Les grands projets ne devraient pas échapper aux règles de base de l’hygiène cyber. Dark Vador aurait ainsi pu éviter la destruction de son Etoile Noire, comme le rappelle cette tribune à l’occasion de la Journée mondiale Star Wars – May the 4th be with you.
Malheureusement, je suis au regret de t’annoncer que ton plan ne va pas se dérouler comme tu le souhaites. Ton projet de 644 mille milliards d’euros[1] va être contre carré par un petit groupe de rebelles. Ce qui va porter un coup dévastateur à l’Empire tant en termes de pertes matériel et d’image que d’atteinte au moral de ses troupes.
Mais heureusement tout ceci pourra être évité, si tu mets en œuvre les règles élémentaires en matière de cybersécurité qui sont décrites dans le « Guide d’hygiène informatique »[2] de l’ANSSI.
A lire aussi : Nouveau directeur de l’Anssi, plan pour les hôpitaux, formations… Un début d’année 2023 qui change les perspectives en cybersécurité
Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés (préconisation N°7 de l’ANSSI)
Un certain R2-D2, un petit robot au babillage exaspérant, va réussir à accéder au système de l’étoile noire et à trouver la localisation du rayon tracteur ainsi que celle d’une de tes prisonnières, la princesse Leia Organa d’Alderaan. Si tu mets en place un système de contrôle d’accès, limitant aux seuls équipements autorisés l’accès au réseau de ton système d’information, il sera alors impossible à cet exaspérant petit robot d’avoir accès à ces informations confidentielles. Informations qui, comme nous allons le voir, vont être utilisées par les rebelles pour tenter de mettre en échec tes plans.
Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur (préconisation N°8 de l’ANSSI)
Ainsi, pour libérer cette princesse Leia, deux individus nommés Han Solo et Luke Skywalker vont se déguiser en stormtroopers afin de s’introduire dans la prison. En cybersécurité, comme en sécurité physique, il est essentiel de s’assurer de l’identité des personnes qui accèdent à ses actifs. Si tes stormtroopers arborent un badge avec leur photo et qu’ils ne portent pas ces casques impersonnels ceci permettra de déjouer cette tentative d’usurpation d’identité.
Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques (préconisation N°26 de l’ANSSI)
Concernant le rayon tracteur, grâce aux informations collectées par R2-D2, ton ancien maître Obi-wan Kenobi va réussir à le désactiver. Car pensant qu’il ne pouvait y avoir que des personnes de toute confiance dans l’étoile noire, tu as omis de mettre en place un contrôle d’accès pour empêcher un intrus de pouvoir utiliser le système de commande du rayon tracteur. Il te suffira simplement de mettre en place une porte avec un système d’autorisation (clavier numérique, système biométrique …), pour que les rebelles ne puissent pas avoir accès à cette salle technique et ainsi déjouer leur tentative.
Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable (préconisation N°31 de l’ANSSI)
Enfin, je suis au regret de t’annoncer que les rebelles ont en leur possession le plan complet de l’étoile noire, ce qui va leurs permettre d’y trouver une faille dans sa conception qu’ils ne manqueront pas d’exploiter. De tous les conseils que je t’ai donné dans cette lettre, celui-ci est sans doute le plus important. Les données confidentielles doivent toujours être chiffrées, ainsi si un document venait à tomber en de mauvaises mains, il serait alors impossible pour les personnes qui tenteraient d’en prendre connaissance, d’y avoir accès.
J’espère que tu mettras en œuvre mes différents conseils afin que l’Empire puisse prospérer pendant des milliers d’années.
Signé : ton plus grand fan
[1] https://www.lexpress.fr/culture/cinema/star-wars-l-etoile-noire-de-star-wars-a-un-prix-644-000-000-000-000-000-e_1085663.html
[2] https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/