Louis Naugès

Les cyberattaques font la une depuis quelques jours ; la cybersécurité devient une priorité nationale, une de plus...

Deux hôpitaux, quelques mairies découvrent les joies des rançongiciels et, COVID-19 oblige, la classe politique française unanime décide qu’il faut faire cesser ces attaques inacceptables.

Comme s’il existait des attaques de diligences, de banques ou d’hôpitaux acceptables…

La méthode française pour s’attaquer à un problème est bien connue. Elle comporte deux volets :

● Un plan.

● L’annonce d’un gros chiffre. On précise en annexe ou en tout petit que ce chiffre correspond à des dépenses ou investissements étalés sur un grand nombre d'années.

Le Président Emmanuel Macron a mis en pratique cette démarche le 18 février 2021, en annonçant, quelle surprise :

● Un plan cybersécurité.

● Un budget de 1 milliard d’euros. Un chiffre rond, cela fait sérieux. Ce budget sera réparti sur la période 2021 - 2025, soit environ 200 millions d’euros par an.

Personne n’a la moindre idée de la manière dont ce milliard a été calculé, ni de comment cette somme sera dépensée.

Devant l’urgence de la situation, j’ai décidé de plancher cette nuit sur le sujet pour apporter, modestement, mais rapidement quelques éléments de réponse.

C’est le sujet de ce billet.

L’offre de solutions de cybersécurité : très en avance sur les usages

J’ai une excellente nouvelle pour le gouvernement français : la part de ce budget à consacrer à développer de nouvelles offres de solutions est facile à mesurer : Zéro Euro.

Depuis des dizaines d’années, des centaines de sociétés innovantes, dans le monde entier, ont développé des produits logiciels exceptionnels qui couvrent toutes les dimensions techniques pour se protéger efficacement des cyberattaques.

À titre d’illustration, le tableau ci-dessous dresse une carte de plus de 80 produits de nouvelle génération qui s’appuient sur l’Intelligence Artificielle (IA) pour combattre le cybercrime.

Des centaines d’autres solutions, elles aussi très performantes, travaillent de manière plus traditionnelle, car elles sont nées avant l’arrivée de l’IA.

En résumé

L’offre de solutions pour se protéger des cyberattaques n’est plus le problème en 2021.

Il y a même une surabondance de solutions et la principale difficulté des experts sérieux dans le domaine est de faire son choix parmi autant de produits exceptionnels.

Ceci m'amène à faire une première recommandation pratique au gouvernement français, après avoir vu la répartion prévisionnelle de ce budget de 1 milliard d'euros.

Toutes les sommes présentes dans la première colonne de ce tableau peuvent être ramenées à... zéro euro :

• Rajouter encore plus de solutions à une offre déjà surdimensionnée, quelle absurdité.
• Il faudra en plus des années pour produire ces "nouvelles solutions", et sans aucune garantie qu'elles soient perfomantes.
• Il y a vraiment beaucoup plus intelligent, plus efficace à faire pour s'attaquer à la cybercriminalité.

Ceci représente 515 millions de moins dans les dépenses et autant dans les financements. Dans la suite de ce billet, j'indiquerai comment on peut réallouer ces sommes.

Protéger les infrastructures et les usages

Les lecteurs de mon blog connaissent bien cette distinction :

● Les infrastructures, serveurs, réseaux, objets d’accès sont les fondations d’un Système d’Information.

● Les usages ou les applications s’appuient sur ces infrastructures pour créer de la valeur pour les clients, internes et externes de chaque entreprise.

● Ceci est valable pour toutes les entreprises, TPE, PME, ETI ou grandes, privées ou publiques, dans tous les pays du monde.

Dans ce court billet, je vais aller à l’essentiel.

Cybersécurité : quelles réponses opérationnelles en 2021

Cette distinction entre infrastructures et usages sert de référence pour proposer des réponses opérationnelles, immédiatement.

Infrastructures

Dans les infrastructures, la protection des centres de calcul où fonctionnent serveurs et outils de stockage des données est essentielle.

Il existe deux grandes familles de centres de calcul :

● Les centres de calculs privés : chaque entreprise gère un ou plusieurs bâtiments où se trouvent ces serveurs.

● Les Clouds Publics : ce sont des serveurs gérés par de grands industriels mondiaux qui mettent leurs ressources au service des entreprises. C’est la démarche IaaS, Infrastructure as a Service. Trois grands fournisseurs dominent le marché : AWS d’Amazon, Azure de Microsoft et GCP de Google.

En 2021, face aux cyberattaques, il n’y a plus qu’une seule décision de bon sens :

Fermer le plus vite possible tous les centres de calcul privés et obliger 99,99% des entreprises à basculer sur des clouds publics.

Aucune entreprise, même parmi les plus grandes, celles qui sont membres du CIGREF, Club Informatique des Grandes Entreprises Françaises, n’a les ressources techniques, humaines et financières suffisantes pour offrir un niveau de sécurité équivalent à ceux proposés par les industriels IaaS.

Sécurité des infrastructures serveurs : problème réglé.

Usages

Pour se protéger efficacement des cyberattaques, la profession des professionnels de ces outils utilise une expression très parlante : Zero Trust.

Zero Trust : cela veut dire que l’on fait l’hypothèse que rien n’est sécurisé et qu’il faut tout protéger.

Les principaux composants d’une démarche Zero Trust sont résumés sur ce schéma.

Je reprends ici quelques lignes d’un blog récent où je présentais Zero Trust.

● Vérifier l’identité de la personne qui se connecte. On complète les mots de passe par d’autres techniques regroupées dans la famille MFA, Multi Factor Authentication.

● S’assurer que l’on peut faire confiance à l’objet d’accès, quel qu’il soit.

● Chiffrer les données, en transit et dans les objets d’accès.

● Autoriser les accès aux applications, une par une, selon les personnes, selon les lieux d’accès.

● Fournir des outils d’audit pour des contrôles a posteriori quand c’est nécessaire.

Zero Trust, c’est le remplacement des technologies archaïques que certains d’entre vous ont connu dans une vie antérieure : VPN sur les postes de travail et Pare Feu périmétrique autour des centres de calcul privés.

Comme je l’ai écrit au début de ce billet, l’offre de solutions est pléthorique. Ce tableau présente quelques-unes des solutions qui participent à cette démarche Zero Trust, parmi les plus connues du marché

En reprenant la même image que j’avais utilisée pour séparer infrastructures et usages, on peut résumer les deux démarches qui permettent de bien se protéger contre des cyberattaques :

● Utiliser les clouds publics pour les infrastructures.

● S’appuyer sur des outils qui permettent une approche Zero Trust pour les usages.

Reste l’essentiel : les comportements humains

Je ne connais pas les deux hôpitaux qui ont déclenché cette réaction rapide du gouvernement français après avoir subi une cyberattaque. Ce que je sais, c’est qu’ils avaient tout faux : centres de calculs privés et pas de démarche Zero Trust.

J’ai envie de proposer au gouvernement français un objectif ambitieux et réaliste pour son plan cybersécurité :

Faire de la France l’un des pays les moins rentables et les plus coûteux pour réussir des cyberattaques contre ses entreprises.

Les cyberattaques vont continuer, vont devenir de plus en plus sophistiquées, c’est une évidence.

Penser une seule seconde que l’on peut garantir une sécurité parfaite contre les cyberattaques est une idée absurde.

La seule arme raisonnable, c’est donc la dissuasion. C’est le principe des portes blindées dans les appartements. Une porte blindée de qualité n’est jamais inviolable, mais ralentit beaucoup les cambrioleurs ; ils préféreront souvent s’attaquer à un autre appartement moins bien protégé.

Je propose donc que 100 % de ce budget de 1 milliard d’euros soit consacré à des actions vers les dirigeants et les responsables informatiques des entreprises, en étant très, mais très directif.

Il y a deux décisions prioritaires et “simples” à énoncer.

Décision 1 : toute entreprise présente sur le territoire français doit fermer rapidement ses centres de calcul privés.

Comment accélérer cette décision ? Attaquer les dirigeants au porte-monnaie.

● Pour les entreprises ayant des petits centres de calcul privés, de moins de 100 serveurs, une taxe sera établie sur la valeur comptable de ce centre de calcul :

○ 10% de cette valeur en 2022.

○ 20% en 2023.

○ 30% en 2024 et années suivantes.

● Pour les entreprises ayant des centres de calcul privés avec plus de 100 serveurs, elles sont peu nombreuses, cette taxe sera :

○ 0% en 2022, car il leur faut quand même plus de temps pour se préparer.

○ 20% en 2023.

○ 30% en 2024 et années suivantes.

Je prévois que le montant de ces taxes devrait rapidement rembourser le budget de 1 milliard d’euros prévu.

On taxe bien les produits dangereux pour la santé tels que le tabac ou l'alcool. Il est donc logique de taxer aussi les produits dangereux pour la santé de l'informatique, les centres de calcul privés.

Décision 2 : vacciner rapidement au Zero Trust tous les responsables informatiques et les RSSI, Responsables de la Sécurité des Systèmes d’information. Cette vaccination devra être terminée avant juillet 2022. Un certificat de vaccination sera remis à toutes les personnes qui auront suivi avec succès cette formation. Il sera exigé pour pouvoir exercer ces professions à partir de janvier 2023.

L’essentiel du budget de 1 milliard d’euros sera consacré à la mise en œuvre de ces deux décisions. Cela représente beaucoup de travail et d’investissements en accompagnement et formation, mais ce seront vraiment des “investissements d’avenir”.

Comme je l'ai proposé plus haut, on peut récupérer la moitié du budget initialement prévu pour créer de nouveaux produits, soit 515 millions d'investissements et autant de financements. 

Résumé

Se protéger des cyberattaques est une priorité pour la France, comme pour tous les autres pays.

L’objectif ne sera jamais d’arriver à une protection parfaite. On le voit bien aujourd’hui avec les vaccins contre la COVID-19 : les meilleurs ont des niveaux de protection exceptionnels, supérieurs à 90 %.

Cet encadré propose un bel objectif aux décideurs qui vont relever le défi posé par ces cyberattaques : en réduire de 99% les dangers.

Est-ce que je serai entendu ?

Est-ce que mes recommandations seront acceptées ?