Kaspersky non grata aux USA, de l’appréciation des risques

Une administration française (ou une entreprise privée) doit-elle pour autant bannir sans retenue les produits yankees ou étrangers ? Et si non, quelles précautions doit-elle prendre dans leur intégration au sein du SI ? On en revient, encore et toujours, à l’appréciation des risques. Une entreprise telle une banque, qui manipule des fonds, court relativement peu de risques face à une attaque étatique pour lui chiper ses lingots : les exemples connus de hold-up cyber sont le fait d’organisations terroristes ou mafieuses, et dans un tel cas le choix d’un antivirus ayant pignon sur rue et d’un OS standard du marché se défend tout à fait, pour peu que les systèmes soient maîtrisés : patches à jour, mise à jour des signatures plusieurs fois par jour, supervision et analyse des traces, etc. Ce dernier point, qui semble pourtant d’une évidence crasse, est celui où les organisations sont les plus faibles : si les entreprises mettent en moyenne plusieurs dizaines de jours à détecter des attaques avancées (APT), c’est justement (entre autres) parce que l’analyse des traces n’est pas ou peu réalisée. Certes, les attaques les plus sophistiquées passeraient au travers des mailles, mais dans le cas de Sony Pictures par exemple des gigaoctets s’échappaient tous les jours du SI sans qu’aucun admin système ait eu la puce à l’oreille.

Dans le cas d’un opérateur d’importance vitale (OIV), voire d’un organisme ultra-sensible tel que l’armée, les services de renseignement, etc., les contraintes sont d’une autre nature. Je ne vois rien de choquant à conserver des progiciels du marché (OS, antivirus…), mais les conditions d’implémentation (analyse des configurations, audit pré et postimplémentation, etc.) relèvent d’un autre niveau. Avoir déployé des OS Windows dans sa DMZ et ne jamais faire d’audit de configuration, ne jamais analyser les traces à plusieurs niveaux ou avoir encore certains OS obsolètes peut être admis pour un hôpital OIV, mais tient du risque non acceptable pour un organisme beaucoup plus sensible. Dans les cas les plus extrêmes bien entendu, il faudra changer de stratégie et adopter des produits totalement auditables.

Et surtout, surtout, la pire des fautes est de ranger la poussière sous le tapis : le pire risque n’est pas celui que l’on court en connaissance de cause (analyse, évaluation, quel que soit le nom que l’on donne au processus), le pire risque est celui devant lequel on fait l’autruche. Dire que ce n’est pas un problème, dire que ce n’est que de la technique et que les informaticiens « verront cela », voire dire que l’on a d’autres chats à fouetter, là est la faute. 

Dans un audit que j’ai mené il y a quelque temps, j’avais demandé au DSI de me fournir le taux de couverture de la protection antivirale de son parc d’actifs IP (c’est-à-dire de l’ensemble des équipements connectés au LAN quelle que soit leur nature – PC, imprimante multifonction ou appareil biomédical). La première réponse qui m’a été donnée a été « 100 % ». J’ai alors fait remarquer que les photocopieurs multifonctions n’ont pas d’antivirus, et que le taux ne pouvait donc pas être de 100 %, en ne tenant compte que de cette catégorie d’actifs. Le DSI m’a alors répondu : « 90 %. » Je lui ai demandé d’où il sortait ce chiffre : réponse au doigt mouillé. Ne pas atteindre un taux de 100 % est acceptable, ne pas être en mesure de le mesurer (donc d’évaluer le risque) ne l’est pas. 

Dans son excellent ouvrage Grands Zhéros de l’histoire(2), Clémentine Portier-Kaltenbach traite d’un thème inhabituel dans le domaine : les nuls, les incompétents, ceux qui ont foiré des situations inratables, et dont l’histoire gardera pour l’éternité le nom rangé dans la section des échecs. Un des passages les plus passionnants relate l’histoire du radeau de La Méduse (à l’origine du célèbre tableau de Géricault), qui avant d’être un radeau échoué a été un navire(3) de la flotte française. Hugues Duroy de Chaumareys, son capitaine, est un noble qui n’a plus navigué depuis la fin de l’Ancien Régime (25 ans plus tôt) et en assure le commandement en 1816. Il n’écoute pas les avis de ses officiers, marins aguerris qui le détestent, concernant la présence de hauts-fonds dans le secteur, et réussit l’impensable, à savoir s’échouer par beau temps et mer calme dans une zone bien connue. Le naufrage a eu un fort retentissement à l’époque pour avoir provoqué des dizaines de morts et des cas de cannibalisme chez les survivants.

C’est ça, mettre le risque sous le tapis.

(1) /article/2601/kaspersky-non-grata-aux-usa.html 

(2) https://www.amazon.fr/Grands-Zhéros-lHistoire-France-documents-ebook/dp/B005PH4S7O/ref=sr_1_2?ie=UTF8&qid=1505114586&sr=8-2&keywords=les+z%27héros   

(3) https://fr.wikipedia.org/wiki/La_Méduse