IBM accompagne de nombreux clients dans leurs projets de transformation numérique. Et l’expérience montre que ces projets intègrent de plus en plus les dimensions sécurité & conformité comme des leviers qui contribuent à leur réussite et à leur différenciation face à la concurrence.
Commençons par dresser un état des lieux rapide du domaine : 2 grandes tendances de sécurité se dégagent en 2018. Tout abord, une évolution des menaces avec une industrialisation et une professionnalisation des attaquants. Désormais ils utilisent le cloud et on trouve des plateformes de Ramsomware as a Service… certaines proposent même de partager les gains ou s’engagent sur des SLAs. Par ailleurs, tout comme les entreprises, les pirates commencent à utiliser l’intelligence artificielle : on peut par exemple écouter sur Internet un discours de Barack Obama… qui n’a jamais eu lieu.
Deuxième tendance : on constate une multiplication des réglementations : GDPR bien-sûr, la LPM en France, la directive NIS dans toute l’Europe, PCI DSS pour les paiements, pour ne citer que celles qui préoccupent les entreprises en 2018, en attendant le secret des affaires, ePrivacy, ou la certification des objets connectés ! On n’aura pas le temps de s’ennuyer dans les années à venir…
Pour rentrer dans le vif du sujet, je vous propose de commencer par considérer un exemple pratique : une serrure intelligente ! Exemple typique d’un projet d’innovation qui peut mixer de nombreuses dimensions techniques.
Que faut-il faire pour sécuriser efficacement cette serrure ? Réponse facile : « ca dépend »… En fait, pour bien sécuriser une serrure intelligente, il faut commencer par comprendre à quoi elle va servir : délivrer des colis chez vous pendant votre absence; aller au bout du modèle des drives pour que Carrefour dépose vos courses dans votre voiture pendant que vous faites un tour au centre commercial; ou permettre à un plombier d’intervenir chez vous sur une fuite, alors que vous êtes absent. Il faut bien comprendre les usages pour identifier les risques. Et les mesures de sécurité vont diminuer ces risques (et pas alourdir les projets comme pourraient le penser certains esprits grincheux ;-). Il ne faudrait pas croire non plus que l’on mettra de la sécurité « si nécessaire » ou si les clients le demandent. Un service numérique DOIT être sécurisé. Et il est donc important de s’appuyer sur des partenaires qui ont de bonnes capacités d’innovation (cloud, API, big data, cognitif, blockchain, internet des objets…) et une réelle expertise en sécurité. Un cocktail efficace, mais pas si simple à trouver… Pour s’en convaincre, parcourons les dimensions majeures de l’innovation en 2018, et commençons avec le cloud.
Cloud
Les entreprises sont de plus en plus nombreuses à préférer s’appuyer sur une expertise externe pour sécuriser leurs opérations. Et le cloud peut aussi les aider à améliorer leur niveau de sécurité général. Dernier exemple emblématique : les failles Meltdown et Spectre ont été révélées début 2018. Elles exploitent directement les couches matérielles et nécessitent une réponse coordonnée sur toute la plateforme, que les grands fournisseurs cloud peuvent mieux anticiper et prendre en charge. Ils proposent des solutions robustes nativement, qui permettent à leurs clients de renforcer leur sécurité et leur conformité avec la règlementation. Il faut cependant garder à l’esprit qu’un hacker pourrait aussi cibler le fournisseur de cloud pour attaquer ses clients ; et que les menaces viennent souvent de l’intérieur (donc potentiellement du fournisseur lui-même s’il ne prend pas les mesures de protection adéquates). Enfin, il faut aussi encadrer l’utilisation du cloud pour en garantir la sécurité, et ça commence par identifier tous les services utilisés, en particulier faire la chasse au shadow IT.
API
Les APIs exposent les services à l’extérieur, parfois par choix, parfois parce que la législation l’impose (comme PSD2 pour les banques). Mais chaque API publiée augmente la surface des attaques possibles. Les solutions de sécurité coordonnent et sécurisent les appels aux APIs. Elles permettent également de mieux comprendre les flux qui circulent sur le réseau. Les librairies sur lesquelles vous appuyez votre code peuvent aussi introduire des vulnérabilités. Prenons un exemple : vous avez peut-être entendu parler de la fuite de données massive qu’a subie Equifax en 2017 aux Etats-Unis. 143 millions de personnes affectées, ça commence à faire, surtout à cause d’un framework mal patché. Objectivement, Struts a probablement bon dos et sert de bouc-émissaire à Equifax, mais le coût de cette fuite de données est d’ores et déjà pharaonique…
Internet des objets
Avec l’Internet des objets, on passe du monde des risques informatiques, aux risques dans le monde réel. Hacker un pacemaker, prendre le contrôle d’une cuve d’azote liquide, ou faire freiner brusquement toutes les voitures qui roulent dans Paris auraient des conséquences … disons … dramatiques (même si on pourrait me répondre que l’exemple est mal choisi car, de toute façon, elles sont déjà toutes à l’arrêt… bloquées dans les bouchons).
Il faut aussi identifier les objets avec certitude, et leur garantir leur intégrité pour éviter toute compromission. Les plateformes de sécurité peuvent ensuite surveiller les infrastructures de production, et des experts en sécurité aident les entreprises à tester leur chaine de bout en bout. Pour en revenir à mon exemple de serrure intelligente, un hôtel de luxe Autrichien a récemment payé une rançon pour que ses clients puissent rentrer dans leur chambre… Mais j’aurais aussi pu vous parler d’une poupée qui a été interdite récemment en Europe parce qu’un hacker pouvait (très) facilement la détourner pour espionner votre maison.
Big Data
Le data lake rassemble un maximum de données en un endroit unique. Un véritable Jackpot pour un pirate s’il arrive à rentrer… Par ailleurs, la réglementation est de plus en plus contraignante, et on observe une prise de conscience du grand public pour le respect de la vie privée. Souvenez-vous des dizaines de mails que vous avez reçus récemment et qui vous proposaient de donner votre consentement pour continuer à profiter d’un service en ligne… dont vous n’aviez souvent même pas conscience que vous l’aviez « souscrit ». Une bonne opportunité de faire le ménage. Merci GDPR !
On ne le répètera jamais assez : on n’a pas le droit de collecter des masses d’information sans raison. On doit obtenir le consentement de la personne concernée, définir combien de temps les données seront conservées, puis les effacer. Par ailleurs, il est crucial de surveiller les bases de données et de les équiper avec des sondes de protection, pour les protéger des utilisateurs mais aussi des administrateurs malintentionnés. Dernier point, et non des moindres : le chiffrement de l’information se généralise. Autant utiliser des plateformes qui intègrent nativement ces fonctions sans (trop) pénaliser les performances.
C’est le bon moment pour une petite devinette. Qu’est-ce qui est affiché à l’écran à gauche ? Ce sont les 2 Corées, vues sous l’angle des utilisateurs de bracelets Strava (un de ceux qui vous aident à faire 10 000 pas par jour), et qui a développé une politique open data pour fédérer sa communauté. Ça donne un bon exemple de propriété « émergente » : vous ne l’auriez probablement pas anticipé, mais les données des coureurs vous permettent d’identifier précisément la frontière entre 2 pays. Intéressant d’un point de vue académique, mais pas de quoi fouetter un chat à priori.
Quoique… A droite, c’est une région de Syrie, avec seulement quelques points lumineux. Puis en zoomant, les lignes de ravitaillement de l’armée américaine et la topologie d’une base militaire. On distingue clairement les bâtiments et les parcours de ronde. Et ces informations sensibles sont devenues publiques, accessibles directement sur Internet. Pourquoi ? Parce que les soldats américains font du footing pour garder la forme … et qu’ils aiment bien compter leurs pas. Sparta a peut-être fait une analyse des risques et décidé d’anonymiser les données des coureurs par ne garder que les parcours. Le hic, c’est qu’en Syrie, les seuls utilisateurs de ce genre de gadgets sont des soldats américains… Je vous laisse deviner que ça a créé une certaine émotion au Pentagone.
Cognitif
Il est très difficile d’expliquer les choix d’une IA. A tel point qu’on voit actuellement émerger des travaux de recherche sur l’IA démontrable et que le sujet est abordé dans le rapport Villani. Des données erronées peuvent aussi tromper l’IA, pendant la phase d’apprentissage, ou directement dans son environnement d’exécution. IBM est d’ailleurs très actif dans ce domaine de la recherche.
Les panneaux STOP affichés à droite sont un peu bizarres. En fait, ils ont été « travaillés » par des chercheurs pour tromper l’analyseur d’images d’un véhicule autonome et qu’il voit à la place … des panneaux de limitation de vitesse. Inquiétant, mais il y a pire : c’est vrai aussi à gauche. Regardez bien le premier panneau STOP, il a été réimprimé avec un fond « subtilement » modifié.
Mais l’IA est aussi une force : les solutions de sécurité intègrent désormais l’intelligence artificielle pour proposer de nouveaux services. Vérifiez simplement avec vos fournisseurs que les fonctions promises vont au-delà du discours marketing. Une intelligence artificielle efficace peut par exemple guider les administrateurs d’une flotte mobile pour faire face à l’explosion d’un parc d’objets à gérer… ou comprendre la complexité de nouveaux modèles d’attaques… Par ailleurs, le domaine de la sécurité informatique est extrêmement volatile ; un assistant virtuel de cybersécurité peut donc « digérer » cette complexité et guider les analystes d’un SOC dans leurs activités de qualification des incidents de sécurité.
Blockchain
La blockchain fournit un registre inviolable, mais lisible par tous si on n’y prend pas garde. Elle permet de se dispenser d’un tiers de confiance. Mais alors qui sera responsable en cas de problème (ou au sens de GDPR) ? Il est aussi crucial de garantir l’identité des utilisateurs, en particulier au moment de leur enregistrement initial. Autre concept fort des blockchains : « Code is Law ». Le code, c’est la loi, qui est au cœur des smart contracts. Mais il ne faut pas oublier que tous les codes du monde sont bugués. Et qu’on a toujours besoin d’experts en sécurité et de solutions logicielles pour mieux coder et sécuriser les applications.
Les utilisateurs de la plateforme d’investissement « The DAO » ont par exemple été victimes d’un pirate qui a exploité un bug et fait disparaître 50 millions de dollars (mais pas pour tout le monde :-). Ce qui a obligé les utilisateurs à déployer complétement une nouvelle plateforme ! Le pire, c’est qu’il n’a rien hacké, il a juste bien compris un problème dans le fonctionnement du code de cette blockchain.
En conclusion !
Vos partenaires sécurité (comme IBM) peuvent vous aider à sécuriser vos projets. Définir une stratégie et une politique de sécurité, puis prendre des mesures proactives (pour prévenir les incidents) et enfin des mesures réactives (pour détecter les incidents et les traiter efficacement). Car la question n’est pas si vous serez attaqués, mais quand vous serez attaqués. Ces acteurs sécurité s’appuient sur une équation simple: experts + solutions logicielles (de plus en plus proposées en SaaS). Ils apportent le conseil en amont, l’audit, l’implémentation des projets, aussi bien que les services managés de sécurité adaptés à vos besoins.
Et ma serrure intelligente dans tout ça ? Je vais quand même me renseigner un peu sur les mesures de sécurité appliquées et la maturité du fournisseur avant d’en installer une chez moi. Mais en attendant, je vais probablement acheter une enceinte connectée. Ca a l’air super : elle écoute mes conversations pour comprendre et anticiper mes besoins ; je lui donne accès à mon réseau local et à mes objets connectés pour lui permettre de mieux les coordonner ; enfin, je la relie à Internet pour passer commande de tout ce qui me manque. C’est décidé, je fonce au magasin. Ou pas…
