Les pannes informatiques imprévues sont insupportables

Les pannes imprévues sont insupportables, nous le savons tous. La question est de savoir si, tous, nous connaissons leurs causes et la manière de les corriger. Vraisemblablement non pour la plupart.

La panne est le plus souvent perçue comme le pire scénario en matière de sécurité, que personne ne souhaite évoquer. Pourtant, si vous ne commencez pas à vous intéresser à ces défaillances, celles-ci pourraient coûter très cher à votre entreprise.

Plusieurs causes principales, que les équipes de sécurité informatique doivent garder à l’esprit, peuvent être à l’origine de ces pannes imprévues :

- Clés et certificats arrivés à expiration : Les clés et certificats assurent le bon fonctionnement de votre site web et sécurisent les connexions à votre système/réseau. Leur expiration est, en règle générale, le résultat d’une erreur humaine qui risque de rendre votre réseau extrêmement vulnérable aux pannes.

- Bugs logiciels : Des bugs se produisent lorsqu’un système ou programme informatique comporte une erreur, un défaut ou une anomalie qui engendrent un résultat incorrect ou inattendu.

- Défaillance matérielle : L’équipement se révèle généralement incapable d’accomplir la fonction demandée, celle-ci étant dépassée ou par trop sollicitée.

- Taux élevé d’erreur sur les bits : Le nombre d’erreurs sur les bits par unité de temps est trop élevé pour que le système/réseau puisse fonctionner correctement.

- Panne de courant : Nombre de pannes réseau très médiatisées sont dues à une panne électrique du système/réseau.

- Surcharge due à un dépassement de capacité de transmission : Le système/réseau n’est pas prêt à gérer le volume de trafic en réception.

- Dysfonctionnements en cascade : Dysfonctionnement dans un système de composants interconnectés en vertu duquel la défaillance d’un composant entraîne des défaillances successives chez d’autres.

Intéressons-nous de plus près aux clés et certificats parvenus à expiration, un problème à l’origine de la plupart des interruptions de service susceptible d’être aisément résolu. Les certificats numériques constituent un mécanisme de sécurité crucial car ils affectent un usage cryptographique à des clés publiques, signatures numériques et cryptage notamment. Les autorités de certification (AC) qui émettent ces certificats déterminent, par la même occasion, leur durée de validité, c’est-à-dire le nombre de semaines, de mois ou d’années qui s’écouleront avant que ceux-ci ne doivent être remplacés ou actualisés. 

Une étude réalisée par Ponemon Institute tend à démontrer que dans une entreprise, le nombre total de clés et de certificats est supérieur à 23 000. Et une autre enquête menée par TechValidate pour le compte de Venafi semble indiquer que la plupart des établissements (56 %) recourent à des méthodes manuelles pour gérer leurs clés et certificats. Or, dans ce cas de figure, il est pratiquement impossible de déterminer l’emplacement de la totalité des clés et certificats, la manière de les sécuriser et d’assurer leur suivi, ou encore leur date d’expiration. Compte tenu de cette absence totale de visibilité, il n’est guère étonnant que les entreprises subissent des pannes ! 

À l’automne 2015, Ponemon Institute publiait les résultats d’une autre étude menée auprès de 2 394 acteurs du classement Global 5000 : celle-ci relevait que les entreprises perdent plusieurs millions de dollars à cause de certificats venus à expiration et de dysfonctionnements imprévus. Ce sont plus exactement 15 millions de dollars qui sont gaspillés à chaque panne ! Dans cette étude, la majorité des entreprises admettent même avoir perdu des clients au cours des deux dernières années, faute d’avoir su pérenniser la confiance instituée par les clés et certificats. 

Malheureusement, les pirates, parfaitement conscients des vulnérabilités inhérentes aux clés et certificats non sécurisés, tirent pleinement parti de celles-ci au travers de faux sites web, d’usurpations de serveurs et d’attaques MITM (« Man-in-the-Middle »). 

Sachant que le commerce électronique, l’informatique et la mobilité sont tous victimes de pannes, il s’agit de transformer le scénario peu réjouissant qui avait cours jusqu’ici en un autre : toutes les entreprises doivent prendre garde si elles veulent piloter en souplesse et en toute sécurité leurs activités, et éviter de faire, la "Une" des journaux.