Me contacter
06 89 71 64 24

Nouvelles du front cyber ℙ??ℝ ???? — Aout 2022

Publié le 10 août 2022 ...

#Comprendre #Sécurité

L’illusion technophile est dangereuse. Ainsi, face à la complexité technique des solutions de protection cyber, nous préférons éviter de réfléchir à leurs possibles limites. L’une d’entre elles est la nécessité de sensibiliser tous les collaborateurs d’entreprise pour qu’ils ne soient pas des « maillons faibles ».

Celles et ceux qui me connaissent et/ou me lisent savent qu’en matière de protection contre les cyberattaques, je suis persuadé qu’on ne peut se passer de la formation des hommes et femmes qui font nos structures. Ne pas le faire, pour se confier totalement aux solutions de protection, aussi poussées soient-elles, ne peut que conduire au désastre.

C’est ce que je vais vous montrer au travers de la faillite d’un algorithme de chiffrement qui aurait dû nous protéger y compris de l’extraordinaire puissance des ordinateurs quantiques si — le moment venu — des pirates les utilisent pour nous « hacker ». Je reviendrai ensuite à ces humains qui peuplent nos organisations, mais que nous oublions, enfermés dans cette illusion technophile.

Toute sécurité a ses failles

Un Institut américain soucieux de booster le développement de solutions de sécurité numérique avancées avait lancé il y a quelques années un concours visant à faire émerger les meilleures solutions de protection contre l’utilisation détournée des futurs ordinateurs quantiques. Cet organisme public s’est quelque peu ridiculisé en ce mois d’aout.

En effet, parmi les lauréats de ce concours du meilleur algorithme de chiffrement, le concurrent « SIKE » a été craqué par un bon vieil ordinateur. Et quand j’utilise ce qualificatif de « vieux », ce n’est pas par familiarité ou dédain. En effet, l’ordinateur utilisé était doté d’une puce fabriquée en 2013 ! Qui plus est, il n’a pas eu besoin d’utiliser toute sa puissance pour faire tomber la belle protection que disait offrir SIKE, puisque sur les six cœurs contenus dans cette puce, un seul a quasiment suffi !

Même si comme moi, vous n’êtes pas spécialiste des ordinateurs et de leur « moteur », à savoir les puces, vous comprenez là que c’est David contre Goliath.

La première explication pourrait venir du fait que le fameux SIKE a été créé par des étudiants en informatique moyens. Eh bien, détrompez-vous. En effet, SIKE a été développé pour une sorte consortium regroupant — excusez du peu ! — Texas Instrument, Amazon et Microsoft, d’autres entités moins connues et quelques universités.

Alors si ce n’est pas les créateurs de SIKE qui ont failli, est-ce du côté des « hackeurs » qu’il faut chercher ? Là encore, rien qui dépasse l’entendement puisque c’est un groupe d’enseignants-chercheurs d’une université belge qui ont réussi cet exploit. Ceux-ci, plutôt que de s’attaquer de front à l’algorithme pour tenter de détecter des failles dans sa conception, ont pris le problème ‘‘à l’envers’’. Ils se sont attaqués à SIKE sous un angle purement mathématique avec différents théorèmes connus des mathématiciens actuels.

Je n’irai pas plus loin sur cet aspect des choses. Par contre, ce que nous devons retenir c’est que l’un des produits sortant dans la short-list d’un concours visant à faire émerger les quelques solutions qui nous protègeront demain a été très simplement contourné.

Cela ne signifie pas que nos organisations ne doivent pas investir dans des systèmes de protection adaptés à leurs activités. Non, bien évidemment, par contre cela veut dire que cela ne suffit pas et qu’il faut former, sensibiliser et donner les moyens d’être curieux et réactifs aux salariés de nos organisations.

Pas forcément le maillon faible

Pour sensibiliser les dirigeants d’entreprise à la nécessité de former leurs salariés aux questions de cyberpiratage, il y a un parallèle que j’aime bien faire. C’est celui du châtelain qui pour défendre sa famille et ses richesses n’en finit pas de renforcer ses murs d’enceinte, toujours plus haut, toujours plus épais. Le problème est que, à côté de grand œuvre qui réclame toute son énergie et des moyens, il y a les hommes et les femmes qui font vivre le château auxquels on ne pense pas pour participer à la défense le château. C’est dommage parce que, parmi eux, il y a le responsable de la fermeture du pont-levis, une tâche qui n’est pas systématiquement réalisée, ou pas toujours complètement. Enfin bref, nous avons un château aux murailles toujours plus élevées, mais un pont-levis pas toujours bien fermé. En cas d’attaque, imaginez par où passeront les voleurs ou les troupes ennemies…

Une telle histoire permet évidemment de pointer la direction dans laquelle il est important de s’investir, et ce de manière permanente, le personnel de l’entreprise. Si je laisse de côté mon histoire destinée à interpeler, voici quelques données qui vont vous démontrer à quel point « le » salarié a une position stratégique dans un dispositif de maîtrise des risques cyber.

Pour ce faire, je vous propose un détour par Davos. En 2022, le forum mondial économique a publié un rapport sur les risques mondiaux. Cette année, il pointe la défaillance humaine comme étant à l’origine de la quasi-totalité des problèmes cyber constatés ! Un seul chiffre pour confirmer cette voie, 94 %. C’est en effet le pourcentage de cyberattaques qui ont pu se déployer, grâce à des courriels malveillants. Voilà, un premier axe de sensibilisation, la méfiance vis-à-vis des montagnes de mails que nous recevons. Certains, d’une manière assez fine ont intégré quelque part un piège qui, après avoir joué de la naïveté et va se diffuser à bas bruit dans l’entreprise, s’endormir s’il le faut, mais — soyez-en certain-saura se réveiller au bon moment…

Voilà un exemple de ce que chaque organisation doit travailler dans le cadre d’une bonne hygiène numérique.

Pour aller plus loin, voici une infographie que j’ai créée pour mon dernier livre consacré au risque cyber , livre écrit avec ma fille :