Sécurité : tous les chemins mènent à la faille

La perméabilité entre mondes physique et informatique mais aussi entre vies professionnelle et personnelle est réelle. Si les mentalités changent progressivement, les actions de lutte contre la (cyber-)criminalité peinent à trouver leur réalité.

Nouveau drame dans le monde de la cybersécurité : les services de messageries professionnelles Microsoft Exchange ont été la cible d'une cyberattaque d'envergure. Sont concernés les contenus des boites mails de dizaines de milliers d'entreprises privées et publiques. Non seulement ce type d'attaques est problématique pour la confidentialité des données professionnelles, mais elles peuvent avoir des conséquences encore plus lourdes à l'échelle des individus.

Du pro au perso : l’individu au cœur de la sécurité

Qui n’a jamais scanné sa déclaration d’impôt sur le revenu depuis l’imprimante de son entreprise, ou réservé un billet de train en ligne depuis son ordinateur professionnel ? Dans les messageries des entreprises, il n’est pas rare que les données stockées ne soient pas que d’ordre purement professionnel. A partir du moment où une intrusion a lieu, ce sont des échanges confidentiels sur le business mais aussi des données sur les collaborateurs de l’entreprise qui sont mis en danger. L’usurpation d’identité peut aller loin et le dark web regorge de documents d’identité disponibles aux enchères. Ces vols informatiques peuvent avoir des répercutions dans la vie physique des individus concernés : dépenses diverses, location d’une maison ou d’un véhicule, souscription d’un emprunt… mais aussi condamnations juridiques. 

Notre héritage culturel français ne repose pas sur le culte du secret, ce qui ne nous conduit pas forcément à une grande méfiance. Mais à la faveur de la crise de Covid-19 et face à l’explosion des cyberattaques, les Français ont davantage pris conscience du risque pour leur identité en ligne. D’après une récente étude menée par Okta et YouGov, 42% d’entre eux déclarent être plus prudents quant à la transmission de leurs données numériques, car ils se sentent potentiellement exposés à un risque d’usurpation d’identité, une tentative de phishing, une attaque via des logiciels malveillants ou des fuites de données.

A la fois cible et faille, l’individu demeure, par son comportement, un élément central en matière de cybersécurité. Mais il n’est pas le seul, car la porosité entre sécurité informatique et sécurité physique reste une problématique de taille.

Cyber et physique : deux entrées pour un même monde

Il y a quelques années, dans la banlieue de Washington DC, un consultant en sécurité a mené une expérience inédite : il a équipé son chat d’un collier contenant une carte wifi et un module GPS. A l’heure où les réseaux wifi se démocratisaient à vive allure, il a ainsi mis en exergue que nombre d’entre eux n’étaient pas ou très peu protégés. Que nous enseigne cette anecdote ? Que le risque ne vient pas forcément du dernier drone technologiquement à la pointe ou des malwares les plus sournois, mais qu’il est bel et bien partout.

La sécurité doit s’envisager dans sa globalité. C’est déjà le cas dans la culture de certains pays comme l’Australie. Il s’agit de considérer conjointement les trois grands domaines que sont l’informatique (internet et les systèmes d’information), l’électromagnétique (les connexions wifi, bluetooth, Internet of Things, infrarouge par exemple) et le physique (sécurité des biens et des personnes, matériels, propriété intellectuelle, etc.). Tous les points d’entrée sont aujourd’hui liés, le problème doit s’adresser dans sa globalité dès le début. Une faille dans la sécurité physique d’une entreprise, comme par exemple un individu qui parvient à entrer dans le bâtiment sans badge, peut avoir des répercutions sur la sécurité informatique, car l’intrus peut facilement se connecter au réseau du système d’information et le compromettre.

Dans la plupart des entreprises, la sécurité physique dépend des services généraux, alors que la cybersécurité – c’est-à-dire celle des systèmes d’information – est rattachée au domaine du SI (RSSI). Quant à la sécurité du produit ou du service fourni au client, elle dépend de l’ensemble de la chaîne (de la conception à la production) en lien avec ces entités responsables. Cette distinction fait sens car chaque domaine requiert des compétences spécifiques. Mais pour véritablement sécuriser une entreprise, ses produits et services, ainsi que les individus qui y travaillent, il est primordial que la sécurité générale et les responsables de la sécurité des systèmes d'information collaborent au quotidien pour couvrir les scénarios de bout en bout en croisant leurs analyses de risque afin d’identifier les différents niveaux de protection requis.   

Zéro pour l’exposition, tout pour le cryptage

On l’a vu : la perméabilité entre mondes physique et informatique mais aussi entre vies professionnelle et personnelle est réelle. Si les mentalités changent progressivement, les actions de lutte contre la (cyber-)criminalité peinent à trouver leur réalité. Or, il faut se poser systématiquement la question de savoir si cela peut être problématique qu’une information échangée soit divulguée et exploitée par autrui. Dès que c’est le cas, il s’agit de la crypter. Différents applicatifs existent pour encapsuler facilement les informations dans un conteneur avec un mot de passe.

Par précaution, de plus en plus d’entreprises choisissent de tout crypter et d’autoriser par exception les seules personnes nécessitant l’information par défaut. C’est la politique dite du Zero Trust, qui permet déjà de réduire sensiblement les possibilités de captation de l’information des pirates informatiques. Le concept n’est pas nouveau mais c’est une stratégie qui s’impose de plus en plus ces derniers mois avec le développement du télétravail, et celui des univers cloud et mobile qui multiplient les points d’entrée aux systèmes d’information des entreprises. Cette première étape ne doit cependant pas masquer la nécessaire prise en compte globale du problème, non seulement sous l’angle des analyses de risques mais aussi par la mise en place d’une gouvernance adaptée.

L’informatique a longtemps été perçue comme un monde parallèle, sous la responsabilité des SI. Or, elle n’est pas si éloignée que cela du monde physique… De cette affirmation découle une problématique organisationnelle pour les entreprises qui se doivent de réintégrer la brique cybersécurité au même titre que la sécurité physique et la sûreté. Dans toute démarche de conception (produit, service ou autre), il s’agit d’inclure la dimension sécuritaire dès le début, et de l’envisager comme un continuum au sein de l’entreprise étendue. Le tout répondant à un nouveau motto à l’échelle de l’individu : exposition zéro.