gtnlo.blog est un journal en ligne traitant de la sécurité informatique en vue de la démystifier, rendre accessible au commun des mortels, permettre à tout un chacun de gagner en autonomie pour se protéger au maximum soi-même, son organisation ou son entreprise.
Le constat source de problème : Juste 2 principes négligés mais susceptibles de nous préserver d’au moins 95% des attaques informatiques
D’après certaines recherches menées par IBM, les erreurs humaines s’imposent comme un facteur contributif dans 95 % des failles en cybersécurité. En d’autres termes, 19 sur 20 failles en sécurité informatique impliquent une erreur humaine. Malgré ce chiffre ahurissant, monsieur tout le monde ne semble pas encore avoir compris que la « la sécurité est un enjeu majeur pour les entreprises. Elle n’est plus confinée uniquement au rôle de l’informaticien. », comme le dit Wikipedia. Pourtant, une simple prise de conscience rendrait le monde numérique et les systèmes informatiques quasi-imprenables, au moins à 95%, comme l’a relevé IBM, mais, comment y parvenir ? Nous avons à cet effet, relevé 2 principes importants en matière sécurité informatique, ainsi que des recommandations utiles sous forme de lignes directrices pour leur mise en œuvre.
Principes 1 : le niveau de sécurité d’un système est celui de son maillon le plus faible, l’humain représente le plus grand risque en matière de sécurité informatique
Une infrastructure correctement sécurisée techniquement parlant ne rend pas un système infaillible. L’homme est le maillon le plus faible de la chaîne et pour comprendre pourquoi, il suffit par exemple de se poser ces quelques questions :
- Qui écrit ou conserve physiquement ses mots de passe ?
- Qui utilise la même adresse email et les mêmes mots de passe pour plusieurs comptes internet ?
- Qui se connecte sur n’importe quel réseau wifi à partir du moment où il permet d’aller sur internet ?
- Qui clique à tout va sans se poser de questions ?
- Qui utilise les réseaux sociaux et navigue sur n’importe quel site en toute insouciance ?
C’est bien l’homme qui plus est, est un animal social. En d’autres termes, le besoin pour l’humain de se connecter aux autres, de s’ouvrir de discuter parfois un peu trop sans mesurer la portée ou les conséquences potentielles, d’avoir des envies ou de vouloir profiter de certaines offres ou opportunités, rend l’humain vulnérable à diverses formes d’ingénierie sociale susceptibles de l’exposer lui, ses actifs numériques, sa vie privée, ses biens, l’organisation pour laquelle il travaille ou son entreprise.
Principe 2 : la défense en profondeur
L’idée derrière le principe de défense en profondeur consiste à combiner plusieurs outils de sécurité couvrant un large éventail de menaces potentielles dans le but de prévenir et détecter les attaques sur les endpoints (terminaux), les données, les applications et les réseaux d’une organisation. Bien que parfois utilisée de manière interchangeable, il ne s’agit en aucun cas d’une défense en couches.
Dans une approche multicouches, les produits utilisés sont combinés pour traiter un seul aspect de la sécurité tel que le filtrage des mails ou encore la détection des intrusions. Pourtant avec une défense en profondeur, la portée est beaucoup plus large, plus stratégique car intégrant toutes les mesures de sécurité de l’organisation permettant d’aborder tous les problèmes liés à la sécurité de son système. Nous pouvons donc dire sans risque de nous tromper qu’une défense en profondeur peut intégrer des approches multicouches sur certains aspects, mais la réciproque n’est pas vraie.
Aperçu des types de contrôles mis en œuvre dans une stratégie de défense en profondeur :
- Les contrôles de sécurité physiques : permettent de défendre les systèmes informatiques, les bâtiments d’entreprise, les centres de données et d’autres actifs contre les menaces via l’usage d’outils de contrôle physiques tels que les caméras de surveillance, les systèmes d’alarme, les scanners de cartes d’identité, les lecteurs d’empreintes digitales, les systèmes de reconnaissance faciale, etc.
- Les contrôles de sécurité techniques : sont des matériels et les logiciels utilisés dans l’optique d’empêcher les violations de données, les attaques DDoS, et d’autres menaces qui visent les réseaux et les applications. Les pare-feu, les passerelles web sécurisées (SWG), les systèmes de détection ou de prévention des intrusions (IDS/IPS), les technologies d’isolation des navigateurs, les logiciels de détection et de réponse aux points de terminaison (EDR), les logiciels de prévention des pertes de données (DLP), les pare-feu d’applications web (WAF), les logiciels anti-malware, et bien d’autres, sont quelques types d’outils couramment utilisés à ce niveau.
- Les contrôles de sécurité administratifs : font référence aux politiques, plans, procédures, programmes de formations du personnel et toute l’artillerie administrative permettant de s’assurer que les utilisateurs pratiquent une bonne hygiène de sécurité, préservent la confidentialité des données et évitent d’exposer les systèmes, les dispositifs et les applications à des risques inutiles.
Comment tirer parti ou mettre en œuvre ces principes ?
Il faut savoir que la sécurité est loin d’être une fin en soi, c’est un processus continu qui devrait nous accompagner au jour le jour. Ainsi, en tenant compte du facteur de risque critique et imprévisible que représente l’humain, pour lui-même et les organisations auxquelles il appartient, les lignes directrices suivantes peuvent permettre de mieux le contenir et ainsi, se mettre à l’abris de la majorité des attaques informatiques :
- Une culture aiguisée en matière de sécurité informatique : l’idée à elle seule fait peur à beaucoup, comme quoi, ce serait une affaire de geeks, nous autres pauvres mortels, on suit simplement mais que non ! Pour faire un parallèle, comment vous comportez-vous dans des cas de maladies ? N’avez-vous pas connaissance des facteurs de risques qui nous exposent aux hépatites par exemple ? Ne vous donnez-vous pas le maximum de chances pour appliquer les bonnes pratiques et se mettre à l’abris ? Et même au pire des cas, seriez-vous un patient passif qui laisse sa vie entre les mains des médecins sans être capable de bien les orienter, comprendre ce qu’ils prescrivent, etc. Si vous êtes d’accord avec moi que s’installer comme capitaine du bateau en ce qui concerne votre santé, vous permet de la garantir au maximum, alors faire pareil en matière d’informatique devrait être plus qu’évident. C’est plutôt le « comment faire » qui pourrait être sujet à débat dans la mesure où lorsqu’on entend généralement parler de sécurité informatique, c’est lorsqu’un incident s’est produit, une attaque sévit alors que la sensibilisation, première source d’information en la matière, devrait être continue.
- Comprendre les hackers, leur modus-operandi ainsi que la manifestation concrète de leurs exploits : pouvoir se mettre dans la tête d’un attaquant afin de se donner les moyens d’assurer une défense en profondeur effective. Ce n’est pas qu’une affaire de hackers éthiques (spécialistes du domaine) mais de tous comme dans votre maison, n’êtes-vous pas conscients de différents scénarios dont pourraient se servir de potentiels bandits ? Vous y avez pensé d’une manière ou d’une autre, il suffit de regarder tout ce que vous avez installé et les mesures de diverses natures (organisationnelles, administratives et même juridiques) que vous avez pris en fonction. Pour faire tout cela, il eut fallu que vous pensiez un tant soit peu comme un attaquant. L’efficacité d’une telle approche ne pourrait-elle pas également être la même parlant de numérique ou d’informatique ?
Notre idée et élément fondateur de notre ligne éditoriale est donc simple : vous permettre de devenir le capitaine de votre propre bateau en matière de sécurité informatique, via une sensibilisation et un programme concret de formation continue accessibles à tous.
Ceci sera avantageux aussi bien en temps de « paix », lorsque vous n’êtes pas encore pris pour cible mais aussi, lorsque ce sera tragiquement le cas, afin que vous puissiez réagir vous-même de façon adéquate, ou le cas échéant, de guider avec maestria une expertise plus avancée.
Mes posts tourneront ainsi autour de l’actualité ; de conseils et bonnes pratiques informatiques ; des vidéos à des fins de démonstration, d’explication et de sensibilisation et aussi, de culture digitale étalée en différentes thématiques du lundi au vendredi.
N’ayez pas peur de partager avec votre famille et votre hiérarchie, le contenu de ce blog n’est pas réservé aux seuls initiés. Bienvenue sur gtnlo.blog.
Gilbert Thierry NLO, Expert en Sécurité Informatique.
Références:
- https://www.aurelium.be/fr/blog/utilisateur-maillon-faible
- https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information
- https://fr.wikipedia.org/wiki/Capital_humain
- https://www.swisssign.com/fr/fachartikel/faktor-mensch
- https://i.crn.com/sites/default/files/ckfinderimages/userfiles/images/crn/custom/IBMSecurityServices2014.PDF
- https://www.orangecyberdefense.com/fr/insights/blog/cyberdefense/failles-de-cybersecurite-la-necessite-de-reconnaitre-le-facteur-humain#c24683
- https://shs.cairn.info/revue-strategique-2017-4-page-83?lang=fr
- https://www.forcepoint.com/fr/cyber-edu/defense-depth
- https://www.fortinet.com/fr/resources/cyberglossary/defense-in-depth
- https://www.cloudflare.com/fr-fr/learning/security/glossary/what-is-defense-in-depth/