L’affaire pourrait prêter à sourire si elle ne pouvait pas frapper n’importe lequel de nos hommes politiques ou dirigeants d’entreprise. Il y a quelques semaines, nous avons appris que le smartphone de John Kelly, secrétaire général de la Maison Blanche, avait été piraté pendant des mois sans que les services de sécurité américains ne s’en rendent compte. C'est seulement lorsqu'il a remis son smartphone au support technique, du fait des dysfonctionnements de son terminal, que le piratage a été détecté. A quels documents les pirates ont-ils eu accès ? Ont-ils utilisé ce smartphone pour écouter le président Trump ? Tout est envisageable, mais au-delà de l’anecdote, celle-ci montre que le smartphone est devenu le maillon faible des systèmes de sécurité les mieux sécurisés. Elle montre aussi que celui-ci est d’ores et déjà une cible pour les pirates.
Après des années où l’importance du cyber-risque a été notoirement sous-évaluée, les entreprises ont bien compris qu’il s’agit d’un enjeu de survie dans le mode numérisé. Celles-ci ont réalisé de gros efforts ces dernières années pour sécuriser leurs systèmes d’information, et se sont organisées en conséquence. Si, comme on l’a vu avec les récentes attaques type WannaCry ou Petya, la sécurité reste perfectible, heureusement aucun groupe français n’a connu de fuites de données majeures comme ce fut le cas de Yahoo! avec 3 milliards de comptes utilisateurs compromis, le distributeur Target avec 110 millions de numéros de cartes bancaires ou, dernièrement Equifax avec 143 millions de comptes clients compromis. Si les entreprises ont effectivement haussé le niveau de protection de leurs serveurs, les pirates cherchent d’autres moyens de les atteindre et nous avons constaté que le point de faiblesse de la cybersécurité de l’entreprise s’est déplacé vers le mobile.
Le point de faiblesse du SI devient le mobile
Un portable contient bien évidemment beaucoup moins d’informations stratégiques qu’un système d’information, mais outre les listes de contact, applications bancaires ou documents de travail, celui-ci contient aussi beaucoup d’informations relatives aux identifiants de l’utilisateur sur les applications d’entreprise. Il est devenu bien plus rentable et facile d’attaquer un mobile que d'attaquer de front le système d’information. A l’instar d’un cambrioleur qui trouvera plus rentable de visiter un studio où il trouvera à portée de main les objets de valeur, alors qu’ils seront souvent disséminés dans un grand appartement.
Aujourd’hui, le smartphone est devenu le terminal privilégié. Depuis 2016, plus de 50% de la consommation d’internet est désormais réalisée sur mobile. C’est devenu le point de convergence de la vie personnelle et de la vie professionnelle. Même si l’antivirus n’est pas l’alpha et l’oméga de la cybersécurité, les gens prennent aujourd’hui un minimum de précautions avec leur ordinateur alors que les terminaux mobiles restent peu ou pas protégés du tout. Or, ce n’est pas parce qu’on le porte sur soi en permanence que le smartphone est protégé. En outre, la petite taille de l’écran rend les opérations de phishing plus performantes, car l’utilisateur est moins à même de vérifier l’authenticité du message qui lui est envoyé.
Dans le cadre de leur transformation numérique, de plus en plus d’entreprises intègrent smartphones et tablettes dans leurs processus métier, que ce soit pour leurs employés ou leurs clients. Il n’est bien évidemment pas envisageable ni souhaitable de freiner cette transformation ou même d’empêcher les utilisateurs de partager des données en situation de mobilité. Au contraire, cela doit se faire dans un univers de confiance. Pour y parvenir, il est indispensable de bien identifier le risque en fonction de chaque processus, et mettre en place les solutions pour créer cet environnement de confiance. Il est question de s’assurer que le possesseur du mobile est bien celui qu’il prétend être, faire en sorte que l’information soit protégée au moment où celle-ci est stockée sur le mobile, et que lorsque l’utilisateur échange des données depuis son mobile avec d’autres utilisateurs, s’assurer que ces échanges sont effectivement sécurisés.
La sécurité ne peut s’obtenir au prix de l’ergonomie
Les technologies qui permettent d’amener cette confiance sur les terminaux mobiles existent, mais pas question pour autant de placer la donnée dans une casemate d’où elle ne pourrait pas sortir. S’il s’agit certainement du meilleur moyen de la protéger, la donnée ne génère de la valeur qu’à partir du moment où elle circule et c’est ce qui crée une exposition au risque.
Si la technologie de sécurisation est disponible, l’échec des smartphones durcis montre que les utilisateurs ne sont pas prêts à sacrifier l’ergonomie de leur smartphone sur l’autel de la sécurité. L’expérience a montré qu’imposer un smartphone chiffré à un responsable politique ou à un dirigeant d’entreprise ne fonctionne pas. Réussir l’adoption de la sécurité sur les mobiles d’entreprise implique d’adopter une autre approche et offrir aux utilisateurs un fonctionnement totalement fluide, rendre la sécurité transparente. La cybersécurité doit être enfouie au cœur du smartphone de façon à ce que l’utilisateur navigue en toute sécurité, sans s’en apercevoir. Les dirigeants, les salariés expatriés veulent conserver leur iPhone, leur iPad, dont ils apprécient l’ergonomie. Il faut s’adapter à leur choix et proposer une solution de sécurité générant le moins de perturbations possibles dans la façon dont les gens utilisent leurs appareils au quotidien. En d'autres termes, une solution sûre qui n'introduit pas de nouvelles contraintes.
C’est la raison pour laquelle nous misons avec la solution MSI sur le développement d’applications de communication sécurisées dont l’ergonomie est directement inspirée des applications grands public de type WhatsApp, de manière à faire sauter les freins en termes d’ergonomie des applications sécurisées traditionnelles, et chercher une propagation vitale parmi les employés. Cela doit se faire dans un environnement de confiance, où l’utilisation des clés de chiffrement est totalement maîtrisée sur les serveurs, à la différence des applications de communication sécurisée grand-public dont les processus internes restent inconnus.
Je suis persuadé que la cible de ces applications sécurisées ira bien au-delà de la population des dirigeants d’entreprises. Elle a pour vocation de se diffuser à grande échelle dans les organisations. Demain, le concept de cyberSIM installera automatiquement les couches de sécurité et les applications collaboratives dans les équipements, sans intervention du service informatique. C’est ainsi que la cybersécurité pourra être diffusée auprès de tous les utilisateurs.
Aller plus loin
La puissance de la cybersécurité au service de la transformation numérique
Quels cursus pour devenir un pro de la cybersécurité ?
Michel Van Den Berghe est CEO d’Orange Cyberdefense depuis le 1er juillet 2014. Diplômé de la Faculté polytechnique de Mons, il a rejoint le groupe en janvier 2014 suite au rachat d’Atheos dont il était le président-fondateur depuis 2002.
Il est également le fondateur des Rencontres de l’Identité, de l’Audit et du Management de la Sécurité (RIAMS) qui rassemblent depuis 2004 les principaux responsables et donneurs d’ordre du domaine de la sécurité des Systèmes d’Information.
Orange Cyberdefense rassemble toute l’expertise en Cybersécurité d’Orange Business et compte 1 200 collaborateurs dans 220 pays.