Il est peu probable que vous soyez une cible de la CIA


Il est peu probable que vous soyez une cible de la CIA

Le choix et la priorisation des actions de cybersécurité répondent à une modélisation des menaces réalistes.

Publié le 05/10/2023 par Stefan THIBAULT

Defense Priorisation Efficacité Risques

2 min de lecture

Il est peu probable que vous soyez une cible de la CIA : le choix et la priorisation des actions de cybersécurité ne peuvent se concevoir qu’en réponse à une modélisation des menaces réalistes dans votre contexte.

L’échelle d’importance des travaux à mener pour réduire les risques dans une entreprise est parfois biaisée par des discours manichéens, visant à marquer les esprits. Cette simplification se retourne contre l’objectif initial en nuisant à la correcte priorisation des moyens alloués. Illustrons avec quelques exemples de la vraie vie :

  • On remonte en rouge écarlate dans un rapport de scan de vulnérabilités la présence de protocoles TLS obsolètes sur une application exposée uniquement sur un réseau interne. Avez-vous lu beaucoup de rapports d’incidents où l’attaquant a fait du Man-In-The-Middle sur un réseau interne, exploité des vulnérabilités cryptographiques dans le chiffrement des flux web, le tout pour atteindre une application ? Il y a assez de chemins plus directs dans la majorité des réseaux pour que l’allocation de moyens sur ce type de remédiation ne soit pas la meilleure utilisation d’un temps d’expertise rare et coûteux.
  • On priorise des projets de NAC car le dernier exercice de Red Team s’est branché dans une salle de réunion. Vous avez vu beaucoup de groupes rançongiciel dans les rapports de Threat Intel qui sont sortis de leur pays qui ne les extrade pas pour venir poser un Raspberry Pi sous un bureau de leur victime? L’intrusion physique est un scénario de menace qui ne concerne qu’une minorité d’organisations, qui font par ailleurs face à des attaquants qui sauront sans souci contourner du contrôle d’accès 802.1x filaire… Pour les autres, un outil de découverte réseau peut permettre d’atteindre le même bénéfice d’avoir stabilisé l’inventaire, et ce à moindre coût.
  • On s’offusque de l’utilisateur qui laisse son ordinateur déverrouillé dans le train. Pourtant, connaissez-vous beaucoup de cybercriminels qui prennent le TGV avec une clé USB ? Dans la majorité des contextes (si vous n’êtes pas dans une industrie/position qui pourrait justifier une opération de renseignement ciblée), aucun modèle de menace n’exploitera cet écart.

Ne laissons pas le sensationnel prendre le dessus : si aucun profil d’attaquant ayant intérêt à nous cibler n’a les moyens ou la motivation d’exploiter un chemin, c’est que notre action de remédiation ou de communication doit se porter prioritairement ailleurs. Il y a déjà assez de surface exposée à défendre…