(Cyber) security by design : l'art de la guerre informatique
Depuis plusieurs années, l’Agence nationale de la sécurité des systèmes d’information (Anssi) alerte l’ensemble des entreprises sur la hausse des attaques cyber (+37 % en 2021), une menace renforcée par le conflit international en cours. Une cyberattaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. L’éditeur WatchGuard qui publie des rapports trimestriels sur la sécurité d’Internet a, quant à lui, souligné une explosion massive des détections de rançongiciels en juin 2022 (+80 % par rapport au dernier trimestre 2022). Les rançongiciels sont des logiciels malveillants qui viennent chiffrer les données et les documents d’une entité afin que celle-ci ne puisse plus y avoir accès. Elles sont alors déchiffrées en échange d’une rançon.
Actuellement, le groupe Blackcat – aussi appelé AlphV et Noberus – est considéré comme le plus agressif et le plus sophistiqué pour réaliser des attaques. Selon le FBI, il aurait déjà compromis plus d’une soixantaine d’organisations à travers le monde entre novembre 2021 et 2022. Si ce groupe s’attaque principalement à de grandes structures, et exige des rançons chiffrées à plus d’une dizaine de millions de dollars, l’Anssi montre que ce sont désormais les TPE/PME qui sont les entités les plus visées et les premières victimes des hackers en 2022 – et qui sont notamment celles qui sont le moins protégées. La sécurité du cloud est aujourd’hui l’un des enjeux principaux des organisations et va de pair avec leur besoin grandissant d’une politique de conformité pour l’ensemble de leur architecture réseau. Mais la solidité de cette architecture dépend d’une structuration organisationnelle adaptée et une réelle identification en amont, des risques et des vulnérabilités.
La compliance "by design" pour accroître la sécurité au sein des organisations
Pour pouvoir pallier les insécurités existantes et prévenir les risques, certaines recommandations ont été données par l’Anssi : renforcer l’authentification des systèmes d’information, accroître la supervision de la sécurité, sauvegarder hors lignes les données et les applications critiques, établir en priorité les services numériques critiques de l’entité ou bien encore s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.
Pour autant, pour pouvoir appliquer ces différentes techniques, il s’agit de repenser l’ensemble de la sécurité au sein d’une organisation. C’est là où les approches de Privacy by Design et de Security by Design semblent particulièrement pertinentes. Toutes deux fonctionnent de pair et viennent encadrer à tous les niveaux le stockage et le partage de données avec des tiers.
Intégrer la sécurité et la protection des données dès la phase de conception
Concrètement, elles impliquent la nécessité à chaque étape de la conception d’un produit, d’un logiciel, d’une application, ou d’un traitement de données d’assurer la sécurité et la confidentialité des données. Or, cela ne peut se faire sans l’identification en amont d’une modélisation des risques et des scénarios de vulnérabilité (vol, fraudes, usurpation d’identité…). En réalisant cette modélisation, une organisation peut ainsi trouver des solutions pour mettre en place des mécanismes de protection solides et dissociés. Cette approche consiste également à très bien connaître les méthodes et les objectifs des "attaquants". L’on y retrouve ainsi l’un des préceptes de la "stratégie de bataille" prônée par Sun Tzu dans L’Art de la Guerre.
Mais cette idée doit être partagée par l’ensemble des collaborateurs qui participent à la conception d’un produit. Il s’agit ainsi d’une véritable compétence organisationnelle que doivent avoir en interne tant les équipes de développeurs que les opérationnels.
La "cyber security" by design est une méthode de pilotage de la sécurité par le risque – qui peut être appliquée à l’ensemble des structures et des contextes de métier. Réfléchir en amont de la conception, pendant l’implémentation des outils et des applications, permet de créer des systèmes agiles. Cela renforce l’hygiène informatique des organisations, le niveau de sécurité et prévient ainsi au maximum des attaques de pirates.
Myriam Hammad