#42 : La ligne Maginot (La dissymétrie entre attaque et défense) | La cybersécurité expliquée à ma grand-mère

Description

Le défenseur doit gagner cent fois. L'attaquant, une seule. Bienvenue dans la réalité de la cybersécurité.

De la ligne Maginot contournée en six semaines aux ransomwares déclenchés un vendredi soir à vingt heures, cet épisode démonte les sept asymétries qui donnent systématiquement l'avantage à l'attaquant : surface à protéger, information, timing, coûts, complexité, contraintes légales et connaissance des failles.

Une plongée dans les règles du jeu, pour comprendre pourquoi l'invincibilité n'existe pas et pourquoi la vraie victoire s'appelle résilience.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le 10 mai 1940, à l'aube, les habitants de Sedan se réveillent avec un bruit sourd qui roule à travers les Ardennes. Ce bruit, c'est celui des chars allemands du général Godrain, qui franchissent une forêt que absolument personne parmi les stratèges français n'imaginait franchissable. Six semaines plus tard, la France a capitulé. Quatre jours, c'est tout ce qu'il a fallu pour mettre à genoux la première armée du monde, selon les dires de l'époque. 40 jours pour effondrer un dispositif militaire conçu, pensé, budgété pendant plus de 15 ans. Et le plus troublant dans cette histoire, c'est que la célèbre ligne Maginot, cette muraille d'acier et de béton qui devait protéger la France, n'a pratiquement pas été prise. Elle a été contournée. Elle est devenue, en quelques jours, totalement inutile. Les Allemands ne se sont pas cassés les dents sur ces blocos. Ils ont simplement décidé de passer ailleurs. Imaginez un instant le désarroi des défenseurs enfermés dans ces forteresses souterraines avec leurs canons rétractables, leurs réserves de munitions pour tenir des mois, leurs voies ferrées internes, leurs infirmeries. Ils étaient prêts à soutenir un siège de plusieurs années. Et la guerre s'est décidée ailleurs, sans eux, en quelques semaines. Leur invisibilité n'a servi à rien parce que l'ennemi, tout simplement, ne s'est pas présenté devant leur mur. Revenons un instant sur l'histoire de cette ligne Maginot, parce qu'elle raconte beaucoup de choses sur la nature humaine et sur notre propre rapport à la défense. A la fin de la Première Guerre mondiale, la France était traumatisée. Un million et demi de morts, des régions entières dévastées, une génération sacrifiée dans les tranchées. Les militaires français tirèrent une leçon de ce conflit. La défense fixe, bien organisée, bien approvisionnée, a systématiquement tenu face aux offensives. Verdun en est un exemple le plus saisissant. Alors quand il s'agit de préparer la guerre suivante, la doctrine s'impose d'elle-même. Il faut une ligne fortifiée, moderne, imprenable, qui protégera définitivement la France d'une nouvelle invasion allemande. André Maginot, ministre de la guerre, fait voter le projet en 1929. Les travaux commencent. Titanesque. Près de 5 milliards de francs de l'époque, l'équivalent de plusieurs dizaines de milliards d'euros aujourd'hui, des ouvrages souterrains sur plusieurs étages, capables d'abriter des milliers de soldats, de l'artillerie lourde dissimulée, des systèmes de ventilation sophistiqués, des réseaux ferroviaires internes pour déplacer rapidement les troupes et les matériels, une merveille d'ingénierie militaire. Et pourtant, vous connaissez la suite, le 10 mai 1940, les Allemands attaquent par les Ardennes, ce massif boisé que les stratèges français considèrent comme infranchissables pour déblinder. Ils avaient tort. Les panzers de Gédrian percent à ce don, contournant les lignes Maginot par le nord, et en quelques jours, c'est toute l'armée française qui se retrouve prise en tenaille.
Speaker #1
C'est un soldat français qui vient chercher à manger pour ses hommes, en forêt. Ah !
Speaker #2
Mademoiselle ?
Speaker #1
Madame.
Speaker #2
Ah pardon. Madame ?
Speaker #1
Alors comme ça vous vous battez dans la forêt de Majkul ?
Speaker #2
On se bat, on se bat... C'est plutôt qu'on est comme une espèce de poste avancé quoi. Dans le cas que... Vous comprenez une supposition que les allemands reculent ? Crac ! On est là !
Speaker #1
Pour les empêcher de reculer ?
Speaker #2
Non, pour euh... La tenaille quoi.
Speaker #1
La tenaille, oui. Je vous demande ça parce que... Aux dernières nouvelles, les Allemands sont déjà à 30 km au sud de Machkul.
Speaker #3
Tiens !
Speaker #2
Oh, dites-donc, ils foncent, hein ?
Speaker #1
Ils foncent, oui. Alors si je comprends bien, vous êtes 30 km derrière les Allemands, à attendre qu'ils reviennent, en somme.
Speaker #2
Voilà. Enfin, voilà, pour l'instant, on ne va pas attendre des années, évidemment.
Speaker #1
Je m'en doute. Surtout qu'ils peuvent reculer par un autre chemin.
Speaker #2
Eh oui.
Speaker #1
Déjà qu'ils ne sont pas passés par là pour descendre, on ne voit pas pourquoi ils passeraient par là pour remonter. Ça vous savez quand on recule ?
Speaker #0
La ligne Maginot, elle, tient bon. Elle tiendra d'ailleurs jusqu'à l'armistice. Mais ça ne change plus rien. La guerre est perdue ailleurs. Cette histoire illustre à merveille ce dont je veux vous parler aujourd'hui, et qui est l'une des notions les plus fondamentales de la cybersécurité, et paradoxalement, l'un des moins bien compris par le grand public. Je veux parler de la dissymétrie entre attaque et défense. C'est cette asymétrie structurelle qui fait qu'un attaquant, quel que soit le niveau de préparation du défenseur, aura presque toujours un temps d'avance. Que le jeu, fondamentalement, est truqué en faveur de celui qui attaque. Et comprendre cette dissymétrie, c'est comprendre pourquoi Malgré les milliards investis chaque année dans la cybersécurité, malgré les technologies les plus sophistiquées, malgré les équipes de RSSI compétentes, les incidents continuent à se produire, inlassablement, semaine après semaine. Alors je vous propose aujourd'hui de parcourir ensemble les différentes facettes de cette dissymétrie. Non pas pour vous décourager, rassurez-vous, mais pour comprendre les règles du jeu. Parce qu'on ne peut pas construire une stratégie de défense efficace si on commence par nier la réalité du champ de bataille. Commençons par la première dissymétrie. Peut-être la plus évidente, mais aussi la plus structurante, celle de la surface. Revenons à notre ligne Maginot. Pour être efficace, elle devait être continue. Si elle avait un seul endroit où elle s'interrompait, où elle était moins solide, où elle présentait une faille, les Allemands pouvaient théoriquement l'exploiter. Et c'est exactement ce qu'ils ont fait. Ils n'ont pas cherché à percer le point le plus fort, ils ont cherché, et ils l'ont trouvé, le point le plus faible. Le point faible, en l'occurrence, c'est la frontière belge, que les Français n'avaient pas fortifiée de la même manière. pour des raisons diplomatiques et budgétaires. Dans un système d'information, c'est exactement la même logique, mais démultiplié à une échelle vertigineuse. Un responsable de la sécurité, un RSSI, doit protéger absolument tout. Chaque serveur, chaque poste de travail, chaque application, chaque base de données, chaque imprimante connectée, chaque caméra de surveillance reliée au réseau, chaque téléphone professionnel, chaque ordinateur portable de collaborateur en télétravail, chaque compte utilisateur, chaque compte de service, chaque API exposé sur Internet, chaque fournisseur qui a un accès à distance, Chaque partenaire qui a un connecteur verve système. La surface d'attaque d'une entreprise de taille moyenne, aujourd'hui, se chiffre en milliers, parfois en dizaines de milliers d'éléments. Et chacun de ces éléments peut, théoriquement, être le maillon faible par lequel un attaquant pénètrera votre système. Chacun de ces éléments doit être configuré correctement, à jour, surveillé, et ceci 24h sur 24, 365 jours par an. L'attaquant, lui, n'a pas ce problème. Il cherche une seule faille, un seul chemin. Il peut scanner patiemment votre infrastructure, tester méthodiquement vos défenses, essayer des techniques différentes sur chaque composant, et dès qu'il trouve un point d'entrée, il a gagné. Le reste de votre dispositif de sécurité, aussi excellent soit-il, n'aura servi à rien face à ce seul point de défaillance. C'est ce que les spécialistes appellent parfois la règle 100 pour 1. Le défenseur doit avoir raison 100 fois, l'attaquant, lui, doit avoir raison une seule fois. Mettez-vous à la place d'un gardien de but qui devra arrêter absolument tous les tirs pendant toute la saison. alors que son adversaire n'a besoin que d'en marquer un pour être champion. C'est à peu près la situation dans laquelle se trouve un défenseur en cybersécurité. Et cette surface, elle ne cesse de croître. Chaque nouvelle application cesse, que votre entreprise adopte, chaque migration vers le cloud, chaque objet connecté, chaque partenariat technologique, chaque nouveau collaborateur en télétravail augmente cette surface d'attaque. La tendance est structurellement défavorable aux défenseurs, parce que la transformation numérique, par sa nature même, multiplie les points d'entrée potentiels. Deuxième dissymétrie fondamentale, celle de l'information. Quand un attaquant prépare une opération, il a tout son temps pour se renseigner sur sa cible. C'est ce qu'on appelle la phase de reconnaissance. Et cette phase, elle peut durer des jours, des semaines, parfois des mois. Elle est souvent totalement invisible pour la cible, parce qu'elle utilise uniquement des sources publiques et des techniques passives. Que fait l'attaquant pendant cette phase ? Il commence par ce qu'on appelle l'OSINT, l'Open Source Intelligence. Ils consultent le site web de l'entreprise pour comprendre son activité. Ils parcourent LinkedIn pour identifier les collaborateurs clés, leurs postes, leurs responsabilités, leurs technologies. Ils recherchent le RSSI, le DSI, les administrateurs système. Ils étudient leurs profils, leurs compétences déclarées et leurs anciens employeurs. Ils vont aussi explorer les offres d'emploi de l'entreprise. Une simple annonce qui cherche un administrateur ayant de l'expérience sur telle version de tel logiciel est une mine d'or pour un attaquant. Elle lui révèle quelles technologies sont utilisées quelle version et potentiellement quelle vulnérabilité connue pourrait être exploitable. Il va consulter les bases de données de fuites passées, les adresses e-mail de vos collaborateurs ont peut-être été compromises il y a 3 ans dans le piratage d'un site de e-commerce. Les mots de passe associés sont disponibles sur les dark web. Et vous savez quoi ? Beaucoup de gens réutilisent les mêmes mots de passe un peu partout. Il va scanner votre infrastructure visible depuis l'internet, sans jamais toucher un seul de vos systèmes. Il peut obtenir une cartographie extrêmement détaillée de votre présence en ligne. Les services exploités, les versions des logiciels, les technologies utilisées, tout cela est accessible à qui sait chercher. Et les outils pour chercher sont gratuits et documentés. Il va étudier vos fournisseurs, vos partenaires, vos clients, parce qu'il sait qu'attaquer directement votre entreprise peut être difficile, mais qu'attaquer un de vos sous-traitants, qui a un accès à votre système d'information, est peut-être plus facile. Ce qu'on appelle la tech par chaîne d'approvisionnement, et le cas de SolarWinds nous a montré à quel point cette approche peut être dévastatrice. Maintenant inversons la perspective. Qu'est-ce que le défenseur sait sur son attaquant ? Presque rien, rien en fait. Tant qu'un attaquant n'a pas commencé, tant qu'une attaque n'a pas été détectée, le défenseur ignore tout. Il ne sait pas qui va l'attaquer, il ne sait pas quand, il ne sait pas comment, il ne sait pas avec quel outil, il ne sait pas en combien de temps, ni avec quelle intensité. C'est comme si vous étiez dans une pièce sombre et que quelqu'un, quelque part, à l'extérieur, vous observait à travers des jumelles à vision nocturne. Il voit toutes vous. Vous ne voyez rien de lui et à un moment qu'il choisira, il franchira votre porte. Jusque là, vous ne pourrez que vous préparer à une menace dont vous ne connaissez ni le visage ni le calendrier. Cette asymétrie de l'information est tellement forte que les renseignements sur la menace, ce qu'on appelle le Cyber Threat Intelligence ou CTI, est devenu un domaine à part entière de la cybersécurité. Des entreprises spécialisées passent leur temps à surveiller les forums du dark web, à infiltrer des groupes criminels, analyser des techniques utilisées pour les différents groupes d'attaquants, pour essayer de donner aux défenseurs ne serait-ce qu'un aperçu de ce qui pourrait leur tomber dessus. C'est précieux, mais c'est aussi un aveu implicite. Sans ce travail de renseignement, nous sommes aveugles. Troisième dissymétrie, et pas la moindre, celle du temps. Le défenseur n'a pas le choix de son calendrier. Il doit être opérationnel 24h sur 24, 7 jours sur 7, 365 jours par an. Il doit être aussi vigilant le vendredi 25 décembre à 3h du matin. qu'il l'est le mardi 14 à 14 heures. Il doit tenir pendant les vacances d'été, pendant les ponts, pendant les jours fériés, pendant les week-ends, pendant les périodes de fin d'année où les équipes sont réduites. L'attaquant, lui, choisit son moment. Et devinez quand est-ce qu'il choisit d'attaquer ? Exactement au moment où le défenseur est le plus vulnérable. Les statistiques sur les ransomware sont éloquentes à ce sujet. Une étude publiée par des chercheurs en cybersécurité a montré que la grande majorité des attaques par ranches aux iciels sont déclenchées le vendredi soir. Le samedi, ou la veille d'un jour fait rien important. Pourquoi ? Pour plusieurs raisons cumulatives. Première raison, l'équipe de sécurité est réduite. Si vous avez 5 analystes SOC en semaine, vous en avez peut-être un seul le samedi. Ses capacités de détection et de réaction sont mécaniquement réduites. Deuxième raison, la psychologie humaine. Un attaquant qui déclenche son rançon judiciaire un vendredi à 20h, sait qu'il offre à la victime un week-end entier pour paniquer, pour se rendre compte de l'ampleur des dégâts. Et pour se convaincre que payer la rançon est la solution la plus rapide pour reprendre une activité normale le lundi matin. Troisième raison, la pression du temps. Plus le temps passe, plus les dégâts s'accumulent. Chiffrement qui progresse, sauvegarde compromise, systèmes qui tombent les uns après les autres. L'attaquant sait qu'à chaque heure qui passe, renforce sa position de négociation. Mais le problème du temps, ce n'est pas seulement celui du moment de l'attaque. C'est aussi la détection. Parce qu'un attaquant, ce n'est pas une explosion instantanée. C'est souvent un processus long. L'attaquant entre dans votre système, puis s'y déplace lentement, discrètement, pendant des semaines ou des mois, pour cartographier votre réseau, identifier vos actifs critiques, localiser vos sauvegardes et préparer le coup final. Les statistiques les plus récentes montrent qu'en moyenne, un attaquant reste dans le système qui l'a compromis pendant plusieurs semaines, parfois pendant plusieurs mois, avant d'être détecté. Et dans certains cas, notamment pour des attaques sophistiquées d'espionnage étatique, On parle de plusieurs années de présence silencieuse. Pendant tout ce temps, l'attaquant agit avec une patience de chat. Il pose ses pions, il crée des comptes dormants qu'il pourra réveiller plus tard, il installe des portes dérobées, il se fond dans le trafic normal en utilisant des outils qui ressemblent à ceux de vos administrateurs. Le défenseur, pendant ce temps, va qu'à ses occupations quotidiennes sans se douter de rien. Quatrième dissymétrie, particulièrement frustrante, celle des coups. Combien coûte une attaque ? Pour une opération simple, basée sur du phishing de messe, quelques centaines d'euros suffisent. Un serveur de messagerie à bas coût, un nom de domaine qui ressemble à celui d'une banque, un kit de phishing acheté clé en main sur un forum, et vous êtes prêt à lancer une campagne contre des dizaines de milliers de cibles. Le retour sur investissement, même avec un taux de succès très faible, reste excellent pour l'attaquant. Pour un attaquant plus sophistiqué, les coûts montent, mais restent dérisoires comparés aux moyens nécessaires à la défense. Un ransomware as a service s'achète quelques milliers d'euros sur le dark web, avec un support technique inclus, mise à jour garantie et partage des rançons obtenues. Il existe aujourd'hui des modèles d'affaires complètement structurés dans le cybercrime, avec des plateformes, des SLA, des programmes d'affiliation. Le crime s'est professionnalisé et industrialisé. Un 0D, une vulnérabilité inconnue particulièrement précieuse, peut se vendre entre 5000 et plusieurs millions d'euros, selon sa qualité et la plateforme ciblée. C'est beaucoup, direz-vous, mais pour un acteur étatique ou un groupe crimel organisé, c'est un investissement raisonnable quand on sait qu'il permettra potentiellement de compromettre des milliers de cibles et d'en tirer des rançons de plusieurs millions chacune. Maintenant, regardez de l'autre côté. Combien coûte la défense pour une entreprise de taille moyenne ? Il faut une équipe de sécurité interne, avec des profils rares et donc chers sur le marché. Un RSSI expérimenté, des analystes SOC, un spécialiste de la réponse aux incidents, un architecte sécurité. Comptez plusieurs centaines de milliers d'euros par an, rien que pour la masse salariale. Il faut des outils. Un SIEM pour agréger les logs, un EDR pour protéger les postes de travail, des firewalls nouvelle génération. Une solution de gestion des identités, une plateforme PAM pour les comptes à privilèges, un scanner de vulnérabilité, des outils de détection de fuite de données. Chacun de ces outils représente plusieurs dizaines, voire centaines de milliers d'euros par an en licence et en intégration. Il faut des services externes, un pentester qui vient une ou deux fois par an pour tester vos défenses, un prestataire qui vous accompagne en cas d'incident, un cabinet d'audit pour vos certifications, un service de veille sur les menaces. Il faut des formations régulières pour l'ensemble des collaborateurs. Il faut des exercices de simulation, des campagnes de phishing interne, il faut des processus, des documents et des plans de reprise. Au total, une entreprise qui prend au sérieux sa cybersécurité dépense souvent 5 à 15% de son budget informatique rien que pour la cybersécurité. Et ce budget ne cesse d'augmenter année après année. Alors faites le rapport. D'un côté, un attaquant qui investit quelques milliers d'euros pour mener une campagne, de l'autre, une entreprise qui investit plusieurs millions d'euros par an pour s'en protéger. Il y a la fin. Ce n'est même pas l'entreprise qui gagne à tous les coups. L'économie de la cybersécurité est profondément dissymétrique, et cette asymétrie financière joue structurellement en faveur de l'attaquant. Cinquième dissymétrie, particulièrement vicieuse, parce qu'elle s'aggrave avec le temps, celle de la complexité. Une entreprise qui existe depuis 20 ans a accumulé une quantité impressionnante de dettes techniques. Des systèmes anciens qui tournent encore parce qu'ils supportent des processus métiers critiques, des applications développées il y a 15 ans, dans un langage que plus personne ne maîtrise. Des serveurs qui ne peuvent pas être mis à jour parce qu'un logiciel essentiel ne fonctionne qu'avec une version obsolète du système d'exploitation ? À cela, il faut ajouter les multiples couches de modernisation successives. La migration vers le clan n'a pas remplacé l'existant, elle s'y est ajoutée. Le télétravail n'a pas supprimé le bureau, il s'est superposé. Les applications SaaS n'ont pas remplacé les applications internes, elles cohabitent avec elles. Résultat, un système d'information moderne est un millefeuille complexe où se superposent des technologies de différentes époques, des architectures hétérogènes, des modèles de sécurité incompatibles. Cette complexité est un cauchemar pour les défenseurs. Chaque interconnection entre deux systèmes est un point potentiel de faille. Chaque couche de compatibilité ajoutée pour faire communiquer l'ancien et le nouveau introduit de nouveaux risques. Chaque exception à la politique de sécurité, accordée pour des raisons métiers légitimes, ouvre une brèche potentielle. L'attaquant, lui, travaille avec des outils modernes, à jour, conçu spécifiquement pour exploiter les faiblesses de ces architectures hybrides. Il n'a pas de tête technique, il n'a pas d'historique à maintenir, il adopte immédiatement les dernières techniques, les derniers frameworks d'attaque, les derniers outils de post-exploitation. C'est exactement la situation dans laquelle s'est trouvée l'armée française en 1940. Elle disposait d'excellents chars, parfois supérieurs techniquement aux Panzer allemands, mais sa doctrine, son organisation, ses processus de décision étaient ceux de la Première Guerre mondiale. L'adversaire, lui, avait repensé la guerre. autour de la mobilité, de la radio, de la coordination entre les armes. Ce n'est pas l'équipement qui a fait la différence, mais c'est la modernité de l'approche. En cybersécurité, c'est souvent pareil. Vous pouvez avoir des milliers d'outils du marché. Si votre architecture globale date d'il y a 20 ans, vous partez avec un handicap considérable. Et moderniser une architecture, ça prend des années, parfois des décennies. Pendant ce temps, les attaquants, eux, continuent à innover à un rythme beaucoup plus rapide. Sixième dissymétrie, et pas la moins importante, c'est celle des contraintes. Quand vous êtes défenseur, vous jouez avec un nombre considérable de contraintes. Vous devez respecter la loi, le RGPD, le droit du travail, le secret des correspondances, les obligations sectorielles si vous êtes dans une banque, la santé, l'énergie ou les télécoms. Vous devez respecter les contraintes métier. Vous ne pouvez pas arrêter la production juste parce qu'une vulnérabilité critique vient d'être publiée. Vous ne pouvez pas bloquer un processus de vente pour imposer une authentification supplémentaire. Vous ne pouvez pas demander à vos commerciaux de ne plus utiliser leur smartphone personnel en déplacement. Ces décisions de sécurité doivent toujours se négocier avec les contraintes opérationnelles. Et ce sont rarement les préoccupations de sécurité qui l'emportent. Vous devez respecter les contraintes budgétaires. Vos demandes d'investissement passent par des comités, des arbitrages, des priorisations. Ce que vous obtenez est toujours inférieur à ce dont vous auriez besoin. Vous devez respecter les contraintes de ressources humaines. Former un analyste SOC prend des mois. Recruter un expert en cybersécurité prend des trimestres. Retenir vos talents est une bataille permanente dans un marché tendu. Vous devez respecter l'éthique, la déontologie, la transparence. Vous ne pouvez pas mentir à vos employés pour tester leur vigilance de manière trop agressive.
Speaker #1
Attention, Emile, derrière vous !
Speaker #3
Ça ne prend pas assez. On peut tromper mille fois une personne, mais on ne peut pas tromper... Si, on peut tromper une fois une... Non, on ne peut pas tromper une fois mille personnes, mais on peut tromper une fois mille personnes.
Speaker #0
Vous ne pouvez pas surveiller leur communication personnelle. Vous ne pouvez pas piéger leur poste de travail de manière intrusive. L'attaquant, lui, n'a aucune de ses contentes. Il peut mentir, manipuler... usurper des identités, falsifier des documents, corrompre les collaborateurs, menacer, faire chanter. Il peut utiliser les infrastructures louées sous de fausses identités, dans des juridictions qui ne coopèrent pas avec vos enquêteurs. Il peut changer de tactique, d'outils, de cible à chaque instant. Pour lui, il n'y a pas de comité d'éthique, pas de DRH, pas de juriste qui vérifie la conformité de ses actions avec le RGPD. Il joue avec des cartes qui n'existent pas pour vous. Il détruit, copie, modifie, supprime, sans que personne ne vienne lui demander des comptes. C'est une situation profondément injuste, il faut l'accepter comme telle. Vous ne pouvez pas répondre à un attaquant par les mêmes méthodes qu'il utilise. Vous ne pouvez pas le pirater en retour, même si vous l'avez identifié. Vous devez, quoi qu'il arrive, rester dans le cadre légal et éthique. Lui n'a cette contrainte que s'il se fait attraper, et ce qui, soi-disant en passant, arrive rarement. Septième et dernière dissymétrie, peut-être la plus radicale philosophiquement, celle de la connaissance. En cybersécurité, il existe une catégorie de vulnérabilité particulièrement redoutable qu'on appelle les 0D. Un 0D, c'est une faille de sécurité qui existe dans un logiciel, mais qui n'est pas encore connue de son éditeur, ni des défenseurs, ni de la comité de la cybersécurité en général. Elle est seulement connue de celui qui l'a découverte, et potentiellement de celui qui l'a vendue. Le nom de 0D vient du fait que l'éditeur de logiciel a eu zéro jour pour corriger la vulnérabilité, puisqu'il ne sait même pas qu'elle existe. Et tant qu'elle n'est pas publiée, aucun correctif ne peut être développé. Aucune signature de détection ne peut être créée. Aucune règle de firewall ne peut être établie pour la bloquer. Pensez-y un instant. Vous pouvez avoir le meilleur antivirus du monde, le meilleur firewall, le meilleur SIEM. Si l'attaquant utilise une variabilité que personne ne connaît, aucune de ces protections ne fonctionnera. Vous êtes littéralement sans défense. Les 0D sont rares, précieux et coûteux. Ils sont utilisés avec... parcimonie par les acteurs qui les détiennent parce que chaque utilisation augmente le risque de les voir détecter et donc corrigés ils sont réservés aux cibles de très haute valeur opération d'espionnage étatique attaque sur des infrastructures critiques opération offensive de grande envergure au delà des 0d au sens critique il y à toute une zone d'ombre plus large les vulnérabilités connues mais non corrigées les failles logiques dans vos applications métier les mauvaises configurations introduites par erreur les combinaisons d'actions qui Prises isolément sont légitimes, mais qui, combinées, permettent une escalade des privilèges. Le défenseur ne peut pas se protéger contre ce qu'il ne connaît pas, et la quantité de ce qu'il ne connaît pas, à propos de son propre système d'information, est toujours plus grande qu'il ne veut bien l'admettre. C'est d'ailleurs le but de ce qu'on appelle le thread hunting, la chasse aux menaces. Partir du principe qu'il y a quelque chose que vous n'avez pas vu, et chercher activement ce que vous ignorez. Cette dissymétrie de la connaissance est, fondamentalement, Une conséquence de la complexité des systèmes modernes. Un logiciel de quelques millions de lignes de code contient inévitablement des bugs. Parmi ces bugs, une fraction sont des vulnérabilités de sécurité. Parmi ces vulnérabilités, une fraction sont réellement exploitables. Parmi les exploitables, une fraction sera à t'exploiter. Vous ne pouvez pas avoir la certitude qu'aucune de ces vulnérabilités n'existe dans votre environnement. Vous pouvez seulement réduire leur nombre, leur criticité et leur fenêtre d'exploitation. Alors face à ces 7 dissymétries, que faire ? Faut-il baisser les bras ? Considérer que la cybersécurité est un combat perdu d'avance ? Certains diront même que c'est un échec ? Et renoncer à investir dans la défense ? Évidemment non, il ne faut pas changer de perspective, il faut accepter que la parité n'est pas atteignable, et organiser sa stratégie autour de cette réalité. Trois principes peuvent vous guider. Le premier principe, c'est d'accepter la compromission comme une hypothèse de travail. Pendant longtemps, la cybersécurité s'est construite autour de l'idée qu'il fallait empêcher l'intrusion. A tout prix, aujourd'hui la doctrine a évolué vers une approche beaucoup plus réaliste. Il faut se préparer à la compromission, pas l'empêcher. C'est toute la philosophie du Zero Trust, dont j'ai déjà parlé dans un épisode précédent. Ne faire confiance à rien, vérifier tout, partout, tout le temps. Segmenter, cloisonner, pour que si un attaquant entre quelque part, il ne puisse pas se propager partout. C'est aussi la philosophie derrière les investissements massifs dans la détection. Plutôt que d'essayer désespérément de construire une muraille infranchissable, On accepte que celle-ci sera franchie, et on se concentre sur la capacité à détecter rapidement l'intrusion, à la comprendre, à y répondre. Le rôle du SOC, des CDR, des XDR et de toute cette instrumentation qui équipe les entreprises modernes. Le deuxième principe, c'est d'augmenter le coût pour l'attaquant plutôt que rêver d'une défense parfaite. Même si vous ne pouvez pas empêcher absolument une attaque, vous pouvez la rendre plus difficile, plus longue, plus coûteuse, plus risquée. Et à un certain seuil, l'attaquant préférera se tourner vers une cible plus facile. C'est la logique de la serrure. Aucune serrure n'est inviolable face à un cambrioleur professionnel déterminé. Mais une bonne serrure suffit à dissuader les opportunistes, et l'oblige les professionnels à passer suffisamment de temps à travailler devant votre porte pour se faire remarquer par les voisins. En cybersécurité, c'est pareil. Chaque couche de défense supplémentaire, chaque contrôle, chaque procédure, ajoute du coût pour l'attaquant. L'objectif n'est pas de le rendre impuissant, mais de le rendre moins rentable. Le troisième principe, c'est de réduire drastiquement le temps de détection et de réponse. Si vous ne pouvez pas empêcher l'intrusion, vous pouvez au moins empêcher qu'elle ne devienne une catastrophe. Un attaquant qui a été détecté en quelques heures, avant qu'il ait pu atteindre vos actifs critiques, avant qu'il ait pu déployer ses charges utiles, cet attaquant-là n'aura finalement pas fait de dégâts significatifs. L'intrusion aura lieu, mais elle n'aura pas eu de conséquences majeures. C'est pourquoi les métriques modernes de cybersécurité se concentrent de plus en plus sur les dimensions temporelles, le temps moyen de détection, appelé MTTT pour Mid-Time to Detect. Le temps moyen de confinement, le temps moyen de remédiation, réduire ses temps, c'est réduire l'impact d'une attaque, même si on n'a pas pu l'empêcher. Et dans cette logique, l'entraînement joue un rôle fondamental. Les exercices de simulation, les red teams qui jouent le rôle d'attaquants, pour tester les défenses, les exercices de gestion de crise, tout cela permet de s'assurer que les jours où l'incident arrivera, les équipes sauront réagir vite et bien. Parce que le vrai différenciateur, en cas d'attaque réussie, ce n'est pas la sophistication de vos outils, c'est la qualité de votre réponse. Revenons une dernière fois à la ligne Maginot. Pourquoi était-elle échouée ? Alors qu'elle était techniquement remarquable. Pas parce qu'elle était mal conçue, pas parce qu'elle était mal construite, pas parce que ses défenseurs étaient incompétents. Elle a échoué parce qu'elle répondait à la guerre d'avant. Elle avait été pensée pour contrer les offensives d'infanterie de 1918 avec leurs vagues d'assauts massives et leurs artilleries de tranchées. Elle n'avait pas été pensée pour la guerre de mouvement de 1940 avec ses blindés rapides, son aviation tactique, tactique. et ses coordinations radio. En cybersécurité, nous courons constamment le risque de construire notre propre ligne imaginaux. Des architectures défensives, pensées pour les menaces d'hier, parfaitement inadaptées aux menaces d'aujourd'hui, et encore moins celles de demain. Des procédures qui protègent efficacement contre les virus des années 2000, mais qui sont désarmées face aux ransomware modernes pilotées par des opérateurs humains, voire même des ransomware totalement autonomes. Des périmètres réseaux qui avaient du sens à l'époque, où tout le monde travaillait au bureau. mais qui n'ont plus aucun sens à l'ère du télétravail généralisé et des applications cloud. La défense qui gagne, c'est celle qui comprend cette dissymétrie fondamentale et qui l'intègre dans sa stratégie. Celle qui accepte qu'elle aura toujours un train de retard et qui organise son dispositif pour que ce retard soit le plus court possible. Celle qui sait qu'elle ne peut pas tout protéger également et qui priorise intelligemment. Celle qui investit autant dans la détection et la réponse que dans la protection. Et puis il faut aussi accepter une forme d'humilité. La cybersécurité n'est pas une science exacte, ce n'est pas un domaine où l'on peut atteindre la perfection. C'est un combat permanent, évolutif, dans lequel on n'est jamais définitivement en sécurité. Les entreprises qui s'en sortent le mieux ne sont pas celles qui se prétendent être impénétrables, ce sont celles qui ont développé une culture de l'apprentissage continu, de l'amélioration permanente, de l'adaptation constante aux nouvelles menaces. Alors la prochaine fois que vous lirez dans la presse qu'une grande entreprise, une administration, un hôpital a été victime de cyberattaques, résistait à la tentation de conclure trop vite qu'ils étaient incompétents, négligents ou mal préparés. Peut-être qu'ils l'étaient, mais peut-être aussi qu'ils avaient fait tout ce qu'ils pouvaient faire raisonnablement et que la dissymétrie structurelle entre l'attaquant et la défense a simplement joué son rôle. Parce qu'au bout du compte, ce qui différencie les bons défenseurs des mauvais, ce n'est pas l'absence d'incidents. Tout le monde subit des incidents tôt ou tard. Ce qui les différencie, c'est la manière dont ils les détectent, et réagissent. apprennent et s'adaptent. Dans un jeu truqué en faveur de l'adversaire, le vrai succès, c'est la résilience, pas l'invisibilité. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'oubliez pas de le liker, de le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu d'une mort, c'est bien plus sérieux que ça. Générique Oh Oh
Speaker #4
Hey, you're the very easy

Description

Le défenseur doit gagner cent fois. L'attaquant, une seule. Bienvenue dans la réalité de la cybersécurité.

Une plongée dans les règles du jeu, pour comprendre pourquoi l'invincibilité n'existe pas et pourquoi la vraie victoire s'appelle résilience.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le 10 mai 1940, à l'aube, les habitants de Sedan se réveillent avec un bruit sourd qui roule à travers les Ardennes. Ce bruit, c'est celui des chars allemands du général Godrain, qui franchissent une forêt que absolument personne parmi les stratèges français n'imaginait franchissable. Six semaines plus tard, la France a capitulé. Quatre jours, c'est tout ce qu'il a fallu pour mettre à genoux la première armée du monde, selon les dires de l'époque. 40 jours pour effondrer un dispositif militaire conçu, pensé, budgété pendant plus de 15 ans. Et le plus troublant dans cette histoire, c'est que la célèbre ligne Maginot, cette muraille d'acier et de béton qui devait protéger la France, n'a pratiquement pas été prise. Elle a été contournée. Elle est devenue, en quelques jours, totalement inutile. Les Allemands ne se sont pas cassés les dents sur ces blocos. Ils ont simplement décidé de passer ailleurs. Imaginez un instant le désarroi des défenseurs enfermés dans ces forteresses souterraines avec leurs canons rétractables, leurs réserves de munitions pour tenir des mois, leurs voies ferrées internes, leurs infirmeries. Ils étaient prêts à soutenir un siège de plusieurs années. Et la guerre s'est décidée ailleurs, sans eux, en quelques semaines. Leur invisibilité n'a servi à rien parce que l'ennemi, tout simplement, ne s'est pas présenté devant leur mur. Revenons un instant sur l'histoire de cette ligne Maginot, parce qu'elle raconte beaucoup de choses sur la nature humaine et sur notre propre rapport à la défense. A la fin de la Première Guerre mondiale, la France était traumatisée. Un million et demi de morts, des régions entières dévastées, une génération sacrifiée dans les tranchées. Les militaires français tirèrent une leçon de ce conflit. La défense fixe, bien organisée, bien approvisionnée, a systématiquement tenu face aux offensives. Verdun en est un exemple le plus saisissant. Alors quand il s'agit de préparer la guerre suivante, la doctrine s'impose d'elle-même. Il faut une ligne fortifiée, moderne, imprenable, qui protégera définitivement la France d'une nouvelle invasion allemande. André Maginot, ministre de la guerre, fait voter le projet en 1929. Les travaux commencent. Titanesque. Près de 5 milliards de francs de l'époque, l'équivalent de plusieurs dizaines de milliards d'euros aujourd'hui, des ouvrages souterrains sur plusieurs étages, capables d'abriter des milliers de soldats, de l'artillerie lourde dissimulée, des systèmes de ventilation sophistiqués, des réseaux ferroviaires internes pour déplacer rapidement les troupes et les matériels, une merveille d'ingénierie militaire. Et pourtant, vous connaissez la suite, le 10 mai 1940, les Allemands attaquent par les Ardennes, ce massif boisé que les stratèges français considèrent comme infranchissables pour déblinder. Ils avaient tort. Les panzers de Gédrian percent à ce don, contournant les lignes Maginot par le nord, et en quelques jours, c'est toute l'armée française qui se retrouve prise en tenaille.
Speaker #1
C'est un soldat français qui vient chercher à manger pour ses hommes, en forêt. Ah !
Speaker #2
Mademoiselle ?
Speaker #1
Madame.
Speaker #2
Ah pardon. Madame ?
Speaker #1
Alors comme ça vous vous battez dans la forêt de Majkul ?
Speaker #2
On se bat, on se bat... C'est plutôt qu'on est comme une espèce de poste avancé quoi. Dans le cas que... Vous comprenez une supposition que les allemands reculent ? Crac ! On est là !
Speaker #1
Pour les empêcher de reculer ?
Speaker #2
Non, pour euh... La tenaille quoi.
Speaker #1
La tenaille, oui. Je vous demande ça parce que... Aux dernières nouvelles, les Allemands sont déjà à 30 km au sud de Machkul.
Speaker #3
Tiens !
Speaker #2
Oh, dites-donc, ils foncent, hein ?
Speaker #1
Ils foncent, oui. Alors si je comprends bien, vous êtes 30 km derrière les Allemands, à attendre qu'ils reviennent, en somme.
Speaker #2
Voilà. Enfin, voilà, pour l'instant, on ne va pas attendre des années, évidemment.
Speaker #1
Je m'en doute. Surtout qu'ils peuvent reculer par un autre chemin.
Speaker #2
Eh oui.
Speaker #1
Déjà qu'ils ne sont pas passés par là pour descendre, on ne voit pas pourquoi ils passeraient par là pour remonter. Ça vous savez quand on recule ?
Speaker #0
La ligne Maginot, elle, tient bon. Elle tiendra d'ailleurs jusqu'à l'armistice. Mais ça ne change plus rien. La guerre est perdue ailleurs. Cette histoire illustre à merveille ce dont je veux vous parler aujourd'hui, et qui est l'une des notions les plus fondamentales de la cybersécurité, et paradoxalement, l'un des moins bien compris par le grand public. Je veux parler de la dissymétrie entre attaque et défense. C'est cette asymétrie structurelle qui fait qu'un attaquant, quel que soit le niveau de préparation du défenseur, aura presque toujours un temps d'avance. Que le jeu, fondamentalement, est truqué en faveur de celui qui attaque. Et comprendre cette dissymétrie, c'est comprendre pourquoi Malgré les milliards investis chaque année dans la cybersécurité, malgré les technologies les plus sophistiquées, malgré les équipes de RSSI compétentes, les incidents continuent à se produire, inlassablement, semaine après semaine. Alors je vous propose aujourd'hui de parcourir ensemble les différentes facettes de cette dissymétrie. Non pas pour vous décourager, rassurez-vous, mais pour comprendre les règles du jeu. Parce qu'on ne peut pas construire une stratégie de défense efficace si on commence par nier la réalité du champ de bataille. Commençons par la première dissymétrie. Peut-être la plus évidente, mais aussi la plus structurante, celle de la surface. Revenons à notre ligne Maginot. Pour être efficace, elle devait être continue. Si elle avait un seul endroit où elle s'interrompait, où elle était moins solide, où elle présentait une faille, les Allemands pouvaient théoriquement l'exploiter. Et c'est exactement ce qu'ils ont fait. Ils n'ont pas cherché à percer le point le plus fort, ils ont cherché, et ils l'ont trouvé, le point le plus faible. Le point faible, en l'occurrence, c'est la frontière belge, que les Français n'avaient pas fortifiée de la même manière. pour des raisons diplomatiques et budgétaires. Dans un système d'information, c'est exactement la même logique, mais démultiplié à une échelle vertigineuse. Un responsable de la sécurité, un RSSI, doit protéger absolument tout. Chaque serveur, chaque poste de travail, chaque application, chaque base de données, chaque imprimante connectée, chaque caméra de surveillance reliée au réseau, chaque téléphone professionnel, chaque ordinateur portable de collaborateur en télétravail, chaque compte utilisateur, chaque compte de service, chaque API exposé sur Internet, chaque fournisseur qui a un accès à distance, Chaque partenaire qui a un connecteur verve système. La surface d'attaque d'une entreprise de taille moyenne, aujourd'hui, se chiffre en milliers, parfois en dizaines de milliers d'éléments. Et chacun de ces éléments peut, théoriquement, être le maillon faible par lequel un attaquant pénètrera votre système. Chacun de ces éléments doit être configuré correctement, à jour, surveillé, et ceci 24h sur 24, 365 jours par an. L'attaquant, lui, n'a pas ce problème. Il cherche une seule faille, un seul chemin. Il peut scanner patiemment votre infrastructure, tester méthodiquement vos défenses, essayer des techniques différentes sur chaque composant, et dès qu'il trouve un point d'entrée, il a gagné. Le reste de votre dispositif de sécurité, aussi excellent soit-il, n'aura servi à rien face à ce seul point de défaillance. C'est ce que les spécialistes appellent parfois la règle 100 pour 1. Le défenseur doit avoir raison 100 fois, l'attaquant, lui, doit avoir raison une seule fois. Mettez-vous à la place d'un gardien de but qui devra arrêter absolument tous les tirs pendant toute la saison. alors que son adversaire n'a besoin que d'en marquer un pour être champion. C'est à peu près la situation dans laquelle se trouve un défenseur en cybersécurité. Et cette surface, elle ne cesse de croître. Chaque nouvelle application cesse, que votre entreprise adopte, chaque migration vers le cloud, chaque objet connecté, chaque partenariat technologique, chaque nouveau collaborateur en télétravail augmente cette surface d'attaque. La tendance est structurellement défavorable aux défenseurs, parce que la transformation numérique, par sa nature même, multiplie les points d'entrée potentiels. Deuxième dissymétrie fondamentale, celle de l'information. Quand un attaquant prépare une opération, il a tout son temps pour se renseigner sur sa cible. C'est ce qu'on appelle la phase de reconnaissance. Et cette phase, elle peut durer des jours, des semaines, parfois des mois. Elle est souvent totalement invisible pour la cible, parce qu'elle utilise uniquement des sources publiques et des techniques passives. Que fait l'attaquant pendant cette phase ? Il commence par ce qu'on appelle l'OSINT, l'Open Source Intelligence. Ils consultent le site web de l'entreprise pour comprendre son activité. Ils parcourent LinkedIn pour identifier les collaborateurs clés, leurs postes, leurs responsabilités, leurs technologies. Ils recherchent le RSSI, le DSI, les administrateurs système. Ils étudient leurs profils, leurs compétences déclarées et leurs anciens employeurs. Ils vont aussi explorer les offres d'emploi de l'entreprise. Une simple annonce qui cherche un administrateur ayant de l'expérience sur telle version de tel logiciel est une mine d'or pour un attaquant. Elle lui révèle quelles technologies sont utilisées quelle version et potentiellement quelle vulnérabilité connue pourrait être exploitable. Il va consulter les bases de données de fuites passées, les adresses e-mail de vos collaborateurs ont peut-être été compromises il y a 3 ans dans le piratage d'un site de e-commerce. Les mots de passe associés sont disponibles sur les dark web. Et vous savez quoi ? Beaucoup de gens réutilisent les mêmes mots de passe un peu partout. Il va scanner votre infrastructure visible depuis l'internet, sans jamais toucher un seul de vos systèmes. Il peut obtenir une cartographie extrêmement détaillée de votre présence en ligne. Les services exploités, les versions des logiciels, les technologies utilisées, tout cela est accessible à qui sait chercher. Et les outils pour chercher sont gratuits et documentés. Il va étudier vos fournisseurs, vos partenaires, vos clients, parce qu'il sait qu'attaquer directement votre entreprise peut être difficile, mais qu'attaquer un de vos sous-traitants, qui a un accès à votre système d'information, est peut-être plus facile. Ce qu'on appelle la tech par chaîne d'approvisionnement, et le cas de SolarWinds nous a montré à quel point cette approche peut être dévastatrice. Maintenant inversons la perspective. Qu'est-ce que le défenseur sait sur son attaquant ? Presque rien, rien en fait. Tant qu'un attaquant n'a pas commencé, tant qu'une attaque n'a pas été détectée, le défenseur ignore tout. Il ne sait pas qui va l'attaquer, il ne sait pas quand, il ne sait pas comment, il ne sait pas avec quel outil, il ne sait pas en combien de temps, ni avec quelle intensité. C'est comme si vous étiez dans une pièce sombre et que quelqu'un, quelque part, à l'extérieur, vous observait à travers des jumelles à vision nocturne. Il voit toutes vous. Vous ne voyez rien de lui et à un moment qu'il choisira, il franchira votre porte. Jusque là, vous ne pourrez que vous préparer à une menace dont vous ne connaissez ni le visage ni le calendrier. Cette asymétrie de l'information est tellement forte que les renseignements sur la menace, ce qu'on appelle le Cyber Threat Intelligence ou CTI, est devenu un domaine à part entière de la cybersécurité. Des entreprises spécialisées passent leur temps à surveiller les forums du dark web, à infiltrer des groupes criminels, analyser des techniques utilisées pour les différents groupes d'attaquants, pour essayer de donner aux défenseurs ne serait-ce qu'un aperçu de ce qui pourrait leur tomber dessus. C'est précieux, mais c'est aussi un aveu implicite. Sans ce travail de renseignement, nous sommes aveugles. Troisième dissymétrie, et pas la moindre, celle du temps. Le défenseur n'a pas le choix de son calendrier. Il doit être opérationnel 24h sur 24, 7 jours sur 7, 365 jours par an. Il doit être aussi vigilant le vendredi 25 décembre à 3h du matin. qu'il l'est le mardi 14 à 14 heures. Il doit tenir pendant les vacances d'été, pendant les ponts, pendant les jours fériés, pendant les week-ends, pendant les périodes de fin d'année où les équipes sont réduites. L'attaquant, lui, choisit son moment. Et devinez quand est-ce qu'il choisit d'attaquer ? Exactement au moment où le défenseur est le plus vulnérable. Les statistiques sur les ransomware sont éloquentes à ce sujet. Une étude publiée par des chercheurs en cybersécurité a montré que la grande majorité des attaques par ranches aux iciels sont déclenchées le vendredi soir. Le samedi, ou la veille d'un jour fait rien important. Pourquoi ? Pour plusieurs raisons cumulatives. Première raison, l'équipe de sécurité est réduite. Si vous avez 5 analystes SOC en semaine, vous en avez peut-être un seul le samedi. Ses capacités de détection et de réaction sont mécaniquement réduites. Deuxième raison, la psychologie humaine. Un attaquant qui déclenche son rançon judiciaire un vendredi à 20h, sait qu'il offre à la victime un week-end entier pour paniquer, pour se rendre compte de l'ampleur des dégâts. Et pour se convaincre que payer la rançon est la solution la plus rapide pour reprendre une activité normale le lundi matin. Troisième raison, la pression du temps. Plus le temps passe, plus les dégâts s'accumulent. Chiffrement qui progresse, sauvegarde compromise, systèmes qui tombent les uns après les autres. L'attaquant sait qu'à chaque heure qui passe, renforce sa position de négociation. Mais le problème du temps, ce n'est pas seulement celui du moment de l'attaque. C'est aussi la détection. Parce qu'un attaquant, ce n'est pas une explosion instantanée. C'est souvent un processus long. L'attaquant entre dans votre système, puis s'y déplace lentement, discrètement, pendant des semaines ou des mois, pour cartographier votre réseau, identifier vos actifs critiques, localiser vos sauvegardes et préparer le coup final. Les statistiques les plus récentes montrent qu'en moyenne, un attaquant reste dans le système qui l'a compromis pendant plusieurs semaines, parfois pendant plusieurs mois, avant d'être détecté. Et dans certains cas, notamment pour des attaques sophistiquées d'espionnage étatique, On parle de plusieurs années de présence silencieuse. Pendant tout ce temps, l'attaquant agit avec une patience de chat. Il pose ses pions, il crée des comptes dormants qu'il pourra réveiller plus tard, il installe des portes dérobées, il se fond dans le trafic normal en utilisant des outils qui ressemblent à ceux de vos administrateurs. Le défenseur, pendant ce temps, va qu'à ses occupations quotidiennes sans se douter de rien. Quatrième dissymétrie, particulièrement frustrante, celle des coups. Combien coûte une attaque ? Pour une opération simple, basée sur du phishing de messe, quelques centaines d'euros suffisent. Un serveur de messagerie à bas coût, un nom de domaine qui ressemble à celui d'une banque, un kit de phishing acheté clé en main sur un forum, et vous êtes prêt à lancer une campagne contre des dizaines de milliers de cibles. Le retour sur investissement, même avec un taux de succès très faible, reste excellent pour l'attaquant. Pour un attaquant plus sophistiqué, les coûts montent, mais restent dérisoires comparés aux moyens nécessaires à la défense. Un ransomware as a service s'achète quelques milliers d'euros sur le dark web, avec un support technique inclus, mise à jour garantie et partage des rançons obtenues. Il existe aujourd'hui des modèles d'affaires complètement structurés dans le cybercrime, avec des plateformes, des SLA, des programmes d'affiliation. Le crime s'est professionnalisé et industrialisé. Un 0D, une vulnérabilité inconnue particulièrement précieuse, peut se vendre entre 5000 et plusieurs millions d'euros, selon sa qualité et la plateforme ciblée. C'est beaucoup, direz-vous, mais pour un acteur étatique ou un groupe crimel organisé, c'est un investissement raisonnable quand on sait qu'il permettra potentiellement de compromettre des milliers de cibles et d'en tirer des rançons de plusieurs millions chacune. Maintenant, regardez de l'autre côté. Combien coûte la défense pour une entreprise de taille moyenne ? Il faut une équipe de sécurité interne, avec des profils rares et donc chers sur le marché. Un RSSI expérimenté, des analystes SOC, un spécialiste de la réponse aux incidents, un architecte sécurité. Comptez plusieurs centaines de milliers d'euros par an, rien que pour la masse salariale. Il faut des outils. Un SIEM pour agréger les logs, un EDR pour protéger les postes de travail, des firewalls nouvelle génération. Une solution de gestion des identités, une plateforme PAM pour les comptes à privilèges, un scanner de vulnérabilité, des outils de détection de fuite de données. Chacun de ces outils représente plusieurs dizaines, voire centaines de milliers d'euros par an en licence et en intégration. Il faut des services externes, un pentester qui vient une ou deux fois par an pour tester vos défenses, un prestataire qui vous accompagne en cas d'incident, un cabinet d'audit pour vos certifications, un service de veille sur les menaces. Il faut des formations régulières pour l'ensemble des collaborateurs. Il faut des exercices de simulation, des campagnes de phishing interne, il faut des processus, des documents et des plans de reprise. Au total, une entreprise qui prend au sérieux sa cybersécurité dépense souvent 5 à 15% de son budget informatique rien que pour la cybersécurité. Et ce budget ne cesse d'augmenter année après année. Alors faites le rapport. D'un côté, un attaquant qui investit quelques milliers d'euros pour mener une campagne, de l'autre, une entreprise qui investit plusieurs millions d'euros par an pour s'en protéger. Il y a la fin. Ce n'est même pas l'entreprise qui gagne à tous les coups. L'économie de la cybersécurité est profondément dissymétrique, et cette asymétrie financière joue structurellement en faveur de l'attaquant. Cinquième dissymétrie, particulièrement vicieuse, parce qu'elle s'aggrave avec le temps, celle de la complexité. Une entreprise qui existe depuis 20 ans a accumulé une quantité impressionnante de dettes techniques. Des systèmes anciens qui tournent encore parce qu'ils supportent des processus métiers critiques, des applications développées il y a 15 ans, dans un langage que plus personne ne maîtrise. Des serveurs qui ne peuvent pas être mis à jour parce qu'un logiciel essentiel ne fonctionne qu'avec une version obsolète du système d'exploitation ? À cela, il faut ajouter les multiples couches de modernisation successives. La migration vers le clan n'a pas remplacé l'existant, elle s'y est ajoutée. Le télétravail n'a pas supprimé le bureau, il s'est superposé. Les applications SaaS n'ont pas remplacé les applications internes, elles cohabitent avec elles. Résultat, un système d'information moderne est un millefeuille complexe où se superposent des technologies de différentes époques, des architectures hétérogènes, des modèles de sécurité incompatibles. Cette complexité est un cauchemar pour les défenseurs. Chaque interconnection entre deux systèmes est un point potentiel de faille. Chaque couche de compatibilité ajoutée pour faire communiquer l'ancien et le nouveau introduit de nouveaux risques. Chaque exception à la politique de sécurité, accordée pour des raisons métiers légitimes, ouvre une brèche potentielle. L'attaquant, lui, travaille avec des outils modernes, à jour, conçu spécifiquement pour exploiter les faiblesses de ces architectures hybrides. Il n'a pas de tête technique, il n'a pas d'historique à maintenir, il adopte immédiatement les dernières techniques, les derniers frameworks d'attaque, les derniers outils de post-exploitation. C'est exactement la situation dans laquelle s'est trouvée l'armée française en 1940. Elle disposait d'excellents chars, parfois supérieurs techniquement aux Panzer allemands, mais sa doctrine, son organisation, ses processus de décision étaient ceux de la Première Guerre mondiale. L'adversaire, lui, avait repensé la guerre. autour de la mobilité, de la radio, de la coordination entre les armes. Ce n'est pas l'équipement qui a fait la différence, mais c'est la modernité de l'approche. En cybersécurité, c'est souvent pareil. Vous pouvez avoir des milliers d'outils du marché. Si votre architecture globale date d'il y a 20 ans, vous partez avec un handicap considérable. Et moderniser une architecture, ça prend des années, parfois des décennies. Pendant ce temps, les attaquants, eux, continuent à innover à un rythme beaucoup plus rapide. Sixième dissymétrie, et pas la moins importante, c'est celle des contraintes. Quand vous êtes défenseur, vous jouez avec un nombre considérable de contraintes. Vous devez respecter la loi, le RGPD, le droit du travail, le secret des correspondances, les obligations sectorielles si vous êtes dans une banque, la santé, l'énergie ou les télécoms. Vous devez respecter les contraintes métier. Vous ne pouvez pas arrêter la production juste parce qu'une vulnérabilité critique vient d'être publiée. Vous ne pouvez pas bloquer un processus de vente pour imposer une authentification supplémentaire. Vous ne pouvez pas demander à vos commerciaux de ne plus utiliser leur smartphone personnel en déplacement. Ces décisions de sécurité doivent toujours se négocier avec les contraintes opérationnelles. Et ce sont rarement les préoccupations de sécurité qui l'emportent. Vous devez respecter les contraintes budgétaires. Vos demandes d'investissement passent par des comités, des arbitrages, des priorisations. Ce que vous obtenez est toujours inférieur à ce dont vous auriez besoin. Vous devez respecter les contraintes de ressources humaines. Former un analyste SOC prend des mois. Recruter un expert en cybersécurité prend des trimestres. Retenir vos talents est une bataille permanente dans un marché tendu. Vous devez respecter l'éthique, la déontologie, la transparence. Vous ne pouvez pas mentir à vos employés pour tester leur vigilance de manière trop agressive.
Speaker #1
Attention, Emile, derrière vous !
Speaker #3
Ça ne prend pas assez. On peut tromper mille fois une personne, mais on ne peut pas tromper... Si, on peut tromper une fois une... Non, on ne peut pas tromper une fois mille personnes, mais on peut tromper une fois mille personnes.
Speaker #0
Vous ne pouvez pas surveiller leur communication personnelle. Vous ne pouvez pas piéger leur poste de travail de manière intrusive. L'attaquant, lui, n'a aucune de ses contentes. Il peut mentir, manipuler... usurper des identités, falsifier des documents, corrompre les collaborateurs, menacer, faire chanter. Il peut utiliser les infrastructures louées sous de fausses identités, dans des juridictions qui ne coopèrent pas avec vos enquêteurs. Il peut changer de tactique, d'outils, de cible à chaque instant. Pour lui, il n'y a pas de comité d'éthique, pas de DRH, pas de juriste qui vérifie la conformité de ses actions avec le RGPD. Il joue avec des cartes qui n'existent pas pour vous. Il détruit, copie, modifie, supprime, sans que personne ne vienne lui demander des comptes. C'est une situation profondément injuste, il faut l'accepter comme telle. Vous ne pouvez pas répondre à un attaquant par les mêmes méthodes qu'il utilise. Vous ne pouvez pas le pirater en retour, même si vous l'avez identifié. Vous devez, quoi qu'il arrive, rester dans le cadre légal et éthique. Lui n'a cette contrainte que s'il se fait attraper, et ce qui, soi-disant en passant, arrive rarement. Septième et dernière dissymétrie, peut-être la plus radicale philosophiquement, celle de la connaissance. En cybersécurité, il existe une catégorie de vulnérabilité particulièrement redoutable qu'on appelle les 0D. Un 0D, c'est une faille de sécurité qui existe dans un logiciel, mais qui n'est pas encore connue de son éditeur, ni des défenseurs, ni de la comité de la cybersécurité en général. Elle est seulement connue de celui qui l'a découverte, et potentiellement de celui qui l'a vendue. Le nom de 0D vient du fait que l'éditeur de logiciel a eu zéro jour pour corriger la vulnérabilité, puisqu'il ne sait même pas qu'elle existe. Et tant qu'elle n'est pas publiée, aucun correctif ne peut être développé. Aucune signature de détection ne peut être créée. Aucune règle de firewall ne peut être établie pour la bloquer. Pensez-y un instant. Vous pouvez avoir le meilleur antivirus du monde, le meilleur firewall, le meilleur SIEM. Si l'attaquant utilise une variabilité que personne ne connaît, aucune de ces protections ne fonctionnera. Vous êtes littéralement sans défense. Les 0D sont rares, précieux et coûteux. Ils sont utilisés avec... parcimonie par les acteurs qui les détiennent parce que chaque utilisation augmente le risque de les voir détecter et donc corrigés ils sont réservés aux cibles de très haute valeur opération d'espionnage étatique attaque sur des infrastructures critiques opération offensive de grande envergure au delà des 0d au sens critique il y à toute une zone d'ombre plus large les vulnérabilités connues mais non corrigées les failles logiques dans vos applications métier les mauvaises configurations introduites par erreur les combinaisons d'actions qui Prises isolément sont légitimes, mais qui, combinées, permettent une escalade des privilèges. Le défenseur ne peut pas se protéger contre ce qu'il ne connaît pas, et la quantité de ce qu'il ne connaît pas, à propos de son propre système d'information, est toujours plus grande qu'il ne veut bien l'admettre. C'est d'ailleurs le but de ce qu'on appelle le thread hunting, la chasse aux menaces. Partir du principe qu'il y a quelque chose que vous n'avez pas vu, et chercher activement ce que vous ignorez. Cette dissymétrie de la connaissance est, fondamentalement, Une conséquence de la complexité des systèmes modernes. Un logiciel de quelques millions de lignes de code contient inévitablement des bugs. Parmi ces bugs, une fraction sont des vulnérabilités de sécurité. Parmi ces vulnérabilités, une fraction sont réellement exploitables. Parmi les exploitables, une fraction sera à t'exploiter. Vous ne pouvez pas avoir la certitude qu'aucune de ces vulnérabilités n'existe dans votre environnement. Vous pouvez seulement réduire leur nombre, leur criticité et leur fenêtre d'exploitation. Alors face à ces 7 dissymétries, que faire ? Faut-il baisser les bras ? Considérer que la cybersécurité est un combat perdu d'avance ? Certains diront même que c'est un échec ? Et renoncer à investir dans la défense ? Évidemment non, il ne faut pas changer de perspective, il faut accepter que la parité n'est pas atteignable, et organiser sa stratégie autour de cette réalité. Trois principes peuvent vous guider. Le premier principe, c'est d'accepter la compromission comme une hypothèse de travail. Pendant longtemps, la cybersécurité s'est construite autour de l'idée qu'il fallait empêcher l'intrusion. A tout prix, aujourd'hui la doctrine a évolué vers une approche beaucoup plus réaliste. Il faut se préparer à la compromission, pas l'empêcher. C'est toute la philosophie du Zero Trust, dont j'ai déjà parlé dans un épisode précédent. Ne faire confiance à rien, vérifier tout, partout, tout le temps. Segmenter, cloisonner, pour que si un attaquant entre quelque part, il ne puisse pas se propager partout. C'est aussi la philosophie derrière les investissements massifs dans la détection. Plutôt que d'essayer désespérément de construire une muraille infranchissable, On accepte que celle-ci sera franchie, et on se concentre sur la capacité à détecter rapidement l'intrusion, à la comprendre, à y répondre. Le rôle du SOC, des CDR, des XDR et de toute cette instrumentation qui équipe les entreprises modernes. Le deuxième principe, c'est d'augmenter le coût pour l'attaquant plutôt que rêver d'une défense parfaite. Même si vous ne pouvez pas empêcher absolument une attaque, vous pouvez la rendre plus difficile, plus longue, plus coûteuse, plus risquée. Et à un certain seuil, l'attaquant préférera se tourner vers une cible plus facile. C'est la logique de la serrure. Aucune serrure n'est inviolable face à un cambrioleur professionnel déterminé. Mais une bonne serrure suffit à dissuader les opportunistes, et l'oblige les professionnels à passer suffisamment de temps à travailler devant votre porte pour se faire remarquer par les voisins. En cybersécurité, c'est pareil. Chaque couche de défense supplémentaire, chaque contrôle, chaque procédure, ajoute du coût pour l'attaquant. L'objectif n'est pas de le rendre impuissant, mais de le rendre moins rentable. Le troisième principe, c'est de réduire drastiquement le temps de détection et de réponse. Si vous ne pouvez pas empêcher l'intrusion, vous pouvez au moins empêcher qu'elle ne devienne une catastrophe. Un attaquant qui a été détecté en quelques heures, avant qu'il ait pu atteindre vos actifs critiques, avant qu'il ait pu déployer ses charges utiles, cet attaquant-là n'aura finalement pas fait de dégâts significatifs. L'intrusion aura lieu, mais elle n'aura pas eu de conséquences majeures. C'est pourquoi les métriques modernes de cybersécurité se concentrent de plus en plus sur les dimensions temporelles, le temps moyen de détection, appelé MTTT pour Mid-Time to Detect. Le temps moyen de confinement, le temps moyen de remédiation, réduire ses temps, c'est réduire l'impact d'une attaque, même si on n'a pas pu l'empêcher. Et dans cette logique, l'entraînement joue un rôle fondamental. Les exercices de simulation, les red teams qui jouent le rôle d'attaquants, pour tester les défenses, les exercices de gestion de crise, tout cela permet de s'assurer que les jours où l'incident arrivera, les équipes sauront réagir vite et bien. Parce que le vrai différenciateur, en cas d'attaque réussie, ce n'est pas la sophistication de vos outils, c'est la qualité de votre réponse. Revenons une dernière fois à la ligne Maginot. Pourquoi était-elle échouée ? Alors qu'elle était techniquement remarquable. Pas parce qu'elle était mal conçue, pas parce qu'elle était mal construite, pas parce que ses défenseurs étaient incompétents. Elle a échoué parce qu'elle répondait à la guerre d'avant. Elle avait été pensée pour contrer les offensives d'infanterie de 1918 avec leurs vagues d'assauts massives et leurs artilleries de tranchées. Elle n'avait pas été pensée pour la guerre de mouvement de 1940 avec ses blindés rapides, son aviation tactique, tactique. et ses coordinations radio. En cybersécurité, nous courons constamment le risque de construire notre propre ligne imaginaux. Des architectures défensives, pensées pour les menaces d'hier, parfaitement inadaptées aux menaces d'aujourd'hui, et encore moins celles de demain. Des procédures qui protègent efficacement contre les virus des années 2000, mais qui sont désarmées face aux ransomware modernes pilotées par des opérateurs humains, voire même des ransomware totalement autonomes. Des périmètres réseaux qui avaient du sens à l'époque, où tout le monde travaillait au bureau. mais qui n'ont plus aucun sens à l'ère du télétravail généralisé et des applications cloud. La défense qui gagne, c'est celle qui comprend cette dissymétrie fondamentale et qui l'intègre dans sa stratégie. Celle qui accepte qu'elle aura toujours un train de retard et qui organise son dispositif pour que ce retard soit le plus court possible. Celle qui sait qu'elle ne peut pas tout protéger également et qui priorise intelligemment. Celle qui investit autant dans la détection et la réponse que dans la protection. Et puis il faut aussi accepter une forme d'humilité. La cybersécurité n'est pas une science exacte, ce n'est pas un domaine où l'on peut atteindre la perfection. C'est un combat permanent, évolutif, dans lequel on n'est jamais définitivement en sécurité. Les entreprises qui s'en sortent le mieux ne sont pas celles qui se prétendent être impénétrables, ce sont celles qui ont développé une culture de l'apprentissage continu, de l'amélioration permanente, de l'adaptation constante aux nouvelles menaces. Alors la prochaine fois que vous lirez dans la presse qu'une grande entreprise, une administration, un hôpital a été victime de cyberattaques, résistait à la tentation de conclure trop vite qu'ils étaient incompétents, négligents ou mal préparés. Peut-être qu'ils l'étaient, mais peut-être aussi qu'ils avaient fait tout ce qu'ils pouvaient faire raisonnablement et que la dissymétrie structurelle entre l'attaquant et la défense a simplement joué son rôle. Parce qu'au bout du compte, ce qui différencie les bons défenseurs des mauvais, ce n'est pas l'absence d'incidents. Tout le monde subit des incidents tôt ou tard. Ce qui les différencie, c'est la manière dont ils les détectent, et réagissent. apprennent et s'adaptent. Dans un jeu truqué en faveur de l'adversaire, le vrai succès, c'est la résilience, pas l'invisibilité. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'oubliez pas de le liker, de le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu d'une mort, c'est bien plus sérieux que ça. Générique Oh Oh
Speaker #4
Hey, you're the very easy

Embed