Description
Premier épisode du podcast "La cybersécurité expliquée à ma grand-mêre"
Compte instagram @mamiecyber
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
- Speaker #0
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Avant de parler de cybersécurité, on va d'abord parler de sécurité. Qu'est-ce que la sécurité ? La sécurité, c'est un besoin fondamental. Tout le monde a besoin de sécurité. Vous avez besoin de vous sentir en sécurité chez vous, vous avez besoin de vous sentir en sécurité dans les transports, donc la sécurité est quelque chose d'essentiel pour le bien de tout le monde. Mais quand on y réfléchit de plus près, on s'aperçoit que la sécurité est un équilibre entre deux choses, la perception et la réalité. La perception du risque, c'est-à-dire la perception du problème qui peut nous arriver. Et l'arité, c'est-à-dire de savoir si ce problème existe vraiment. C'est un équilibre entre deux choses. Cet équilibre, on le fait de manière très naturelle, en permanence, depuis notre plus tendre enfance. On essaie de faire le lien entre la perception et la réalité du risque. Mais parfois, cet équilibre est précaire. Par exemple, on peut parfaitement se sentir en sécurité alors qu'on ne l'est pas réellement. Mais parfois, l'inverse. c'est-à-dire se sentir en insécurité, alors que le risque n'existe pas vraiment. On va prendre un exemple très concret. Les personnes qui ont peur en avion se sentent souvent très mal, car ils ont une perception du risque. L'avion qui bouge, les fameux trous d'air, alors qu'en réalité il n'y a pas plus de trous dans l'air que de trous dans l'eau, tout ça donne le sentiment qu'il y a un risque important. Alors qu'on sait que statistiquement, le transport aérien est l'un des moyens des transports les plus sûrs. Souvent les personnes phobiques craignent l'avion, car ils ne comprennent pas comment l'avion vole. C'est cette méconnaissance qui, en partie, crée ce sentiment d'insécurité. Heureusement, dans la plupart des cas, cette relation entre réalité et perception est relativement simple à faire. Si vous êtes dans une maison au feu, par exemple, vous allez sentir l'odeur de la fumée, vous allez peut-être voir des flammes. Vous allez comprendre instinctivement que vous êtes dans un environnement risqué. Malheureusement, notre perception du risque peut changer en fonction du contexte. Par exemple, si on nomme le risque, celui-ci va apparaître plus important. C'est ce qui se passe quand vous lisez dans le journal un article sur un kidnapping. Vous allez avoir un sentiment d'insécurité parce que vous allez avoir l'impression qu'à cause de ce kidnapping, vous viviez dans un monde beaucoup moins sûr. En réalité, d'un point de vue statistique, là encore, vous n'avez que très peu de chances, ou plus précisément de malchance d'être kidnappé. Mais parce que vous avez eu cette information, ce risque semble devenir plus important, alors qu'en réalité il n'en est rien. C'est la même chose aussi avec les attaques terroristes. Le fait qu'on parle d'attaques terroristes dans les journaux montre que ces attaques existent. Et parce qu'on vous en a parlé, vous allez avoir l'impression que le monde est totalement non sécurisé. Une fois de plus, c'est notre perception de risque qui nous fait réagir ou sur-réagir. En revanche, certains risques qui, eux, ont bien été établis, paraissent moins importants. Par exemple, pour les fumeurs, c'est bien indiqué sur tous les paquets de cigarettes que fumer est dangereux pour la santé. C'est un risque qui est parfaitement quantifié et qualifié. Et pourtant les fumeurs minimisent le risque. Pourquoi ? Parce que c'est un risque qu'ils y prennent de manière quotidienne, et surtout dont les conséquences ont une échelle de temps bien plus longue. Quand un risque est lointain, l'humain a tendance à minimiser la perception de ce risque. On pourrait faire un parallèle avec le risque de disparition du soleil. C'est un événement totalement probable. On est sûr que ça va arriver. Mais l'échelle de temps est tellement considérable que ça ne représente un danger pour personne, et pourtant, le risque existe bien. Pour reprendre un exemple à notre échelle de temps, c'est celui du réchauffement climatique. Pour certaines personnes, le risque est trop loin ou encore trop difficilement quantifiable. Et à cause de cela, leur perception du risque est biaisée. Mais finalement, il y a un point commun dans tout ça, c'est l'humain. Et surtout l'incertitude liée aux facteurs humains et culturels. Pour rendre les choses plus sûres, il faut donc mieux quantifier et qualifier les risques. leur occurrence, leur probabilité, l'impact probable et l'échelle de temps. Il faut impérativement comprendre l'environnement dans lequel on vit. Sans comprendre son environnement, il va être extrêmement difficile de faire le lien entre perception et réalité. Si vous vous retrouvez dans la jungle, qui a priori est un domaine qui est totalement inconnu pour vous, sauf si vous êtes un spécialiste, vous allez avoir certaines difficultés à savoir si c'est dangereux ou pas. Est-ce que la bête qui est devant vous est dangereuse ou plutôt inoffensive ? Faut-il faire attention aux morsures d'insectes ou comment trouver de l'eau potable ? Sans avoir une certaine connaissance de son environnement, il est quasi impossible d'évaluer les risques et de savoir comment réagir. Grimper à l'arbre, courir ou ne pas courir ? Il manque donc un outil pour évaluer le risque et faire le lien entre perception et réalité. Cet outil, c'est un modèle d'évaluation du risque. Alors c'est un nom bien pompeux, mais en fait c'est juste un moyen de corriger les biais de perception. Le sentiment du risque est basé sur l'intuition, c'est-à-dire sur ce qu'on pense en fonction de notre culture personnelle, alors que le modèle, lui, est basé sur la raison. C'est-à-dire que le modèle, lui, va prendre en compte des paramètres factuels et va nous donner une perception du risque beaucoup plus juste. Et pourquoi justement le risque en matière de cybersécurité est si complexe à évaluer ? Tout simplement parce que le monde cyber est un monde qui est au-delà du réel, et qu'en plus de ça, il a été créé par et pour les humains. Par conséquent, il faut s'attendre à des imperfections. Quand Internet a été conçu, le réseau était conçu pour être robuste, mais pas forcément sécurisé. C'est-à-dire que d'une certaine manière, dès l'origine, il y a eu des vices de fabrication. Évidemment, ce n'était pas intentionnel. mais il est quand même très difficile de corriger certaines erreurs après coup. C'est un peu comme le péché originel. Si on prend l'exemple d'Internet, où est-ce que ça se situe exactement ? Il n'y a pas vraiment non plus de début ni de fin. En fait, le monde cyber a été créé au-delà du réel. Et cela fait même partie de la déclaration d'indépendance du Cyberespace publié en 1996. C'est un cadre évidemment symbolique, mais ça montre bien cette volonté de créer un nouveau monde. Et pourtant, ce monde au-delà du réel, on l'utilise chaque jour, chaque minute, mais sans vraiment comprendre comment ça fonctionne. C'est un peu comme vivre dans un monde dont on ne connaît pas vraiment le fonctionnement. Et pourtant, nous sommes 7,9 milliards d'habitants sur la planète, dont 60% utilisent le monde cyber tous les jours, que ce soit pour communiquer, pour jouer, apprendre ou travailler. Et tout ça sans beaucoup de connaissances sur les risques qu'ils peuvent éventuellement rencontrer. Sans oublier que tout ça a été créé pour des humains, avec de bonnes et parfois de mauvaises intentions. On reviendra dans un prochain podcast sur l'origine du monde cyber. Vous avez compris, je pense, que tout cela donne un ensemble assez explosif. Et donc, à l'instar de la jungle, vous allez avoir du mal finalement à vous en sortir sans évaluer correctement les risques dans le monde cyber. Pour comprendre les risques sous-jacents à la cybersécurité, il faut comprendre comment les données sont traitées. Et là, ça peut être beaucoup de choses. Votre ordinateur personnel, par exemple, Mais ça peut être aussi votre smartphone ou la caisse du supermarché. Vous avez des systèmes d'information qui ont des connexions explicites. Par exemple, quand vous connectez un site web, vous créez explicitement une connexion. Et puis vous avez aussi des choses qui créent des connexions implicites. Par exemple, les objets connectés. Ces objets connectés ont besoin très souvent d'infrastructures, beaucoup plus importantes pour fonctionner. Vous connaissez tous l'exemple de Google, où on demande quel météo il fera demain. Pour que notre objet connecté puisse vous répondre, Il a besoin de se connecter à l'extérieur et aller chercher cette information sur Internet. Parfois même, il peut y avoir des interactions avec des équipements, même si celui-ci est arrêté. C'est le cas de certains smartphones qui, même éteints, continuent d'interagir. C'est une faille de sécurité qui s'appelle Devils never sleep les démons ne dorment jamais. Avant d'aller plus loin dans les détails des risques, il faut aussi parler des impacts potentiels sur nos données. Il y a trois facteurs très importants qui caractérisent les risques liés à une information. On parle souvent de l'acronyme CIA. Alors ça n'a rien à voir avec l'agence américaine, mais c'est l'acronyme de trois facteurs importants en matière de cybersécurité. La confidentialité, l'intégrité et la disponibilité. Confidentiality, integrity, availability. Certains aussi parlent d'auditabilité, mais c'est un peu technique et je n'en parlerai pas aujourd'hui. Mais retenez au moins les trois facteurs, confidentialité, intégrité et disponibilité. La confidentialité, c'est simplement le fait que vos données soient accessibles aux bonnes personnes. Par exemple, votre dossier médical, c'est plutôt une bonne chose que ces données soient disponibles uniquement par des partenaires de santé reconnus. Votre médecin, par exemple, un laboratoire qui va procéder à une analyse médicale, ou alors l'hôpital, s'ils ont besoin d'avoir un peu plus d'informations sur la traité de santé ou sur votre dossier personnel. Donc là, c'est très important que ces informations restent confidentielles, c'est-à-dire accessibles uniquement par les personnes qui ont été autorisées à y accéder. Le second, c'est l'intégrité. L'intégrité, c'est la possibilité de modifier des informations dans un système d'informations sans que vous soyez autorisé à le faire. Un autre exemple serait par exemple votre compte bancaire. Si quelqu'un arrive à modifier ses informations de manière malveillante, à un RIB de paiement par exemple, ça peut avoir certaines conséquences pour vous. Dernier facteur, c'est la disponibilité. Il est important que les systèmes d'information restent disponibles. Le meilleur exemple, c'est le GPS. Le GPS, vous le savez, c'est une constellation de satellites qui tourne autour de la Terre et qui permet à chacun d'avoir un guidage pour aller d'un point A à un point B. Qu'adviendrait-il si, par hasard, il y avait une panne géante du système GPS ? Ça s'est déjà produit et ça pose d'énormes problèmes. Il est donc important que certains systèmes d'information puissent toujours être disponibles en temps et en heure. Maintenant qu'on a parlé des trois critères, la confidentialité, l'intégrité et la disponibilité, on peut parler d'un problème qui existe en cybersécurité. Ce sont les vulnérabilités. Je voudrais vous expliquer cinq règles à toujours suivre. La première, c'est que si une vulnérabilité existe, alors cette vulnérabilité sera exploitée. En fin de compte, ça revient à dire que s'il y a une faille de sécurité quelque part, Quelqu'un va les chercher, la trouvera et va l'exploiter. Et ça, vous pouvez faire confiance aux hackers. Il y a donc des milliers de personnes qui cherchent des failles de sécurité en permanence sur tous les systèmes d'information de la planète. On parle souvent des deux catégories de hackers. Les black hats, donc les chapeaux noirs, ce sont des hackers assez méchants. C'est-à-dire des vrais hackers qui font ça de manière malveillante. Alors qu'il existe aussi les white hats, ça ce sont les gentils, ce sont les chercheurs en cybersécurité. Ces chercheurs ont pour but de trouver des fêtes de sécurité et de demander ensuite à l'éditeur de les corriger. Et ça, d'une manière globale, ça améliore finalement la cybersécurité. Parce que si on trouve une fête de sécurité quelque part, et qu'on communique avec l'éditeur du logiciel ou propriétaire du système d'information, il pourra corriger cette vulnérabilité et donc le rendre plus fort. En revanche, les black hats, les méchants en eux, cherchent à utiliser ces vulnérabilités pour justement les exploiter de manière malveillante. Règle numéro 2. Tout est vulnérable d'une certaine manière. Pourquoi ? Parce que la perfection n'existe pas. Tous les systèmes d'information qui nous entourent ont été créés par des humains. Or, il faudrait avoir une chance incroyable pour qu'il n'y ait jamais aucune erreur, jamais aucun bug dans la conception des systèmes. Et c'est la raison pour laquelle il reste des vulnérabilités, même si on prend beaucoup de soin à vérifier le code et à vérifier la configuration des systèmes. Parfois, c'est la logique même du système qui est mise en cause. Et ça, ça existe depuis l'aube de l'humilité. Dans l'un des futurs épisodes de ce podcast, je vous expliquerai l'histoire des hackers. Vous serez très surpris de voir quand ça a commencé. Règle numéro 3. L'homme fait conscience même s'il ne devrait pas. Et le meilleur exemple, c'est le succès des campagnes de phishing. Bon nombre d'entre nous ont déjà reçu dans leur boîte mail des propositions plus ou moins menaçantes qui les incitent à faire un certain nombre d'actions. Il suffit que le contexte soit favorable pour que malheureusement vous fassiez confiance à l'interlocuteur qui est en face de vous. Règle numéro 4, les nouvelles technologies créent toujours de nouvelles failles de sécurité. Faisons un peu d'histoire. Il existe un très vieux protocole qui s'appelle ICMP. C'est un protocole qui est utilisé dans la commande ping. Peut-être que certains d'entre vous l'ont déjà utilisé pour voir si tout simplement une machine était disponible ou pas. Ce ping est très pratique. Il est utilisé dans bon nombre de systèmes d'exploitation. La première version a été implémentée dans les années 80. Il y avait à cette époque une feuille de sécurité qui permettait de faire planter la machine à distance. C'est ce qu'on appelait le ping de la mort. C'est tout simplement dû à un défaut dans l'implémentation du protocole. Et cette feuille de sécurité existait encore dans les années 97. Un peu avant 94, Ericsson a créé le Bluetooth. Vous savez, c'est le fameux protocole qu'on utilise pour connecter les casques audio ou des composants divers et variés à votre smartphone. Et devinez quoi ? Dans le protocole Bluetooth, il y avait un équivalent du ping, qui lui aussi avait cette vulnérabilité. Les technologies sont différentes, les dates d'implémentation sont différentes, mais la faille de sécurité est la même. Règle numéro 5, si vous avez un doute, référez-vous à la règle numéro 1. Tout est vulnérable. La difficulté, et je pense que vous commencez à comprendre, c'est que tous ces systèmes d'information peuvent être altérés de bien des manières. Et donc, notre modèle d'évaluation du risque est essentiel. Pourquoi ? Parce que, encore une fois, c'est un nouveau domaine qu'il va falloir chercher à comprendre. Malheureusement, dans le monde de la cybersécurité, ce modèle va évoluer en permanence. Parce que ce qui est vrai aujourd'hui n'est pas forcément demain. Les données qui sont aujourd'hui protégées dans un système réputé inviolable, peut-être que du jour au lendemain, on va trouver une feuille de sécurité qui va malheureusement rendre disponible toutes ces informations. Et c'est la grande difficulté en cybersécurité. C'est que tout change en permanence. Il n'y a que très peu de choses qui sont quasiment immuables en matière de sécurité. C'est principalement la cryptographie. On en parlera plus tard parce que c'est un peu technique, mais dans son ensemble, la sécurité repose sur des modèles d'évaluation de risque qui évaluent en permanence. Et justement, la cybersécurité, c'est l'ensemble des contrôles, des méthodes et des outils qui permettent de se protéger de tout ça, c'est-à-dire de se protéger des altérations qui peuvent impacter la confidentialité, l'intégrité ou la disponibilité. Ce n'est pas seulement purement technique. Alors évidemment, on parlera de technique parce qu'on sera bien obligé d'en parler. Mais finalement, la cybersécurité, c'est un ensemble de beaucoup, beaucoup, beaucoup de choses. L'un des éléments les plus importants, c'est l'humain. Parce que justement, l'humain est un des maillons faibles de la cybersécurité. Parce que l'humain, on peut le manipuler de bien des manières. Et justement, comme j'ai expliqué au début, Votre perception du risque peut changer en fonction du contexte. Il y a aussi les aspects de délégation légale. C'est exactement ce qui se passe quand vous donnez des informations auprès d'un site tiers. Ce site web s'engage finalement à protéger vos informations correctement. Mais jusqu'à quel niveau ? Pouvez-vous vraiment lui faire confiance ? Finalement, la cybersécurité, ce n'est pas seulement un problème de mot de passe et d'antivirus. C'est quelque chose qui est beaucoup plus large, et beaucoup plus complexe à traiter. Ça devient un enjeu national. Aujourd'hui au Québec, vous avez un ministre dédié à la cybersécurité. L'armée française est dotée de cyberdéfense, et on l'a vu aussi avec le conflit en Ukraine. Maintenant, les cyberattaques font partie intégrante des capacités militaires des pays, que ce soit l'Ukraine, les Etats-Unis ou la Russie. Et c'est ça qui est passionnant dans la cybersécurité, c'est que finalement c'est un domaine qui est très nouveau. Les problèmes dont on a parlé aujourd'hui étaient probablement des problèmes qui n'existaient pas il y a 30 ans. Tout ça est arrivé avec Internet. la multiplication des moyens de communication et l'usage intensif d'ordinateurs. Vous découvrirez dans les prochains podcasts la genèse de ce nouveau monde, les enjeux politiques et les problématiques liées à la cybersécurité. Merci d'avoir écouté ce podcast. Pour le réaliser, je me suis inspiré de Bruce Nair, qui est un gourou de la cybersécurité, et surtout de son livre Secrets et mensonges de la cybersécurité Je citerai aussi les podcasts Ne limite sécu qui sont une mine d'informations. Et surtout, n'oubliez pas... certains pensent que la cybersécurité est un enjeu de vie ou de mort c'est bien plus sérieux que ça
Description
Premier épisode du podcast "La cybersécurité expliquée à ma grand-mêre"
Compte instagram @mamiecyber
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
- Speaker #0
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Avant de parler de cybersécurité, on va d'abord parler de sécurité. Qu'est-ce que la sécurité ? La sécurité, c'est un besoin fondamental. Tout le monde a besoin de sécurité. Vous avez besoin de vous sentir en sécurité chez vous, vous avez besoin de vous sentir en sécurité dans les transports, donc la sécurité est quelque chose d'essentiel pour le bien de tout le monde. Mais quand on y réfléchit de plus près, on s'aperçoit que la sécurité est un équilibre entre deux choses, la perception et la réalité. La perception du risque, c'est-à-dire la perception du problème qui peut nous arriver. Et l'arité, c'est-à-dire de savoir si ce problème existe vraiment. C'est un équilibre entre deux choses. Cet équilibre, on le fait de manière très naturelle, en permanence, depuis notre plus tendre enfance. On essaie de faire le lien entre la perception et la réalité du risque. Mais parfois, cet équilibre est précaire. Par exemple, on peut parfaitement se sentir en sécurité alors qu'on ne l'est pas réellement. Mais parfois, l'inverse. c'est-à-dire se sentir en insécurité, alors que le risque n'existe pas vraiment. On va prendre un exemple très concret. Les personnes qui ont peur en avion se sentent souvent très mal, car ils ont une perception du risque. L'avion qui bouge, les fameux trous d'air, alors qu'en réalité il n'y a pas plus de trous dans l'air que de trous dans l'eau, tout ça donne le sentiment qu'il y a un risque important. Alors qu'on sait que statistiquement, le transport aérien est l'un des moyens des transports les plus sûrs. Souvent les personnes phobiques craignent l'avion, car ils ne comprennent pas comment l'avion vole. C'est cette méconnaissance qui, en partie, crée ce sentiment d'insécurité. Heureusement, dans la plupart des cas, cette relation entre réalité et perception est relativement simple à faire. Si vous êtes dans une maison au feu, par exemple, vous allez sentir l'odeur de la fumée, vous allez peut-être voir des flammes. Vous allez comprendre instinctivement que vous êtes dans un environnement risqué. Malheureusement, notre perception du risque peut changer en fonction du contexte. Par exemple, si on nomme le risque, celui-ci va apparaître plus important. C'est ce qui se passe quand vous lisez dans le journal un article sur un kidnapping. Vous allez avoir un sentiment d'insécurité parce que vous allez avoir l'impression qu'à cause de ce kidnapping, vous viviez dans un monde beaucoup moins sûr. En réalité, d'un point de vue statistique, là encore, vous n'avez que très peu de chances, ou plus précisément de malchance d'être kidnappé. Mais parce que vous avez eu cette information, ce risque semble devenir plus important, alors qu'en réalité il n'en est rien. C'est la même chose aussi avec les attaques terroristes. Le fait qu'on parle d'attaques terroristes dans les journaux montre que ces attaques existent. Et parce qu'on vous en a parlé, vous allez avoir l'impression que le monde est totalement non sécurisé. Une fois de plus, c'est notre perception de risque qui nous fait réagir ou sur-réagir. En revanche, certains risques qui, eux, ont bien été établis, paraissent moins importants. Par exemple, pour les fumeurs, c'est bien indiqué sur tous les paquets de cigarettes que fumer est dangereux pour la santé. C'est un risque qui est parfaitement quantifié et qualifié. Et pourtant les fumeurs minimisent le risque. Pourquoi ? Parce que c'est un risque qu'ils y prennent de manière quotidienne, et surtout dont les conséquences ont une échelle de temps bien plus longue. Quand un risque est lointain, l'humain a tendance à minimiser la perception de ce risque. On pourrait faire un parallèle avec le risque de disparition du soleil. C'est un événement totalement probable. On est sûr que ça va arriver. Mais l'échelle de temps est tellement considérable que ça ne représente un danger pour personne, et pourtant, le risque existe bien. Pour reprendre un exemple à notre échelle de temps, c'est celui du réchauffement climatique. Pour certaines personnes, le risque est trop loin ou encore trop difficilement quantifiable. Et à cause de cela, leur perception du risque est biaisée. Mais finalement, il y a un point commun dans tout ça, c'est l'humain. Et surtout l'incertitude liée aux facteurs humains et culturels. Pour rendre les choses plus sûres, il faut donc mieux quantifier et qualifier les risques. leur occurrence, leur probabilité, l'impact probable et l'échelle de temps. Il faut impérativement comprendre l'environnement dans lequel on vit. Sans comprendre son environnement, il va être extrêmement difficile de faire le lien entre perception et réalité. Si vous vous retrouvez dans la jungle, qui a priori est un domaine qui est totalement inconnu pour vous, sauf si vous êtes un spécialiste, vous allez avoir certaines difficultés à savoir si c'est dangereux ou pas. Est-ce que la bête qui est devant vous est dangereuse ou plutôt inoffensive ? Faut-il faire attention aux morsures d'insectes ou comment trouver de l'eau potable ? Sans avoir une certaine connaissance de son environnement, il est quasi impossible d'évaluer les risques et de savoir comment réagir. Grimper à l'arbre, courir ou ne pas courir ? Il manque donc un outil pour évaluer le risque et faire le lien entre perception et réalité. Cet outil, c'est un modèle d'évaluation du risque. Alors c'est un nom bien pompeux, mais en fait c'est juste un moyen de corriger les biais de perception. Le sentiment du risque est basé sur l'intuition, c'est-à-dire sur ce qu'on pense en fonction de notre culture personnelle, alors que le modèle, lui, est basé sur la raison. C'est-à-dire que le modèle, lui, va prendre en compte des paramètres factuels et va nous donner une perception du risque beaucoup plus juste. Et pourquoi justement le risque en matière de cybersécurité est si complexe à évaluer ? Tout simplement parce que le monde cyber est un monde qui est au-delà du réel, et qu'en plus de ça, il a été créé par et pour les humains. Par conséquent, il faut s'attendre à des imperfections. Quand Internet a été conçu, le réseau était conçu pour être robuste, mais pas forcément sécurisé. C'est-à-dire que d'une certaine manière, dès l'origine, il y a eu des vices de fabrication. Évidemment, ce n'était pas intentionnel. mais il est quand même très difficile de corriger certaines erreurs après coup. C'est un peu comme le péché originel. Si on prend l'exemple d'Internet, où est-ce que ça se situe exactement ? Il n'y a pas vraiment non plus de début ni de fin. En fait, le monde cyber a été créé au-delà du réel. Et cela fait même partie de la déclaration d'indépendance du Cyberespace publié en 1996. C'est un cadre évidemment symbolique, mais ça montre bien cette volonté de créer un nouveau monde. Et pourtant, ce monde au-delà du réel, on l'utilise chaque jour, chaque minute, mais sans vraiment comprendre comment ça fonctionne. C'est un peu comme vivre dans un monde dont on ne connaît pas vraiment le fonctionnement. Et pourtant, nous sommes 7,9 milliards d'habitants sur la planète, dont 60% utilisent le monde cyber tous les jours, que ce soit pour communiquer, pour jouer, apprendre ou travailler. Et tout ça sans beaucoup de connaissances sur les risques qu'ils peuvent éventuellement rencontrer. Sans oublier que tout ça a été créé pour des humains, avec de bonnes et parfois de mauvaises intentions. On reviendra dans un prochain podcast sur l'origine du monde cyber. Vous avez compris, je pense, que tout cela donne un ensemble assez explosif. Et donc, à l'instar de la jungle, vous allez avoir du mal finalement à vous en sortir sans évaluer correctement les risques dans le monde cyber. Pour comprendre les risques sous-jacents à la cybersécurité, il faut comprendre comment les données sont traitées. Et là, ça peut être beaucoup de choses. Votre ordinateur personnel, par exemple, Mais ça peut être aussi votre smartphone ou la caisse du supermarché. Vous avez des systèmes d'information qui ont des connexions explicites. Par exemple, quand vous connectez un site web, vous créez explicitement une connexion. Et puis vous avez aussi des choses qui créent des connexions implicites. Par exemple, les objets connectés. Ces objets connectés ont besoin très souvent d'infrastructures, beaucoup plus importantes pour fonctionner. Vous connaissez tous l'exemple de Google, où on demande quel météo il fera demain. Pour que notre objet connecté puisse vous répondre, Il a besoin de se connecter à l'extérieur et aller chercher cette information sur Internet. Parfois même, il peut y avoir des interactions avec des équipements, même si celui-ci est arrêté. C'est le cas de certains smartphones qui, même éteints, continuent d'interagir. C'est une faille de sécurité qui s'appelle Devils never sleep les démons ne dorment jamais. Avant d'aller plus loin dans les détails des risques, il faut aussi parler des impacts potentiels sur nos données. Il y a trois facteurs très importants qui caractérisent les risques liés à une information. On parle souvent de l'acronyme CIA. Alors ça n'a rien à voir avec l'agence américaine, mais c'est l'acronyme de trois facteurs importants en matière de cybersécurité. La confidentialité, l'intégrité et la disponibilité. Confidentiality, integrity, availability. Certains aussi parlent d'auditabilité, mais c'est un peu technique et je n'en parlerai pas aujourd'hui. Mais retenez au moins les trois facteurs, confidentialité, intégrité et disponibilité. La confidentialité, c'est simplement le fait que vos données soient accessibles aux bonnes personnes. Par exemple, votre dossier médical, c'est plutôt une bonne chose que ces données soient disponibles uniquement par des partenaires de santé reconnus. Votre médecin, par exemple, un laboratoire qui va procéder à une analyse médicale, ou alors l'hôpital, s'ils ont besoin d'avoir un peu plus d'informations sur la traité de santé ou sur votre dossier personnel. Donc là, c'est très important que ces informations restent confidentielles, c'est-à-dire accessibles uniquement par les personnes qui ont été autorisées à y accéder. Le second, c'est l'intégrité. L'intégrité, c'est la possibilité de modifier des informations dans un système d'informations sans que vous soyez autorisé à le faire. Un autre exemple serait par exemple votre compte bancaire. Si quelqu'un arrive à modifier ses informations de manière malveillante, à un RIB de paiement par exemple, ça peut avoir certaines conséquences pour vous. Dernier facteur, c'est la disponibilité. Il est important que les systèmes d'information restent disponibles. Le meilleur exemple, c'est le GPS. Le GPS, vous le savez, c'est une constellation de satellites qui tourne autour de la Terre et qui permet à chacun d'avoir un guidage pour aller d'un point A à un point B. Qu'adviendrait-il si, par hasard, il y avait une panne géante du système GPS ? Ça s'est déjà produit et ça pose d'énormes problèmes. Il est donc important que certains systèmes d'information puissent toujours être disponibles en temps et en heure. Maintenant qu'on a parlé des trois critères, la confidentialité, l'intégrité et la disponibilité, on peut parler d'un problème qui existe en cybersécurité. Ce sont les vulnérabilités. Je voudrais vous expliquer cinq règles à toujours suivre. La première, c'est que si une vulnérabilité existe, alors cette vulnérabilité sera exploitée. En fin de compte, ça revient à dire que s'il y a une faille de sécurité quelque part, Quelqu'un va les chercher, la trouvera et va l'exploiter. Et ça, vous pouvez faire confiance aux hackers. Il y a donc des milliers de personnes qui cherchent des failles de sécurité en permanence sur tous les systèmes d'information de la planète. On parle souvent des deux catégories de hackers. Les black hats, donc les chapeaux noirs, ce sont des hackers assez méchants. C'est-à-dire des vrais hackers qui font ça de manière malveillante. Alors qu'il existe aussi les white hats, ça ce sont les gentils, ce sont les chercheurs en cybersécurité. Ces chercheurs ont pour but de trouver des fêtes de sécurité et de demander ensuite à l'éditeur de les corriger. Et ça, d'une manière globale, ça améliore finalement la cybersécurité. Parce que si on trouve une fête de sécurité quelque part, et qu'on communique avec l'éditeur du logiciel ou propriétaire du système d'information, il pourra corriger cette vulnérabilité et donc le rendre plus fort. En revanche, les black hats, les méchants en eux, cherchent à utiliser ces vulnérabilités pour justement les exploiter de manière malveillante. Règle numéro 2. Tout est vulnérable d'une certaine manière. Pourquoi ? Parce que la perfection n'existe pas. Tous les systèmes d'information qui nous entourent ont été créés par des humains. Or, il faudrait avoir une chance incroyable pour qu'il n'y ait jamais aucune erreur, jamais aucun bug dans la conception des systèmes. Et c'est la raison pour laquelle il reste des vulnérabilités, même si on prend beaucoup de soin à vérifier le code et à vérifier la configuration des systèmes. Parfois, c'est la logique même du système qui est mise en cause. Et ça, ça existe depuis l'aube de l'humilité. Dans l'un des futurs épisodes de ce podcast, je vous expliquerai l'histoire des hackers. Vous serez très surpris de voir quand ça a commencé. Règle numéro 3. L'homme fait conscience même s'il ne devrait pas. Et le meilleur exemple, c'est le succès des campagnes de phishing. Bon nombre d'entre nous ont déjà reçu dans leur boîte mail des propositions plus ou moins menaçantes qui les incitent à faire un certain nombre d'actions. Il suffit que le contexte soit favorable pour que malheureusement vous fassiez confiance à l'interlocuteur qui est en face de vous. Règle numéro 4, les nouvelles technologies créent toujours de nouvelles failles de sécurité. Faisons un peu d'histoire. Il existe un très vieux protocole qui s'appelle ICMP. C'est un protocole qui est utilisé dans la commande ping. Peut-être que certains d'entre vous l'ont déjà utilisé pour voir si tout simplement une machine était disponible ou pas. Ce ping est très pratique. Il est utilisé dans bon nombre de systèmes d'exploitation. La première version a été implémentée dans les années 80. Il y avait à cette époque une feuille de sécurité qui permettait de faire planter la machine à distance. C'est ce qu'on appelait le ping de la mort. C'est tout simplement dû à un défaut dans l'implémentation du protocole. Et cette feuille de sécurité existait encore dans les années 97. Un peu avant 94, Ericsson a créé le Bluetooth. Vous savez, c'est le fameux protocole qu'on utilise pour connecter les casques audio ou des composants divers et variés à votre smartphone. Et devinez quoi ? Dans le protocole Bluetooth, il y avait un équivalent du ping, qui lui aussi avait cette vulnérabilité. Les technologies sont différentes, les dates d'implémentation sont différentes, mais la faille de sécurité est la même. Règle numéro 5, si vous avez un doute, référez-vous à la règle numéro 1. Tout est vulnérable. La difficulté, et je pense que vous commencez à comprendre, c'est que tous ces systèmes d'information peuvent être altérés de bien des manières. Et donc, notre modèle d'évaluation du risque est essentiel. Pourquoi ? Parce que, encore une fois, c'est un nouveau domaine qu'il va falloir chercher à comprendre. Malheureusement, dans le monde de la cybersécurité, ce modèle va évoluer en permanence. Parce que ce qui est vrai aujourd'hui n'est pas forcément demain. Les données qui sont aujourd'hui protégées dans un système réputé inviolable, peut-être que du jour au lendemain, on va trouver une feuille de sécurité qui va malheureusement rendre disponible toutes ces informations. Et c'est la grande difficulté en cybersécurité. C'est que tout change en permanence. Il n'y a que très peu de choses qui sont quasiment immuables en matière de sécurité. C'est principalement la cryptographie. On en parlera plus tard parce que c'est un peu technique, mais dans son ensemble, la sécurité repose sur des modèles d'évaluation de risque qui évaluent en permanence. Et justement, la cybersécurité, c'est l'ensemble des contrôles, des méthodes et des outils qui permettent de se protéger de tout ça, c'est-à-dire de se protéger des altérations qui peuvent impacter la confidentialité, l'intégrité ou la disponibilité. Ce n'est pas seulement purement technique. Alors évidemment, on parlera de technique parce qu'on sera bien obligé d'en parler. Mais finalement, la cybersécurité, c'est un ensemble de beaucoup, beaucoup, beaucoup de choses. L'un des éléments les plus importants, c'est l'humain. Parce que justement, l'humain est un des maillons faibles de la cybersécurité. Parce que l'humain, on peut le manipuler de bien des manières. Et justement, comme j'ai expliqué au début, Votre perception du risque peut changer en fonction du contexte. Il y a aussi les aspects de délégation légale. C'est exactement ce qui se passe quand vous donnez des informations auprès d'un site tiers. Ce site web s'engage finalement à protéger vos informations correctement. Mais jusqu'à quel niveau ? Pouvez-vous vraiment lui faire confiance ? Finalement, la cybersécurité, ce n'est pas seulement un problème de mot de passe et d'antivirus. C'est quelque chose qui est beaucoup plus large, et beaucoup plus complexe à traiter. Ça devient un enjeu national. Aujourd'hui au Québec, vous avez un ministre dédié à la cybersécurité. L'armée française est dotée de cyberdéfense, et on l'a vu aussi avec le conflit en Ukraine. Maintenant, les cyberattaques font partie intégrante des capacités militaires des pays, que ce soit l'Ukraine, les Etats-Unis ou la Russie. Et c'est ça qui est passionnant dans la cybersécurité, c'est que finalement c'est un domaine qui est très nouveau. Les problèmes dont on a parlé aujourd'hui étaient probablement des problèmes qui n'existaient pas il y a 30 ans. Tout ça est arrivé avec Internet. la multiplication des moyens de communication et l'usage intensif d'ordinateurs. Vous découvrirez dans les prochains podcasts la genèse de ce nouveau monde, les enjeux politiques et les problématiques liées à la cybersécurité. Merci d'avoir écouté ce podcast. Pour le réaliser, je me suis inspiré de Bruce Nair, qui est un gourou de la cybersécurité, et surtout de son livre Secrets et mensonges de la cybersécurité Je citerai aussi les podcasts Ne limite sécu qui sont une mine d'informations. Et surtout, n'oubliez pas... certains pensent que la cybersécurité est un enjeu de vie ou de mort c'est bien plus sérieux que ça
Share
Embed
You may also like