Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Le futur de l'industrie

Le blog de Vincent Champain

Comment ouvrir ses données et ses API tout en protégeant ses secrets

Publié le

Comment ouvrir ses données et ses API tout en protégeant ses secrets
Un microprocesseur espion découvert sur une carte mère.

Des hackers qui auraient infiltré le cloud norvégien pour le compte du gouvernement chinois. Des équipements de télécommunication pour les réseaux 5G supposé présenter des risques de sécurité. Des microprocesseurs espions chinois découverts sur des cartes mères utilisées par Apple ou Amazon. Des failles de sécurité sciemment mises en place sur des routeurs internet pour faciliter le travail de la CIA ; Un malware (Stuxnet) qui réussit à infiltrer des centrifugeuses nucléaires iraniennes, et dont la complexité laisse fortement supposer qu’il aurait pu être développé par les services secrets israéliens. Des hackers russes qui essayent de contrôler le réseau électrique américain... 

Autant de cas qui posent la question de la vulnérabilité d’industries stratégiques liée à l’utilisation de technologies étrangères. Sur ce sujet, les méfiants s’opposeront aux pragmatiques, sous le regard incrédule d’une troisième catégorie, les naïfs.

Les premiers affirmeront que toute technologie étrangère induit un risque supplémentaire. Ils citeront les cas précédents, et plaideront une autarcie technologique difficile à atteindre totalement, et seulement accessible dans les industries hautement critiques (défense / nucléaire / souveraineté), pour lesquelles une différence de coût est acceptable si elle permet d’augmenter significativement la sécurité.

Les pragmatiques feront remarquer que les moyens d’un Etat sont tellement importants que s’il décide de saboter le fonctionnement d’une entreprise, il y arrivera – tout au plus peut-on le ralentir par la mise en place de bonnes pratiques de sécurité. L’Etat qui peut mettre des années humaines à développer un malware pourra mettre des dizaines de millions de dollars pour soudoyer un garde ou un chercheur. Par ailleurs, notre pays est désormais incapable de fabriquer un grand nombre des composants des équipements électroniques et des applications informatiques modernes. Ils privilégieront une approche basée sur les technologies existantes, en essayant de les sécuriser.

Là où les méfiants chercheront à réduire les risques à tout prix, et les pragmatiques à les réduire au meilleur rapport coût/efficacité, les naïfs auront quant à eux une approche moins rationnelle, basant leurs décisions de sécurité sur quelques généraux. Par exemple, garder les données chez soi en évitant le cloud à tout prix, ou multiplier les mots de passe et les niveaux de protection. Avec au total une protection médiocre contre les risques et un coût élevé. Ainsi, des données stockées sur un cloud public mais préalablement cryptées seront mieux protégées que si les mêmes données sont conservées sur un serveur de l’entreprise (qui n’aura pas les moyens de protection physique des géants du « datacenter »). De la même façon, multiplier les dispositifs de protection sans réfléchir à l’ergonomie pour les utilisateurs conduira ces derniers à prendre l’habitude d’entrer leur mot de passe plusieurs fois par jour. Il les rendra donc davantage vulnérables face aux attaques de « fishing » par lesquelles un pirate leur demandera d’entrer leur mot de passe sur un site non autorisé.

En matière de protection contre les risques il y a plusieurs stratégies possibles, mais une seule à éviter : la naiveté !

 

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle