Beaucoup de professionnels croient leurs informations bien protégées derrière un ou deux firewalls et quelques appliances de sécurité réparties ici ou là. C'est peut-être le cas ou pas du tout.
Les archives de messages électroniques de la maison blanche auraient été la cible d'attaques ce weekend dernier ; selon des représentants officiels du gouvernement américain, ces attaques proviendraient de Chine (SCMagazine, Did the Chinese government sponsor White House cyberattacks?)
Quelques réactions :
- Cela montre que la sécurité de tout réseau est potentiellement faillible. Penser le contraire est contraire au bon sens voir idiot.
- Un adversaire suffisamment motivé et compétent arrivera de toute façon à pénétrer un système, que ce soit sur une durée longue ou bien plus brièvement. Ne jamais sous-estimer son adversaire.
- Un système mis en place à un instant "t" doit être l'objet d'un suivi et doit être actualisé.
- La variété et le nombre d'attaquants (et donc de leurs motivations) est telle que tous les réseaux sont potentiellement des cibles : Systèmes gouvernementaux, multinationales, industries, distribution, petites PME/PMI jusqu'au PC de Mr/Mme tout le monde.
Encore une fois, il est intéressant de constater que pour des actes de belligérance dans un théâtre d'opérations cybernétique les réactions sont (pour le moment) assez "molles". Nous sommes loins des tensions déclenchées par un avion espion américain abattu au dessus du territoire Chinois en 2001 (CNN, U.S. surveillance plane lands in China after collision with fighter)... Pourtant, quelque part c'est un peu du même acabit...
Sans être sarcastique, beaucoup de dirigeants (je tairai les noms même sous la torture) abordent la sécurité de façon inadaptée : "Les incidents de sécurité ça n'arrive qu'aux autres" ; "nous avons des firewalls et des IDS donc nous sommes protégés" ou encore "qui pourrait s'intéresser à nous" ? Sur le fond, je dirai que ces réactions un peu puériles (je me lâche!) sont dues au fait de l'ignorance ou d'un manque de connaissances suffisantes pour une réelle compréhension.
En rebondissant sur cette dernière idée, la balle est dans le camps des professionnels de la sécurité pour qu'ils développent leurs capacité à communiquer sur ces sujets parfois complexes ; c'est surement plus facile (mais pas simple!) au sein d'une société que cela ne peut l'être au niveau d'un état : Les enjeux sont cependant différents.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens