Chapitre 8 Définir une politique de sécurité

Une chaîne n’a que la solidité de son maillon le plus faible. Rien ne sert d’installer trois énormes verrous sur une porte blindée placée à côté d’une frêle fenêtre délabrée. De même, chiffrer une clé USB ne rime pas à grand-chose si les données qui y sont stockées sont utilisées sur un ordinateur qui en conservera diverses traces en clair sur son disque dur.

Ces exemples nous apprennent quelque chose : de telles « solutions » ciblées ne sont d’aucune utilité tant qu’elles ne font pas partie d’un ensemble de pratiques articulées de façon cohérente. Qui plus est, les informations qu’on veut protéger sont le plus souvent en relation avec des pratiques hors du champ des outils numériques. C’est donc de façon globale qu’il faut évaluer les risques et penser les réponses adéquates.

De façon globale, mais située : à une situation donnée correspond un ensemble singulier d’enjeux, de risques, de savoir-faire… et donc de possibilités d’action. Il n’existe pas de solution miracle convenant à tout le monde, et qui réglerait tous les problèmes d’un coup de baguette magique. La seule voie praticable, c’est d’en apprendre suffisamment pour être capable d’imaginer et de mettre en place une politique de sécurité adéquate à sa propre situation.

8.1 Une affaire de compromis

On peut toujours mieux protéger ses données et ses communications numériques. Les possibilités d’attaque et de surveillance sont sans limites, tout comme les dispositifs pour s’en protéger. Cependant, à chaque protection supplémentaire qu’on veut mettre en place correspond un effort en termes d’apprentissage et de temps : non seulement un effort initial pour s’y mettre, pour installer la protection, mais aussi, bien souvent, une complexité d’utilisation supplémentaire, du temps passé à taper des phrases de passe, à effectuer des procédures pénibles et répétitives, à porter son attention sur la technique plutôt que sur l’usage qu’on voudrait avoir des outils numériques.

Dans chaque situation, il s’agit donc de trouver un compromis convenable entre la facilité d’utilisation et le niveau de protection souhaité.

Parfois, ce compromis n’existe tout simplement pas. Les efforts nécessaires pour se protéger contre un risque plausible seraient trop pénibles, et il vaut mieux courir ce risque, ou bien, tout simplement, ne pas utiliser d’outils numériques pour stocker certaines données ou pour parler de certaines choses. D’autres moyens existent, à l’efficacité prouvée de longue date : certains manuscrits ont survécu des siècles durant, enfouis dans des jarres entreposées dans des grottes…

8.2 Comment faire ?

Il s’agit de répondre à la question suivante : quel ensemble de pratiques et d’outils me protégeraient de façon suffisante contre les risques évalués précédemment ?

Pour ce faire, on peut partir de nos pratiques actuelles et se poser les questions suivantes :

  1. Face à une telle politique de sécurité, quels angles d’attaque mes adversaires utiliseraient ?
  2. Quels moyens devraient être mis en œuvre par mes adversaires ?
  3. Ces moyens sont-ils à la portée de mes adversaires ?

Si vous répondez « oui » à la troisième question, prenez le temps de vous renseigner sur les solutions qui permettraient de vous protéger contre ces attaques, puis imaginez les modifications de pratiques entraînées par ces solutions et la politique de sécurité qui en découle. Si ça vous semble praticable, remettez-vous dans la peau de vos adversaires, et posez-vous à nouveau les questions énoncées ci-dessus.

Réitérez ce processus de réflexion, recherche et imagination jusqu’à trouver une voie praticable, un compromis tenable.

En cas d’incertitude, il est toujours possible de demander à une personne digne de confiance et plus compétente en la matière de se mettre dans la peau des adversaires : elle sera ravie de constater que vous avez fait vous-même le gros du travail de réflexion, ce qui l’encouragera certainement à vous aider sur les points qui restent hors de votre portée.

8.3 Quelques règles

Avant de s’intéresser de plus près à l’étude de cas concrets et des politiques de sécurité qu’il serait possible de mettre en place, il existe quelques grands principes, quelques grandes familles de choix.

8.3.1 Complexe vs. simple

En matière de sécurité, une solution simple doit toujours être préférée à une solution complexe.

Tout d’abord, parce qu’une solution complexe offre plus de « surface d’attaque », c’est-à-dire plus de lieux où peuvent apparaître des problèmes de sécurité, ce qui ne manquera pas d’arriver…

Ensuite, parce que plus une solution est complexe, plus il faut de connaissances pour l’imaginer, la mettre en œuvre, la maintenir, mais aussi pour l’examiner, évaluer sa pertinence et ses problèmes. Ce qui fait qu’en règle générale, plus une solution est complexe, moins elle aura subi les regards acérés — et extérieurs — nécessaires pour établir sa validité.

Enfin, tout simplement, une solution complexe, qui ne tient pas en entier dans l’espace mental des personnes qui l’ont élaborée, a plus de chances de générer des problèmes de sécurité issus d’interactions complexes ou de cas particuliers difficiles à déceler.

Par exemple, plutôt que de passer des heures à mettre en place des dispositifs visant à protéger un ordinateur particulièrement sensible contre les intrusions provenant du réseau, autant l’en débrancher. On peut même parfois retirer physiquement la carte réseau

8.3.2 Liste autorisée, liste bloquée

Le réflexe courant, lorsqu’on prend connaissance d’une menace, est de chercher à s’en prémunir. Par exemple, après avoir découvert que tel logiciel laisse des traces de nos activités dans tel dossier, on nettoiera régulièrement cet emplacement. Jusqu’à découvrir que le même logiciel laisse aussi des traces dans un autre dossier, et ainsi de suite.

C’est le principe de la liste bloquée137 : une liste des dossiers où sont enregistrés les fichiers temporaires, des logiciels qui envoient des rapports, etc. Cette liste est complétée au fil des découvertes et des mauvaises surprises ; sur cette base, on essaie de faire au mieux pour se prémunir de chacune de ces menaces. Autrement dit, une liste bloquée fonctionne sur la base de la confiance-sauf-dans-certains-cas.

Le principe de la liste autorisée138 est inverse, car c’est celui de la méfiance-sauf-dans-certains-cas. On interdit tout, sauf ce qu’on autorise explicitement. On interdit l’enregistrement de fichiers sur le disque dur, sauf à tel endroit, à tel moment. On interdit aux logiciels d’accéder au réseau, sauf certains logiciels bien choisis.

Voilà pour les principes de base.

Toute politique de sécurité basée sur le principe de la liste bloquée a un gros problème : une telle liste n’est jamais complète, car elle prend uniquement en compte les problèmes qui ont déjà été repérés. C’est une tâche sans fin, désespérante, que de tenir à jour une liste bloquée ; qu’on le fasse nous-mêmes ou qu’on le délègue à des gens ayant des connaissances informatiques pointues, quelque chose sera forcément oublié.

L’ennui, c’est que malgré leurs défauts rédhibitoires, les outils basés sur une approche liste bloquée sont légion (comme nous allons le voir), au contraire de ceux s’appuyant sur la méthode liste autorisée, qui nous est par conséquent moins familière.

Mettre en œuvre l’approche liste autorisée requiert un effort initial qui, s’il peut être important, est bien vite récompensé. Apprendre à utiliser un système live qui n’écrit rien sur le disque dur sans qu’on le lui demande, ça prend un temps certain. Mais une fois que c’est fait, c’en est fini des longues séances de nettoyage de disque dur, toujours à recommencer et inefficaces car basées sur le principe de liste bloquée.

Une autre illustration nous est fournie par les logiciels antivirus, qui visent à empêcher l’exécution de programmes mal intentionnés. Vu qu’ils fonctionnent sur le principe de la liste bloquée, leurs bases de données doivent perpétuellement être mises à jour car elles sont systématiquement en retard. Une réponse à ce problème, avec l’approche liste autorisée, est d’empêcher l’exécution de tout programme qui n’a pas été enregistré au préalable, ou de limiter les possibilités d’action de chaque programme. Ces techniques, nommées Mandatory Access Control, nécessitent aussi de maintenir des listes, mais il s’agit dans ce cas de listes autorisées, et le symptôme d’une liste obsolète sera le dysfonctionnement d’un logiciel, plutôt que le piratage de l’ordinateur.

Aussi, il est bien plus intéressant de se donner les moyens, lorsque c’est réalisable, de s’appuyer sur des listes autorisées les plus vastes possible, afin de pouvoir faire plein de choses chouettes avec des ordinateurs, dans une certaine confiance. Et de s’appuyer, quand la liste autorisée adéquate n’existe pas, sur des listes bloquées solides, de provenance connue, en gardant en tête le problème intrinsèque à cette méthode ; listes bloquées qu’on aidera éventuellement à compléter, en partageant nos découvertes.

8.3.3 Personne n’est infaillible

Sur Internet, il est souvent dit que « la plupart des problèmes informatiques se trouvent entre la chaise et le clavier »139. Derrière cette expression méprisante pour les personnes qui utilisent les outils se cache une réalité : personne n’est infaillible et l’erreur humaine est toujours une hypothèse à envisager.

Certaines pratiques peuvent être diablement efficaces… jusqu’à ce qu’on commette une erreur. Comme on finira forcément par en faire une, il vaut mieux les prévoir plutôt que de payer les pots cassés140.

Par exemple, imaginons une clé USB qui contient des documents confidentiels. Même en faisant vraiment attention à ne pas la laisser traîner, elle peut quand même finir par être oubliée sur une table… et être branchée et utilisée par une personne qui l’aura confondue avec une autre, dans une machine en laquelle on n’a pas confiance. Le chiffrement de la clé, avant d’y mettre les documents confidentiels, aurait permis de réduire significativement les risques.

Bref, on n’est pas des robots. Il vaut mieux se donner de solides garde-fous matériels, que de s’imposer une vigilance sans bornes et ça permet aussi de garder l’esprit tranquille.

8.3.4 Rien n’est éternel

Une fois une politique de sécurité définie, il ne faut pas oublier de la revoir de temps en temps ! Le monde de la sécurité informatique évolue très vite, et une solution considérée comme raisonnablement sûre à l’heure actuelle peut très bien être aisément attaquable l’an prochain.

N’oublions pas non plus de penser, dans nos politiques de sécurité, qu’il est important de surveiller la vie des logiciels dont on dépend : leurs problèmes, avec une incidence sur la sécurité ; leurs mises à jour, avec parfois de bonnes ou de mauvaises surprises… Tout cela prend un peu de temps, et autant le prévoir dès le départ.


  1. Parfois aussi appelée « liste noire ».

    Les expressions « liste noire » et « liste blanche » peuvent évoquer une dimension raciste, que ce soient les termes en eux-mêmes, ou leur hiérarchisation. On a donc fait le choix de remplacer ces deux termes par « liste bloquée » et « liste autorisée ». Malheureusement, la plupart des programmes, modes d’emploi et autres documentations techniques utilisent encore ces termes. C’est pourquoi nous nous trouvons obligées de les mentionner.↩︎

  2. Parfois aussi appelée « liste blanche ».↩︎

  3. Wiktionnaire, 2020, Entre la chaise et le clavier.↩︎

  4. En anglais, on utilise l’expression « better safe than sorry », qui signife littéralement : « mieux vaut la prudence que le regret. » Un équivalent de l’expression « mieux vaut prévenir que guérir » en français.↩︎