La faille de sécurité, une crainte constante pour toute PME qui utilise le réseau numérique. Mais ces failles, d’où viennent-elles ? Souvent on pense que c’est parce qu’on n’a pas les moyens d’investir dans des technologies innovantes. En réalité, c’est plus compliqué que cela.

Faille de sécurité : l’inévitabilité de l’arrivée de problèmes

Les graves problèmes d’intrusion sont souvent dus à un cumul de problèmes. L’effet domino.

Selon le modèle de Reason, les sources de défaillances sont de 3 types :

  • défaillances techniques
  • erreurs humaines
  • défaillances d’organisation.

Sur le postulat que la cascade de problèmes engendre la faille de sécurité, décortiquons les étapes.

Le problème matériel

Le problème matériel, ou défaillance technique, est le 1er facteur de stress des entreprises, et donc le 1er levier sur lequel on porte l’effort. Investissement dans des outils de protection, sauvegarde, on sait trouver des solutions efficaces. Cela n’empêche pas toujours le problème de survenir. Un malware mal arrêté, un mail frauduleux qui passe la barrière de protection. Si cette intrusion passe le 1er trou (du fromage), il peut être stoppé net au niveau de la 2ème couche. L’humain… Ou pas…

le problème humain

Le constat que fait Reason : impossibilité de supprimer l’erreur du fonctionnement humain. « L’erreur est inséparable de l’intelligence humaine ». En tant que professionnels de l’informatique, nous ne pouvons être que d’accord avec ce constat. La faille humaine est importante. Voire primordiale. Ce n’est pas que la faute des utilisateurs, qui se retrouvent confrontés à des attaques constantes et de plus en pernicieuses, continues… Phishing, vishing, malwares, cryptolockeurs, déni de service et faux comptes sur les réseaux. Le danger vient de partout, il est difficile de faire la part des choses. Et malgré la plus haute protection, si un utilisateur clique sur un faux mail et renseigne ses identifiants, le meilleur antivirus n’y pourra rien.

L’organisation au cœur du problème

Ce point rejoint et complète la défaillance humaine. S’il y a un problème dans la hiérarchisation des responsabilités, cela fait tomber le dernier bastion des couches protectrices. Chacun doit connaître son rôle. Et le remplir.

Vous avez donc les 3 couches qui, si elles sont bien respectées, protègent efficacement votre infrastructure et votre réseau informatique. S’il y a un trou dans l’une, la suivante permet de stopper la trajectoire de l’intrusion. Sauf si les trous sont trop importants…

 

Une protection en plusieurs couches

Faille de sécuritéSi on considère que les 3 facteurs ci-dessus (technique, humain, organisation) sont 3 fromages les uns à côté des autres, on visualise la trajectoire d’une intrusion qui, pour infecter votre réseau, devrait traverser ces 3 fromages, en passant par des trous.

La faille de sécurité arriverait donc suite à un cumul des avaries. Ou a des trous trop imposants.

 

l’alignement des trous du fromage

Pour citer l’article sur Reason : « un système sûr est un système qui se protège par une suite de défenses en profondeur contre le développement d’accidents. Aucune de ces défenses ne peut garantir la sécurité mais leur empilement finit par conférer au système une fiabilité acceptable. »

C’est-à-dire que l’on ne peut garantir une fiabilité à 100% de chaque fromage. Mais que si les 3 sont assez forts, et pas trop troués, ils peuvent arrêter la trajectoire. Pour cela il faut limiter les trous.

Se prémunir des défaillances : un fromage pas trop troué !

Pour cela, il faut garantir continuellement une veille sur les 3 fromages. Ne pas laisser s’agrandir les trous. Agir sur les problèmes latents et appliquer un maximum de proactivité. Voici quelques solutions que nous appliquons :

  • une sauvegarde pointue, continue et surtout multiple. Un problème ? vous pouvez relancer la production, ou du moins ne pas perdre des mois de travail.
  • Un antivirus couplé à l’intelligence artificielle. En constante veille sur les virus et autres attaques, il faut privilégier une solution qui anticipe les nouvelles menaces, plutôt qu’une solution qui « fabrique » ses boucliers une fois l’attaque passée.
  • Une sensibilisation des utilisateurs. Tout comprendre du phishing, vishing, smishing, déni de service… Ré apprendre à se méfier.

 

Vous l’aurez compris, quand il s’agit de sécurité informatique, on ne peut pas se reposer sur un un seul pilier. D’autant plus si on ne fait pas évoluer ledit pilier (l’antivirus des années 2000, non mis à jour en temps réel, ne vous sera d’aucune aide).

Choisissez les bons outils, faites-les évoluer, en veillant aux mises à jour, formez vos équipes. Il faut être sur plusieurs fronts en même temps. C’est compliqué, chronophage et parfois cher, mais nécessaire.

Faille de sécurité

Bienvenue !

 

Vous êtes dirigeant, manager, ou patron de PME, découvrez dans ce blog des articles mélangeant les notions de management et de l'informatique pour répondre à vos besoins et ceux de vos collaborateurs.