lundi 26 septembre 2016

Admin entends-tu le vol noir des hackers...


"Hâtez-vous lentement, et sans perdre courage,
Vingt fois sur le métier remettez votre ouvrage,
Polissez-le sans cesse, et le repolissez,
Ajoutez quelquefois, et souvent effacez".
En matière de protection du patrimoine informationnel, tel devrait être le mantra du dirigeant, qu'il soit du secteur public ou privé, ainsi que de ses responsables de la "sécurité" [1] et de ses administrateurs des systèmes d'information, les fameux "Admin". Que ne serait pourtant dépité Nicolas Boileau [2] qui, dans sa grande sagesse, n'envisageait sans doute pas il y a plus de trois siècles, qu'un mélange d'autisme, d'inconscience et de déni s'emparerait depuis des années de nos systèmes d'information au point qu'il faille la loi [3], encore elle, pour tordre les mauvaises pratiques des entreprises dont l'activité économique et sociale est vitale pour la nation.


Si ce pan des activités nationales semble désormais en voie de convalescence [4], il reste cependant tout le reste. Et ce tout est immense. Il concentre l'écrasante majorité des emplois et est généralement désarmé donc très vulnérable y compris aux cyberattaques les plus triviales qui constituent toujours la majeure partie de celles utilisées et qui fonctionnent [5]. Ce "grand tout" est constitué de toutes les autres entreprises, PME et ETI mais aussi de groupes nationaux qui n'ont pas été désignés comme opérateur d'importance vitale (OIV) mais qui possèdent pourtant des dizaines d'implantations à travers le monde, ont des milliers de salariés et un chiffre d'affaire souvent supérieur au milliard d'euros.  

Seriez-vous ainsi étonné d'apprendre qu'il existe encore en 2016 de tels fleurons qui ne possèdent toujours pas de responsable de la sécurité des systèmes d'information (RSSI) ? Moi oui et je reste parfaitement consterné si ce n'est choqué par une telle incurie des dirigeants de cette entreprise que nous appellerons "entreprise FVMP" [6] qui, sans doute, n'est pas un cas isolé. Alors que faire et par où commencer puisque la tâche est immense ? 

En admettant qu'un RSSI compétent soit recruté et qu'il dispose d'un mandat clair, d'un budget honorable et du soutien de sa direction [7] il faudrait distinguer les temporalités :
- moyen et long terme : ajustements ciblés suite aux premiers audits, élaboration d'une politique SSI (PSSI), sensibilisation/éducation, politique de classification et de protection des données, ré-urbanisation et simplification du SI, etc. ;
- court-terme : pélerinage à Lourdes, à La Mecque puis à Jérusalem pour éviter de découvrir une situation "à la Nortel" [8], revue des comptes et des accès avec une priorité absolue sur les comptes à privilège de type "administrateur".

Cette dernière mesure est en effet capable de réduire de moitié, oui de 50% pour les plus scientifiques ou comptables, le risque de compromission en profondeur du système d'information. Elle fait partie des fondamentaux d'une bonne hygiène informatique, répétés depuis des années et toujours d'actualité. [9] Preuve en est s'il en faut, la grande constance avec laquelle elle se retrouve dans l'ensemble des règles de base [10] recommandées (ou exigées, cas de la LPM) par l'ANSSI depuis plusieurs années.

Le gain potentiel en regard de l'investissement [11] doit être compris par le dirigeant néophyte qui aura vu la lumière céleste en ayant décidé d'investir un peu d'argent pour s'éviter les frais d'avocat(s), d'équipes de forensique puis de remédiation et enfin de son médecin. A l'heure d'un quasi équilibre (temporaire) du budget de la Sécurité sociale, le ministère de la Santé devrait peut-être encourager cette pratique vertueuse par un système de bonus/malus envers nos entreprises ?


[1] de l'information, des données, des biens et des personnes, etc.
[4] Rome ne s'étant pas faite en un jour, la mise en place des mesures prévues par les différents arrêtés sectoriels, leur vérification et leur amélioration n'empêcheront sans doute pas d'autres cas de "cyberattaques majeures" dans les prochaines années...
[6] FVMP comme "future victime majeure potentielle"
[7] aurait-il fallu la fin d'année pour décrire la "liste au père Noël" du RSSI rêveur et schizophrène ? :-)

Aucun commentaire: