Principes fondamentaux de la cybersécurité

0

Nous tenons à rappeler les 10 principes fondamentaux de la sécurité de l’information ou de la cybersécurité (ici les deux notions sont interchangeables). Souvent oublié ou négligé, on devra les tenir en compte quand on veut sécuriser une entreprise, car ils forment les piliers de base de la sécurité par défaut. Même s’ils sont difficiles à implémenter partout et à tout moment, il faudra les garder à l’esprit, car ils peuvent être d’un très grand secours.

La figure suivante donne les 10 principes de base de la cybersécurité à prendre en compte :

Screenshot 2018-11-06 at 21.05.09

Dans les lignes qui suivent, nous tenterons de détailler chacun de ces principes pour donner leur raison d’être.

Principe 1 : Le moindre privilège

Il est très bien connu que les humains ont besoin d’être formés et bien informés pour faire correctement leur travail. Ce principe consiste à ne donner que les informations pertinentes et utiles pour qu’un utilisateur (humain ou non) puisse faire son travail. Cela dit, il faudra éviter de donner l’accès à toute information inutile pouvant submerger l’utilisateur et dissiper ainsi son travail.

Principe 2 : La Séparation des tâches

Ce principe veut implémenter l’éthique et la déontologie dans la sécurisation des entreprises. S’il est correctement implémenté, il permet ainsi de diminuer les conflits d’intérêts. En effet, l’éthique impose que les choix de l’entreprise se basent sur des critères d’évaluation communs et non sur des critères biaisés ou irrationnels exit les dessous de table, la corruption, l’impartialité entre autres.

Principe 3 : La Défense en profondeur

Ce principe consiste à placer plusieurs couches ou niveaux de sécurité selon les risques liés aux biens de l’entreprise. Dès lors, l’accès aux biens les plus sensibles nécessite de traverser plusieurs filtres de sécurité, alors que les biens « publics » peuvent être libres.

Principe 4 : La diversifiée et la cohérente

La dépendance d’une entreprise à d’autres constitue une perte de pouvoir. En effet, il est très dangereux de dépendre d’un seul client ou fournisseur pour assurer sa survie, car le mécontentement de ce dernier risque de causer beaucoup de dégâts. De façon analogue, il ne faudrait pas lier toute sa défense à un seul produit. D’une part, cela coûte cher et d’autre part cela facilite le travail d’un cyberattaquant qui ne devra chercher qu’à trouver les failles d’un seul produit pour prendre le contrôle de l’entreprise. Il faudra donc diversifier ses moyens de défense avec cohérence.

Principe 5 : Interdire par défaut

Cela consiste à fermer par défaut tout accès et à ne l’ouvrir (pour un utilisateur) que quand c’est nécessaire. Alors, déterminer ce qui est nécessaire à ouvrir devra alors relever d’une analyse des risques. Ainsi, l’entreprise ouvre « ses portes » en connaissance de cause.

Principe 6 : Mécanismes simples et unitaires

Tout ce qui est complexe nuit à l’entreprise et donc à la cybersécurité. En effet, un mécanisme simple est pur, clair et peut-être facilement sécurisé. Néanmoins, l’entreprise d’aujourd’hui est de plus en plus complexe avec des utiles de plus en plus complexes. Mais, il faudra être capable de décrire cette complexité en des briques simples. D’ailleurs, tout ce qui ne peut pas être décrit simplement ne peut être sécurisé correctement.

Principe 7 : Transparence avec un système ouvert

L’expérience montre que la sécurité par obscurité est souvent chaotique. En effet, quand, on s’appuie sur des normes et standards connus, ouverts et testés (ISO 2700x, OWASP, SOX, RGPD, etc.), la sécurité est plus facilement acceptable que quand c’est nébuleux et fermé (algorithme propriétaire). D’ailleurs, la transparence permet de justifier et de motiver nos décisions pour la sécurité de l’entreprise. Ajoutons que tout ce qui est caché est un fantasme sujet à interprétation et aux spéculations, ce qui constitue donc un risque.

Principe 8 Acceptabilité sociologique

Dans toute la chaine de cybersécurité, on retrouve l’humain qui est aussi bien maillon fort et que le maillon faible de la sécurité de l’information. Pour qu’il soit le maillon fort, il devra accepter sociologiquement les moyens de sécurité mis en place dans l’entreprise. En effet, pour qu’une mesure de sécurité soit suivie, elle devra être raisonnable pour l’esprit et séduisante pour le cœur. Sinon, la mesure pourra être suivie sporadiquement (par la contrainte), mais au bout du compte, elle sera abandonnée et enterrée vivante.

Principe 9 : Auditer régulièrement

Comment garantir que les mesures de défense sont effectives et efficaces ? Ce dernier principe donne une réponse à cette question. En effet, le but est de trouver les failles (et les corriger) avant qu’elles ne soient connues des méchants.

Principe 10 : Agilité pour rebondir

Qu’on le veille ou pas, une entreprise nait, grandit et meurt. Bien que tragique et tabou, cette mort peut être causée par une cyberattaque devenue aujourd’hui la principale menace à la survie de l’entreprise. En effet, malgré tous les moyens de défense, l’entreprise est toujours exposée aux cyberattaques. Dès lors, il devient primordial d’avoir la capacité de rebondir suite à une cyberattaque. Pour cela, plusieurs moyens techniques existent comme les sauvegardes saines, pour ne citer que ceux-là.

About Author

Oumar DIAO

Dr. Oumar DIAO est un consultant sénior en cybersécurité de BSSI/EVA Group (https://bssi.fr et http://www.evagroup.fr). Docteur en cryptographie, Oumar est un expert technico-fonctionnel de la sécurité de l'information.

Leave A Reply