15 avril 2015

La "cyber-sécurité": un débat mal positionné?

Une "cyberattaque" sur TV5 Monde suivie d'une attaque de type "Déni de Service" - comme il y en a des dizaines dans le monde sur de nombreux sites chaque mois - sur les journaux "Le Soir", "Sud Presse", "la DH" et "La Libre" et les médias s'emballent.

Il faudrait renforcer la sécurité informatique? Nos données seraient en danger?
Bien évidemment, les médias invitent des "experts" à donner leur avis.
Les premiers, commerciaux de sociétés de consultance informatique, vous expliquent qu'il faut renforcer la sécurité avec des logiciels ou grâce à des audits (qu'ils vendent ou pratiquent, sans doute).
Les suivants, avocats actifs dans la cybercriminalité vous expliquent ce qu'il faut faire pour lutter contre celle-ci sans savoir techniquement de quoi il retourne.

Puis, vous avez ceux qui se taisent; ceux qu'on n'interviewe pas car ils n'ont rien de spectaculaire à dire: les informaticiens.
Ces derniers, eux, savent que le focus n'est pas mis au bon endroit.
Ils savent qu'une architecture informatique performante scinde (via au minimum une zone démilitarisée, voire des serveurs non connectés) les services web facilement "attaquables" sur un réseau dont le principe de base est l'ouverture à tous et les services critiques de l'entreprise et que donc, ce type d'attaque est visible, mais peu risquée pour le "core-business" de l'entreprise si elle a bien fait son job en amont.
Ils savent que l'énorme majorité des failles de sécurité est d'origine humaine et que l'organisation la mieux préparée et la plus sécurisée ne résistera jamais aux utilisateurs qui cliquent par inadvertance sur les attachements de mails qui contiennent des virus ou qui mettent leurs mots de passe sur des post-it accessibles pour tous, voire visibles lorsqu'ils communiquent via téléconférence.

Je ne travaille plus dans la sécurité informatique depuis 15 ans, mais rien n'a vraiment changé sur le fond, même si la technologie a évolué.
Si les troyens se sont fait avoir par un cheval de bois rempli de soldats, c'est parce que le facteur humain a joué, pas la solidité des murailles...

En bref, les médias qui voudraient que l'état investisse de manière déraisonnable dans les technologies de défense devraient se limiter à mettre en avant le fait que l'attaque sera toujours à un moment ou à un autre impossible à contrer. Quitte à investir, mieux vaut le faire dans une solution permettant d'avoir un backup permettant de relancer le système sur un outil séparé non infecté et redémarrer au plus vite plutôt qu'investir dans une muraille qui sera toujours contournable par erreur humaine.

Autre exemple, pour éviter de voir ses photos privées "embarrassantes" étalées au grand jour, la meilleure solution restera toujours de ne pas les faire, ou au minimum de ne pas les placer dans un endroit à risque, ce que sera toujours toute plateforme liée à un réseau dont la base est l'échange d'informations.

Le problème est avant tout un problème de mentalité plus qu'un problème de technologie: mieux qu'un "coyote" faillible, rien de tel que respecter la limite de vitesse pour éviter un procès-verbal ;)

Aucun commentaire: