Deux des dirigeants de la CISA (l'ANSSI états-unienne), ainsi que le directeur juridique d'Alphabet et le vice-président pour la confidentialité, la sûreté et la sécurité de Google, en appellent à une sécurité « par défaut » et « by design ». Objectif : empêcher autant que faire se peut les pirates de pouvoir exploiter les failles de sécurité.
« Les entreprises doivent-elles être tenues pour responsables des cyberattaques ? Le gouvernement américain pense que oui – et franchement, nous aussi », viennent d'écrire sur le Security Blog de Google Kent Walker, président des affaires mondiales et directeur juridique de Google et Alphabet, et Royal Hansen, vice-président de l'ingénierie pour la confidentialité, la sûreté et la sécurité.
Leur billet, intitulé « Le gouvernement américain estime que les entreprises devraient assumer davantage de responsabilités en matière de cyberattaques. Nous sommes d'accord. », fait écho à une longue tribune co-signée Jen Easterly (@CISAJen) et Eric Goldstein.
La première a longtemps œuvré à la NSA (y compris dans son unité d'élite Tailored Access Operations, ou TAO, pour Opérations d'accès sur mesure en français) avant d'être désignée directrice de la Cybersecurity and Infrastructure Security Agency (CISA) en 2021, le second est son directeur adjoint exécutif, chargé de protéger et de renforcer l'infrastructure critique du pays contre les cybermenaces.
Intitulée « Arrêtez de vous renvoyer la balle en matière de cybersécurité », sous-titrée « Pourquoi les entreprises doivent intégrer la sécurité dans les produits technologiques » et publiée le 1er février dans Foreign Affairs (la publication états-unienne de référence pour ce qui est des relations internationales, ndlr), leur tribune a le mérite de mettre les pieds dans le plat, estiment les responsables de Google :
« Les incitations au développement et à la vente de technologies ont éclipsé en importance la sécurité des clients. [...] Les Américains en sont venus, sans le vouloir, à accepter qu'il est normal que les nouveaux logiciels et dispositifs soient indéfendables "by design".
Ils acceptent que des produits soient mis sur le marché avec des dizaines, des centaines, voire des milliers de défauts. Ils acceptent que le fardeau de la cybersécurité pèse de manière disproportionnée sur les consommateurs et les petites organisations, qui sont souvent les moins conscients de la menace et les moins capables de se protéger. »
Faire de la sécurité « par défaut » et « by design »
« Nous pensons qu'ils ont raison », plussoient le directeur juridique et le vice-président à l'ingénierie de la confidentialité, la sûreté et la sécurité de Google : « il est temps pour les entreprises d'agir de leur propre chef et de collaborer avec les gouvernements pour contribuer à réparer un écosystème défectueux ».
Ils rappellent que les rançongiciels « se nourrissent de vulnérabilités préexistantes : logiciels non sécurisés, architectures indéfendables et investissements insuffisants en matière de sécurité », et trouvent « alarmant de constater que la source la plus importante de compromission est l'exploitation de vulnérabilités connues, des failles parfois non corrigées depuis des années » :
« N'oubliez pas que les opérateurs de ransomwares sophistiqués ont aussi des patrons et des budgets. Ils augmentent leur plus-value en exploitant des systèmes technologiques obsolètes et peu sûrs, trop difficiles à défendre. »
Or, « si les forces de l'ordre s'efforcent de traduire en justice les exploitants de ransomwares, elles ne font que traiter les symptômes du problème ».
Pour traiter les causes profondes, Easterly et Goldstein estiment qu'il faut s'attaquer aux sources sous-jacentes des vulnérabilités numériques, et donc mettre en avant les notions de sécurité « par défaut » et « by design » (ou « dès la conception », en français), comme le recommande également le National Cyber Security Centre (NCSC, l'ANSSI britannique) depuis 2018.
Leurs tribunes ne mentionnent pas le RGPD, pas plus que deux de ses principaux piliers, le « privacy by design » et le « privacy by default », mais on sent l'inspiration :
« Les gens méritent des produits sécurisés par défaut et des systèmes construits pour résister à l'assaut croissant des attaquants. La sécurité doit être fondamentale : intégrée, activée dès le départ, et non ajoutée après coup. En d'autres termes, nous avons besoin de produits sécurisés, et non de produits de sécurité. »
Faire en sorte que le chemin le plus sûr soit le plus facile
Les deux Googlers déplorent aussi que d'aucuns croient, « malheureusement, que les fonctions de sécurité sont encombrantes et nuisent à l'expérience des utilisateurs », alors que « ce n'est pas une fatalité ».
Ils sont persuadés, a contrario, que « nous pouvons faire en sorte que le chemin le plus sûr soit le plus facile et le plus utile pour les utilisateurs de nos produits », et prennent pour exemple leur approche de l'authentification multifactorielle, « l'un des contrôles les plus importants pour se défendre contre les attaques de phishing » :
« Depuis 2021, nous avons activé l'authentification à deux facteurs (2FA) par défaut pour des centaines de millions de personnes afin d'ajouter une couche supplémentaire de sécurité sur leurs comptes en ligne. Si nous avions simplement annoncé 2FA comme une option disponible à laquelle les gens pouvaient adhérer, elle aurait échoué comme tant d'autres fonctionnalités de sécurité. »
Leur approche, reposant sur des notifications dans l'application, « était si transparente et intégrée que beaucoup des millions de personnes que nous avons inscrites automatiquement n'ont jamais remarqué qu'elles avaient adopté 2FA ».
Concernant la sécurité « by design », les responsables de Google estiment que « nous devons tous passer de la réponse réactive aux incidents au développement de logiciels en amont ». Ils sont conscients que « cela exigera une approche totalement nouvelle de la manière dont les entreprises conçoivent leurs produits et services ».
Ils n'en estiment pas moins que « les développeurs doivent réfléchir en profondeur aux menaces auxquelles leurs produits seront confrontés, et les concevoir dès le départ pour résister à ces attaques ».
La force dépend du maillon le plus faible
Au-delà de ces notions de sécurité « par défaut » et « by design », ils en appellent à « une collaboration constante entre les partenaires des secteurs privé et public », qualifiée d' « essentielle » :
« Aucune entreprise ne peut relever le défi de la cybersécurité à elle seule. Il s'agit d'un problème d'action collective qui exige une solution collective, notamment une coordination et une collaboration internationales. »
S'ils se félicitent des nombreuses initiatives publiques et privées de partage des menaces, réponse aux incidents et coopération entre les services répressifs, ils déplorent qu' « elles ne s'attaquent qu'aux symptômes, pas aux causes profondes », et estiment que « nous pouvons faire mieux que de demander des comptes aux attaquants après coup » :
« Construire ce modèle et s'assurer qu'il peut évoluer nécessite une coopération étroite entre les entreprises technologiques, les organismes de normalisation et les agences gouvernementales. »
Ils en appellent à « une vision globale », et donc à une « coordination internationale », au motif que « les technologies et les entreprises ne connaissent pas de frontières ».
Cette « large coopération réglementaire en matière de cybersécurité permettra de promouvoir des principes de sécurité par défaut pour tous », si et seulement si elle ne se limite pas aux seules nations « technologiquement avancées ». Relever le niveau global, à l'international, serait en effet « bien plus rentable » :
« Étant donné la nature interdépendante de l'écosystème, notre force dépend de notre maillon le plus faible. Cela signifie que le renforcement des normes cybernétiques au niveau mondial améliorera également la résilience des États-Unis. »
Ils sont conscients que « les logiciels auront probablement toujours des défauts », et que ces mesures n'empêcheront pas les pirates de pirater, « mais nous pouvons commencer par sécuriser les bases, corriger les risques de sécurité les plus flagrants et trouver de nouvelles approches qui éliminent des catégories entières de menaces ».
« La sécurité est un processus, pas un produit »
Un constat qui fait écho à celui formulé par Bruce Schneier, cryptographe de renom et réputé vulgarisateur des questions de cybersécurité, qui a beaucoup écrit sur la responsabilité des éditeurs de logiciels et qui, dès l'an 2000, expliquait que « la sécurité est un processus, pas un produit » :
« Les produits offrent une certaine protection, mais la seule façon de faire des affaires efficacement dans un monde non sécurisé est de mettre en place des processus qui reconnaissent l'insécurité inhérente aux produits. L'astuce consiste à réduire votre risque d'exposition, quels que soient les produits ou les correctifs. »
Il déplorait alors, et lui aussi, que « les systèmes se brisent, les vulnérabilités sont rapportées dans la presse, et pourtant de nombreuses personnes font confiance au prochain produit, à la prochaine mise à jour ou au prochain correctif ».
À l'époque, Schneier déplorait le fait qu' « il y a beaucoup moins de gens qui y prêtent attention qu'il ne le faudrait », et que « personne ne fait attention parce que personne n'est obligé de le faire ». Et ce, alors que « l'énorme besoin de produits de sécurité numérique nécessite un énorme besoin de personnes pour les concevoir, les développer et les mettre en œuvre » :
« La plupart des produits qui font appel à la sécurité ne sont pas conçus par des personnes compétentes en la matière. Même les produits spécifiques à la sécurité sont généralement conçus et mis en œuvre par des personnes qui n'ont qu'une expertise limitée en matière de sécurité. »
Et ce, d'autant que « les fabricants de logiciels n'ont pas à produire un produit de qualité, car ils ne peuvent être poursuivis s'ils ne le font pas », et qu'ils ne sont pas non plus « forcés de fabriquer des produits réellement sécurisés, car personne ne peut les poursuivre s'ils font un tas de fausses déclarations de sécurité ».
Planter un énorme pieu en espérant que l'ennemi fonce dessus
La lecture, 23 ans après, des conseils et exemples de processus qu'ils prodiguaient afin d'améliorer la sécurité des réseaux laisse songeur, comme si rien ou presque n'avait évolué depuis, quand on voit les failles de sécurité, tactiques, techniques et procédures les plus exploitées dans les cyberattaques :
- « Surveillez les vulnérabilités connues. La plupart des attaques réussies en matière de sécurité réseau ciblent des vulnérabilités connues pour lesquelles il existe déjà des correctifs. Pourquoi ? Parce que les administrateurs réseau n'ont pas installé les correctifs ou parce que les utilisateurs ont réinstallé les systèmes vulnérables.
- Surveillez en permanence les produits de votre réseau. Presque tout ce qui se trouve sur votre réseau produit un flux continu d'informations de vérification : pare-feu, systèmes de détection d'intrusion, routeurs, serveurs, imprimantes, etc. La plupart de ces informations ne sont pas pertinentes, mais certaines d'entre elles contiennent des empreintes d'attaques réussies. »
Il appelait en outre à limiter les privilèges, sécuriser le maillon le plus faible (au motif que « trop souvent, les mesures de sécurité informatique reviennent à planter un énorme pieu dans le sol en espérant que l'ennemi lui fonce dessus », plutôt que de « construire une large palissade »), assurer une défense en profondeur, adopter la simplicité et impliquer les utilisateurs :
« Gardez les choses aussi simples que possible. La sécurité est une chaîne ; le maillon le plus faible la brise. La simplicité signifie moins de maillons.
Faites participer les utilisateurs. La sécurité ne peut pas fonctionner si les utilisateurs ne sont pas de votre côté. Les attaques d'ingénierie sociale sont souvent les plus dommageables de toutes les attaques, et on ne peut s'en défendre qu'en éduquant les utilisateurs. »