Le coronavirus ne doit pas faire baisser la garde contre les cybervirus

L'espace médiatique est saturé de messages sur les gestes à respecter contre le coronavirus, mais la crise du Covid-19 est aussi une aubaine pour les hackers. Qu'il s'agisse de virus biologiques ou de malwares, la combinaison de technologies de protection et de bons gestes permet d'éviter les infections.

La digitalisation des administrations et services publics progresse. Nous n’en sommes certes pas au niveau de l’Estonie dont on loue le degré de numérisation, mais nous avançons d’autant plus vite que la dématérialisation est un outil de lutte contre le Covid-19 et d’efficacité à un coût réduit pour le contribuable. Cependant, l’interconnexion et la multiplicité des services en ligne rend la sécurisation des systèmes informatiques plus complexe.

L’administration publique collecte et traite des données sensibles dont certaines, notamment relatives à la sécurité sociale ou à la carte d’identité, n’ont pas de date de péremption. Ces données sont particulièrement attrayantes pour les pirates ; en même temps, la sécurité de ces données est un aspect important de la confiance des citoyens en l’Etat. Le développement de l’e-gouvernement repose sur la solidité et l’inviolabilité de ses infrastructures numériques.

La cybersécurité, point faible des administrations

L’administration souffre de plusieurs faiblesses en matière de cybersécurité. En premier lieu, le matériel informatique est souvent vieillissant, et certaines actions simples comme la mise à jour logicielle ne sont pas toujours implémentées. Ces points faibles deviennent souvent des failles exploitables par les hackers.

Un autre aspect concerne le savoir-faire du personnel non informatique. En effet, il arrive souvent que les fonctionnaires aient de mauvaises habitudes, comme dans le privé : utilisation de clés USB non sécurisées, mots de passe trop faibles, ouverture d’emails sans en connaitre la provenance, etc. Ces risques sont amplifiés en cas de télétravail à cause d’une sensibilité au risque plus faible et d’un manque d’échanges informels avec les collègues qui peuvent donner des conseils pratiques pour respecter des règles de sécurité de base.

Le troisième aspect est que les méthodes de sécurisation informatique traditionnelles ne sont pas adaptées à la multiplication des utilisateurs, qu’il s’agisse des fonctionnaires et ou des bénéficiaires des services. Il n’est plus suffisant de protéger le système contre les infractions venues de l’extérieur, la sécurité doit être assurée à chaque connexion, depuis chaque appareil, pour chaque application. C’est l’idée derrière le concept de Zero Trust : chaque action, chaque connexion, chaque transfert de donnée requiert une authentification. Ainsi les brèches sont plus rares, et les virus se propagent moins. C’est à ce jour la meilleure défense contre les attaques.

Le Zero Trust, concept de référence en sécurité informatique

Le principal objectif en matière de cybersécurité est de prévenir les violations de données. Le Zero Trust, basé sur l’adage "never trust, always verify" s’appuie sur plusieurs principes particulièrement adaptés à l’évolution de notre société et du fonctionnement de l’action publique :

  •  L'accès à toutes les ressources et actifs a lieu de manière sûre et indépendante du lieu de connexion,
  •  Le contrôle de l’accès (à un fichier ou une application) est soumis au besoin réel de l’utilisateur et modulable par les administrateurs du système,
  •  Toutes les transmissions de données sont contrôlées et enregistrées,
  •  L'infrastructure est conçue pour tout vérifier et ne faire confiance à personne.

Une fois combinés, ces principes permettent de créer un réseau à la fois sécurisé et ouvert sur l’extérieur, dont les utilisateurs ont accès aux données dont ils ont besoin mais pas aux autres (ce qui évite les accès non autorisés et crée des contingences en cas d’infection par un virus) tout en offrant une utilisation fluide pour les fonctionnaires et bénéficiaires. 

Concrètement, le Zero Trust est mis en œuvre grâce à un ensemble d’outils : gestion des comptes utilisateurs pour déterminer les dossiers et applications auxquels ils ont accès, whitelisting des applications autorisées par catégorie d’utilisateurs, gestion des terminaux pour s’assurer qu’ils soient à jour et non infectés, détection et réponse aux attaques, chiffrement des données (hébergées sur les différents terminaux mais aussi sur les supports mobiles comme les clés USB), authentification multifacteur, etc. Il s’agit là de technologies simples à mettre en œuvre qui garantissent une protection de base.

L’autre aspect important du Zero Trust est la sensibilisation du personnel. En effet, si le filet de sécurité technologique est efficace, il n’est pas suffisant par lui-même. Les hackers ont appris à attaquer de façon sophistiquée, en s’appuyant sur les erreurs humaines faites par des agents de bonne foi : ouverture d’emails dont on ne connait pas la source, utilisation de clés USB privées sur un ordinateur de travail, mots de passe trop courts ou utilisés pour différents comptes...

La cybersécurité est essentielle pour le bon fonctionnement des organismes publics. Pour la garantir, il faut s’assurer d’avoir des technologies de protection efficaces et sensibiliser le personnel aux bonnes pratiques de base. Celles-ci sont simples et peu contraignantes, mais un temps de sensibilisation reste nécessaire. Ensemble, les bonnes technologies et les bons gestes sont le meilleur rempart contre les pirates informatiques.