Comment ne pas écrire un guide de cybersécurité pour les dirigeants

Par défaut

J’ai lu le Guide de cybersécurité pour les dirigeants pour pas que vous ayez à le faire. Ou comment perdre une bonne occasion de sensibiliser…

Challenges et Eyrolles publient, le 23 février, un guide intitulé “L’essentiel de la sécurité numérique pour les dirigeants”. L’ouvrage est présenté comme “[l]e mode d’emploi facile d’accès pour être à jour et mieux éclairé face au nouveau risque numérique”. L’idée est excellente : il faut sensibiliser toujours davantage aux risques numériques, les personnes qui ont en charge la prise de décision. Ces derniers sont nombreux et de nature très variable. C’est encourageant de voir qu’enfin la gestion des risques rencontre le volet numérique.

Enfin, c’est ce que j’ai pensé… jusqu’au moment où j’ai commencé à lire. Déjà, pour l’obtenir, c’était un peu délicat : la personne qui me l’a envoyé en première disait que ça m’épargne la création d’un compte pour le télécharger chez Eyrolles où la navigation n’est pas en HTTPS, où il n’y a pas de TLS pour SMTP et où les machines ne sont pas à l’heure. Que doit-on conclure quant à l’importance de la sécurité de ses visiteurs dans ces conditions ? (C’est une question rhétorique.)

Il en est de même avec le document contenant la mention “Ce document est la propriété exclusive de Bar Foo (foobar@gmail.com)” sur plus ou moins chaque page… De ce que j’ai compris, une telle mention est mise automatiquement quand on télécharge : donc, si vous téléchargez avec votre adresse mail, c’est elle qui apparaîtra. Tout ceci n’est pas très sérieux.

Passons au contenu. La démarche est pertinente : Challenges reconnaît sa position de magazine généraliste ayant fait appel à un parterre respectable de professionnels. On pourra toucher les dirigeants de divers domaines en passant par la presse généraliste (plutôt que par la spécialisée qu’ils ne lisent pas car souvent trop compliquée). Le livret est structuré autour d’une introduction et trois chapitres.

La cybersécurité, un enjeu stratégique

L’intro contient des citations brèves de chacun des experts et est censée planter le décor et motiver les dirigeants à s’intéresser à la question. Malheureusement, on lit ce genre de généralités : la sécurité “doit évidemment être un sujet de haut management”. Et l’eau, ça mouille aussi.

Ensuite on nous explique que “les hackers ayant toujours un temps d’avance, il reste à inventer les solutions de demain”. La formulation me rappelle la phrase devenue risible, des débuts de l’émergence des apps mobiles : vous voulez faire vos courses avec votre téléphone ? There’s an app for that! Ici, c’est un peu pareil : la sécu IT, there’s a boule de cristal for that! Il est dommageable de constater que personne n’a souligné la différence fondamentale qui existe entre le fait de se savoir vulnérable, de tenir à jour ses modèles de menaces et de deviner. Puisqu’on en est à sortir des adages, en voici un (de Louis Pasteur) : “La chance sourit aux esprits bien préparés”. C’est exactement pareil ici et le conseil opérationnel devrait être celui-ci plutôt que des envolées lyriques.

La partie opérationnelle justement est censée être la chose la plus importante de cet ouvrage. Or, on a déjà lu plusieurs pages et on tombe sur des formulations vaseuses du genre “Sujet complexe à adresser, elle nécessite de disposer d’une vision stratégique globale”. Ah, je me dois de souligner ce point Orwell : “LA SÉCURITÉ EST LA PREMIÈRE DES LIBERTÉS” (par le Président du Comité Cybersécurité de Syntec Numérique). Des envolées du genre “anticiper le risque est bien le propre du dirigeant d’entreprise” m’ont également fait tilter : chaque CEO est donc risk manager aussi ? Il y a une différence fondamentale entre piloter et prendre des décisions stratégiques, et faire de la gestion de risques au quotidien, qui plus est risques numériques.

Jusque-là, c’était donc l’intro. On a compris que la cybersécurité est un enjeu stratégique. Cependant, le mot “cybersécurité” n’est jamais défini. De quoi parle-t-on exactement ? Le propre de l’exercice de la sécurité est de ne surtout pas laisser des mots flotter mais de spécifier et préciser.

La nature du risque cyber

Enfin, du concret et de l’opérationnel ! #Oupas

On apprend qu’il y a eu 4 165 “cyberattaques détectées en France en 2016”. Du coup, Macron avec son pare-feu mal configuré devrait exploser le plafond… Bref, à partir du “guide”, on ne connaît ni la nature des “cyberattaques détectées” ni qui en a souffert : le CAC40, des OIV seulement, l’Etat,… ? Et un nombre tout seul, sans contexte, sans comparatif, ne veut rien dire. Par contre, point darkweb ! Le mot “darkweb” n’est jamais défini, mais on apprend que les “sous-traitants” de la cybercriminalité s’organisent dans le darkweb (et on doit déjà avoir très peur). Déjà, ces informations me sont parfaitement inutiles si je suis un dirigeant qui cherche à se renseigner : elles ne permettent pas de comprendre l’ampleur de la menace.

Et la suite est folklo… “Le cybercrime est d’autant plus lucratif que l’investissement initial est limité”, lit-on. Je suis restée bloquée dessus pendant quelques secondes, j’avoue. Lucratif comment ? On chiffre à combien les sommes perçues par les prétendus cybercriminels ? Et comment on évalue “l’investissement initial” tant qu’on y est ? Je voudrais bien voir un comparatif entre “cyberméchant 1 s’est fait 10k€ en faisant du spearphishing” vs. “ça a pris x homme/jour pour le développement et la mise au point d’une solution de spearphishing”. Là, on pourrait faire une évaluation spécifique.

Mon exemple est fictif mais utile à montrer justement la complexité d’évaluation. Et vient ensuite la partie sur le “risque juridique [qui est] quasi-nul”. Puisque ça cause darkweb, de nombreux hackers black hat qui y passaient du temps (sur les forums spécialisés genre dark0de) ont été détenus et sont en prison. L’un étant russe s’est vu garantir un séjour dans un goulag en Sibérie. Autre exemple de ce matin : le délinquant s’étant attaqué à la société britannique Talk Talk risque 14 ans de prison. Je n’appelle pas ça un “risque juridique quasi-nul”.

Passons donc aux risques vu que c’est l’objectif de ce chapitre 1. Et là, c’est un peu le drame parce qu’aucun risque n’est clairement nommé : on a ce qui ressemble à une description du spearphishing mais la partie social engineering prend une place trop importante. Cela dit, ce paragraphe illustre bien l’ampleur du travail de préparation et contredit le paragraphe précédent qui disait que l’“investissement initial [est] très limité”. Bon, après, on apprend que ce qui a l’air d’être un DDoS (attaque de déni de service distribué) est “simple à déclencher” “grâce à des programmes informatiques disponibles sur Internet”. C’était peut-être vrai en 2011 quand certaines factions d’Anonymous avaient introduit le procédé comme une “arme du geek” et où LOIC, l’outil qui soi-disant vous permet de lancer un DoS de votre iPad, était publié. On est cependant en 2017 et la situation a quelque peu évolué.

Du coup, je suis dirigreante mais je ne comprends plus trop : mes attaquants potentiels peuvent-ils ou pas lancer des attaques contre mon entreprise en regardant Kohlanta ? Et si c’est aussi facile, alors mon frigo connecté à Internet pourrait le faire aussi ? Le pourcentage affolant de 1 425% de retour sur investissement d’un ransomware est lâché, émanant d’un rapport de 2015. Mais c’est quoi, un ransomware ?… (Pas défini à cette étape du guide non plus.) Après, un bref retour sur l’attaque contre TV5 Monde est présenté : pour reprendre la conclusion d’un collègue, “rien de croustillant, juste l’aveu que TV5 n’était pas préparé (et qu’ils avaient une sécurité très limitée avant)”. Ensuite, le “guide” mélange des fuites de données et l’attaque par le botnet Mirai, avec un vocabulaire approximatif genre : “la société Dyn, qui redirige les flux Internet vers les hébergeurs”. Non, non, Dyn ne fait pas ça, ce serait plutôt ce que fait Cloudflare

Bref, donc, on vient de voir la nature du risque. Si je fais la cruche ou ne suis pas experte, je vous regarderai ainsi :

Comment se protéger

Maintenant qu’on a tous très très peur, voyons comment nous protéger. Une suite de 10 questions nous aidera à faire le point et identifier les premières actions.

Première question dans “faire le point” : “qui est mon RSSI ? Le connaissez-vous ?”. Je…

Bref. La 2e question : “Depuis quand n’ai-je pas entendu parler de cybersécurité ?” Vu que je ne connais pas le RSSI…

La 3e question : “Quand ai-je parlé de cybersécurité à toute l’entreprise ?” …Sans commentaire. La 4e question : “Quelle est l’intensité des attaques subies par mon entreprise ?” Je ne comprends pas : on parle de la quantité de clés USB que nos employés ramassent dans la rue et mettent sur les machines de l’entreprise ? Ou des DDoS ? Ou de la fréquence de tentatives de (spear)phishing ?… Et la dernière question : “Suis-je exposé personnellement ?” C’est vrai que vous êtes le boss : ça peut être utile de s’en préoccuper… Vous l’aurez compris, la partie “faire le point” a l’air totalement inutile et infantilisante, pour le dire poliment.

Passons donc aux cinq questions suivantes annoncées comme des questions pour “votre RSSI” (vu que grâce au premier lot de questions vous l’avez identifié)… On peut lui demander : “Quelles sont nos cinq plus grandes vulnérabilités ?” (et admettre qu’il y a une cabale avec le numéro 5 ?). Mais les clarifications prêtent à confusion : c’est censé être pour le RSSI, mais c’est au dirigeant (donc vous) qu’il revient d’identifier les vulnérabilités et de les partager avec le RSSI.

En bonne place dans le document figure le chiffre magique de “205 milliards d’emails échangés au monde chaque jour (hors spam)”. Si vous ne voyez pas de rapport avec le reste du document, moi non plus. Mais passons. On peut également demander au RSSI : “La dernière cyberattaque était-elle dans notre cartographie des risques ?” Euh, j’aime autant, sinon embauchez-en un(e) autre.

La 3e question : “De quand date notre dernier audit de sécurité ?” Celle-ci est pour moi un exemple symptomatique des problèmes rencontrés sur le terrain : pour une bonne partie des professionnels, il n’y a que le pentest dans la vie. Mais la sécurité des opérations (l’OPSEC) et celle des communications (la COMSEC), vous en faites quoi ? Comme quelqu’un le soulignait d’ailleurs, l’OPSEC est mal vue par les dirigeants : ses exigences peuvent provoquer des “frictions” avec le confort des habitudes. On est face à une situation paradoxale où la personne qui est investie de l’information stratégique de l’entreprise est celle qui a le plus bas seuil de tolérance à la rigueur de l’OPSEC. Payer des gens pour vous protéger ne suffit pas (on y reviendra plus bas).

Ensuite, on peut poser à son RSSI la question : “Sommes-nous préparés à une cybercrise ?” Mmmm, 42. Plus sérieusement, qu’est-ce que la “cybercrise” ? S’agit-il d’un défacement ? D’un DDoS ? D’une intrusion ? Une perte de disque dur ? Ou est-ce quand le développeur apprenti s’est dit qu’il pouvait commiter le vendredi en prod avant de partir en week-end ? Comment savez-vous que vos équipes sont compétentes pour une réponse à incident ? Sauront-ils faire de l’analyse post-mortem ou se contenteront-ils de juste redémarrer le serveur à distance ? Oh ou bien vous avez stocké vos informations stratégiques sur le cloud et le fournisseur est compromis ?

Enfin, la 5e question est la seule pertinente jusqu’ici : “Comment sommes-nous juridiquement protégés ?” C’est important de le savoir, surtout quand on est dirigeant : les livres que l’on n’a pas lus se vengent à leur façon. Prenez le Code pénal par exemple.

Je ne sais pas ce que vous en pensez jusqu’ici, mais l’image que j’ai du fameux dirigeant à qui est adressé ce guide est celui d’un enfant paumé au supermarché. Les enjeux sont beaucoup trop significatifs pour se permettre de se reposer sur un contenu vague, plein d’inexactitudes et pas actionnable.

L’implémentation

Maintenant que vous avez papoté avec votre RSSI, il est temps de revoir l’organisation interne et la place dudit RSSI (histoire de ne pas le perdre de nouveau…). D’autant plus qu’on nous dit que “66% des RSSI sont à la DSI, 22% désormais à la direction des risques”. Je me demande ce qu’il en est des 12% restants : à la cafète, pas trouvés,… ? Bref, vous l’aurez compris, cette question m’a beaucoup choquée.

On en vient à la question du budget. Souvent, on entend que “la sécurité, ça coûte cher”. La réponse la plus fréquente est : “à votre place, j’éviterais autant que possible de ne pas avoir à payer les pots cassés”. Mais passons : le guide nous donne un benchmark indicatif, à savoir “de 3 % à 10 % du budget informatique doit être consacré à la cybersécurité”. Un peu pifométrique comme approche, ne trouvez-vous pas ?

Parlons du prix de la sécurité, justement. Déjà, le benchmark 3–10% du budget total IT est incompréhensible : le budget IT d’un OIV (opérateur d’importance vitale, genre Engie, Orange) est très différent de celui d’une TPE ou d’une PME. Mais surtout, en indiquant une telle fourchette, on perd de vue l’objectif principal : remplacer la sécurité des systèmes et de l’entreprise par un budget prévisionnel. Limite, on s’attendrait à trouver une solution commerciale CEO Defender™… Mais quid de la formation en interne ? De la mise en condition et autres serious games concernant non seulement le dirigeant mais tous les employés ? Tester les équipements ? Comme le disait un ex-gestionnaire de sécurité, aujourd’hui administrateur systèmes, il est nécessaire de croiser et faire se rencontrer les différents pôles IT : comment sinon faire comprendre que des architectures parfaites sur le papier peuvent être terriblement difficiles et exigeantes à maintenir en condition opérationnelle ?

Je laisse à votre appréciation la mention de certaines certifications (les ISO27000 pour ne pas les citer) censées “rendre la toile plus sûre”. Ou encore la qualification de l’exigence légale de protéction des données à caractère personnel comme une possible “contrainte”

“Les 10 bons gestes pour se protéger”

Ces conseils sont donnés à la fois à titre professionnel et personnel. On y trouve, pêle-mêle, avoir un 1 mot de passe par compte, faire des sauvegardes régulières et faire des mises à jour. Faire des sauvegardes, c’est bien, mais pourquoi aucune mention ou recommandation de chiffrement, des infrastructures pour ce faire, etc. ? Ensuite, faire des mises à jour, c’est très bien aussi, mais on fait comment quand on n’est pas admin sur sa machine ?

On apprend qu’il faut éviter de se connecter à un wifi public. Mais de nouveau, il n’y a aucune mention de VPN lorsqu’on établit une connexion de l’extérieur. Ainsi, je peux très bien me connecter de la maison (mon wifi est “sécure”) sur mon poste de travail resté dans les locaux de l’entreprise : tout mon trafic passe en clair, chouette… Et bien sûr, mon préféré : “s’abstenir de communiquer ses mots de passe”. En 2017, on doit encore rappeler ce genre de choses à des dirigeants ? Ou dans la même veine : “éteindre les terminaux limite les intrusions”. C’est sûr : niet internet, niet problème… Bon, après les trucs usuels tels que cacher son écran en public et ne pas cliquer sur des PJ.

Et pour finir, on vous liste les boîtes expertes. Pur hasard : ce sont leurs représentants qui ont écrit ce guide. Voilà. Ne vous méprenez pas : je comprends que l’on doit avoir une action commerciale dynamique, mais là, c’est un conflit d’intérêts assez flagrant (ce guide fait publipostage) et vu le contenu, je ne suis pas convaincue de la capacité desdits acteurs à prendre en compte et de manière sensible et complète les besoins de sécurité de mon entreprise.

Ce que je n’ai pas trouvé dans ce guide

En conclusion, outre l’image peu reluisante de cet enfant confus qu’est “le dirigeant français”, le conseil que je tire est : quand tu vas en zone de guerre, prends des gardes de corps. Ce conseil est inopérant.

Une note de synthèse de deux pages contient l’essentiel et est opérationnelle, en tout cas les clients qui font appel à mes services ont ces retours. Si le dirigeant veut les détails d’un audit ou d’un plan de test ou que sais-je, ses assistants, le RSSI, d’autres managers s’en chargent. Le dirigeant prend les décisions et pour ce faire, il a besoin de clarté. Justement, en l’état du guide, la clarté manque. Ainsi par ex., je ne comprends pas ce qui relève de ma sécurité en tant que CEO, de la sécurité de ma boîte et de ma sécurité individuelle.

Il n’y a par ailleurs aucune mention de la compartimentation, soit le fait de séparer l’information au sens large (dont les gens et leurs activités) en de cellules discrètes. Le mot “discret” ici est synonyme de non-continu. On pourrait en parler pendant des heures. L’idée n’est pas de hiérarchiser et de fonctionner en silos mais d’introduire une manière de disposer de l’information stratégique qui prévient la compromission de tout le système par la mise à mal d’un seul de ses composants. Or, comme on le disait plus haut, le dirigeant étant le seul détenteur des informations stratégiques (donc ultra-sensibles), sa compromission est suffisante pour impliquer celle du système. Vous, cher lecteur, comprenez que c’est un mauvais plan.

Côté opérationnel justement, à partir du guide, mon RSSI ne saurait pas s’il devrait plutôt dépenser sur le pentest, sur ma sécurité personnelle, sur le rachat d’infras pour l’entreprise, etc. La formation en interne ne se fait pas avec un email du CEO une fois tous les 6 mois, or c’est un peu ce qui est recommandé. Et si l’on transposait ce guide à une PME ou à une start-up, il devient clairement HS. Or, il n’y a pas que le CAC40 et les OIV qui ont des dirigeants… Et si ces entreprises ont des RSSI, le plus souvent ce n’est pas le cas des petites structures. Donc, l’objectif de sensibiliser est probablement atteint, même si cela relève plus de l’anxiogène que de la sensibilisation. Mais opérationnel ? Aucunement.

Alors, à quand un vrai guide de la sécurité pour les dirigeants ? Avis aux amateurs 🙂