Certaines entreprises ont des besoins atypiques en cybersécurité, de par la nature de leur activité. Pour celles-ci, il est utile de s'en rendre compte le plus vite possible pour ne pas disperser son budget inutilement.
Toute entreprise qui décide de s'attaquer au sujet de la cybersécurité, avec l'objectif enthousiaste d'augmenter son niveau en la matière, va vraisemblablement commencer par les guides pour aborder le sujet : comment débuter en cybersécurité, les 10 mesures les plus importantes, etc.
Vraisemblablement encore, l'entreprise débutante y découvrira les mesures « classiques » que l'on retrouve partout et qui marchent pour tout le monde :
Maaaaaaaais .... marchent-elles vraiment pour tout le monde ?
Alors ... si l'on devait répondre en un mot ... oui ... globalement tout le monde augmente son niveau de sécurité en appliquant ces règles.
Pourtant, il y a bien quelque chose à creuser.
Ces règles sont conçues pour convenir aux profils d'entreprises les plus courants, mais il se peut que VOUS ne fassiez pas partie des profils d'entreprise les plus courants. Or en suivant de tels cheminements, vous augmenterez votre cybersécurité, oui, mais pas aux endroits les plus pertinents pour vous. Ça n'a l'air de pas grand chose comme ça, mais ça peut signifier la mise en faillite surprise de votre boîte.
Vous allez y voir plus clair avec les quelques notions qui vont suivre.
En cybersécurité, on considère les problèmes et les solutions d'après trois critères, que l'on retrouve partout :
Tout impact d'un incident en cybersécurité s'évalue par le prisme de ces critères : l'attaque informatique a paralysé le réseau (perte de disponibilité), on a mis a jor les coordonnées bancaires du fournisseur avec un faux RIB (perte d'intégrité), les pirates ont volé les données de nos utilisateurs (perte de confidentialité), ...
Et toute mesure de cybersécurité consiste à renforcer ces critères : on met de la redondance d'équipement pour améliorer la disponibilité, on met du calcul d'empreinte de fichier pour augmenter l'intégrité, on met des accès MFA pour augmenter la confidentialité, etc.
Et les guides de cybersécurité pour débutant présentent des mesures qui permettent de se renforcer globalement dans les 3 critères.
Sauf que ...
Pour certaines entreprise, une dégradation d'un critère en particulier peut signifier la faillite pratiquement immédiate et définitive. Pour celles-ci, la priorité n'est pas de progresser globalement mais de se concentrer rapidement sur le critère critique. Si elles ne le font pas, d'une part elles auront investi des sommes importantes pour contrer des risques qui, au final ..., sont facilement absorbables. D'autre part, elles auront la surprise de devoir liquider l'entreprise pour un événement, somme toute assez anodin, alors même qu'elles avaient un budget cybersécurité respectable.
Focaliser ses mesures sur un critère particulier n'est, d'une part, pas trivial mais, d'autre part, ça ne se fait pas uniquement avec des mesures "de base".
Et pour cela, il faut avant tout avoir identifié qu'on a un profil avec un critère de sécurité prioritaire.
Nous sommes ici pour cela.
Déterminer votre profil revient à évaluer l'ordre d'importance des 3 critères de sécurité pour votre entreprise.
Le profil le plus courant est celui où l'informatique est une fonction support : avant tout il faut que ça marche (Disponibilité). Si l'informatique tombe en panne, 80% des tâches vont devenir impossibles ou très longues à réaliser. Mais si ça dure moins de 2 jours, on s'en remet facilement.
Si jamais on a des altérations de données (Intégrité), c'est pénible et on mettrait potentiellement du temps à s'en rendre compte, mais on arriverait à rétablir les choses.
On n'a pas de données hautement confidentielles. Ce qu'on craindrait c'est que les mails du patron fuitent ou qu'un concurrent nous vole notre base client/fournisseur/prix, mais ça ne nous ferait pas mettre la clé sous la porte non plus.
Si vous vous êtes reconnu dans cette description, vous avez un profil classique. Vous êtes plus orientés sur la Disponibilité que sur le reste, mais ce n'est pas un critère «critique».
Les menaces que vous craignez sont essentiellement les attaques de ransomware qui paralysent votre Système d'Information (SI) : en plus de vous faire perdre du temps, vous devez identifier comment le pirate est rentré car sinon vous seriez repiratés tout de suite après avoir rétabli les sauvegardes (si elles n'ont pas été touchées). Également les arnaques au président, arnaques au changement de RIB, etc. sont des risques importants pour vous.
Mais globalement les mesures que vous verrez partout seront bien adaptées à votre cas : sanctuariser vos sauvegardes, bien sensibiliser les utilisateurs, protéger les accès, ...
Parlons maintenant des profils où certains critères sont déterminants.
On notera la Disponibilité D, l'Intégrité I et la Confidentialité C et on décrira un profil comme l'ordonnancement des ces lettres. Par exemple DIC décrit une société dont la première préoccupation est la disponibilité, puis l'intégrité et enfin la confidentialité.
Exemples d'entreprises : chaîne de télévision, e-commerce, transporteur
Ce profil est très dépendant de la disponibilité de l'outil informatique. Toute interruption engendre des pertes en capital menaçantes. Soit parce que l'équilibre des dépenses/revenus est très fin (société du type «fort volume et faible marge») et qu'on va rapidement arriver à court de trésorerie. Soit parce que les pertes vont grossir exponentiellement avec la durée d'interruption (pénalités contractuelles, ...).
Mais également (et c'est la caractéristique de ce profil), si l'on est en incapacité de fournir le bien/service, le client peut immédiatement se tourner vers la concurrence (changer de chaîne, aller sur CDiscount, ...). Or, si le client prend des habitudes avec un autre fournisseur, il sera difficile de le faire revenir.
Le soucis d'intégrité est secondaire. Si le produit/service délivré est défaillant, ça diminue la rentabilité, mais c'est un problème inévitable : on n'a jamais 0% de défaillance dans ces entreprises. Elles sont donc habituées à gérer ces événements et il existe des processus métiers pour cela (retour produit, rappel, provision pour risque, ...).
Si vous recevez un colis défectueux d'Amazon, où à la mauvaise adresse, vous n'allez pas tout de suite vous dire qu'Amazon ça ne vaut rien. Vous avez déjà commandé des dizaines de choses par le passé, sans problème, donc ça ne suffit pas à modifier votre opinion drastiquement.
Enfin, la confidentialité n'est pas un soucis prégnant. Il faut éviter les fuites de données, oui, pour la conformité CNIL/RGPD, mais globalement il n'y a pas de données très secrètes, pas de secret industriel fort. L'avantage de ces entreprises, par rapport à leurs concurrents, tient avant tout à leur capacité d'organisation. Voler toutes les données de ces entreprises ne permettrait pas de leur prendre des parts de marché significatives.
Exemples d'entreprises : Samsung, Boeing, Netflix, entreprise d'import/export
Là aussi la disponibilité est primordiale car ce type d'acteur gère d'énormes volumes ET il a un secteur R&D très important où il investit une part significative de ses marges. Toute baisse ou manque à gagner soudain peut donc complètement déstabiliser les finances et l'amener à la faillite.
Par exemple, si Boeing emprunte 1 milliard pour financer son prochain avion, en partant du principe qu'ils pourront rembourser 100 millions par an, mais que finalement ils n'ont pas les 100 millions car les avions ne sortent plus de la chaîne d'assemblage ... c'est chaud.
Qui dit gros secteur R&D, dit que la confidentialité est primordiale aussi, mais un peu moins que la disponibilité. Une perte de disponibilité peut mettre la société immédiatement en cessation de paiement. Alors qu'une perte en confidentialité menace plutôt la stratégie à moyen/long terme en permettant aux concurrents de copier vos technologies sans avoir eu besoin de payer pour leur développement (donc de les proposer moins chères). Ceci peut vous faire perdre des parts de marché et donc modifier le calcul de la rentabilité de vos programmes R&D.
Si les plans complets du prochain Samsung Galaxy, et de tous ses composants super nouveaux, sont volés et rendus publics, Google pourrait copier les avancés pour les proposer dans ses propres produits, bien moins cher (sans tenir compte des contraintes juridiques qui relèvent des mesures de sécurité).
La partie confidentialité ne concerne pas uniquement de la R&D, ce peut être un gros patrimoine informationnel collecté au cours de multiples années et directement mobilisables par vos concurrents en cas de fuite.
Par exemple, si quelqu'un arrive à voler toute la base des films et séries de Netflix et monte un site pirate pour tout voir gratuitement... Netflix va perdre des abonnés. Si une entreprise d'import/export se fait voler la base de ses prix d'achats auprès de ses fournisseurs, elle pourra se faire contourner par ses clients qui n'auront plus besoin de passer par elle.
L'intégrité est généralement subsidiaire pour ces entités. Comme elles gèrent des volumes très importants, les défaillances font partie du quotidien. Les acheteurs savent que si c'est défectueux, ce sera remplacé/réparé/remis en route.
Ça ne signifie pas que c'est négligeable pour autant, une partie de l'image de marque tient à la fiabilité des produits/services. Mais il faudrait un événement très conséquent et/ou très long pour menacer l'avenir de la société (à l'inverse des deux premiers critères qui peuvent la tuer).
Exemples d'entreprises : hôpital, banque, gestionnaire ferroviaire, ...
Il s'agit d'un profil qui délivre un service/produit critique (avec potentiellement des vies humaines en jeu). Mais dans son cas, il vaut mieux s'abstenir de délivrer plutôt que ce soit défaillant.
Ainsi on pense souvent que la priorité d'une banque ou d'un hôpital est la disponibilité. Après tout, si je ne peux plus payer avec ma carte bleue ou si je ne peux plus recevoir de soins à l'hôpital, c'est vraiment grave. Alors oui ... mais moins que si le montant de votre compte en banque n'est pas le bon ou si vous mourez à la suite d'un acte médical mal effectué.
S'il y a une perte de disponibilité, ce sera très dommageable, mais vous pourrez trouver des moyens de contournement. Par exemple, un hôpital peut rerouter les patients vers un autre établissement. Il y a une perte de chances pour le patient, car les soins arrivent plus tard, mais moins qu'en cas de mauvais soins.
La perte de confidentialité est problématique, car les informations sont souvent des données sensibles sur les gens (données médicales, bancaires, ...). Mais il n'y a pas mort d'homme. Donc c'est bien en deçà des deux premiers critères.
Exemples d'entreprises : cabinet d'experts, médecine légale, service de renseignement, SNLE, ...
Ce profil produit un bien/service pour lequel il est comptable, (dans le sens "accountable", "qui engage sa responsabilité") et qui sert à prendre des décisions importantes.
L'intégrité de votre livrable est primordiale. S'il est erroné, les conséquences peuvent être graves et plus personne ne ferait appel à vous si cela se produisait.
Si l'on se rend compte qu'un légiste s'est trompé sur les causes d'un décès, cela peut envoyer des innocents en prison. Si la DGSE envoie un cable à l'Élysée stipulant, à tort, que la Suisse s'apprête à nous envahir, ça peut être très grave. Si un sous-marin nucléaire envoie un missile vers la mauvaise cible, ...
Généralement, la confidentialité est un élément important, car les données traitées sont souvent sensibles (ADN, renseignements étatiques, données militaires, ...) et ne lui sont accessibles que par la nature officielle de sa mission. Vous pouvez prendre un sérieux bad buzz si jamais il y a un leak de vos données. Les gens diront que ça n'aurait jamais du vous arriver étant donnée la criticité de votre activité ... Pourtant, ce sera toujours moins grave qu'une perte d'intégrité.
Enfin, la disponibilité est souvent subsidiaire, car ces profils se nourrissent de données déjà existantes, mais n'en génèrent pas tant que ça. Donc toute perte de disponibilité des informations entraîne potentiellement des retards mais pas d'impossibilité de reconstruire la donnée.
Par exemple, vous préférez sans doute avoir un sous-marin de dissuasion nucléaire indisponible pendant un an (je ne pense pas que la Corée du Nord nous envahisse immédiatement) plutôt qu'un seul missile qui en parte alors qu'il ne devrait pas.
Exemples d'entreprises : start up
Ce profil correspond à l'entreprise organisée autour d'un seul produit/service à haute valeur ajoutée, dans un secteur concurrentiel. Ce deuxième élément n'est pas là pour rien. Si vous êtes une start up innovante dans un secteur de niche (la modélisation des glissements de terrain par une approche fluide+particules), vous n'avez pas ce profil. En effet, dans ce cas le vol/copie de propriété intellectuelle ne vous concerne pratiquement pas, puisque personne n'est capable (ni n'a la volonté) de copier votre travail.
La confidentialité est vitale pour ces profils. Si le patrimoine informationnel est divulgué publiquement, on peut fermer boutique. En effet, l'entreprise perdrait alors instantanément son avantage concurrentiel potentiel. Tous les acteurs déjà établis du secteur pourraient immédiatement (ou relativement facilement) récupérer sa R&D.
De plus, elle peut également perdre la confiance d'investisseurs clés.
La disponibilité est également très importante car ce type de profil suit généralement une logique d'investissements importants au démarrage, avec une atteinte de la rentabilité prévue plusieurs années après. Dès lors, une perte de données, ou des retards, peuvent rapidement bouleverser ces horizons de rentabilité, voir être fatal.
L'intégrité n'est généralement pas un critère déterminant puisqu'on ce qui est développé n'est de toute façon pas encore dans un état final. On fonctionne surtout avec des prototypes, la fiabilité deviendra un sujet quand on en sera à l'étape de go-to-market.
Exemples d'entreprises : sécurité des personnes, cabinet d'avocats, Astar, ...
Il s'agit d'un profil auquel on confie des informations parfois très sensibles. Si elles sont divulguées par sa faute, sa réputation sera anéantie. Or même si la réputation de fiabilité n'est pas suffisante à assurer le succès de l'entreprise, la réputation inverse suffit à la faire couler.
Si je suis une entreprise qui doit escorter des VIP et que je laisse fuiter l'info comme quoi Eminem m'attendra devant le Hilton à 16h30, je mets en danger sa sécurité et sa sérénité (braqueurs, fans, journalistes, ...). Si je suis une entreprise de pentest et que mes rapports d'audit fuitent, n'importe qui peut alors pirater mes clients. Dans un cas comme dans l'autre, je risque fortement de fermer boutique.
Ainsi la perte de confidentialité est plus dramatique pour les clients de cette entreprise que pour l'entreprise elle-même. Mais pour cette raison, on ne lui pardonnera pas une négligence.
Ce type de profil peut également être en charge d'actions sensibles, qui requièrent que les données soient exactes. Toutefois, les erreurs sont généralement détectables et réparables car ce profil collecte des éléments qu'on lui confie mais ne les crée pas lui-même (donc l'information d'origine peut être retrouvée). De plus, il est généralement impossible d'effectuer ces actions avec un taux d'erreur de 0. Donc on lui pardonnera plus facilement des erreurs d'exécution.
Pour la même raison, les pertes de disponibilités sont gérables. On peut assez facilement substituer des ressources lorsque l'une d'elle est défaillante et les données originales peuvent être récupérées.
Il se peut que vous hésitiez entre plusieurs descriptions. Il se peut également que vous ayez du mal à déterminer si le critère principal est critique pour votre structure.
Pour vous aider, voici 3 questions, non triviales, à vous poser :
Quand on parle de perte de données, il faut imaginer qu'elles ne sont plus là. Ça parait évident mais le premier réflexe de toute entreprise est de répondre "en cas de perte, pas de problème on a les sauvegardes".
NON
S'il y a les sauvegardes, alors il n'y a pas de perte. Quand je dis «perte» je parle vraiment d'un cas où vous n'avez plus l'original ni aucune copie (papier ou électronique).
Dans ce cas, le facteur déterminant est souvent de savoir si ces données étaient construites à partir d'un matériau de base qui est encore là. Par exemple les relevés de profondeur des eaux d'un lac : on peut les reconstruire, il suffit d'aller refaire les mesures. Les 15 ans de données médicales sur les cancers d'un CH piraté ... ben on ne les retrouvera jamais.
Certaines données peuvent être reconstructibles en théorie mais nécessiter un tel coût, qu'on ne sera jamais rentable à le payer.
Du coup, cela amène une autre question cruciale : « est-on capable de continuer notre activité sans les données non reconstructibles ? ».
Par exemple, si vous perdez tout l'historique de vos données comptables, c'est pénible. Mais rien n'empêche foncièrement votre service comptabilité de recommencer à travailler avec les données «à partir d'aujourd'hui».
Inversement, si vous êtes une banque est que vous avez perdu toutes les reconnaissances de dette des particuliers auxquels vous avez octroyé des prêts ... ce n'est même pas la peine de revenir au bureau demain.
Que l'altération soit volontaire ou involontaire, il y a une vraie différence entre s'en rendre compte avant ou après que cela produise des conséquences.
Par exemple, si un médecin fait une erreur sur son document de diagnostic, en écrivant qu'il faut amputer le bras gauche (au lieu du droit), ce ne sera pas le même impact selon que l'on s'en rende compte avant ou après l'opération.
Or, il y a des activités qui sont plus ou moins propices au fait de détecter précocement les inexactitudes des données.
Les "meilleures" erreurs sont celles qui font planter tout de suite la chaîne de traitement, ainsi on ne peut pas les louper. Vous penserez surement à celles-ci en premier. Mais ne vous laissez pas aveugler, il existe toujours des erreurs scélérates qui peuvent faire leur chemin très loin avant qu'on ne les identifie. Ce sont celles-là dont vous devez prendre conscience, ce sont vos vrais angles morts.
La seconde question à se poser alors est «est-ce que la fiabilité de certains de mes produits/services est critique pour mes clients ?»
Les impacts en confidentialité sont particuliers car, à l'inverse des deux autres critères, on ne peut pas vraiment les résorber. Une fois qu'un tiers a eu connaissance d'une information, on ne peut pas la lui faire oublier. On ne peut pas "reconfidentialiser" des données.
La seule chose que l'on peut faire c'est rendre obsolète ce qui a été divulgué : nos mots de passe ont fuité ? tout le monde change son mot de passe. Ainsi la donnée divulguée n'est plus un secret.
Oui mais ... il y a des données pour lesquelles ce n'est pas possible.
Si vous avez des données génétiques sur des gens et qu'elles fuitent, ils ne vont pas pouvoir changer leur génome. Le préjudice pour eux sera définitif, cette partie de leur vie privée sera à tout jamais publique. Pareil pour des données biométriques. Si quelqu'un prend en photo votre doigt, vous aurez à tout jamais un individu capable de déverrouiller vos accès protégés par empreinte. Vous ne pouvez pas changer l'empreinte de votre doigt.
Un mot de passe ça se change. Un numéro de carte bancaire, il suffit de faire opposition et d'en commander une autre. Un numéro de téléphone ... c'est pénible mais ça va encore. Une adresse postale ... les gens vont devoir déménager, ce n'est pas simple. L'historique des trajets ... on peut emprunter d'autres chemins mais le mal est fait d'avoir révélé qu'on fréquente tel ou tel établissement. L'orientation sexuelle, potentiellement irréparable (notamment dans des pays où l'homosexualité est condamnée). Des photos de nue, irrémédiable.
Ces questions ne sont bien sûr qu'une première étape pour dégrossir le sujet. Une réponse définitive nécessiterait de mener une analyse des risques et vous obtiendriez un résultat personnalisé, plus précis que ces 6 profils.
En attendant, même si vous ne rentrez pas dans une case bien définie, j'espère que cet article vous aura fait vous poser des questions nouvelles et regarder vos risques sous un autre jour.
Ce qui peut vous intéresser maintenant c'est de savoir quelle stratégie de sécurisation adopter en fonction de votre profil.
Ce sera l'objet de notre prochain article.