Failles de sécurité : quand on les cherche on les trouve !
Meltdown, WPA2… Derrière ces mots quelque peu barbares se cachent en fait des failles de sécurité et autres vulnérabilités. On le sait, le risque cyber est en pleine expansion et chaque jour apporte son lot de mises à jour, de patchs de sécurité, de nouvelles failles ou attaques.
Que pouvons-nous en conclure ?
Depuis plusieurs années, les entreprises ont structuré leurs démarches au niveau de la sécurité des systèmes d’information. Le marché de la cybersécurité se professionnalise et de nouvelles solutions émergent : il suffit de voir l’affluence de RSSI (Responsable de la Sécurité des Systèmes d’Information), Risk Managers ou autre responsables PCA (Plan de Continuité d’Activité) au Forum International de la Cybersécurité 2018 pour se rendre compte que la cybersécurité est devenu LE sujet incontournable.
Cette prise de conscience des acteurs de la cybersécurité se vérifie également au travers d’un autre angle et les failles découvertes récemment sur les processeurs INTEL le montrent bien : les chercheurs en vulnérabilité ne se contentent plus de ne regarder que les couches « hautes » d’une architecture informatique, celles des applications ou encore l’exposition des terminaux connectés (communément appelés « end points »). Ils s’attachent désormais à scanner l’intégralité des composants physiques des actifs informatiques (que sont tous les composants de la chaîne informatique tels que les serveurs, logiciels etc…), y compris les couches les plus basses (BIOS, OS des processeurs, OS des switchs…).
Cette démarche est vertueuse. En effet, on part désormais du principe que tous les composants du système d’information peuvent présenter des failles et il est donc devenu nécessaire d’adapter sa défense à ses différentes couches.
Le temps où seul l’utilisateur était considéré comme la faille en terme de cybersécurité est désormais derrière nous : il faut dorénavant raisonner en terme de défense en profondeur. Ce changement de paradigme nous rendra, n’en doutons pas, plus matures et plus sereins pour faire face au risque cyber de demain !