Plus je lis d’articles dans la
presse pourtant dite spécialisée, plus je me convaincs que – un peu comme en
politique – il y a vraiment beaucoup de charlots qui ne comprennent rien à ce
qu’ils racontent, ou s’appuient sur une compréhension erronée de la réalité, ce
qui revient au même. Et ceci autant chez les experts que chez les journalistes.
Il y a ainsi un certain nombre
de mythes, de sujets où on rencontre des articles et des opinions (*) les plus
loufoques, faux ou imbéciles (cochez la mention inutile selon l’humeur du
jour). J’en ai fait une liste à la Prévert sans prétention d’exhaustivité que
je vous propose de parcourir et de remettre face au bon sens, en essayant de
rester abordable par tous.
La sensibilisation des
dirigeants
Beaucoup de « responsables de la
sécurité informatique » se plaignent ou indiquent aux nombreuses enquêtes
régulières du manque de sensibilisation de leurs dirigeants au risque que
représente vraiment le manque supposé de sécurité au sein des entreprises. Et
dès lors, le frein que cela représente à leur activité – celles des RSSI – et à
leur fonction, par exemple par manque de moyens accordés. Pourtant, je
considère que, sauf rares exceptions, il n’en est rien.
J’ai eu l’occasion de rencontrer
assez souvent des grands patrons, ou du moins des membres de ce que les
anglo-saxons appellent la C-suite. J’ai toujours et sans exception été frappé
par la vision extrêmement claire et pertinente de ces personnes le plus souvent
brillantes quant au rôle et aux enjeux joués par la sécurité au sein de leur
entreprise.
Certes, il est tout aussi vrai
que ces cadres-sups souvent peu techniques n’ont que rarement une compréhension
fine de ce qui se passe vraiment dans un système d’information et notamment du
concept même de faille de sécurité. Mais il n’y a là rien que de très logique
puisque c’est précisément le rôle du RSSI ou CISO que de savoir faire le lien
entre les deux niveaux. Une autre façon de dire que ceux qui se plaignent
parlent moins de leurs chefs que d’eux-mêmes, en fait.
Car la méprise totale de ces
RSSI frustrés, c’est de ne pas avoir su comprendre que la sécurité informatique
fait partie du business, de tout business, et que la seule manière de la
justifier à un CFO ou CEO, c’est de lui expliquer qu’elle est ou sera construite
dans les systèmes comme le business l’exige – et non comme les hackers ou la
conformité l’y forcent.
Les big chiefs commettent
cependant souvent une erreur sans s’en rendre compte. Celle de penser que
l’évidence naturelle qui est la leur d’intégrer la sécurité au business ne se
fait en fait pas aussi automatiquement lors de la mise en place et en œuvre des
systèmes d’information. Ce qui crée un écart réel mais incompris, par eux-mêmes
comme par les RSSI. Mais cela n’est pas un problème de sensibilisation, mais de
partage de la réalité.
Relier la sécurité au risque
Un autre phantasme de beaucoup
de RSSI et même hélas de certaines normes, comme l’ISO 270xx et la 27005 en
particulier, c’est de veiller, mettre l’accent sur le lien entre le risque
métier et le risque « sécuritaire ». Comme ancien Risk Manager moi-même, je ne
dirai pas, soyons clair, qu’il est mal de veiller à ce que ces deux métiers se
parlent. Là n’est pas le problème, bien au contraire.
Le problème tient à la notion
même de risque, qui est fondamentalement différente en informatique par rapport
à l’acception générale de ce terme dans le reste du monde. Autrement dit,
lorsqu’un RSSI parle de risque, neuf fois sur dix il parle en réalité d’autre
chose. Et quand bien même il parlerait réellement de risque, il ne dispose que
très rarement des données lui permettant d’exprimer sa réalité opérationnelle
en de tels termes. Et ainsi souvent, lors de sa communication vers la C-suite,
le résultat n’est qu’un élargissement du fossé de compréhension entre les deux
et voir chacune des deux parties encore plus frustrée.
La raison tient à la réalité intrinsèque
du risque sécuritaire. Un risque est constitué de deux grandeurs. Un
« impact », qui exprime la conséquence négative maximale que
l’événement considéré pourrait provoquer sur l’entreprise, en termes
financiers. Et une probabilité dudit événement, entre 0 et 1 et qu’on cherche
en général à réduire à zéro.
Or la nature de l’informatique
fait que ces deux concepts n’ont pas de réalité informatique. Connaître,
mesurer l’impact suppose d’avoir une vision extrêmement claire de la manière
dont chaque application, sous-système et autres contribue aux risques métiers.
Sauf pour des entreprises de structure et processus simples, il est très rare
que cela soit le cas et que le RSSI sache (au sens ait les moyens de) faire une
telle estimation, autre que très grossière.
La probabilité quant à elle n’a
tout simplement pas de sens. Il n’y a en sécurité que deux états, pas trois ni
cent. Un système ou une application est vulnérable ou ne l’est pas. Le hacker a
trouvé une faille ou pas. Le risque n’a donc de matérialité que s’il y a
vulnérabilité. C’est donc binaire, 0 ou 1.
Certains tentent de s’en sortir
en assimilant la probabilité à des choses comme l’idée d’une « densité de
vulnérabilités », où la probabilité croîtrait avec le nombre de failles en
présence. Mais la réalité, c’est qu’une seule vulnérabilité suffit pour qu’un
hacker puisse pénétrer.
Sur la base de ces concepts,
l’analyse des risques sert souvent à identifier des priorités d’action, celles
en réponse aux risques les plus forts, le plus souvent. On voit généralement
ainsi figuré le niveau de risque visé suite à ces mesures, niveaux forcément
plus bas, avec une flèche entre avant et après. Neuf fois sur dix, les flèches
obliquent du coin supérieur droit vers le coin inférieur gauche (du plus de
risque au moins de risque).
Sauf que ce n’est presque jamais
vrai. Car lorsqu’on colmate une faille, on ne change pas l’impact, on ne change
que la probabilité. La flèche doit donc être verticale (ou horizontale, selon
les axes). Mais pas oblique. C’est un détail ? Allez dire cela à celui qui
vous finance. Combien ont des flèches obliques chez eux ?
L’analogie du maillon faible
Pour finir avec la notion de
risque, on prendra l’analogie avec le maillon d’une chaîne, souvent utilisée
comme illustration, par exemple sur l’enquête 2012 de Ernst & Young. Elle
relève de la physique où la résistance des matériaux peut être approchée par
analyse statistique. Sur une chaîne, un maillon peut rompre, mais en réalité
c’est la chaîne qui rompt et il suffit de la renforcer pour régler le problème.
Rien de tel en sécurité informatique. Si un maillon doit rompre, cela ne devra
rien au hasard. Et personne ne s’en apercevra.
Internet n’est pas sécurisé
On trouve assez fréquemment des
articles qui croient malin de rappeler que Internet n’est pas sécurisé,
c’est-à-dire que la sécurité ne fut pas prise en compte lorsque Ethernet,
TCP/IP, DNS et les autres piliers mêmes du réseau furent conçus et établis. Ce
n’est certes pas faux de prime abord, mais c’est en réalité montrer une
incompréhension profonde de ce qui constitue la sécurité des informations.
Le sécurité ne concerne de
manière profonde que les données. Internet n’a comme fonction que de
transmettre des données de A à B. Et il fait cela très bien, il est assez
fiable, et donc sûr d’une certaine manière, pour avoir été adopté pour cette
fonction. Mais jamais Internet ne pourra sécuriser des données dont il ne sait
pas si elles doivent l’être ou pas.
Il n’y a que le propriétaire des
données qui peut savoir et décider du besoin de sécuriser ses données et contre
quoi ou qui. Dire que le réseau n’est pas sécurisé, c’est donc ne pas
comprendre la sécurité. Au mieux, c’est dire que les gens ou entreprises qui
ont des données ne les sécurisent pas « suffisamment » avant de les
confier au Net pour les transmettre. C’est très différent.
Je mets « suffisamment »
en guillemets parce que là encore il n’y a pas de ligne absolue, et c’est
souvent mal compris. On pourrait ainsi à l’inverse dire que Windows est
sécurisé – Microsoft ne s’en prive pas – sous le prétexte, inverse de celui
d’Internet, qu’il offre de nombreuses fonctions et paramètres pour protéger les
données sous son contrôle. Quiconque a pu constater combien il est facile
d’accéder à des données sous la plupart des machines Windows comprendra. Or les
deux extrêmes sont tout aussi faux.
Pour que Windows soit
« suffisamment » sécurisé, il est nécessaire de savoir ce qu’il y a à
sécuriser et envers qui, puis configurer le système pour qu’il respecte ce
qu’il est convenu d’appeler une politique ou un modèle de sécurité. Ce n’est
pas garanti d’être suffisant, mais c’est déjà pas mal dans bien des cas. De la
même façon, pour que le Net soit sécurisé, il faut par exemple chiffrer les
données sensibles qui transitent.
Ce n’est ni à Windows ni au Net
de sécuriser quoi que ce soit. Ce malentendu est d’ailleurs à mon sens la
source de 90% des incompréhensions entre le management et les opérationnels, le
premier ne comprenant pas que les seconds n’aient pas spontanément sécurisé les
systèmes techniques selon leur vue des enjeux, vue qu’ils n’ont pas eux-mêmes
spontanément exprimée sous forme de politique exploitable. Là est un des vrais
enjeux.
Le rôle de l’état sur le Net
Depuis l’affaire Snowden, mais
aussi un peu avant avec le virus Stuxnet, les journalistes ont repris goût à la
question du rôle de l’état sur le Net et dans les questions de sécurité
en général. Il n’est pourtant pas très difficile de comprendre qu’aucun état
n’a quelque légitimité que ce soit sur le Net.
Il y aurait là de quoi écrire
une thèse en droit et une thèse en informatique, mais essayons de voir les
arguments principaux. Tout d’abord, Internet est un monde virtuel, sans aucune
réalité matérielle et où les notions de base de droit ne sont absolument
pas applicables. Il n’y a pas de juridiction car il n’y a pas de territoire et
il n’y a pas de frontières pour limiter le champ de l’état. Il n’y a pas de
droit car il n’y a pas de propriété – et il n’y a pas de propriété parce qu’il
n’y a pas – sauf de rares cas très précis – de conflit d’accès à la ressource
informatique. Il n’y a pas de cyber-guerre parce qu’il n’y a pas de victimes ni
d’ailleurs de cyber-citoyens. Oui je sais, cela va à l’inverse de tout ce que
dit le droit positif moderne sur la question. Mais le droit positif montre
souvent plus de côtés négatifs que le simple bon sens.
Un autre angle de vue consiste à
revenir à Max Weber qui nous définit l’état comme une organisation ayant le
monopole de la violence sur un territoire – ladite violence étant réputée
servir à assurer l’ordre. On constate simplement que sur Internet, il n’y a
aucun territoire, encore moins monopolisable, il n’y a pas d’ordre à faire
régner et il n’y a pas non plus de violence physique. Donc l’état n’a aucune
légitimité sur le Net qui n’en a simplement pas besoin.
Je m’arrête ici sur ce sujet, car
il mériterait un ouvrage. Je suis sûr d’en choquer plus d’un avec ces propos.
Si vous n’êtes pas convaincus, demandez-vous si vous ne confondez pas le
matériel qui constitue ce qu’il faut pour donner vie à Internet et Internet
soi-même.
C’est crypté
Parmi les sujets qui touchent à
l’état justement, il y a le chiffrement, la cryptographie en français plus
courant. Et c’est un sacré trompe-l’œil, car la cryptographie constitue le seul
véritable moyen de protéger les données en informatique lorsqu’il n’est pas
possible d’assurer un contrôle d’accès logique efficace.
De ce fait, on trouve de plus en
plus de crypto un peu partout, dans les échanges, les VPN, les bases de
données, les systèmes d’authentification ou de signature et j’en oublie. De la
même façon, on trouve de plus en plus d’outils ou produits qui offrent du
chiffrement. Mais quel chiffrement ?
A de rares exceptions près, tous
les algorithmes de chiffrement font l’objet d’une autorisation étatique. Pas de
la part de tous les états, mais disons que tous les états acteurs sur le Net ou
ayant des velléités de voir le Net mis sous contrôle ont une réglementation en
matière de chiffrement. Ainsi en France, l’usage de produits est autorisé, mais
inventer et utiliser sa solution à soi ne l’est pas a priori. Et l’usage
de quelques algorithmes reste interdit au public.
La raison en est invariablement
simple : l’état veut pouvoir déchiffrer vos messages et vos données, il
veut pouvoir surveiller ce qui se passe, ce qui se dit et ce qui s’échange. Le
recours au chiffrement pour protéger ses données personnelles est ainsi une
vaste bouffonnerie, puisque ces messieurs peuvent lire ce qu’ils veulent.
Il n’y a donc qu’une seule
solution à ce problème : protégez vos données vraiment sensible en
utilisant un algorithme non autorisé par l’état, ce sont les meilleurs et les
seuls qui protègent vraiment. Une amende ? C’est un prix à payer.
Le syndrome de l’antivirus
Outre les produits de
chiffrement, la sécurité est aujourd’hui assurée pour la plus grosse part par
des « solutions », des produits logiciels commerciaux dont
l’anti-virus est celui connu par le plus grand nombre, y compris la ménagère de
50 ans. Et ces produits se veulent assurer la sécurité qui sinon serait absente
de nos systèmes. Cela est faux pour une bonne part.
Constatons tout d’abord que tous
les systèmes ne sont pas égaux face aux virus. Windows a toujours été une
passoire noyée par les virus alors que la chose est beaucoup plus rare pour ce
qui concerne Linux, Unix et MacOS. Un bon système ne devrait tout simplement
pas rendre les virus possible. Et donc le concept même d’antivirus est une
insulte à la sécurité informatique.
Mais on s’aperçoit vite qu’il y
a bien d’autre produits de sécurité dont le besoin même est aberrant, dans la
mesure où leur n’existence ne se justifie que par déficience des systèmes
d’exploitation. Les systèmes d’IAM sont un autre exemple de fonction certes
très générale de contrôle d’accès logique, mais qui ne s’explique que parce que
les OS n’ont pas la capacité d’utiliser des comptes selon des modèles externes.
Un des problèmes de la sécurité
informatique vient donc du recours à des systèmes d’exploitation qui reposent
sur un modèle de la sécurité sur le Net qui remonte au temps d’avant le Net et
ne permet pas de modéliser les véritables organisations des entreprises
complexes mais réelles.
L’open source n’est pas sûr
Quand on voit combien les
systèmes ‘commerciaux’ sont peu ou mal sécurisés et de vraies passoires dans la
réalité, il est surprenant, voire amusant d’entendre régulièrement cette
légende qui voudrait que les systèmes et applications dits open-sources ne sont
pas assez sécurisés ou sécurisables.
En fait, les entreprises qui
achètent des machines et choisissent les OS pour les faire fonctionner tiennent
un raisonnement faux. Elles constatent avec justesse que les systèmes sont des
passoires et cela le plus souvent parce que les éditeurs livrent des versions
qui ne sont pas absolument débuggées et qui présentent donc des failles. Elles
se disent ensuite, toujours avec justesse, que face à de telles circonstances,
en particulier en cas de piratage, elles n’ont pas les compétences pour
sécuriser « à chaud » ces systèmes.
Elles cherchent donc à pouvoir
se retourner vers des spécialistes qui pourront leur assurer les meilleures
compétences face à ces questions. Et elles tombent alors dans le piège tendu
par les éditeurs. Ceux-ci se placent comme les meilleurs spécialistes de leur
propres produits et donc les sauveurs des passoires qu’ils ont réussi à vendre
auparavant.
Pourtant, un Linux est en
réalité bien plus fiable et sécurisé comme sécurisable qu’un Windows bancal et
poreux. Le gros avantage d’un Linux, c’est que toute la communauté travaille
sans relâche pour blinder ce système. Un Linux est donc en standard bien plus
robuste et bien moins perforable qu’un Windows. Alors pourquoi toujours garder
Microsoft ?
Parce que, paraît-il, comme il
s’agit d’un open source, on ne peut se retourner vers personne en cas de bug.
Si l’entreprise est prise dans une crise à cause d’un bug Linux, aucun recours
n’existe, la seule option est de faire appel à des spécialistes, mais qui ne
seront pas responsables du bug.
C’est là une logique de courte
vue. Parce que les Linux étant bien plus robustes que Windows, il y est
proportionnellement rare de connaître des failles de sécurité. Et c’est ce qui
devrait primer. Le recours à des experts reste toujours possible, il y existe
un vaste marché des experts sécurité open source. Et comme l’open source ne
coûte presque rien, ni le TCO ni la sécurité objective ne plaident en faveur
des éditeurs. Mais leur marketing a réussi à faire peur et nous sommes dans une
société où la peur prime...
Le paradigme du bastion
Avec l’arrivée d’Internet et
surtout celle des firewalls, les entreprises et autres organisations ont peu à
peu ouvert leurs systèmes pour profiter de l’immense potentiel offert par le
concept d’entreprise étendue. Bien sûr, les systèmes étant rarement
conçus dès l’origine pour être totalement ouverts, les firewalls ont servi
d’espèce de ponts levis entre le monde extérieur sauvage et un réseau interne
tout aussi chaotique mais du moins supposé à l’abris. Tout le monde sait cela.
Ce paradigme de la forteresse a
connu de beaux jours, la robustesse des ponts levis aidant et les architectures
à base de DMZ se sophistiquant. Les attaques elles aussi allant croissant, en
nombre et peu à peu en complexité, le paradigme de la forteresse est devenu
celui du bastion, ou de la défense en profondeur, où au lieu d’avoir une seule
enceinte, les barrière s’enchaînent en cercles intérieurs, une peu comme Minas
Tirith, forteresse superbe du Gondor.
Malheureusement, ce type de
paradigme est une erreur de conception depuis le début. On le voit dans le
film, Minas Tirith est plus difficile à percer et à prendre que le Gouffre de
Helm qui a moins de remparts. Mais elle aurait cédé tout autant sans l’arrivée
des secours. Avec la puissance des APT actuels, peu importe la défense en
profondeur. Ce qui compte, c’est soit une sécurité sans faille, soit la prise
de conscience que les hackers finiront par passer.
De plus, à l’intérieur de chaque
enceinte, les systèmes se supposent à l’abris et plus aucune – ou rare – mesure
ne vient se mettre sur le chemin des hacker ayant réussi à arriver jusque-là.
Et les vols et autres dégâts sont désormais en rapport.
Bien sûr, sécuriser un système
qui n’a pas été conçu pour l’être peut coûter cher, surtout a posteriori.
Mais il n’y a pourtant que deux cas dans notre monde. Soit une application ou
ses données sont vraiment sensibles et doivent être sécurisées. Et dans
ce cas ce n’est pas Minas Tirith qu’il faut car elle ne suffira pas, mais ce
sont les données elles-mêmes qu’il faut sécuriser. Soit l’enjeux est moindre
voire absent, et dans ce cas pourquoi ne pas ouvrir totalement les systèmes,
histoire qu’au moins on gagne sur la fluidité ?
Encore une fois, on ne peut pas
raisonner en informatique avec les notions de risques du monde réel. C’est un
monde binaire et les arbitrages ne peuvent eux aussi qu’être binaires.
La non-sécurité est une fatalité
Ainsi, en cumulant toutes les
erreurs précédentes et bien d’autres, on en arrive avec la conviction implicite
des uns et des autres qu’il n’est pas, sinon plus, possible d’assurer une
véritable sécurité informatique, le sujet et les systèmes étant devenus trop
complexes. Il n’en est bien sûr rien.
Il est parfaitement possible de
constituer un système, sous-système ou application absolument sûr. Ou même
simplement « très » sûr. Les militaires le font, en isolant leurs
systèmes, par exemple. Ou en chiffrant strictement tout. Et sans dépendre en
aucune façon de logiciels commerciaux farcis de failles. Il n’y a aucune
difficulté. Il juste un budget.
Et il faut juste savoir ce qu’on
veut. Et c’est précisément sur ce point que beaucoup d’entreprises pèchent. Comme
l’histoire a fait que le paradigme du bastion s’est imposé à une époque où les
hackers étaient moins forts, elles ont pris l’habitude de poser comme principe
que ce qui prime, c’est la simplicité des échanges et la fluidité des
communications internes comme externes.
Avec comme conséquence que très
souvent, les systèmes ou données réellement sensibles, quand ils sont connus ce
qui n’est pas si fréquent, sont noyés indistinctement au sein d’un réseau peu
sécurisé et eux-mêmes sans sur-sécurisation particulière. Ou comme autre
conséquence que les équipes des RSSI sont vues et se voient elles-mêmes, ce qui
est pire, comme des empêcheurs de développer en rond. Alors que la sécurité
devrait être un enjeux primaire des DSI.
Il n’y a qu’une seule issue, me
semble-t-il. Il faut que les RSSI cessent de vouloir boucher les trous de leurs
gruyères et avec le budget ainsi économisé, se concentrent sur la mise en place
de bastions dignes de ce nom et dans lesquels la sécurité des quelques données
qui le nécessitent soit réelle. Mais attention, un vrai bastion. Pas derrière
un simple firewall. Derrière les deux seules mesures qui sont quasiment
inviolables sans coûter une fortune : le chiffrement basé sur des
algorithmes non autorisés et une authentification par empreinte digitale,
disponible en standard sur de nombreux PC.
On peut aussi hacker de tels
systèmes ? Certainement. Mais cela sera cher. Les données dérobées seront
donc très chères. La dissuasion fonctionnera donc pour le plus gros de la
foule. Pour les données hyper-sensibles, ou s’il s’agit de se protéger des
chinois, la solution reste encore plus simple : ne les mettez pas sur le
réseau. Non, il n’y a pas de sécurité sans risque – on reboucle…
(*) J’ai écrit un article sur Contrepoints dont
la thèse est de contester la notion d’opinion politique, dans la mesure où la
théorie ne laisse aucune place au doute, seul le libéralisme est humaniste et
viable. C’est un peu la même chose en sécurité, on peut exprimer plein d’avis,
mais il n’y a qu’une seule réalité technique, une seule interprétation correcte.
No comments:
Post a Comment