A un « tournant critique ». Patrick Opet, le responsable de la sécurité de l’information (RSSI) de la banque JPMorgan Chase, l’une des plus grandes entreprises financières au monde, n’y est pas allé avec le dos de la cuillère avec sa lettre ouverte à l’industrie du logiciel.
Dans ce document, publié il y a peu avant l’ouverture de la RSA Conference, l’un des événements phares dans la cybersécurité, ce spécialiste s’alarme en effet des failles ouvertes par le développement des logiciels en tant que service (Saas), la branche la plus connue de l’informatique en nuage.
Cette forme de distribution est « devenue la norme », relève Patrick Opet. Mais si elle garantit « efficacité et innovation rapide », elle « amplifie simultanément l’impact de toute faiblesse, panne ou faille », s’inquiète-t-il. Ce qui peut alors créer « des points de défaillance uniques aux conséquences potentiellement catastrophiques pour l’ensemble du système », poursuit ce spécialiste, passé par Lockheed Martin après l’université du Maryland.
Perte de contrôle
Un tableau pas réjouissant assombri un peu plus par la concurrence entre éditeurs. Elle favoriserait, estime Patrick Opet, le développement de fonctionnalités au détriment d’une sécurité robuste. « Cela se traduit souvent par des lancements de produits précipités, sans sécurité intégrée ou activée par défaut, offrant ainsi aux attaquants des opportunités répétées d’exploiter les faiblesses », déplore-t-il.
Une façon de faire qui remet en cause les fondamentaux de la sécurité informatique, basée sur un cloisonnement entre les ressources de l’organisation et l’extérieur. Résultat, « des interactions directes, souvent incontrôlées », simplifiées à l’extrême et synonymes de « régression architecturale », entre les services tiers et les ressources internes sensibles des entreprises.
A l’appui de sa démonstration, le RSSI cite un exemple autour d’un service d’optimisation de calendrier piloté par l’intelligence artificielle. Cette fonctionnalité, certes bienvenue pour la productivité, peut offrir « aux attaquants un accès sans précédent » à des données confidentielles et à des communications internes critiques, pointe-t-il.
Réponse attendue
« Cette faiblesse est connue des attaquants qui ciblent désormais les partenaires d’intégration de confiance », poursuit Patrick Opet. L’expert fait ici référence à un changement des méthodes des espions chinois de Silk Typhoon, signalé par Microsoft. Selon les spécialistes de la firme de Redmond, ces derniers ciblent des solutions informatiques courantes pour obtenir des accès initiaux.
Des risques qui appellent une réponse urgente de l’industrie, avec un suivi en continu de la sécurité des solutions fournies, et pas seulement au cours « des contrôles de conformité annuels ». Pourtant, « des solutions existent », remarque le RSSI, citant notamment le « Bring your own cloud« , des capacités de détection avancées ou encore des mesures proactives pour « prévenir les abus ».
Autant de problèmes dont JP Morgan Chase a déjà fait l’amère expérience. Ces trois dernières années, l’entreprise a connu « plusieurs incidents » chez des fournisseurs. L’obligeant à isoler certaines entreprises tierces compromises et à consacrer « des ressources importantes » pour mettre fin à la menace.
Actualités
Le ZDNET Morning le brief de l’actu tech pour les pros tous les matins à 9h00. Transformation numérique, IA, matériel, logiciels,… ne passez pas à côté de ce qui fait la Une du secteur.
Actualités
Cette technique d’optimisation des résultats de l’IA, de plus en plus populaire, peut augmenter considérablement vos chances d’obtenir des réponses dangereuses. Que pouvez-vous faire contre cette tendance fâcheuse ?
Actualités
BNP Paribas prolonge de 10 ans son contrat de cloud public hébergé en interne avec IBM. Pour gagner en résilience, la banque ajoute en outre une deuxième région cloud et prévoit la consommation d’un service de GPU-as-a-Service.
Actualités
Le ZDNET Morning le brief de l’actu tech pour les pros tous les matins à 9h00. Transformation numérique, IA, matériel, logiciels,… ne passez pas à côté de ce qui fait la Une du secteur.