Moins, c'est plus

Sécurité

21.04.2022
David Mantock, CISO

L’un des principes fondamentaux de la cybersécurité consiste à réduire la surface d’attaque. Si nous nous référons à l’époque médiévale, les meurtrières offraient une vision large sur l’extérieur tout en empêchant les archers d’être vus.  De cette façon, la possibilité de leur tirer dessus était considérablement réduite.

Aujourd’hui, dans un monde de bits et d’octets, nous essayons de reproduire la même tactique. Nous n’avons ni château, ni archer dans le cloud, alors, comment réduire la surface d’attaque à l’ère numérique ?

Rappelez-vous nos cinq piliers de sécurité, le second est le moindre privilège (humain-à-machine et machine-à-machine). L'astuce consiste à n'accorder que l'accès nécessaire à l'exécution d'une tâche, ni plus ni moins.

Lorsque vous partez en vacances, vous demandez à vos voisins de relever votre courrier pendant votre absence. Il est évident que cela ne sert à rien d'alerter les voleurs en ayant une boîte aux lettres pleine. La question à se poser est  la suivante : quel accès souhaitez-vous donner à vos voisins ? Je pense que nous sommes tous d'accord pour dire que s'ils ont besoin d'une clé de la boîte aux lettres. Il pourrait également être en possession d'une clé de la maison pour y déposer le courrier.

Quoi de plus simple ? Et en même temps, quoi de plus dangereux ? Les voisins ont maintenant accès à toute votre maison. Si nous suivons le principe du moindre privilège, nous ne nous exposerons pas à ce type de risque.

Bien sûr, vos voisins sont dignes de confiance, donc pas de fêtes improvisées, ni de location Airbnb pendant votre absence. Avez-vous un doute ? Supposons que les voisins soient dignes de confiance, nous devons toujours nous inquiéter du rasoir de Hanlon [1]. En fin de compte, c'est la raison pour laquelle nous donnons uniquement la clé de la boîte aux lettres.

Moins, c'est plus

Nous voulons protéger l’actif le plus précieux, non seulement en tenant compte de la fiabilité, mais aussi de la faillibilité humaine. Un homme sage a dit un jour : « La modération est le secret de la survie » [2]. Dans ce contexte, un accès réduit équivaut à réduire le risque, un risque réduit équivaut à plus de sécurité.  En effet, less is more.

[1] Rasoir de Hanlon : « Ne jamais attribuer à la malveillance ce que la bêtise suffit à expliquer. »

[2] Salle Manly

back to panels