Vous y croyez vraiment ?

Oui, cette question – en dehors de toute réflexion religieuse – est et reste d’actualité, surtout quand on parle de cybersécurité.

La question que je vous pose est donc la suivante : croyez-vous vraiment être capable de contenir toutes les attaques en provenance du cyber espace ? Y parviendrez-vous seul ? Y parviendrez-vous avec seulement un antivirus, une solution technologique ?

Moi, qui prétend m’y connaître, je réponds clairement : NON.

Il y a plusieurs raisons à ma réponse et je vais essayer de vous les faire comprendre.

Diversité des menaces

Les menaces et les moyens de les mettre en œuvre sont, non pas infinies, mais très nombreuses… et il faudrait se protéger contre chacun.

  • Anti-virus,
  • Authentification à double facteurs à la place de mots de passe pour certains comptes critiques,
  • Utilisation de solutions de chiffrement de vos activités sur internent (VPN),
  • Compréhension des attaques de phishing et application des mesures de détection avant qu’elles ne s’activent, etc.

Cela implique une conscience de la sécurité de l’information et une mise en œuvre de nombreuses mesures de sécurité. C’est la raison de mon explication des ‘contrôles’ de la norme ISO/CEI 27002 ainsi que de tout ce que je vous ai écrit jusqu’ici sur ce blog.

Étendue du contexte de la sécurité de l’information

Mais il y a autre chose…

Si vous vous souvenez de ce que je vous écris depuis le début, et particulièrement la présentation des contrôles issus des normes (ISO/CEI 27002), la réponse ne peut être exclusivement technologique. Il faut y ajouter

  • des mesures d’organisation et de gouvernance,
  • des mesures portant sur les personnes — pour s’en protéger ou pour les (in)former sur les comportements à adopter,
  • des mesures de protection physique des locaux et des supports d’information.

Les ‘agents menaçants’

Ils sont nombreux et variés. Ils n’agissent pas toujours seuls… et de plus en plus souvent se rassemblent en organisations criminelles — parfois dirigées par des États.

Ils se camouflent parfois en gentils.

Ils sont équipés d’outils spécifiques.

Ils sont motivés parce que cela leur rapporte quelque chose.

Attention !

Le fait que les dommages directs (et immédiats) ne sont pas visibles ou semblent trop faibles pour des poursuites est souvent trompeur. Les conséquences à long terme, et les actes touchant à la vie privée sont de ce groupe, sont bien plus graves…

Les dommages via les réseaux sociaux ou les sites trompeurs sont très pernicieux et vous ne vous en apercevrez que des mois, si pas des années plus tard.

Et vous ne disposerez, alors, plus des informations nécessaires pour porter plainte !

De plus, vous pouvez, sans le savoir, être infecté par un logiciel malveillant qui transforme votre ordinateur en générateur de « pourriels » ou de contenu dangereux se répandant sur tous vos contacts… et c’est vous qui aurez des problèmes !

S’unir pour se défendre

Vous n’êtes pas seul !

Vous avez des relations, des contacts :

Ne pourraient-ils pas vous avertir quand ils ont constaté quelque chose d’anormal, afin que vous fassiez plus attention ?

Vous avez des fournisseurs de service :

Ne pourraient-ils pas vous avertir quand ils soupçonnent

  • que le trafic qui vous est destiné est potentiellement dangereux ?
  • que vous devriez mettre à jour l’un ou l’autre de vos outils de protection ?
  • que le trafic que vous générez est anormal ?

Les autorités locales, régionales ou nationales ne peuvent-elles pas informer le grand public, via les médias, que quelque chose se passe et de prendre des mesures ?

Seuls, face à des groupes criminels, surtout des États, il est impossible de se défendre… déjà que les administrations elles-mêmes n’y parviennent pas.

Ne pourrait-on pas profiter, sur le cyberespace, d’agents discrets d’observation et de réaction ? D’autant que, sur Internet, il n’y a ni douane (volante ou fixe), ni police, ni ambulances, ni pompiers. Du détective privé au sorteur de boite de nuit, il y a tout un secteur d’activités — bien connus sur le plan concret et physique — qui gagnerait à trouver un créneau dans le réseau des réseaux. Encore faut-il que les lois le permettent et le facilitent.

Malheureusement, trop souvent également, la formation en cybersécurité se cantonne aux aspects informatiques et laisse tous les autres domaines dans un flou qui n’a rien d’artistique.

Seriez-vous capables d’arrêter la balle si vous étiez le gardien de but sur l’image?

Rassuré… ou pas ? Dites-le moi et je verrai ce que je peux ajouter.

A bientôt, plus en sécurité avec vos informations.

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.