Chaque année, les problèmes de sécurité informatique des entreprises ne font que se complexifier. En cause, des attaques de plus en plus nombreuses, et des systèmes d’informations de plus en plus complexes, le tout associé à des organisations de travail qui impliquent souvent du travail distant ou l’utilisation de matériel en dehors des locaux sécurisés de l’entreprise.
Mais le plus dangereux, dans la sécurité informatique comme dans beaucoup d’autres domaines, c’est de croire que l’on sait comment se protéger, alors que l’on continue d’effectuer des erreurs !
C’est pourquoi nous avons recensé, dans cet article, 4 pratiques de sécurité informatique qui semblaient être, au départ, de bonnes idées, et qui se révèlent, au final, des faux amis !
1) Compter sur un système qui recense les failles de sécurité
Aux premiers temps de la sécurité informatique, il existait peu de failles informatiques ou de virus. Il paraissait assez simple de les reconnaître et de les mettre en quarantaine dès qu’ils étaient détectés, et cela marchait plutôt bien !
Sur le papier, ce système de prévention semble être l’attitude parfaite pour se prémunir des cyberattaques, qui, on le sait, finiront bien par arriver, pour peu que le site soit un minimum fréquenté. Cependant, avec le temps et la démocratisation d’Internet, les virus et attaques en tout genre se sont multipliés de manière exponentielle, à tel point que désormais les anti-virus doivent avoir en mémoire 75000 types d’attaques différentes !
Alors, où est le problème me direz-vous, tant que la base de données est mise à jour ? Le problème est simplement que le nombre de virus à arrêter est infiniment plus grand que le nombre de fichiers sains à laisser passer.
En l’état actuel des choses, votre anti-virus bloque tous les virus ou fichiers qu’il reconnaît depuis sa base de données, mais laisse passer tout le reste. Sachant qu’il apparaît plusieurs centaines de nouveaux virus apparaissent tous les mois, cela parait un peu ridicule vous en conviendrez ? Imaginez que vous connaissiez 100 personnes, sur cette centaine seulement 10 ont votre confiance, 75 sont reconnus comme des voleurs et les 15 restantes sont des inconnus… Laisseriez-vous entrer ces 15 inconnus chez vous ? Comme toute personne censée, bien sûr que non !
La solution paraît évidente, mais elle est pourtant bien trop peu appliquée : autoriser l’accès à votre système par défaut uniquement aux applications connues et reconnues. Difficile me direz-vous ? Et pourtant, c’est une solution qui demande seulement une bonne connaissance des outils utilisés par l’entreprise et un suivi régulier des demandes d’autorisations des utilisateurs. N’autoriser que les applications et services connus, c’est la solution la plus fiable sur le long terme pour se prémunir de toutes cyberattaques, ainsi que des failles humaines !
2) Mettre à l’épreuve un site avec le “Penetrate and Patch”
Concrètement qu’est-ce que c’est ? Il s’agit de mettre à l’épreuve un site en essayant de trouver et d’exploiter une faille. C’est ce qu’on appelle l’étape : “penetrate” Puis la deuxième étape consiste à les réparer (“patcher”) afin de se prémunir contre de futures attaques.
Cette méthode bien connue des développeurs pour tester leur code est controversée à juste titre et nous allons voir pourquoi.
Comme de nombreuses méthodes de test, en théorie, c’est intéressant… en théorie seulement !
Mais où est donc le problème ? Je vous les donne en mille, car il n’y en a pas qu’un :
- Les développeurs résolvent les failles de sécurité qu’ils identifient eux même et en suivant leurs propres méthodes ! Les hackers peuvent très bien en trouver des différentes auxquelles personne n’avait pensé avant.
- Les patches, qui sont censés résoudre les problèmes, sont souvent faits à la va-vite et traitent plus les symptômes de l’attaque que la cause réelle de l’attaque en elle-même.
- Les patchs correctifs doivent systématiquement être appliqués, et lorsqu’il s’agit de systèmes très complexes, les administrateurs rechignent à appliquer des changements qui ont été testés sur une bêta et qui pourraient avoir des conséquences inattendues sur la version en ligne du site ou de l’application.
En résumé, c’est comme si on construisait un bunker avec des fenêtres, qu’on le prenait d’assaut, et que finalement on barricadait les fenêtres avec des planches en bois, ridicule non ?
3) Croire que le hacking est à la mode
Le hacking a le vent en poupe ces dernières années, c’est indéniable. À l’origine de cette tendance, beaucoup de films américains dont les héros sont des “hackers” renvoient une image cool de la pratique.
On les distingue souvent en deux familles: les “white hat” c’est-à-dire les gentils hackers et les “black hat”, soit les méchants hackers. Plus récemment, des regroupements assez obscurs de hacker biens connus comme les Anonymous ont souvent fait les unes des journaux, avec des opérations théâtrales contre des groupes extrémistes qui ont ravi le grand public. Il est bon de noter que selon les orientations politiques, ils peuvent échanger leurs chapeaux assez facilement !
Mais en quoi cette mode est un problème ? Parce qu’elle véhicule une image positive du hacking, et qu’elle laisse à penser que les hackers ne s’attaquent qu’à des machines ou à des systèmes, mais pas à des êtres humains.
L’image du hacker qui a été renvoyé au grand public ces dernières années a dissocié le délit que constitue une cyberattaque du statut de délinquant de celui qui le pratique. L’idée qu’une personne introvertie derrière son ordinateur, puisse utiliser des arnaques à grande échelle depuis son garage, n’est pas forcément associées aux délits qui en résultent, tels que le phishing ( mais si vous savez, le fameux mail qui vous demande vos coordonnées bancaires etc..)
De plus, les hackers sont souvent encensés dans les media comme étant des “génies précoces” ou de “brillants surdoués” enfonçant un peu plus dans la tête du grand public que, “le hacking, c’est cool !”.
Certains pourront alors dire que les hackers sont une partie importante des processus d’amélioration des pare-feu, car ils aident à prévenir les futures attaques, mais cela présente les même défauts que les effets décrits plus haut dans le paragraphe sur le “Penetrate and patch”…
Enfin, les entreprises sont, elles aussi, influencées par la mode et recrutent des hackers pour tester la sécurité de leurs sites, comme si cela leur donnait une immunité aux prochaines attaques.
À contre-courant de cette mode, les experts en sécurité informatique qui arrivent à rendre leurs sites ou autres systèmes imperméables aux attaques extérieures ne sont pas reconnus à leurs juste valeur. Il serait agréable de penser qu’un jour les ingénieurs en sécurité informatique seront les “Cool Guys “ qui bâtissent des forteresses impénétrables, résistant encore et toujours aux hackers.
4) Compter sur la formation et la sensibilisation des utilisateurs pour se protéger
Toujours dans la mouvance des bonnes idées qui s’avèrent douteuses, il y a l’idée que les problèmes informatiques résultant des erreurs humaines doivent uniquement être corrigés par la formation et la sensibilisation des utilisateurs.
Bien entendu, un minimum de formation est utile pour permettre à tout un chacun de disposer des bons réflexes en matière d’usages et d’habitudes informatiques.
Mais même si la volonté de sensibiliser les utilisateurs d’un système informatique à la cybersécurité est une bonne idée en soi, la situation découle parfois du fait que le système de base n’est tout simplement pas suffisamment sécurisé dès le départ
Explorons un peu plus en profondeur le problème. Lorsqu’un site, application ou je-ne-sais-quel-système est créé, il est censé être pensé afin de parer à un maximum d’éventualités en matière de cybersécurité, par exemple, en limitant au maximum l’intervention manuel des utilisateurs afin de se prémunir contre les attaques.
Or faire confiance à des dizaines, centaines, voire milliers d’utilisateurs dans une entreprise afin de ne pas cliquer sur une pièce jointe est un pari difficile à prendre ! Dire que l’on forme ses utilisateurs à ne pas tomber dans les pièges du phishing et autres failles sans essayer de s’en prémunir en amont, revient à remplir le tonneau des Danaïde, c’est à dire, à remplir un tonneau déjà percé…
Il n’est pas normal que dans un network intra-entreprise, des employés puissent recevoir des pièces jointes douteuses de l’extérieur dans l’indifférence générale. Une solution possible à ce problème pourrait être un outil capable de mettre en quarantaine toutes les pièces jointes rentrantes sur un serveur sécurisé dédié atteignable avec un explorateur SSL, accessible seulement par mot de passe pour faire simple. MIMEDFang qui est un logiciel de filtrage de courriel électronique bien connu pourrait tout aussi bien être une alternative viable, puisqu’il est précisément né de ce besoin au Canada à dans les années 2000’s où les virus sévissaient de manière incontrôlable.
Et voilà pour nos 4 faux amis de la cybersécurité, il en existe bien d’autres évidemment et peut être feront-ils l’objet d’un prochain article ? En attendant, restez vigilants et n’oubliez pas : la meilleure défense n’est pas celle que l’on répare, mais celle qu’on ne peut pas attaquer.