Dans un écosystème aujourd’hui très ouvert, la généralisation des flux HTTPS fragilise sensiblement la sécurité du SI de l’entreprise.

Et à travers elle, sont touchés de prime abord les collaborateurs et leurs données, tant personnelles que professionnelles. Prendre conscience des effets par ricochet qu’une infection propagée par un flux chiffré peut entraîner est une première étape indispensable à la mise en œuvre d’une politique de sécurité efficace.

 

Internet change et l’entreprise avec lui

Souvenez-vous, il y a maintenant une vingtaine d’années, l’entreprise se réorganisait autour de ses nouveaux et embryonnaires usages d’Internet. C’était toute une éducation. Sur quels sites laisser les collaborateurs surfer ? Fallait-il même autoriser un accès permanent ? Yahoo proposait des annuaires de sites web (moins de 32000, rendons-nous compte!) et les entreprises introduisaient la notion de chartes informatiques afin d’encadrer des pratiques encore timides. Autant le dire, pour le RSSI, c’était le bon temps. Certes, de très importants investissements sur les infrastructures de sécurité ont été réalisés, et jusqu’à ces dernières années, firewall, antivirus, sandbox et analyses forensiques ont tenu leurs promesses, couplés à des usages mâtures du web. Mâtures au point de conduire l’entreprise, en 2015, à adopter ce que beaucoup nomment un nouveau paradigme.

L’entreprise numérique, devenue perméable à la collaboration et à l’innovation, ouvre son système d’information à un écosystème qu’elle n’imaginait pas aussi large. Les technologies nouvelles sont l’occasion pour elle de construire de nouveaux business model à l’aune de l’omnicanalité et de la mobilité à tous crins. Les applications mobiles et les API font et refont la façon dont les collaborateurs, les partenaires et les prestataires échangent leurs données et concluent de nouveaux accords. Le Cloud n’est plus une solution parmi d’autres.

Il est la réponse attendue à des besoins urgents de scalabilité nés d’une consommation du web explosive. Et sous-tendant cette révolution numérique, les flux transitant au travers de toutes ces innovations sont devenus critiques, vis-à-vis de leur volumétrie certes mais surtout de la sécurité.

Sous l’impulsion de géants comme Google (pour des raisons qu’il ne nous appartient pas de commenter ici et que nous laissons à l’appréciation du lecteur), la généralisation du chiffrement des flux est en passe de devenir une réalité. Les derniers chiffres présentés par l’ARCEP montrent un taux de flux chiffrés multiplié par 10 entre 2000 et 2015. Et les tendances annoncent tout simplement 100 % de flux chiffrés d’ici 5 ans.

La France, de son côté, a choisi d’accompagner la signature d’une charte entre les FAI français pour le chiffrement des flux emails. Une bonne nouvelle pour la confidentialité des échanges. Une nouvelle beaucoup plus alarmante pour la sécurité de nos systèmes d’information.

 

Gare aux flux chiffrés !

Oui, la confidentialité participe de la sécurité, c’est indéniable. Mais qu’on se le dise, la confidentialité n’est pas et ne sera jamais la sécurité. Il est grand temps de battre en brèche cette idée reçue selon laquelle un flux https, par exemple, garantirait la fiabilité du serveur auquel l’on se connecte.

En d’autres termes, un flux chiffré n’informe pas de l’état d’un serveur, et à ce titre, ne protège pas du risque de véhiculer des fichiers infectés. Au contraire dirons-nous, les pirates de tous poils ayant bien compris l’intérêt d’un flux https pour faire transiter leurs menaces. L’expérience montre la facilité déconcertante pour un virus de compromettre l’intégrité des données contenues sur un poste de travail.

Qu’est-ce qu’au fond le poste de travail d’un collaborateur en entreprise ? Une porte ouverte sur un ensemble de données concernant spécifiquement un individu, convaincu d’être protégé par les mesures de sécurité mises en œuvre par son employeur.

Fort de cette croyance, le collaborateur n’hésite pas à déposer des informations personnelles (informations bancaires, jusqu’aux logins, information de santé, carnet d’adresses personnelles…). Évidemment, seront également contenues des informations liées à son activité professionnelle, un projet éminemment stratégique, une réponse à un marché public… soit toutes informations à fort enjeu pour le collaborateur. Et voilà que transite une menace bien réelle par un flux chiffré (rien de plus simple, un mail par exemple, une publicité sur laquelle on clique…), que le responsable de la sécurité des systèmes d’information n’a pu analyser, compte tenu, c’est une lapalissade, de son chiffrement.

Science-fiction ? Certainement pas. Dans les cas graves, les collaborateurs, leur RSSI et toute l’entreprise doivent faire face au chiffrement des données avec exigence de rançon, à l’insertion d’images à caractère pédophile, à la diffusion d’informations personnelles sur le web… C’est une situation aussi détestable que pénalisante pour l’employé qui perd à la fois sa confiance dans la protection que l’entreprise est censée lui offrir que sa crédibilité.

Pour l’entreprise, dans les cas de déploiement massif d’un virus, la situation peut devenir incontrôlable et les plus grands n’en sont pas exempts. Les responsables de Sony Pictures Entertainment et leurs collaborateurs, regroupés autour d’une class-action contre leur employeur ayant fait preuve de légèreté sur la sécurité, ont d’ores et déjà traversé l’écran entre la réalité et la fiction. De nombreux organismes publics français en ont également fait l’expérience.

Les flux chiffrés présentent une menace, à laquelle répondent dorénavant la CNIL et l’ANSSI au travers d’un cadre technique et juridique qui légitimisent le déchiffrement. Mais pas n’importe comment. Alors comment nous direz-vous? Ce point fera l’objet d’un prochain billet.

Recevez par mail les articles et actualités AuCoeurdesMétiersJe m'inscris à la newsletter
preloader