Note : 8 ; La cybersécurité pour les nuls, mais sans être nulle. Une lecture riche et passionnante à lire.

La cybersécurité, ce n’est pas nécessairement très facile de comprendre ce que c’est. Même une fois cette étape passée, il s’agit d’appréhender ce que cela recouvre et comment cela se décline en termes de mise en œuvre. Le présent ouvrage a pour objectif de s’attaquer à cette tâche pour le moins ardue, et à ma grande surprise il le fait bien, avec un propos accessible sans être débilitant et même avec une pointe d’humour. Bien sûr, comme le texte est émaillé d’anecdotes issues de l’expérience de l’auteur tout cela devient bien plus vivant.

Le livre lui-même est de taille moyenne, avec ses 256 pages. Il est structuré en 12 chapitres, dont 2 d’introduction suivi de 2 parties. Le premier chapitre « cybersécurity and hackers » commence en douceur pour nous faire prendre conscience des enjeux de la cybersécurité. En commençant par l’histoire du château de Warwick, il nous entraine vers les défis de la défense du système d’information. Le style de l’auteur coule tout seul et préfigure le reste de l’ouvrage. Le second chapitre nous assène dans le titre que la cybersécurité est le problème de tout le monde. L’auteur nous y présente son mantra qu’il répètera au fil des chapitres : la mise en œuvre des mesures doit être adaptée, proportionnelle à la menace et soutenable dans le temps. Elle se met en œuvre au travers de 3 questions simples : Quels assets possédez-vous ? Qui peut vouloir vous attaquer ? Quelles défenses mettez-vous en œuvre ? Au travers de ce discours épuré, l’auteur nous montre une autre de ces qualités, celle de présenter un discours clair, simple et pertinent.

La première partie, même si elle n’a pas de titre, est consacrée aux attaques. Elle comporte 5 chapitres sur 125 pages. Elle s’ouvra sur un chapitre 3 sobrement intitulé « comprendre les hackers ». L’auteur a choisi la classification white hat, grey hat et black hat. Son but est de nous faire comprendre l’état d’esprit des hackers. Il le fait en nous dressant de courtes biographies et quelques exemples. Avec la concision qui le caractérise, il résume la démarche du hacker : comment est-ce que cela fonctionne ? Comment je peux le casser ? Qu’est-ce que je peux lui faire faire d’autre ? Qu’est-ce que cela signifie comme possibilités pour moi ? Le chapitre 4 est consacré aux attaques externes. Il s’ouvre sur la boucle OODA (observe, orient, decide, act) et sa déclinaison en 4 questions que nous avons vu précédemment. Mais tout cela va mieux en le faisant. Ainsi l’auteur décline la manière d’opérer d’abord sur une infrastructure domestique, puis sur une architecture d’entreprise. Le chapitre ne serait pas complet sans un panorama des différentes attaques, que ce soient des classiques de l’OWASP, du mobile, du Wifi, etc. A chaque fois cela est expliqué avec clarté et une dose de légèreté qui nous ferait presque oublier que nous apprenons des choses au fil des pages.

Le chapitre 5 aborde un volet important : l’ingénierie sociale. L’occasion était trop belle pour ne pas évoquer le légendaire Kevin Mitnick. Le sujet est parfaitement décomposé aussi bien dans la méthodologie que dans les différents types d’attaques, virtuelles ou physiques, le toute émaillé d’anecdotes issues de l’expérience de l’auteur : un régal ! L’attaque interne nous conduit dans les arcanes du déroulement d’une attaque une fois que le hacker est dans les murs. Ici, le texte nous décompose la progression d’une attaque étape par étape et en profite pour aborder quelques sujets clés, comme l’escalade de privilège ou la manière dont opèrent les APT (advanced persistant threats). La surprise est le focus sur l’architecture de défense en profondeur ! Si elle est parfaitement expliquée, elle est aussi largement dépréciée en faveur du « zero trust ». Cela dit, cette dernière approche est bien abordée, mais plus succinctement. Le dernier chapitre de cette partie aborde le dark web. C’est une parfaite introduction au sujet, qui nous prend par la main pour nous en expliquer l’origine et le fonctionnement du réseau TOR. L’auteur nous propose même de l’essayer en utilisant le browser TOR. Les usages du Dark Web sont plus succinctement abordés. Disons que c’est pour la culture générale !

La seconde partie aborde la question de la défense. Elle est forte de 5 chapitres sur une centaine de pages. Elle débute par un chapitre consacré à la compréhension des risques. Le cœur du propos est la gestion des vulnérabilités, et plus précisément le processus de scoring lié aux CVE (common vulnerabilities & exposures) de la NVD (national vulnerabilities database). D’autres textes s’appuient sur la MITRE, cela nous aide donc à avoir un bon panorama. Le processus qui nous conduit au score CVSS, spécifique à notre contexte est parfaitement décomposé et illustré, ce qui en rend l’appréhension très simple. Au chapitre 9, on passe au test du système. On y aborde certes les tests de pénétration, mais sous un angle très « gouvernance », le propos s’avère finalement décevant. L’auteur n’oublie cependant pas de faire le tour du propriétaire en évoquant l’approche « bug bounty » et les campagnes « red team / blue team », mais toujours avec une certaine altitude. Ce ne sera pas mon chapitre préféré.

Le Security Operation Center, ou SOC pour les intimes, c’est un peu la zone mystérieuse de l’entreprise. L’ouvrage nous en entrouvre les portes en évoquant ses missions et (un peu) ses processus. Elle s’articule sur 2 volets : la réponse aux incidents et la surveillance au travers du SIEM, des logs et du monitoring. La partie « réponse » est assez succincte en ne décrivant que les grandes lignes, mais c’est surtout sur la partie « surveillance » que j’ai été un peu frustré. J’aurais aimé en savoir plus sur le SIEM et sur la manière dont il est utilisé, avec sans doute un exemple. Le chapitre 11 « protecting the people », fait le pendant au social engineering en abordant l’aspect important de la culture cybersécurité de l’entreprise. L’auteur explore quelques voies possibles pour aller dans cette direction comme la prévention sur les mots de passe ou les ransomware, mais aussi le rôle que peut tenir un security champion. Le dernier chapitre « after the hack » forme une très bonne conclusion à l’ouvrage, même s’il ne fait qu’entrouvrir des portes sur la manière dont on remet le SI debout, ou comment apprendre de l’évènement qui est arrivé.

Le contenu du livre répond parfaitement à la promesse du titre : pour celui qui n’a qu’une vague idée de ce qu’est la cybersécurité, appréhender les contours du sujet et ce qu’il recouvre. J’ai été plutôt chanceux d’aborder ce sujet complexe par cet ouvrage, il fait parfaitement bien le boulot et je le recommande sans réserve à celui qui, comme moi, doit se faire une idée assez précise de cet univers sans rentrer dans le détail de chacune de ces thématiques.

Référence complète : Making Sense of Cybersecurity – Thomas Kranz – Manning 2022 – ISBN : 978 1 61729 800 4