Sécurité informatique : la victoire aime la préparation

Personne ne pouvait prévoir la crise du Covid-19, mais certaines entreprises avaient mis en place des procédures opérationnelles en cas d'événement de grande ampleur, à l'instar d'une crise économique ou d'une catastrophe naturelle. Pour les services les plus stratégiques, c'est parfois une obligation légale.

Le président américain Dwight Eisenhower, l'un des artisans incontestés de la victoire alliée pendant la Seconde Guerre mondiale, soulignait qu'"aucune bataille n'est jamais remportée en suivant le plan, mais aucune bataille n'est jamais remportée sans en avoir un". Lee Morrison, instructeur de sports de combat médiatisé, résume : "l'attaquant a par définition toujours un temps d'avance sur le défenseur. Pendant une attaque, il ne faut donc pas avoir à se poser trop de questions." Ces deux hommes et leur point de vue respectifs sur la manière d’aborder la défense peuvent nous inspirer en matière de sécurité informatique.

Face à des phénomènes comme la pandémie de Covid-19, les entreprises se sont adaptées différemment, selon l’influence qu’elles accordent à leurs responsables de la sécurité au sein du Comité de Direction. Bien entendu personne ne pouvait prévoir cette crise sanitaire majeure, mais certaines entreprises avaient mis en place des procédures opérationnelles en cas d’événement de grande ampleur, à l’instar d’une crise économique ou d’une catastrophe naturelle. Pour les services les plus stratégiques (énergie, transports, télécoms…), c’est parfois une obligation légale.

Cartographier ses risques

Pour bien se préparer, il faut identifier et mesurer chaque risque. Chaque entreprise doit se demander ce qui peut l’impacter : une catastrophe écologique ? Un incendie ? Un rappel produit catastrophique ? Une cyberattaque ? Si un problème est statistiquement peu probable, mais qu’il a la capacité de causer de lourds dommages à l’entreprise, alors il faut chercher à s’en prémunir. La maîtrise du risque passe par une cartographie précise des points sensibles de l’entreprise. Un ransomware comme Wannacry peut bien détériorer 1000 ordinateurs au sein d’une institution par exemple, si aucun de ces postes n’est stratégique, la survie de l’organisation n’est pas en jeu. En revanche, si le 1001e poste contient des données sensibles, il faut le savoir et se préparer en conséquence.

Simuler une vraie attaque

Après la prise de conscience, la protection : les solutions sont nombreuses et il convient de les éprouver. Pour connaître l’efficacité de sa protection, une façon simple et pragmatique est d’orchestrer une attaque sous contrôle. Autrement dit, d’engager de vrais hackers qui vont tenter de pénétrer dans le système et d’accéder aux données sensibles – sans réaliser de dégâts. Ces white hackers, des pirates éthiques qui travaillent au service des entreprises, peuvent rapidement révéler les points faibles du système d’information. Après tout, n’est-il pas préférable de connaître ses faiblesses pour les corriger proactivement, plutôt que de les voir exploitées par des personnes malveillantes ?

Le RSSI dans le comité de direction

Il n’en reste pas moins vrai que pour faire accepter de mener ces exercices de préparation à large échelle et s’outiller des plateformes adéquates, le RSSI doit convaincre le comité de direction en adoptant le langage métier de ceux qu’il est là pour protéger. Sans l’aval du comité de direction, cette préparation hautement nécessaire pour faire face à une attaque cyber n’aurait aucun sens. Dans bien des cas, quand ces exercices sont menés avec une portée limitée, ils créent un sentiment dangereux de fausse sécurité. Alex Honnold, l’un des meilleurs grimpeurs du monde, spécialiste des grandes voies sans assurance, dit "je visualise le pire pour rester honnête avec moi-même ; si je ne visualisais que le meilleur, je me mettrais dans un pétrin auquel je ne suis pas préparé." En cybersécurité c’est exactement la même chose : on fait se préparer l’entreprise pour un risque que l’on cherche au maximum à éviter, tout en sachant que le risque zéro n’existe pas, avec l’idée qu’aucune préparation ne correspondra exactement à une attaque, mais qu’aucune attaque ne se trouvera sans réponse !