Les leçons de la gestion d’une pandémie pour la cybersécurité

Cropped Favicon Economi Matin.jpg
Par Sébastien Weber Publié le 7 mai 2020 à 6h37
Masque Coronavirus Supermarche
@shutter - © Economie Matin
1000 MILLIARDS €Le coronavirus aurait fait perdre 1.000 milliards d'euros à l'industrie du tourisme européenne.

Les méthodes pour lutter contre le COVID-19 peuvent inspirer les entreprises dans la défense numérique de leurs systèmes d’information et la protection des accès de leurs collaborateurs.

La pandémie COVID-19 a des répercussions globales : restrictions de voyage, fermeture des écoles et des bureaux, annulations d’événements… les changements au sein de notre vie quotidienne sont nombreux tandis que les nations luttent pour maîtriser la propagation du virus.

Les entreprises, quant à elles, ne sont pas en reste : alors que des millions d’employés passent du travail en présentiel au télétravail, elles doivent s’adapter afin de maintenir la continuité de leurs activités et la sécurité de leurs systèmes critiques.

Et en prenant un peu de recul, il apparaît qu’en définitive ces deux fronts ne sont pas si éloignés l’un de l’autre que l’on pourrait le croire ! Et peut-être même que les stratégies déployées pour lutter contre la pandémie pourraient inspirer celles que mettent en œuvre les entreprises pour continuer à se protéger sur le front numérique…

Le confinement n’est jamais parfait

L’une des premières mesures de la lutte contre la pandémie consiste à mettre en place une quarantaine afin de contenir la propagation du virus. Le concept est simple : rien ne sort, et la menace est donc contenue.

La réalité est que les quarantaines vont probablement être imparfaites et le virus commencer à se propager quoiqu’il arrive. Les stratégies de confinement fuient, tout comme bon nombre de nos contrôles en matière de cybersécurité.

Pour autant, le confinement est indispensable. Mais il s’agit en fait d’une série de stratégies différentes, appliquées de diverses manières avec des objectifs différents.

  • Il y a tout d’abord l’isolement des personnes infectées, qui est similaire à l’utilisation d’outils de détection de logiciels malveillants et du verrouillage automatique des machines afin de les isoler du réseau
  • Il y a ensuite des quarantaines appliquées à des zones géographiques, qui sont analogues à la façon dont nous utilisons la segmentation des réseaux avec des pare-feu (création de VLAN isolés)
  • Il y aussi le suivi des contacts personnels des personnes infectées, qui est similaire à la façon dont nous effectuons l’enregistrement et la surveillance du trafic et des comportements sur le réseau
  • Enfin, il y a les restrictions de voyage imposées avec des points de contrôle, qui sont comparables à la façon dont nous utilisons le déchiffrement et l’inspection du trafic pour filtrer les menaces qui, sans cela, se propageraient sans être identifiées

Cependant, malgré tous ces contrôles, personne parmi les professionnels de la SSI ne s’attend à ce qu’ils fonctionnent parfaitement !

Mais cela ne signifie pas pour autant que nous devons abandonner nos pare-feux ! Ainsi, la quarantaine, surtout à grande échelle, n’est certes pas capable d’arrêter seule une pandémie en plein essor. Mais en réalité, tout comme les pare-feux au sein de nos réseaux, les contrôles de confinement visent surtout à gérer et à réduire la menace.

Gérer, cela peut être de savoir mieux évaluer la vitesse de propagation et la nature de la menace. Plus important encore, cela peut nous permettre de gagner du temps afin de préparer les autres défenses, ou éviter de saturer les défenses actuelles.

En bref, il faut s’attendre à ce que les méthodes de confinement fuient et planifier en conséquence.

Le temps est la ressource la plus précieuse

Qu’il s’agisse d’une cybermenace ou d’une pandémie, chaque seconde compte. Des outils comme le confinement nous donnent plus de temps. Mais nous devons également tirer parti d’autres options. Nous avons besoin de renseignements sur les menaces à venir, sur leur nature et sur les ressources qu’elles pourraient viser. Nous avons besoin de données et d’analyses réfléchies pour optimiser notre temps.

Et cela se prépare à l’avance : nous devons planifier, préparer et nous entraîner afin d’avoir les bonnes réponses et les bons outils prêts à l’emploi le moment venu.

Une partie de cette préparation consiste aussi à s’assurer que les dirigeants sont bien informés des menaces et des conséquences potentielles. Cela aussi prend du temps et, en cas de crise, surtout au tout début ! Il se peut qu’il n’y ait pas assez d’éléments pour expliquer complètement ou, pire, corriger les idées fausses. Et cela est particulièrement vrai lorsque les médias polarisent parfois les individus dans la peur ou le déni. Face à cela, l’objectif est alors d’aider les dirigeants à prendre les bonnes décisions.

Mais si nous voulons que les gens soient réellement prudents face à la menace, celle-ci doit être cohérente avec le niveau de risque réel. Par exemple, pour revenir à la cybersécurité, il n’est pas souhaitable de mettre trop fortement l’accent sur les attaques ciblées de type APT si l’on ignore par ailleurs les problèmes les plus courants et probables tels que le phishing.

Il est donc essentiel de brosser un tableau réaliste en quantifiant les dégâts et la probabilité d’occurrence aussi clairement que possible (c’est d’ailleurs la base des analyses de risque). Il est également important de parler en termes d’entreprise et non de technologie. Pour cela il peut être utile de considérer tous les autres risques et défis auxquels les dirigeants sont confrontés, tels que les concurrents, les changements technologiques, les récessions, les licenciements ou encore les changements réglementaires. Parfois, le fait de se faire pirater n’est finalement pas très grave par rapport aux autres problèmes qui se posent…

Le « tri » du mot « triage » signifie trois…

Le triage est un concept important de la réponse sanitaire. Cela implique de prendre des décisions de vie ou de mort tout en étant pressé par le temps et contraint dans les ressources disponibles. Ainsi face à un afflux massif de patients, par exemple en cas de pandémie, les professionnels de la santé sont formés pour classer les patients de la sorte :

  • Ceux qui sont susceptibles de vivre quoi que nous fassions. Ces patients peuvent attendre
  • Ceux qui ont peu de chances de vivre, quoi que nous fassions. Le personnel soignant veille à ce qu’ils soient bien traités, mais ils attendent aussi.
  • Ceux pour lesquels des soins immédiats pourraient changer la donne et sauver des vies. Nous consacrons des ressources à leur traitement.

Il s’agit dans tous les cas de compromis, mais l’objectif est bien de sauver autant de vies que possible avec les ressources à disposition. Et pour cela, la proactivité est de mise : en cas de pandémie, cela peut signifier l’hospitalisation des populations les plus vulnérables, les plus jeunes ou les plus âgées, ainsi que la mise en quarantaine des autres personnes, à moins que leurs symptômes ne s’aggravent, afin de libérer un maximum de ressources pour traiter les cas les plus urgents.

Lors de certains incidents de cybersécurité, le RSSI pourra être amené à faire la même chose. Grâce à un bon inventaire actualisé, il sera en mesure d’établir des priorités pour ses applications les plus importantes et les plus vulnérables. D’autres systèmes de moindre priorité pourront ne pas valoir la peine d’être sauvés et être simplement reconstruits « from scratch », notamment en s’appuyant sur de l’automatisation.

Lors de la propagation d’un logiciel malveillant, par exemple, ou encore si un attaquant se déplace au sein d’une organisation, il vaudra toujours mieux perdre une poignée de systèmes si cela permet de mettre en place une surveillance efficace et de solides mesures correctives, qui contribueront à durcir — et donc peut-être à sauver — le reste.

Soyez un urbaniste plutôt qu’un pompier

En résumé, il est crucial d’être un urbaniste plutôt qu’un pompier, afin :

Laissez un commentaire
  • D’utiliser le confinement pour freiner la propagation, sans pour autant compter sur le fait qu’il sera étanche.
  • De mettre en place des stratégies pour maximiser l’utilisation de la ressource la plus précieuse : le temps. Une utilisation efficace du temps consiste entre autres à fournir aux principaux décideurs une communication claire, réaliste et basée sur des données fiables.
  • De prendre de manière proactive des décisions difficiles sur ce qui peut être sauvé et ce qui peut être sacrifié en vue de minimiser les dommages globaux.
Cropped Favicon Economi Matin.jpg

Sébastien Weber, Country manager France, F5 Networks

Aucun commentaire à «Les leçons de la gestion d’une pandémie pour la cybersécurité»

Laisser un commentaire

* Champs requis