Quelles sont les mauvaises habitudes qui rendent vulnérable à une cyberattaque ?
Il est impossible de sécuriser à 100% un bâtiment ou un réseau informatique. À un moment donné, vous devez ouvrir une porte pour laisser quelqu’un entrer ou sortir ou bien autoriser un utilisateur à se connecter à un serveur, à envoyer un e-mail, etc. Dès lors que vous acceptez cela, vous vous rendez compte que les fournisseurs, intégrateurs et utilisateurs doivent, en fait, constamment choisir entre la commodité et la sécurité. La nature humaine veut que nous choisissions l’option facile. D’ailleurs, je change rarement le mot de passe sur mon routeur domestique, même si je sais que je devrais le faire, parce que cela implique de le changer sur tous mes appareils, sur les appareils de mon épouse et sur tous ceux de mes enfants. Je laisse donc le mot de passe que j’ai choisi il y a quelques mois.
En ce qui concerne l’Internet des Objets, où en sont les enjeux de sécurité ?
Malheureusement, les événements récents ont montré que l’industrie de l’IdO a, elle aussi, souvent privilégié la commodité plutôt que la sécurité, laissant ainsi de nombreuses entreprises et organisations en danger. Et les utilisateurs, qu’il s’agisse de petites ou de grandes entreprises, disent souvent : « Mais nous ne sommes pas une cible de haut niveau » ou « pourquoi voudrait-on regarder nos caméras ? ».
Et pourtant, l’actualité ne nous a-t-elle pas prouvé que personne n’était à l’abri ?
Ce qu’ils ne comprennent pas, c’est que les cyberattaques sont aujourd’hui beaucoup plus horizontales que jamais. Un attaquant ne s’intéressera pas forcément à votre caméra ni même à vous ou à votre entreprise. Il voudra simplement accéder à l’un de vos fournisseurs ou clients. Nous sommes tous tellement interconnectés que nous devons reconnaître que notre sécurité affecte également celle d’autres personnes. Et les attaquants ne sont plus des fans de Matthew Broderick bricolant dans leur chambre. Ce sont des professionnels. Ils sont payés pour attaquer votre réseau. Ils ont des tableaux blancs. Ils ont des feuilles de calcul. Ils reçoivent même une prime si leur code est performant.
Que faire alors ?
Avons-nous vraiment besoin d’un chiffrement de niveau militaire, d’experts du type savants de la NASA travaillant sur la sécurité basée sur la blockchain ou de la biométrie à la James Bond qui nécessite un échantillon d’ADN et une lettre de la Reine ? Cela pourrait être une bonne idée mais la réalité est qu’il nous faut de bonnes bases : arrêter de coder en dur des mots de passe dans des appareils, obliger les utilisateurs à définir un nouveau mot de passe lors de l’installation d’un périphérique, interdire les droits d’administrateur par défaut, etc. Lorsque tout le monde dans l’industrie de l’IdO aura atteint le minimum de la sécurité réseau, nous pourrons commencer à investir du temps et de l’énergie dans des défenses plus complexes et plus sophistiquées. Mais pour l’instant, fermez les fenêtres, fermez les portes, ne cherchez pas à aller de A à Z mais concentrez-vous sur le passage de A à B, puis à C.
Propos recueillis par Ségolène Kahn
Commentez