Chronique sécurité IT : « La sécurité par la simplicité », par Renaud Bidou

Et pourquoi ne pas utiliser les mêmes armes que les adversaires ?

La compétence d’abord. Car il est indispensable de savoir de quoi on parle, tant d’un point de vue purement technique que d’un point de vue opérationnel. La sécurité est un compromis permanent entre le niveau de sécurité estimé, son coût et son impact sur la production. Les bons choix ne peuvent être pris que si ces trois éléments sont maîtrisés et traités avec le pragmatisme de l’expérience.

L’efficacité, grâce à la compétence. Les attaquants font mouche parce qu’ils savent ce qu’ils veulent et fondent ainsi sur l’objectif comme neige au soleil. Idem pour la sécurité, pas le temps de tergiverser

Un expert compétent sait ce qu’il doit protéger, de quelles menaces et par quels moyens. Ce « comment » inclut de facto l’ensemble des contraintes et l’acceptation d’un niveau de risque maîtrisé.

Et la simplicité, parce qu’un système efficace est simple par essence. Plus un système est complexe, plus sa mise en œuvre et sa maintenance sont ardues, coûteuses et génératrices d’erreurs.

Une chaîne applicative impliquant différents composants totalement hétérogènes basés sur des technologies que tout oppose est peut-être considérée comme une œuvre d’art par son concepteur, mais une hérésie, voir une punition, pour qui doit la sécuriser ; et une aubaine pour un hacker.

Ainsi lorsque nous découvrons ces tours de Babel, construites au hasard des incidents de sécurité et  maintenues par des équipes débordées, « protégeant » l’inextricable chaos de certains systèmes d’information – ou simplement de certaines applications, l’affaire est entendue : l’ennemi est déjà dans les murs.

La solution ? Organiser, rationaliser, factoriser, optimiser, répondre à des besoins clairs et précis. En un seul mot : simplifier.
La sécurité par la simplicité. Ce n’est pas le sujet d’un débat. C’est une question de survie.