Technologies

Cybersécurité : il faut protéger les données, pas les systèmes

---

Le 20 janvier 2016, le Club de la Presse Informatique B2B (CPI-B2B) a réuni des experts sur l'évolution de la conception de la sécurité des systèmes d'information. Face à l'évidence du manque de pertinence de la sécurité purement périmétrique, il reste tout de même à réussir une révolution culturelle des mentalités.

PublicitéDepuis toujours, la valeur réside dans les données et pas dans les systèmes. Pourtant, jadis, la sécurité informatique était bien celle des systèmes, dans une logique périmétrique. Si chacun sait aujourd'hui, à l'heure des systèmes ouverts, que la sécurité seulement périmétrique est dépassée, il reste malgré tout, selon les participants à la table ronde organisée par le Club de la Presse Informatique B2B (CPI-B2B) le 20 janvier 2016, à réaliser une véritable révolution culturelle dans les mentalités.
Il s'agit bien de comprendre que la sécurité doit s'appliquer aux données, pas aux systèmes, et que l'approche doit être celle d'une gestion des risques. Il est en effet absurde de considérer que l'on peut définir une zone sure où il n'y aurait que des gentils et des zones où circuleraient les méchants. Plus les systèmes sont ouverts (aux clients, aux partenaires...), plus ils sont connectés, plus ils sont utilisés par de multiples terminaux (notamment mobiles), moins l'approche périmétrique est suffisante. Malgré tout, elle reste une protection nécessaire pour arrêter des attaques primitives qui restent nombreuses.

Ah, le bon vieux temps...

La révolution a débuté avec l'émergence des réseaux IP. Les moins jeunes d'entre les participants se sont en effet souvenus du temps où connecter deux systèmes supposait un effort de chaque côté. L'arrivée des réseaux IP a amené une ouverture par principe à des flux d'origines variées et difficilement séparables. Mais relier directement deux systèmes par un lien physique dédié revient à la mode comme en a témoigné Equinix. Sur les 360 clients de son datacenter parisien, de plus en plus utilisent des fibres privatisées pour les relier les uns ou autres. Il existe 7000 connexions point-à-point au sein du datacenter parisien de cet hébergeur. Du coup, on rétablit une sorte de périmètre de confiance, ou en tous cas de liaison de confiance, même si la confiance n'est plus absolue puisque le système connecté peut-être corrompu.
Le développement de la virtualisation et du cloud ne change pas fondamentalement les choses. La sécurité embarquée dans une machine virtuelle suit simplement la machine virtuelle là où elle est hébergée. Il faut juste prévoir également une sécurité au niveau des hyperviseurs. La vraie différence est plutôt entre les systèmes hébergés sur une infrastructure interne ou bien sur une infrastructure sous-traitée et partagée. La question, alors, est la confiance accordée au prestataire tiers.

Les méchants sont déjà à l'intérieur

La véritable difficulté est de définir le méchant. L'affaire Snowden a rappelé qu'un individu totalement habilité peut constituer la faille de sécurité dans un système. Mais, le siècle dernier, le CLUSIF mentionnait déjà que 70% des fraudes avaient une origine interne. De plus, l'infiltration d'un système d'information reste un acquis : si aucun pirate n'est actuellement infiltré, un jour, il y en aura un.
Une fois acquis que la dichotomie gentil/méchant n'a guère de sens en sécurité informatique, on peut se dire que la vérification des usages est la bonne solution. On arrive alors aux solutions de DLP (data loss protection). « Le grave problème du DLP est le marketing américain : dès qu'un américain sort un produit, il est la panacée universelle, un peu comme si le prochain firewall allait aussi permettre d'enregistrer les écritures comptables » s'est moqué Lazaro Pejsachowicz, président du CLUSIF. En effet, comme dans l'affaire Snowden, si un acteur utilise ses droits pour faire fuiter volontairement des données, la DLP ne sert à rien. Or la plupart des pirates se comportent a priori comme des utilisateurs normaux en ayant usurpé une identité valide.

PublicitéProtéger les données par les systèmes connus

Alors, protéger les données, c'est bien beau, mais comment procéder ? L'idéal n'existe pas encore de manière intégrée. Certaines briques apparaissent ici ou là. Il s'agit bien d'étiqueter les données, leurs valeurs et les droits d'utilisation. Or l'étiquetage lui-même pose problème. Chaque métier, propriétaire de ses données, a tendance à considérer que ce qui est stratégique est ce dont il s'occupe. Il faut donc bien que le RSSI arbitre sans se fier uniquement aux métiers. Pour l'heure, la protection des données passe donc par la protection des systèmes où les données transitent ou sont stockées. « La protection des données est un buzzword » a tranché Stéphane Geyres (Accenture).
Surtout, il faut focaliser son attention sur les « bijoux de famille ». Cela suppose d'identifier ce qui peut avoir de la valeur pour les pirates. Cette identification passe par une démarche d'intelligence économique. Par exemple, les priorités du plan quinquennal chinois vont motiver les actes des pirates venant de l'Empire du Milieu.
Enfin, l'éducation des utilisateurs peut aussi être un leurre ou une manière pour les fournisseurs de se dédouaner un peu facilement. Ainsi, Stéphane Geyres s'offusque : « c'est très bien de fustiger l'utilisateur qui a cliqué sur un PDF dans un e-mail d'hameçonnage mais le problème est tout de même qu'un PDF puisse être infecté et qu'un virus puisse s'y exécuter en prenant la main sur le système d'information. C'est bien à la technique d'empêcher ce genre d'attaque ! »
Pour Lazaro Pejsachowicz, la conclusion s'impose d'elle-même : « la seule chose que je demande, c'est que personne ne dise : la sécurité c'est ça ! »

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article