HBO fait maintenant partie de la liste grandissante des victimes de failles de données d’Hollywood, rejoignant Netflix et Sony qui ont, eux aussi subi de sérieux vols de propriété intellectuelle et artistique par des pirates, principalement au niveau de leur contenu de programmation. Que s’est-il passé ?
On pourrait penser que ce type d’entreprise garde un œil sur ses biens les plus sensibles comme le font les banques pour leurs données financières mais cela n’a pourtant pas été le cas. Nous allons vous expliquer ce qu’il s’est passé mais, d’abord, remettons l’histoire dans son contexte. Cette faille de données est apparue juste au moment où la chaîne HBO diffusait les premiers épisodes de la septième saison de Game of Thrones. Pour les 6 premières saisons, il était relativement facile pour les téléspectateurs de prédire ce qui allait arriver dans la mesure où les lecteurs et les fans des livres de George R. R. Martin connaissaient déjà l’intégralité de l’histoire. La septième saison de la série est un cas insolite car les livres ne sont pas encore disponibles sur le marché pour dévoiler le scénario. Les téléspectateurs sont, cette fois-ci, laissés dans l’ignorance, à l’exception de quelques indices qui peuvent annoncer les événements à venir.
Le fameux dernier épisode ayant été dévoilé, quelles leçons les équipes de sécurité informatique doivent-elles tirer ?
C’est un nouveau « Game of Threats » (une « guerre des menaces » littéralement en français) où il n’y a pas de scénario à respecter. Les données à protéger sont nombreuses, les surfaces d’attaque ont considérablement augmenté et les vecteurs de menaces sont trop nombreux pour rester maître de la situation. Les équipes de sécurité ne peuvent plus compter sur les stratégies traditionnelles pour prédire le meilleur moyen de défendre leurs réseaux et leurs biens les plus précieux. Le scénario qu’ils connaissent, la prévention des failles, fait maintenant partie de l’histoire ancienne. A l’image des châteaux de Peyredragon, Vivesaigues et Winterfell construits pour protéger les grandes familles dans Game of Thrones, les équipes de sécurité d’aujourd’hui continuent de compter sur la défense du périmètre comme base fondamentale de leur stratégie. Construire des murs et des tranchées, mettre en place des sentinelles pour monter la garde et délivrer ou non une autorisation d’accès avec les identifiants et le mot de passe adéquats. Même si les menaces et l’environnement technologique ont considérablement changé, c’est bien à cela que se résume la sécurité dans le contexte actuel. Mais tout comme le premier (et second) siège de Vivesaigues, les châteaux et les périmètres de défense peuvent facilement être compromis et tomber sous l’emprise des ennemis.
Selon vous, bâtir un château fort de défense informatique se révèle donc être une stratégie de moins en moins efficace ?
La prévention des failles (en tant que stratégie fondamentale) est morte. S’appuyer sur le périmètre de sécurité comme principal moyen de protéger les informations sensibles est une perte de temps. Les entreprises doivent cesser de prétendre qu’elles peuvent empêcher une faille du périmètre et accepter la réalité en construisant leurs stratégies de sécurité en conséquence. Elles doivent apprendre à mieux sécuriser la faille et adopter une prise de conscience de la situation en termes de cybersécurité. Il est impossible de tout protéger en construisant des murs plus élevés et en ajoutant plus de gardes pour détecter les attaques. Déployer des stratégies défensives en couches pourraient leur permettre de protéger ce qui compte le plus, à l’endroit où cela compte le plus.
Quel est l’impact économique ?
En 2017, les entreprises dépenseront 90 milliards de dollars pour sécuriser l’information à travers le monde, une augmentation de près de 8% par rapport à l’année précédente. La plupart étant dépensé en produits et services de prévention, de détection et d’intervention. Mais pour quelle efficacité ? En effet, selon le Breach Level Index, en 2016, plus de 1,4 milliards de données ont été volées, soit une hausse de 86% par rapport à 2015. On peut donc facilement dire que les entreprises n’investissent pas convenablement leurs budgets informatiques. Le célèbre dicton d’Albert Einstein selon lequel la définition de la folie est de répéter les mêmes actions encore et encore et attendre des résultats différents, est une belle métaphore pour illustrer la manière dont la sécurité des données est prise en main aujourd’hui.
Que recommandez-vous ?
Il est grand temps d’adopter un nouvel état d’esprit en ce qui concerne la sécurité des données, qui passe par la prévention de la faille à son acceptation et qui vise à sécuriser la brèche. Les entreprises doivent déplacer leurs contrôles de sécurité le plus près possible des données et des utilisateurs de ces dernières car les contrôles de sécurité périmétriques ne les protègent pas suffisamment. En intégrant la protection sur les actifs eux-mêmes, elles s’assurent de sécuriser l’information même en cas de rupture du périmètre. Une approche en trois étapes qui premièrement chiffre toutes les données sensibles au repos et en mouvement, puis gère et stocke en toute sécurité toutes les clés de chiffrement, et enfin contrôle l’accès aux applications et l’authentification des utilisateurs, permet aux entreprises d’être équipées efficacement pour faire face à une faille et sécuriser la brèche lorsqu’elle se produit.
Propos recueillis par Erick Haehnsen
Commentez