La transformation permanente des usages engendrée par l’évolution du numérique et Internet décuple les exigences de rapidité et de disponibilité des utilisateurs vis-à-vis des objets et outils qu’ils emploient au quotidien. Mais cette course vers plus de facilité permise par la digitalisation place les enjeux de cybersécurité au cœur du numérique et de l’actualité.
Alors que l’on observe l’émergence d’une véritable chaîne de confiance formée par les leaders informatiques pour proposer un écosystème de cybersécurité fiable et adapté aux attentes des utilisateurs, la question de la sécurité à la conception semble étonnamment rester en suspens. Julien Patriarca, Directeur des Services Professionnels chez WALLIX, répond à nos questions.
|
Julien Patriarca Directeur des Services Professionnels , WALLIX Acteur et expert cybersécurité depuis 15 ans. |
Que devons-nous attendre de la sécurité à la conception ?
Nous devons attendre de la sécurité à la conception un réel engagement de sécurisation des données personnelles et confidentielles pour générer un mécanisme de confiance solide, d’une part, et nous protéger des cyber-attaques, d’autre part. L’intérêt de la sécurité à la conception vient justement du fait que les utilisateurs ne doivent pas à avoir à se soucier de la sécurité de leurs données personnelles lorsqu’ils utilisent des objets connectés. Cela vaut pour les professionnels mais également pour les consommateurs puisque les objets connectés, qui par définition embarquent l’informatique, font maintenant partie de notre quotidien. L’enjeu principal de la sécurité à la conception est donc de faire en sorte que personne ne s’en préoccupe alors qu’elle est au cœur de nos vies.
L’enjeu principal de la sécurité à la conception est de faire en sorte que personne ne s’en préoccupe alors qu’elle est au cœur de nos vies.
Liée à cet engagement est la notion de responsabilité qu’ont les vendeurs et fournisseurs à veiller à l’implémentation et au respect des bonnes pratiques de sécurité. Cela commence à la conception de l’objet mais s’étend aussi jusqu’à l’utilisation. Par exemple, on entend souvent les vendeurs mettre en garde les utilisateurs sur le fait qu’ils doivent changer les mots de passe d’installation de tel nouveau logiciel ou matériel lorsqu’ils l’utilisent pour la première fois. Cette démarche est un premier pas vers la responsabilité liée à la sécurité à la conception mais elle est loin d’être suffisante pour répondre aux attentes décrites ici.
Dans les faits, on s’aperçoit souvent que rien ne pousse les consommateurs à changer le mot de passe d’installation de leur matériel, une faille de taille évidente en matière de cybersécurité qui peut s’avérer dévastatrice. L’attaque de l’entreprise américaine Dyn perpétrée en octobre dernier et qui a mis à genoux une grande partie de l’Internet mondial est un exemple très concret de l’enjeu que pose la sécurité à la conception à cet égard. Les pirates sont parvenus à saturer le réseau de la société grâce à une technique d’attaque par déni de service (ou DDoS), très populaire dans les attaques à grande échelle. Cette manipulation leur a permis d’exploiter les vulnérabilités de sécurité des objets connectés aux serveurs des adresses IP gérées par l’entreprise puis d’en prendre le contrôle à distance à l’insu de leurs propriétaires, coupant ainsi l’accès Internet à des millions d’individus et sociétés, et perturbant le réseau mondial.
Quel niveau de sécurité minimum devrait-il y avoir ?
La première des bonnes pratiques à mettre en place est de faire en sorte de renforcer les accès à un objet ou matériel connecté. Le niveau minimum de sécurité à implémenter est donc le renforcement du ou des mots de passe utilisés pour se connecter au matériel souhaité. Cela demande une prise de conscience des risques de cybersécurité liés aux objets connectés et une action concrète de la part des utilisateurs. La responsabilité des vendeurs et fournisseurs est de les obliger à changer le mot de passe d’installation de leurs machines une fois déployées. Si les utilisateurs ont la possibilité de ne pas le faire, il est fort probable qu’ils continuent d’utiliser les identifiants préconfigurés du matériel, comme admin/password par exemple.
Il faut qu’il y ait une étape nécessaire et obligatoire à l’utilisation de l’objet connecté qui pousse les utilisateurs à renforcer la sécurité de l’accès à leur matériel.
Cette étape fait partie des attentes que nous devrions avoir vis-à-vis de la sécurité à la conception. Elle peut également être une force motrice dans la confiance numérique puisqu’elle permet la prise de conscience et l’implication des utilisateurs dans le renforcement de la sécurité de leurs objets connectés pour participer à un monde plus sûr.
Au-delà de la seule sécurité à la conception, un engagement de sensibilisation global
Le fait d’obliger les utilisateurs à changer les mots de passe d’installation s’étend au-delà de la seule sécurité à la conception. C’est une bonne pratique de cybersécurité qui doit être adoptée et poussée par tous les professionnels pour créer une prise de conscience globale des dangers liés à l’usage négligent de l’informatique.
Beaucoup d’éditeurs le font déjà, dont WALLIX, mais cela doit être implémenté de manière systématique. Par exemple, lorsque nos clients installent un Bastion, l’utilisateur du compte admin est avant tout obligé de changer le mot de passe, mais nous recommandons également d’aller plus loin dans la sécurité en imposant des règles pour complexifier le mot de passe (par exemple, 8 caractères minimum, mixer majuscules/minuscules, chiffres, caractères spéciaux) ou encore en rendant impérative la suppression du compte administrateur ‘générique’ une fois le déploiement initial de la solution réalisé. Ce nouveau palier permet ensuite la promotion d’un utilisateur classique en super-utilisateur, avec des identifiants beaucoup plus difficiles à deviner.
Vous souhaitez en savoir plus ? Contactez nos experts !
