanche. « Trouver une faille dans mon système et je vous paye »… et ceci pas uniquement lors d’un test, mais en continu.
Les acteurs n’étant pas des joueurs de la première ligue mais ayant des enjeux grandissants, pourront avoir recours aux services d’un acteur de milieu de tableau de la première ligue (typiquement Israélien). Ils auront un délai de réaction légèrement moins bon, que les champions du GAFA, mais acceptable pour la menace.
-
Avec les nouveaux objets connectés, vous créez des nouvelles vulnérabilités à colmater immédiatement.
-
Votre cyber espace est un territoire à défendre. Il faut vraiment le prendre comme tel et savoir où mettre les défenses en fonction de la vulnérabilité.
-
Donc il faut bien partir d’une analyse de risques pour décider du montant des efforts à allouer.
-
Il ne faut pas avoir d’un côté des préoccupations d’ergonomie et d’usage, et de l’autre côté un gardien de la sécurité, chacun se retranchant derrière ses prérogatives. Il faut constamment trouver le meilleur compromis entre ergonomie et sécurité … et éventuellement faire arbitrer avec l’analyse des risques où l’on doit mettre le curseur.
-
Vous vous embarquez dans une nouvelle aventure et ce n’est pas un colmatage occasionnel qu’il faut faire ; vous devez donc mettre en place un processus qui devient stratégique, qui peut nécessiter un responsable au niveau COMEX, il faut mais un Chief Information and Sécurité Officer (CISO).
-
Tout ceci va certainement vous amener à repenser votre organisation pour mieux vous protéger avec une bonne partie des fonctions que vous allez externaliser auprès de prestataires plus experts que vous. Mais étant donné le caractère stratégique de la problématique, vous devez au minimum garder chez vous les compétences pour auditer de façon régulière ce que vous avez mis en place.
-
Enfin vous savez pertinemment que ce sont vos employés qui vont créer des vulnérabilités en laissant des traces digitales un peu partout et en quelque sorte créer un « shadow IT » que vous ne contrôlez pas. Soyez réaliste et exigez de ré-internaliser que ce qui est fortement critique.
-
On vous rappelle que cette politique doit se décliner à quatre niveaux qui sont les infrastructures et les normes, les process internes, les données et la formation des acteurs de l’entreprise.
-
Pour finir, il paraît important en amont de vous lancer dans un exercice de classification de vos informations internes en essayant de mettre un maximum d’informations dans une catégorie « tout public » est un minimum autour de 5 % dans une catégorie « confidentiel ». Le mieux pour cette dernière catégorie est de ne pas le mettre dans l’informatique mais ce n’est pas toujours possible.
Louis Bonjean, Animateur du TT Cybersécurité InnoCherche