/fdata%2F4266034%2Favatar-blog-1212474526-tmpphpFMIwYn.jpeg){kind=avatar}
Dans le domaine de la cyber-sécurité, la première idée qui vient à l’esprit pour prouver que l'on est sécurisé est de se faire certifier ISO27001. La norme garantit un bon fonctionnement d'un système de management et en même temps la mise en place des bonnes pratiques.
Comment expliquer, alors, que certaines entités certifiées se soient faites pirater ?! Pour plusieurs raisons que l’on peut ranger en deux catégories : D’une part, le fait de réunir et de diffuser la documentation concernant la sécurité, ne garantit pas que les directives et les procédures soient appliquées correctement. Deuxio, rien ne prouve que les directives et les procédures soient « décidées » correctement.
Voici un exemple : Prenons l’usage de l’accès distant au système d’informations par des collaborateurs en mobilité. La directive va être : « Tout accès distant au système d’informations sera sécurisé ». La procédure sera : « Tous les accès distants seront chiffrés par VPN ». C’est ce que l’on trouve dans la plupart des cas qui veulent traiter de l’accès distant.
L’audit de certification qui s’ensuit vérifie effectivement que le problème est traité, que la procédure est appliquée correctement, preuves à l’appui. Cependant l’entité est piratée grâce à un accès distant, car l’authentification au VPN est faite par "login-password" et celui-ci a été récupéré par les pirates, qui se sont introduits, alors, dans le système, comme s’ils étaient à l’intérieur du réseau...
Les deux points faibles de la norme sont donc, d’une part, que si l’analyse des risques conduit à une mauvaise décision (par exemple « on ne fait rien pour les accès distants ») ou bien que la pratique de sécurisation n'est pas efficace, on ne le saura que lors d’un piratage et non pas lors d’un audit, fut-ce de certification.
Il y a une autre raison majeure qui explique la distorsion entre la norme ISO27001 et la réalité de la sécurisation. Il existe près de 114 mesures de sécurité dans l’annexe A de la norme, qu’on retrouve de manière plus détaillée dans ISO27002.
Ces 114 mesures constituent la vision quasi exhaustive de ce qu’il faut mettre en place en termes de sécurité, sans aller jusqu’au détail des solutions et des procédures d’exploitation qui restent du domaine de l’informatique.
Le reflexe logique serait de dire : « Il suffit de suivre et d'appliquer les 114 mesures de sécurité pour être sécurisés ». En fait, non, car c’est le même type de problème que nous rencontrons avec... les "Dix Commandements"…
Dans les "Dix Commandements", que tout le monde connait, il en existe un qui dit « tu ne tueras point » et un autre qui dit « tu ne commettras pas de faux témoignage » et un troisième qui dit « tu ne commettras point d’adultère ». Vous voyez clairement que la quasi-totalité des gens n’ont jamais tué personne, alors qu’ils ont « quelquefois », trompé leur femme (ou mari)… La pénalité de l’enfreinte de la Loi qui couvre l’assassinat est bien plus forte que l’adultère ! Tuer est beaucoup plus grave. Quant au "faux témoignage" tout dépend si l’on parle sous serment ou bien s’il s’agit des mensonges de la vie courante (6 en moyenne par jour et par personne) et tout dépend si l'on est un homme ou une femme...
http://www.gentside.com/mensonge/les-hommes-mentent-deux-fois-plus-que-les-femmes_art7933.html
Pour couronner le tout, si je puis dire, en cas de guerre, les soldats tuent de manière « légale ». Il y a donc à la fois un problème d’interprétation et de traduction du "Commandement". Enfin, on voit bien dans ces commandements que certains sont plus « importants» que d’autres.
Cette comparaison entre les Dix Commandements et les Directives de sécurité éclaire le fait que toutes les Directives ne sont pas égales entre elles. Certaines mesures de sécurité sont incontournables, alors que d’autres sont accessoires. Or, l’audit de certification vérifie uniquement que celles qui sont sélectionnées par la déclaration d'applicabilité, issue de l'analyse de risques notamment, sont appliquées correctement. Rien ne prouve que parmi celles qui ne sont pas appliquées correctement, ou parmi celles qui n’ont pas été choisies, qu'il n’y a pas des possibilités graves de piratage.
Pour être sécurisé correctement il faut donc examiner avec un expert en cyber-sécurité ce qui est important, voire incontournable, dans ces 114 mesures et aussi proposer une solution technique et organisationnelle performante, sinon, on risque fort de n’avoir qu’un bout de papier pour se protéger des attaquants…