Cela pourrait être le titre d’une fable, mais cela doit faire écho au quotidien de beaucoup de responsables sécurité aujourd’hui.
Nous avons été abreuvés ces derniers mois d’informations concernant les rançongiciels (Ransomware dans la langue de Justin Bieber) avec deux cas marquants : St Gobain et Renault qui ont dû stopper leurs lignes de production pour faire face à un risque endémique sur leurs infrastructures informatiques.
L’élément commun de ces deux affaires : le point d’entrée
Pour attaquer une infrastructure (un château fort, une maison, une voiture, un système d’information), vous avez 2 choix :
- Le premier est d’utiliser un outillage adapté à votre cible et de tenter d’y rentrer. Malheureusement, les techniques de protection ont aussi évolué, (murs très épais, douves, serrures inviolables, systèmes d’alarme, transpondeurs, verrous électroniques, antidémarrages, firewalls, « Honey Pot », antivirus, chiffrement des transmissions et des supports de stockage, …), ce qui rend les attaques d’autant plus difficiles et risquées et limite le taux de réussite. Si c’est plus dur d’attaquer, c’est moins rentable.
- Le deuxième est de trouver une personne, crédule, naïve ou tout simplement mal informée et de l’utiliser à son insu pour accéder à la ressource convoitée.
Le maillon faible (n’est pas qu’une émission télévisée), c’est aussi le cauchemar de tout responsable sécurité qui se respecte. Un RSSI (ou CISO dans la langue de Donald) doit composer avec une variable majeure dans son entreprise : les utilisateurs.
Les budgets étant ce qu’ils sont, un RSSI doit faire des choix sur les outils qu’il souhaite mettre en œuvre pour sécuriser le SI de l’entreprise. C’est là que le bât blesse, la sécurité ne devant jamais être perçue UNIQUEMENT comme un centre de coût. Entre la gestion des identités, la gestion des comptes à privilèges (les comptes administrateurs dans les applications), la sécurité périmétrique (Firewall, VPN, …), la sécurité des accès (badges), la sécurité du « workplace » (ordinateurs, tablettes, smartphones), il y a de quoi occuper l’équipe du RSSI.
Malheureusement, comme il est toujours plus difficile de s’attaquer à ces sécurités, le point d’entrée choisi par un « cyber-malveillant » n’est pas prioritairement dans la liste (non exhaustive) des outils cités plus haut. En effet, il sera toujours plus facile de rentrer dans un environnement quand quelqu’un vous donne la clé (intentionnellement ou non).
Une campagne d’hameçonnage ou « phishing » (un email qui ressemble à un courrier de votre banque, de votre opérateur téléphonique, etc.) fournira aujourd’hui suffisamment de clés à un cyber-attaquant pour s’infiltrer dans l’entreprise et s’y installer. Quand on sait que le temps moyen de détection d’une attaque ou d’une intrusion dans un système d’information d’entreprise est de 469 jours (Etude FireEye, 2016), cela laisse le temps de fouiller et trouver ce que l’on cherche.
Budget serré VS gestion de la variable « utilisateurs » : que faire dans ces conditions ?
Cette variable impose un grand écart pédagogique au RSSI entre :
- L’utilisateur novice, qui se sert de l’ordinateur parce qu’il n’a pas le choix, et manque de maîtrise sur les outils et la bureautique.
- L’utilisateur trop sûr de lui, qui pense maîtriser le « leet-speak » (jargon de geek qui remplace des lettres par des chiffres pour écrire merci en m3rc1). Il s’agit du profil type pouvant se rendre sur des sites pirates pour récupérer un numéro de série de logiciel qu’il considère comme indispensable dans le cadre de son travail, sans penser qu’il peut potentiellement cliquer sur un lien frauduleux.
En premier lieu, il est bon d’éviter le syndrome « interface siège-clavier ». Plus vous ferez entendre à vos utilisateurs qu’ils sont trop bêtes pour comprendre votre métier, pour comprendre qu’ils sont le premier rempart entre les attaques et les données de l’entreprise, moins ils se sentiront concernés par la sécurité. S’ils sont « trop bêtes » pour comprendre, pourquoi feraient-ils un effort pour vous aider ?
Comme l’a très bien exprimé Albert Einstein : « … Si vous jugez un poisson sur ses capacités à grimper à un arbre, il passera sa vie à croire qu’il est stupide. ». Si vous jugez un utilisateur sur ses compétences en cybersécurité, il passera sa vie à croire qu’il n’y comprendra jamais rien et ne fera aucun effort en ce sens.
La clé pour un RSSI, (et par ricochet pour une entreprise) est de former et informer TOUS ses utilisateurs aux menaces et aux comportements à risques :
- Prenez le temps d’expliquer ce qu’est une attaque malveillante et les ressorts utilisés par les cyber-attaquants.
- Mettez en place des ateliers réguliers pour les tenir au courant des nouvelles menaces, des nouvelles méthodes d’attaque.
- Communiquez vers vos utilisateurs avec des lettres d’information, statistiques à l’appui.
- Organisez des jeux avec des récompenses à la clé, faites-leur découvrir le début d’une attaque avec de faux emails de phishing par exemple.
- Impliquez-les en félicitant les utilisateurs qui repèrent un email frauduleux et donne l’alerte.
- Et surtout, ne vous arrêtez pas. Continuez en permanence à faire de la formation et de la communication.
La communication est essentielle et rentable pour sécuriser votre entreprise
On dit souvent que le temps, c’est de l’argent. C’est bien plus en réalité. Si l’on reprend les chiffres de l’étude FireEye, vous comprendrez qu’un utilisateur aguerri est la meilleure arme qui soit pour préserver votre entreprise d’une attaque. C’est le signal qui permettra de mettre en œuvre les contre-mesures techniques sur votre système d’information, bien plus rapidement que la moyenne de 469 jours ! De « maillon faible » à « vigie », il n’y a qu’un pas idéologique que les RSSI et leurs entreprises doivent franchir pour faire enfin confiance aux premiers vrais remparts : les utilisateurs.