Après notre article traitant des 6 profils de cybersécurité, découvrez le programme le plus adapté pour avoir un SI de rêve sur les plages réseaux.

‍

Comment se sécuriser en fonction de son profil

Comme nous l'avons dit dans l'article précédent, si vous avez le profil classique des entreprises (disponibilité en premier, sans que cela ne soit critique), tous les guides de cybersécurité sur Internet vous décrirons convenablement la démarche à suivre.

On parle bien ici de se sécuriser lorsqu'on a au moins un critère critique. Dans ce cas là, il vous faut une doctrine, qui guide vos investissements et vos mesures, et qui sert de cap pour se rappeler pourquoi on fait ceci ou cela.

Les grandes lignes

La Disponibilité est un critère qui se gère essentiellement par des mesures palliatives. En effet, il est très difficile d'empêcher que des pannes, des défaillances ou des pertes de données surviennent. Mais il est assez accessible de mettre en place des moyens permettant de les rendre indolores lorsqu'elles se produisent.

L'Intégrité est un critère qui se gère autant de manière préventive que palliative. Comme pour la disponibilité, il est très difficile d'empêcher que des altérations surviennent. Mais contrairement à la disponibilité, une perte du critère d'intégrité est parfois très difficile à détecter. Donc les mesures palliatives ne sont pas des barrières suffisamment infranchissables pour se reposer seulement sur elles.

La Confidentialité est un critère qui se gère essentiellement de manière préventive. À l'inverse des deux autres critères, on ne peut pas vraiment résorber un impact en confidentialité. Une fois qu'un tiers a eu connaissance d'une information, on ne peut pas la lui faire oublier. On ne peut pas "reconfidentialiser" des données (on peut, au mieux, les rendre obsolètes). L'approche est donc de rendre les incidents de confidentialité aussi rares que possible.

Selon comment ces trois critères sont ordonnancés, on investira donc plus ou moins franchement dans des mesures préventives ou palliatives.

‍

DIC (le pourvoyeur)

Exemples : chaîne de télévision, e-commerce, transporteur

Conformément à ce que a été expliqué plus tôt, ce type de profil va privilégier une approche palliative. L'objectif est de devenir « tolérant aux pannes » (fault tolerant).

Il y a deux maîtres mots pour cela : la redondance et la continuité d'activité.
La redondance peut concerner aussi bien les données (plusieurs versions des sauvegardes : hors site, hors ligne, ...) que les services (double lien Internet, cluster de pare-feux, ...).
Mais la redondance vous assure seulement que vous avez un moyen secondaire de continuer à travailler quand le principal n'est plus fonctionnel. Cela ne dit rien du temps nécessaire pour passer de l'un à l'autre. Cette considération se traite au travers d'un Plan de Continuité d'Activité (au niveau métier on l'appelle PCA, au niveau informatique PCI) qui définit l'organisation pour que la transition, entre le moyen principal et le moyen de secours, se fasse aussi rapidement et insensiblement que la tâche le nécessite.

Concernant le deuxième critère de ce profil, l'intégrité, on l'aborde également sous un aspect palliatif. Plutôt que d'essayer de "corriger" des données erronées, on assure leur intégrité par notre capacité à les rétablir dans un état antérieur (où elles étaient correctes), via les sauvegardes très performantes mises en place pour le critère de disponibilité.

Une mesure, non triviale, typique de ce profil : le chaos monkey.

‍

DCI (le meneur)

Exemples : Samsung, Boeing, Netflix, entreprise d'import/export

La doctrine la plus courante, pour conjuguer disponibilité et confidentialité, consistera à diviser le système d'information en plusieurs segments aussi étanches que possible.
À la fois, on réduit les impacts d'un incident en disponibilité : des portions du réseaux peuvent être interrompues mais rarement tout le réseau. À la fois, on réduit la portée d'une perte de confidentialité : l'adversaire ne peut accéder qu'aux informations présentes dans le segment qu'il a compromis (il n'obtient pas tous les bijoux de famille d'un coup).

Comme on sait qu'aucune barrière n'est infranchissable, on veut aussi pouvoir détecter les intrusions le plus tôt possible, notamment pour réduire la surface des données qui seront compromises. Il y a une différence entre une attaque qu'on détecte en 2 heures et une qu'on détecte en 2 mois, surtout du point de vue du pillage de R&D.
C'est donc souvent dans ce type de profil qu'on trouvera des approches de « deceptive security » : on déploie des faux points d'intérêt, faciles à compromettre, mais ultra surveillés, en espérant qu'un pirate s'en prennent à eux en premier. Ceci comprend les honeypots, faux fichiers, faux comptes, etc.

Comme il y a souvent des mesures qui peuvent être mutualisées entre plusieurs critères de sécurité, c'est dans ces profils qu'on retrouvera des approches « contre-natures » à savoir des mesures préventives pour la disponibilité et palliatives pour la confidentialité.
Par exemple, une réduction drastique des surfaces d'attaque (limiter ce qui est exposé et limiter qui y accède) préviendra certaines pertes de disponibilité.

Bien que nous ayons expliqué que les impacts en confidentialité ne peuvent pas vraiment être résorbés, il existe tout de même certaines marges pour atténuer les impacts. Car contrairement à ce qu'on pourrait penser, se faire pirater n'entraîne pas automatiquement la révélation des données à tout le public, à toute la presse ou à tous vos concurrents. Les pirates peuvent vouloir négocier une rançon plutôt que de revendre les données. Il est possible qu'ils prennent la rançon ET revendent quand même vos données, mais quand c'est ça ou fermer l'entreprise, autant essayer. Vous pouvez aussi menacer juridiquement les plateformes qui relayent vos leaks pour rendre leur accès le plus difficile possible. Ces moyens n'ont pas une efficacité déterministe, mais il serait faux de croire qu'ils ne fonctionnent pas du tout.
Donc il peut être intéressant, pour un profil DCI, de disposer de Cyber Threat Intelligence (CTI) pour repérer toute brèche dans les données aussi vite que possible, de disposer d'une armée de juristes, négociateurs, provisions pour risque, etc. pour limiter les impacts.

Une mesure, non triviale, typique de ce profil : le private VLan.

‍

IDC (le sauveur)

Exemples : hôpital, banque, gestionnaire ferroviaire, ...

Bien que l'on soit dans une situation similaire au profil DIC, ici c'est l'intégrité qui prime. Le curseur sera donc plus équilibré entre préventif et palliatif.

On va reprendre substantiellement la stratégie de redondance du profil DIC (sauvegarde,cluster, etc.), avec la subtilité que l'on choisira davantage un mode actif/actif plutôt que actif/passif.
La partie continuité d'activité sera ici moins prioritaire que pour un DIC. On mettra davantage le focus sur les capacités à rétablir un état antérieur, facilement et rapidement, via un Plan de Rétablissement de l'Activité (au niveau métier on l'appelle PRA, au niveau informatique PRI).

Les sauvegardes (mesure palliative) sont un outil très puissant pour assurer l'intégrité en permettant de restaurer des données à un état antérieur. Mais il ne faut pas perdre de vue que cette mesure ne nous aide que si l'on a identifié qu'une donnée était invalide (et qu'il faut donc chercher à récupérer son ancienne version).
Si l'on veut éviter que la perte d'intégrité ait lieu, on choisit généralement d'effectuer deux fois les tâches sensibles par deux systèmes indépendants. Ainsi, on se donne les moyens de détecter précocement une défaillance (si les deux systèmes donnent un résultat différent).

Également, les mécanismes de restauration nous aident uniquement contre les altérations de données ayant eu lieu après la création de la donnée. Si un chirurgien inscrit le mauvais bras à opérer, l'information est mauvaise dès le moment où elle est créée. Donc il n'existe pas de bonne version à restaurer.

On ne peut donc pas s'affranchir de moyens de vérifications et de contre-vérification pour minimiser la probabilité qu'une donnée erronée demeure ignorée. Et on les concevra pour être sensibles (pas de faux négatifs) plutôt que spécifiques (pas de faux positifs). On voudra donc que ces moyens aient une approche Fail-safe default. C'est-à-dire qu'ils soient bloquants pour mener à bien un processus. En d'autres termes, plutôt qu'avoir des tests qui peuvent interrompre un processus s'ils détectent un problème (approche négative), on préfère des processus qui ne peuvent pas aboutir tant que les tests n'ont pas détecté une absence de problème (approche positive).
Par exemple, les portiques de sécurité des aéroports, où vos bagage sont scannés aux rayons X avec un opérateur qui s'assure qu'il n'y a pas d'objet dangereux, implémentent des systèmes de ce type. En effet, la machine ajoute régulièrement des fausses armes dans les bagages (Threat Image Projection) pour s'assurer de la vigilance de l'opérateur. Si celui-ci laisse passer le bagage sans en contrôler le contenu, la machine sait que la tâche de vérification n'a pas été menée correctement.

Un premier pas dans ce sens consiste à mettre en place un segmentation stricte entre la personne qui effectue et la personne qui vérifie, et à rendre cette vérification obligatoire. De cette manière on diminue d'un ordre de grandeur les probabilités qu'une erreur humaine demeure indétectée. Par exemple si celui qui effectue et celui qui vérifie ont tous les deux une marge d'erreur de 1%, alors la probabilité qu'une erreur ne sont pas détectée est de 0.01 %.

Seulement parfois, même 0.01% est un risque inacceptable (lorsqu'il y a des vies en jeu notamment). C'est pourquoi, pour les systèmes les plus critiques, on aura recours à des vérifications automatisées prouvées par méthode formelle (prouver que les propriétés voulues d'un algorithme découlent mathématiquement des hypothèses sélectionnées) et on portera son effort sur le fait de satisfaire les hypothèses. C'est notamment ce qui est mis en place dans le monde ferroviaire.

Une mesure, non triviale, typique de ce profil : la méthode B

‍

ICD (le garant)

Exemples : cabinet d'experts, médecine légale, service de renseignement, SNLE, ...

Ce profil est assez proche du précédent. Néanmoins, comme la disponibilité est moins importante, il peut se permettre des mesures d'intégrité plus poussées, quite à être moins tolérant aux pannes.

Il faut comprendre qu'il y a deux facettes dans la perte d'intégrité : celle qui est d'origine accidentelle (erreur) et celle qui est d'origine malveillante (sabotage ou fraude).
En mutualisant les mesures d'intégrité et de disponibilité (profil IDC) on lutte principalement contre les actes accidentels.
En mutualisant les mesures d'intégrité et de confidentialité (profil ICD) on lutte principalement contre les actes malveillants.
Bien sûr, aucun des deux profils ne peut faire l'économie de lutter contre les deux. Mais on retrouvera plus de mesures de l'une ou l'autre des approches selon que l'on est IDC ou ICD.

Une mesure de protection de l'intégrité contre les malveillances est de recourir à des systèmes déconnectés (air gap). Ça n'empêche pas les erreurs mais ça évite les piratages à distance. L'adversaire doit forcément se trouver physiquement à portée de la cible pour la compromettre. Ceci rend certaines tâches difficiles (mises à jour, échange de données) et fait reposer une responsabilité importante sur la sécurité physique (serrures, alarmes, clôtures, ...). Mais c'est particulièrement adéquat pour les systèmes qui effectuent des tâches critiques en autonomie.
Par exemple, une machine d'analyse biomédicale pour de la médecine légale n'a probablement pas besoin d'être connectée : on y insère physiquement un échantillon biologique et on récupère un résultat imprimé. Ainsi on diminue significativement les risques de modification (intégrité) ou d'exfiltration (confidentialité) des résultats, depuis l'extérieur.

Une mesure de protection de l'intégrité très poussée, qui limite à la fois les erreurs et les malversations, est le recours à du « logiciel câblé » (ou électronique dédiée). Il s'agit de « graver » le comportement d'un logiciel sur un circuit imprimé, de sorte qu'il ne puisse physiquement pas fonctionner autrement que ce qui est prévu. En effet, la plupart des vulnérabilités sont informatiques (et non pas électroniques) et sont exploitables car le logiciel s'exécute sur une plateforme physique polyvalente (un processeur) qui exécute ce qu'on lui demande. Utiliser de l'électronique dédiée empêche cette polyvalence.

Peut-être avez-vous vu la scène du film Le chant du loup où le commandant doit insérer un circuit imprimé dans l'ordinateur pour permettre le lancement d'une ogive. Cette solution implémente à la fois du air gap (le système ne marche pas tant que le circuit n'est pas physiquement enclenché) et du logiciel câblé (le comportement ne peut physiquement pas être modifié même si quelqu'un a piraté le système logiciel).
Si vous avez entendu parler de Stuxnet (le virus israelo-etatsunien qui a saboté les centrifugeuses de l'Iran), et bien il n'aurait pas pu fonctionner si il y avait eu utilisation de logiciel câblé.

Concernant la confidentialité, ce type de profil implémente au maximum les stratégies de réduction de la surface d'attaque.
Mais des mesures vraiment spécifiques à ces profils existent aussi, comme le chiffrement « déni plausible » (plausible deniability encryption). Il permet par exemple de déchiffrer un stockage avec deux clés différentes : une vraie (qui révèle les fichiers protégés) et une fausse au cas où vous seriez capturé (qui révèle des fichiers factices sans valeur). Utile pour les espions, les journalistes (utilisé par Julian Assange), etc.

Une mesure, non triviale, typique de ce profil : les data diode

‍

CDI (l'innovateur)

Exemples : start up

Ce profil doit veiller avant tout à ne pas se faire piller son savoir faire. Les mesures vont être presque exclusivement préventives.

Mais la première chose à dire est que le vecteur principal par lequel ce genre de profil peut subir une perte de confidentialité, c'est le débauchage d'employés.
On peut compter, un peu, sur la protection juridique (accord de confidentialité, de non concurrence, etc.), mais dans les faits, vous n'aurez pas toujours les moyens de mener (et de gagner) un procès contre une grosse firme. Qui plus est, la perte d'un employé clé, même s'il ne va pas à la concurrence, peut vous faire prendre un retard inacceptable pour les investisseurs.
Vous allez donc devoir investir sur le fait de fidéliser les personnes clés et notre expertise en cybersécurité est ici limitée pour vous aider (par rapport à un RH ou un Chief Happiness Officer -_-).
Mais les grandes lignes sont quand même connues : ne pas avoir trop de tâches support démotivantes (remplir des KPI, ...), avoir un environnement de travail agréable, se sentir écouté, sentir qu'on peut évoluer, etc.

Dans ces tailles d'entreprise, il est inenvisageable de mettre en place de la traçabilité des actions. Pratiquement tous les "productifs" sont admin et peuvent presque tout faire. Donc si vous avez un admin hostile c'est déjà perdu, traçabilité ou pas. Ne gaspillez donc pas trop d'argent là dedans.
Mais comme vous n'êtes pas résilient à un admin hostile, soyez très soigneux lors des recrutements (vérification des antécédents, recommandations, etc.).

La stratégie globale est de minimiser autant que possible la présence de points uniques de défaillance (SPOF) et de favoriser la sécurité des points de terminaison (endpoint security) car ils seront relativement autonomes. Ainsi, ne vous jetez pas dans les bras des environnements Active Directory et des fournisseurs de Cloud (ils sont les SPOF les plus répandus).
Comme chaque employé a beaucoup de pouvoirs et d'accès, la compromission d'un poste est un événement bien plus grave que pour une boite lambda. Que ce soit les maliciels ou la perte (le vol) dans un train, hôtel ou autre, des données cruciales peuvent être exposées.
Donc là ça vaut le coup de dépenser sans compter : MacBook (avec FileVault et écran de confidentialité) ou ChromeBook, smartphone payé et configuré par l'entreprise. Ainsi vos terminaux sont chiffrés par défaut et localisables/effaçables à distance et vous pouvez imposer des règles de sécurité (verrouillage automatique des sessions, longueur des mots de passe, ...). Il existe même des modèles de laptop où l'on peut inclure une carte SIM pour pouvoir les localiser.

Pour ce profil d'entreprise, la disponibilité est nécessaire, mais pas n'importe laquelle. On veut avant tout que la donnée ne soit pas perdue, donc on va mettre de la redondance (sauvegarde avec copie hors site et copie hors ligne) et du chiffrement (des données ET des sauvegardes). Mais la continuité d'activité est secondaire : le principal est de pouvoir restaurer les données, on n'a pas besoin que ce soit fait en 5 minutes. 
Donc les PCA/PCI ne sont pas indispensables.

Une mesure, non triviale, typique de ce profil : l'architecture Zero Trust

‍

CID (le confident)

Exemples : sécurité des personnes, cabinet d'avocats, Astar, ...

Il s'agit du profil le plus drastiquement orienté sur les mesures préventives. La doctrine de sécurisation doit donc être d'éviter au maximum la survenance des incidents de sécurité.

Pour cela, on applique des choix dimensionnants, le plus en amont possible (security by design):

• Moins il y a de données, moins une fuite sera impactante
• Moins il y a de systèmes connectés, moins un pirate a de cibles vers lesquelles se propager
• Moins il y a de personnes impliquées, moins une erreur humaine est susceptible de compromettre un projet

Avant : on applique donc une politique de minimisation stricte des données (« la donnée la plus sûre est celle qu'on ne collecte pas »).
Pendant : pour les données qu'on a du collectées, on dispose d'une classification de l'information (qui identifie explicitement ce que sont les données sensibles), d'une cartographie des éléments où les données sensibles sont stockées, d'un chiffrement systématique de ces données et d'une politique fine de contrôle des accès (principe de besoin d'en connaître + principe de moindre privilège).
Après : on purge à intervalle régulier (tous les 3 ans par exemple) les données qui ne sont pas nécessaires à la production (suppression définitive ou archivage)

La plupart des profils CID travaillent essentiellement sur des données qui proviennent de l'extérieur (confiée par leurs clients) et produisent des données qui sont destinées à l'extérieur (livrables pour les clients). La part des données qu'ils exploitent pour eux-mêmes est très réduite par rapport aux autres profils.
De ce fait, il est particulièrement intéressant de prendre des mesures hautement sécurisées, mais qui présentent un risque conséquent de perdre des données, car on pourra toujours en retrouver la copie auprès du client. Par exemple un chiffrement Zero Knowledge (end-to-end encryption) assure une confidentialité persistante des données, même en cas de compromission du serveur qui les héberge (atout inestimable), mais présente le défaut de perdre définitivement les données si l'utilisateur oublie son mot de passe (impact finalement assez limité)

C'est dans ces profils qu'on retrouvera beaucoup de mesures orientées sur l'assurance que les accès sont légitimes : authentification double facteur,  enrôlement des terminaux de confiance, ...

Une mesure non triviale typique de ce profil : le chiffrement homomorphe

‍

Conclusion

Ce petit tour d'horizon des profils très polarisés ne se veut pas un guide exhaustif des démarche de sécurisation. En fait, il n'aborde même pas les bases. Au contraire, il était une occasion d'aborder des mesures de sécurité assez poussées (voir extrêmes pour certaines), dont vous n'aviez probablement pas souvent entendu parler. Or il se peut que certaines soient particulièrement bien adaptées à votre contexte et règlent plus efficacement certains problèmes que les mesures "classiques".

Les mesures que j'ai attribuées à tel ou tel profil n'en sont pas pour autant exclusives à ceux-ci. N'hésitez pas à piocher dans toutes celles qui vous semblent intéressantes, compte tenu de votre contexte, même si elles appartiennent à un autre profil que le votre. Les distinctions entre profils sont seulement une facilité pour appréhender le sujet, mais elles ne sont pas gravées dans la roche. Chaque entreprise a un contexte unique.