Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FIC : cybersécurité, place à l’action !

janvier 2015 par Emmanuelle Lamandé

Face à des usages numériques et des menaces qui ne cessent de se démultiplier, faut-il aujourd’hui réinventer la sécurité ? Les stratégies et offres de cybersécurité prônées désormais par tous les acteurs varient-elles grandement du chemin parcouru ces dernières années ? Où en est la prise de conscience des décideurs et utilisateurs ? Quelles sont actuellement les priorités ? Quelle place pour la sécurité « by design » et le « secure coding » ?... Autant de questions débattues en ouverture du FIC.

La sécurité ne doit pas aujourd’hui être réinventée, mais elle doit suivre l’évolution des usages, observe Guillaume Poupard, Directeur général de l’ANSSI. On assiste actuellement à une explosion du numérique. La sécurité est là pour accompagner cette évolution, pas pour la freiner.

Le cyberespace est devenu une réalité, y compris pour les forces armées. Cependant, beaucoup de gens parlent aujourd’hui de « cyberguerre » à tort et à travers, notamment en référence au terrorisme, aux cyberdjihadistes et aux défacements dont de nombreux sites français ont été victimes récemment. Ce terme est toutefois exagéré. La seule guerre ouverte qui sévit actuellement est celle de la maîtrise des données.

En matière de sécurité, nous sommes, selon lui, tous acteurs et responsables. L’important est d’apporter le bon niveau de connaissance et de maîtrise aux bonnes personnes, d’autant que, contrairement à l’IT, la sécurité n’est pas quelque chose d’intuitif. Pour le décideur, la question est de savoir comment se sécuriser et se défendre efficacement. Il faut lui apporter la formation et les réponses adéquates.

Le financement reste à inventer

L’important est, en effet, de coller à l’évolution de la menace, souligne Jean-Michel Orozco, Head of Cybersecurity, Airbus Defence and Space. On ne doit pas faire un Big Bang, mais il faut être force d’innovation dans ce domaine, d’autant que le contexte actuel dans lequel nous évoluons (croissance exponentielle du nombre de données et d’objets connectés…) est à l’avantage des attaquants. Par contre, le financement associé reste, quant à lui, à inventer, car prise de conscience ne signifie pas forcément financement adéquat.

La plupart des industries sont d’ailleurs encore insuffisamment protégées, et beaucoup d’entre elles n’en sont qu’aux balbutiements des plans de sécurité. Il est temps aujourd’hui de passer à l’action. Il ne faut cependant pas parler d’échec, car en trois ans on a pu observer une avancée considérable en matière de sécurité. On progresse, on est en mouvement, on innove… même si beaucoup reste à faire. Nous sommes au début de l’histoire et ce sera une lutte sans fin.

Il faut être capable d’anticiper les nouveaux patterns d’attaques

Toutefois, nous ne devons pas restreindre les libertés des citoyens pour plus de sécurité. La cybersécurité ne repose pas sur le fait d’écouter les gens normaux, mais de bien connaître son ennemi et ses patterns d’attaque (grâce à la threat intelligence notamment), et donc de comprendre le fonctionnement des personnes malveillantes qui sont là pour vous surprendre. L’objectif, et le nerf de la guerre, est d’être capable d’anticiper les nouveaux patterns d’attaques. La réponse aux problématiques de sécurité est donc double : technologique et comportementale. La prise de conscience du grand public et des décideurs doit être renforcée, car ces derniers n’investiront pas dans quelque chose qu’ils ne comprennent pas. Pour que les décideurs comprennent la sécurité de l’information, Jean-Michel Orozco recommande entre autres de leur parler, en illustrant par des exemples, mais aussi de faire des démonstrations, souvent très parlantes.

Franck Greverie, Vice-président corporate de l’activité cybersécurité de Capgemini et Sogeti, constate, pour sa part, deux principales évolutions ces dernières années : celle des systèmes IT et de l’adaptation de la cybersécurité d’un côté, de l’autre des attaques de plus en plus sophistiquées et une connaissance toujours plus pointue des hackers sur les systèmes cibles. Son groupe travaille actuellement sur deux axes : les menaces internes et les menaces externes. Dans le premier cas, il s’agit d’améliorer la détection des comportements anormaux au sein des entreprises, dans le second, de créer des pièges pour que les pirates rentrent dans le système.

Le tryptique « technologie, processus, hommes » est un facteur clé

Selon lui, quand la sécurité d’une entreprise est un échec, c’est que le tryptique entre technologie, processus et hommes n’est pas respecté. Si le processus n’est pas en place, il n’y aura effectivement pas de bonne décision de prise. Les décideurs sont aujourd’hui sensibilisés, mais ils ne passent pas encore à l’action. Sensibilisation et action sont, en effet, deux choses distinctes. Pour passer à l’action, les décideurs ont également besoin de comprendre ces phénomènes.

Nous sommes aujourd’hui dans des effets d’accélération, avec les objets connectés, qui rendent aussi plus facile la possibilité de mener à bien des attaques cyberphysiques, constate Guy-Philippe Goldstein, Consultant. Face à la menace, le facteur technologique est certes essentiel, mais il ne faut pas non plus négliger l’humain ni l’orchestration de la politique de sécurité au sein de la structure. Le monde cyber doit dans son ensemble faire l’objet d’une bonne hygiène en entreprise. La question de la prise de conscience et de son évolution est également importante, sans oublier les questions doctrinales qui restent à ce jour en suspens.

Pour Gérard Berry, Professeur, il ne faut pas non plus réinventer la sécurité. Nous avons besoin de faire évoluer la culture actuelle, focalisée historiquement sur l’énergie et l’industrie, et qui n’est pas adaptée à la société de l’information dans laquelle nous vivons désormais. Notre pays manque également d’une véritable « culture cyber ». Un écueil qui commence dès le plus jeune âge, puisqu’il souligne le problème, si ce n’est le manque, d’enseignement de l’informatique, d’Internet, des objets connectés, ou cyberphysiques… à l’école. L’éducation au cyber est essentielle pour tout le monde : enfants, étudiants, dirigeants, mais aussi tous les autres acteurs…

La formation s’avère, en outre, essentielle au niveau de toutes les phases de développement et de test des systèmes et applications conçus, le nombre de bugs étant encore trop fréquents. Tous les systèmes mal testés font le bonheur des hackers, d’autant que ces systèmes sont malgré tout commercialisés. Cela souligne le problème de la qualité des logiciels que l’on fabrique et d’une production beaucoup trop rapide pour répondre à un Time-To-Market beaucoup trop pressant.

La science peut faire en sorte que l’infrastructure soit plus solide. Actuellement, certains protocoles sont solides mais pas tous, notamment pour les objets cyberphysiques. Dans ce dernier cas, l’infrastructure doit être beaucoup plus solide qu’elle ne l’est actuellement et ne doit pas être l’objet d’ingénieurs standards, notamment au vu du nombre d’objets à sécuriser.

Sécurité « by design » et tests de sécurité : la France peut mieux faire…

Renforcer la sécurité « by design » est également un axe de développement à privilégier. Néanmoins, ce n’est pas si simple. Guillaume Poupard soulève la difficulté de faire en sorte que les gens pensent bien les systèmes dès le départ et tiennent compte de la sécurité. « Nous avons pourtant beaucoup de méthodes qui permettent d’intégrer la sécurité et de la tester dans toutes les phases de développement et d’implémentation », explique-t-il.

La quantité d’informations que l’on peut trouver sur telle ou telle entreprise sur le darkweb est impressionnante, et révélatrice de la guerre de l’information dans laquelle nous nous trouvons aujourd’hui, constate Franck Greverie. Pourtant, seuls 60% des appels d’offres auxquels nous répondons ont des exigences de sécurité. Cela veut dire que 40% des clients demandent de développer des produits, services, applications… sans exigences de sécurité. Alors que l’on sait qu’environ 80% des attaques sont effectuées via les applications, d’où l’importance de les coder correctement et de manière sécurisée et de procéder à des tests réguliers.

Gérard Berry soulève cependant les limites des tests de sécurité, notamment liés au manque relatif d’ « objectivité ». En effet, quand on teste, c’est forcément par rapport à quelque chose, une idée, un parti pris… qui ne sera pas forcément celui de l’attaquant. Même si cela réduit déjà grandement les risques, on ne peut malheureusement pas penser à tout. Il faut, de plus, prendre en compte les problèmes potentiels de comportement des logiciels entre eux, qui sont parfois imprévisibles, complète Guy-Philippe Goldstein. Même s’ils ne résoudront pas tout, les tests permettront déjà de respecter les règles de base, et d’éliminer un certain nombre de vulnérabilités, reprend Franck Greverie.

L’intégration de la sécurité dès la conception des systèmes, les tests qualité et sécurité sur les logiciels et applications avant leur mise sur le marché, ainsi que tout au long de leur cycle de vie, le renforcement de l’infrastructure et de la formation des décideurs et utilisateurs, le développement d’une véritable culture cyber… sont donc autant d’axes clés de cette cybersécurité en marche.

Pour conclure, malgré un contexte où malheureusement la menace est très forte, Guillaume Poupard reste optimiste sur la dynamique en cours et l’évolution de la cybersécurité.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants