Soliloque autour d’une démarche cohérente de veille

Le trop de confiance attire le danger.
Pierre Corneille


Depuis quelques mois, de nombreux articles dans la presse spécialisée ou sur différents blogs se font le relais de l’augmentation des cyberattaques. En effet, en 2017, il a été constaté que les attaques dans le monde cyber ont augmenté de plus de 20%. Il est clair que, pour toute organisation, la sécurité des systèmes d’information doit être considérée comme un enjeu capital de gouvernance, voire de survie dans certains cas.


J’ai déjà eu l’occasion de dire, au travers d’une précédente interview, qu’à mon sens la menace à terme va peu évoluer mais qu’elle va devenir de plus en plus subtile et fréquente. Cependant, il m’arrive d’avoir la désagréable impression que les attaquants considérés se trouvent quasi systématiquement toujours « à l’extérieur », que ce sont des gens « motivés voire experts » (du moins, dans la tête de certains).
Stop ! Arrêtons-nous quelques instants sur ce sentiment (légitime ou non, peu importe à ce stade). Serait-il possible que la menace provienne de l’intérieur de mon organisation que je gère ? Ben… oui… et pourquoi pas ? L’Histoire (avec un grand H) regorge d’exemples à ce sujet ; et pas que dans le milieu de l’informatique.
Sincèrement, pensez-vous qu’un collaborateur ne profite pas d’une faille dans votre système pour, par exemple, réaliser un déni de service (par jeu ou par vengeance), faciliter l’exfiltration d’informations ou de données capitales (à l’insu de votre plein gré), prendre connaissance de données dont il n’a pas le besoin d’en connaître, etc. ? Bien évidemment, ici, je pense au collaborateur avec de mauvaises intentions ainsi que celui qui agit par inadvertance ou par contrainte (involontaire ou non).

Anectode – Un jour, après avoir signalé une vulnérabilité et indiqué la disponibilité d’une mise à jour, un administrateur m’a indiqué que le risque était quasi-inexistant (sic) car l’exploitation n’était possible qu’en ayant un accès à l’intérieur de son organisation.

Non !!!! Il ne peut pas me dire ça quand même ! La sécurité de son SI reposerait sur l’hypothèse « aucun risque de l’intérieur » ? En matière de SI, la sécurité ne peut clairement pas se reposer sur des hypothèses.
De mon point de vue, le problème a été pris à l’envers (même si je serai sûrement arrivé à la même conclusion, à savoir qu’il n’y avait pas de nécessité absolue pour une mise à jour immédiate). En effet, cet interlocuteur aurait dû simplement vérifier que cette vulnérabilité était applicable ou non (en l’occurrence, dans mon anecdote ci-dessus, il suffisait juste de vérifier si une certaine option était activée). Cette qualification aurait ainsi pu permettre de savoir si cette vulnérabilité pouvait avoir des conséquences sur son SI, de mesurer l’éventuel impact et donc de prévoir l’application (immédiate ou différée) de la mise à jour.
C’est sûr que fermer les yeux est le meilleur moyen de ne pas voir arriver le danger, ni les problèmes. Cependant, à ce jour, cette vision (totalement déconnectée de la réalité) qui pense que tout le monde est gentil, que le méchant de l’histoire est toujours en-dehors de son organisation, n’est plus acceptable à mon sens. Oui, le risque peut être interne ! Ne sous-estimons pas l’employé mécontent, maladroit voire manipulé. Ne nous focalisons pas uniquement sur la menace externe en oubliant la menace interne.
Ne dit-on pas que ce sont dans les vieux pots que l’on fait les meilleures confitures ? Un agent menaçant ne va clairement pas chercher à se compliquer la vie, il peut potentiellement aussi exploiter une vulnérabilité vieille comme Hérode car elle n’a pas été patchée par exemple.
Attention, ne tombons pas non plus dans la paranoïa. Je ne dis pas qu’il faut se méfier de tout le monde. Cependant, il est du devoir de tout administrateur de SI d’avoir une vision claire de son système et d’assurer une relative sécurité à l’ensemble de ses administrés en effectuant une veille active et méthodique des vulnérabilités sur les composantes de son SI. La sécurité n’est pas une option mais ce n’est pas une sinécure non plus je l’avoue.
Pour cela, il est important pour un administrateur de connaître de manière précise les composantes de son SI, de réaliser une veille des vulnérabilités, de qualifier les failles de sécurité et de programmer les correctifs (dès qu’ils sont mis à disposition).
Bref, j’espère vous avoir convaincu de l’importance de l’application des mises à jour de votre système mais je n’oublie pas non plus que la traçabilité joue aussi un rôle primordial dans l’administration d’un système d’information. Pour conclure, la sécurité est certes une affaire de compromis mais elle doit surtout être structurée et réfléchie.