00:02 Introduction
02:12 La cybercriminalité en hausse
05:59 Paysage concurrentiel
10:41 L’histoire jusqu’à présent
13:00 Les 9 cercles de l’enfer
14:50 Modèle de menace (concepts 1/3)
20:54 Surface d’attaque (concepts 2/3)
25:14 Rayon noir (concepts 3/3)
30:48 Matériel non sécurisé (péchés 1/3)
38:05 Logiciel non sécurisé (péchés 2/3)
43:42 Attaques de la supply chain (péchés 3/3)
49:22 Sagesse commune (vertus 1/3)
57:23 Inversion de sécurité (vertus 2/3)
01:03:28 (In)sécurité par conception (vertus 3/3)
01:09:56 Conclusion
01:12:10 Prochain cours et questions de l’audience
Description
La cybercriminalité est en hausse. Les rançongiciels sont un marché en plein essor. En raison de leur nature physiquement distribuée, les supply chains sont particulièrement exposées. De plus, la complexité ambiante est un terrain fertile pour les problèmes de sécurité informatique. La sécurité informatique est contre-intuitive par conception, car c’est précisément l’angle adopté par les attaquants pour trouver et exploiter les failles. Selon les recettes numériques impliquées dans l’optimisation de la supply chain, le risque peut être augmenté ou diminué.
Transcription complète
Bienvenue dans cette série de cours sur la supply chain. Je suis Joannes Vermorel, et aujourd’hui je vais présenter “La cybersécurité pour la supply chain”. Les supply chains modernes sont largement pilotées par des logiciels et le sont de plus en plus chaque jour qui passe. Bien que les logiciels offrent de nombreux avantages, tels qu’une productivité accrue ou une réactivité accrue, ils présentent également de graves inconvénients. Parmi ces inconvénients, la sécurité informatique, qui est sa propre classe de problèmes et peut s’avérer extrêmement coûteuse. Cependant, pour la supply chain, il n’est plus possible de revenir à une ère pré-logicielle ; il n’est plus possible d’exploiter de manière rentable une supply chain à grande échelle sans logiciel. Ainsi, la sécurité informatique doit être abordée frontalement.
Le premier objectif de ce cours sera de comprendre l’étendue et la magnitude du défi de la sécurité informatique, en particulier du point de vue de la supply chain, afin de comprendre ce qu’il faut pour sécuriser une supply chain moderne. Le deuxième objectif de ce cours sera de comprendre ce qui rend la sécurité informatique si unique et difficile, car elle est profondément contre-intuitive. En particulier, du point de vue de la supply chain, nous voulons comprendre ce qui rend les idées applicables à la sécurité informatique si contraires à la sagesse commune qui prévaut dans la plupart des cercles de la supply chain.
La cybercriminalité est en hausse depuis plus d’une décennie. Le FBI fournit des statistiques très intéressantes sur la cybercriminalité. L’année dernière, les pertes signalées aux États-Unis pour la cybercriminalité ont atteint plus de 4 milliards de dollars. Ces chiffres sous-estiment probablement l’ampleur du problème, car les entreprises, pour diverses raisons, ont tendance à sous-déclarer les problèmes. Tout d’abord, il y a les incidents à petite échelle, qui sont particulièrement difficiles à évaluer et à quantifier. Par exemple, si vous perdez une demi-journée d’exploitation d’entrepôt dans un entrepôt en raison d’une violation mineure de la sécurité informatique, ce n’est guère le type d’incident qui justifiera un rapport réel et une réclamation de dommages, bien qu’il y ait eu des dommages réels.
D’autre part, les incidents à grande échelle ont tendance à être sous-déclarés par les grandes entreprises, ne serait-ce que pour éviter de provoquer une panique sur le marché si l’entreprise est cotée en bourse. Ainsi, les grands incidents ont tendance à être minimisés. Cependant, les chiffres les plus importants et les plus intéressants de ces rapports sont la croissance annuelle des pertes signalées, qui est d’environ 30 pour cent. Le FBI montre que ces chiffres sont restés très stables au cours des cinq dernières années. Mon point de vue personnel est que cette croissance est très susceptible de rester stable en termes de tendance croissante pour la décennie à venir. En effet, l’importance du logiciel est encore en constante croissance, et notre économie moderne dépend de plus en plus du logiciel. Ainsi, je soupçonne que cette tendance continuera de croître pendant environ une décennie avant d’atteindre un plateau.
Maintenant, la cybercriminalité est importante et elle augmente; cependant, ce n’est pas la fin du monde, surtout si nous la comparons à l’ampleur d’autres problèmes. Par exemple, si nous supposons une décennie de croissance annuelle constante de 30 pour cent, la cybercriminalité en termes de pertes signalées atteindrait quelque chose comme 50 milliards de dollars par an aux États-Unis. Cela ferait de l’ampleur de ce problème environ un tiers du marché des drogues illégales. Ainsi, bien que la cybercriminalité soit un gros problème, ce n’est pas exactement un problème de niveau d’apocalypse, surtout si nous comparons ce chiffre au PIB des États-Unis. Néanmoins, c’est un problème qui devient suffisamment sérieux pour mériter une attention très dédiée, surtout puisque la plupart des coûts sont supportés par les acteurs qui prêtent le moins d’attention. Ce coût n’est pas réparti de manière égale, et je pense que les supply chains, étant particulièrement exposées, supportent une plus grande partie de ce coût que le reste de l’économie. Dans cette partie, les entreprises qui prêtent le moins d’attention soutiennent en fait la majeure partie du coût.
Pour créer un problème de sécurité informatique, vous pouvez compromettre des machines, des personnes ou un mélange de machines et de personnes. Les techniques qui exploitent les personnes sont techniquement connues sous le nom de techniques d’ingénierie sociale, qui peuvent être incroyablement efficaces pour exploiter les problèmes de sécurité informatique. Cependant, l’ingénierie sociale mériterait un cours à part entière, et aujourd’hui, l’objectif de ce cours est de se concentrer sur la partie informatique du problème. Les supply chains sont très exposées, pratiquement par conception. Tout d’abord, les supply chains impliquent de nombreuses machines. Deuxièmement, les supply chains sont constituées d’opérations géographiquement distribuées. Troisièmement, par conception, les machines dans les supply chains sont incroyablement interconnectées et interdépendantes. Enfin, de nombreuses personnes sont impliquées dans les supply chains, ce qui signifie que le paysage applicatif est très complexe. Là où il y a de la complexité, il y a aussi de la fragilité en termes de sécurité informatique. Au total, les supply chains ont tous les ingrédients pour être des cibles privilégiées pour les problèmes de sécurité informatique.
Si ce n’était pas assez compliqué, je voudrais immédiatement souligner que la sécurité informatique est généralement en conflit avec d’autres types de sécurité, et donc l’amélioration de la situation en matière de sécurité informatique peut en fait créer d’autres types de problèmes de sécurité. Pour illustrer cet aspect, qui peut être assez contre-intuitif, examinons le cas d’un lac de données. Si vous introduisez un lac de données dans lequel vous rassemblez toutes vos données de supply chain, vous créez un point de défaillance unique. S’il y a une violation de ce lac de données et qu’un intrus peut le compromettre, alors cet attaquant unique sera en mesure d’exfiltrer toutes les données en une seule fois. C’est quelque chose qui vient par conception avec la notion même d’un lac de données, et il n’y a pas de solution de contournement.
Cependant, un lac de données a également ses avantages. Si nous n’avons pas de lac de données, l’entreprise est exposée à une autre classe de problèmes. La plupart des fraudes d’entreprise reposent sur le fait que, généralement dans une grande organisation, la main droite ne sait pas ce que fait la main gauche, et ce manque de communication et de synchronisation au sein de l’entreprise peut être utilisé pour commettre divers types de fraudes. Une façon d’atténuer ces problèmes consiste à regrouper toutes les données afin que de telles fraudes deviennent beaucoup plus évidentes, simplement parce que toutes les pièces ont été rassemblées. À cet égard, avoir un lac de données peut être un excellent moyen d’atténuer toutes sortes de fraudes qui passeraient autrement inaperçues simplement parce que les données ne peuvent pas être conciliées. Ainsi, nous pouvons voir qu’avoir un lac de données crée un problème de sécurité informatique, mais fait également partie de la solution pour éviter divers types de fraudes qui peuvent être très coûteuses pour l’entreprise.
Nous voyons ici que la sécurité informatique est une question de compromis, non seulement entre les coûts impliqués dans les mécanismes de sécurité, mais aussi entre d’autres types de sécurité qui vont au-delà du champ spécifique de la sécurité informatique.
Cette conférence est la septième de ce quatrième chapitre sur la supply chain, et ce quatrième chapitre est consacré aux sciences auxiliaires de la supply chain. Les sciences auxiliaires représentent des sujets qui ne sont pas exactement la supply chain mais qui sont fondamentaux pour une pratique moderne de la supply chain.
Depuis le début de ce quatrième chapitre, nous avons gravi l’échelle de l’abstraction. Nous avons commencé par la physique de l’informatique, puis nous sommes passés au logiciel avec l’élément le plus basique du logiciel, à savoir les algorithmes. Nous sommes ensuite entrés dans deux types spécifiques d’algorithmes assez élaborés, l’optimisation mathématique et l’apprentissage automatique, qui sont d’un intérêt clé pour la supply chain. En particulier, nous avons vu que l’optimisation mathématique et l’apprentissage automatique s’avèrent être pilotés par des paradigmes de programmation. Ainsi, nous avons fait un détour par la conférence sur les langages et les compilateurs, qui est probablement l’un des sujets les plus sous-estimés dans les cercles de la supply chain en ce qui concerne les connaissances informatiques.
Dans la dernière conférence, nous avons plongé dans l’ingénierie logicielle, en nous concentrant sur laisser les machines derrière nous pendant un moment et en nous concentrant sur les personnes qui créent le logiciel nécessaire pour faire fonctionner une supply chain en premier lieu. Aujourd’hui, après avoir examiné ce qu’il faut pour créer le logiciel nécessaire à votre supply chain pour fonctionner, nous allons nous concentrer sur ce qu’il faut pour détruire et désactiver ce même logiciel qui devrait faire fonctionner votre supply chain.
Le reste de cette conférence sera divisé en trois parties. Tout d’abord, nous passerons en revue trois concepts clés qui sont intéressants pour appréhender la sécurité informatique. Bien que la sécurité informatique soit profondément contre-intuitive, cela ne signifie pas qu’elle est impénétrable à la rationalité et à l’analyse logique. Deuxièmement, nous analyserons et dresserons une liste d’une série de causes profondes très courantes derrière de nombreux, voire la plupart, des problèmes de sécurité informatique de nos jours. En particulier, nous verrons qu’il est difficile de ne pas se sentir dépassé compte tenu de l’ampleur même des causes profondes des problèmes de sécurité informatique. Enfin, nous examinerons ce qui peut être fait pour, au moins, atténuer les risques de sécurité informatique. Nous verrons que la plupart des connaissances à trouver du côté positif, ou du côté de ce qui peut être fait, sont du type de connaissance négative, mettant l’accent sur ce qu’il faut éviter plutôt que sur ce qui doit être fait. J’essaierai de couvrir tous ces sujets d’un point de vue de la supply chain ; cependant, il y a de nombreux aspects qui ne sont pas spécifiques à la supply chain en ce qui concerne la sécurité informatique.
Pour réfléchir à une solution, nous devons d’abord clarifier le problème que nous essayons de résoudre en premier lieu. C’est exactement la ligne de pensée que j’ai eue pour le troisième chapitre de cette série, qui est dédié au personnel de la supply chain. En effet, le personnel de la supply chain essaie de cristalliser les problèmes mêmes que nous essayons de résoudre, et en sécurité informatique, il y a un équivalent lâche sous la forme du modèle de menace. Le modèle de menace est littéralement un outil pour cristalliser le genre de problème que nous essayons de résoudre en matière de sécurité. La sécurité informatique est assez insaisissable, vague et diverse ; il est très difficile de raisonner sur la sécurité informatique. Lorsqu’on discute de sécurité, il est très difficile de ne pas souffrir du problème de déplacement des poteaux de but tout au long de la discussion, même si les personnes qui participent à la discussion le font de bonne foi.
Par exemple, si nous discutons de la menace de rendre public un mot de passe par un employé, ce qui est plus facile qu’il n’y paraît même si l’employé n’a pas tort, la discussion ne doit pas dévier vers d’autres types de menaces, comme avoir des mots de passe faibles ou courants. Penser clairement à une menace est essentiel en sécurité informatique car une remédiation mal conçue à un problème donné tend à être pire que le problème initial. Si une entreprise décidait que, pour limiter le problème des mots de passe exposés, elle procéderait à des mesures disciplinaires prises à l’encontre des employés reconnus coupables de divulguer leurs mots de passe, cette approche aurait très probablement des conséquences graves. Au lieu de chercher du soutien, les employés commenceraient à dissimuler les problèmes auxquels ils sont confrontés avec leurs mots de passe, rendant le problème plus grave à long terme.
Ce qui est intéressant avec les modèles de menace, c’est qu’ils vous obligent à choisir vos combats, à choisir les menaces que vous allez aborder et celles que vous n’allez pas aborder, même si la menace est réelle. Par exemple, considérez la menace suivante : qu’en est-il d’un employé malveillant ayant un accès à haut privilège au lac de données ? Que se passerait-il si cette personne devait exfiltrer des données, en exploitant ses privilèges élevés ? C’est une menace, mais décidez-vous de combattre cette menace spécifique ou non ? Vous avez des ressources limitées et un temps limité. S’attaquer à cette menace très spécifique peut s’avérer incroyablement coûteux, et donc, la modélisation de la menace vous aide également à décider qu’à un moment donné, il y a des menaces qui sont tout simplement trop coûteuses à aborder. Vos ressources et votre temps seraient mieux dépensés pour aborder d’autres types de menaces, qui peuvent être aussi menaçantes mais beaucoup moins coûteuses et plus faciles à aborder.
À cet égard, méfiez-vous des analogies. Les menaces auxquelles vous êtes confronté en matière de sécurité informatique sont complètement différentes des menaces auxquelles vous êtes confronté en termes de risque industriel ou de risque physique. La sécurité informatique implique des adversaires - des personnes qui peuvent réfléchir et adapter leurs actions à vos pratiques et politiques. Par exemple, si vous avez des processus de sécurité bien documentés, un attaquant pourrait profiter de cette documentation existante pour identifier vos angles morts. Mon point n’est pas que vous ne devriez pas avoir de documentation concernant la sécurité ; mon point est que lorsqu’il s’agit de sécurité informatique, les adversaires sont intelligents et peuvent profiter de tout ce que vous leur donnez, même s’il s’agit de vos propres processus de sécurité. Ainsi, la modélisation de la menace aide vraiment à commencer à réfléchir à ce genre de problèmes.
Dans le monde physique, la surface d’attaque est quelque chose de relativement évident. Si nous devions penser à un château médiéval, la surface d’attaque serait les murs et le pont-levis. Cependant, dans le monde informatique, la situation est beaucoup plus complexe. En termes de sécurité informatique, des éléments apparemment insignifiants peuvent potentiellement être attaqués. Une intuition clé à propos des surfaces d’attaque est qu’elles sont toujours plus grandes que ce que vous pensez.
Un exemple concret de cela est le câble OMG, qui ressemble à un câble USB complètement régulier mais qui contient un micro-ordinateur à l’intérieur qui pourrait compromettre n’importe quel ordinateur en le branchant simplement. Ce petit matériel peu coûteux peut être acheté pour seulement 139 $, démontrant à quel point ces surfaces d’attaque peuvent être accessibles.
En termes de surfaces d’attaque, chaque pièce de matériel et de logiciel a sa propre surface d’attaque, même si elle semble insignifiante. De plus, dans le cas spécifique de la chaîne d’approvisionnement, il est très difficile d’identifier toutes les surfaces d’attaque. L’IT fantôme, qui est courant dans le monde de la chaîne d’approvisionnement, et les appareils appartenant aux employés (modèles de bring your own device) sont des points d’entrée supplémentaires pour un attaquant dans votre chaîne d’approvisionnement. Ce n’est pas seulement ce qui est géré par l’équipe informatique, mais aussi toutes les choses qui ne sont pas gérées par votre équipe informatique mais qui contribuent, d’une manière ou d’une autre, aux opérations de votre chaîne d’approvisionnement.
L’idée de la surface d’attaque est de clarifier ce qui peut être attaqué, sans se concentrer sur la façon dont l’attaque peut être effectuée. Conceptuellement, ce qui est intéressant à propos de l’idée de la surface d’attaque, c’est qu’elle vous oblige à créer une sorte de cartographie de tous les éléments qui peuvent être compromis d’une manière ou d’une autre. D’un point de vue spécifique de la chaîne d’approvisionnement, tout type de logiciel avec des capacités programmables, comme les feuilles de calcul Excel ou les scripts Python, vient avec une surface d’attaque absolument massive si la programmabilité ou la compatibilité étendue est faite avec un langage de programmation générique. Ainsi, en ce qui concerne la chaîne d’approvisionnement, et compte tenu de la quantité de configuration qui se fait, la surface d’attaque est généralement assez massive.
Maintenant, en tant que troisième concept, nous avons le rayon d’explosion, qui est une façon de mesurer l’impact potentiel total d’un événement de sécurité. Lorsque vous commencez à réfléchir en termes de rayon d’explosion, vous ne vous demandez pas si cet événement va se produire ; vous commencez simplement à réfléchir à l’impact réel de ce problème lorsque cela se produira. L’idée est que vous essayez de réfléchir aux conséquences, indépendamment des mesures de remédiation en place. Si et quand cet événement se produit, quel sera l’impact ?
Si nous revenons à l’analogie du château, le rayon d’explosion dans le monde de l’informatique peut être incroyablement grand. Par exemple, dans le cas de l’attaque de Colonial Pipeline, le système compromis était juste une petite partie du système, simplement le système de facturation. Le rayon d’explosion réel d’avoir le système de facturation d’une seule entreprise compromis a affecté l’ensemble de l’État du Texas. Cela vous donne une idée du rayon d’explosion réel des problèmes de sécurité informatique lorsque vous commencez à réfléchir aux chaînes d’approvisionnement.
Avec l’avènement de l’informatique en nuage, les rayons d’explosion se sont considérablement étendus. Bien que l’informatique en nuage soit extrêmement compétitive en tant que modèle commercial et modèle opérationnel informatique, elle est accompagnée de rayons d’explosion massifs. Si un attaquant prend le contrôle administratif de vos ressources informatiques en nuage, il peut annuler l’ensemble de votre paysage d’application en une seule fois, créant un point de défaillance unique avec des conséquences très étendues. Le fait que vous déplacez des applications vers le cloud tend à aggraver le problème d’interconnectivité, ce qui conduit à des rayons d’explosion plus importants.
Lorsque vous déplacez des applications vers le cloud, vous gagnez en facilité pour les interconnecter avec d’autres applications dans le cloud, ce qui présente de réels avantages commerciaux. Cependant, en termes de rayons d’explosion, vous créez des interdépendances massives qui peuvent être exploitées par un attaquant pour générer un rayon d’explosion de taille considérable.
En termes de chaîne d’approvisionnement, réfléchir au rayon d’explosion est un bon moyen de réfléchir aux moyens d’atténuer ces rayons d’explosion. Si nous revenons à un autre exemple de chaîne d’approvisionnement, considérons que, comme je l’ai décrit dans la conférence précédente, nous avons deux types d’éléments logiciels dans la gestion de la chaîne d’approvisionnement. Nous avons les éléments transactionnels, qui sont essentiellement la gestion de la chaîne d’approvisionnement elle-même, tels que le suivi des niveaux de stock. Ensuite, nous avons les éléments analytiques, qui impliquent l’optimisation de la chaîne d’approvisionnement, y compris la prévision, la planification et diverses analyses statistiques des données.
Si nous décidons de maintenir tous les éléments logiciels d’une nature analytique strictement isolés de la production, de sorte que la partie analytique de votre paysage d’application puisse lire les données des systèmes transactionnels mais ne puisse jamais écrire quoi que ce soit dans ces systèmes, cela signifie que lorsque les systèmes analytiques sont compromis, le rayon d’explosion sera contenu dans la partie analytique de votre paysage d’application. Plus brutalement, si votre logiciel de prévision est compromis, cela ne compromet pas la partie du logiciel qui suit vos niveaux de stock.
Maintenant, examinons les causes et les sources des problèmes de sécurité informatique. Du point de vue matériel, l’état des choses est absolument terrible. En bref, le tonneau fuit de partout et l’ensemble de la communauté continue d’appliquer du ruban adhésif pour résoudre rapidement les problèmes qui émergent constamment. Presque tout ce qui concerne le matériel est cassé de nos jours.
Par exemple, tous les processeurs modernes sont pratiquement cassés. En 2018, une équipe de chercheurs en sécurité a dévoilé deux nouvelles classes de vulnérabilités dans les processeurs modernes nommées Spectre et Meltdown. Ces vulnérabilités exploitent les capacités de prédiction de branche trouvées dans les processeurs modernes. Comme vous vous en souvenez peut-être de la conférence sur l’informatique moderne pour la chaîne d’approvisionnement, nous avons vu que les processeurs modernes ont des pipelines d’exécution très profonds, et une façon d’obtenir des performances élevées est la prédiction de branche. Il s’avère que ce mécanisme de prédiction de branche, qui se trouve dans tous les processeurs modernes sur le marché, peut être exploité pour franchir les limites de sécurité. Cette situation est difficile à résoudre car il s’agit d’un défaut de conception fondamental associé à la prédiction de branche dans les processeurs en premier lieu.
Les processeurs ont des tonnes de problèmes, et je ne mentionne même pas ceux avec des portes dérobées accidentelles en raison de la prise en charge héritée. Mais il s’avère que les mémoires sont également cassées. Il existe une classe d’attaques appelées attaques Rowhammer qui exploitent la disposition physique des cellules de mémoire modernes trouvées dans les DRAM modernes à haute densité. Il est possible de déclencher des erreurs de mémoire et d’exploiter ces erreurs pour exfiltrer des données des machines. Il n’y a pas de solution de contournement réelle, même si vous avez de la DRAM ECC (code de correction d’erreur), qui est le type de mémoire généralement trouvé dans les machines de centre de données de qualité de production. ECC ne ralentit que les attaques Rowhammer; il ne peut pas les empêcher. Tout ce qu’il faut pour mener une attaque Rowhammer, c’est faire exécuter à la machine une page Web avec JavaScript activé sur cette page, et vous pouvez directement exfiltrer des données de la mémoire de la machine. Non seulement les processeurs et la mémoire sont cassés, mais l’USB est également cassé. En ce qui concerne l’USB, il est sûr de supposer que tout périphérique USB que vous connectez à votre propre appareil peut compromettre l’appareil connecté. Nous avons vu un exemple avec le câble “Oh My God” dans une diapositive précédente, mais fondamentalement, le problème est très profond. La cause profonde est essentiellement de très mauvaises décisions qui ont été prises il y a des décennies sur l’USB, en particulier en ce qui concerne le plug-and-play.
Du point de vue de l’expérience utilisateur, c’est génial que lorsque vous branchez un périphérique sur votre ordinateur, il peut simplement fonctionner directement. Cependant, ce qui se passe sous le capot, c’est qu’il y a des tonnes d’intelligence à l’intérieur du contrôleur USB pour importer automatiquement des pilotes et activer automatiquement toutes sortes de fonctionnalités qui peuvent être utilisées comme points d’entrée pour qu’un attaquant prenne le contrôle de votre machine. Ainsi, toutes ces fonctionnalités plug-and-play sont très agréables d’un point de vue utilisateur, mais elles sont un cauchemar complet d’un point de vue de la cybersécurité.
Au fait, de nombreux, voire la plupart, des chipsets Wi-Fi ont également de terribles failles de sécurité. Des chercheurs ont montré en 2017 que les chipsets produits par Broadcom, largement utilisés dans les téléphones iPhone et Samsung, étaient défectueux. Tout ce qu’il fallait pour qu’un attaquant compromette l’appareil était d’être dans la plage Wi-Fi et d’avoir le Wi-Fi actif pour prendre le contrôle de l’appareil.
D’un point de vue de la chaîne d’approvisionnement, nous constatons que non seulement le matériel conventionnel est largement défectueux, mais la distribution géographique, qui peut être encore amplifiée si vous avez une sorte d’IoT dans votre chaîne d’approvisionnement, est sujette à tous les problèmes que je viens de décrire et même plus. Un attaquant peut souvent avoir un accès physique à votre matériel, ou du moins il devient beaucoup plus difficile d’empêcher l’accès physique à tout appareil qui pourrait être connecté à votre chaîne d’approvisionnement. Ainsi, les chaînes d’approvisionnement sont extrêmement exposées par conception en ce qui concerne le matériel.
Comme nous l’avons vu, l’état des choses en termes de sécurité matérielle est terrible, il ne devrait donc pas être surprenant que l’état des choses en matière de sécurité logicielle soit également terrible. Je ne vais pas énumérer toutes les failles qui peuvent être trouvées dans les logiciels ; l’idée clé est que chaque couche vient avec ses propres problèmes de sécurité informatique. Nous pourrions parler du système d’exploitation, des machines virtuelles, des hyperviseurs, des frameworks d’application, des serveurs web, et ainsi de suite. Toutes ces couches ont rencontré une série de problèmes de sécurité informatique graves.
Cependant, la seule chose que je voudrais souligner, c’est que, du point de vue logiciel, même les logiciels censés vous protéger peuvent gravement se retourner contre vous. Par exemple, les antivirus représentent une classe entière de problèmes de sécurité. Un antivirus est un logiciel qui fonctionne avec des privilèges énormes sur la machine, simplement parce qu’il est censé être capable de scanner ce que font tous les autres processus. Par nécessité, l’antivirus fonctionne avec des privilèges énormes, ce qui signifie qu’il est une cible privilégiée pour un attaquant. De plus, l’antivirus, s’il y en a un, sera présent sur de nombreuses machines de l’entreprise, donc c’est le même logiciel avec des privilèges très élevés qui se trouve être présent sur de nombreuses machines. C’est vraiment une cible privilégiée pour un attaquant, et devinez quoi ? Beaucoup d’attaquants ciblent directement les antivirus de nos jours. C’est d’ailleurs ce que vous pouvez voir à l’écran : des chercheurs en sécurité montrant comment compromettre un antivirus existant sur le marché pour utiliser cet antivirus afin d’extraire des données de la cible.
Cependant, les problèmes avec les antivirus sont très profonds. Un antivirus est fondamentalement un calcul très intensif en ressources. Par conséquent, cela signifie que les antivirus impliquent invariablement beaucoup de voodoo de programmation de bas niveau pour atteindre le niveau de performance souhaité. Malheureusement, plus vous avez de manigances de bas niveau dans votre logiciel pour atteindre une grande performance de calcul, plus vous obtenez de surface d’attaque, simplement parce que vous vous exposez en termes de problèmes de bas niveau. De plus, les antivirus sont, par conception, des logiciels qui ont besoin d’interagir constamment avec le monde extérieur. Typiquement, un antivirus ne vaut rien s’il ne se met pas constamment à jour avec le dernier ensemble de signatures et de bits de logique sur la façon de détecter les malwares les plus récents. Ainsi, vous vous retrouvez avec un logiciel qui augmente votre surface d’attaque simplement parce qu’il doit se connecter au réseau et à de nombreuses autres choses.
Ma propre opinion est que la plupart des solutions antivirus font plus de mal que de bien sur le marché actuel des logiciels d’entreprise. Mais la réalité est que la même chose peut être dite pour la plupart des solutions de sécurité. Au cours des dernières années, il y a eu des problèmes mondiaux très graves où les attaquants ont spécifiquement ciblé certaines solutions de sécurité, simplement parce que ces solutions de sécurité partagent les mêmes caractéristiques clés que les antivirus : des privilèges élevés, une portée étendue et une connectivité élevée, ce qui en fait des cibles privilégiées pour les attaquants.
Pour conclure d’un point de vue de la supply chain, je tiens à souligner que le type de logiciel d’entreprise qui prévaut dans les cercles de la supply chain tend à avoir une sécurité abyssale en raison de sa complexité interne. Il est déjà difficile de sécuriser un logiciel très mince et léger ; lorsque vous traitez avec un produit très gonflé qui a constamment grandi pendant des décennies, cela devient une tâche presque impossible.
Enfin, les attaques de la supply chain sont intéressantes pour au moins deux raisons très distinctes. Premièrement, les attaques de la supply chain sont intéressantes car elles ont massivement augmenté au cours des dernières années. Ma propre prédiction personnelle est que ces attaques de la supply chain seront probablement l’une des formes dominantes d’attaques de sécurité informatique dans la prochaine décennie. Deuxièmement, la présence du mot-clé “supply chain” dans le nom des attaques peut générer beaucoup de confusion, surtout lorsqu’on discute avec un public de la supply chain. Une attaque de la supply chain est simplement une attaque qui vise l’une de vos dépendances logicielles. Par exemple, attaquer directement Amazon, le logiciel produit directement par Amazon, pourrait s’avérer très difficile. Peut-être que les équipes d’Amazon sont très confiantes et compétentes, et que leur logiciel est très bien conçu, avec peu de failles de sécurité à exploiter. Cependant, qu’en est-il de toutes les dépendances ou pièces de logiciel qui sont utilisées par Amazon mais qui n’ont pas été créées ou conçues en premier lieu par Amazon ? Tous ces éléments sont, par exemple, le cas des logiciels open-source. À l’heure actuelle, chaque vendeur utilise massivement des logiciels open-source. Vous pouvez nommer n’importe quelle grande entreprise de nos jours ; il y a de fortes chances qu’elle utilise largement des morceaux de logiciels open-source.
Si nous revenons au cas d’Amazon, que se passe-t-il si je ne parviens pas à compromettre Amazon directement, mais que je compromets l’un des composants open-source utilisés par Amazon ? C’est exactement l’essence d’une attaque de la supply chain. Il s’avère que vendredi dernier, il y a probablement eu l’une des plus grandes violations de sécurité informatique de la décennie avec la vulnérabilité “catastrophique” de Log4j découverte. En bref, Log4j est un composant open-source utilisé pour enregistrer des erreurs. Essentiellement, lorsque le logiciel rencontre une erreur, vous voulez être en mesure de retracer les erreurs après coup, et lorsque qu’une erreur se produit, vous voulez généralement enregistrer cette erreur. C’est la fonction principale d’un enregistreur, tel que Log4j. Le “j” dans Log4j signifie Java, qui, dans le monde des logiciels d’entreprise, est l’une des piles logicielles dominantes. Pour tous les logiciels implémentés en Java, la majorité des produits ont besoin d’un enregistreur, et la plupart utilisent probablement Log4j à ce stade.
Il s’avère qu’une vulnérabilité catastrophique, classée 10 sur 10 sur une échelle de criticité de sécurité, a été découverte vendredi dernier dans Log4j. Comme cette pièce de logiciel spécifique a été soumise à un examen minutieux, car il y a eu un chaos à grande échelle dans le monde entier à la suite de cette vulnérabilité, une deuxième vulnérabilité critique a été découverte aujourd’hui. C’est vraiment l’essence d’une attaque de la supply chain : un petit composant, apparemment anodin, quelque chose que vous n’avez probablement jamais entendu parler ou dont vous n’avez même pas réalisé que vous dépendiez, se trouve être au cœur de votre système et peut créer une énorme quantité de chaos car il crée des vulnérabilités.
Du point de vue de la supply chain, il s’avère que les supply chains sont particulièrement vulnérables aux attaques de la supply chain. C’est le cas car les supply chains modernes sont fortement interconnectées. Il est très probable que votre entreprise, si vous gérez une supply chain moderne, soit fortement connectée en termes de logiciels à la fois à vos fournisseurs et à vos clients. Cela peut prendre la forme d’EDI, mais cela peut également prendre toutes sortes de formes avec une intégration informatique entre les entreprises. En termes d’attaques de la supply chain, cela signifie que ce ne sont pas seulement les dépendances logicielles que vous avez pour vous attaquer ; il suffit probablement de compromettre l’une des dépendances de l’un de vos fournisseurs ou l’une des dépendances de l’un de vos clients. En termes de surface d’attaque, les supply chains sont très vulnérables et exposées par conception.
Jusqu’à présent, ce que nous avons vu est une image assez sombre de la situation, et je crois que c’est une représentation précise de la sécurité informatique actuelle. Nous avons des tonnes de problèmes, et j’ai bien peur que je vais discuter dans cette dernière section de ce qui peut être fait à ce sujet. Mais soyons clairs ; pour l’instant, c’est une bataille difficile et extrêmement difficile que vous devez être prêt à perdre de temps en temps. Ce n’est pas parce que c’est très difficile que nous ne devrions pas essayer de faire mieux en termes de sécurité.
Commençons par la sagesse commune en termes de sécurité informatique. Le FBI a une recommandation de cinq principaux en termes de sécurité informatique. Examinons ces recommandations. La première recommandation est de sauvegarder, de tester vos sauvegardes et de garder vos sauvegardes hors ligne. Dans l’ensemble, c’est une bonne recommandation. Cependant, l’idée de garder les sauvegardes hors ligne est quelque peu irréaliste. C’est très coûteux et difficile. Pour qu’une sauvegarde soit utile, vous devez la faire fréquemment. Une sauvegarde qui a un mois est généralement d’aucune utilité. Si vous effectuez des sauvegardes très fréquemment, tous les jours, toutes les heures, voire toutes les minutes, il devient difficile d’avoir une sauvegarde vraiment hors ligne. Ma suggestion serait de garder vos sauvegardes strictement isolées. En ce qui concerne les sauvegardes, concentrez-vous sur une récupération rapide. Ce qui importe, ce n’est pas d’avoir un plan de sauvegarde, mais un plan de récupération si votre paysage applicatif est compromis.
La deuxième recommandation est d’utiliser l’authentification à facteurs multiples. Encore une fois, c’est une bonne recommandation, car les mots de passe sont peu sûrs. Cependant, le problème avec l’authentification à facteurs multiples est que très souvent, vous n’avez que l’illusion de l’avoir. Par exemple, si vous avez un mot de passe et une confirmation par téléphone, vous pourriez dire que c’est une authentification à deux facteurs. Mais si je peux réinitialiser le mot de passe avec le téléphone dans ma main, ce n’est qu’une authentification à un facteur. Avec l’authentification à facteurs multiples, assurez-vous que ces facteurs sont vraiment isolés et ne se transforment pas en une authentification à un facteur car un facteur l’emporte sur les autres.
La troisième recommandation est de mettre à jour et de patcher vos systèmes. C’est une bonne pratique ; cependant, trop de bien peut devenir un mal. L’un des problèmes les plus graves que nous avons aujourd’hui est les attaques de la chaîne d’approvisionnement où nous dépendons des mises à jour logicielles automatisées. Si un attaquant parvient à effectuer une attaque de la chaîne d’approvisionnement en compromettant un logiciel open source, et il y en a des milliers, cela signifie qu’en laissant simplement les mises à jour automatiques prendre le relais, ce logiciel malveillant pénètre dans vos systèmes. Cela devient de plus en plus dangereux. La plupart des problèmes avec le matériel USB proviennent des capacités de mise à jour automatique du micrologiciel. Donc, bien qu’il soit important de mettre à jour et de patcher vos systèmes, considérez toujours si vous créez un problème de sécurité encore plus important.
La quatrième recommandation est de vous assurer que vos solutions de sécurité sont à jour. Sur cette recommandation, je ne suis pas trop sûr de ce qui constitue une solution de sécurité. Cette recommandation semble être le produit direct d’un effort de lobbying d’une entreprise de sécurité. La plupart de ce qui est aujourd’hui annoncé comme des solutions de sécurité ne rendra peut-être pas votre chaîne d’approvisionnement ou votre entreprise plus sûre. Néanmoins, si vous avez un logiciel, il est généralement préférable de le maintenir à jour, qu’il s’agisse d’une solution de sécurité ou autre chose.
La dernière recommandation est de revoir et d’exercer votre plan d’intervention en cas d’incident. Cette recommandation n’est pas mauvaise, mais à mon avis, elle ne figurerait pas dans le top cinq. Ce type de réflexion est plus approprié pour faire face à des accidents industriels, comme le risque d’incendie, mais pas nécessairement à des problèmes de sécurité informatique. Ma quatrième recommandation, en termes de sécurité, serait de connaître vos modèles de menace, de connaître votre surface d’attaque et de connaître votre rayon d’action. Le simple fait de savoir comment vous êtes exposé en premier lieu et les sortes de choses qui peuvent arriver contribue grandement à prévenir les problèmes. La connaissance en termes de sécurité informatique est essentielle.
Ma cinquième recommandation serait que la sécurité informatique est une culture, pas un processus, et pas une solution. C’est juste un rappel qu’aucune liste de contrôle de quelque nature que ce soit ne fera du bien à votre entreprise à long terme. C’est une culture.
En ce qui concerne l’inversion de sécurité, il semble que nos attentes intuitives en termes de modèles de rôle ou de personnes en qui nous devrions avoir confiance pour la sécurité informatique soient systématiquement erronées. Les organisations qui semblent les plus sûres à l’extérieur ou en termes d’apparence sont généralement les pires, tandis que les organisations qui ont l’air très grises ou louches sont souvent les meilleures. C’est l’essence du paradoxe de l’inversion de sécurité.
À titre d’exemple, je voudrais souligner une conférence de 2014 sur la sécurité des aéroports, où deux chercheurs en sécurité ont montré que, en termes de sécurité informatique, les aéroports sont vraiment mauvais. La sécurité est si médiocre que cela serait presque comique si ce n’était pas si grave. On s’attendrait à ce que les aéroports internationaux bénéficient d’une sécurité informatique incroyablement serrée, mais la réalité est exactement l’inverse. La sécurité informatique est littéralement une blague complète, avec une encyclopédie de vulnérabilités, démontrant une incompétence totale, un manque de soin et d’apathie face au problème.
Cette conférence correspond à mon expérience professionnelle personnelle. En tant que passe-temps professionnel, j’ai effectué des audits technologiques au nom de sociétés d’investissement depuis plus d’une décennie. J’ai eu la chance d’auditer des dizaines d’entreprises technologiques, et mon observation est que plus l’apparence ou le contexte de l’entreprise est sécurisé, pire est sa sécurité informatique réelle. Les entreprises qui opèrent dans les domaines de la défense et de la sécurité ont tendance à avoir une sécurité incroyablement mauvaise, tandis que celles dans les zones grises, telles que les sites de paris et les sites pour adultes, ont tendance à avoir une excellente sécurité informatique.
Les mêmes problèmes surviennent même au sein d’une industrie spécifique. Par exemple, dans le domaine de la santé, j’ai constaté que la sécurité des dispositifs utilisés par les chirurgiens pendant les opérations est complètement médiocre, tandis que la sécurité informatique des distributeurs automatiques dans l’hôpital est assez bonne. Intuitivement, on pourrait penser que les dispositifs utilisés en chirurgie doivent être incroyablement sécurisés, mais c’est le contraire qui est vrai. Le distributeur automatique est plus sécurisé que les dispositifs utilisés par le chirurgien.
Cette inversion contre-intuitive, je crois, découle d’une simple question de darwinisme. Aucun aéroport international n’a jamais fait faillite en raison de problèmes massifs de sécurité informatique. Ces aéroports ne sont même pas autorisés à échouer et peuvent s’en sortir avec des problèmes de sécurité informatique pendant des années avec un degré impressionnant d’apathie. Au contraire, si vous dirigez une entreprise exploitant une application de paris en ligne et laissez les pirates informatiques exfiltrer de l’argent, vous ne durerez pas longtemps et personne ne viendra à votre secours.
À titre d’exemple, je voudrais souligner une conférence de 2014 sur la sécurité des aéroports. Dans cette conférence, deux chercheurs en sécurité ont montré que, en termes de sécurité informatique, les aéroports sont vraiment mauvais. La sécurité est si médiocre que cela serait presque comique si ce n’était pas si grave. C’est exactement l’inverse de ce que l’on pourrait attendre ; on s’attendrait à ce que les aéroports internationaux aient une sécurité informatique incroyablement serrée. Cependant, la sécurité informatique dans les aéroports est littéralement une blague complète. Ces chercheurs en sécurité ont montré qu’il ne s’agit pas seulement d’une vulnérabilité, mais d’une encyclopédie de vulnérabilités, dont beaucoup démontrent une incompétence totale, un manque de soin et d’apathie.
Cette conférence correspond à mon expérience professionnelle personnelle. En tant que passe-temps professionnel, j’ai effectué des audits technologiques au nom de sociétés d’investissement depuis plus d’une décennie. J’ai eu la chance d’auditer des dizaines d’entreprises technologiques, et mon observation est que plus l’apparence ou le contexte de l’entreprise est sécurisé, pire est sa sécurité informatique réelle. Par exemple, les entreprises opérant dans les domaines de la défense et de la sécurité ont tendance à avoir une sécurité incroyablement mauvaise, tandis que les entreprises opérant dans les zones grises, telles que les sites de paris ou les sites pour adultes, ont tendance à avoir une excellente sécurité informatique.
De manière intéressante, les mêmes problèmes se produisent même au sein d’une industrie spécifique. Par exemple, en matière de santé, la sécurité des dispositifs utilisés par un chirurgien pendant une opération est médiocre, tandis que la sécurité informatique des distributeurs automatiques dans le hall de l’hôpital est assez bonne. Intuitivement, on pourrait penser que tout ce qui entre dans la salle d’opération doit être incroyablement sécurisé car la vie du patient est en jeu, mais c’est le contraire qui est vrai. Le distributeur automatique est plus sécurisé que les dispositifs utilisés par le chirurgien.
Cette inversion contre-intuitive, je crois, est une simple question de darwinisme. Aucun aéroport international n’a jamais fait faillite en raison de problèmes massifs de sécurité informatique, et ils ne sont même pas autorisés à échouer. Par conséquent, ils peuvent s’en sortir avec des problèmes de sécurité informatique persistants pendant des années avec un degré impressionnant d’apathie. Au contraire, si vous dirigez une entreprise qui exploite une application de paris en ligne, et que vous laissez les pirates informatiques exfiltrer de l’argent parce qu’ils peuvent changer les résultats des paris, vous ne durerez pas longtemps, et personne ne viendra à votre secours.
En conséquence, ces personnes sont essentiellement des survivants. Ce sont ceux qui ont fait tout ce qui était nécessaire pour sécuriser leurs systèmes. Pour la chaîne d’approvisionnement, la principale leçon à retenir ici est que si vous cherchez une véritable aide en matière de sécurité informatique pour vous aider à sécuriser votre chaîne d’approvisionnement, ne cherchez pas d’anciens militaires avec des références impeccables. Au lieu de cela, cherchez un administrateur système ou quelqu’un qui était impliqué dans un site pour adultes ou des paris en ligne - ces zones marginales où les gens avaient vraiment besoin de compétences, de talent et de dévouement pour survivre. Sinon, l’entreprise aurait cessé d’exister sous leur surveillance.
Enfin, en ce qui concerne ce qui peut être fait en termes de sécurité informatique, j’aimerais souligner le rôle de la conception. En matière de sécurité informatique, de nombreux prétendus experts vous diront que vous devez former vos équipes. Personnellement, je ne suis pas si sûr, dans le sens où vous ne pouvez pas former les gens à ne pas faire d’erreurs. Même les personnes les plus intelligentes vont être fatiguées, malades et faire des erreurs très stupides de temps en temps. Vous ne pouvez pas vous fier uniquement à la formation. La sécurité informatique n’est pas comme la sécurité militaire ; vous ne pouvez pas simplement mettre les gens à travers une formation intense pour qu’ils puissent opérer par instinct. La plupart du temps, la situation exige vraiment que vous soyez calme et que vous réfléchissiez sérieusement à ce qui se passe. Sinon, la remédiation sera très probablement pire que le problème que vous aviez au départ.
Mon point de vue est que si vous avez un problème de conception dans votre organisation en matière de sécurité informatique, aucun montant de formation ou de ruban adhésif ne résoudra le problème. Ce sera une bataille que vous ne pourrez pas gagner. Lorsque vous abordez les choses d’un point de vue de conception, vous recherchez des décisions ou des aspects qui peuvent avoir un impact massif sur les modèles de menace, les surfaces d’attaque et le rayon d’action potentiel. Vous voulez prendre des décisions de conception qui éliminent autant de classes de modèles de menace que possible, éliminent des surfaces d’attaque entières et limitent le rayon d’action potentiel.
Par exemple, en parlant des surfaces d’attaque, considérez les décisions de conception impliquées. Si votre organisation choisit des fournisseurs de logiciels avec des demandes de propositions (RFP) ou des demandes de devis (RFQ), vous pouvez être assuré que vous allez avoir de graves problèmes de sécurité informatique par conception en raison des RFP et RFQ. Pourquoi est-ce que ? Eh bien, si vous sélectionnez des fournisseurs de logiciels d’entreprise en fonction des RFP ou des RFQ, vous sélectionnez des fournisseurs qui peuvent cocher toutes les cases car il y aura des tonnes de cases à cocher. Une RFP typique de chaîne d’approvisionnement aura des centaines de cases à cocher, et ces cases concernent les capacités et les fonctionnalités du logiciel. Lorsque vous conduisez votre sélection de fournisseurs de logiciels d’entreprise à travers une RFP, vous sélectionnez en fait des fournisseurs qui ont des produits massivement gonflés avec des tonnes de fonctionnalités et de capacités, ce qui se traduit par une surface d’attaque massive. Plus il y a de capacités et de fonctionnalités, plus grande est la surface d’attaque. Si chaque fournisseur de logiciels que vous choisissez est choisi par ce processus, vous vous retrouvez avec un paysage applicatif qui a une surface d’attaque incroyablement grande à la fin de la journée ou, plutôt, à la fin de la décennie, car ce sont des problèmes à évolution lente en ce qui concerne les chaînes d’approvisionnement.
Les mêmes types de décisions de conception peuvent également avoir un impact massif sur le rayon d’action potentiel. Par exemple, la façon dont vous abordez les données a des conséquences assez dramatiques d’un point de vue de la chaîne d’approvisionnement. La plupart des données personnelles sont simplement complètement inutiles pour toute sorte d’optimisation de la chaîne d’approvisionnement. Si vous voulez avoir de meilleures prévisions et une meilleure planification, vous n’avez pas besoin de connaître le prénom et le nom de famille de vos clients. L’idée, et c’est une pratique que Lokad a adoptée il y a plus d’une décennie, est de considérer les données personnelles comme une responsabilité, pas un atout. En termes de rayon d’action potentiel, cela signifie que si les systèmes sont jamais compromis, les dommages seront beaucoup plus petits si les données personnelles ne sont pas divulguées. Oui, c’est mauvais si tous vos niveaux de stock sont exposés publiquement, mais cela n’aura pas un très grand impact négatif sur votre entreprise, contrairement aux données personnelles divulguées. Il s’agit d’un aspect de conception de l’organisation de votre chaîne d’approvisionnement qui peut avoir des conséquences massives en termes de rayon d’action potentiel.
Les meilleures décisions de conception sont celles qui éliminent des classes entières de problèmes. Le rôle d’une culture de sécurité informatique dans une entreprise est de permettre à l’organisation de développer les bonnes idées sur les décisions de conception qui doivent être prises pour protéger votre entreprise. Les bonnes idées de conception sont le produit d’une culture appropriée autour de la sécurité informatique.
Cela m’amène à la conclusion que la sécurité informatique est trop importante pour être laissée uniquement entre les mains de spécialistes de l’informatique. La sécurité informatique est mieux abordée comme une culture au sein de l’entreprise et est une responsabilité partagée, pas seulement la responsabilité des personnes qui ont le mot-clé de sécurité dans leur titre de poste. Comme nous l’avons discuté plus tôt dans cette conférence, la sécurité informatique est souvent en concurrence avec d’autres types de sécurité au sein d’une entreprise, il est donc illusoire de penser qu’un spécialiste de la sécurité informatique peut vous sauver. Ils ne peuvent peut-être aborder qu’un aspect du problème, c’est pourquoi la culture est essentielle pour favoriser l’émergence de décisions de conception qui apportent de grands avantages en matière de sécurité à votre entreprise.
La bonne culture est également essentielle pour rejeter instinctivement les mauvaises décisions de conception qui créeraient des problèmes persistants qui ne pourraient pas être résolus ultérieurement. Avoir une grande culture de la sécurité n’est pas seulement une question de ce que vous devriez faire, mais aussi de ce que vous ne devriez pas faire. L’un des aspects les plus difficiles d’une culture informatique saine est de faire en sorte que les employés se soucient suffisamment du problème pour qu’ils ne soient pas satisfaits de l’apparence de la sécurité. Dans une culture informatique saine, les gens recherchent une sécurité véritable, pas seulement l’apparence de la sécurité. L’illusion de la sécurité est souvent bien pire qu’un manque réel de sécurité.
C’était la dernière conférence de 2021, et la prochaine conférence aura lieu en 2022, le même jour de la semaine. Dans la prochaine conférence, je commencerai le cinquième chapitre, qui porte sur la prévision. En particulier, je pense que ce sera une présentation assez intéressante car Lokad a réussi à obtenir un résultat très spectaculaire dans la compétition de prévision M5. Je présenterai ce résultat, mais je discuterai également des leçons qui sont attachées à ce modèle en ce qui concerne la chaîne d’approvisionnement.
Maintenant, permettez-moi de répondre aux questions.
Question: En général, les leaders de la chaîne d’approvisionnement considèrent-ils la cybersécurité comme étant sans importance pour eux ou non?
Mon sentiment est que oui, dans une large mesure, mais cela peut être pire que cela. L’apathie est un gros problème, mais même lorsque les leaders de la chaîne d’approvisionnement se soucient, ils ont tendance à aborder la sécurité informatique d’un point de vue d’analyse des risques qui serait applicable aux risques industriels. Ce n’est pas l’approche la plus efficace en matière de cybersécurité. Mon point est donc que les leaders de la chaîne d’approvisionnement ne se soucient absolument pas assez de ce qui peut détruire leurs chaînes d’approvisionnement de nos jours, et qu’ils doivent vraiment se familiariser avec le bon type de remédiation.
Question: Comme la cybersécurité est en hausse, les investissements des entreprises dans cette industrie augmentent plus rapidement que leur budget pour d’autres logiciels. Est-il possible qu’à l’avenir, les avantages d’avoir un système logiciel soient contrebalancés par des coûts élevés pour la cybersécurité, et que les gens reviennent au papier et au stylo?
Je n’ai pas dit que la cybersécurité est en hausse; j’ai dit que la cybercriminalité est en hausse. J’espère qu’à un moment donné, la cybersécurité sera en hausse. Il est vrai que les investissements des entreprises dans cette industrie augmentent plus rapidement que leur budget pour d’autres logiciels. La question est de savoir si, à l’avenir, les avantages d’avoir un système logiciel pourraient être contrebalancés par des coûts élevés pour la cybersécurité, et que les gens pourraient revenir au papier et au stylo.
Comme je le disais, parce que la cybercriminalité est en hausse, les gens ressentent la pression et dépensent donc de l’argent dans des solutions de cybersécurité. En effet, même le FBI recommande d’investir dans une sorte de solution de sécurité. Mon problème avec ces solutions de sécurité est que la sécurité ne peut pas être une réflexion après coup ; la plupart d’entre elles sont conçues. Si votre entreprise sélectionne des logiciels en fonction de RFP, vous avez un problème au cœur même de votre entreprise, qui est que vous sélectionnez des fournisseurs de logiciels d’entreprise qui seront extrêmement pauvres en matière de sécurité. Ainsi, peu importe si vous décidez d’investir dans une solution de sécurité fantaisiste par la suite, il est trop tard. Par conception, vous êtes compromis.
Si nous revenons à l’analogie du château médiéval, vous ne pouvez pas concevoir un fossé plus grand sur un pont-levis faible ou rendre les murs du château plus hauts s’ils ne sont pas assez hauts. À l’époque médiévale, la plupart des châteaux ont grandi au fil du temps et n’ont pas été construits en une seule fois. L’idée d’avoir des couches de sécurité additives fonctionne si vous traitez des risques physiques, mais dans les logiciels, cela ne fonctionne pas. Plus vous ajoutez de lignes de code, plus votre problème de sécurité devient important.
Je suis d’accord que la cybercriminalité est en hausse et que les dépenses en cybersécurité augmentent. Cependant, si nous devions mesurer la cybersécurité en tant que ratio entre les pertes signalées dans la cybercriminalité par rapport au PIB, ce ratio empire. Nous avons moins de cybersécurité tout en dépensant plus pour la combattre.
Quant à la possibilité de revenir au papier et au stylo, je ne pense pas que le monde reviendra à l’ère pré-numérique. Le coût de le faire est tout simplement trop élevé. Les avantages apportés par les logiciels sont absolument gigantesques, et même si nous considérons la cybercriminalité comme un problème important, c’est encore un problème qui, en termes de magnitude, ne représente qu’un tiers de la taille du problème de la drogue illégale. Les drogues illégales sont un problème important, mais elles ne signalent pas la fin de notre civilisation industrielle. Je ne crois pas que les gens reviendront au papier et au stylo. Cependant, je soupçonne que de nombreux fournisseurs de logiciels commenceront à adopter des solutions technologiques plus simples.
Pour illustrer ce point, considérons la vulnérabilité de Log4j, qui a frappé le monde et a semé la confusion parmi les grandes entreprises. Cette vulnérabilité liée à une attaque de la chaîne d’approvisionnement a été causée par la complexité et les capacités du composant Log4j. Normalement, il devrait s’agir d’un petit logiciel qui enregistre les erreurs, mais il s’est avéré être une bête en termes de capacités logicielles. Les gens ont découvert un moyen d’exploiter cette bête pour obtenir des conséquences non intentionnelles.
Chez Lokad, nous n’utilisons pas Log4j ; notre pile est en .NET, et nous utilisons NLog, le composant équivalent dans la pile .NET. Cependant, compte tenu des problèmes au sein de la communauté Java, mon CTO et moi avons décidé de supprimer progressivement NLog et d’opter pour quelque chose de beaucoup plus simple. Ce ne sera pas un meilleur NLog, mais quelque chose avec seulement un pour cent de la complexité. Ces enregistreurs sont incroyablement capables, mais leurs capacités deviennent un gros handicap.
L’équivalent de passer au papier et au stylo serait de commencer à remplacer des pièces de logiciels très puissantes et complexes par des pièces de logiciels beaucoup plus petites et moins capables. Cela peut aider à alléger le fardeau des coûts de sécurité. À un moment donné, il devient clair qu’il est moins cher de réimplémenter une petite pièce de logiciel qui fait exactement ce dont vous avez besoin, même si vous devez réinventer la roue, plutôt que d’utiliser un composant open-source gratuit qui entraîne une surface d’attaque massive supplémentaire en raison de sa taille.
En ce qui concerne les attaques connues plus importantes qui affectent les chaînes d’approvisionnement, il peut y avoir des biais dans les attaques qui font les gros titres. Log4j a été un énorme problème mondial car il a touché de nombreuses industries, y compris la banque, la chaîne d’approvisionnement, les fournisseurs de cloud computing et les entreprises de jeux. Cependant, si nous examinons l’attaque du Colonial Pipeline, il s’agissait d’une attaque de ransomware ciblant une pièce de logiciel de facturation spécifique. Ce que je constate, c’est que le genre d’attaques qui font les gros titres sont celles qui reçoivent beaucoup de couverture, mais cela ne signifie pas que des attaques spécifiques à la chaîne d’approvisionnement ne se produisent pas. Bien que je ne puisse pas divulguer de détails sur la base de clients de Lokad, j’ai été témoin d’attaques de ransomware parmi nos plus de 100 clients. Il est évident pour nous lorsque nous ne recevons pas de données pendant une semaine ou deux alors que les entreprises luttent pour remédier à la situation, en restaurant généralement leurs systèmes à partir de zéro avec des sauvegardes. Parfois, Lokad finit par être la seule sauvegarde qu’ils avaient. Des attaques graves ciblant les systèmes de chaîne d’approvisionnement se produisent assez fréquemment.
Avec un échantillon assez petit, Lokad compte plus de 100 entreprises clientes, mais ce n’est pas comme si nous en avions un million. Même avec cela, nous constatons actuellement une demi-douzaine d’incidents majeurs par an, ce qui équivaut à un risque annualisé de 5 % pour un incident de cybersécurité important. C’est un risque assez élevé à mon avis.
Question : Il semble que la cybersécurité devienne l’analogie numérique de l’hygiène personnelle. Pensez-vous que les écoles devraient commencer à enseigner ces compétences aux enfants ?
Oui, je comprends votre point de vue sur l’hygiène. Cependant, en cybersécurité, les attaquants sont intelligents. Les virus de la vie réelle mutent et il est difficile de contenir les agents pathogènes. Mais il y a une différence significative entre faire face à une attaque sans esprit et traiter avec des personnes qui peuvent réfléchir longuement et dur sur la façon d’infliger le plus de dommages possible à vous et à votre entreprise.
Je suis d’accord qu’il y a un défi dans l’enseignement et la formation des gens, même des enfants, à la cybersécurité. Ma conviction personnelle est qu’un enfant de 12 ans est essentiellement aussi intelligent qu’un adulte, mais sans l’expérience qu’un adulte a. Donc oui, c’est quelque chose qui devrait être abordé, y compris les fraudes et les schémas d’ingénierie sociale. Beaucoup de gens tombent encore victimes d’arnaques évidentes, comme les célèbres e-mails du prince nigérian.
Les écoles devraient préparer les jeunes esprits et les générations plus jeunes à faire face à un monde qui peut être adversaire. Même en temps relativement paisibles, il y a des gens qui vous veulent du mal. L’aspect clé de la cybersécurité est qu’une personne qui vous souhaite du mal peut être à des milliers de kilomètres et réussir à vous causer des dommages, à votre organisation et à vos proches.
À un moment donné, les écoles devraient aborder cette question. Cependant, du moins en France, il est encore difficile de trouver des enseignants qui peuvent enseigner les compétences de base en programmation. Cette lutte continue rend difficile la recherche d’enseignants qui peuvent enseigner la cybersécurité et la sécurité numérique aux enfants. Néanmoins, cela devrait probablement être fait, mais je n’ai pas beaucoup d’espoir pour ce domaine dans la prochaine décennie.
Comme il n’y a plus de questions, je voudrais vous souhaiter à tous un joyeux Noël et vous voir tous l’année prochaine.
