L’analyse d’Arnaud Marquant, Directeur des opérations chez KB Crawl SAS
La journée mondiale du mot de passe, du 6 mai, est là pour nous rappeler combien la cybersécurité constitue un élément central en veille stratégique. Application, infrastructure : les enjeux se situent à plusieurs endroits.
Explications
En quelques mois, la pandémie de COVID-19 aura eu un effet très net sur l’utilisation de nos mots de passe. Selon certains spécialistes, à la fin de l’année 2020, un internaute moyen devait retenir une centaine de « passwords », soit 25% de plus que quelques mois plus tôt. Le développement du télétravail a encore accéléré ce phénomène, attirant l’attention de chacun vis-à-vis de la notion d’hygiène numérique. Et pour cause : en 2022, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) relevait dans son panorama de la cybermenace que les cybercriminels étaient toujours plus performants, en lien avec l’appât du gain, l’espionnage ou la déstabilisation.
Une demande plus forte des clients
Les solutions de veille stratégique et économique sont largement impactées par cette problématique cyber. Elles concernent les entreprises qui, privées comme publiques, ont recours à des solutions de veille en mode SaaS. Elles impactent également les éditeurs de veille eux-mêmes, dont les solutions doivent être le plus protégées possibles. Pour les premières, l’enjeu est clair, et il s’exprime dès la phase de la consultation ou de l’appel d’offre. Les données, les requêtes, les thèmes de curation sont-ils protégés ? Telle est la question qui est le plus fréquemment posée, et qui depuis quelques années est devenue un passage obligé. Dans ce contexte, l’enjeu pour l’éditeur consistera à déployer les outils et méthodes adaptés à toute attaque, à anticiper, à tenter de déployer des parades. Même si en l’espèce, il convient de demeurer humble, l’idée est de prévoir au maximum toute attaque afin de ne pas se trouver démuni si le danger venait à se préciser. En cela, il faut bien admettre que les entreprises clientes ont depuis quelques années forcé leurs éditeurs de veille à progresser, englobant la dimension cyber dans le Règlement général sur la Protection des Données (RGPD). C’est très net lorsque l’on consulte les appels d’offres : on y trouve parfois presque autant de demandes de solutions fonctionnelles que d’éléments liés à la sécurité des données.
Protéger les applications de veille
Les éditeurs de veille doivent ainsi être particulièrement vigilants sur la cybersécurité, et accorder une attention spécifique aux différents points de fragilité qui les concernent. Deux d’entre eux sont plus particulièrement importants à préserver.
Les applications développées pour la veille constituent le premier point de vigilance. Ouvertes sur le Web et accessibles via un login et un mot de passe, elles sont susceptibles d’être piratées à tout moment. En tant que développeur d’une solution de veille, il convient d’être particulièrement attentif, et ce dès la phase de conception de l’outil. Il y a des règles à respecter afin de jouer sur les codes, sachant que toute faille pourrait permettre aux cyberattaquants de récupérer la liste de l’ensemble des utilisateurs enregistrés dans la base de données. Verrouiller est donc le mot d’ordre absolu en termes de développement. Cela signifie de veiller à la bonne étanchéité des accès, afin qu’un hacker ne puisse s’ouvrir un accès à plusieurs clients à partir d’un seul. Dans cette approche, le postulat de départ est le suivant : la cybersécurité démarre dès la phase du développement. Un code source mal assuré, c’est une faille ! Il s’agit ici de bien repérer chaque point d’entrée possible, et de le colmater.
Protéger l’infrastructure
Protéger l’infrastructure est le second grand chantier à mener, et ce en permanence. Dans ce cas précis, il existe plusieurs niveaux de sécurité, identifiés à différents endroits de l’architecture du réseau. Les points d’entrée par lesquels passent tous les clients en sont un premier. Les serveurs, puis les applications en sont d’autres. Les équipes techniques le constatent régulièrement : les tentatives d’intrusion sur l’infrastructure sont régulières, et émanent le plus souvent de groupes issus de pays étrangers. Un contexte qui amène très régulièrement à lancer en chaîne de nombreux tests. En l’espèce, le fait d’être présent sur un cloud privé n’est pas nécessairement une faiblesse. Il faut simplement que le travail de sécurisation soit correctement effectué, en adoptant les techniques et les outils les mieux adaptés à toutes les situations possibles, sans oublier les bonnes pratiques. S’il est sérieux, un éditeur de solutions de veille pourra tout à fait garantir à ses clients un niveau de cybersécurité minimal.
Pour autant, il faut rester modeste. L’ANSSI l’indique dans son panorama 2022 : toutes les entreprises, y-compris les TPE et les PME, sont actuellement les cibles de cyberattaques. Les éditeurs de logiciels sont donc tout autant exposés que les autres. C’est pour cette raison que la formation de nos développeurs est une clé. Nous observons depuis quelques années que les ingénieurs informatiques ont une sensibilité et des compétences accrues en termes de cybersécurité. En sus de cette appétence, il convient de veiller à ce qu’ils soient formés en permanence, tant la nature des attaques évolue. Ne jamais s’endormir sur ses lauriers : tel est le challenge technologique qu’il convient de relever.