Il y a 15 jours, je vous proposais le 1er volet d’un article dédié au management de la sécurité informatique en entreprise.
J’y exposais un constat : la cybercriminalité est un phénomène de masse qui n’épargne plus personne. La première faille de notre sécurité informatique est la méconnaissance de notre vulnérabilité individuelle quel que soit le type d’attaque. Les risques sont nombreux pour l’entreprise d’autant plus qu’une attaque sur votre écosystème numérique entraîne potentiellement des dommages sur des tiers : fournisseurs, partenaires, clients, collaborateurs. Le premier pas est de se prémunir d’une utilisation abusive et délictuelle de vos données de connexion. Pour répondre à cela, je vous ai présenté le logiciel Keepass. Cette démarche est individuelle.
Collectivement, comment l’entreprise peut faire face et quel positionnement le manager doit-il adopter dans ces actions?
Panorama de la cyberdélinquance
Tout d’abord pour bien appréhender la problématique, il est nécessaire d’en définir les contours. Je n’entends pas être exhaustif dans le cadre de cet article sur les multiples visages de la cybercriminalité. Toutefois, j’ai suivi la presse ces 15 derniers jours et les problèmes mis à jour dans différents articles sont la partie émergée de l’iceberg, les faits les plus saillants et symptomatiques. Tour d’horizon de ce qu’il s’est passé depuis mon précédent article.
La faille de sécurité
Le 21 février dernier, la presse spécialisée nous informe qu’une faille de sécurité touche le logiciel Winrar depuis bientôt 20 ans. Ce logiciel de compression de fichier est l’un des plus populaires du marché avec Winzip. La faille se situait dans un fichier dll qui permettait lors de la décompression d’un type d’archive spécifique (l’ACE, différent du RAR et du ZIP) d’installer en dehors du dossier cible un logiciel malveillant. Ce logiciel peut alors s’activer au redémarrage de l’ordinateur et en prendre le contrôle.
Le piratage de données
Le 13 février, le Monde relate que les données d’environ 620 millions de comptes provenant de divers sites internets ou applications sont mises en vente sur un site de commerce illégal. Les données (identifiants et mots de passe) sont insuffisamment voire pas chiffrées du tout. Le lendemain, la Tribune rapporte le vol de données de 500 millions de clients du groupe Marriott. Un record qui se place en 2e position après le piratage de Yahoo en 2013 (identifiants, mots de passe, questions de sécurité, numéro de téléphone). Ce dernier avait touché tous les comptes Yahoo, 3 milliards, et n’avait été révélé qu’à l’occasion de la vente à Verizon fin 2016.
La malveillance
Également appelée grosse boulette quand l’acte de malveillance est involontaire. Le Canard Enchainé révèle dans son édition du 13 février que les dirigeants de la cyberdéfense française sont recensés dans un tableur au format csv. Ledit fichier était accessible librement avec les données personnelles et coordonnées de près de 2200 directeurs de sécurité informatique de nombreuses organisations (présidence de la République, CEA, EDF, ministère des Finances, Quai d’Orsay, des opérateurs d’importance vitale…). Un mauvais paramétrage du serveur en serait la cause. Les erreurs de configuration de sites permettant d’accéder très facilement à des données que l’on croyait pourtant bien cachées sont monnaie courante.
La protection des données
Le 22 février, le Blog du Modérateur nous apprend que le tiers des extensions Chrome d’une étude portant sur 120000 extensions demande l’accès aux données de l’utilisateur sur n’importe quel site. 85% de ces extensions n’ont pas de politique de confidentialité. Je lis par ailleurs dans le Monde du 26 février « Ces très populaires applis qui transmettaient vos données à Facebook sans vous en avertir » d’après une enquête du Wall Street Journal. Édifiant mais tout cela avec le consentement passif de l’utilisateur.
En vrac dans ma revue de presse on trouve également « Des caisses enregistreuses infectées par un malware« , « Pour blanchir l’argent volé, des cybercriminels passent par les services de Uber ou Airbnb« , « Attaque sur le DNS : la panique est mauvaise conseillère« , « L’Australie dénonce un piratage visant plusieurs partis politiques » et je termine par Usbek & Rica « Formjacking, cloud et objets connectés : la cybercriminalité se porte bien« .
Manager la sécurité informatique
Je ne prétends pas détenir toutes les clés mais les éléments de réflexion (et le vécu que je partage) qui suivent ont pour objectif de nourrir une réflexion que j’espère voir fleurir en commentaire puis dans ma veille sur les organisations.
Ce management passe tout d’abord par le bon sens dont il faudrait faire preuve au quotidien. Vous ne laissez pas traîner votre carte grise sur le tableau de bord de la voiture; vous fermez votre porte à clé la nuit (et dans la journée quand vous n’êtes pas là); vous composez le code de votre CB à l’abri des regards. Ce bon sens doit aussi transparaître dans les usages du numérique. Chose vécue : le post-it sur le comptoir d’une conseillère en séjour avec les mots de passe visibles par les clients.
Deuxième étape, dédramatiser! Oui, c’est compliqué l’informatique mais il ne s’agit pas d’apprendre à tout le monde à coder pour parer des attaques de hackers. Il s’agit d’enseigner et partager les bons réflexes (mettre à jour régulièrement son poste informatique et les logiciels, savoir identifier un spam, paramétrer les outils de sécurité, etc.). Quoi de mieux pour se tirer une balle dans le pied que de décréter que tout doit être géré par un sachant (le RSI par exemple). C’est infantilisant et ça maintient les autres collaborateurs dans l’ignorance. Chose vécue : les postes informatiques qui sont verrouillés par le service informatique au prétexte que c’est le seul moyen de contrôler ce qui sera installé dessus et assurer un bon suivi du parc. Je n’ai observé que frustration et déploiement de méthodes de contournement (souvent ingénieuses pour des personnes qui vous diront du reste ne rien comprendre à l’informatique).
Et si on parlait un peu RGPD ensuite? Cet outil contraignant mais qui permet néanmoins de s’interroger sur les données que nous collectons : lesquelles, dans quel but, pour combien de temps? Car en effet un des maux en matière de protection des données est de ne pas être capable de fournir un niveau suffisant de sécurité. Le RGPD est aussi une opportunité de prendre conscience qu’il ne sert à rien de thésauriser de la data parce que c’est… une data. Détenir une donnée qui n’est pas exploitée, pas mise à jour, c’est tout simplement exposer un tiers au risque que des données personnelles se retrouvent entre de mauvaises mains. Chose vécue : cet hôtelier qui conserve précieusement les numéros de carte bancaire, date d’expiration et cvv de ses clients sur un fichier Excel « parce que ça peut servir ». À quoi? Je n’ai jamais su.
Manager c’est aussi défendre une orientation budgétaire dédiée aux questions de sécurité sur le plan matériel et de la formation des équipes. J’expliquais précédemment que le danger est de ne pas voir sa propre vulnérabilité, se sentir protégé à 100% parce qu’on a mis en place des outils (pare-feu, anti-virus, anti-malware, etc.). Mais le risque zéro n’existe pas et faire les choses à minima ne garantit en rien une protection des plus efficaces.
Le management de la sécurité informatique passe donc par une grande part de pédagogie et une mise à disposition de moyens financiers. Surtout, lorsque que l’on parle d’accompagnement des équipes pour prendre le virage numérique, c’est un sujet qui doit être de premier plan. Il n’est malheureusement pas abordé car pas jugé prioritaire ou trop complexe. Ça ne peut plus être le cas.
