Pourquoi 69 % des RSSI français auraient-ils interdit l’utilisation de WhatsApp ?

« 69% des RSSI [Responsable de la Sécurité des Systèmes d'Information] français ont interdit l’utilisation de WhatsApp dans l’entreprise », déclare Gigamon dans une étude sur la sécurité du « cloud hybride ». À défaut de comprendre pourquoi ils auraient interdit la messagerie, nous avons par contre découvert pourquoi Gigamon s'en vanterait.

« Si seulement 24 % des entreprises dans le monde ont interdit ou envisagent d’interdire ChatGPT, 100 % d’entre elles sont préoccupées par TikTok et le Metaverse, tandis que 99 % s’inquiètent de WhatsApp », indique une étude consacrée à la « sécurité du cloud hybride » publiée par l'entreprise de sécurité pour le Cloud Gigamon :

« 60 % des entreprises dans le monde ont d’ailleurs d’ores et déjà interdit l’utilisation de WhatsApp pour des raisons de cybersécurité – un chiffre qui atteint 67 % en Allemagne et 69 % en France. »

L'étude ne précise pas en quoi l'interdiction de WhatsApp améliorerait la cybersécurité, ni comment les entreprises pourraient interdire à leurs employés d'utiliser WhatsApp ou des messageries encore plus sécurisées comme Signal depuis leurs terminaux personnels, non plus que ce pourquoi les Français et Allemands auraient (un peu) plus peur de WhatsApp que les autres.

Tout juste, apprend-on, dans le communiqué de presse associé, que 30 % des RSSI et DSI français interrogés « sont toujours en train d’évaluer les risques et envisagent de prendre une décision prochainement », mais sans que Gigamon n'explicite les risques dont il serait question, pas plus que de leur évaluation.

Crédits : Twitter

L'étude n'en est pas moins sous-titrée « Perception vs. Réalité », sans que Gigamon ne s'explique sur ce qui relèverait de la perception, non plus que de la réalité, des problèmes de cybersécurité que poserait WhatsApp. Intrigués, nous avons donc entrepris de remonter à la source, afin de pouvoir contextualiser les résultats présentés.

L'étude en question ne porte pas sur un échantillon « mondial », mais sur les réponses apportées par 1 020 directeurs des systèmes d’information (DSI), vice-présidents et responsables de la sécurité des systèmes d’information (RSSI), ingénieurs et architectes cloud, directeurs techniques et analystes de la sécurité du cloud, dont 200 aux États-Unis et en France, 160 à Singapour et en Australie, et 150 en Allemagne et au Royaume-Uni. 

À défaut d'être pleinement représentatif, on notera également que 42 % travaillent dans des entreprises comptant entre 501 et 1 000 employés, et 58 % dans des entreprises de plus de 1000 employés. Qu'il s'agit donc de répondants censés disposer de moyens, tant humains, financiers, que techniques et organisationnels, en matière de cybersécurité.

Gigamon précise que l'étude a été effectuée fin avril 2023 par Vitreous World, un cabinet de conseils et d'études de marché britannique sous-titré « The Home of Trusted Data » (« La maison des données fiables »), mais dont le site web n'a étrangement plus été mis à jour depuis 2018.

Sur LinkedIn, Vitreous World précise « respecter les plus hauts niveaux d'intégrité dans tout ce que nous faisons », et que sa « mission est de créer un environnement où tous les éléments de notre prestation de recherche sont complètement transparents et responsables » :

« En utilisant toutes les mesures de contrôle de qualité disponibles et les meilleures pratiques de l'industrie, nous permettons à nos citoyens Vitreous World de se concentrer sur leurs objectifs fondamentaux tout en sachant que les données fournies résisteront à un examen minutieux. »

Un camembert totalisant 206 % de réponses

Interrogés sur les facteurs clefs qui les empêchent de bien dormir la nuit, 55 % des répondants mentionnent l’exploitation d’angles morts dont ils ne soupçonnent pas l’existence (en rouge sur l'infographie), 31 % la sophistication et la complexité croissantes des attaques (vert), 30 % le manque d’outils et de visibilité pour sécuriser l’organisation (jaune), 25 % des investissements insuffisants en matière de cybersécurité (violet), 24 % « une nouvelle législation sur la cybersécurité, plus ciblée et plus conséquente, à laquelle il faut se conformer » (gris), 22 % la pression du conseil d’administration (saumon), et 19 % le manque de personnel expérimenté en matière de cybersécurité (pénurie de compétences, en bleu). Aucune trace de WhatsApp parmi ces questions.

Signe que la méthodologie n'est pas forcément des plus rigoureuses, Gigamon fournit un diagramme circulaire (« pie chart », ou camembert en français) pour illustrer les réponses à ce QCM qui, étant à choix multiples, totalise donc 206 % de réponses. 

Gigamon précise par ailleurs que les personnes interrogées en France ne seraient que 36 % à être préoccupées par l’exploitation d’angles morts non découverts, contre 56 % (dans le texte, 55 % sur le camembert) de l'ensemble des personnes interrogées.

Un delta d'autant plus troublant que Gigamon explique dans la foulée que les répondants français déclareraient dans le même temps être les plus apeurés par WhatsApp, mais sans que Gigamon n'explique le lien entre l'application de messagerie et les réponses proposées dans le QCM, et alors même que cette notion d' « angles morts » est la seule qui pourrait être reliable à WhatsApp.

101 % des Singapouriens ont été victimes de cyberattaques

Dans d'autres graphiques, Gigamon explique en outre que 90 % des responsables IT et sécurité ont subi une violation de données au cours des 18 derniers mois (et ce, alors que les questions ne portaient, elles, que sur les seuls 12 derniers mois), que 59 % ont été victimes d’une cyberattaque réussie au cours des 7 à 9 derniers mois, et que 93 % prévoient une augmentation des attaques contre la sécurité du cloud au cours des 12 prochains mois.

Les réponses diffèrent cela dit énormément en fonction du pays des répondants, et si aucun répondant australien ou singapourien n'estime avoir subi de violation de données l'année écoulée, ils ne sont que 2 % en France, 9 % aux États-Unis, 10 % en Allemagne et 16 % au Royaume-Uni.

Un chiffre d'autant plus étonnant que 40% des Britanniques interrogés s’inquièteraient de ne pas disposer des outils ou de la visibilité nécessaires pour sécuriser correctement leur organisation, contre 30 % de l'ensemble des personnes interrogées. Ceux qui déclarent être le moins attaqués seraient donc, dans le même temps, ceux disposant du moins de visibilité à ce sujet, sans que Gigamon n'explique, une fois de plus, ce paradoxe.

Des taux de réponse de 80 à 101 % dans les deux premiers questionnaires, le troisième étant, lui, à choix multiples.

Gigamon précise que 69 % des fuites de données évoquées auraient été identifiées à l’aide d’outils de sécurité et d’observabilité, 18 % parce que les utilisateurs avaient constaté un ralentissement des performances des applications, probablement dû à une attaque par déni de service (DoS) ou à une exfiltration de données en transit ou, plus marginalement, parce qu'ils n'avaient pas pu accéder au système d'information (9 %) ou que des données propriétaires avaient été divulguées sur le dark web (4 %).

Si, là encore, les données montrent de grandes disparités régionales, Gigamon s'étonne que « près d’une violation sur trois » n’ait pas été détectée par les professionnels de l’IT et de la sécurité et leurs outils. Mais n'explique nullement pourquoi, les taux de réponse à la question « avez-vous été victime d'une attaque au cours de l'année écoulée » vont de 80 (alors qu'il n'y a pas de réponse « ne se prononce pas - NSP ») à 101 % (à Singapour), pas plus que pourquoi les taux de réponse de Singapour, de l'Australie et de la France à la question « comment avez-vous détecté ces violations ? » atteignent, là encore, les 101 %.

Ces chiffres de non-détection seraient « encore plus inquiétants » aux États-Unis et en Australie, qui grimpent respectivement à 48% et 52%, alors que dans la région EMEA, près d’une personne sur cinq (18%) n’était pas en mesure d’identifier la cause première de la violation subie par son organisation.

93% des logiciels malveillants se cachent derrière un chiffrement

50 % des décideurs interrogés déclarent « ne pas savoir avec certitude où sont stockées leurs données les plus sensibles et comment elles sont sécurisées », et un RSSI / DSI sur trois « n’a qu’une confiance limitée en la matière ».

Interrogés de manière plus précise sur le niveau de visibilité dont ils disposent sur leur infrastructure de cloud hybride, un peu moins de la moitié (48 %) déclarent disposer d’une bonne visibilité sur les données se déplaçant latéralement, 35 % sur le réseau, 30 % sur les données chiffrées.

Pour Gigamon, « le trafic est-ouest (données circulant latéralement au sein d’une organisation) n’est généralement pas perçu comme une menace aussi importante que le trafic nord-sud (de l’extérieur vers l’intérieur), et les outils de sécurité et de surveillance peuvent donc l’ignorer complètement » : 

« Il en va de même pour le trafic chiffré ; il est possible que les organisations négligent de reconnaître le danger majeur que ces données peuvent représenter, malgré les études qui ont montré que 93% des logiciels malveillants se cachent derrière un chiffrement. »

Des manques de visibilité majeurs, notamment sur le trafic chiffré

En introduction de son étude, Gigamon explique qu'elle révèlerait « un écart entre la perception et la réalité dans la sécurisation » de leurs infrastructures de cloud hybride, à mesure que « des manques de visibilité majeurs sont apparus, notamment au niveau du trafic chiffré, des données se déplaçant latéralement ou encore des angles morts “inconnus” » : 

« En réalité, la quasi-totalité des personnes interrogées dans le cadre de ce rapport “Sécurité du cloud hybride : perception vs. réalité” ont subi une violation de données et, plus inquiétant encore, de nombreuses violations n’ont pas été détectées par les professionnels de l’IT et sécurité. »

De plus, « près d’une faille de sécurité sur trois n’est pas détectée par les professionnels de l’IT et de la sécurité », et « un tiers des RSSI ne savent pas avec certitude comment leurs données les plus sensibles sont sécurisées », résume Gigamon : 

« Derrière tout cela se cache une réalité : il n’a jamais été aussi important d’obtenir une visibilité en temps réel sur toutes les données en mouvement, c’est-à-dire une observabilité avancée. »

Cette notion d' « observabilité avancée » est la « baseline » de Gigamon, qu'elle définit comme le fait d' « ajouter de l'intelligence en temps réel au niveau du réseau pour renforcer la performance des outils de surveillance et d'observabilité basés sur les métriques, les événements, les logs et les traces afin de réduire les risques de sécurité, d'offrir une meilleure expérience utilisateur et de simplifier les opérations ».

Plus de 7 000 attributs de protocole couvrant 3 500 applications

En l'espèce, un fichier .pdf de présentation de l'un des outils de Gigamon, GigaVUE-FM, explique que l'analyse des paquets en profondeur (Deep packet inspection, ou DPI), permet d'identifier « plus de 7 000 attributs de protocole, d'application et de comportements de l'utilisateur couvrant 3 500 applications » (dont BitTorrent, Facebook, Gmail, Hotmail, LinkedIn, Twitter, WhatsApp, Yahoo, YouTube, Zimbra), « notamment » :

• Identification : utilisateur de médias sociaux, noms de fichiers et de vidéos, et requêtes SQL
• HTTP : identification de l'URL, niveaux des codes de réponse de commande
• Paramètres DNS : éléments multiples, y compris demandes/réponses, requêtes et identifiants d'appareils
• Communications par courrier électronique IMAP et SMTP avec adresses de l'expéditeur et du destinataire
• Identification des services : audio, vidéo, chat et transferts de fichiers pour la VoIP et la messagerie
• Sensibilisation du client/réseau : sessions VoIP (SIP, RTP) et sessions d'utilisateurs mobiles/de plans de données

GigaVUE-FM permettrait ainsi de visualiser et bloquer « des actions telles que les utilisateurs de médias sociaux et les noms de fichiers/vidéos demandés ». Son tableau de bord QRadar montrerait pour sa part des « activités malveillantes potentielles : connexions à distance suspectes, connexions à partir de systèmes non autorisés, nombre anormalement élevé de connexions d'utilisateurs par hôte et utilisation d'algorithmes de chiffrement faibles » (« use of weak ciphers », en VO).

Or, c'est précisément cette technologie de DPI, développée dans un laboratoire du CNRS (voir l'enquête que l'auteur de cet article y avait consacrée, « Au pays de Candy »), qui avait été exploitée par la société française Amesys pour commercialiser ses systèmes de surveillance de masse de l'Internet, à l'échelle d'une nation, notamment en Libye.

• Pour le gouvernement, le commerce du DPI vers la Libye est libre
• Surveillance de masse : quatre Français mis en examen pour « complicité de tortures »
• Au Pays de Candy - Enquête Sur Les Marchands D'armes de Surveillance Numérique

À défaut de comprendre les incohérences statistiques de l'enquête, non plus que ce pourquoi 60 % des personnes interrogées, et 69 % du panel français, aurait décidé d'interdire WhatsApp, on comprend mieux pourquoi les communicants de Gigamon ont pu décider de mettre ce chiffre en avant.

Cela ne saurait préjuger de la qualité des produits et prestations de Gigamon, qui se targue d'équiper 83 des entreprises du classement Fortune 100 (les 100 principales entreprises des États-Unis), 9 des 10 principaux opérateurs de réseaux mobiles, 8 des 10 principaux prestataires de soins de santé et 7 des 10 principales banques mondiales.

Mais cela n'explique toujours pas, par contre, en quoi cette « observabilité avancée » du cloud hybride empêcherait les employés d'utiliser leurs terminaux personnels tout en passant par les réseaux mobiles plutôt que le Wi-Fi ou le VPN d'entreprise pour communiquer via des messageries chiffrées en général, et WhatsApp en particulier.

• L'étude « Perception vs Réalité » de Gigamon
• Le .pdf de Gigamon sur le DPI et les méta-données