17 Juil. 18 Presse
Cybersécurité :
sur le SI comme sur la route, tous responsables !
Alors qu’une entreprise sur deux a déjà été victime d’une cyberattaque (1), que WannaCry a fait plus de 200 000 victimes au printemps dernier (2), et que les cyberattaques coutent chaque année 450 milliards de dollars aux entreprises (3), la cybersécurité est aujourd’hui sur toutes les lèvres.
Entre prise de conscience et manque de maturité, nous sommes aujourd’hui, face à ce fléau de notre ère numérique, dans une double urgence, comparable à celle de la route dans les années 1970, à savoir : sécuriser les machines et sensibiliser les usagers.
Un accident n’arrive jamais par accident
Comme l’évoquait cette campagne de sensibilisation de la sécurité routière il y a une dizaine d’années, « un accident n’est pas une fatalité, mais un enchaînement de circonstances et de décisions dont l’issue est prévisible » (4).
Il en va de même pour la sécurité informatique, à ceci près, fort heureusement, que les cyber-attaques sont, jusqu’ici, rarement mortelles. Mais les conséquences d’une « infraction apparemment anodine » peuvent également être tragiques. Les spécialistes ont par exemple souligné que pour la fameuse attaque WannaCry de mai 2017, les entreprises et particuliers touchés n’étaient pas à jour d’au moins trois mois dans leurs systèmes Windows.
Il n’est pas rare non plus que nous nous rendions compte, lors de l’audit qui suit une attaque ciblée, que le Système d’Information de l’entreprise était infiltré, comme sous surveillance malveillante, depuis des années. C’est d’ailleurs souvent ce qui se passe pour les « arnaques au Président », mode d’attaque très en vogue depuis plusieurs années, qui consiste en une usurpation d’identité du dirigeant, doublée d’une attaque informatique.
Les protections permettent d’éviter 80% des incidents
Face au danger, les réflexes sont souvent les mêmes : la machine n’a pas permis d’éviter l’accident, donc je sécurise la machine. C’est ainsi que, là où les équipementiers automobiles ont renforcé les habitacles et installé des ceintures, les experts informatiques, eux, développent des firewalls et multiplient les anti-virus.
Ces solutions, toujours plus sophistiquées (de l’ABS à la conduite prédictive en voiture, du Sandbox au machine learning en informatique), sont chaque fois vendues comme parfaitement fiables, impénétrables. Et cette approche fonctionne plutôt bien pour limiter l’impact, voire éviter complètement, les 80% de menaces frontales : la collision entre deux véhicules, l’attaque par un phishing de masse.
A deux conditions toutefois : que les installations soient correctement effectuées (le garage agréé plutôt que le bricolage maison), et que les maintenances et mises à jour soient régulières (audits du Système d’Information et contrôles techniques). Car la sécurité doit toujours être un processus continu plutôt qu’un objectif.
Et rien ne sert, comme ce grand groupe récemment croisé, d’investir des centaines de milliers d’euros dans une « usine à gaz », pour changer toute son architecture SI après une attaque, si un audit montre, à peine deux ans plus tard, que le niveau de sécurité de l’entreprise est in fine plus faible qu’avant.
Pour les 20% restant, c’est bien l’erreur humaine qui est à l’origine de la menace
Si l’usager était infaillible, nous n’aurions besoin ni d’airbag, ni d’anti-virus. Mais puisque la sécurité repose sur l’utilisateur, il nous incombe à nous, professionnels de la sécurité, de lui faciliter la tâche, par des outils simples et pragmatiques, et par un accompagnement en formation tout au long de la vie.
Or sur ce sujet, il y a encore du travail. Car sur la route, on passe le code avant de toucher un volant, et on doit être détenteur du permis de conduire avant de s’engager à 130 sur l’autoroute.
C’est ainsi, par l’apprentissage et le respect collectif de règles communes, que nous limitons le risque. Mais pour l’informatique, les initiatives pédagogiques sont encore timides.
Il y a bien le B2i – brevet informatique et internet – qui valide l’intégration par les lycéens des compétences essentielles pour évoluer dans notre monde numérique, et son grand frère, le B2i adulte, attestation qui certifie « la maîtrise de la compétence numérique ainsi que l’usage sûr et critique des technologies de la société de l’information » (5).
Mais pour la majorité des usagers, en entreprise notamment, l’accompagnement se limite à une liste de droits (d’administrateur) et de sites interdits, voire à une charte informatique, sorte de code de la route du SI, qui est bien souvent déconnectée des usages réels et rapidement obsolète, compte tenu de la rapidité d’évolutions des technologies et des pratiques. Alors, à quand un véritable permis informatique pour garantir les bonnes pratiques de l’ensemble des usagers du SI ?
L'avenir de la cybersécurité
Il aura fallu plus de 40 ans à la sécurité routière, et un grand nombre de campagnes nationales, pour sensibiliser les usagers de la route aux dangers de certaines pratiques, et pour diviser par quatre le nombre de tués, alors même que le trafic routier a plus que doublé.
Il est donc plus que souhaitable que la sensibilisation à la cybersécurité, à toute âge et dans toute activité professionnelle, soit plus rapide, car avec le développement exponentiel du numérique, et l’arrivée imminente de nouveaux usages liés notamment à l’IoT et à l’Intelligence Artificielle, il est fort à parier que les menaces informatiques vont se multiplier, et que leur maitrise va revêtir en enjeu de plus en plus stratégique.
(1) : chiffres AON 2017
(2) : agence Europol 2017
(3) : étude Lloyd’s 2016
(5) : http://www.education.gouv.fr/cid2553/le-brevet-informatique-et-internet-b2i.html