Publicité en cours de chargement...

Publicité en cours de chargement...

Kaspersky non grata aux USA, de l’appréciation des risques

12 sept. 2017 - 11:13,
Tribune - Par Cédric Cartau
Dans ma précédente prose(1), je me suis livré à l’analyse du durcissement du ton des autorités US vis-à-vis de l’éditeur d’antivirus russe Kaspersky. Certains commentaires postés sur LinkedIn m’ont fait remarquer à juste titre – et je les en remercie – qu’il existait des éditeurs européens, par exemple Bitdefender. J’en profite d’ailleurs pour préciser que le consortium Hexatrust est constitué d’éditeurs français d’excellent niveau officiant dans le domaine de la sécurité, comme ITrust et bien d’autres.  

Une administration française (ou une entreprise privée) doit-elle pour autant bannir sans retenue les produits yankees ou étrangers ? Et si non, quelles précautions doit-elle prendre dans leur intégration au sein du SI ? On en revient, encore et toujours, à l’appréciation des risques. Une entreprise telle une banque, qui manipule des fonds, court relativement peu de risques face à une attaque étatique pour lui chiper ses lingots : les exemples connus de hold-up cyber sont le fait d’organisations terroristes ou mafieuses, et dans un tel cas le choix d’un antivirus ayant pignon sur rue et d’un OS standard du marché se défend tout à fait, pour peu que les systèmes soient maîtrisés : patches à jour, mise à jour des signatures plusieurs fois par jour, supervision et analyse des traces, etc. Ce dernier point, qui semble pourtant d’une évidence crasse, est celui où les organisations sont les plus faibles : si les entreprises mettent en moyenne plusieurs dizaines de jours à détecter des attaques avancées (APT), c’est justement (entre autres) parce que l’analyse des traces n’est pas ou peu réalisée. Certes, les attaques les plus sophistiquées passeraient au travers des mailles, mais dans le cas de Sony Pictures par exemple des gigaoctets s’échappaient tous les jours du SI sans qu’aucun admin système ait eu la puce à l’oreille.

Dans le cas d’un opérateur d’importance vitale (OIV), voire d’un organisme ultra-sensible tel que l’armée, les services de renseignement, etc., les contraintes sont d’une autre nature. Je ne vois rien de choquant à conserver des progiciels du marché (OS, antivirus…), mais les conditions d’implémentation (analyse des configurations, audit pré et postimplémentation, etc.) relèvent d’un autre niveau. Avoir déployé des OS Windows dans sa DMZ et ne jamais faire d’audit de configuration, ne jamais analyser les traces à plusieurs niveaux ou avoir encore certains OS obsolètes peut être admis pour un hôpital OIV, mais tient du risque non acceptable pour un organisme beaucoup plus sensible. Dans les cas les plus extrêmes bien entendu, il faudra changer de stratégie et adopter des produits totalement auditables.

Et surtout, surtout, la pire des fautes est de ranger la poussière sous le tapis : le pire risque n’est pas celui que l’on court en connaissance de cause (analyse, évaluation, quel que soit le nom que l’on donne au processus), le pire risque est celui devant lequel on fait l’autruche. Dire que ce n’est pas un problème, dire que ce n’est que de la technique et que les informaticiens « verront cela », voire dire que l’on a d’autres chats à fouetter, là est la faute. 

Dans un audit que j’ai mené il y a quelque temps, j’avais demandé au DSI de me fournir le taux de couverture de la protection antivirale de son parc d’actifs IP (c’est-à-dire de l’ensemble des équipements connectés au LAN quelle que soit leur nature – PC, imprimante multifonction ou appareil biomédical). La première réponse qui m’a été donnée a été « 100 % ». J’ai alors fait remarquer que les photocopieurs multifonctions n’ont pas d’antivirus, et que le taux ne pouvait donc pas être de 100 %, en ne tenant compte que de cette catégorie d’actifs. Le DSI m’a alors répondu : « 90 %. » Je lui ai demandé d’où il sortait ce chiffre : réponse au doigt mouillé. Ne pas atteindre un taux de 100 % est acceptable, ne pas être en mesure de le mesurer (donc d’évaluer le risque) ne l’est pas. 

Dans son excellent ouvrage Grands Zhéros de l’histoire(2), Clémentine Portier-Kaltenbach traite d’un thème inhabituel dans le domaine : les nuls, les incompétents, ceux qui ont foiré des situations inratables, et dont l’histoire gardera pour l’éternité le nom rangé dans la section des échecs. Un des passages les plus passionnants relate l’histoire du radeau de La Méduse (à l’origine du célèbre tableau de Géricault), qui avant d’être un radeau échoué a été un navire(3) de la flotte française. Hugues Duroy de Chaumareys, son capitaine, est un noble qui n’a plus navigué depuis la fin de l’Ancien Régime (25 ans plus tôt) et en assure le commandement en 1816. Il n’écoute pas les avis de ses officiers, marins aguerris qui le détestent, concernant la présence de hauts-fonds dans le secteur, et réussit l’impensable, à savoir s’échouer par beau temps et mer calme dans une zone bien connue. Le naufrage a eu un fort retentissement à l’époque pour avoir provoqué des dizaines de morts et des cas de cannibalisme chez les survivants.

C’est ça, mettre le risque sous le tapis.


(1) /article/2601/kaspersky-non-grata-aux-usa.html 

(2) https://www.amazon.fr/Grands-Zhéros-lHistoire-France-documents-ebook/dp/B005PH4S7O/ref=sr_1_2?ie=UTF8&qid=1505114586&sr=8-2&keywords=les+z%27héros   

(3) https://fr.wikipedia.org/wiki/La_Méduse 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.