J'ai récemment été interviewé par deux étudiants (1), l'un en doctorat, l'autre un master, les deux mémoires traitant notamment des "Partenariats Public Privé" (PPP) relatifs à la cybersécurité. L'une des questions à laquelle j'ai été confrontée était de savoir si "une externalisation des services et prestations de cybersécurité pourrait se poser comme solution au déficit de moyens humains et financiers des services de l’État ?". Une interrogation qui m'a amené à souligner un risque qui semble émerger du côté du secteur privé et qui, par conséquence, pourrait aussi toucher les services de l’État.
Ce risque concerne le vol d'informations "client" et "projet" chez certains prestataires/consultants naïfs, laxistes ou inconscients (2) du fait d'usages à risques. Qu'importe qu'ils interviennent pour le secteur public ou le secteur privé : la plupart sont des cibles potentielles privilégiées. (3)
Ce risque concerne le vol d'informations "client" et "projet" chez certains prestataires/consultants naïfs, laxistes ou inconscients (2) du fait d'usages à risques. Qu'importe qu'ils interviennent pour le secteur public ou le secteur privé : la plupart sont des cibles potentielles privilégiées. (3)
Parmi les usages à risques qui demeurent étonnamment constants, il y a l'emploi de moyens de stockage insuffisamment protégés. Une hérésie en 2014 alors que des solutions de chiffrement, simples et robustes, existent et que l'affaire Snowden revient régulièrement sur le devant de la scène. Si
ces aspects restent aussi mal adressés qu'aujourd'hui, les incidents de
sécurité impliquant directement les commerciaux, les consultants et même
les experts en cybersécurité pourraient se multiplier ! Pensez que
nombreux sont ceux qui utilisent des systèmes de stockage amovibles ou des NAS
(4) auxquels ils accèdent par commodité,
de n'importe quel lieu, par un simple ftp ou un moyen
d'authentification faible, récurrent (5) voire trivial (6).Exfiltrations
non-maîtrisées et divulgations retentissantes pourraient se multiplier à
l'avenir alors qu'existent déjà des rançongiciels s'attaquant à
certains NAS (7). Une fonction d'exfiltration des données ne
serait pas "l'amélioration" la plus inenvisageable.
Si la partie technique peut donc facilement venir améliorer ou dégrader le niveau de sécurité des données à protéger, n'oublions-pas l'usage immodéré qu'ont certains "bavard(e)s" de communiquer sur leurs missions passées ou en cours : transports en commun, lieux publics et/ou réseaux sociaux. Le triptyque infernal qui réjouit tout service de renseignement digne de ce nom ainsi que, plus largement, les individus potentiellement malveillants.
Dès lors, la saine attitude à adopter entre le client, qu'il soit une administration, une entité disposant d'une délégation de service public ou une entreprise privée, est de régir finement par voie contractuelle toute prestation en lien avec tout projet qui touche de près ou de loin au système d'information. Ce volet juridique spécifique peut aussi s'accompagner de mesures complémentaires comme l'obligation, pour la société et ses intervenants, d'une habilitation de niveau "Confidentiel Défense". Si cette mesure est trop contraignante, le client peut demander la rédaction d'une convention stipulant le besoin d'en connaître du prestataire ainsi que les modalités de protection des informations échangées et stockées. Enfin, un volet spécifique à la sécurité du projet lors de la réunion de lancement, rappelant les engagements juridiques et les règles de base à respecter, peut être efficace et plus utile qu'il n'y paraît.
Si la partie technique peut donc facilement venir améliorer ou dégrader le niveau de sécurité des données à protéger, n'oublions-pas l'usage immodéré qu'ont certains "bavard(e)s" de communiquer sur leurs missions passées ou en cours : transports en commun, lieux publics et/ou réseaux sociaux. Le triptyque infernal qui réjouit tout service de renseignement digne de ce nom ainsi que, plus largement, les individus potentiellement malveillants.
Dès lors, la saine attitude à adopter entre le client, qu'il soit une administration, une entité disposant d'une délégation de service public ou une entreprise privée, est de régir finement par voie contractuelle toute prestation en lien avec tout projet qui touche de près ou de loin au système d'information. Ce volet juridique spécifique peut aussi s'accompagner de mesures complémentaires comme l'obligation, pour la société et ses intervenants, d'une habilitation de niveau "Confidentiel Défense". Si cette mesure est trop contraignante, le client peut demander la rédaction d'une convention stipulant le besoin d'en connaître du prestataire ainsi que les modalités de protection des informations échangées et stockées. Enfin, un volet spécifique à la sécurité du projet lors de la réunion de lancement, rappelant les engagements juridiques et les règles de base à respecter, peut être efficace et plus utile qu'il n'y paraît.
Soulignons ici que cette nécessité de protection juridique ne peut se faire qu'en s'appuyant sur une véritable expertise juridique spécialisée en cybersécurité. Une ressource actuellement rare qui est sans doute appelée à devenir stratégique au sein de l'entreprise. Véritable goulot d'étranglement avec un potentiel de risques non négligeable, cette faiblesse pourrait pourtant être assez facilement réduite en quelques mois : spécialisation ou formation spécifique des ressources internes (CIL ou juriste), prestation en expertise, utilisation de "modèles-type" (8), veille spécifique, etc.
Les risques présentés dans cet article ne sont ni imaginaires ni marginaux : observez bien l'actualité des derniers mois et discutez avec vos spécialistes SSI/cybersécurité si vous vous dîtes "encore un gadget cyber truc". Car si une tendance ne fait pas la "mode", il en est certaines où il est préférable de rester "has been" !
(1) Que je salue ici
(2) La combinaison des trois étant aussi valable
(3) http://online.wsj.com/articles/usis-suffers-cyberattack-costing-it-some-government-business-1407359642?mod=rss_Politics_And_Policy
(4) Network Attached Storage c'est à dire un serveur de stockage en réseau
(5) http://betanews.com/2014/08/15/true-password-confessions-of-a-security-expert/
(6) http://www.journaldugeek.com/2014/01/20/123456-le-mot-de-passe-le-plus-utilise-en-2013/
(4) Network Attached Storage c'est à dire un serveur de stockage en réseau
(5) http://betanews.com/2014/08/15/true-password-confessions-of-a-security-expert/
(6) http://www.journaldugeek.com/2014/01/20/123456-le-mot-de-passe-le-plus-utilise-en-2013/
(7) Cas du rançongiciel"SynoLocker" qui s'attaque à certains NAS de la société Synology
(8) sur le modèle du "Guide de l'infogérance" de l'ANSSI avec son annexe comportant des exemples de PAS (Plan d'Assurance Sécurité)
(8) sur le modèle du "Guide de l'infogérance" de l'ANSSI avec son annexe comportant des exemples de PAS (Plan d'Assurance Sécurité)
3 commentaires:
Oui, les prestataires sont une source majeure de compromission. Mais pas sûr pour autant que le juridique sauve le monde ... En tous cas cela n'aurait pas sauvé la NSA - Snowden savait parfaitement qu'il transgressait les règles.
Oui, les prestataires sont une source majeure de compromission. Mais pas sûr pour autant que le juridique sauve le monde ... En tous cas cela n'aurait pas sauvé la NSA - Snowden savait parfaitement qu'il transgressait les règles.
Oui, bien-sûr.
Cependant ton affirmation me plait bien puisqu'elle signifie que tu reconnais l'importance du juridique et, je suppose, de l'organisationnel. Donc pas seulement du "tout technologique".
De plus, fermer quelques "fenêtres" supplémentaires donc réduire la surface d'attaque ne peut qu'améliorer la protection des SI.
Rien n'est parfait, on part de loin. Mais l'on progresse ;-)
Enregistrer un commentaire