La fin de la cybersécurité ? Partie I

En dehors des deux derniers, qui traitent pour l’un du hack back (la riposte en cas d’attaque) et pour l’autre des dernières tendances en matière de cybersécurité, le plus intéressant est le premier article dans lequel l’auteur développe l’idée suivante : malgré les millions dépensés par les grosses entités, publiques ou privées, afin d’assurer la sécurité de leur SI, non seulement les attaques sont en hausse quelle que soit la métrique retenue (nationale, mondiale, sectorielle, etc.), mais en plus il faut avoir le courage de dire que si une entreprise devient la cible d’un groupe d’individus motivés, avec du temps devant eux et pas forcément beaucoup de moyens (c’est ce qui fiche le plus la trouille), ce n’est qu’une question de semaines, au pire de mois, avant de se faire poutrer dans les grandes largeurs. Jusque-là, je suis d’accord à 99 % au moins. 

Mais c’est la seconde idée qui est la plus troublante : l’auteur conclut que la seule façon d’assurer la survie de la boutique, c’est tout simplement de déconnecter les systèmes au cœur de l’activité, non seulement d’Internet, mais du reste du réseau interne de l’établissement. En d’autres termes, un PC, même sous la version la plus pourrie de Windows (on n’a que l’embarras du choix) et même jamais patché (soyons fous fous fous), s’il n’est connecté à rien et si jamais personne ne lui enfiche une clé USB, il ne sera jamais infecté, troyé, phishé, cryptolocké et que sais-je. Alors là, c’est du lourd, il fallait oser la faire.

N’écoutant que mon courage, je me suis donc jeté sur la liste des 42 mesures d’hygiène de l’Anssi (mise à jour en 2017) en me posant la question suivante : de ces mesures, lesquelles ai-je mises en œuvre dans mon établissement, lesquelles n’ai-je pas instaurées mais pourraient l’être, et lesquelles sont tout bonnement infaisables, sauf à se cacher derrière une disquette 3 pouces ½ de profil ? Le résultat fait mal : je ne vais évidemment pas vous donner la répartition entre la première et la deuxième catégorie, mais pour ce qui concerne la troisième, j’arrive à une estimation de 15 mesures. Je répète pour le cas où je n’aurais pas été assez clair : sur 42 mesures, 15 sont tout bonnement infaisables, inaccessibles. Le lecteur m’accordera une marge d’erreur de 10 % à la baisse et, en étant optimiste, on va dire qu’entre 12 et 15 mesures sont irréalisables. Par exemple, toutes les dispositions pour lesquelles il faut maintenir à jour une cartographie précise de réseau, de systèmes, d’OS, de matériels sensibles (que les menteurs qui prétendent l’inverse lèvent le doigt SVP). Pour la mesure 11 (protéger les mots de passe stockés sur les systèmes), que l’on me montre comment on fait pour l’armada d’équipements actifs réseau, dont les mots de passe sont connus d’une bonne partie d’une DSI. Pour la mesure 12 (changer les éléments d’authentification par défaut sur les équipements et services), que l’on me montre comment on peut s’en assurer sur la tripotée de bases de données métiers qui tournent 24/365 sur nos milliers de serveurs. Pour la mesure 18 (chiffrer les données sensibles transmises par voie Internet), que l’on me donne la recette magique pour envoyer des données médicales confidentielles à des juges pour enfants lors d’un cas de maltraitance – la justice ne dispose d’aucun outil compatible avec le monde de la santé. Pour la mesure 25 (sécuriser les interconnexions réseau dédiées avec les partenaires), que l’on m’explique comment on s’y prend pour refuser des VPN Lan to Lan à de gros opérateurs américains d’imagerie médicale. Pour la mesure 26 (contrôler et protéger l’accès aux salles serveurs et aux locaux techniques), que l’établissement de santé qui ne laisse JAMAIS un fournisseur seul en salle informatique m’appelle. Pour la mesure 35 (anticiper la fin de la maintenance des logiciels et systèmes), il vaut mieux que je n’en dise pas plus car je ne suis pas certain de pouvoir garder mon calme.

Précision utile : les 42 mesures de l’Anssi ne relèvent absolument pas du délire. Si elles portent le nom de mesures « d’hygiène », c’est bien parce que c’est le minimum syndical auquel chacun de nous devrait s’astreindre. Il serait donc erroné de prétendre que si ces mesures sont irréalisables, c’est parce qu’elles sont irréalistes. Mais le constat est là : on est loin du compte, très loin même. Les gros établissements ne sont pas mieux lotis que les autres et inversement : la taille n’est pas synonyme d’excellence.

À partir de ce constat, il y a deux analyses possibles. Soit on en conclut que la cybersécurité pratiquée depuis 10 ou 15 ans est un échec : les menaces ont augmenté, notre dépendance aux SI aussi ; il ne faut pas être bac + 18 pour comprendre comment cela va se terminer. Soit on adhère à la position de l’article de la revue Harvard, mais cela semble un peu compliqué : si les équipements de supervision des chaînes de production dans une industrie sont connectés, c’est pour tout un tas de raisons tels le besoin de supervision, le besoin d’accès à distance des personnels d’astreinte, le besoin de mutualiser les équipes de supervision qui sont de plus en plus délocalisées, etc. Remettre des gars en trois-huit sur des machines juste pour se protéger d’un éventuel cryptolocker risque d’être difficile à expliquer au DAF et au DRH.

À suivre…