Actus

p. 06   Brèves

Pentest

p. 10   Une prise de recharge ou une prise réseau ?

Forensic

p. 20   Compromission sur GitHub Enterprise : où et quoi chercher ?

Système

p. 34   Surveillance des sessions utilisateurs Kubernetes avec eBPF
p. 46   Auditer le cloud autrement : l’approche graphe de Cartography
p. 58   Présentation d'un pipeline d'ingestion et de qualification des IOC avec OpenCTI

Réseau

p. 65   La sécurité du protocole VRRP

Code

p. 78   C++ : contrôlez votre espérance de vie

La conformité est bien souvent un sujet très clivant dans les discussions liées à la cybersécurité. Les débats s’enflamment d’autant plus vite quand s’affrontent ceux qui sont confrontés aux effets des attaques, et ceux qui auditent les contrôles. Deux extrémités du spectre des compétences avec des objectifs parfois différents, et des expériences qui forcent à confronter pratique et théorie. Les sujets clivants sont nombreux : le renouvellement fréquent des mots de passe, ou les mises à jour en sont des exemples très classiques.

Irrémédiablement, l’écart semble se creuser entre ces deux écoles de pensées, et certains dénoncent d’ailleurs le risque de transformer la sécurité en un business de certification vide de sens. Pour bon nombre de structures, être prêt pour l’audit apparaît être l’unique objectif, avec pour conséquence des environnements conformes, mais peu robustes, des équipes sécurité épuisées par la fourniture de preuves de conformité rocambolesques, et des collègues circonspects quant à l’utilité de ces certifications.

Concrètement, cela se traduit par des équipes qui passent des journées entières à capturer des screenshots de logs, ou à répondre à des questionnaires clients redondants malgré leurs certifications ISO 27001 ou SOC 2.

Mon expérience dans la mise en place et la maintenance de deux standards majeurs du domaine m’a appris que la réalité n’est pas si manichéenne. Pour autant, force est de constater que la conformité reste avant tout un outil au service du business, et que sa mise en œuvre pratique ne garantit pas systématiquement la sécurité.

Pour en tirer des avantages, il convient d’arbitrer continuellement entre les objectifs des contrôles et les ressources dont la structure dispose. Dans ce contexte, l’auditeur joue un rôle clé. Pour que tout fonctionne, il se doit d’être honnête et exemplaire dans ses commentaires et son expertise. Il est le chef d’orchestre qui pousse les structures à s’améliorer d’année en année en leur évitant de se transformer en machines à produire des preuves de conformité vides de sens.

Pour des structures qui vont vite et ne s’arrêtent que trop rarement pour documenter et améliorer leurs pratiques, la conformité permet de s’accorder du temps pour réfléchir aux risques, améliorer les pratiques en place, et définir qui est responsable de quoi. Dans ce contexte, la leçon est claire :
mieux vaut appliquer 10 mesures en profondeur plutôt que 50 contrôles passifs. Privilégier une authentification forte bien comprise et maintenue plutôt qu’une batterie de contrôles documentaires. Suivre le guide d’hygiène informatique de l’ANSSI, ou les contrôles CIS, plutôt que de se noyer dans des frameworks complexes.

Afin de réconcilier conformité et sécurité, il appartient à chacun de faire évoluer nos pratiques. Aux auditeurs d’être exemplaires et de privilégier l’amélioration continue plutôt que la simple vérification administrative. Aux structures de préserver leurs équipes d’une bureaucratisation excessive. Et aux standards de s’adapter pour mieux servir la sécurité pratique plutôt que de créer des cadres parfois rigides et trop peu pragmatiques. Car en fin de compte, cessons de confondre la carte et le territoire : les vrais remparts contre les attaques se bâtissent avec de l’expertise technique, pas avec des certifications.

Guillaume VALADON  
@guedou – guillaume@miscmag.com