Recension – “Les principes de défense appliqués au cyberespace”

Pratique
Par · 18/03/2019

Jean-Luc Allard, spécialiste en sécurité, directeur de la société Misis (Wavre) et par ailleurs directeur sécurité et responsable DPO au CHC (Centre Hospitalier Chrétien de Liège), publie un livre sur le thème de la cyber-sécurité et tente un parallèle entre l’“art de la guerre” à la mode Sun Tzu, et défense contre les cyber-dangers. Son titre: “Cyberespace et Sécurité: Les principes de défense appliqués au cyberespace”.

A la guerre comme à la guerre… L’angle d’attaque qu’adopte l’auteur est le suivant: apprendre à connaître son ennemi, l’étudier, anticiper les moyens qu’il utilisera pour attaquer. Mais aussi connaître ses propres faiblesses.

L’auteur expose ainsi une série de principes de défense: protection périmétrique, contrôle des accès, postes de défense avancés, issues de secours, protection des voies d’accès, protection volumétrique, défense en couches et multi-dimensions…

Pour chaque principe, il commence par par expliquer les principes de base et par remettre les cyber-risques en contexte, replaçant le tout “dans le concret de la situation actuelle du cyber-espace et du système informationnel”, dans ses multiples dimensions, en ce compris mobile, cloud, multiplication des objets connectés. Il émaille son propos d’analogies avec la vie quotidienne pour le rendre plus accessible, en ce compris et peut être surtout à destination des moins avertis ou technophiles. Fidèle aux préceptes du célèbre général chinois, il amène également le lecteur vers le point de vue de l’assaillant: “comment les malveillants de tous poils utilisent-ils les principes de défense [traditionnels ou plus nouveaux] et profitent-ils de leur très faible application chez le défenseur”?

Au fil des pages, il égrène ainsi des pans de stratégies, des conseils et recommandations., en évoquant par ailleurs les solutions que préconisent les référentiels CSC (Critical Security Controls).

Veiller à sérier l’étendue des droits d’accès que l’on confère, sur base du principe de “need to know” – “à qui confiez-vous vos fiches de salaire, vos problèmes de santé, vos photos intimes…?”

Il faut donc inventorier, classifier en catégories, pratiquer le concept du moindre privilège…

Améliorer en continu notre “posture de protection” en prenant suite de vérifier l’opportunité et la pertinence des mesures prises.

Savoir contre-attaquer et se retourner efficacement contre l’assaillant.

Le livre se termine par un chapitre consacré au “nouveau rôle de l’autorité publique”. Quels sont les arbitres, qui sont les policiers, qui est responsable – en ce compris dans une perspective cloud et “as a service”? Toujours aussi imagé et inspiré de la vie réelle, le texte de ce chapitre évoque quelques pistes que les responsables publics, à tous niveaux, pourraient mettre en oeuvre, ou encore l’option de partenariats public-privé. Et en appelle notamment à renforcer (in)formation et conscientisation.

“Cyberespace et Sécurité: Les principes de défense appliqués au cyberespace”. Editions La Charte, collection Design & praxis. ISBN: 978 2 87403 510 4