Cyber sécurité - 5 minutes
-

Cybersécurité Pourquoi et comment sécuriser un projet SI ?

Notre Blog
Panneau digital d'un système d'information

Pourquoi parler de cybersécurité ?

La cybersécurité n’est pas un enjeu nouveau. Mais avec la multiplication des produit digitaux et plateformes web, elle devient un sujet central pour les entreprises qui ont engagé une démarche de transformation digitale. Soit la quasi-unanimité des entreprises. Et plus qu’un slogan, security by design devient un leitmotiv pour chaque acteur devant le risque grandissant d’attaque.

 

S’il est difficile de mesurer a priori les conséquences d’une attaque cyber (on peut en revanche y préparer ses équipes), les risques sont eux bien identifiés. Ils peuvent notamment porter sur le fonctionnement de l’entreprise, ses finances, ses relations commerciales et son image.

Cybersécurité : les risques encourus en cas d’attaque

Le risque fonctionnel

Le premier risque en cas d’attaque cyber engage le fonctionnement même de l’entreprise. Une attaque prenant le contrôle du système d’information d’une entreprise peut totalement paralyser cette dernière. Récemment, la ville d’Angers a été victime d’un ransomware qui a éteint tout son parc informatique, reléguant la ville au papier crayon pendant de nombreux jours.

 

Le risque financier

Le deuxième risque est financier. Et il n’est pas uniquement lié à l’attaque en elle-même. Car, outre la rançon qui peut être demandée par le hacker, une entreprise victime d’une attaque peut également être ciblée par la CNIL au titre d’un manquement au RGPD et ainsi encourir une amende pouvant aller jusqu’à 5% de son chiffre d’affaires annuel mondial.

 

Le risque commercial

En lien avec le risque financier, le risque commercial est aussi critique. Quelles entreprises voudront continuer à travailler avec une société qui n’a pas réussi à sécuriser ses données et celles de ses clients ? Quels consommateurs souhaiteront toujours acheter des produits ou services de la part d’une société qui a perdu leurs données personnelles ? Si l’on comprend aujourd’hui que tout le monde peut être victime d’une attaque, le niveau de préparation et de réaction d’une entreprise déterminera certainement la poursuite de ses principaux contrats commerciaux.

 

Le risque d’image

Enfin, le dernier risque est lié à l’image et au fait de se retrouver au cœur de l’actualité pour de mauvaises raisons. Les effets sont alors destructeurs, au même titre que les précédents risques. En 2015, le site de rencontre extra-conjugal Ashley Madison a été victime d’une attaque, et, ne souhaitant pas céder au chantage de la rançon, a vu toutes les données de ses utilisateurs publiées. L’un des arguments phare de la plateforme était la discrétion autour de ses membres, il a ainsi volé en éclats. La base de données du site se retrouvant même publiée avec un moteur de recherche permettant d’identifier chacun des utilisateurs.

Panneau digital d'un système d'information
Écran d'ordinateur brouillé

Les réflexes pour une protection cybersécurité

Avec le Règlement Général sur la Protection des Données, les mentalités sur la défense des données ont grandement évolué. Les notions de privacy by default ou de privacy by design sont apparues et la cybersécurité est devenue une composante centrale des projets dès la réflexion amont. Dès la création d’un nouveau canal de circulation – ou sur un existant, si le travail n’a pas été encore mené – la contrainte de la sécurisation de la donnée doit être présente. En d’autres mots, tous les risques doivent être calculés et anticipés dès la construction du produit ou service. Ce mode de pensée se généralise aujourd’hui, mais cela reste jeune et donc fragile.

Cette évolution des mentalités doit maintenant se traduire dans les budgets alloués à la cybersécurité et à leur ventilation. La réflexion ne doit plus par exemple se faire par produit – on avait coutume de dire qu’il fallait 10% du budget logiciel qui devait être consacré à sa sécurisation – mais pour le SI global. Le responsable sécurité n’est d’ailleurs plus aujourd’hui considéré comme un adjoint du DSI, mais comme une personne décisionnaire à part entière. Ces changements sont déjà effectifs pour beaucoup, mais restent minoritaires lorsqu’on regarde la globalité des entreprises françaises.

Enfin, il faut regarder les partenariats noués. Héberger ses données via un logiciel cloud américain va par exemple à l’encontre du RGPD. Le Cloud Act états-unien stipule en effet que le gouvernement a un droit de regard sur toutes les données manipulées par chaque entreprise de nationalité américaine. Ce qui est évidemment contraire à la réglementation européenne. En février dernier, la CNIL a par exemple mis en demeure un grand éditeur de sites français pour son utilisation de Google Analytics, ne garantissant pas l’anonymisation de la donnée des utilisateurs. Une manière de rappeler qu’utiliser les plateformes hors Europe doit se faire de manière encadrée.

Portail fermé par une chaîne et un cadenat

Cybersécurité : sécuriser un projet SI en amont

De manière plus spécifique, si l’on s’intéresse aux projets SI, la sécurisation commence dès la réflexion amont, soit la cartographie, les user stories, la méthodologie de travail, etc.

On se réfère alors au modèle OSI (Open Systems Interconnection – une norme de communication informatique qui régit le fonctionnement des SI) et à ses sept couches, qu’il convient de sécuriser au maximum. Il faut partir du principe que soit l’application (ce que l’on développe), soit le système (la machine physique qui la fait tourner) peuvent être attaqués – voire les deux. Sur l’échelle des 7 layers, beaucoup de questions vont donc devoir être posées. Par exemple et de manière non exhaustive :

  • • Doit-on émettre les communications sur du http ou du https ?
  • • Les données doivent-elles être chiffrées sur le disque de stockage ?
  • • Ce disque doit-il être ouvert à la lecture, à l’écriture ? À quelles personnes ?
  • • La connexion doit-elle être exigée par SSH ? Telnet n’est-il pas plus indiqué ?
  • • Etc.

Toutes ces questions introduisent la notion de security by design, entrouverte par le RGPD. La bonne pratique consiste à limiter au maximum les couches ouvertes, afin de réduire la surface d’attaque. Il y aura donc moins de end points à sécuriser et on sera d’autant plus efficace sur les potentiels points faibles, car ils seront identifiés et anticipés, et on pourra se concentrer sur le système de log par exemple ou des alertes pour savoir à tout moment ce qu’il s’y passe, et si quelque chose d’inhabituel est en train de se produire. Concrètement, si une attaque en brute force arrive, cela va immédiatement ressortir sur les communications, les données traitées, ou la consommation en CPU de la machine.

Programmeur travaillant sur un code dans une pièce sombre

De l’importance de monitorer en cybersécurité

Comme il y aura ainsi énormément de facteurs qui vont permettre de déterminer si l’on subit une attaque – encore un argument pour limiter les couches ouvertes–, il est nécessaire de suivre précisément ce que les équipes sont en train de produire et ce qui a été mis en place en amont pour déterminer si oui ou non, on est dans une situation critique d’attaque. L’aspect monitoring est donc une suite logique et chronologique au security by design.

Aujourd’hui, on estime qu’une entreprise victime met 6 mois à se rendre compte d’une attaque de son système. La pratique des hackers veut en effet qu’entre la découverte de la faille et l’attaque à proprement parler, il y ait une période dormante permettant de ne pas éveiller les soupçons. Et lorsque l’entreprise se rend compte de l’intrusion, c’est trop souvent lors de la demande de rançon et il est alors trop tard. On peut également ajouter d’autres attaques, invisibles, comme l’espionnage industriel. L’intrus ici n’a quasiment pas d’activité suspecte et va être difficilement repérable. En résumé, il faut être capable de voir qui s’est introduit dans le système, où et comment il a fait, sous peine de n’être ni capable de l’identifier, ni l’empêcher de recommencer.

 

Les utilisateurs : la faille numéro un en cybersécurité ?

Dans un projet informatique, et même si on a fait l’effort de le tester à chaque étape de sa construction, il est fréquent que les utilisateurs n’en aient pas l’utilisation prévue initialement. Cela crée donc naturellement des failles non-anticipées. Il est alors indispensable non seulement de préparer son interface ou son SI à des attaques, mais surtout de former ses équipes afin de limiter la faille la plus compliquée à prévenir : l’erreur humaine.

Find out more