La sécurité informatique expliquée à un chef de projet JS
Aujourd’hui on va causer un peu « cybersécurité ». Au diable la technique et le détail, oubliez un instant « La Casa de Papel » et rangez votre pare-feu OpenOffice. Le but de cet article est juste de vous parler de ce qu’est la sécurité informatique et du pourquoi de son existence, simplement, et en quoi consiste (en partie) mon métier. Pourquoi ? Tout simplement parce que je me rends compte qu’à chaque fois qu’on me demande « mais tu fais quoi exactement dans ton travail ? » (que ce soit auprès de débutants ou non hein, c’est pareil avec les développeurs souvent, d’où le titre « troll »), la réponse qui vient est ou trop technique, ou trop vague, et dans tous les cas je ne récolte qu’un « ah d’accord » accompagné d’un regard vide et fuyant.
Mon métier, donc, consiste à assurer/superviser la sécurité de l’information au sein d’entreprises. Cela comporte plein de facettes, mais voyons les choses dans l’ordre. Le poste s’intitule « RSSI », pour « Responsable de la Sécurité des Systèmes d’Information » (ou « CISO » pour « Chief Information Security Officier » typiquement si vous êtes un parisien nourri au Feed qui roule en trottinette électrique). Avant de parler « sécurité », on va donc parler « système d’information ».
Un « Système d’Information », quoi que c’est ?
Au sein de votre entreprise, vous avez sans doute un « service informatique », un « SI interne », tout ça. Des appellations un peu datées pour ce qui est plus couramment désigné par : « la DSI ».
*silence mystérieux*
La DSI, ou « Direction des Systèmes d’Information », c’est l’entité qui gère tout ce qui touche à l’information et à ses canaux de transit, qu’il s’agisse de matériel (ordinateurs, équipements réseaux, impression…) ou logiciel (licences MS Office, choix de tel ou tel outil métier, etc.). Gardez en tête comme je l’ai déjà rappelé à maintes reprises dans ces pages que l’information n’est pas toujours numérique (le premier qui dit « digital » va devoir raser les murs) mais également papier. Techniquement, les modalités de stockage, d’archivage, de destruction… de l’information « matérialisée » sont aussi de la responsabilité de la DSI.
Ce n’est pas la seule fonction de la DSI, c’est même assez réducteur, mais l’idée est que vous puissiez positionner l’entité et son rôle dans une entreprise.
La DSI gère donc (à la surprise générale) le Système d’Information. Le SI, c’est l’ensemble des composants qui permet de collecter, stocker, traiter et distribuer l’information, quel qu’en soit le format encore une fois, et que ces données soient personnelles ou non.
Passons à la sécurité
La sécurité aussi porte bien des noms. « Sécurité informatique », « cyber-sécurité », « INFOSEC »… tous ces termes désignent une seule et même chose (et avec encore une fois un biais régulier qui laisse à penser qu’on parle seulement d’informatique, alors que non, j’insiste, vos armoires font partie du SI 😀 ) : tous les procédés, toutes les méthodes en place au sein de votre organisation et visant à protéger lesdites informations. Comme l’humain aime bien les cases, on peut ranger ça dans plusieurs domaines principaux :
- La sécurité applicative : en gros, tout ce qui tourne autour du développement de logiciels (applis mobiles, sites web, logiciels…)
- La sécurité des infrastructures : là, on parle plutôt de ce qui touche aux réseaux, et au matériel (routeurs, par exemple, qui sont un peu les aiguilleurs du réseau informatique de votre entreprise)
- La sécurité « dans le cloud », parce que vu que les DSI sont de plus en plus dans la facilité, on a souvent recours aux services de tiers pour tout gérer. Je parle pas de prestas super spécialisés hein (le conseil a toujours existé), je parle bien d’externaliser des choses auparavant faites en internes pour pas avoir à se prendre la tête avec (ce qui est souvent un échec). Comme le « klaoude » c’est juste l’ordinateur de quelqu’un d’autre et pas vraiment un nuage, il faut gérer sa sécurité aussi.
- La gestion des vulnérabilités. Souvent, cela consiste à scanner et essayer de s’introduire dans un SI, dans une application… « comme si on était malveillant ». Inutile de préciser que c’est une prestation bien définie, et qu’on ne fait pas des tests d’intrusion comme on a le pif fait sans avoir de contrat avec le propriétaire du service audité. On entend souvent parler dans ce cas de « ethical hacker » (appellation bullshit s’il en est) ou de « pentest » (penetration testing / tests d’intrusion). Si ces tests mettent en lumière une vulnérabilité, l’idée c’est de la corriger, et avant qu’elle ne soit exploitée.
- La réponse à incident. On lui donne bien des noms : CERT, CSIRT, SOC… Tous ces termes désignent des équipes de spécialistes auxquelles on fait appel en cas de pépin. Ils sont à même d’identifier, confiner une menace, et d’assainir un système d’information compromis. C’est très souvent externalisé, car compliqué et coûteux à mettre en place.
- Enfin, la cryptographie. Cette discipline n’est pas limitée à la sécurité mais elle y est intimement liée car c’est grâce à elle que la confidentialité de l’information est souvent assurée, via le chiffrement (si j’entends « cryptage » c’est direct au pilori). Je vous invite si ça vous intéresse à parcourir les autres articles ici qui parlent de chiffrement, de hachage, etc.
En quoi c’est important ?
Imaginez un instant que votre banque se fasse pirater et que certaines données soient exfiltrées et publiées. On appelle ça une « fuite de données » (et les juristes ont choisi d’appeler ça « violation de données », ce qui fait moins sens, puisque l’exposition de données n’est pas forcément intentionnelle mais est parfois simplement le résultat d’une négligence, et que sauf exception, un viol n’est pas involontaire).
Votre banque, donc, dispose de pas mal d’infos sur vous : adresse perso, diverses informations personnelles qui pourraient servir à usurper votre identité, données bancaires (qui a dit « vider les comptes » ?), données de carte de paiement (et hop, une commande Amazon avec votre carte).
Et ce n’est qu’un seul des services auxquels vous avez recours au quotidien. Imaginez un peu la quantité de données que cela peut représenter au global, tous services confondus.
Et ces pirates, c’est qui, en fait ?
Quand bien même on observe souvent des « attaques » de proximité (des gens que vous connaissez et que vous auriez passablement contrariés ; ça arrive même aux meilleurs), on va dire que les attaquants de tous poils se rangent là encore dans 3 cases standardisées :
- Les « white hats » (je traduis pas, pitié), qui sont les plus sympas. Ils cherchent activement des vulnérabilités, et quand ils en trouvent, les font corriger. Ce sont les « ethical hackers » de tout à l’heure, quoi.
- les « black hats », aka « les vilains pas beaux ». Peu importe la motivation sous-jacente, ils ne sont pas là pour rendre service à votre DSI. L’idée est de nuire, ou de rapporter des brouzoufs via la revente d’infos. Et de flatter son égo, hein, on a souvent sa petite réputation à asseoir, son petit « hall of fame » personnel.
- les « grey hats », un peu entre les deux. Ils cherchent des vulnérabilités, mais quand ils les trouvent, avertissent l’organisation en cause (souvent avec un délai imparti pour la correction, avant publication des détails). D’autres ne s’embarrassent pas et publient directement les détails, ce qui peut mener à l’effet inverse, une exploitation massive de la faille dans un premier temps. C’est difficile de reprocher ce mode d’action, certains éditeurs mettant des mois voire des années à corriger une faille qui leur aurait été remontée…
- BONUS : les script kiddies. C’est un peu cliché mais pas totalement faux. On parle de Jean-Kévin, ado au teint blafard, qui utilise des outils conçus par de vrais pirates pour être simples d’utilisation. On peut citer par exemple LOIC, développé et utilisé dans le cadre d’opérations menées par Anonymous il y a quelques années, pour multiplier les sources d’attaques par déni de service distribué (DDoS). Il y avait 2-3 bricoles à remplir à la portée de tout le monde, et un gros bouton d’attaque. De quoi passer pour un gros caïd du hack sans connaissance aucune. Y’a des taquets qui se perdent.
Un souci d’exposition…
…qui paraît évident, pourtant. Que ce soit sur mobile (fausses applis, pisteurs, points d’accès Wi-Fi compromis), ordinateur (virus et autres vacheries), « drives », courriel (phishing, propagation de malwares), matériel (clés USB, disques durs externes), les vecteurs d’attaque et de transmission de logiciels malveillants sont nombreux. Une clé USB trouvée sur un parking, statistiquement, est branchée à un ordinateur dans les minutes qui suivent, souvent dans l’idée d’en identifier le propriétaire et de la lui remettre. Elle peut aussi avoir été déposée là à dessein, pour introduire un programme néfaste…
Allez, rajoutons-en un peu : l’IdO, l’internet des objets, « IoT » pour les anglophones. Vas-y que j’me promène avec une montre connectée à mon smartphone et à un fabricant (dans le meilleur des cas) H24, que j’ai l’assistant vocal de l’ordiphone dans ma poche (« OK GOOGLE, commande-moi un pack de PQ stp »), que j’ai installé un micro chez moi qui me place sur écoute en permanence (et ça devient même difficile de trouver une enceinte correcte mais NON équipée d’Alexa et ses potes)…
Les serrures connectées ? Une réalité. Les clés de voiture « partagées » via smartphone ? Aussi. Ouais, c’est cool et technologiquement impressionnant. Mais les risques associés sont là, et la plupart de ces choses ne sont pas matures, et de nombreuses marques notamment asiatiques ne prennent absolument pas la sécurité en compte. Même dans des jouets connectés pour (très) jeunes enfants.
Tout ça pour dire : l’hyper-connectivité accroît forcément les convoitises, et les risques qui pèsent sur l’information, qu’elle soit dans un contexte professionnel, ou personnel (ou les deux).
D’où la nécessité de prendre en compte la sécurité de l’information, « priorité pour cette année » ou pas.
Et c’est ça, finalement, mon métier. Prendre tous ces paramètres, toutes ces technologies, tous ces nouveaux usages qu’il ne faut pas forcément juste empêcher mais plutôt accompagner, et aider tout ce petit monde (DSI, décideurs, usagers…) à intégrer cet écosystème en bonne intelligence.
Ça demande beaucoup de patience et de pédagogie, beaucoup d’investissement et de rigueur aussi, de la fermeté parfois (non on branche pas n’importe quoi, non Docker en prod c’est pas une bonne idée, non on arrête de collecter les bulletins de casier judiciaire, et j’en passe), de l’imagination souvent (scenarii d’attaque, par exemple). Mais ça demande surtout beaucoup d’interactions avec tous les corps de métier, et ça c’est génial (si on aime ça). Sensibiliser les gens et faire évoluer les usages dans le bon sens, c’est extrêmement gratifiant pour moi. Même si souvent, en tant que RSSI, on a l’impression d’avoir une tâche ingrate et frustrante qui consiste à parler dans le vide et à essayer d’imposer des choses contre la volonté des usagers du système d’information.
Alors que l’idée derrière tout ça, c’est pas de freiner l’innovation ou le progrès, mais de faire mieux (et idéalement, faire bien) pour aller plus loin.
Je vous laisse avec une interprétation « non-IT » de ma fiche de poste, qui a eu le mérite de faire rire toute l’équipe sécu ce midi :
Je vous envoie des mails de phishing et j’vois si vous êtes suffisamment con pour cliquer. Je vous rappelle les règles de bien vivre en open-space en vous chocoblastant à la moindre occasion. Et de temps à autres je vous rappelle à quel point vous pouvez prendre cher à votre benef’ en faisant n’imp avec les données de vos utilisateurs/collaborateurs/clients, bisou, Maskim
Une webdesigner future dev anonyme
Et en passant : soyez mignons avec vos RSSI, un peu quand même.
Si vous avez le temps et la curiosité, n’hésitez pas à regarder l’Instant Technique que j’ai donné chez Conserto il y a quelques semaines, où je parle de la sécurité « de base du quotidien » (on a tous à ré-apprendre des trucs) :
(Merci tout plein à @valere qui me fournit gentiment un peu d’espace pour ça sur son serveur PeerTube, une alternative à YouTube plus éthique !)
Photo de couverture par Markus Spiske (Unsplash)
