Article 1/3 : La cybersécurité, c’est un peu compliqué, mais on vous explique !
La cybersécurité rebute : elle donne l’impression que l’informatique est dangereuse, qu’on ne peut rien faire contre les virus, que tout est caché, très complexe et très cher. Pourtant, cette réputation vient surtout d’une méconnaissance du sujet par la majorité. Prenons l’exemple de la voiture : parmi les milliards de personnes qui en conduisent une, combien en connaissent le fonctionnement ? Combien se tuent au volant ? Combien doivent investir des sommes folles pour le maintien en état ? Et pourtant, combien de personnes autour de vous refusent d’en posséder une parce que ce serait « compliqué », « dangereux », « cher » ?
La cybersécurité, et l’informatique en général, souffre de sa nouveauté plus que d’une réelle complexité. Ses détracteurs peuvent être en décalage avec leur entourage quant à l’emploi de certaines technologies, réfractaires à leur utilisation par inintérêt ou par principe, ou se sentir rejetés parce qu’ils ne peuvent y accéder (faible revenu, illettrisme…). Cet article va tenter de lever un pan du voile de la cybersécurité pour vous, en vous donnant quelques clefs pour comprendre ce que c’est. Les notions de « système d’information », d’« Internet », de « firewall » et de « réseau » seront abordées.
Allons combattre l’illectronisme, la difficulté ou l’incapacité à utiliser des appareils ou outils informatiques par manque de connaissances !
La menace vient du cyberespace
D’après l’Agence Nationale de Sécurité des Systèmes d’Information (ou ANSSI, les gendarmes informatiques français), la cybersécurité est « l’état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données [que ces systèmes] rendent accessibles. »
Beaucoup de mots compliqués. Prenons un instant pour tout comprendre.
D’après l’ANSSI toujours, le cyberespace est l’« espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques. » Si vous ne comprenez pas, c’est normal : aucune définition universellement reconnue de « STAD » (système de traitement automatisé de données) n’existe à ce jour. C’est en effet une expression utilisée en droit français et introduite via la Loi Informatique et Liberté de 1978, mais qui n’a jamais été définie par les textes !
Il est d’ailleurs intéressant de noter que la définition proposée par le Sénat n’a pas été retenue afin de ne pas rendre le texte de loi dépendant d’une définition des technologies valable à un instant T seulement. Cela permet de donner de la latitude à un texte qui peut ainsi continuer d’encadrer les pratiques de l’informatique dans le temps et accompagner l’évolution technologique. Néanmoins, des éléments d’interprétation ont été donnés : « tout ensemble composé d’une ou plusieurs unités de traitement, de mémoire, de logiciel, de données, d’organes d’entrées-sorties et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité ». Sont donc des STAD : les ordinateurs, les réseaux de communications électroniques, les serveurs, les téléphones portables, les disques durs, les réseaux locaux… c’est une définition parapluie.
Et c’est l’interconnexion de ces STAD qui créé le cyberespace !
Pour vous simplifier la vie, vous pouvez considérer que rentre dans le « cyberespace » tout ce qui est accessible via un ordinateur : l’internet (le moyen de connecter les ordinateurs entre eux), le World Wide Web (la totalité des informations auxquelles on accède via l’internet), les systèmes d’information privés (des systèmes domestiques simplifiés avec une box internet et l’ordinateur de la maison, aux beaucoup plus complexes systèmes d’entreprise multinationale), les objets connectés, les messageries (WhatsApp, Outlook, Messenger)…
L’imprécision de cette définition met en exergue une des caractéristiques de la cybersécurité qui la rend si obtuse : c’est un domaine en évolution permanente, très volubile. Ce jeu du chat et de la souris entre les « gentils » (les utilisateurs lambdas) et les « méchants » (les hackers, pirates, voleurs, arnaqueurs et autres) a tout pour perdre ceux qui ne sont pas de la partie.
En sus, le cyberespace est relativement récent et très difficile à contrôler. Le droit du cyberespace est encore imprécis et dispersé, même si des initiatives ont vu et voient le jour, comme le Règlement Général de la Protection des Données (RGPD) en Europe.
Heureusement, certaines notions restent à peu près fixes, comme celle de de système d’information.
La cybersécurité vise à protéger les systèmes d’information
Un système d’information, c’est l’ensemble des ressources matérielles, logicielles, humaines et procédurales qui permettent de gérer des informations, c’est-à-dire de les collecter, les structurer, les traiter, les stocker et les distribuer. On considère aussi que les informations traitées par ce système, sous le nom de données, en font partie. Lorsque l’on a de nombreuses données à gérer, on utilise généralement un réseau d’ordinateurs et de personnes humaines, plutôt que des étagères, des armoires et des formulaires papiers. Dans le principe, c’est la même chose, simplement dématérialisé : les étagères sont les banques de données, les armoires sont les serveurs qui contiennent ces données, les formulaires papiers sont les données sous toutes leurs formes (vidéo, audio, texte, fichier de configuration, etc.).
Dès lors que l’on parle de données, on peut parler de système d’information : un magazine, un cinéma, une bibliothèque sont en soit des systèmes d’information. Dans la réalité, cependant, on utilise cette expression pour désigner les ordinateurs, serveurs, réseau, applications et donnés que les entreprises utilisent.
Un système d’information regroupe donc de nombreux STAD (les différentes machines et sous-réseaux de ce système), peut être considéré comme un STAD, et l’interconnexion de plusieurs systèmes d’information forme aussi un STAD (un réseau) !
Protéger un système d’information, c’est protéger ses propriétés : les DIC
Enfin, derniers concepts de la définition de cybersécurité par l’ANSSI, les notions de disponibilité, intégrité, confidentialité (aussi appelées : DIC). Ce sont des propriétés d’un système d’information, et par extension, des propriétés des données de ce système. Elles font référence à ce qu’il faut protéger au sein d’un système. La disponibilité est le fait de pouvoir user de ce système quand on le souhaite, de pouvoir consulter ou traiter ses informations au moment choisi ; l’intégrité, c’est d’être sûr que les données ne seront pas changées ou dégradées sans qu’on le souhaite ; la confidentialité, quant à elle, garantit que les informations confiées à ce système ne seront consultées que par les personnes autorisées par le système. Ce sont ces propriétés que la cybersécurité cherche à préserver.
Relisez maintenant la définition de l’ANSSI. Vous devriez en comprendre une bonne partie. Les détails viendront avec la pratique, la lecture, l’expérience, mais vous pouvez désormais ranger vos nouvelles connaissances dans les bonnes cases.
Maintenant que nous en avons fini avec la définition de la cybersécurité, il nous reste encore à éclaircir une confusion fréquente : le cyberespace et Internet, ce n’est pas la même chose !
Le cyberespace, une définition plus large que l’Internet
Plus haut, en mentionnant la définition officielle de la cybersécurité, nous avons dû tricher et dire, pour simplifier, que l’Internet « rentrait » dans la définition du cyberespace.
Internet est l’un des réseaux informatiques existants, qui se caractérise par sa portée mondiale, par son immensité et par son ouverture totale. C’est un immense réseau qui accueille et rassemble tous les réseaux mondiaux possédant un accès ouvert sur l’extérieur et qui souhaitent s’y connecter. Ordinateurs et serveurs peuvent par son biais communiquer efficacement, avec une méthode normalisée qu’on appelle « protocole de communication » (INSEE). Les réseaux s’y connectant sont aussi bien privés (les réseaux des entreprises ou les réseaux domestiques) que publics. En 2019, on recensait près de 91 000 réseaux se connectant à Internet.
Internet est donc UN réseau, et même s’il est le plus important, il n’est pas le seul ; on comprend donc, si on suit ces définitions, que le cyberespace, qui intègre l’Internet, ne s’arrête pas là. Il englobe aussi l’IoT, les réseaux parallèles type Dark Net… Même si les frontières des définitions se brouillent de plus en plus, conduisant certains à considérer que ces différents réseaux font bien partie d’Internet.
Internet est un lieu d’échanges peu contrôlé. La liberté fondamentale sur laquelle repose l’Internet actuel ouvre la communication mondiale à toutes les populations, aux initiatives communes et personnelles, à un marché gigantesque : deux tiers de la population l’utilisent régulièrement, un nombre en augmentation constante depuis le premier site web créé en 1991.
Des personnes malintentionnées y ont trouvé, en parallèle, leur marché illégal.
Quelques moyens de protection utilisés dans le cyberespace
Pour nous protéger, des acteurs privés comme étatiques ont développé des outils de contrôle basés sur l’authentification et les autorisations d’accès, qu’ils mettent régulièrement à jour (rappel important : mettez vos ordinateurs, téléphones, tablettes, imprimantes… à jour ! Ce geste simple peut les sauver d’une faille critique permettant à un attaquant de récupérer vos données et celles de vos voisins). Vous connaissez et utilisez déjà des méthodes : les mots de passe, les empreintes digitales, la détection de visage pour déverrouiller un téléphone : oui, c’est de la cybersécurité ! D’ailleurs, sauvez-vous la vie et utilisez un gestionnaire de mot de passe. L’antivirus est, lui aussi, un outil de cybersécurité ; sa description et celle de la nouvelle génération de protecteurs des utilisateurs sont disponibles ici.
D’autres outils sont utilisés sans que vous ne vous en rendiez forcément compte et sont pourtant bien utiles. En voici un très courant qui permet de cloisonner plusieurs réseaux en filtrant les données qui circulent : le firewall. En français, il est traduit par « pare-feu » ou, peu usité mais plus parlant, « garde-barrière ». C’est un outil, logiciel ou matériel, qui bloque les mouvements entrants, internes et sortants, entre son réseau et le reste du monde. Par exemple, entre le réseau interne d’une entreprise, et Internet ! Il analyse chaque bloc de donnée pour vérifier leur concordance avec les règles définies par la personne qui gère ce réseau, mises en place pour protéger les machines qui se connectent. En validant ou rejetant une demande de connexion, il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes malveillantes présentes sur le réseau interne.
Les prochains articles de cette série développeront plus en détail ces différents moyens de protection. En attendant, si le sujet vous intéresse, n’hésitez pas à chercher les mots-clefs suivants :
- Le scanner de vulnérabilité (pour trouver les erreurs classiques de configuration de votre SI)
- Le bastion (pour protéger une zone informatique)
- Le Zero Trust Network Access (une méthode de paranoïa très efficace)
- Le chiffrement (coder les données pour les rendre accessibles uniquement à ceux que vous souhaitez)
- Le certificat SSL (vérifier la légitimité d’un site)
Article rédigé par : Charlotte Lemaistre, consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Nos formations et sensibilisation à la cybersécurité