Toute technologie peut être utilisée en mal ou en bien. Et dans un monde qui tend vers le « tout connecté », les technologies de l’information n’échappent pas à ce principe.

Voici l’avertissement lancé par François Coallier, professeur et directeur du développement technologique et des services académiques à l’École de technologie supérieure (ÉTS) de Montréal. Il incite par ailleurs l’industrie à adopter la bonne approche.

À l’heure de l’ubiquité informatique, c’est tout notre environnement qui est désormais régi par l’informatique. Et la plupart du temps, de façon tout à fait invisible. Ce sont ainsi nos automobiles, téléviseurs, balances, systèmes de chauffage, et même nos réfrigérateurs qui peuvent se connecter à Internet.

Et cette connectivité grandissante n’est pas près de faiblir. En 2009, on parlait déjà d’Internet des objets (Internet of things), les objets « intelligents » étant interconnectés les uns aux autres. Aujourd’hui, en 2015, on parle de l’Internet de tout (Internet of everything). Car tout ou presque serait en mesure d’être connecté.

« L’Internet des objets peut générer des quantités énormes de données qui peuvent être traitées. C’est le big data. En 2020, on parle de 50 milliards d’objets qui seront connectés, contre 15 milliards aujourd’hui », souligne M. Coallier.

Une relation de cause à effet s’impose alors. Si Internet est en passe de s’immiscer dans tous les pans de notre environnement, les risques de faille n’ont jamais été aussi importants. Y compris dans notre vie de tous les jours.

D’ailleurs, les exemples ne manquent pas. Un jeune couple a eu la mauvaise surprise de découvrir qu’un hacker avait pris le contrôle de la caméra de surveillance de leur bébé pendant plusieurs nuits. Des cadres de l’administration américaine ont préféré désactiver certaines fonctions de leur stimulateur cardiaque afin d’éviter une exposition à des tentatives d’assassinat. On peut aussi soulever le cas d’une aciérie allemande qui a subi des dégâts considérables à la suite d’une cyberattaque. Même le système interne de Google, qui avait souhaité réaliser un test de pénétration, a été déjoué par des pirates informatiques.

Autant dire qu’aucun système à la surface du globe ne peut se targuer d’être sûr à 100 %. Et l’intrusion dans un système peut ainsi générer de graves problèmes ou entrainer des situations de pressions ou de chantages.

Loi de Pareto

D’où la nécessité grandissante de bien protéger son réseau comme son système de domotique. « Imaginez les conséquences s’il fait -40 °C dehors et que quelqu’un vient saboter le système de chauffage d’une entreprise, prévient M. Coallier. C’est pourquoi la domotique doit être protégée, aussi bien qu’on protège les renseignements personnels. »

Pour gérer le risque de façon optimale, il y a deux dimensions à prendre en compte : l’objet lui-même et le système dans lequel il se trouve. En matière de sécurité informatique, il vaut mieux avoir une vision complète et regarder tous les scénarios possibles. Pour ce faire, la loi de Pareto, ou loi des 80-20, s’applique précisément à l’approche qu’il faut avoir du risque.

« Cette loi signifie que les premiers efforts vont déjà rapporter beaucoup, sans que l’on investisse des fortunes initialement, explique M. Coallier. Ensuite, sky is the limit. Tout dépendant de qui est après vous, vous pouvez continuer à investir. Ce que vous gagnez en sécurité devient de plus en plus petit. Et l’investissement de plus en plus grand. À un certain point, il vaut mieux se dire que l’on va vivre avec des risques. »

Il est donc nécessaire en premier lieu de se demander contre qui on souhaite se protéger et contre quel genre d’attaque. Les réponses à ces questions informeront sur le meilleur moment pour arrêter d’investir.

« Dire qu’on a mis sur pied des politiques internes ou des procédures, ce n’est pas être protégé, met en garde M. Coallier. Il faut investir dans des équipements, et dans des personnes. Il faut se dire que la surveillance, ça demande un investissement, car les audits ne suffisent pas. » 

Avant ça, de bonnes pratiques de base peuvent permettre de supprimer les premiers risques : mise à jour de logiciels; mots de passe différents des 1234 ou autres abc; sensibilisation minimale des salariés de l’entreprise, etc. S’il convient d’investir dans la surveillance de base, il peut aussi être utile, pour protéger un réseau ou un système, d’adopter l’approche « Zéro confiance » (Zero Trust). Cette approche consiste en fait à déterminer, dans une société, ceux qui ont le droit de faire telle ou telle tâche. Elle est basée sur le principe de la White list : on fait une liste de ceux qui ont le droit de faire quelque chose et non une Black list de ceux qui n’ont pas le droit de faire une chose en particulier, mais qui, par défaut, ont le droit de tout faire.

L’accès à un système peut donc reposer sur le « besoin de savoir » c’est-à-dire que les employés d’une entreprise accèdent seulement à l’information à laquelle ils ont droit, à celle dont ils ont besoin pour faire leur travail. « Ce n’est pas parce que vous êtes vice-président d’une compagnie que vous devez avoir un mot de passe qui vous donne accès à tout. Si vous avez cette approche dans une société, il y a de gros problèmes de sécurité, prévient M. Coallier. Dans les affaires Manning (NDLR : Wikileaks) ou Snowden, ce principe-là n’a pas été appliqué. Il y avait bien une classification “secret”, mais ils avaient accès à tout ce qui était classé secret, même les choses dont ils n’avaient pas besoin. Les privilèges d’accès doivent être limités. »

Enfin, il faut vérifier et ne jamais faire confiance. « C’est un autre principe qui repose sur le fait que l’on sait toujours ce qu’il se passe sur notre réseau. Si quelqu’un trouve le moyen de rentrer, il laisse des traces. Vous savez alors tout de suite s’il y a des choses qui se passent alors qu’elles ne sont pas censées se passer… Sans ça, c’est comme si on avait une ville fortifiée, et que l’on faisait uniquement confiance aux murailles, sans avoir de patrouilles à l’intérieur des fortifications », conclut M. Coallier.