CLUB DE LA SÉCURITÉ DE L'INFORMATION FRANÇAIS (CLUSIF)
M. Lazaro Pejsachowicz, président du Club de la sécurité de l'information français (CLUSIF)
26 février 2014
Je reviens du Forum international sur la cybercriminalité où j'ai dû introduire huit mots nouveaux dans le glossaire de la cybersécurité . Si je vous parle de cela tout de suite, c'est qu'il existe une espèce de guerre des mots et, derrière cette guerre des mots, se cache une guerre commerciale. Malheureusement, la sécurité se construit dans ce contexte, ce qui complique la comparaison et la compréhension des entreprises, etc. Il faut déjà faire du marketing des mots car il faudrait que les gens comprennent ce qu'ils achètent, ce n'est pas facile.
En particulier, le mot à la mode « cyber » est utilisé à toutes les sauces. « cyber » veut dire « électronique » et aussi « extérieur » mais certains utilisent ce mot pour parler de leur contrôle de base interne.
CLUSIF n'est pas une organisation de responsables de sécurité interne des entreprises mais un rassemblement de professionnels de la sécurité qui ambitionnent de mettre en place des solutions de sécurité dans les entreprises et aussi des professionnels de sécurité qui fabriquent des produits, qui les vendent, qui les installent, etc. Tous les types de professionnels de la sécurité sont donc membres du CLUSIF et s'accordent sur le fait que leur mission est que l'entreprise puisse se protéger de la meilleure façon.
Une des raisons pour lesquelles les entreprises ont du mal à se protéger de la meilleure façon, c'est la compréhension des problématiques qui est en partie liée à la compréhension des termes. On parle de cyberespace, de numérique, d'information, etc. Le CLUSIF ne nie pas le phénomène cyber ni la multiplication des moyens par lesquels l'informatique s'exprime. Tout au contraire, on essaie de les appréhender tous mais le coeur de notre préoccupation c'est que les entreprises puissent protéger leurs informations. Le problème de la protection de l'information a été vu trop souvent comme la nécessité de posséder les outils et les prestataires nécessaires pour cette protection. Il faut bien que les entreprises vivent... Mais ça ne se réduit pas à cela. Nous considérons que les entreprises doivent avoir elles-mêmes les moyens de comprendre comment se protéger .
De ce point de vue, pour nous, l'arrivée de M. Patrick Pailloux à l'ANSSI est tout à fait positive. Dans le dernier rapport de l'ANSSI, il est écrit : « Arrêtez d'acheter n'importe quoi ! Maîtrisez ce que vous avez déjà acheté ! ».
On peut se demander si les préoccupations de l'ANSSI sont tout à fait opérationnelles mais c'est l'objectif qui est important. L'entreprise doit pouvoir maîtriser son information. C'est ce que vise le CLUSIF.
Deux études importantes du CLUSIF sortent chaque année : le panorama de la cybercriminalité qui analyse les attaques intervenues au cours de l'année, étudie leurs conséquences du point de vue de la protection des entreprises et donne des perspectives aux entreprises à partir d'exemples d'attaques qui peuvent se généraliser. La deuxième étude porte sur la menace informatique et la sécurité . Cette étude consomme près du quart de notre budget ; il s'agit d'une enquête auprès des entreprises, des internautes pour recenser les risques qu'ils ont rencontrés, les incidents, les sinistres en résultant, les mesures mises en place et les pratiques nouvelles à adopter en réaction aux attaques.
Pour le CLUSIF, encore une fois, l'objectif constant est que l'entreprise comprenne elle-même. Certes, des prestataires de services dotés de personnels spécialisés contribuent beaucoup à ce que l'entreprise comprenne mais cela n'est pas suffisant car il faut que l'entreprise possède elle-même de vrais experts, des budgets de formation et de veille importants . Lorsqu'il s'agit de protéger l'information, toutes les entreprises n'ont pas les mêmes besoins, les mêmes risques et ne vont pas subir les mêmes attaques ni les mêmes incidents. Il faut donc cerner les besoins de chaque entreprise à partir d'une analyse interne et pas simplement externe, en recourant à des experts généralistes formés à détecter les risques des entreprises.
Si je suis si sensible à l'emploi du mot « cyber », c'est simplement parce qu'il est utilisé pour laisser croire qu'il est possible de sortir le risque de l'entreprise, de manière à pouvoir dire ensuite que tout le monde doit faire face au même risque, le cyberrisque, alors que cela est inexact.
Certes, il faut analyser les tendances actuelles, les attaques externes, la criminalité qui s'organise de façon désorganisée. Depuis trois ans, dans les panoramas de la cybercriminalité dressés par le CLUSIF, il a été montré comment s'organisait cette criminalité. C'est quelque chose de très particulier. Nous-mêmes, pendant longtemps, avons parlé des grands criminels, or, aujourd'hui, on n'a pas besoin d'être grand criminel pour nuire sur Internet. Il s'agit plutôt de coopératives de délinquants pour chercher un nom de domaine par-ci, un mot de passe par-là, etc., c'est quasiment comme des services. Ce schéma a été mis en évidence à travers des exemples d'attaques. En réalité, il n'y a pas un grand talent derrière la délinquance informatique qui est à la portée de n'importe qui .
À propos du recours aux nuages , quand je vais sur Google , je ne vais pas dans un nuage mais bien sur Google . Le rôle de l'État est de dire que, si vous choisissez d'aller dans un nuage, c'est votre responsabilité. Quand je stocke des données chez quelqu'un, cette personne doit être responsable de leur sécurité qu'il s'agisse ou non d'un nuage. Le rôle essentiel de l'État c'est d'indiquer là où on peut stocker et là où on ne peut pas.
En général, personne ne comprend quand on évoque des zones de non droit , or c'est un problème majeur. Pour les Américains ces zones n'existent pas. Si on peut faire confiance, sur certains points, à son fournisseur, il faut garder en tête ce qui est vital pour l'entreprise et, comme c'était déjà le cas à l'époque de l'hébergement, il est vital pour l'entreprise de garder la maîtrise de ses informations . Si l'entreprise pense que la sécurité de sa messagerie, son espace collaboratif, n'a pas d'importance pour elle et que l'économie réalisée vaut la peine, le CLUSIF n'intervient pas sur ces appréciations mais s'interroge simplement sur la réalité de l'économie réellement réalisée. La même opinion avait été émise sur les hébergeurs et, par la suite, les entreprises ont été conduites à tout rapatrier constatant d'ailleurs qu'elles ne maîtrisaient plus rien alors que le CLUSIF avait alerté sur le caractère risqué de cet hébergement.
Il faut d'abord que l'entreprise s'interroge sur ce qui est important pour elle, sur ce qui est vital pour continuer à le maîtriser. Une entreprise ne déléguera pas sa politique produit mais ne se rendra pas forcément compte que ses informations ont une importance analogue. L'objectif du CLUSIF c'est que les entreprises comprennent cela par elles-mêmes et conduisent elles-mêmes leurs expertises. À noter qu'il y a des entreprises où les responsables de sécurité ne sont consultés qu'après la mise des informations de l'entreprise à l'extérieur, sur Google ou autre, ce qui revient à donner le bâton pour se faire battre. En résumé et de manière générale, on peut externaliser ce qui n'est pas stratégique pour l'entreprise.
En général, le CLUSIF ne parle pas des attaques sans parler des risques .
Lorsqu'une entreprise affirme subir dix mille attaques par jour, en réalité, il ne s'agit pas de véritables attaques mais de ce qui a été arrêté par le pare-feu. Le besoin de vendre des outils de sécurité peut conduire à l'emploi d'un tel langage inapproprié. Il ne faut prendre en considération que ce qu'une personne normale appellerait intrusion. Sinon, tout devient grave et alors il est impossible de repérer le risque réel.
Il est réjouissant de voir que la CNIL a pris comme un coup de jeunesse en parlant maintenant de risque au lieu de parler de mesures dans l'absolu . La question est de savoir déterminer quand la faille de sécurité est grave et de connaître les solutions à y apporter à ce moment-là. Toute protection est faillible.
C'est pourquoi le CLUSIF émet très peu de recommandations de protection mais conduit plutôt des études de risque en montrant la manière de l'approcher.
La France a mis en oeuvre des mesures de sécurité bien avant les autres pays. Quand le CLUSIF a été fondé, il n'y avait d'organisation de sécurité nulle part. Mais, à chaque fois, la France a été rattrapée. En créant la CNIL, la France était également en avance.
Mais il existe tellement de groupes de pressions en action en Europe, qu'il est difficile pour des centres de réflexion dotés de peu de moyens d'imposer des idées raisonnables ; la lutte est inégale. Cependant, demeurent la République et la confiance en l'efficacité de l'État.
La neutralité de l'État devrait être assurée par l'ANSSI, ce qui n'est que partiellement le cas actuellement car l'ANSSI est obligée de se concentrer sur les opérateurs d'importance vitale (OIV) . Or toute limitation dans le spectre de l'effort ou également la concentration de très grandes sociétés de services apporte peu à la sécurité. En revanche, il existe un vivier de petites entreprises de sécurité qui sont une richesse française .
Par ailleurs, le CLUSIF produit des analyses sur les menaces informatiques et la cybercriminalité, bien d'autres font de même sans pour autant pouvoir satisfaire les besoins des entreprises d'avoir des vrais chiffres permettant une meilleure appréciation du risque. Seul un Observatoire mis en place par l'État pourrait être un endroit neural où les entreprises déclareraient leurs sinistres numériques sans crainte . Il serait souhaitable de pousser l'ANSSI à s'intéresser à la protection des entreprises au-delà des OIV à propos desquels il faut d'ailleurs souligner certaines limites puisque Bouygues est OIV alors que la Caisse nationale d'assurance vieillesse (CNAV) ne l'est pas... Quand je travaillais pour France Telecom , j'ai reçu une formation de la DST qui montrait des scenarii dans lesquels la CNAV n'arrivait pas à payer les retraites, ce qui pourrait faire vaciller la République bien plus que Bouygues .
Certains parlent de l'effet papillon en sécurité et le secteur de la sécurité vit de la croyance en cet effet. À propos des SCADA , émerge toute la problématique de la sécurité de l'informatique industrielle ; or ce point central a été négligé.
Par exemple, dans le milieu médical, les appareils de radiologie sont aujourd'hui des ordinateurs et donc à protéger des virus. Les SCADA constituent un problème essentiel d'aujourd'hui. L'ANSSI a créé un groupe de travail sur ce thème qui a obtenu des résultats excellents ; ce document est surtout destiné aux gros opérateurs d'importance vitale. De son côté, le CLUSIF a créé un groupe de travail sur les SCADA qui visait toutes les autres entreprises. Il faudrait trouver un schéma permettant que l'effet papillon puisse être attaqué.
Face à la cybersécurité, toutes les entreprises et tous les pays sont dans la même situation. On peut citer certaines entreprises qui font des efforts, notamment beaucoup en France et probablement davantage en France qu'à l'étranger. C'est la culture de l'intelligence. On peut citer aussi des entreprises américaines et il existe aussi, en Europe, des organismes analogues au CLUSIF.
Avant de légiférer ou de prendre des décrets, il faut considérer la problématique en cause, comme l'a fait le rapport Lasbordes, prendre conscience des enjeux et élaborer un schéma avec le concours des acteurs pour faire pénétrer et évoluer la sécurité partout .
Beaucoup de grandes entreprises ne sont pas sensibilisées à la sécurité.
Je ne suis pas du tout favorable aux guides de bonnes pratiques . L'expertise doit être menée au sein de l'entreprise.
Beaucoup de personnes croient que la cybersécurité est un échec mais des Anglais sont intervenus récemment dans un colloque pour préciser que lorsqu'on ne fait que de la conformité, on ne fait pas de sécurité . Beaucoup de guides de bonnes pratiques ont été lancés mais ils sont conçus pour qu'on achète beaucoup de matériel et n'assurent pas la sécurité car ils ne prennent pas en compte les risques particuliers et donc ne préconisent pas vraiment des bonnes pratiques à mettre en oeuvre et encore moins de l'expertise. Or la difficulté est de produire de l'expertise pour l'ensemble des entreprises françaises . Comment produire, avec l'ANSSI, des réflexions ?
La production d'une méthode d'analyse des risques par la CNIL, ça c'est révolutionnaire parce que cela permet de mettre en oeuvre une analyse en rapport avec l'intelligence de l'entreprise concernée. Il faut être concret.
Le Congrès nord-américain a voté une loi interdisant à un dirigeant de société de dire qu'il ne savait pas. Une disposition analogue figurait déjà dans une loi de finances française. Il ne suffit pas d'acheter un matériel pour mettre en oeuvre une mesure de bonne pratique, pour être en sécurité et pour pouvoir dire, quand un sinistre survient : « On ne savait pas ».
L'objectif est de transformer les intelligences individuelles en intelligence collective.
À ce jour, personne ne s'est amusé à attaquer le système d'information du CLUSIF ; malheureusement, on ne peut pas nous désorganiser de la sorte car notre système n'est pas encore très élaboré. Personne n'accède aux outils de travail collaboratif du CLUSIF. Encore une fois, la criticité de chaque attaque est propre à chaque entreprise .
À noter qu' un système rustique n'est pas mauvais. Il ne faut surtout pas démonter un système rustique au nom de l'obsession des gains.
Dans le même sens, peut être cité le cas d'un hôpital dont le système d'information est tombé en panne et qui ne pouvait plus accéder à la liste permettant de signaler qu'un appareil perfectionné ne fonctionnait pas et exigeait une réparation car cette liste elle-même se trouvait sur le système informatique en panne.