Cybersécurité : ne pas se tromper de priorités

Le gouvernement français lance un plan cybersécurité de 1 milliard d'euros. Comment utiliser efficacement cette somme ? Le point sur quelques réponses fortes, claires et immédiatement opérationnelles.

Des hôpitaux, des mairies découvrent les joies des rançongiciels, des laboratoires se font pirater les données de 500 000 patients... Je ne leur jette pas la pierre ; ils n'ont ni les moyens humains, ni les moyens financiers de protéger leurs informatiques internes.

Les politiques français décident qu’il faut faire cesser ces attaques inacceptables.

La méthode française pour s’attaquer à un problème est bien connue. Elle comporte deux volets :

● Un plan. C’est l’annonce d’un plan cybersécurité faite par le président Macron.

● L’annonce d’un gros chiffre : 1 milliard d'euros ! C’est sur 5 ans, mais peu importe.

L’offre de solutions de cybersécurité : très en avance sur les usages

J’ai une excellente nouvelle pour le gouvernement français : la part de ce milliard à consacrer au développement de nouvelles offres de solutions est facile à mesurer : Zéro Euro.

Des centaines de sociétés proposent d’excellents logiciels SaaS qui couvrent toutes les dimensions techniques pour se protéger efficacement des cyberattaques. Il existe des solutions françaises, américaines, souvent israéliennes… Hélas, je crains que l’on essaie de profiter de cette manne financière pour réinventer, en France, des produits qui existent déjà et ont fait leurs preuves.

L’offre de solutions pour se protéger des cyberattaques n’est plus le problème en 2021. L'offre est très en avance sur les usages.

La vraie question : pourquoi toutes les entreprises, publiques ou privées, ne les ont pas mises en œuvre depuis longtemps ?

Cybersécurité : meilleures pratiques en 2021

Sécurité des centres de calcul

Il existe deux familles de centres de calcul :

● Les centres de calculs privés.

● Les clouds publics : trois fournisseurs dominent le marché, que sont AWS d’Amazon, Azure de Microsoft et GCP de Google.

En 2021, face aux cyberattaques, il n’y a qu’une seule décision de bon sens : fermer tous les centres de calcul privés et encourager 99,99% des entreprises à basculer sur des clouds publics.

Aucune entreprise, même la plus grande, n’a les ressources techniques, humaines et financières suffisantes pour offrir un niveau de sécurité équivalent à celui proposé par les clouds publics.

Sécurité des centres de calcul : problème réglé !

Sécurité des usages

Pour se protéger efficacement des cyberattaques, la démarche Zero Trust devient la norme.

Zero Trust = on fait l’hypothèse que rien n’est sécurisé et qu’il faut tout protéger.

Principaux composants d'une démarche Zero Trust © DHASEL INNOVATION

Les principaux composants d’une démarche Zero Trust sont résumés sur ce schéma :

● Vérifier l’identité de la personne qui se connecte. On complète les mots de passe par d’autres techniques regroupées dans la famille MFA, Multi Factor Authentication.

● Un EMM (Entreprise Mobile Management) pour s'assurer que l’on peut faire confiance à l’objet d’accès, quel qu’il soit.

● Déployer un pare-feu, dans le cloud, évidemment.

● S’appuyer sur un SSO (single sign on) pour autoriser les accès aux applications, une par une, selon les personnes, selon les lieux d’accès.

Zero Trust, c’est le remplacement des technologies archaïques que certains d’entre vous ont connu dans une vie antérieure : VPN sur les postes de travail et pare-feu périmétrique autour des centres de calcul privés

Pour concrétiser la démarche, j’ai mis dans ce tableau les noms de quelques produits de qualité qui couvrent toutes les dimensions Zero Trust.

Exemples de solutions Zero Trust © DHASEL INNOVATION

Reste l’essentiel : les dimensions humaines et organisationnelles

Je ne connais pas les hôpitaux qui ont déclenché cette réaction rapide du gouvernement français après avoir subi une cyberattaque. Ce que je sais, c’est qu’ils avaient tout faux : centres de calculs privés et pas de démarche Zero Trust.

Les cyberattaques vont continuer, vont devenir de plus en plus sophistiquées, c’est une évidence. Penser une seule seconde que l’on peut garantir une sécurité parfaite contre les cyberattaques est une idée absurde.

La seule arme raisonnable, c’est la dissuasion. Une porte blindée de qualité n’est jamais inviolable, mais ralentit beaucoup les cambrioleurs qui vont s’attaquer à un appartement moins bien protégé.

Je propose donc que 100% de ce budget de 1 milliard d’euros soit consacré à des actions vers les dirigeants et les responsables informatiques des entreprises, en étant très, mais très directif dans les actions proposées.

Il y a deux décisions prioritaires et simples à énoncer :

  • Décision 1 : toute entreprise présente sur le territoire français doit fermer rapidement ses centres de calcul privés. C’est une évidence pour les TPE, PME et ETI dont les centres de calcul sont des passoires sécuritaires. Les fuites de données médicales venant de plusieurs laboratoires en sont une nouvelle illustration. Cela prendra plus de temps pour les grandes entreprises : raison de plus pour commencer, immédiatement.
  • Décision 2 : vacciner rapidement au Zero Trust tous les DSI et RSSI, ou responsables de la sécurité des systèmes d’information. Cette vaccination devra être terminée avant juillet 2022. Un certificat de vaccination sera remis à toutes les personnes qui auront suivi avec succès une formation. Il sera exigé pour pouvoir exercer ces professions à partir de janvier 2023.

Résumé

Se protéger des cyberattaques est une priorité pour la France. L’objectif ne sera jamais d’arriver à une protection parfaite. Il est raisonnable de viser une protection à 99% en s’appuyant sur les deux décisions proposées :

● Tous les centres de calcul basculent dans les clouds publics.

● Des outils Zero Trust sont déployés dans toutes les entreprises.

Comment réduire les risques liés à des cyberattaques © DHASEL INNOVATION

J’espére que ces messages pragmatiques, de bon sens, seront entendus. 

Est-ce qu’ils seront mis en pratique ? J’aimerais le croire…