Où s’arrête la cybersécurité ?
La « cybersécurité », puisqu’il faut l’appeler ainsi désormais, afin de « faire rêver » les décideurs, même si dans le fond nous savons tous qu’il s’agit bien de sécurité numérique ou de SSI, comme l’a souligné Guillaume POUPARD lors des dernières Assises de la sécurité, est un sujet extrêmement vaste ! Si bien qu’on se demande où elle s’arrête, et parfois même, où elle commence…
Entre « rockstars » et travailleurs de l’ombre…
Si l’année 2021 a été très axée sur le « retour aux fondamentaux », il faut bien l’avouer, segmenter ses réseaux, patcher ses systèmes, tester ses sauvegardes, durcir ses configurations et ses politiques de mots de passe, ça ne fait rêver personne. Si l’on commence à parler de solutions « zero trust » et « RGPD compliant », forcément ça fait un peu plus rêver, pour peu que nous soyons face à un « pure player » de la « cyber », issu de la génération « digital native » qui fait de l’« IA » sur la « blockchain », on risque forcément de passer un bon moment.
Nous voulons, sans même nous poser la question de savoir le nombre d’heures de travail que cela nécessite, voir des chercheurs qui trouvent des vulnérabilités de dingue, qui font des démonstrations éblouissantes en ouvrant en quelques secondes un shell avec des droits « system » sur un serveur Exchange, le tout en passant via l’interface Web OWA et sans même avoir à demander aux pauvres utilisateurs sur qui nous tapons régulièrement, leurs mots de passe… Nous voulons voir des vulnérabilités qui permettent de compromettre des machines non exposées sur Internet en leur faisant simplement glisser indirectement par tous les moyens détournés possibles, un petit chemin JNDI dans les logs traités par une version vulnérable de la bibliothèque Log4J.
Nous voulons des « bidules » qui clignotent à chaque fois qu’un attaquant se déplace sur le réseau ou élève ses privilèges sur un système, sans avoir de faux positifs évidemment, et surtout sans avoir à passer trop de temps pour les configurer, les adapter à nos contextes, mais aussi sans avoir besoin de trop personnel pour les administrer et les superviser.
Nous voulons, avant même qu’ils n’aient eu l’idée de s’attaquer à nous, des boucliers magiques qui empêcheront les attaquants de rentrer dans nos systèmes ouverts, de se balader dans nos réseaux non cloisonnés, d’exploiter les vulnérabilités de nos systèmes non patchés, d’exfiltrer et chiffrer les données que nous n’avons pas protégées.
Nous voulons du vert dans nos analyses de risques et de jolies PSSI, que parfois même le consultant qui l’a rédigée ou copiée / collée n’a pas relue (véridique).
Les médias « grand public » veulent du sang, des larmes et des « cyber attaques » dans les hôpitaux, et les Directeurs ne veulent surtout pas en entendre parler car, ils ont bien d’autres choses à gérer depuis deux ans avec la crise sanitaire.
Loin de moi l’idée de dire qu’il ne faut pas avoir recours à des solutions de sécurité, mais il faut être honnête, ces solutions viennent dans la plupart des cas pallier notre manque d’hygiène numérique. Malheureusement, lorsque l’on ne maintient pas correctement son système d’information, par manque de temps, de ressources, de moyens... généralement, on ne maintient pas correctement non plus ses solutions de sécurité. Qui dit plus de solutions non maintenues, dit également plus de vulnérabilités et une surface d’attaque plus importante. C’est là que les solutions de sécurité se transforment parfois en porte d’entrée dans les SI ou en tremplin pour l’élévation de privilèges.
Finalement, même l’installation de solutions de sécurité peut présenter des risques, mais qui réalise aujourd’hui des analyses de risques sur le déploiement de solutions vouées à les limiter ?
Et si vous aviez en tête que vous pourriez vous dispenser de travailler sur le sujet de la sécurité en souscrivant une police d’assurance cyber, je crains que là encore, ce soit perdu d’avance.
Où placer la limite ?
Par définition, dès lors qu’il y a atteinte à l’intégrité, la disponibilité ou la confidentialité des données, nous sommes face à un problème de sécurité numérique.
Si l’incident n’est pas lié à un acte malveillant peut-on toujours parler de « cybersécurité » ? Un risque « cyber » doit-il systématiquement résulter d’une action susceptible d’être opérée par un « hacker russe » étatique et non éthique qui parle chinois ou un « hacker chinois » qui parle russe… ? Bref, je ne sais plus, pas toujours facile de les reconnaître dans l’ombre avec le masque de V pour Vandetta et la capuche…
Pour prendre un exemple récent, lors du passage à la nouvelle année, un « bug » dans le moteur d'analyse "anti-spam / anti-virus" (FIP-FS) d’Exchange a bloqué tous les courriels entrants à partir du premier janvier sur les serveurs de messagerie Microsoft. Même s’il y a bien atteinte à la disponibilité des données et un risque d’autant plus important dans les établissements de santé susceptible de rater des alertes sanitaires en cette période difficile ou des messages MSSanté contenant des informations vitales, de nombreux experts vous diront qu’il ne s’agit pas d’un problème de sécurité numérique. Si quelqu’un a une autre définition du problème, je suis preneur, car là j’ai l’impression que la différence est aussi subtile que celle entre le bon et le mauvais chasseur des Inconnus. J’entends parfaitement qu’on puisse difficilement comparer ce bug à une vulnérabilité disposant d’une CVE, mais doit-on en faire abstraction en se disant qu’il revient aux administrateurs systèmes d’aller chercher pourquoi plus aucun message n’arrive alors que l’on a l’info ?
Et si en 2022, la cybersécurité, c’était aussi du bon sens, du pragmatisme et de la bienveillance !
Très belle et heureuse (cyber) année !