La cybersécurité et la supervision en 2023
Le mot Cybersécurité occupe les médias spécialisés et non spécialisés depuis plusieurs années maintenant.
De nouveaux métiers sont apparus, techniques bien sûr (pen-tester, data protection officer, analyste soc, …) mais aussi dans les univers du légal (juriste en cybersécurité), de l’assurance ou de la formation.
En tant qu’expert de la supervision et du monde de la gestion de la performance informatique nous allons aujourd’hui expliquer ce que la cybersécurité et ses risques associés ont changé dans notre univers :
Des outils de supervision au centre d’attaques médiatisées.
Les outils de supervision (supervision réseau surtout) sont une cible d’attaque dans le sens où elles recensent souvent l’ensemble des machines (serveurs, routeurs, firewall, switch) constituant l’infrastructure informatique d’un client. De plus elle profite généralement d’accès privilégiés pour s’y connecter et récupérer des métriques. Ces accès peuvent être en lecture seule (type SNMP ou API) mais peuvent aller jusqu’à des comptes de connexions à l’équipement de type SSH ou PowerShell. Y accéder pour des pirates malveillants, peut permettre de reconstituer l’infrastructure cible au complet et d’en obtenir certains accès. La médiatisation des piratages comme celui de l’outil Solarwinds en Janvier 2021 est là pour le rappeler.
Une sécurisation renforcée des outils et services liés
Cela a induit, pour toutes les solutions, outre du travail sur la sécurisation des accès (SNMP v2 vers v3, SSH avec chiffrement plus élevé, droits des comptes revus, sandboxing, …) mais aussi un travail plus profond sur le salage des données dans les données récupérées ou de configuration, et la séparation des droits.
Le recours à des outils de gestion de mot de passe et des changements de mot de passe forcé. Pour exemple dans la mesure synthétique (des robots exécutent un parcours client dans un logiciel) les login/password sont désormais remplacés par des systèmes d’authentification multifacteurs ou plus sécurisé, par le recours à la connexion à des gestionnaires de mots de passe avec changement de mot de passe aléatoire. Les authentifications “passwordless” (la biométrie, ou la possession d’un objet ou d’une carte numérique) ne sont pas encore vraiment répandues.
Dur de prédire l’avenir, mais il est sur que les divers moyens de mesurer les systèmes informatiques, étant une source d’information non négligeable, continuera d’être la cible d’entités malveillantes, et requerra une R&D calée sur l’actualité des trous de sécurités (Common Vulnerabilities and Exposures pour les anglophones), l’anticipation des technologies attaquées et le suivi des recommandations (et de leurs mises à jour) telles que celles de l’ANSSI.