Read on Twitter
Dans le contexte des piratages massifs sans précédent qui mettent en danger la souveraineté des pays, je voudrais apporter un éclairage différent.
Premièrement il faut se rendre compte que le numérique et internet a basculé dans une état de guerre EXTREMEMENT asymétrique
D'un côté les états qui ne feront jamais le poids d'un point de vue technique. Il est inutile de se dire qu'un jour elle sera à la hauteur, c'est la nature d'internet qui l'empêche d'étendre sa souveraineté sur un espace qui par construction est sans frontière.
Essayer les recettes d'énarques pour répondre à se problème est voué à l'échec, sauf à le faire jusqu'au bout : imposer des frontières à internet à la manière du #greatfirewall chinois, qui permettrait de localiser les sources des attaques sur le territoire
De l'autre côté des groupes anonymes toujours plus mobiles et plus avancés techniquement (je dirais même les seuls innovateurs dans ce qui ressemble à une course à l'armement numérique) qui sauront toujours exploités mieux que n'importe qui les faiblesses administratives.
Quand on voit la capacité intellectuelle de nos dirigeants qui demandent la fin de l'anonymat sur les réseaux sociaux qui ne sont pas anonymes par construction, inutile d'attendre quoi que ce soit de la force publique pour l'instant.
Je m'adresse donc à ceux qui veulent renforcer leur sécurité informatique, et le changement de mentalité qu'ils doivent opérer au sein de leur entreprise.
1/ Il faut partir du principe que TOUT ce que vous mettez sur internet (y compris cloud "sécurisé" d'entreprise), finira disponible en libre accès sur le darknet ou cez un concurrent, et/ou attaqué par rançongiciel.
La première conséquence est qu'il faut commencer par organiser les informations pour identifier celle vitale pour l'entreprise et être dans la capacité de les archiver régulièrement.
La deuxième conséquence est d'identifier et de rematérialiser les processus vitaux. Cette étape cruciale va obliger à simplifier vos processus pour les rendre humains.
Un exemple ? Imaginer le systèmes français des impôts attaqués. Impossible de recomposer une base correcte pour récupérer les impôts en ligne. Il faut donc envoyer comme au bon vieux temps... une bible de formulaires CERFA avec des milliers (millions?) de champs à remplir.
Car oui la dématérialisation des impôts a permis la s̶i̶m̶p̶l̶i̶f̶i̶c̶a̶t̶i̶o̶n̶ multiplication des niches fiscales à un point complètement inhumain. La prudence commande donc de rematérialiser ce processus vital forçant sa simplification.
Autre conséquence : les normes. Avoir une norme dans cette guerre asymétrique, c'est inscrire sur son front que votre système d'information est bien identifiable et obsolète. Faire un partenariat avec un géant de la sécurité du marché c'est signer son arrêt de mort #Solarwinds
Que faire ? Jouer avec les propres armes de l'adversaire. Mettre sur pied une équipe (ou louer une équipe) de sécurité agile qui fréquentent souvent lesdits pirates de manière anonyme.
Plusieurs stratégies possibles. La blue team, pour répondre et anticiper les tendances de sécurisation. La red team pour être en position d'attaquer. La red team est illégale en France, même si la doctrine militaire française a récemment changé en ce sens. Mais pour les civils...
J'insiste sur le fait que pour les entreprises de taille moyenne, cette équipe DOIT être interne et ne pas être délégué. C'est un savoir faire stratégique et spécifique qui doit être développé.
Son rôle :
- identifier les données sensibles et proposer des solutions d'archivages
- identifier et hiérarchiser les processus vitaux et proposer la rematérialisation et la simplification ou renforcer leur sécurité le cas échéant
- développer un savoir-faire défensif et offensif
- identifier les données sensibles et proposer des solutions d'archivages
- identifier et hiérarchiser les processus vitaux et proposer la rematérialisation et la simplification ou renforcer leur sécurité le cas échéant
- développer un savoir-faire défensif et offensif
Le point 2 est de loin le plus difficile car il demande de penser de façon pragmatique et hors cadre. Il n'y a pas de recettes, chaque entreprise est unique. Il faut allier diplomatie, culture d'entreprise, technique, moyens financiers...
Bref comme toujours, la guerre à gagner est d'abord celle qu'on fait à soi-même !
