Réseaux et télécoms : Cette lutte contre les menaces ne devrait-elle pas débuter par écrire des programmes informatiques qui ne contiennent pas de failles ?
Joshua Corman : C'est une bonne idée, mais ce n'est pas suffisant et surtout c'est impossible. Il y aura toujours des failles dans les logiciels et vous n'arriverez pas à les éliminer. Les hackers, en revanche, sont très motivés pour les trouver car ils espèrent en tirer profit financièrement. Ceci dit, il vaut mieux évidemment tester au plus près les logiciels dès leur réalisation, afin d'éviter les attaques essentiellement au niveau applicatif, de type SQL injection, cross site scripting, ... Le plus tôt on découvre les failles, le mieux c'est. De plus, si vous prenez des logiciels comme ActiveX ou Flash, les sites Web qui les utilisent en conservent souvent des versions vulnérables et ne se mettent pas à jour avec les versions récentes mieux sécurisées. Mais en matière de sécurité, les faiblesses existent à trois niveaux : le logiciel, le paramétrage, les personnes. Pour se répandre un virus a juste besoin que quelqu'un double clique sur une pièce jointe. Même si le logiciel était parfait, les virus se répandraient.

Réseaux et télécoms : l'être humain est le maillon faible ?
Joshua Corman : Les gens prennent de mauvaises décisions, mais ils peuvent changer leurs attitudes. Les vendeurs de technologie disent que la formation des utilisateurs ne fonctionne pas. Une des raisons qui explique cela, c'est que cette formation est souvent faite par des gens qui sont des techniciens et non des spécialistes de la communication. L'arme la moins utilisée contre les attaques c'est la formation, et pourtant elle est efficace. Il faut voir que la lutte contre les menaces est une affaire à la fois de personnes, de processus et de technologies. Si vous écoutez uniquement les vendeurs de technologie, vous allez jeter l'argent par les fenêtres. Prenez l'exemple des pertes ou des vols de données, ils proviennent en priorité des PC portables dérobés ou perdus. Et également des clés USB, des CD, des DVD ou des iPod. Pour se défendre, beaucoup d'entreprises bouchent les ports USB des PC avec de la colle, ou installent des logiciels qui bloquent ces mêmes ports. Or, les gens ont besoin pour travailler ! On peut procéder autrement. Dans une entreprise du secteur de la santé, on a installé un logiciel qui lorsque l'utilisateur veut déplacer des données vers une clé USB, demande par un pop-up « vous allez transférer des données sur un clé USB, pouvez-vous écrire pourquoi ? ». En 15 jours, le taux d'utilisation du port USB a chuté de 92%. Il s'agit de social engineering positif, cette fois-ci, contrairement au social engineering classique qui tente d'abuser de la crédulité des gens. Et cela me permettrait de ne plus avoir à nettoyer le PC de ma belle-mère toutes les semaines. Car le vrai risque aujourd'hui vient des PC des particuliers et non des entreprises car ils peuvent être détournés dans des botnets.

. Web-profils.com, la place de marché du conseil et de l'ingénierie