C'est désormais une tradition, tous les ans, le mois d'octobre est le mois consacré à la cybersécurité. Un mois, c'est mieux que rien, certes, mais ne vous trompez pas sur le message, la cybersécurité ne consiste pas à faire du ménage un mois dans l'année. Il s'agit d'un travail, d'une discipline de tous les jours. Informer sur les enjeux, proposer des solutions visant à améliorer le contrôle que nous avons sur nos données, responsabiliser nos usages. Nous avons donc un mois pour réaliser ce que l'on arrive déjà pas à faire comme on le devrait le reste de l'année.
Après une année numérique cacophonique : de la censure de la Loi Avia (qui devrait revenir sous une forme ou sous une autre), à l'explosion contrainte du télétravail, en passant par l'invalidation du privacy shield (..), il devient compliqué d'avoir une vision technique et juridique globale de notre environnement. Savoir ce qui relève de la cybercriminalité, de l'ensauvagement numérique ou de l'incivilité souvent digitale devient compliqué.... et ce en France comme en Europe. De manière plus pragmatique, les cybermenaces mondiales sont très sérieusement observées par de nombreux organismes qui consolident leurs chiffres pour nous offrir un panorama toujours plus apocalyptique du cyberespace (les gens qui produisent ces chiffres sont globalement les mêmes que ceux qui nous vendent des solutions à des menaces même encore inconnues).
Si les dénis de service sont la partie la plus "observable" des attaques informatiques, les plus traumatisantes pour les victimes restent souvent celles des ransomwares et des fuites de données. Une pratique plus récente en forte progression, furtive celle-ci, et qui s'est popularisée ces denières années est celle des cryptominers. Ces attaques consistent en l'installation de logiciels sur une machine vulnérable, à l'insu de son propriétaire, afin d'en occuper les ressources pour miner de la monnaie virtuelle (souvent du Monero ou du Bitcoin). Ce type d'attaque se décelle facilement puisque l'on se retrouve avec un système particulièrement lent et peinant à exécuter des tâches habituelles, du jour au lendemain.
C'est dans ce contexte qu'arrive notre Cybermoi/s, une initiative internationale visant à sensibiliser un peu plus professionnels et particuliers autour des enjeux de la cybersécurité et des bonnes pratiques à adopter. Le cybermoi/s se veut avant tout sensibilisateur auprès du grand public et cherche à mobiliser les professionnels autour de cette problématique qui chaque année devient un poste de coût un peu plus pesant pour les structures qui identifient mal les problèmes liés à la sécurité numérique.
Cette année, le Cybermoi/s est placé sous le signe de la lutte contre le cyberchantage. L'ennemi est identifié, il porte un hoodie, des baskets, il est russe ou chinois. C'est parfait vous pouvez lâcher les sponsors, pardon, les éditeurs d'antivirus et marchands de VPN, le tout avec la bénédiction du MEDEF qui propose un questionnaire en ligne visant à évaluer vos connaissances. Mais comme épinglé par Stéphane Bortzmeyer, il y a des choses relativement contestables sur le fond comme sur la forme (collecte d'adresses email pas très RGPD et réponses exotiques à des questions parfois mal posées). On notera cependant que l'intérêt soudain de l'organisation patronale est bienvenu, c'est le geste qui compte, même s'il n'est probablement pas désintéresé.
Mais s'il y a une initiative à retenir de ce Cybermoi/s, c'est évidemment celle de l'ANSSI avec son site https://www.cybermois.fr/, qui poursuivant son effort d'éducation et de responsabilisation de tous, propose un outil accessible, plutôt bien fait. On y comprend aisément les bons réflexes à adopter et cela complète le développement de services de plus en plus efficaces comme https://www.cybermalveillance.gouv.fr/.
L'autre petit évènement cette fois-ci de la semaine passée, c'est la progression de l'approche Zero Trust. Là on s'oriente plus vers un public de barbus abreuvés au SecOps que l'on nommait dans l'ancien temps "administrateurs systèmes et réseaux". La semaine du Zero Trust, c'est faire la promotion d'une nouvelle approche de la sécurité et que l'on oppose aux méthodes jusque-là plébiscitées et induites par la philosophie dite de la sécurité périmétrique. Si on devait articuler une politique Zero Trust autour de 5 points, ils seraient les suivants :
- on ne définit plus de périmètre : on assure la protection de l'intégralité de la surface (plus uniquement de la surface d'attaque) ;
- on pratique l'hypersegmentation ;
- on observe la règle de l'authentification permanente de chaque utilisateur, de chaque machine connectée au réseau ;
- on pratique la politique du plus bas privilège possible.
Encore assez peu présent dans nos contrées en dehors de quelques gros acteurs, le Zero Trust n'est pas un effet de mode, un artifice marketing, nos pratiques au quotidien au fur et à mesure que les organisations concernées le mettent en place. Et la quasi intégralité des gros acteurs poussent en ce sens, à commencer par OVH, et bien d'autres acteurs pour lesquels il n'est pas nécessaire de faire de publicité... bref, vous n'y couperez pas, vous y passerez d'une manière ou d'une autre.
On ajoutera que le Zero Trust, par sa rigidité, va probablement inciter à un peu plus de sensibilisation des utilisateurs et des acteurs autour des problématiques de la cybersécurité, ce qui apparaît comme une véritable nécessité à l'heure où de nombreuses structures ont expérimenté sous la contrainte le télétravail.
