À Westeros, le pays des chevaliers noirs, des trahisons entre membres de familles royales, des dragons, des sauvageons, des zomans, des sorcières rousses et des Marcheurs blancs, même les plus jeunes doivent apprendre les bases de l'autodéfense pour espérer survivre dans le cruel univers de fiction imaginé par George R. R. Martin.

De même, chaque RSSI et professionnel de la sécurité doit apprendre les dernières techniques de défense en matière de sécurité de l'information s'il veut survivre face aux cyber-menaces actuelles.

1. Le mur le plus solide peut cacher un passage secret. Dans « Game of Thrones » (« GOT »), le Mur est une fortification colossale qui protège les Sept royaumes contre des êtres mystérieux et malveillants (les Autres) vivant dans le grand Nord. En apparence, il offre une défense impressionnante et semble impénétrable.

Quel rapport avec la sécurité de l'information ? La voie la plus évidente serait d’expliquer que votre réseau a besoin d'un « mur » pour défendre son périmètre, ou éventuellement mentionner l'importance de tenir le mur de votre réseau de la même manière que les membres de la Garde de Nuit tiennent les portes du Nord. Toutefois, bien que ces conseils soient valables, chaque mur recèle des fissures ou des brèches. Aussi impénétrable qu’il semble être, de nombreux groupes ont pu franchir le Mur tout au long du récit de George R. R. Martin. Parce qu’aucune défense n'est parfaite, les spécialistes de la sécurité de l'information s'appuient depuis longtemps sur le concept fondamental de défense en profondeur.

A titre d’exemple, si vous administrez un réseau, vous avez besoin d'un pare-feu. Toutefois, ces derniers, notamment les pare-feu traditionnels, rateront de nombreux types d'attaques. Aujourd'hui, la plupart des attaques visant les réseaux proviennent de l'intérieur (vos utilisateurs cliquant sur un lien) et passent par des ports autorisés (80, 443). La plupart des pare-feu existants ne les voient pas. En fait, aucun contrôle de sécurité technique, aussi sophistiqué soit-il, ne peut empêcher tous les types d'attaques. Il est donc important d’associer plusieurs couches de défense, afin que les suivantes puissent capturer ce que les premières ont laissé passer.

2. Écoutez les avertissements des corbeaux. Dans l'univers de « GOT », les mestres s'envoient des messages importants par l'intermédiaire de corbeaux. Souvent porteurs de mauvaises nouvelles, ces derniers ont acquis une réputation peu flatteuse. Néanmoins, bonnes ou mauvaises, ces messages contiennent généralement des nouvelles importantes et les ignorer n'est pas sans conséquence.

Dans la sécurité réseau, nos corbeaux prennent la forme de rapports et de messages. Pour surveiller nos ordinateurs et nos réseaux, nous déployons divers dispositifs de contrôles qui enregistrent des logs sur les activités dignes d'intérêt ou inhabituelles, les activités malveillantes probables et même les attaques évitées. Toutefois, si vous n'examinez pas régulièrement ces logs avec attention et que vous ne tenez pas compte de leurs avertissements potentiels, vous ne serez pas à même de prendre les mesures susceptibles d’empêcher une violation imminente de la sécurité. Les récentes affaires Neiman Marcus et Target en sont de parfaites illustrations.

3. Les mots sont plus puissants que les armes. Si « Game of Thrones » séduit un si large public, c’est probablement parce qu’elle explore davantage les intrigues politiques et la sociologie humaine que les épées et la sorcellerie. Les mensonges et les manipulations sont les armes de prédilection et plusieurs des personnages les plus faibles physiquement, sans position d'autorité, exercent une influence et un pouvoir bien plus grands que ce que l'on aurait pu croire. Lord Varys (« l'Araignée »), Lord Baelish (« Littlefinger »), et Tyrion Lannister (« le Lutin ») en sont tous de parfaits exemples. Dans le secteur de la sécurité, on les appelle des ingénieurs sociaux. Ils s'attaquent aux faiblesses du comportement humain plutôt que d'exploiter les failles technologiques pour s'introduire dans les réseaux.

Mais notre secteur passe plus de temps à se défendre contre les menaces technologiques que contre les menaces humaines. Les attaques par ingénierie sociale ne ciblent pas les défauts techniques et les meilleures défenses mécaniques sont impuissantes à les stopper. Si vous renforcez vos défenses techniques, n'oubliez pas de sensibiliser également vos salariés aux ruses des ingénieurs sociaux. Vous aurez beau avoir érigé un rempart autour de votre château, un assaillant pourra toujours inciter par la ruse un garde inexpérimenté à ouvrir grand vos portes.

4. Méfiez-vous des menaces internes. Lorsque vous vous penchez sur les personnages manipulateurs de « Game of Thrones », n'oubliez pas que ces derniers s'attaquent souvent à des individus de leur propre groupe à des fins personnelles. En d'autres termes, ce sont des gens de l'intérieur, qui mènent des attaques de l'intérieur.

Les assaillants internes ne sont pas de la fiction. Des initiés malveillants sont responsables de nombreuses violations de règles de sécurité et fuites de données dans le monde réel. Il est facile de négliger la menace interne, dans la mesure où ces individus sont plus difficiles à identifier et à contrer (ils possèdent déjà un accès élevé), mais vous devez rester sur vos gardes.

Quelques conseils de défense fondamentaux : renseignez-vous soigneusement sur vos salariés et associés, mettez en œuvre un contrôle d'accès et une segmentation internes en vue d'appliquer le principe de moindres privilèges, et tirez parti des technologies de prévention des pertes de données pour identifier les fuites, même lorsqu'elles viennent de l'intérieur.

5. Le meilleur apprentissage donne les meilleurs défenseurs. L'une des choses que j'apprécie le plus dans « GOT » est la présence de personnages féminins forts. L'un de mes favoris est Arya Stark. Au début, peu d'entre nous soupçonneraient qu'elle puisse devenir un personnage important dans un récit épique. Et pourtant, Ayra va se muer en une farouche guerrière. Son courage et son attitude y contribuent pour beaucoup, mais je pense que perfectionner ses talents à la moindre occasion est ce qui fait d'elle la combattante accomplie qu'elle est devenue.

À l'instar des meilleurs guerriers, les meilleurs défenseurs de réseau sont ceux qui s'entraînent le plus. Plus vous vous plongez dans les connaissances, les actualités et les pratiques relatives à la sécurité de l'information, plus vous serez capable de défendre votre organisation. Bien que chaque expert ait un avis différent sur les diverses certifications existantes, toutes exigent d'être étudiées, afin de vous former dans votre domaine. Continuez d'apprendre tout ce que vous pouvez sur la sécurité de l'information. Jouez avec les outils des assaillants, pas seulement avec les contrôles de sécurité. Lisez les tout derniers travaux de recherche des white hats les plus doués. Plus vous vous formez dans votre domaine, plus vous le maîtrisez.

6. L'hiver vient (ou « restez vigilants »). La devise « L'hiver vient » est le moyen utilisé par la famille Stark pour rappeler à ses descendants de rester vigilants face aux querelles et attaques futures.

Si je ne devais donner qu'un seul conseil en matière de sécurité, ce serait de rester vigilant. Les techniques utilisées par les pirates informatiques pour s'introduire dans nos réseaux continueront d'évoluer, nos défenses perdent de leur valeur au fil du temps et doivent être actualisées. Mais une chose demeure inchangée : un cybercriminel rôde quelque part sur Internet et veut vos informations. Une vigilance constante signifie que vous acceptez que la menace est réelle, et que vous demeurez perpétuellement conscient des nouvelles attaques potentielles. Votre vigilance vous permettra de reconnaître les cyber-attaques réelles et d'y réagir bien plus rapidement. La devise des Stark comporte une seconde partie, qui reste sous-entendue : « L'hiver vient… préparez-vous. »

L'univers de « GOT » semble souvent trop sombre : nos personnages favoris périssent et ceux que l'on perçoit comme les « gentils » perdent autant de batailles qu'ils en gagnent. Toutefois, nous pouvons apprendre de leurs erreurs, en termine Corey Nachreiner - Directeur de la recherche et de la stratégie de sécurité, WatchGuard Technologies.