Comment la diversité technologique pourrait aider à sécuriser les systèmes


Le Dr Stephen Farrell du Trinity College Dublin discute de l’avantage de s’éloigner des systèmes homogènes en matière de sécurité.

Cliquez ici pour voir la série complète de la Semaine Infosec.

Alors que les DSI, les analystes de sécurité et les experts en infosec parlent depuis des années de la nécessité de renforcer les équipes de sécurité, de combler le déficit de compétences et d’augmenter les dépenses de sécurité, rien n’a plus mis la cybersécurité au premier plan que la liste croissante d’attaques de grande envergure.

Rien que l’année dernière, d’innombrables attaques, violations et escroqueries par SMS ont sensibilisé le public et mis en lumière l’importance de la sécurisation des données, des systèmes technologiques et des infrastructures publiques.

L’attaque de ransomware contre l’Irish Health Service Executive (HSE) en particulier a placé le sujet en tête de nombreux agendas en Irlande.

Et bien que les conseils sur l’augmentation de la résilience et la préparation à de telles attaques constituent une partie importante de la discussion, le Dr Stephen Farrell, chercheur en informatique au Trinity College de Dublin, a déclaré que c’était plus facile à dire qu’à faire pour une grande organisation de service public telle que le HSE. .

« Ils ont probablement des limitations de financement et aussi… ils ont beaucoup de systèmes 24h/24 et 7j/7 qui ne peuvent pas être facilement éteints et allumés dans le cadre d’un test », a-t-il déclaré. « J’ai beaucoup de sympathie pour ceux qui ont construit, dirigé et maintenant doivent reconstruire les systèmes du HSE. »

Cependant, Farrell a soulevé une considération intéressante en matière de cybersécurité pour toutes les entreprises et organisations, à savoir si des systèmes technologiques homogènes sont ou non la voie la plus efficace à emprunter.

Le danger des systèmes homogènes

Selon un article de blog de Robert M Lee, PDG et fondateur de la société de cybersécurité industrielle Dragos, il y a eu une tendance croissante à l’homogénéité des infrastructures ces dernières années alors que les fournisseurs de contrôle industriel et d’automatisation s’acquièrent mutuellement et installent des technologies et des plates-formes d’exploitation communes.

« Ce n’est pas un problème de fournisseur, la pression vient des clients et un cercle vicieux se forme », a-t-il déclaré.

Les systèmes homogènes présentent de nombreux avantages tels qu’une intégration plus facile, plus d’efficacité et éventuellement des coûts inférieurs. Cependant, il existe un risque accru en termes de sécurité, surtout maintenant que pratiquement tous les systèmes connectés à Internet sont constamment attaqués, un fait qui, selon Farrell, ne devrait pas changer de si tôt.

« Les fournisseurs, les développeurs open source et les opérateurs système font tous de leur mieux pour contrer et détourner les attaques. Cependant, à un moment donné, il est à peu près inévitable qu’une attaque réussisse à affecter n’importe quel système », a-t-il déclaré.

« À ce stade, si l’on dispose d’un système très homogène (par exemple, presque tous provenant d’un seul fournisseur ou fournisseur de services ou très centralisé), l’impact de l’attaque peut être bien pire que si un mélange de différentes technologies et de différentes frontières administratives avait été en place. »

« Ajouter « cyber » devant quoi que ce soit n’ajoute rien à la compréhension »
– DR STEPHEN FARRELL

Un exemple de systèmes homogènes est le courrier électronique. Google et Microsoft sont actuellement les deux principaux acteurs du marché de la messagerie. « Chaque fois que l’un de ceux-ci passe une mauvaise journée (et ce sera le cas), les conséquences seront bien pires, par rapport à l’écosystème de messagerie que nous avions dit il y a 20 ans où il y avait beaucoup, beaucoup moins de centralisation », a déclaré Farrell.

Il a ajouté que la diversité technologique est bonne pour les systèmes complexes, mais a également reconnu le « conflit » qui se produit parfois entre une telle diversité et les objectifs habituels d’efficacité, de réduction des coûts et de contrôle centralisé.

S’exprimant plus largement sur l’industrie de la cybersécurité, Farrell a déclaré que la pénurie de compétences dans l’industrie existe depuis des décennies et devrait se poursuivre.

« Nous avons besoin que la sécurité, la confidentialité et la gestion des risques soient considérées comme faisant partie intégrante du travail de chacun dans le domaine informatique », a-t-il déclaré. « Bien qu’il y aura toujours besoin de spécialistes, l’idée que seules certaines personnes doivent se soucier de la sécurité, de la confidentialité et des risques est fausse. »

Il a également déclaré qu’il n’aimait pas le terme cybersécurité. « Habituellement, ajouter « cyber » devant quoi que ce soit n’ajoute rien à la compréhension, nous ferions donc mieux de penser à la sécurité, à la confidentialité et à la gestion des risques et de ne pas utiliser de termes mal définis comme cyber. »

Partager:

Partager sur facebook
Partager sur twitter
Partager sur telegram
Partager sur reddit
Partager sur linkedin
Partager sur pinterest

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles Similaires