L’histoire récente nous le rappelle, personne n’est à l’abri d’une cyberattaque: ni les particuliers, encore moins les organisations, fussent-elles bancaires, politiques ou commerçantes, et que l’on supposerait donc protégées par les dispositifs les plus sophistiqués qui soient. Car, habilement «planqués» derrière leurs Virtual Private Networks (VPN), les hackers sont à l’affut de la plus petite information de valeur, généralement à des fins douteuses. Ces pirates du net s’engouffrent dans les plus petites failles des infrastructures numériques, occasionnant de réels problèmes.
L’histoire récente nous le rappelle, personne n’est à l’abri d’une cyberattaque
Des risques auxquels Bastien Schils, CEO de Quite Good, expert depuis 10 ans en cybersécurité, fait face tous les jours. Selon lui, quelques simples questions peuvent les limiter: «Qui doit accéder à l’infrastructure numérique? À quelles données? À quel moment? Par quel moyen? La sécurité est avant tout une question “d’hygiène”. Par cette expression, nous entendons des gestes simples et réguliers, à la manière du brossage de dents: il faut savoir à tout moment où l’on met ses données et comment on y accède. Tout cela doit être défini dans des processus, établis par rapport à la stratégie de l’entreprise ou de l’institution. Ces processus doivent ensuite être challengés pour s’assurer de couvrir 90% à 100% de la surface d’attaque. Est-on sûr de bien couvrir tous les use cases? Toutes les exceptions? Car c’est par là que vont apparaitre toutes les brèches de sécurité. Notre rôle va donc être de vérifier qu’il y en ait le moins possible». Les attaques sont quasiment quotidiennes pour ces clients, majoritairement des institutions bancaires ou politiques.
C.I.A., pilier de la sécurité de l'information
L’acronyme n’est certainement pas un hasard, même si, dans le cas de la cybersécurité, il ne fait pas référence à la célèbre agence américaine de renseignement. Les termes Confidentiality, Integrity et Accessibility, revêtent une importance capitale pour définir l’orientation donnée à une infrastructure numérique, mais s’associent difficilement, du point de vue de la cybersécurité. En effet, comment opter pour la confidentialité quand on laisse l’accès à des données? Comment garantir l’intégrité lorsqu’on ne protège pas le message que l’on souhaite faire passer? La sécurité va donc dépendre de l’approche qu’on veut lui donner. Et c’est bien là le problème, selon Bastien Schils: «En général, le besoin initial annoncé par le client est erroné. Il pense qu’il lui faut un coffre-fort interdisant l’accès de sa plateforme à quiconque. En discutant avec lui, on lui fait prendre conscience de la nécessité d’une certaine permissivité aux utilisateurs, également utile aux professionnels, pour que l’on puisse déplacer le curseur de la cybersécurité entre C.I. et A.». Et de fait, lui proposer une offre de sécurité plus en adéquation avec son besoin réel.
La complexité ne garantit pas la sécurité
Le piège, c’est de penser que plus son infrastructure numérique est complexe, plus elle sera difficile à pénétrer pour un hackeur. En fait, elle sera surtout moins évidente à sécuriser. Pour le responsable de Quite Good, la clé de la sécurité, c’est de revenir aux «standards». En apparence basique, ce mot pluriel prend un sens différent en cybersécurité, car en tant que norme, il assure à tous les spécialistes de la question une méthodologie partagée, qui leur permet une détection et un meilleur traitement des anomalies.
Le piège, c’est de penser que plus son infrastructure numérique est complexe, plus elle sera difficile à pénétrer pour un hackeur .
Cependant, si prévenir vaut mieux que guérir, Bastien Schils voit encore trop souvent les éléments de sécurité pensés après la conception d’une application ou d’un site: «Aujourd’hui, c’est la fonctionnalité qui guide le développement du service. La sécurité est envisagée dans un second temps, ce qui mène à des situations impossibles, où elle va même empêcher le bon fonctionnement du service. Avec mon équipe, nous conseillons à nos clients la “Security by design”; c’est-à-dire la mise en place de points d’accroche dans l’infrastructure, dès sa création, pour la sécurité. Cela va nous permettre de leur donner la maitrise du risque, afin qu’ils aient toutes les cartes en main, lors de leurs prises de décisions stratégiques numériques». Et le dirigeant de rappeler que des services dédiés à la protection, telle que le Cloud, ne sont pas non plus sans défaut: «À partir du moment où il y a un accès physique à un ordinateur, la sécurité de ses données est compromise, car un hackeur saura comment cracker les clés de protection ou trouver l’emplacement où elles sont stockées dans la machine. C’est donc au niveau des opérateurs que le plus gros du travail reste à faire».