Pas une semaine sans une nouvelle révélation autour des activités de la NSA et de son programme PRISM. Au-delà des cris d’orfraies et autres « vives protestations » les choses avancent-elles ? Sommes-nous comme des biches dans la nuit, aveuglées et immobiles dans la nuit devant un 4x4 fonçant tous feux allumés ? C’est un peu l’impression que cela donne.
Car au-delà des annonces dans la presse et des déclarations, cela manque d’actions concrètes.
« encore un petit dernier chocolat de la NSA ? »
Oui c’en est trop. En guise d’entrée nous avons eu le droit à une collecte massive d’informations directement depuis les Facebook, Google, Apple ou Yahoo. En plat de résistance nous avons eu les backdoors de la NSA et en guise de dessert des écoutes ciblant de grands dirigeants et des ambassades. Ce repas est tout juste pantagruélique et semble sans fin…
Si cela continue, nous allons finir comme dans le film des Monty Python et la scène culte du restaurant avec le serveur et son « un petit dernier chocolat ? »… Overdose. Stop. Il est temps de se lever de table et d’agir. Les entreprises et les Etats doivent montrer l’exemple. Ce sont eux qui peuvent mettre en place et entretenir la dynamique nécessaire à relever ce challenge.
L’attentisme n’est plus de rigueur, chacun doit prendre ses responsabilités. Je suis convaincu que les entreprises sont en première ligne et qu’elles doivent montrer l’exemple.
les entreprises doivent agir
Les entreprises doivent agir maintenant. Oui, dès demain. Car rester comme un rond de flan devant ces révélations successives ne va pas aider à améliorer la situation. Ce n’est pas l’Etat ni l’ANSSI qui pourront régler le problème. Ils ne le peuvent pas. Ils ne sont tout simplement pas taillés pour. De toute façon, face à NSA/PRISM c’est à chacun de prendre sa part de responsabilité, de se retrousser les manches et d’aller au charbon. Nous sommes tous concernés.
Les entreprises doivent donc prendre la mesure de l’importance de protéger leurs systèmes. Certains dirigeants se trouveront des excuses à l’inaction : « de toute façon la NSA elle arrivera à rentrer » ou « la NSA ne s’intéresse pas à nous ». Peut-être bien que oui. Et alors ? Est-ce pour cela qu’il ne faut rien faire ? Clairement non.
C’est le moment d’avancer et de saisir l’opportunité pour mieux faire et pour améliorer sa sécurité. Oui, il y a la NSA mais il y aussi d’autres menaces : se protéger, c’est protéger ses clients mais c’est aussi se différencier de la concurrence.
rendre les écoutes de la NSA plus complexes, plus coûteuses, moins aisées
La NSA est puissante. Ses moyens sont énormes et sa stratégie et son emprise sont sans commune mesure avec ce que nous aurions pu présumer jusqu’alors. Il n’en reste que tous les Etats espionnent depuis la nuit des temps : sur le fond, ce que fait la NSA n’est pas étonnant.
Si la NSA utilise des moyens modernes et actuels pour des écoutes de masse, nous devons faire de même que la NSA et nous protéger en masse. Cela passe notamment par un chiffrement plus systématique de nos communications et une sécurité accrue de nos systèmes.
Complexifier, freiner ou stopper les actions de la NSA passe par un renforcement de nos réseaux et systèmes, par l’activation de fonctions de chiffrement, par le durcissement des configurations, par plus de suivi et de supervision, par plus de formation des personnes et des actions de sensibilisation plus percutantes et plus fréquentes.
Fondamentalement rien de nouveau vous me direz et vous aurez raison.
se bouger et lancer un plan d’action
Complexifier le travail de la NSA (mais aussi celui d’autres officines et des cybercriminels) ne demande pas des compétences énormes et des moyens démesurés.
Tout est une question de méthode et de priorités. Les entreprises ont très souvent déjà ce qui est nécessaire en termes d’outils, systèmes et compétences mais il sont parfois mal utilisés ou incorrectement mis en œuvre.
Voici quelques grandes lignes qu’une entreprise pourrait adopter :
réaliser un état de la situation
- Faire un état des lieux de ses interconnexions réseau, identifier celles qui sont en clair et celles qui sont chiffrées.
activer des fonctions de chiffrement
- Pour les connexions réseau en clair sur lesquelles transitent des données sensibles, déployer des équipements ou activer les fonctions de chiffrement.
- De préférence (et si vous en avez les moyens) utiliser des systèmes de sécurité provenant d’acteurs Européens ou Français.
- Les technologies de chiffrement OpenSource sont à préférer dès que possible.
durcir et renforcer l’existant
- Pour les connexions chiffrées, faire passer en revue les configurations des systèmes par des experts en sécurité. Proscrire les algorithmes faibles et préférer ceux qui sont les plus forts.
- Faire changer tous les secrets partagés utilisés pour authentifier les systèmes entre eux, si possible les remplacer par des certificats ou des clefs publiques/privées.
- Assurez-vous que vos systèmes sont à jour en termes de correctifs. Il est essentiel que les équipements soient exempts de toute faille connue car la NSA ira au plus simple et rentrera ou c’est le plus tendre.
- Activer le « Perfect Forward Secrecy » sur vos serveurs web et autres équipements de chiffrement. Oui cela a un coût en termes de CPU mais au moins la NSA ne pourra pas déchiffrer a posteriori les communications chiffrées qu’elle aura pu enregistrer.
intégrer le facteur humain et organisationnel
- Distribuer le guide d’hygiène informatique de l’ANSSI à toutes les équipes projets.
- Définir et instaurer une culture de la confidentialité dans les projets.
- Former ses équipes aux techniques et principes de chiffrement.
les fournisseurs de services et solutions de sécurité impliqués
Même si quelques entreprises n’ont pas attendu pour mettre en place un plan d’action, je ne me fais guère d’illusions car rares seront les entreprises qui sauront quoi faire et comment le faire.
Les fournisseurs de solutions et de services de sécurité ont une part importante de responsabilité dans le sens où ils doivent fournir des systèmes et services sécurisés « par défaut ». Trop souvent ils ne remplissent pas leur devoir de conseil ou mettent sur le marché des solutions ou services insuffisamment sécurisés.
Les fournisseurs de services et solutions ne peuvent prétexter l’ignorance ou l’incompétence en sécurité car… c’est leur métier ! Il est donc de leur responsabilité de faire en sorte que la sécurité soit l’une de leurs priorités. Ici le rôle des Etats doit avoir un effet de régulation de sorte à assainir le marché et à encourager les meilleurs acteurs et pratiques.
pour un Grenelle du chiffrement
Vu la complexité du sujet, même si quelques entreprises se jettent dans la mêlée et prennent le taureau par les cornes, cela ne sera surement pas suffisant tellement le sujet est complexe.
Chaque Etat Européen devrait donner l’impulsion afin que le patrimoine informationnel des entreprises et que la vie privée des personnes soient protégés et respectés. Il en va de la compétitivité économique, il en va du respect de la vie privée des individus, il en va de la sécurité de la nation et du futur des générations à venir.
Je ne veux pas que dans 10 ans mes enfants me demandent « dis papa, pourquoi personne n’a rien fait pour protéger notre vie privée et notre économie alors que les révélations de Snowden étaient aussi claires ? »
Il nous faut un Grenelle du chiffrement.
un Grenelle du chiffrement en entreprise
Les entreprises ne doivent pas attendre pour agir. Elles doivent lancer en interne leur Grenelle du chiffrement. Oui, car l’avenir nous dira quels Etats auront une démarche volontaire dans ce sens. Il serait irresponsable, voire suicidaire, que les entreprises attendent une impulsion pour agir : elles doivent donc lancer leur Grenelle du chiffrement sous leadership de leur direction générale.
Ce Grenelle du Chiffrement devra mettre autour d’une même table des représentants de leurs clients, de leurs employés, des directions métiers, des responsables marketing ainsi que les fournisseurs et des sous-traitants. Qu’ils définissent ensemble une approche et mettent ensemble les solutions adaptées pour protéger leur patrimoine informationnel et leurs vies privées. Il est possible de rendre la vie plus complexe de la NSA, voire de s’en protéger. Il faut simplement le vouloir.
Votre entreprise a-t-elle lancée son Grenelle du chiffrement ? Pas encore ? Il serait temps !
Jean-François Audenard (aka Jeff)
Credit photo : Wikimedia (lien)
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens