Actualité SSI : Cnil, Microsoft et protection contre les attaques par mail

25 oct. 2022 - 00:23,

Tribune

- Cédric Cartau
Une fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.

Tout d’abord, c’est la délibération 2022-100 du 21 juillet[1] de la Cnil concernant la doctrine du régulateur à propos des mots de passe. Le texte est absolument majeur, et tous les RSSI/DSI/DPO se doivent de le lire en détail. La précédente délibération datait tout de même de cinq ans (2017), et sa mise à jour s’imposait.

Plusieurs nouveautés et pas des moindres, avec en tout premier lieu des recommandations non pas sur la longueur du MDP, mais sur sa complexité en bits, notion qui est d’ailleurs clairement définie dans le document (80 bits correspondent environ à 13 caractères avec tout le jeu habituel). Une autre notion introduite, mais sans être développée plus avant, concerne la devinabilité du mot de passe, principe que la Cnil n’impose pas, mais qui risque clairement de devenir un standard lorsque les produits et algorithmes seront disponibles. On y retrouve également les conseils de base sur le choix du MDP (ne pas utiliser de mots du dictionnaire, issus de la vie privée, etc.), mais aussi sur les protocoles techniques de transmission des mots de passe (choix du canal) et de changement du canal (qui doit faire l’objet d’une alerte à l’utilisateur). On y trouve aussi la distinction, dans la mise en œuvre, entre le premier mot de passe (celui qui est à usage unique et sert à générer le « vrai »), l’envoi d’un code de recouvrement (dont l’entropie n’est plus que de 13 bits), la durée dans le temps des liens de recouvrement, etc. On y trouve – enfin – dans la recommandation 54 l’affirmation selon laquelle il n’est plus nécessaire de contraindre les utilisateurs à changer le mot de passe, sauf pour des populations ciblées tels les adminsys pour lesquels la politique peut être différente. J’en profite pour souligner que cette question sur le changement obligatoire des MDP est tombée il y a des années dans une publication de Microsoft, et que je n’argumente même plus sur les réseaux avec les malins de la bande qui continuent d’affirmer, comme je l’ai encore vu la semaine dernière : « Ah si ! Moi je trouve que c’est important d’obliger les utilisateurs à changer régulièrement de mot de passe ». 67 mesures, divisées en grandes sections thématiques : le document est tellement bien fichu que les certifiés ISO 27001 (et les autres) peuvent faire un copié-collé dans leur document de mesures de sécurité relatif à la question (chapitre A9 pour les intimes).

L’autre nouveauté, c’est la fuite de données sur les plateformes Microsoft, avec pas moins de 65 000 entreprises potentiellement concernées et des données personnelles accessibles en masse. Dans un communiqué officiel, Microsoft précise (admirez la rhétorique) que « [son] enquête n’a trouvé aucune indication que les comptes ou les systèmes des clients aient été compromis. Nous avons directement informé les clients concernés ». Bon, allez, on va les aider un peu avec un petit rappel juridique de base : au regard de la Cnil, le simple fait que les données aient été accessibles est un manquement aux obligations de protection. Cet exemple est surtout une énième confirmation du fait que le Cloud n’est pas plus sécurisé que le On Premise. Petit rappel théorique, un risque, c’est la probabilité de survenue d’un événement indésirable multipliée par son impact. Si la probabilité est plus faible (on suppose que les opérateurs professionnels sont meilleurs que le clampin de base au fin fond de son datacenter) quand le risque se produit l’impact est nettement plus fort et, à notre connaissance, il n’existe pas de tables officielles sur les comparaisons de ces deux paramètres selon les cas Cloud/On Premise.

Autre news récente : dans une dépêche APM d’octobre, la société Proofpoint affirme que le protocole d’authentification DMARC (je cite) « a été conçu pour empêcher les pirates informatiques d’usurper l’identité d’une organisation et de son domaine, en rejetant tous les messages non authentifiés ». Fortement recommandé par l’Agence nationale de la sécurité des systèmes d’information (Anssi), « il permet de combattre spams, phishings et fraudes par courriels, soit les menaces les plus virulentes à l’échelle mondiale ». Et Proofpoint de poursuivre en affirmant que seul un CHU (sans citer lequel) a déployé une protection digne de ce nom contre les messages frauduleux en tout genre et 11 n’ont tout simplement rien fait ou presque (toujours pas de noms).

Ce genre de publication est doublement délétère (APM est très lu par les décideurs dans la santé et pour cause). D’une part, les DSI et RSSI vont pour certains passer un bon moment à argumenter auprès de leurs directions générales « Ben, pourquoi on n’a pas ça chez nous ? » D’autre part, techniquement parlant, le déploiement de DMARC (qui est une surcouche des protocoles DKIM et SPF pour les puristes, voir ici[2]) est un chantier technique parmi d’autres, mais la question est juste de savoir : avec quelles ressources (RH) on va gérer les exceptions, et jusqu’où (faux positifs) accepte-t-on de ne plus pouvoir communiquer avec des fournisseurs (légitimes) et des administrations (tout aussi légitimes) dont la configuration des serveurs de messagerie n’est pas conforme (eh oui ! il y en a un bon paquet). Puisqu’on est si nul dans les CHU, je veux bien que Proofpoint nous envoie gratos des gugusses pour gérer tout ça : à ce moment-là, ils réaliseront que ce n’est pas difficile de faire de la SSI en coupant tout, c’est juste que cela ne tient pas 2 heures.

Pour finir, je vous suggère la lecture de l’article sur la ville de Coblence dans le dernier Courrier international : face à d’éventuels risques de black-out énergétique, la ville dispose en effet du plan d’urgence le plus abouti chez nos voisins d’outre-Rhin : estimation des cuves de carburant pour faire tourner les génératrices et même des gars et des filles pour surveiller l’alimentation du machin. Le descriptif qui en est fait dans Die Welt vaut le détour, surtout pour ceux qui travaillent sur des PCA-PRA globaux d’établissements embarquant tout type de risque.


[1] https://circulaires.legifrance.gouv.fr/jorf/id/JORFTEXT000046432885 

[2] https://www.mailjet.com/fr/blog/delivrabilite/protocoles-spf-dkim-dmarc/ 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

Avez-vous apprécié ce contenu ?

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie