Blogue – Il y a vingt-ans, vingt-et-un ans exactement, j’étais sur les bancs de l’école Telecom ParisTech pour préparer mon mastère en cybersécurité. Parmi les nombreux cours que j’ai suivis, je me souviens bien sûr des algorithmes RSA et des cours de cryptographie, mais je me souviens surtout d’avoir passé des mois sur l’étude des « critères communs », qui sont devenus depuis la norme ISO15408.
Inutile de dire, qu’en dehors du secteur gouvernemental et de l’industrie aéronautique, aucun de mes nombreux clients n’utilise cette norme de sécurité comme cadre de référence dans son processus de développement. Il est vrai qu’à l’époque du développement Agile et de DevOps, il y a des choix à faire entre rapidité et sécurité.
1 – Les entreprises négligent la sécurité au profit de la rapidité de mise sur le marché
Ces critères communs, qui faisaient suite au livre orange publié par la NSA et le NIST en 1985 (oui, il y a 30 ans!), permettent de définir les besoins de sécurité dans les développements informatiques, en vue d’une évaluation/certification de sécurité.
On y définit les différentes classes d’exigences fonctionnelles de sécurité qui doivent être évaluées, tels que la protection des données personnelles ou le besoin d’identification et d’authentification de l’utilisateur, par exemple.
La norme prévoit aussi sept niveaux d’assurance : EAL1 pour le niveau de sécurité le plus faible et EAL7 pour le niveau de sécurité maximum. BlackBerry et Windows XP, par exemple, étaient évalués à EAL4+, c’est-à-dire un niveau permettant de se prémunir des attaques standards sans garantir une sécurité optimale.
Le processus de certification de sécurité est long et contraignant, certes. L’industrie aéronautique qui les utilise, vous le dira. C’est peut-être ce qui dissuade encore beaucoup d’industries à ce jour. Pourtant, c’est un excellent cadre, qui peut être assoupli en interne d’une organisation et s’intégrer dans le cadre de gestion de risque de l’entreprise.
J’ai eu l’occasion de mettre en œuvre une démarche qui intégrait la sécurité dans les développements dès la fin des années 90 dans le secteur aéronautique, mais je n’ai eu que très peu d’occasions de le faire dans les autres industries depuis. Un peu dans l’énergie, et dans l’industrie du jeu et l’industrie bancaire. Or, les faiblesses de code et d’architecture de sécurité applicative sont les failles préférées des pirates. Sans compter que les coûts de remédiation, une fois l’application en production, sont beaucoup plus chers.
2 – La plupart des entreprises ne sont toujours pas conformes PCI
Rappelons qu’une cyberattaque de septembre 2014 chez Home Depot a impliqué le vol de 60 millions de numéros de cartes de crédit. Une perte qui pourrait coûter jusqu’à trois milliards de dollars.
Les standards de sécurisation des cartes de paiement ont été mis en place en 2006 par les cinq plus grands organismes de crédit, dont Visa, MasterCard et American Express.
Recommandations de sécurité assez précises, ces standards ne sont néanmoins pas une loi et encore moins une obligation légale, mais ils relèvent généralement d’une exigence contractuelle avec l’un des organismes de crédit.
Devant les coûts d’un projet de mise en conformité PCI, qui dépassent très vite la barre des 100 millions de dollars, j’ai vu plusieurs de mes clients reculer ou contourner les standards pour en diminuer les coûts de mise en œuvre. Au final, jusqu’à aujourd’hui, de nombreuses entreprises préféraient ne pas investir plusieurs centaines de millions de dollars dans un projet de mise en conformité et assumaient le risque de ne pas être entièrement conformes.
Plusieurs évènements récents montrent que ces décisions méritent d’être revues aujourd’hui. À cela, j’ajouterai à quel point, de nombreux projets de mise en conformité ont été mal gérés par manque d’expertise. On rappellera qu’il est prudent de prendre des ingénieurs de sécurité certifiés ISO 27001 et des experts PCI QSA sur ces projets, ainsi que d’identifier clairement un commanditaire du programme pour éviter des dilutions de responsabilités entre la sécurité, la conformité et les vice-présidences d’affaires.
On privilégiera un commanditaire du projet côté conformité plutôt que dans une vice-présidence d’affaires, si l’on veut réellement atteindre la conformité PCI. Les vice-présidences d’affaires ne voient généralement que les coûts engendrés, sans en percevoir les bénéfices tangibles.
3 – La cybersécurité est réduite à une vision de faille d’infrastructure
Dites-moi à qui est rattaché votre officier de sécurité et je vous dirai votre maturité en cybersécurité. Un officier de sécurité rattaché au directeur des opérations TI traduit une vision réduite aux infrastructures et au réseau informatique. C’est donc occulter la sécurité des développements, des besoins d’affaires, le rôle des architectes de sécurité, la gestion des risques, la sécurité dans le processus RH ou plus globalement la nécessité d’un cadre de gestion des risques intégré.
La sécurité du réseau, des serveurs et des télécommunications est bien entendu névralgique, mais prise de façon isolée, elle ne règle que de façon provisoire une partie des problèmes. La cybersécurité fait partie intégrante de la gestion des risques d’entreprise. Elle doit relever d’un exécutif qui dispose d’une vue d’ensemble des besoins d’affaires et des systèmes d’information.
4– Il n’y a pas de certification de cybersécurité obligatoire dans la plupart des industries
Les secteurs gouvernementaux et parapublics sont ceux qui ont, le plus, mis en oeuvre la cybersécurité avec leurs propres standards de sécurité sectoriels. On a donc les standards CIP du NERC pour le secteur de l’énergie et les WLA-SCS pour les industries du jeu et de la loterie. Et l’on comprend pourquoi. Eux ont très vite saisi le risque associé à la prise de contrôle des infrastructures critiques énergétiques et le risque associé à la fraude sur les logiciels de loterie.
Aujourd’hui, avec les démonstrations récentes de piratage des voitures intelligentes et de prise de contrôle à distance des véhicules, on vient de prouver qu’on pouvait porter potentiellement atteinte à la sécurité humaine, ce que l’industrie aéronautique sait depuis des décennies. On peut donc légitimement se demander si les régulateurs n’auraient pas un sérieux intérêt à exiger une certification en cybersécurité des différents constructeurs privés de véhicules intelligents, comme le réclame le sénateur américain Ed Markey.
On peut extrapoler le problème sur l’industrie pharmaceutique et l’agroalimentaire. L’altération d’information pourrait aller jusqu’à falsifier la composition d’un médicament ou d’un aliment. La cybersécurité doit donc aussi être très présente dans ces industries.
Et pour finir, il y a bien sûr la controverse de la télévision intelligente de Samsung, qui pourrait involontairement enregistrer vos conversations de salon.
Il y a eu multiplication des acteurs et des offreurs de cybersécurité ces dernières années. Veillez à bien choisir vos professionnels de sécurité et à régler le problème au bon endroit, sinon vous ne ferez que le camoufler. À L’époque des technologies perturbatrices et de l’innovation, il faut aussi repenser la sécurité de ses applications, son processus de développement et son organisation. C’est l’opportunité de rectifier le tir de la bonne façon.
Et pour la mot de la fin, pensez-vous qu’il faudrait imposer aux constructeurs d’automobiles intelligentes des normes de cybersécurité ?