Chronique Renaud Bidou : la sécurité par la cécité

La théorie de la sécurité des systèmes d’information est une activité intellectuellement stimulante.

L’étendue du spectre fonctionnel et technique, qui impose d’allier aussi bien la vision stratégique que l’expertise technique, constitue un challenge passionnant, sans cesse renouvelé par les avancées techniques des acteurs des deux bords.

Si la pratique quant à elle constitue également un challenge, ce dernier est tout autre.

Il consiste essentiellement à ce que personne n’entende parler de la sécurité, tout simplement parce que ce sujet n’est jamais abordé de manière positive.

Le réseau est coupé ? c’est le firewall. L’accès depuis Internet n’est plus disponible ? c’est le VPN. Impossible d’accéder aux ressources ? C’est le serveur d’authentification. Les performances sont dégradées ? C’est le WAF…

La litanie des témoignages à charge est interminable.

Pire, qu’une faille soit exploitée et c’est le drame.

Quand l’intrusion de la sécurité dans le quotidien (mots de passe, chiffrement, restriction des accès, etc.) est jugée intolérable, voire contre-productive, c’est l’absence d’un contrôle aussi systématique que pointilleux qui est soudainement mis en avant.

Le responsable, car on en trouve toujours un, est ainsi taxé de laxisme et d’incompétence, ses capacités d’organisation sont sérieusement remises en question et sa cote de crédibilité s’effondre.

Le bon côté des choses, c’est que les quolibets dont l’individu est alors victime pourraient remonter sa popularité, généralement proche du zéro absolu.

La sécurité, il faut juste ne pas en entendre parler.

De là à se dire qu’il est aussi bien de ne rien faire, il n’y a qu’un pas que certains ont déjà franchi, souvent inconsciemment.

Une nouvelle menace émerge ? Non, ce n’est qu’un épiphénomène. Une nouvelle technologie apparaît ? Encore un coup du marketing. Un dysfonctionnement ? Tout le monde sait que la faille est située entre la chaise et le clavier.

Ne rien voir, ne rien montrer, si ce n’est quelques rapports invérifiables disant que tout va comme d’habitude, voilà le secret du bonheur d’un RSSI* serein.

Damn Kids

Et il semblerait que cela arrange tout le monde, car les individus vraiment malveillants n’ont aucun intérêt à ce que leur méfait soit découvert. La sécurité est un environnement dans lequel personne n’aime la publicité gratuite.

Personne ? Pas tout à fait. Certains tiennent à leur quart d’heure de célébrité. Et d’autres tiennent à écrire au mur du « hall of shame » les noms de leurs petits copains.

Ainsi, Twitter devient le canal de diffusion des rapports d’intrusions et Pastebin le « repository » officieux pour les informations subtilisées.

Le milieu discret et confiné de la sécurité informatique est devenu une cour de récréation bruyante et incontrôlable dans laquelle les gamins se vantent haut et fort de leurs exploits.

Et paradoxalement, ce sont ces gamins qui deviennent les garants de la sécurité de nos systèmes d’information ; plus que les Chinois qui ont méthodiquement dépouillé une multinationale de ses secrets industriels ; plus que les experts victimes depuis des décennies d’un incurable syndrome de Cassandre.

Car lorsque la base de données des utilisateurs d’un ministère est publiquement exposée sur le Net, ce sont tous les responsables de la sécurité de la fonction publique qui réalisent que oui, c’est possible, et qu’ils pourraient bien être les prochains.

Le portail d’un opérateur de téléphonie est modifié, et le monde des télécoms se préoccupe au plus vite de la sécurité de leurs applications Web, même si les performances d’accès à ces dernières sont dégradées.

Ces gamins dévoilent une réalité que l’on refuse et imposent, sans les formes, une prise de conscience brute en faisant avaler de force cette pilule rouge qui avait été soigneusement oubliée.

* RSSI = Responsable de la sécurité des systèmes d’information