+33 (0)1 69 33 05 50

Actualité et agenda de l'AFTI

Loi de Sutton : prévoir c’est pouvoir !

En cybersécurité, une partie du travail de veille consiste à vous tenir informé des dernières failles, malwares et hacks en tout genre. Cette veille doit vous aider à vous adapter aux menaces potentielles en vogue et à vous préparer au pire en croisant les doigts pour ne pas être attaqué. Mais cette routine est-elle la seule arme du cybercop ? Qu’en est-il de la loi de Sutton appliqué à la cybersécurité ?

William, ce « hackeur » des temps passés

loi de SuttonWilliam « Slicky Willie » Sutton est un célèbre braqueur de banque américain des années 1930. À l’aide de simples déguisements, d’arnaques et de contrefaçons, il a réussi à dérober plus de deux millions de dollars (équivalent à 14 millions de dollars aujourd’hui) durant toute sa carrière, sans jamais tuer qui que ce soit. Plus important que son palmarès ou du modus operandi, on retient surtout sa réponse simple, mais pleine de sens, lorsqu’un journaliste lui demande pourquoi il s’était lancé dans le braquage de banques : « Parce que c’est là où est l’argent ». Cette citation retient tout l’esprit de la loi de Sutton et de son application.

 

La Cybersécurité, où en est-on ?

Retour en 2017, vous faite face à des milliers de cyber « Slickie Willie ». Vous êtes responsable de la sécurité de votre entreprise de la même manière qu’une banque. Les méthodes de hacking évoluent quotidiennement et, malgré une veille assidue et une panoplie d’outils (logiciels, mots de passe, données cryptées…) pour pallier aux failles de votre système, vous n’êtes jamais à l’abri d’un vol.

On utilise souvent des formules mathématiques afin d’évaluer les risques en cybersécurité, mais il est très difficile d’estimer un risque dans un environnement en évolution constante. Aucune formule mathématique, si ce n’est des boules de cristal, ne vous dévoileront les prochains Krack [insérer lien vers L’article WIFI WPA], bugs, protocoles, ou attaques dans les mois à venir.

C’est pour cette raison que l’on compte sur ces 3 paramètres majeurs en cybersécurité :

  • La Menace : l’identité et le mode opératoire de l’intrus.
  • La Vulnérabilité : les failles susceptibles de laisser entrer un intrus.
  • La Conséquence : les dégâts infligés par l’intrusion : vol de données, ransomware, etc.

cybersecurite

La loi de Sutton en cybersécurité

En cybersécurité, on passe un temps considérable à faire de la veille, et donc à se tenir au courant des méthodes de la menace, voire de son identité. En aval, cette veille permet de définir les vulnérabilités d’un système et d’y remédier. Peu sont de ceux qui s’attardent vraiment sur la conséquence d’une intrusion, pourtant centrale dans la bataille de la sécurité informatique.

La loi de Sutton se veut à l’inverse de cette méthode. Pourquoi ne pas se mettre à la place du malfaiteur, et chercher où est « l’argent », se demander quel est le but recherché par votre William Sutton ? Cette réflexion permet de prévoir et d’optimiser la sécurité du système en fonction de votre situation, de vos données et matériels sensibles, et non des tendances de l’environnement cybersécuritaire. Cette démarche passe forcément par une hygiène sécuritaire autour des dites données, pour y rendre difficile l’accès du hacker et réduire considérablement le risque d’une attaque. D’ailleurs, cela ne fera sûrement pas l’unanimité au sein de votre entreprise.

Par principe, dites-vous qu’aucun système de sécurité n’est infaillible. Votre but est de rendre l’effort d’une menace extérieure la plus difficile et risquée possible, afin de la décourager. Personne ne peut prévoir exactement quand et où une attaque se prépare, on ne vous en demande pas autant que Tom Cruise dans Minority Report. Il est par contre impératif de rester proactif dans vos méthodes, afin de rassurer votre entreprise.

Vous souhaitez vous former à l’exercice ? Découvrez nos formations dédiées.