Plusieurs formules et affirmations circulent sur la cybersécurité. Certaines sont évidentes, comme « la défense en profondeur » qui suggère de déployer des moyens de protection à chaque niveau de la pile matérielle et logicielle, ou « KISS » (Keep It Simple, Stupid), qui met l’accent sur la simplicité pour éviter de trop s’éloigner du système de cybersécurité « standard ». D'autres sont moins réussies mais également vraies. Par exemple, dans la formule « pratique, bon marché, sécurisé – en choisir deux » (convenient, cheap, secure – pick two), l’option « sécurisé », n’offrant aucun avantage immédiat, apparaît comme la moins attrayante. Cependant, certaines formules et affirmations sont tout simplement fausses, totalement fausses, de vraies âneries.
Il est vrai que la sécurité informatique n’est jamais simple. Souvent, il n'y a pas une seule solution, une série de solutions complémentaires est alors nécessaire. Par exemple, nous utilisons l’application ActiveGuard de Xorlab pour parfaire le filtre anti-pourriels de Microsoft. Il est souvent impossible de trouver une solution globale. Par exemple, lorsque l’authentification à deux facteurs a été mise en place (2FA) pour le nouveau SSO du CERN, il a fallu laisser tomber l'ancien SSO. De même, nous évaluons des solutions individuelles pour déployer l’authentification à deux facteurs pour LXPLUS et les serveurs de terminaux Windows. D'une manière générale, la sécurité informatique nécessite une « défense en profondeur » : individuellement, les multiples couches protectrices, chacune avec un champ d'application défini, une couverture limitée et des failles, sont insuffisantes. Mais ensemble, elles fournissent à l’Organisation une protection globale adéquate, pragmatique, équilibrée et efficace. Ensemble, elles permettent de maîtriser les risques et les menaces qui pèsent sur l'Organisation en matière de cybersécurité.
Ainsi, tout en admettant qu'il n'y a pas de solution unique en termes de « cybersécurité », il existe toutefois nombre de mauvaises solutions, de fausses affirmations, de formules mensongères, bref, de balivernes. Pour mieux comprendre, je vous propose de jouer au « Business loto » (Buzzword ou Bull**** Bingo). Vous trouverez dans le tableau ci-dessous 25 affirmations entendues sur la sécurité informatique, les bonnes pratiques en matière de sécurité et la mise en œuvre de la cybersécurité, certaines d’entre elles émanant de collègues. Saurez-vous déceler les affirmations erronées ?
|
A |
B |
C |
D |
E |
1 |
Il n’existe aucun logiciel malveillant pour les appareils Apple |
Les applications proposées par Google Play Store sont inoffensives |
La sécurité est la responsabilité de chacun |
Un serveur SSH sur port 2222/TCP est plus sûr |
Le filtrage des pourriels et des logiciels malveillants est efficace à 100 % |
2 |
L’authentification à deux facteurs est un grand pas en avant pour la protection des comptes |
Les courriels provenant de « @cern.ch » sont légitimes |
Je ne peux pas être une cible car je n'intéresse pas les pirates informatiques |
Les sauvegardes ne peuvent pas être modifiées |
Je n’ai rien à cacher |
3 |
Je ne me ferais jamais hameçonner |
Seul le lien derrière un texte/code QR fait foi |
Le réseau technique du CERN est sécurisé |
C’est une bonne idée d’écrire son mot de passe sur un Post-it |
Les codes QR renvoient toujours à des sites légitimes |
4 |
Un service VPN (gratuit) me protège |
Le mot de passe de mon ordinateur portable protège aussi les données qu’il contient |
Le gestionnaire de mots de passe de mon navigateur est sécurisé |
Le CERN n’intéresse pas les pirates informatiques |
Les logiciels anti-programmes malveillants du CERN peuvent être téléchargés gratuitement |
5 |
La mention « https » signifie que le site est sécurisé |
Le pare-feu périmétrique externe du CERN protège contre toutes les menaces |
Les services en nuage ne peuvent pas être piratés |
Le cryptage est facile ; la gestion des clés est compliquée |
Le wifi est toujours sécurisé |
Les trois premières personnes qui enverront à Computer.Security@cern.ch les cinq affirmations correctes, gagneront un soda et une pizza hawaïenne au Restaurant 2 du CERN.
Et pour en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir d’autres informations, poser des questions ou obtenir de l’aide, rendez-vous sur notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.