« Il y a toujours un con qui clique » (FIC 2016)

« Il y a toujours un con qui clique » (FIC 2016)

Des solutions techniques de qualité, une expertise très accessible, une information pléthorique sur la cyber-criminalité. Et pourtant les PME et TPE continuent à se faire massacrer par les pirates. Pourquoi ? "Parce qu'il y a toujours un con qui clique", résume un RSSI sur le FIC.

La huitième édition du FIC s’achève. Je reviendrai bien sûr sur les temps forts et les annonces de l’événement, mais place d’abord au ressenti. J’en reviens avec l’impression d’un décalage toujours plus criant entre l’Etat de l’Art de la SSI et la réalité du terrain, notamment chez les PME et TPE.

Certes, en arpentant les allées du forum, l’on ne pouvait que constater la vitalité du marché de la cyberdéfense. Les grands étaient présents, évidemment, mais aussi et surtout les petits, notamment à travers le Pôle d’Excellence Cyber (Bretagne) ou le Cluster Confiance Numérique et Cybersécurité de Lille. Et ça, c’était réjouissant !

Ils étaient tous là, comme dit la chanson, mais pour y présenter quoi, au juste ? Les thèmes officiels retenus pour cette huitième éditions étaient très d’actualité : ils abordaient la donnée sous toutes ses dimensions, et les solutions présentées collaient, pour beaucoup, aux meilleures pratiques en la matière. Et avec une « data » carburant numérique, mais aussi enjeu de souveraineté nationale, capital de l’entreprise et intimité convoitée de l’individu, les enjeux sont à la fois techniques, politiques, juridiques et même éthiques. Bref, il y a de quoi faire !

Et puis bien sûr à l’heure où le règlement européen sur la protection des données à caractère personnel prend enfin son envol et où le Big Data devient un peu plus qu’un buzzword, le thème prend définitivement tout son sens.

Mais si la thématique était a priori bien traitée à travers les nombreux ateliers, et si l’offre était là, je n’ai pu m’empêcher de ressentir un gouffre entre d’une part cette approche orientée gouvernance des données, ou encore les solutions souvent efficaces des éditeurs que j’ai croisés, et d’autre part les discours des RSSI que j’ai pu interroger. 

Et c’est l’un d’eux qui résume le mieux l’état d’esprit du moment : « Tout ça c’est bien beau, mais y’a toujours un con qui clique ».

Donc, oui : il y aura toujours un utilisateur (pas forcément plus bête qu’un autre, en fait !) qui se fera avoir, cliquera sur un lien et infectera son poste de travail, puis l’entreprise.  Le rôle de la SSI est donc d’accepter que ce clic aura lieu, et de déployer des mesures capables d’en limiter l’impact.

Le RSSI en question travaille dans un grand groupe. Malgré des moyens probablement supérieurs, il s’estime donc manifestement toujours à la merci d’un clic malheureux (et il a raison, car cela peut aussi leur coûter très cher : lire « A la merci des procédures des autres » ). Que penser alors des TPE/PME où bien souvent rien n’a été fait ?

Je l’observe quotidiennement sur le terrain : le clic malheureux sur un lien piégé est à l’origine d’une grande majorité des compromissions de TPE/PME. Et quand ce n’est pas à travers un lien, c’est alors par l’ouverture d’un document infecté (Office ou PDF, notamment).

Et une fois l’erreur commise, nous sommes loin des virus anecdotiques d’antan. Les PME et TPE sont littéralement ravagées par la mode du rançongiciel (le « ransomware »). Pour les plus fragiles d’entre elles les coûts d’arrêt de production et les frais de nettoyage viennent considérablement impacter le résultat. Ce n’est pas un mythe.

Evidemment ce constat n’a rien de neuf : depuis des années nous observons un delta inquiétant entre l’état de l’Art de la SSI et la réalité sur le terrain, en particulier chez les PME et les TPE. Mais cela restait encore souvent du domaine de l’hypothèse : les experts mettaient en garde et les PME, contraintes par des budgets limités et une activité souvent trop tendue, les ignoraient car, finalement, il ne leur arrivait pas grand chose.

Tout cela a changé avec la généralisation du ransomware, véritable industrialisation du triptyque infection / prise de contrôle / chantage. Chaque infection fortuite, qui jadis ne représentait souvent qu’une nuisance mineure pour les utilisateurs et non pour l’activité, est désormais susceptible de paralyser l’entreprise. La donne a changé.

Mais dans le même temps le niveau de maturité des PME en matière de sécurité des systèmes d’information n’a, lui, pas forcément beaucoup évolué. Elles cherchent – au mieux – à se protéger contre le clic malheureux en installant une solution souvent choisie au petit bonheur, plutôt que d’envisager que celui-ci est inéluctable et qu’il convient alors de travailler aussi à en limiter l’impact par des mesures en profondeur.

Certes, la prise de conscience est engagée. Grâce notamment à la médiatisation des attaques par ransomware et l’escroquerie au président, à l’affaire Snowden, aux efforts de communication de l’ANSSI ainsi qu’à la prise en compte au plus haut niveau de l’Etat des questions de cybersécurité.

Mais pourquoi, alors, la protection, n’est-elle trop souvent pas encore à la hauteur ? Après tout le FIC, comme n’importe quel rendez-vous sérieux dans le domaine, regorge d’offres et de services efficaces. Comment, lorsque l’on associe une prise de conscience grandissante de la menace à la disponibilité sur le marché d’une expertise forte et de solutions efficaces, est-il si difficile d’élever significativement le niveau de protection ?

Les PME qui tentent d’anticiper le problème découvrent rapidement que le chemin sera plus long que prévu. Et entre autre qu’il ne s’agit pas simplement d’acheter un « meilleur » antivirus (d’ailleurs faites le test sur www.virustotal.com : analysez le prochain fichier infecté que vous recevez dans votre messagerie. Sur la quarantaine d’antivirus parfaitement à jour que propose le site, il est fort probable que seuls 3 à 5 des produits ne donnent l’alerte. Et ce sont rarement les mêmes…).

La réalité, c’est que comme beaucoup d’autres domaines complexes, la protection numérique est une affaire de maturité. Celle-ci se bâtit dans la durée en déployant certes des solutions bien choisies, mais aussi en mettant en place des procédures efficaces, en les testant, en inculquant de bonnes habitudes « d’hygiène » informatique aux collaborateurs et en les répétant régulièrement. En ayant une véritable stratégie aussi : que fera-t-on lorsque nous serons hackés ? (car cela arrivera). A-t-on réellement une visibilité suffisante sur ce qui se passe sur notre réseau ? Et sinon qui est en mesure d’observer l’activité et de réagir rapidement ? Ne peut-on pas externaliser cette surveillance ? Que doit-on conserver en interne ? Nos contrats nous couvrent-ils réellement ? Que valent nos prestataires ?

Tout cela ne se fait pas du jour au lendemain et il ne suffit pas d’installer l’une des nombreuses solutions vues au FIC pour être immédiatement en sécurité. Elles fonctionnent, bien sûr, mais pour la plupart doivent s’inscrire dans un processus plus large de prise en compte de la sécurité de l’information à travers de multiples facettes. Et c’est précisément ce qui fait défaut aux petites entreprises les plus  durement frappées par la vague de ransomwares actuelle. 

Les offres d'externalisation de la SSI pour les PME vont dans le bon sens

C’est pourquoi, de la surveillance des infrastructures à la réponse à incidents, les nombreuses offres d’externalisationqui apparaissent à destination des PME sont une bonne chose. Associées à un accompagnement pragmatique et en s’appuyant sur des intégrateurs locaux sélectionnés pour leur compétence sécurité autant qu’en intégration, il est, en théorie, possible de proposer un vrai plan de bataille efficace et adapté aux PME. 

Et qu’est-ce qui différencie la théorie de la pratique ? Dans mon expérience, le budget et le temps, qui obligent à des arbitrages permanents et nuisent à la capacité d’anticipation des dirigeants des petites entreprises. Or le développement d’une culture et d’une stratégie de protection au sein de l’entreprise exige précisément de l’anticipation…

Voici, en définitive, les deux seuls véritables freins à la protection des PME. Nous sommes décidément bien loin de la qualité des solutions présentées sur les salons ou de la gouvernance des données et autres réflexions sur l’éthique….

Donnons alors aux dirigeants de PME les moyens de dégager du temps, aidons-les à bénéficier d’aides au financement pour des prestations de cyber-sécurité, et le reste suivra sans nul doute.  

Lire les articles précédents :
Astuce : en déplacement à l’étranger, pensez au téléphone local de secours !

A l'étranger, pensez à prendre avec vous un second téléphone doté d'une carte sim locale dans lequel vous enregistrerez les...

Fermer