Et si la sécurité baissait les bras ?

ZTE accusée de fournir du matériel d'espionnage à l'Iran



J’ai assisté mercredi à la matinée CNIS Mag, événement annuel réunissant RSSI, vendeurs, juristes et experts autour de la problématique de la vulnérabilité des SI. Cet événement fort intéressant et réussi m’a toutefois laissé un goût amer.

Tout d’abord, le marché de l’offre sécurité n’a de cesse de me surprendre. On continue de laisser la parole à un fournisseur de solution, victime d’une intrusion très médiatisée l’an dernier, résultant en la fuite de ses secrets industriels – dont la perte impacte une très grande partie de ses clients. Je ne nommerai pas cet industriel, mondialement connu et portant un nom de trois lettres, et qui continue de vendre comme si de rien n’était des solutions/usines à gaz de détection d’intrusion ciblée. Pire, il tente, avec un certain succès, de transformer l’intrusion qu’il a subie en un argument de vente. La puissance du marketing n’a pas de limites.

Ensuite, c’est la posture inverse : un autre fournisseur de solutions de sécurité, éditeur d’un logiciel IDS bien connu de tout le monde, passe une demi-heure à décrire en quoi les IDS échouent. Très bien, je partage plutôt cet avis. J’attends la chute : que faire donc ? Pas de réponse. Qu’un éditeur de sécurité saborde en public sa principale activité commerciale, c’est courageux, mais pas très utile.

Puis, l’intervention d’un RSSI bancaire, qui décrit comment, alors qu’il parvenait à obtenir le blocage des webmails externes (Gmail, Hotmail, Yahoo!, …) pour les salariés de sa banque au nom de la prévention des fuites d’information, son concurrent espagnol, BBVA, annonçait en grande pompe faire exactement le contraire, c-a-d migrer l’intégralité de sa messagerie d’entreprise vers Google Mail, en parvenant à entub^C^C^Cexpliquer au régulateur local que ce projet ne concernait en rien les données de ses clients, ses salariés n’échangeant bien entendu jamais entre eux des données relatives à leurs clients par e-mail. Un grand moment de solitude, quand on croit avoir convaincu son management et que l’on est contredit de plein fouet par son concurrent.

Et tout au long de cette matinée, les mantras habituels ont été répétés : sensibilisation des utilisateurs, intégration de la sécurité en amont dans les projets, retour aux fondamentaux, etc. Des solutions tant de fois évoquées, un peu sur le mode de l’auto-flagellation, comme une cible à long terme, voire une utopie, dont découlerait une meilleure sécurité pour tout le monde.

Tout ceci met en évidence une grave maladie, peut-être mortelle, du secteur de la sécurité de l’information : la sécurité ne parle qu’à la sécurité. On tourne en rond. L’informatique subit en ce moment même des évolutions majeures, mais pas la sécurité. L’achat de produits de sécurité ne se décide encore aujourd’hui que minoritairement sur la capacité de ce produit à remplir sa mission, et majoritairement sur des considérations annexes : console d’administration centralisée, tableaux de bord, coût, crédibilité (voire, nationalité) de l’éditeur, avis de Gartner, et mimétisme du comportement d’achat par rapport aux concurrents. C’est une sorte de théâtre où il est plus important pour le décideur de paraître de bonne foi en transférant le risque à coups de fortes sommes d’argent, que de prendre des mesures réellement efficaces.

Plusieurs phénomènes se superposent et contribuent, paradoxalement, à affaiblir la sécurité :

  1. le fait que de nombreux techniciens et ingénieurs sécurité fassent bien leur travail de prévention. Parvenir à mettre en place un service qui remplisse sa mission business en présentant des garanties suffisantes de sécurité est un challenge que de nombreuses entreprises parviennent à relever silencieusement. Et pourtant, c’est une bombe à retardement : un an, deux ans, trois ans plus tard, le Comex coupe le budget sécurité qui a précisément permis d’accomplir ce succès. Motif ? Absence totale d’incidents pendant des années ; conclusion, la sécurité ne sert à rien. Que faire ? Changer de Comex ? Bien sûr que non… Le problème est qu’en travaillant bien, l’on a rendu invisible la sécurité aux yeux des décideurs, et ça, ce n’est pas la faute du Comex, qui a eu le temps d’être renouvelé 3 fois depuis la décision initiale de faire de la sécurité ;
  2. jusqu’à récemment, tous les événements sécurité, qui font si peur aux spécialistes et gens bien informés, n’avaient qu’une gravité limitée. Les fuites de données personnelles et/ou bancaires, quoique gigantesques en termes de nombre de données volées, avaient un impact financier que les organisations concernées étaient finalement parvenues à absorber, malgré les hurlements des spécialistes. Tous les événements que nous avons jusqu’ici nommés « fiascos » n’en étaient pas au regard de leurs conséquences, et se sont révélés tout à fait tolérés par les entreprises victimes et par la société dans son ensemble. On m’a dit « c’est parce que les conséquences des sinistres ne sont jamais évaluées », pas d’accord : c’est parce que la plupart des sinistres sont sans conséquence grave qu’on ne prend même pas la peine d’évaluer leur impact. Sauf que… il me semble que ceci est en train de changer, au regard du phénomène des « APT » (« Advanced Persistent Threat », ou attaque ciblée) qui, au delà de la grossière dénomination marketing, ont le mérite de témoigner d’une radicalisation dans la menace sécuritaire : StuxNet, Duqu, LulzSec pour ne citer qu’eux, ont démontré que l’on pouvait couler une entreprise entière. Ces attaques ont tapé là où ça fait mal, en publiant au grand jour des montagnes de données confidentielles et en bloquant des systèmes industriels critiques. Ce qui a changé, c’est que désormais, *vous* êtes ciblés par des gens plus compétents que vous, et prenant tout leur temps jusqu’au succès. On passe d’une menace relative, où il suffit d’être meilleur que son concurrent pour passer sous le radar, à une menace absolue, où l’attaquant vous en veut à vous et pas à votre voisin. Et ainsi, depuis deux ans, on dispose d’exemples précis de préjudices informatiques que l’on ne peut plus cacher sous le tapis, ni diluer dans la case comptable « provision pour fraude » ;
  3. les personnes qui permettent, par négligence ou manque d’information, à la menace de se matérialiser en se faisant intruser (salariés, grand public, …), ne portent pas les conséquences du risque. Un particulier dont la CB est volée se fera rembourser par sa banque sur la base de sa bonne foi ; un salarié dont le poste est infecté par un virus qui siphone des documents de son entreprise ne sera pas impacté, ces documents et son poste de travail ne lui appartenant pas. C’est la principale raison de l’échec des démarches de sensibilisation de masse : on tente d’inculquer des bonnes pratiques sécuritaires à des gens qui ne portent aucun risque lors d’une intrusion de leur outil de travail. Donc que faire ? Rendre tout le monde responsable pénalement ? Évidemment pas, ce serait une aberration, mais plutôt, arrêtons la grande hypocrisie de la sensibilisation des salariés et du public. L’industrie de la sécurité a en effet une fâcheuse tendance à faire porter le chapeau de son échec au manque de sensibilisation des usagers de l’informatique. On ne parvient pas à éradiquer les virus ? La faute à l’utilisateur, qui ouvre les pièces jointes ou choisit un mauvais anti-virus. On ne parvient pas à stopper les attaques réseau ? C’est la faute à l’internaute, qui n’a pas activé son pare-feu ou qui ignore les avertissements SSL. On ne parvient pas à arrêter les escrocs ? C’est la faute de l’utilisateur, assommé de marketing direct et conditionné à croire ce qu’il voit, qui a eu le tort de croire à un mail frauduleux. Les IDS et produits de DLP multiplient les fausses alertes ? C’est la faute au client qui ne sait pas les configurer. Etc, etc, etc… C’est en quelques sortes la posture du type trop intelligent, incompris de tous, qui rejette la faute sur la médiocrité de ceux qui l’écoutent. Si chacun doit bien entendu faire une part du chemin, cessons de demander à l’utilisateur de faire la plus grande partie, et mettons-nous à son niveau.

« Mais attendez, il est en train de nous dire qu’il faut arrêter d’intégrer la sécurité en amont, et il nous vante les bienfaits de LulzSec ? » Disons plutôt que je regrette l’incapacité du marché de la sécurité à reconnaître une chose simple : l’industrie de la sécurité fonctionne comme un système immunitaire. Quand l’organisme n’est que peu menacé, prendre de l’homéopathie, de la vitamine C, des décoctions aux herbes, enfin bref des produits légers voire inutiles, qui rassurent sans faire trop de mal à l’organisme, peut suffire. Mais depuis deux ans, la menace a changé, il n’existe pas de vaccin, et le monde de la sécurité continue de débattre, en vase clos, des bienfaits des différentes recettes d’infusion aux plantes. Dans ce contexte, tout ce qui rend la sécurité invisible est nuisible à la sécurité, et au contraire, tout ce qui la met en évidence est positif. C’est pourquoi je place beaucoup d’espoir dans les équipes d’investigation et de réponse à incident (CERTs, CSIRTs, SOCs, …) : la mise en place de telles équipes et leur outillage adéquat est une nécessité vitale, non seulement pour comprendre et stopper les attaques, mais aussi et surtout pour reprendre le contrôle du SI et cesser de tout déléguer à des jolis boîtiers de sécurité. Cela ne pouvant fonctionner, bien entendu, que si l’on a pris la mesure du problème, et adopté des processus en conséquence : non pas des processus bureaucratiques et cloisonnés, adaptés à un contexte de paix, mais des processus d’urgence, simples et efficaces, adaptés à un contexte de guerre.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.