Parmi les termes les plus courants relatifs à la sécurité, quelques-uns sont mal compris ou employés indifféremment. Certains ont une signification tellement similaire qu'il n'est pas inutile de les comparer. Aujourd'hui, nous allons nous pencher sur des termes associés – « menace », « faille » et « exploit » – et apprendre comment les professionnels de la sécurité les utilisent pour évaluer ou déterminer les « risques ».
Se rappeler l'objectif : Protéger les biens
Si nous mettons des mesures de sécurité en place, c'est pour protéger des « biens ». Les biens correspondent à toute chose à laquelle nous attribuons une valeur. Ils peuvent avoir une valeur concrète. Par exemple, l'or et les bijoux sont des biens tangibles, de même que les humains. Au sein d'un réseau d'entreprise, la base de données, le serveur qui l'héberge et le réseau qui permet de se connecter au serveur sont également des biens tangibles. D'autres biens, comme l'entreprise, des données personnelles sensibles ou la réputation, n'ont pas de valeur concrète mais cela ne veut pas dire qu'ils ont moins d'importance.
Menaces et auteurs de menaces
Les responsables de la sécurité tiennent compte de différents types de menaces. Une « menace » peut être une intention exprimée ou manifeste de nuire à un bien ou de le rendre inaccessible. Les actes hostiles – comme prendre un bien pour cible, quelle qu'en soit la raison – sont considérés comme des menaces, de même que les événements naturels, les erreurs humaines ou la négligence. Ces deux types de menaces peuvent entraîner l'interruption des services internet ou des messageries en ligne, ou encore la perte ou la divulgation involontaire de données sensibles. Avec l'émergence de l'Internet des objets, ils peuvent être considérés comme des menaces d'origine humaine. L'identification des menaces constitue un aspect important mais extrêmement complexe de la gestion de la sécurité.
Quelqu'un ou quelque chose doit exprimer ou représenter une menace. On parle d' « auteurs de menaces ». Certains sont des individus ou des entités étatiques. Des employés mécontents, sous-qualifiés ou exploités peuvent également représenter une menace pour les biens d'un organisme, et les responsables de la sécurité doivent en tenir compte.
Failles
Une « faille » est un défaut dans les mesures prises pour protéger un bien. Cette définition traditionnelle, qui se réfère uniquement aux faiblesses des systèmes ou des réseaux, peut être interprétée plus largement (voir RFC 2828). Les failles exposent les biens de votre organisation à un risque. Elles sont présentes dans les systèmes d'exploitation, les applications ou le matériel informatique que vous utilisez. Par exemple, si vous n'avez pas recours à des logiciels de lutte contre les virus et les programmes malveillants, votre ordinateur ou votre téléphone portable est vulnérable. De la même manière, si vous ne mettez pas régulièrement à jour votre système d'exploitation ou vos applications, ceux-ci seront exposés aux problèmes informatiques ( « bugs ») identifiés et pour lesquels un patch aura été conçu (on parle de « limitation de la vulnérabilité »).
La façon dont vous configurez vos logiciels, votre matériel informatique, ou même votre messagerie en ligne et vos comptes sur les réseaux sociaux, peut engendrer des failles. Ainsi, votre gestion des paramètres de confidentialité peut vous amener à rendre accessibles à tous des données sur un produit que vous souhaitiez communiquer uniquement à vos collègues avant la sortie du produit.
Les comportements des utilisateurs ouvrent des voies aux pirates informatiques et représentent donc eux aussi des failles. Un administrateur système qui navigue sur le web via un compte administrateur sur un ordinateur d'entreprise peut être victime d'une infection provenant d'un logiciel malveillant. Ce comportement représente une faille qui n'est pas prise en compte dans la définition du RFC 2828, mais c'est tout autant problématique dans l'Internet d'aujourd'hui que les bugs dans les logiciels.
Enfin, comme précédemment évoqué dans notre premier article de sensibilisation aux questions de sécurité, les gens sont vulnérables à l'ingénierie sociale. L'exploitation de cette faille est l'une des plus difficiles à limiter. La sensibilisation aux questions de sécurité est enfin reconnue comme un élément essentiel de la limitation de la vulnérabilité.
Exploits
Le terme exploit est généralement employé pour désigner un programme conçu pour nuire à un bien en profitant d'une faille. Bon nombre d'exploits visent à prendre le contrôle d'un bien. Ainsi, l'exploitation d'une faille dans une base de données peut permettre au pirate informatique de collecter et d' « exporter » toutes les données. On parle alors de « brèche de données ». Les exploits sont également conçus pour profiter d'une faille dans un système d'exploitation ou une application pour prendre le contrôle à distance d'un ordinateur ou d'un serveur, ou de lancer des tâches normalement réservées à un administrateur (il s'agit du but général de tout programme malveillant, nous y reviendrons dans un autre article).
Tous les exploits n'impliquent pas forcément des logiciels, et il est faux de qualifier toutes les attaques de ce type de « piratage informatique ». Les arnaques visant à amener un particulier ou un employé à divulguer ses données personnelles ou des informations sensibles sont un type d'exploit qui existe depuis très longtemps et qui ne nécessite pas de compétences en piratage.
Risques
Si vous cherchez la signification du terme « risque », vous trouverez plusieurs définitions. Celle que je trouve la plus simple à comprendre est : « L'éventualité de la perte, de la dégradation ou de la destruction d'un bien résultant d'une menace exploitant une faille » (voir TAG). Cette définition relie bien les termes que nous avons examinés, « bien », « menace », « faille » et « exploit ». En pratique, pour chaque bien, vous identifiez les menaces potentielles. Vous identifiez ensuite les failles que les auteurs de menaces pourraient exploiter pour nuire au bien. C'est la partie la plus simple. Les choses se compliquent lorsque vous vous penchez sur la limitation des risques. Éliminer toutes les menaces, et ainsi supprimer tout risque, est impossible car il existe toujours un certain niveau de risque. Le bon sens veut qu'on compare le coût de la limitation de risques et les avantages de ces mesures. En théorie, cela permet d'établir le seuil de risque que vous devez tolérer selon la somme que vous êtes prêts à dépenser. En pratique, cela se révèle bien plus compliqué à l'époque d'Internet qu'auparavant.