"La sécurité doit devenir comme les freins d'une voiture : elle doit permettre d'aller vite"
Joshua Corman est le jeune génie de la sécurité d'IBM. Agé de 33 ans, il cultive le parler vrai quand il s'agit de son secteur. Il était de passage à Paris le jeudi 12 février. Il avait fait sensation il y a un an avec une conférence où il dévoilait les 7 vérités sur la sécurité des réseaux d'entreprise. Réseaux et télécoms : La sécurité coûte cher, et elle fait partie des budgets dans lesquels les entreprises taillent actuellement. Comment sauver son budget sécurité quand on est RSSI ? Joshua Corman : Certains projets doivent être maintenus : il s'agit de ceux liés à la conformité réglementaire, tels que PCI DSS. Mais attention, si vous préparez uniquement l'audit réglementaire, vous allez jeter l'argent par les fenêtres. Il vaut mieux débuter par du Risk Management, ce qui vous permettra d'évaluer vos risques avec les méthodes les plus récentes et de vous orienter vers des solutions modernes. Et ensuite seulement, vous passerez l'audit de conformité. Le cadre de conformité est le minimum qu'il faut mettre en place. Cela ne suffit pas. Réseaux et télécoms : comment s'y prend-on afin d'évaluer ses risques ? Joshua Corman : On peut prendre Cobit comme méthode, mais ce n'est pas la seule. Elle présente la sécurité en cinq ensembles : sécurité liée aux personnes (droits d'accès, ...), sécurité des données et de l'information, sécurité des applications, sécurité des infrastructures, et sécurité physique (vidéo surveillance, par exemple). Ceci dit, aujourd'hui, ces cinq ensembles sont traités comme des silos séparés et font l'objet d'offres de différents fournisseurs. Ce qui fait que l'on aboutit à des solutions coûteuses. Aujourd'hui, le marché de la sécurité est trop complexe et trop cher. Par exemple, si vous voulez assurer vous-même la conformité à PCI, il vous faut assembler les produits de 12 vendeurs avec 12 consoles de supervision différentes. C'est comme si on vous demandait de bâtir votre voiture vous-même. C'est d'ailleurs la même chose, si vous voulez combattre les menaces. Réseaux et télécoms : Cette lutte contre les menaces ne devrait-elle pas débuter par écrire des programmes informatiques qui ne contiennent pas de failles ? Joshua Corman : C'est une bonne idée, mais ce n'est pas suffisant et surtout c'est impossible. Il y aura toujours des failles dans les logiciels et vous n'arriverez pas à les éliminer. Les hackers, en revanche, sont très motivés pour les trouver car ils espèrent en tirer profit financièrement. Ceci dit, il vaut mieux évidemment tester au plus près les logiciels dès leur réalisation, afin d'éviter les attaques essentiellement au niveau applicatif, de type SQL injection, cross site scripting, ... Le plus tôt on découvre les failles, le mieux c'est. De plus, si vous prenez des logiciels comme ActiveX ou Flash, les sites Web qui les utilisent en conservent souvent des versions vulnérables et ne se mettent pas à jour avec les versions récentes mieux sécurisées. Mais en matière de sécurité, les faiblesses existent à trois niveaux : le logiciel, le paramétrage, les personnes. Pour se répandre un virus a juste besoin que quelqu'un double clique sur une pièce jointe. Même si le logiciel était parfait, les virus se répandraient. Réseaux et télécoms : l'être humain est le maillon faible ? Joshua Corman : Les gens prennent de mauvaises décisions, mais ils peuvent changer leurs attitudes. Les vendeurs de technologie disent que la formation des utilisateurs ne fonctionne pas. Une des raisons qui explique cela, c'est que cette formation est souvent faite par des gens qui sont des techniciens et non des spécialistes de la communication. L'arme la moins utilisée contre les attaques c'est la formation, et pourtant elle est efficace. Il faut voir que la lutte contre les menaces est une affaire à la fois de personnes, de processus et de technologies. Si vous écoutez uniquement les vendeurs de technologie, vous allez jeter l'argent par les fenêtres. Prenez l'exemple des pertes ou des vols de données, ils proviennent en priorité des PC portables dérobés ou perdus. Et également des clés USB, des CD, des DVD ou des iPod. Pour se défendre, beaucoup d'entreprises bouchent les ports USB des PC avec de la colle, ou installent des logiciels qui bloquent ces mêmes ports. Or, les gens ont besoin pour travailler ! On peut procéder autrement. Dans une entreprise du secteur de la santé, on a installé un logiciel qui lorsque l'utilisateur veut déplacer des données vers une clé USB, demande par un pop-up « vous allez transférer des données sur un clé USB, pouvez-vous écrire pourquoi ? ». En 15 jours, le taux d'utilisation du port USB a chuté de 92%. Il s'agit de social engineering positif, cette fois-ci, contrairement au social engineering classique qui tente d'abuser de la crédulité des gens. Et cela me permettrait de ne plus avoir à nettoyer le PC de ma belle-mère toutes les semaines. Car le vrai risque aujourd'hui vient des PC des particuliers et non des entreprises car ils peuvent être détournés dans des botnets. Réseaux et télécoms : comment s'en protéger ? Joshua Corman : j'ai lu sur le blog d'un militaire de haut niveau, qu'il souhaitait répliquer à des attaques massives venant de botnets en s'attaquant aux machines d'où provient l'attaque. C'est très naïf car ces machines ont toutes les chances d'être celles de personnes comme ma belle-mère. Et on ne retrouve pas en général les machines qui sont à l'origine de l'attaque. Même quand on a pu remonter jusqu'à des machines situées en Chine, en fait elles étaient commandées par la mafia russe. Autant je serais d'accord pour ce que les machines des particuliers concourent à engranger des informations afin de remonter jusqu'à la source d'une attaque - à la façon de neighbourhood watch aux Etats Unis, où des citoyens assurent la surveillance de leur quartier - autant il ne faut pas que notre gouvernement transforme ces PC en armes afin d'attaquer à son tour. Les botnets actuellement sont si puissants que rien ne pourrait les arrêter s'ils décidaient de bloquer des sites web importants comme cnn.com, Axa.com ou BBC.com. Mais leurs possesseurs préfèrent rester en dessous du radar et les louer pour du spam ou de l'attaque politique ciblée ou du chantage. S'ils s'attaquaient à de grandes organisations ils risqueraient de subir un sérieux retour de bâton. Les vendeurs de solutions de sécurité ne s'intéressent pas au marché de la protection contre les attaques massives par déni de service car il n'y a pas d'argent à y faire. Et les maîtres des botnets entendent bien que cela reste ainsi car ils ne veulent pas qu'il y ait de protection efficace contre leurs actions. Leurs botnets peuvent être loués pour envoyer du spam ou exercer du chantage contre des sites de jeux en ligne, en les menaçant de les couper d'internet. Ceci dit, en la matière, il ne s'agit pas d'une affaire de technologie, mais de personnes : les « good guys » contre « bad guys ». Pour conclure, je dirais qu'il faut adopter un nouveau point de vue par rapport à la sécurité. Il faut passer d'une sécurité qui interdit aux utilisateurs de faire des choses à une sécurité qui permet d'agir. La sécurité doit être vue comme les freins d'une voiture. C'est grâce aux freins que l'on sait que l'on peut conduire vite car on contrôle sa vitesse. Vous devez comprendre le business pour positionner la sécurité selon ses priorités.