Menace, vulnérabilité, risque : le vocabulaire qui change tout
Equifax, ou le prix d'un mot mal compris
Le 7 mars 2017, une faille critique du framework web Apache Struts est publiée, avec son correctif : CVE-2017-5638. Chez Equifax, l'un des trois grands bureaux de crédit américains, l'équipe sécurité envoie un mail interne demandant de patcher. Le serveur du portail de contestation, lui, n'est jamais mis à jour. Mi-mai, des attaquants entrent par cette faille. Ils se promènent dans le réseau pendant 76 jours — d'autant plus tranquillement que le certificat de l'outil censé inspecter le trafic sortant avait expiré depuis dix mois. Bilan final : les données personnelles de 147 millions de personnes, dont numéros de sécurité sociale et permis de conduire, et plus de 1,4 milliard de dollars de coûts pour l'entreprise.
Cette histoire tient en trois mots que tout le monde confond : il existait une vulnérabilité (le Struts non patché), une menace active (des groupes qui scannaient Internet à la recherche de cette faille précise dès les jours suivant sa publication), et donc un risque énorme. Le jour où tu utilises ces trois mots correctement, tu pries différemment : tu sais quoi corriger en premier.
Les définitions qui servent à prioriser
- Menace (threat) : ce qui pourrait mal tourner, et qui a une intention ou une cause. Un groupe de rançongiciel, un employé négligent, un concurrent, une panne électrique, une crue.
- Vulnérabilité : une faiblesse exploitable. Un logiciel non patché, un mot de passe par défaut, un partage réseau ouvert à tous, une porte de local technique jamais fermée.
- Risque : la rencontre des deux, pondérée par l'impact. Risque ≈ probabilité qu'une menace exploite une vulnérabilité × gravité si ça arrive.
Une vulnérabilité sans menace crédible reste théorique : une faille dans un logiciel qui tourne sur une machine isolée, sans réseau, dans un coffre, ne vaut pas une alerte de nuit. Une menace sans vulnérabilité correspondante ne se réalise pas. C'est l'intersection qui coûte cher, et c'est elle qu'on cherche. Chez Equifax, l'intersection était béante : faille connue publiquement, exploitée activement dans la nature, sur un serveur exposé à Internet contenant les données les plus sensibles du pays.
La surface d'attaque : compter ses portes
La surface d'attaque, c'est l'ensemble des points par lesquels un attaquant peut entrer ou interagir avec ton système : ports ouverts, formulaires web, API, comptes utilisateurs, boîtes mail, clés USB, sous-traitants qui ont un accès, instances cloud oubliées. Réduire la surface d'attaque est souvent le geste le plus rentable de toute la sécurité. Un port fermé ne peut pas être attaqué. Un compte supprimé ne peut pas être compromis. Un service désinstallé n'a plus besoin d'être patché.
Un exemple concret, vu mille fois : une entreprise expose un serveur d'administration à distance (RDP, port 3389) sur Internet « le temps du télétravail ». Les scanners automatisés type Shodan la trouvent en quelques heures, et les tentatives de connexion par force brute commencent le jour même. Fermer ce port ou le passer derrière un VPN supprime toute une classe d'attaques d'un coup. Chaque fonctionnalité ajoutée, chaque outil SaaS adopté, chaque intégration agrandit la surface. La sécurité et le « toujours plus de features » sont en tension permanente, et c'est toi qui arbitres.
Le modèle de menace : contre qui, exactement ?
Dernier outil, le plus sous-coté : le modèle de menace (threat model). Se protéger « contre les hackers » ne veut rien dire. Un cambrioleur opportuniste, un cambrioleur qui te vise toi, et un service de renseignement ne se contrent pas avec les mêmes moyens. Le modèle de menace, c'est répondre posément à quatre questions :
- Qu'est-ce que je protège ? (mes données clients, mon code source, ma trésorerie, ma réputation)
- Contre qui ? L'écrasante majorité des PME affronte des attaquants opportunistes et automatisés : ils scannent tout Internet et prennent ce qui s'ouvre. Viennent ensuite le cybercrime organisé (ransomware, fraude au virement), l'insider négligent ou mécontent, et, pour une minorité, des acteurs étatiques.
- Quelle vraisemblance ? Un ransomware opportuniste : très probable pour tout le monde. Un espionnage ciblé : dépend de ton secteur.
- Quel impact ? Perdre une journée de travail, ou fermer boutique ?
Ce petit exercice évite les deux erreurs symétriques : dépenser une fortune contre un adversaire qui ne te vise pas, et laisser grande ouverte la porte que les attaquants automatisés testent toutes les heures. Il te donne aussi un argument face à un vendeur de solution miracle : « contre quelle menace de mon modèle, exactement ? »
À toi
Fais le modèle de menace d'une boutique en ligne artisanale (deux personnes, un site sous Shopify, une boîte Gmail, 3 000 clients en base). Liste l'actif principal, les deux menaces les plus vraisemblables et la première mesure pour chacune.
Correction possible : l'actif principal est le compte email, car il permet de réinitialiser tous les autres accès, y compris Shopify et la banque. Menace n°1 : le phishing et le vol d'identifiants (opportuniste, massif) → MFA sur Gmail et Shopify, en priorité absolue. Menace n°2 : la fraude au virement ou au faux fournisseur → une règle simple : tout changement de RIB se vérifie par téléphone au numéro déjà connu. Remarque ce qui n'apparaît pas : pas de pare-feu à 10 000 €, pas d'audit de code. Le modèle de menace a orienté l'effort vers ce qui sera réellement tenté.
Deux principes traverseront tout le cours à partir d'ici : la défense en profondeur (empiler des couches, car aucune n'est parfaite — on la détaillera avec un schéma dans la partie réseau) et le moindre privilège (chaque personne, chaque service n'a que les droits strictement nécessaires : le stagiaire n'est pas administrateur du domaine, l'application web n'a pas le droit de supprimer des tables). Garde-les en tête, on va les croiser dans chaque partie.