Indéniablement, ce mois a été riche en « événements » cybernétiques, et on dit que la période estivale est calme, non ?
Dans le domaine de la cybersécurité, les périodes sont souvent marquées par de grands incidents informatiques, comme WannaCry ou MOVEit. Il y a toujours des informations avant et après un tel incident, ainsi que des réflexions et des réflexions immédiatement après, puis, plus tard, à l'occasion des anniversaires. Les experts se demandent : quelles leçons pouvons-nous en tirer ? Pourquoi est-ce arrivé ? Quelles en sont les implications ? À bien des égards, cela ressemble à une enquête en boîte noire après un accident d'avion. C'est dans la nature humaine de vouloir savoir pourquoi et comment et, surtout, ce que nous pouvons faire pour reconstruire en mieux et en toute sécurité.
Bien que nous ayons déjà été témoins de quelques incidents technologiques majeurs cette année, tels que les attaques contre la chaîne d'approvisionnement de Snowflake, la panne informatique de Crowdstrike restera sans aucun doute mémorable dans les années à venir. Il est important de souligner qu'il ne s'agissait pas d'un incident de cybersécurité, mais d'un défaut dans une mise à jour logicielle affectant un fournisseur de solutions de cybersécurité. Néanmoins, l'incident a mis en lumière la dépendance que nous avons, en tant que société, à l'égard de certains logiciels et de certaines grandes entités et pourquoi, en fin de compte, il est essentiel de créer des logiciels de manière sécurisée dès la conception.
Une grande partie de l'infrastructure mondiale dépend d'une poignée d'entreprises, comme en témoigne cette panne. Cela signifie qu'il existe un point de défaillance unique, un point de fragilité, en matière de vulnérabilité. Cela s'accompagne d'un risque lié à des tiers.
À la suite de l'incident de Crowdstrike, la question du noyau Microsoft exposé se pose à nouveau. À l'heure actuelle, le noyau Microsoft permet des intégrations tierces directement dans le système. Cependant, en 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté à des réticences de la part des régulateurs européens et des cyberfournisseurs. Dans le cas de Crowdstrike, comme indiqué dans son examen préliminaire après l'incident, un bogue de son logiciel de test qui se trouve dans le noyau du système d'exploitation est à l'origine des pannes généralisées affectant les utilisateurs de Microsoft.
Microsoft travaille, une fois de plus, à restreindre l'accès au noyau, comme Apple l'a fait avec succès en 2020. Apple n'autorise plus les développeurs à accéder au noyau. La technologie étant un secteur en évolution rapide, il est essentiel de revoir d'anciennes décisions qui auraient pu refléter la sagesse de l'époque mais qui doivent être revues au fur et à mesure de l'évolution des choses. Bien que la question de l'accès au noyau ne soit pas uniquement une question de sécurité, elle est également une question d'ingénierie.
Cela nous ramène à l'engagement Secure By Design de la CISA, qui encourage les entreprises à joindre le geste à la parole en matière d'ingénierie sécurisée. Bien qu'il s'agisse actuellement d'une inscription, il est impératif que nous disposions d'une mesure des leaders du secteur et de critères de référence pour déterminer à quoi ressemble la situation à la suite de grands événements. Cela ne peut se faire qu'avec la réglementation, les organismes gouvernementaux et l'interprétation de la loi. Dans la dernière édition de Hacker Headspace, par exemple, J'ai exploré la normalisation et la collaboration au sein de la cybercommunauté en général comme moyen de renforcer la résilience..
Il est essentiel de développer la sécurité dès la conception, malgré les frictions entre les équipes d'ingénierie et de sécurité. Il est difficile et coûteux de procéder à des rénovations. De même, il est économiquement irréalisable pour de nombreuses personnes de reconstruire. La communauté des développeurs de logiciels doit cesser de toute urgence de créer des éléments dans des langages dangereux. Il est inexcusable d'intégrer une « mémoire dangereuse » lorsqu'il s'agit de nouveaux projets et frameworks. Des programmes tels que le Secure by Design Pledge visent à aider les organisations à développer de nouveaux logiciels en toute sécurité.
Ma dernière pensée : ce n'est ni rapide ni bon marché, mais il est irresponsable de ne pas construire en toute sécurité.