Free cookie consent management tool by TermsFeed

jeudi 23 mars 2017

Le mythe de la sécurité des « vieux » systèmes

SSRN
Les institutions financières vantent fréquemment les mérites de leurs vieux systèmes informatiques face à la montée de la cybercriminalité, arguant de leur sécurité intrinsèque pour justifier la confiance qu'elles continuent à leur accorder. Malheureusement, une étude publiée par deux chercheurs américains remet en cause ce mythe tenace.

Il est vrai que l'enquête a été menée non dans le secteur financier mais dans les administrations fédérales, dont l'utilisation des technologies historiques – derrière lesquelles je range ce qu'on appelle « mainframes », qui furent les premiers ordinateurs d'entreprise, ou encore les logiciels développés en langage COBOL – est au moins aussi importante. Cependant, les auteurs estiment eux-mêmes que leurs arguments et leurs conclusions, relativement génériques, sont applicables aux entreprises privées.

Pour planter le décor, commençons par rappeler le raisonnement qui conduit nombre de responsables informatiques à croire à la sécurité de leur patrimoine. Au premier rang, figure l'idée que l'ancienneté est, en soi, un facteur de protection : d'une part, les « hackers » modernes ne posséderaient pas les compétences requises pour identifier les failles dans des systèmes d'antan dont les concepteurs sont à la retraite et, d'autre part, il subsiste peu de documentation fiable et accessible pour les aider dans leur tâche.

On retrouve là, d'une certaine manière, un principe de « sécurité par l'obscurité » dont il est pourtant bien connu qu'il atteint rapidement ses limites. Plus sérieusement (à mon sens), une autre justification régulièrement mise en avant est l'isolation – toutefois jamais totale – dans laquelle les environnements historiques sont tenus au sein du Système d'Information de l'entreprise : en particulier, ils ne sont (presque) jamais exposés directement sur le web et restent « cachés » derrière de multiples couches logicielles.

Quoi qu'il en soit, les certitudes vont être sérieusement ébranlées par les observations empiriques portant sur 24 agences fédérales américaines. La plus impressionnante d'entre elles est la corrélation (négative) entre le nombre d'incidents de sécurité et la part de budget affectée aux nouveaux projets et à la modernisation (1 point de budget supplémentaire se traduit par 5% d'incidents en moins !). Plus étonnant encore, l'adoption du « cloud computing » est un autre facteur significatif de réduction des risques !

Les chercheurs ne manquent pas d'hypothèses afin de tenter d'expliquer ces résultats. En premier lieu, il est clair que, dans les organisations étudiées – et il en serait de même dans les institutions financières –, les systèmes anciens ont accumulé un trésor de données sensibles dont la valeur (marchande ou non, les enjeux de réputation peuvent parfois constituer une motivation suffisante) attire inévitablement les convoitises, quitte à demander plus d'efforts de la part des cybercriminels pour s'en emparer.

Dans un autre registre, il faut également souligner que les outils informatiques des origines ne bénéficient pas toujours des derniers développements en matière de protection (par exemple au niveau de la cryptographie) ou bien leur mise en œuvre n'est pas aussi réactive qu'il le faudrait. Enfin, les Systèmes d'Information qui reposent sur de vieux socles tendent à être d'une complexité architecturale (avec un empilement plus ou moins contrôlé de strates sédimentaires) qui nuit automatiquement à leur sécurité.

Si, à ce stade, les conclusions de l'étude ne peuvent être considérées comme absolument décisives, les indices convergent vers un risque accru des plates-formes historiques. Au vu de la confiance presque aveugle dont ils jouissent généralement dans les DSI, il est donc certainement nécessaire de lever une alerte. Quant aux solutions envisageables, à défaut de rénover intégralement le Système d'Information à court terme, il ressort que la mise en place de mécanismes robustes de gouvernance, de gestion des risques et de contrôle (GRC) représente un bon moyen de limiter l'exposition aux menaces.

Legacy

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)