Cybersécurité : lorsque la mesure augmente le risque

Seulement, il arrive que les mesures choisies réduisent le risque de prime abord mais en induisent de nouveaux. En cybersécurité, il est de ce fait impératif de s’assurer que les solutions mises en œuvre pour s’en protéger garantissent un niveau de sécurité absolu. Et ce d’autant plus lorsque l’on parle de systèmes critiques.

Les faits d’actualité relatant de médicaments aux effets secondaires désastreux, d’Airbag s’avérant finalement dangereux ou tout autres exemples sont malheureusement monnaie courante. Au niveau industriel, l’un des cas les plus frappants est le problème de fiabilité du système de contrôle du Boeing 737 Max, ayant causé deux catastrophes aériennes. Sans rentrer dans les détails techniques, ce problème de fiabilité était dû à une mesure logicielle destinée à réduire un risque conceptuel, qui s’est finalement avérée dangereuse pour les avions et leurs occupants, mais également pour l’ensemble de l’entreprise Boeing. N’oublions pas qu’au-delà de l’impact humain, le plus dramatique, un tel événement a également pour conséquence des enjeux de réputation, financiers et technologiques importants.

Les solutions de cybersécurité n’échappent pas à cet état de fait. Elles sont elles-mêmes vulnérables, ce qui est d’ailleurs tout à fait normal, et peuvent induire un risque alors même qu’elles sont une contre-mesure. Malheureusement, ces risques liés aux solutions de cybersécurité par elles-mêmes sont très rarement pris en compte lors de la réalisation d’une analyse de risque de type EBIOS ou Mehari. Généralement, nous nous contentons de prendre en compte les biens essentiels et supports d’un système, puis d’évaluer la pertinence des mesures et contre-mesures appliquées.

>> Retrouvez le replay du webinaire de 30 minutes sur le sujet <<

Un rapide parcours des CVE  (Common Vulnerabilities and Exposures) impactant des éditeurs reconnus donne un aperçu du problème. Ces vulnérabilités sont nombreuses, documentées et les impacts peuvent aller du simple déni de service sur une fonction, jusqu’au gain de privilège ou d’accès. Voire même jusqu’à la prise en main à distance de la solution de sécurité. On parle ici d’injection DLL, de buffer overflow, ou même simplement de manipulation de fichier par lien symbolique.

Il est également de notoriété publique que certaines vulnérabilités, ou « backdoor » dans le cas présent, sont délibérément implémentées dans les systèmes, par des Etats ou des organisations malveillantes. Autre exemple conceptuellement parlant, le simple fait d’ajouter un élément, qu’il soit logiciel ou matériel, sur une chaîne d’un système diminue automatiquement sa disponibilité moyenne et augmente parallèlement son exposition au risque.

Au vu de tous ces exemples, nous le constatons dans les faits, les actualités récentes montrent en conséquence une recrudescence de l’utilisation des solutions de sécurité pour pénétrer un système. Pour exemples récents, Mitsubishi a été piraté via une vulnérabilité de son antivirus en début d’année, le gouvernement américain a publié plusieurs alertes de piratage via des solutions de VPN SSL et CyberArk a démontré l’existence de failles importantes sur la plupart des anti-virus du marché.