Centres hospitaliers en France, aéroports en Allemagne et même les services postiers au Royaume-Uni : les cyberattaques n’ont pas de frontières et les actualités cyber de fin 2022 et début 2023 confirment que toutes les entreprises et organisations peuvent être la cible de cyberattaques. Mais être une cible ne doit pas être pour autant synonyme de victime ; et si l’année 2023 était celle de la consécration pour les produits de cybersécurité dits renforcés ? Explications.
Fin 2015, Benoît Thieulin (qui dirigeait alors le Conseil National du Numérique) appelait de ses vœux une synergie entre la cybersécurité militaire et civile, de manière à assurer au plus grand nombre de structures une sécurisation accrue de leurs systèmes d’information. « La cybersécurité doit se démilitariser ; en un mot, sortir de son cercle autorisé pour que son apprentissage puisse se diffuser dans le grand public », expliquait-il dans son discours lors de la matinée de présentation de la Stratégie Nationale pour la Sécurité Numérique. Plusieurs années plus tard, où en est cette frontière entre les univers militaires et civils ?
La cybersécurité doit se démilitariser ; en un mot, sortir de son cercle autorisé pour que son apprentissage puisse se diffuser dans le grand public.
Benoît Thieulin, ancien président du Conseil national du numérique
Pour contextualiser cette citation, rapide retour en fin d’année 2014 : la société américaine Sony Pictures Entertainment est alors victime d'une cyberattaque d’ampleur. Attribuée par le FBI au gouvernement nord-coréen, cette cyberattaque aurait été menée pour certains en représailles au film The Interview (dans lequel des agents de la CIA assassinent le leader nord-coréen). Quelques mois plus tard, le groupe de cyber-criminels « Cybercaliphate » commence à faire parler de lui, après le piratage des comptes Twitter du commandement de l'armée américaine au Moyen-Orient et en Asie centrale et de l’hebdomadaire américain Newsweek. En avril 2015, c’est au tour de TV5 Monde : l’infrastructure de diffusion est mise hors service pendant que les comptes de la chaîne sur les réseaux sociaux sont piratés et affichent des messages de soutien à l’État islamique. Autant d’épisodes à l’époque qui démontrent au plus grand public les capacités d’un État belligérant à frapper une entreprise civile, peu importe sa taille et les moyens mis en œuvre pour assurer sa sécurité informatique.
Un durcissement progressif des produits de cybersécurité
Près de 10 ans plus tard, ces attaques sophistiquées existent malheureusement toujours. Mais ces cyberattaques ont évolué et ciblent aujourd’hui les produits de cybersécurité eux-mêmes. L’enjeu pour les cyber-criminels ? Parvenir à ouvrir une faille de sécurité en désactivant l’agent de protection ou alors le compromettre et ainsi augmenter ses privilèges sur la machine infectée. « De nos jours, les attaques les plus sophistiquées visent en premier lieu les produits de cybersécurité plutôt que les infrastructures elles-mêmes, confirme Mark Johnson, ingénieur avant-vente Stormshield. La sécurité de ces produits doit de ce fait être surveillée et renforcée au cours du temps de manière à garantir une protection optimale face aux nouvelles attaques ». Et comme l’illustre le catalogue des vulnérabilités connues de l’agence américaine CISA, pas un seul éditeur n’est à l’abri de ces attaques. Dans ce contexte, la thématique du renforcement et durcissement des produits de sécurité (hardening) devient un enjeu de premier plan. Une approche qui consiste à « réduire la surface d’attaque d’un système, d’un logiciel ou d’un produit dans le but de le sécuriser davantage », explique Frantz Cournil, Product Leader Stormshield. Cette approche est issue à l’origine de l’univers militaire, pour protéger des actifs informatiques ultra sensibles.
Concrètement, le durcissement c’est quoi ? L’objectif central de cette approche est la réduction de la surface d’attaque au niveau de tous les composants concernés. Dans les faits, au niveau d’un système ou d’une infrastructure, il s’agit d’un ensemble de techniques : une configuration optimale des systèmes d’exploitation, un passage en revue régulier des comptes à privilèges et des règles des firewalls, une limitation des adresses IP autorisées ou encore des règles plus strictes associées à l’utilisation des mots de passe. Au niveau d’une solution de cybersécurité, le durcissement peut prendre la forme d’une architecture en micro-services par exemple ou encore appliquer le principe du moindre privilège pour les services. Il s’agit autant d’un gage de qualité que de sérieux pour un éditeur : « on veut tout simplement éviter que le produit de cybersécurité ne soit détourné à des fins malveillantes, définit ainsi Frantz Cournil, par exemple en étant utilisé comme cheval de Troie ou via l’insertion de portes dérobées. »
On voit de plus en plus dans les appels d’offres publics, émanant de l’État ou de structures publiques comme les hôpitaux, des exigences sur les aspects de sécurité et la nécessité d’utiliser des produits renforcés.
Frantz Cournil, Product Leader Stormshield
Et après le monde militaire, l’approche du hardening séduit la société civile. « On voit de plus en plus dans les appels d’offres publics, émanant de l’État ou de structures publiques comme les hôpitaux, des exigences sur les aspects de sécurité et la nécessité d’utiliser des produits renforcés », relève ainsi Frantz Cournil. Le durcissement des solutions de cybersécurité serait-il en passe de devenir une réelle tendance de fond ? Et ainsi s’inscrire dans une logique d’échanges de bons procédés entre cybersécurité militaire et civile ? Les paris sont ouverts.
Une passerelle cyber du monde militaire vers la société civile
Mais cette frontière a-t-elle vraiment lieu d’être ? Car même si les systèmes d’information militaires diffèrent de ceux du civil, ils restent semblables et partagent certaines technologies, matériels et logiciels. En raison du caractère ultra-sensible des infrastructures et des données qu’ils protègent, les produits de cybersécurité de niveau militaire doivent répondre à des exigences particulières, au travers par exemple de certaines configurations. Ne reste plus qu’à créer des passerelles au niveau des bonnes pratiques. Si le durcissement en est une, la confiance est en une autre – tout aussi importante.
Certains États européens ont ainsi développé des programmes de qualification des produits de cybersécurité au travers de leurs agences nationales de sécurité (comme l’ANSSI en France, le BSI en Allemagne, le CCN en Espagne ou encore le NCSC pour le Royaume-Uni). Et pour permettre une reconnaissance des qualifications entre les États, un accord de reconnaissance mutuel a d’ailleurs été signé au niveau européen. L’objectif est simple : identifier des solutions robustes et fiables pour la protection des services étatiques sensibles. Des services étatiques sensibles rassemblés sous le titre des opérateurs d'importance vitale en France (OIV), et des entités essentielles (EE) et les entités importantes (EI) à l'échelle européenne (ex-OSE, Opérateurs de Services Essentiels). En France, un produit qualifié est défini comme un produit robuste, « qui respecte les exigences et les bonnes pratiques de l’ANSSI et est certifié selon des critères stricts, à partir de l’analyse du code source pour la partie logicielle », garanti sans portes dérobées (backdoors). Une définition qui montre bien que ces solutions n’ont pas vocation à s’adresser qu’aux seules activités militaires. Et dans les faits, certaines entreprises civiles font déjà appel à ces produits de sécurité qualifiés, puisqu’elles peuvent être – elles aussi – opérateurs d'importance vitale et/ou entités essentielles ou importantes. La directive européenne NIS2 englobe d’ailleurs les sous-traitants et prestataires de services ayant un accès à une infrastructure critique dans son périmètre d’entités essentielles et importantes : autant de sociétés civiles qui devront s’intéresser à cette notion de qualification.
Il est donc important de démystifier l’utilisation de ces produits de sécurité qualifiés pour le reste des entreprises du monde civil. Autrement dit, la qualification des produits de cybersécurité n'est pas qu'une question de secteurs réglementés. Si une solution de sécurité robuste, fiable permet de protéger les services étatiques sensibles, ce sont autant d'arguments en faveur de la protection des données sensibles d'une entreprise. Données personnelles, données sensibles, données vitales ou encore données critiques, autant de données qui contribuent à l’activité de l’entreprise et qu’il faut protéger. « Chez Stormshield, nous avons mis l’accent sur le fait de proposer des produits robustes prêts à l’emploi grâce à des efforts au niveau de l’intégration et du déploiement, explique Mark Johnson. L’implémentation n’est pas plus compliquée qu’un produit de cybersécurité classique ».
Le besoin prégnant de renforcement de la cybersécurité des entreprises et l’introduction de nouvelles exigences sur les marchés conventionnels dessinent ainsi une réelle tendance forte. Les produits de sécurité qualifiés et renforcés sont adaptés tant pour l'armée que la société civile ; ne reste qu’à trouver votre partenaire de confiance.
