L’actuelle prolifération des cyberattaques joue pleinement en faveur de l’essor de la cybersécurité. Plus nos organisations privées et publiques sont prises pour cible par les cybercriminels, plus les instances dirigeantes de ces structures intègrent le cyber-risque dans leurs plans stratégiques. Culturellement, nous pouvons certainement dire qu’aujourd’hui l’immense majorité des comités de direction, des Comex et des board ont pleinement conscience de la nécessité d’anticiper le risque cyber en lien direct avec le développement – voire dans certains cas la survie – de l’organisation. Malgré cela, il reste encore du chemin à parcourir afin de bien comprendre ce qui se joue actuellement au sein des systèmes d’information.
Hygiène préventive minimale : le message est passé
Commençons par ce qui est une bonne nouvelle : le cyber-risque est de moins en moins sous-estimé. Au sein des organisations, la prévention a franchi un cap, la notion d’hygiène préventive minimale permettant de réduire les risques. Ses différents aspects sont connus, mais il convient sans doute d’en rappeler les principaux. Former ses équipes opérationnelles à la sécurité du SI, sensibiliser tous les utilisateurs sur les bonnes pratiques élémentaires, connaître son système d’information et ses serveurs les plus sensibles afin de maintenir un schéma de réseau, disposer d’un inventaire exhaustif des comptes privilégiés (et le maintenir à jour !), organiser les procédures d’arrivée, de départ et de changement de fonction, authentifier chacun et distinguer le rôle d’administrateur de celui d’utilisateur, définir et vérifier des règles de choix et de dimensionnement des mots de passe… Voici quelques-unes des recommandations classiques, notamment portées par l’ANSSI en France, sur lesquelles les organisations se penchent et progressent. Ce faisant, elles prennent conscience d’autres écueils…
Des attaques désormais inéluctables
Comment faire en sorte d’être prévenu à temps lorsqu’une cyber-attaque se déclenche ? Telle est l’une des questions les plus récurrentes auxquelles nombre d’organisations sont actuellement confrontées. C’est notamment le cas de certains de nos hôpitaux publics, particulièrement agressés ces derniers mois. Cette question du temps nécessaire à l’identification reste en suspens, tant les attaques peuvent se déclencher dans les endroits les plus reculés, pour ne pas dire les plus imprévisibles, de nos systèmes d’information. Sur ce point, nous nous rendons compte que la doctrine a évolué : après avoir longtemps considéré qu’il fallait ériger des barrières infranchissables et ainsi sanctuariser le SI, nombre d’entreprises ont fini par admettre qu’une attaque était inéluctable, et qui fallait aussi la combattre à partir du moment où le ver est entré dans le fruit. Cette approche nouvelle progresse d’autant plus rapidement que les environnements sont de plus en plus « cloudifiés », dans un contexte de décentralisation de l’activité accentuée par le télétravail. C’est en fait à un éclatement de la surface à surveiller que nous avons affaire : le territoire que l’entreprise doit protéger est démesurément vaste, avec des ramifications au sein du cloud, mais également dans le bureau personnel d’un collaborateur.
S’entendre sur ce qu’est une vulnérabilité
C’est sur ce point que les entreprises privées et les structures publiques ont sans doute encore à mûrir. Il est aujourd’hui devenu impossible de considérer que chaque SI est totalement connu et maîtrisé par une organisation. Pour le dire autrement, le cloud ne permet plus d’appréhender le système dans sa globalité. Ce dernier ne constitue plus une sorte de circuit fermé : il fonctionne au contraire grâce à des éléments qui lui sont extérieurs – mais également nécessaires.
Il convient d’ajouter à cela une autre information, qui fait du système lui-même le générateur de ses propres vulnérabilités. Je m’explique : dans les métiers de l’informatique qui sont les nôtres, nous avons pris pour habitude de définir les vulnérabilités comme des failles. Nous pensons que cette faiblesse permet à un attaquant de porter un coup plus ou moins dur, et qu’il convient finalement de la réparer pour être protégé. Or, nous constatons actuellement de plus en plus que nos systèmes informatiques sont ontologiquement porteurs de vulnérabilités : ce sont certaines parties de leur structure qui les rendent faillibles. C’est le cas par exemple de l’Active Directory (AD), qui mobilise dans son fonctionnement des éléments dont nous savons d’expérience qu’ils relèvent de vulnérabilités. Ceux-ci sont tout à la fois nécessaires au bon fonctionnement du système, et porteurs d’une faiblesse qui place l’organisation sous la menace permanente d’une cyberattaque.
Ces éléments nouveaux plaident en faveur de l’identification de toute cyberattaque une fois celle-ci déclenchée. Face à un comportement suspect, des outils et solutions existent, permettant de déceler tout mouvement possiblement malveillant à la seconde où celui-ci se précise à l’intérieur même du système. Favorisant l’observation et la mise à l’isolement des cybercriminels, ces solutions sont actuellement les seules à répondre avec efficacité aux enjeux auxquels nous sommes actuellement confrontés.