La Cybersécurité pour les nuls
La cybersécurité est un terme très souvent utilisé et associé au domaine informatique. L’analogie n’est pas fortuite. Mais qu’est-ce que vraiment la cybersécurité ? Quels en sont les mécanismes, les fondements et surtout comment cela se traduit dans notre quotidien personnel et professionnel ? Cet article propose une définition et des applications concrètes de la cybersécurité.
Etymologie et définition de la cybersécurité
Le terme cybersécurité est formé du préfixe cyber-, utilisé pour décrire une personne, une idée ou une chose prenant entièrement existence dans l’espace numérique. Avant le 21ème siècle, on parlait de l’espace comme cette zone de l’univers située au-delà des atmosphères et des corps célestes. En y ajoutant le préfixe cyber– nous donnons à ce concept une définition numérique. Le cyberespace désignera donc cette zone, ce réseau numérique interconnecté dans lequel circule des données numériques. En ajoutant le préfixe cyber– au mot sécurité, le terme « cybersécurité » renvoie à la protection des personnes, des idées et des données dans ce cyberespace.
La cybersécurité au service des personnes
Je vous vois déjà demander, « mais comment protéger des personnes dans le cyberespace, alors même que l’on ne s’y trouve pas physiquement ? »
Un certain nombre de données générées volontairement ou non, permettent de nous projeter dans ce cyberespace. C’est le cas par exemple des données personnelles. Les données personnelles sont cet ensemble d’informations que nous renseignons pour une inscription sur un forum, l’ouverture d’une boite mail, la participation à un jeu sur internet… Elles représentent un ensemble de données susceptibles de nous identifier directement ou indirectement.
A ce propos, au-delà des usuels noms et prénoms, une adresse IP peut être considérée comme une donnée personnelle, dans la mesure où elle contribue à identifier (bien qu’indirectement) un utilisateur (décision de justice sur le sujet). Outre cette protection de notre vie privée, il en va aussi de questions de sécurité avec des impacts beaucoup plus matérialisables. Les automates industriels et leurs logiciels de supervisions (SCADA), représentent un ensemble informatique ayant un impact direct sur notre vie quotidienne (alimentation en eau potable, distribution d’électricité…).
La cybersécurité dans l’espace professionnel
De nombreux modèles économiques se sont développés sur la numérisation des informations. Le secteur bancaire voit disparaitre au fil des années des services traditionnels, comme les chèques bancaires ou encore les agences physiques, au profit de carte de paiement à puce, et d’agences bancaires exclusivement en ligne. Les échanges d’informations entre opérateurs économiques, se font désormais via des outils informatiques (ERP, GPAO, GMAO …). L’envoi d’e-mail constitue déjà une numérisation de l’information et donc une projection dans le cyberespace. Ces données numériques échangées entre entreprises peuvent avoir un caractère stratégique, être nécessaires au fonctionnement du service proposé (plateforme de vidéo à la demande, banque en ligne …), ou confirmer une transaction entre deux parties. La protection de ces informations numériques, représente un enjeu économique pour l’entreprise.
Quelles sont les risques liés à la sécurité de l’information ?
Des besoins de sécurité émergent dans ces conditions, notamment : le besoin de confidentialité, d’intégrité et de disponibilité de l’information. Un petit tableau reprend les critères de sécurité liés à l’information numérique et des exemples d’impacts sur des activités économiques :
| Critère de sécurité | Exemple d’impacts opérationnels |
|---|---|
| Confidentialité de l’information | Des informations sur un prototype de téléphone sont échangées entre le fabricant et son sous-traitant. L’interception de ces données par un concurrent peu compromettre l’avantage stratégique du fabricant. |
| Intégrité de l’information | Des informations sont stockées sur une base de données d’une entreprise et doivent servir à un fournisseur pour la fabrication d’un produit. La modification des données de fabrication (dimensions…) conduit à la fabrication de pièces non conformes. |
| Disponibilité de l’information | Des données sont utilisées pour le catalogue numérique d’un fournisseur, la suppression de ces données entraine l’indisponibilité du catalogue. L’indisponibilité de l’information empêche la vente des produits. |
Comment répondre à ces besoins de sécurité ?
La sécurité de l’information est organisée autour de trois piliers : la technologie utilisée, les process mis en place et la sensibilisation des utilisateurs.
La sécurisation des données informatiques ou cybersécurité, passe par une sécurisation des matériels et logiciels informatiques constituant le support de transmission, de stockage et de traitement de l’information. L’augmentation de la sécurité des matériels et logiciel informatique, permettrait donc d’augmenter la sécurité des informations.
Mais cette approche est-elle suffisante ? La création de systèmes informatiques entièrement sécurisés parait être une utopie. Les patches informatiques (correctifs de sécurité informatiques) sont continuellement publiés pour des systèmes d’exploitation largement utilisés dans le milieu professionnel et personnel (Synthèse des bulletins de sécurité Microsoft de janvier 2017).
Nous ne laisserions jamais quelqu’un utiliser une voiture et prendre les rues de Paris, sous prétexte qu’il aurait de vague notion de conduite, mais aucune connaissance du code de la route ?! Le risque d’accident serait relativement élevé. Dans cet exemple l’une des principales vulnérabilités de sécurité trouve son origine dans le manque de connaissance de l’utilisateur du code de la route. Ce cas de figure, par analogie, s’applique à l’utilisation de l’outil informatique et à la « navigation » dans le cyberespace. Sans notion de base en sécurité informatique, l’utilisateur représente une vulnérabilité de sécurité même pour la plus robuste des architectures informatiques.
La formation, la sensibilisation des utilisateurs représente, non pas l’ultime façon, mais un élément de plus à prendre en compte dans la sécurisation des systèmes informatiques. Comme le dit la formule bien connue : l’un des principaux risques de sécurité en informatique, se trouve entre la chaise et le clavier.
Enfin la sécurité est aussi une affaire d’organisation, de procédures et de processus. Elle se doit d’être prise en compte dans les méthodes et le fonctionnement de l’entreprise. Les règles d’accès à l’information, de suppression et les autorisations de modification, contribuent au renforcement de la sécurité de l’information.
Pour aller plus loin :
Définition issue du site de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI)
Cybersécurité
État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.
Cybercriminalité
Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible.
Cyberdéfense
Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.
Cyberespace
Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?