Cybersécurité: Le risque zéro n’existe pas

Si vous suivez l’actualité cyber vous avez pu remarquer il y a quelques semaines l’annonce de la cyber-attaque dont Airbus a été victime. Le géant de l’aéronautique a fait savoir le 30 janvier dernier avoir été victime d’une intrusion informatique qui a visé les données personnelles de certains collaborateurs. Il est pourtant facile d’affirmer qu’Airbus dispose de l’un des programmes de cybersécurité les plus avancés au monde. Comment se fait-il que des hacker, entreprise ou individus malveillants, aient pu entrer dans leur système ?

La réponse est simple : le risque zéro n’existe pas !

Nous l’expliquons par 2 principes connus de tous les professionnels de la cybersécurité

  1. S’il y a une vulnérabilité, elle sera exploitée.
  2. Il y a toujours une vulnérabilité.

Les hackers finissent toujours par exploiter les vulnérabilités d’un système. Aucun système n’est infaillible, car tant que des êtres humains écriront du code, des erreurs seront commises. Cela fait écho à un autre adage de la cybersécurité : il n’y pas de machines malveillantes, il n’y a que des Hommes…

Rassurez-vous, le risque n’est pas une fatalité. Chaque jour, vous prenez un nombre incalculable de décisions risquées. Après lecture, vous disposerez d’un premier élément de réponse pour évaluer les risques cyber qu’une vulnérabilité fait peser sur votre organisation

Que savez-vous du risque ?

Pour commencer, définissons le risque comme la combinaison de l’éventualité qu’un évènement se produise et l’impact qu’aurait cet événement s’ils se produisait ».

En cybersécurité l’évènement auquel nous faisons référence est la cyber- attaque. L’impact devra être évaluer au cas par cas en fonction du type d’actifs touché.

Au-delà de la nécessaire gestion de vos actifs IT, la question essentielle à laquelle vous serez amené répondre est : Que valent ces actifs pour moi ?

Valoriser l’immatériel

Assez logiquement si un actif a de la valeur pour vous, que ce soit de la donnée ou le logiciel qui la traite, il en aura pour le cyber attaquant qui guette.

Pour comprendre le concept de valeur, il faut donc la définir. Au-delà de la valeur financière, de quelle valeur parle-t-on ?

Elle peut être liée à des données dont la confidentialité, l’intégrité ou l’accessibilité sont primordiales au bon fonctionnement de votre organisation. Il peut aussi s’agir d’une réputation ternie qui aura un impact néfaste sur l’activité ; ou de votre vie privée que vous souhaitez garder comme telle.

A l’ère de l’information, la valeur est de plus en plus immatérielle mais elle n’en est pas moins convoitable : de la même façon, que vous placeriez de l’or dans un coffre-fort, vous devriez protéger ces actifs immatériels.

Le niveau de protection de ces éléments dépend donc de la valeur que vous leur accordez : est-ce que vous protégeriez un IPhone première génération avec une assurance et une housse anti choc alors qui ne vaut même plus le prix de la housse ? Non ? Vous êtes déjà en train de faire de la gestion de risque !

Lorsqu’il y a de la valeur, il y a un risque

Gardez à l’esprit que le risque cyber est un risque transversal pouvant impacter chaque branche de votre organisation. Pour l’identifier appuyez sur la nomenclature proposée par le gouvernement français qui a identifié 4 cyber-risques majeurs :

  1. La cybercriminalité (attaque de phishing, spearsphishing, ransomware, …)
  2. L’atteinte à l’image (attaques DDOS, défacement, …)
  3. L’espionnage (watering hole, spearphishing, …)
  4. Le sabotage (rend inutilisable un système de façon temporaire voir permanente)

Si ces termes ne vous disent rien, nous lisez notre article sur les différents types d’attaques informatiques.

La gestion des risques est une discipline extrêmement vaste qui pourrait justifier une encyclopédie entière sur le sujet. Ici, vous avez seulement besoin de comprendre que cette gestion du risque amène à un point crucial : son acceptation.

Accepter ou mitiger le risque ?

Qu’est-ce que l’acceptation du risque ?

C’est ce que vous faite quand vous décidez de traverser hors d’un passage piéton en ne jetant qu’un rapide coup d’œil pour aller chercher votre café chaque matin. Vous déterminez l’éventualité qu’une voiture arrive, l’impact que cela aurait et vous prenez ce risque que vous jugez acceptable. 
Maintenant, imaginez que vous voulez réduire ce risque, quelles sont les options qui s’offrent à vous ? Premièrement vous allez évaluer ce risque et comprendre comment il pourrait être réduit. Ici vous pouvez prendre deux décisions, soit demander au stagiaire de 3e d’aller vous chercher un café — dans ce cas vous appliquez ce qu’on appelle un transfert de risque — soit vous pouvez appliquer une protection efficace : traverser sur les passages piétons. En faisant ça, vous mitigez le risque d’être renversé par une voiture. Est-ce que vous l’avez totalement fais disparaitre pour autant ? Non, rappelez-vous : le risque zéro n’existe pas !

Ce risque qu’il reste de vous faire renverser est appelé risque résiduel. Le risque résiduel est donc le risque qu’il reste après que vous ayez appliqué des outils de contrôle et de protection. Vous ne l’acceptez pas ? réduisez-le encore, faites construire un pont à la place de chaque passages piétons ! Vous pouvez globalement ajouter autant d’outils de contrôle et de protection que vous le souhaitez tant que leurs valeurs ne dépassent pas celle de l’actif que vous souhaitez protéger. 
En théorie oui, en pratique c’est évidemment plus complexe, trop d’outil de contrôle peuvent être contre productifs. C’était notamment le cas des premières solutions de chiffrement email qui nécessitaient plusieurs dizaines de clics pour chiffrer un message !

Avec ces éléments vous devriez commencer à y avoir plus clair sur la logique de la gestion de risque. Avant de rentrer dans la pratique nous vous invitons à lire ces deux articles supplémentaires sur les cyber-menaces et l’évaluation des actifs à protéger.