Considérons la situation suivante : vous avez récemment engagé un expert en sécurité informatique pour s’occuper de la confidentialité de vos données. Celui-ci a mis en place une politique de mots de passe forte, généré des certificats pour toutes les machines de votre réseau et généralisé l’utilisation de protocoles tels que TLS ou IPSec. Depuis vous dormez sur vos deux oreilles, persuadé que vos données sont parfaitement en sécurité. Je suis navré de devoir vous l’apprendre : ce n’est pas tout à fait vrai.
Il n’y a pas de quoi être alarmiste pour autant en imaginant que tous les hackers de la planète ont déjà pénétré votre système comme si on leur avait envoyé une invitation pour une journée portes ouvertes. Simplement il est important de comprendre qu’en informatique, la sécurité absolue n’existe pas.
L’objectif lorsque l’on sécurise un réseau informatique est d’assurer une sécurité suffisante pour la criticité des données concernée. On ne met pas un système d’alarme dernier cri et trois serrures sur la porte d’un studio qui comprend en tout et pour tout un canapé convertible et un micro-ondes qui a vécu le passage du millénaire, alors que c’est beaucoup plus normal pour une villa qui renferme des toiles de maître. De même, il serait absurde de dépenser des fortunes en logiciels de chiffrement et en hard tokens pour protéger ses photos de vacances alors que les moyens employés pour protéger les données financières d’une grande banque seront beaucoup plus importants. Ce raisonnement est aussi possible parce que les éventuels attaquants auront le même de leur côté : trouver et exploiter des failles dans un système est une opération très coûteuse en temps et en ressources, et ils ne se donneront pas cette peine pour s’emparer de données qui n’ont pas une valeur importante.
Quand bien même on disposerait de moyens illimités pour assurer la sécurité d’un réseau il existe des limites purement technologiques. Lorsqu’on dit d’un algorithme de chiffrement qu’il est sûr, cela ne signifie pas qu’il est définitivement inviolable. On entend par là qu’il n’y a pas d’attaque efficace connue, mais cela ne garantit en aucune façon que demain une découverte mathématique ne rendra pas complètement obsolète RSA. Et il en va de même pour les protocoles informatiques : des recherches de vulnérabilités ont lieu en permanence sur TLS, et l’une d’elle peut aboutir à tout moment.
Tous ces éléments font que dans notre domaine, l’idée d’une sécurité parfaite n’est qu’une chimère. Partant de ce constat il y a deux possibilités : soit stocker ses données les plus précieuses sur un périphérique dépourvu de toute connexion réseau au plus profond d’une grotte secrète gardée par une escouade de militaires surentrainés, et prier pour que, passez mois l’expression, “ni James Bond ni Chuck Norris” n’aient l’envie de s’y intéresser. Soit faire confiance aux experts reconnus de la sécurité informatique, dont SYNETIS fait partie pour analyser les risques et concevoir des mesures qui correspondent précisément à la situation.
Emile
Consultant sécurité