lundi 18 novembre 2019    || Inscription
BanniereNews
 
 

Le phénomène médiatique autour du piratage de l’Elysée est l’occasion de poser une réflexion, ce que nous essayons de faire ici. Naturellement, tout ce qui a été écrit doit être considéré avec la plus grande prudence compte-tenu de la faible quantité d’information officielle qui existe. Néanmoins, nous pouvons nous fonder sur notre expérience pour essayer de mettre les choses en perspectives et esquisser une réflexion.

Comme nous l’écrivions mercredi, les affaires avérées et reconnues d’écoutes entre alliés ne sont pas nouvelles et nous citions le cas des écoutes par le Foreign Office britannique à la fin des années 60 du téléscripteur de l’ambassade de France pour être mesure de mieux négocier la future entrée de la Grande-Bretagne dans le Marché Commun. A cette époque, les systèmes n’utilisaient pas le protocole TCP/IP, mais l’écoute d’un système de transmission était déjà possible.

Il y a 20 ans, la messagerie des particuliers et des entreprises, en France, existait et reposait sur le service Minitel avec les modes de communication X25 et X21 : émission à 75 bits/seconde et réception à 1.200 bits/seconde, véhiculé ensuite par paquets. Le service ne pouvait guère être utilisé avec des pays étrangers. Nous nous souvenons avoir rencontré à cette époque une PME française ayant des filiales dans toute l’Europe et ayant choisi d’utiliser une messagerie CC:MAIL en utilisant un serveur TCP/IP dans un pays scandinave. France Télécom n’avait pas alors compris ce qu’allait être Internet et n’avait aucune offre à son catalogue. Les communications de l’entreprise s’établissaient par liaisons téléphoniques à travers toute l’Europe grâce à des modems à 4.800 bits/seconde ou 9.600 bits/seconde.

Il y a 15 ans, l’auteur de cet article a rédigé une PSSI (politique de sécurité des systèmes d’information) pour un centre de recherche d’un grand industriel français du luxe et des cosmétiques. Les services de messagerie Internet commençaient à être utilisés et utilisaient souvent des serveurs IP américains. La protection du savoir-faire de ce centre de recherche était stratégique, les moyens d’échanges chiffrés non matures et encore fortement limités par la loi française. La PSSI imposait donc d’interdire purement et simplement tout échange de document de recherche ou de brevet par Internet et recommandait l’emploi du télécopieur ou de courriers postaux, voire de messagerie express.

Puis, le monde a changé. Le Web et les forums Internet ont pris forme, suivis des réseaux sociaux. Utilisés par les particuliers, ils se sont avérés être des outils permettant d’augmenter la productivité des salariés pour trouver des informations. Il n’est pas rare qu’un Geek, dans une entreprise trouve une réponse technique appropriée pour un problème qu’il doit résoudre sur le web, un forum ou par l’intermédiaire de réseaux sociaux. Interdire de tettes utilisations n’a pas de sens … et ne serait pas respecté par les salariés.

Alors, que devons-nous mettre dans nos PSSI d’aujourd’hui ?

Tout d’abord, reconnaître que celles-ci ont nécessairement une durée de vie limitée et doivent être revues régulièrement pour tenir compte de l’évolution des usages, des technologies et des menaces. Il est donc utile de développer une culture cindynique au sein de nos entreprises.

Il faut aussi prendre en compte les besoins de cloisonnement des informations dans nos entreprises et nos administrations. Des informations confidentielles, ou secrètes, ne doivent pas être sur des machines exposées aux risques d’Internet, ce qui ne semblerait pas avoir été le cas à l’Elysée. En particulier, il existe de nombreux cas de figures dans lesquels le BYOD ne peut pas être autorisé sur tout le système d’information.

Mais ce cloisonnement doit aussi aller plus loin que les postes de travail et les réseaux. L’usage des réseaux sociaux et des forums peut être bénéfique, mais aussi dangereux. Comment poser une question technique sur un problème de configuration d’un serveur ou d’un équipement réseau ? Certainement pas en laissant l’identité, voire l’email, du demandeur ! Il faut donc organiser des processus d’utilisation de pseudonymes dans la PSSI de l’organisation pour utiliser ces services.

Pour le cas d’organisations très sensibles, il faut aussi prévoir des accès furtifs à l’Internet, ne laissant pas trace de son adresse IP. Dans certains cas même, il peut-être bon de ne pas laisser sortir des informations telles que l’identité du fuseau horaire de la machine utilisée… Bref, la PSSI doit être pensée par rapport aux risques et doit évoluer en permanence.

Elle doit aussi se méfier des référentiels existants qu’il suffirait de « pointer » grâce à un tableur Excel : quel référentiel mentionne aujourd’hui un élément sur la pseudonymisation des utilisateurs et la furtivité des accès à Internet ? Quel référentiel comprend une analyse prospective des usages, des technologies et des menaces ? Or, nos systèmes et notre environnement ne cessent d’évoluer !

Il convient aussi de prendre des distances avec les traditionnelles pondérations des risques comme étant un produit de la gravité de l’attaque et de sa vraisemblance, ou de sa probabilité d’occurrence. Ces démarches conduisent trop souvent à ignorer les risques improbables, quand bien même ils pourraient être catastrophiques. « L’improbable est possible ! » affirmait le professeur Patrick Lagadec, directeur de recherche à l’Ecole Polytechnique lors d’une conférence de présentation du dernier numéro de la revue « Sécurité & Stratégie » du CDSE. Les RSSI et experts SSI ont souvent trop tendance à ne pas prendre en compte cette recommandation.

Enfin, les PSSI actuelles doivent être réalistes et envisager qu’une attaque peut réussir. Il convient donc que l’organisme se prépare à être surpris et à devoir sortir des seuls processus préalablement pensés pour prendre les décisions adéquates. Et là, le tableur Excel n’est surement pas l’outil adéquat !

Il faut donc repenser nos PSSI avec une démarche de forte curiosité et de prospective : d’imagination !




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS