En dehors du secteur gouvernemental et de l’industrie aéronautique, peu d'entreprises utilisent la norme ISO 15408 (les "critères communs") comme cadre de référence dans leur processus de développement.
1. Les entreprises négligent la sécurité au profit de la rapidité de mise sur le marché
Ces critères communs, qui faisaient suite au livre orange publié par la NSA et le NIST en 1985, permettent de définir les besoins de sécurité dans les développements informatiques, en vue d’une évaluation/certification de sécurité.
On y définit les différentes classes d’exigences fonctionnelles de sécurité qui doivent être évaluées, tels que la protection des données personnelles ou le besoin d’identification et d’authentification de l’utilisateur, par exemple.
La norme prévoit aussi sept niveaux d’assurance : EAL1 pour le niveau de sécurité le plus faible et EAL7 pour le niveau de sécurité maximum. BlackBerry et Windows XP, par exemple, étaient évalués à EAL4+, c’est-à-dire un niveau permettant de se prémunir des attaques standards sans garantir une sécurité optimale.
Le processus de certification de sécurité est long et contraignant, l’industrie aéronautique qui les utilise, vous le dira. C’est peut-être ce qui dissuade encore beaucoup d’industries à ce jour. Or, les faiblesses de code et d’architecture de sécurité applicative sont les failles préférées des pirates. Sans compter que les coûts de remédiation, une fois l’application en production, sont beaucoup plus chers.
Pourtant, c’est un excellent cadre, qui peut être assoupli en interne d’une organisation et s’intégrer dans le cadre de gestion de risque de l’entreprise.
2. La plupart des entreprises ne sont toujours pas conformes PCI
En septembre 2014, une cyberattaque chez un grand détaillant du bricolage américain a impliqué le vol de 60 millions de numéros de cartes de crédit. Une perte qui pourrait coûter jusqu’à trois milliards de dollars.
Les standards de sécurisation des cartes de paiement ont été mis en place en 2006 par les cinq plus grands organismes de crédit, dont Visa, MasterCard et American Express.
Recommandations de sécurité assez précises, ces standards ne sont néanmoins pas une loi et encore moins une obligation légale, mais ils relèvent généralement d’une exigence contractuelle avec l’un des organismes de crédit.
Devant les coûts d’un projet de mise en conformité PCI, qui dépassent très vite la barre des 100 millions de dollars, les entreprises ont tendance à reculer ou contourner les standards pour en diminuer les coûts de mise en œuvre. Au final, jusqu’à aujourd’hui, nombre d'entre elles préférent ne pas investir plusieurs centaines de millions de dollars dans un projet de mise en conformité et assument le risque de ne pas être entièrement conformes.
Plusieurs évènements récents montrent que ces décisions méritent d’être revues aujourd’hui. Par ailleurs, de nombreux projets de mise en conformité ont été mal gérés par manque d’expertise. On rappellera qu’il est prudent de prendre des ingénieurs de sécurité certifiés ISO 27001 et des experts PCI QSA sur ces projets, ainsi que d’identifier clairement un commanditaire du programme pour éviter des dilutions de responsabilités entre la sécurité, la conformité et les vice-présidences d’affaires.
On privilégiera un commanditaire du projet côté conformité plutôt que dans une vice-présidence d’affaires, si l’on veut réellement atteindre la conformité PCI. Les vice-présidences d’affaires ne voient généralement que les coûts engendrés, sans en percevoir les bénéfices tangibles.
3 – La cybersécurité est réduite à une vision de faille d’infrastructure
Dîtes-nous à qui est rattaché votre officier de sécurité et nous vous dirons votre maturité en cybersécurité. Un officier de sécurité rattaché au directeur des opérations TI traduit une vision réduite aux infrastructures et au réseau informatique, au risque d'occulter la sécurité des développements, des besoins d’affaires, le rôle des architectes de sécurité, la gestion des risques, la sécurité dans le processus RH ou plus globalement la nécessité d’un cadre de gestion des risques intégré.
La sécurité du réseau, des serveurs et des télécommunications est bien entendu névralgique, mais prise de façon isolée, elle ne règle que de façon provisoire une partie des problèmes. La cybersécurité fait partie intégrante de la gestion des risques d’entreprise. Elle doit relever d’un exécutif qui dispose d’une vue d’ensemble des besoins d’affaires et des systèmes d’information.
4 – Il n'y a pas de certification de cybersécurité obligatoire dans la plupart des industries
Les secteurs gouvernementaux et parapublics sont ceux qui ont, le plus, mis en oeuvre la cybersécurité avec leurs propres standards de sécurité sectoriels. On a donc les standards CIP du NERC pour le secteur de l’énergie et les WLA-SCS pour les industries du jeu et de la loterie, secteurs qui ont très vite saisi le risque associé à la prise de contrôle des infrastructures critiques énergétiques et le risque associé à la fraude sur les logiciels de loterie.
Aujourd’hui, avec les démonstrations récentes de piratage des voitures intelligentes et de prise de contrôle à distance des véhicules, on vient de prouver qu’on pouvait porter potentiellement atteinte à la sécurité humaine, ce que l’industrie aéronautique sait depuis des décennies. On peut donc légitimement se demander si les régulateurs n’auraient pas un sérieux intérêt à exiger une certification en cybersécurité des différents constructeurs privés de véhicules intelligents, comme le réclame le sénateur américain Ed Markey.
On peut extrapoler le problème sur l’industrie pharmaceutique et l’agroalimentaire. L’altération d’information pourrait aller jusqu’à falsifier la composition d’un médicament ou d’un aliment. La cybersécurité doit donc aussi être très présente dans ces industries.
Et pour finir, il y a bien sûr la controverse de la télévision intelligente de Samsung, qui pourrait involontairement enregistrer les conversations de salon.
Il y a eu multiplication des acteurs et des offreurs de cybersécurité ces dernières années. Il est indispensable d'exercer un bon jugement quant aux choix des professionnels de sécurité pour veiller à corriger le problème à la base et non le camoufler. À L’époque des technologies "de rupture" et de l’innovation, il faut aussi repenser la sécurité de ses applications, son processus de développement et son organisation. C’est l’opportunité de rectifier le tir de la bonne façon.
Retrouvez l'article complet de Direction Informatique ici