mercredi 28 novembre 2012

SSI/Cybersécurité : y a-t'il un pilote dans l'avion* ?

Coup sur coup, c'est à l’École militaire qu'il fallait être la semaine dernière pour assister à deux importantes conférences consacrées à la cybersécurité et à la cyberdéfense. D'ailleurs, et c'est presque sans malice que je l'écris, il serait malvenu de venir se plaindre et taper allègrement (et gratuitement) sur l'institution militaire qui sait organiser d'excellentes conférences, ouvertes au public, du moins à la société civile. Et qui sait donc s'emparer et piloter, l'air de rien, un sujet passé du statut émergent à celui de stratégique. Le tout en moins de deux années.

Lundi 19 novembre soir, le sénateur et ancien ministre Jean-Marie Bockel débutait le bal de cette riche semaine. Et nous prouvait qu'on peut être un homme politique et transcender bien des clivages lorsque l'on sait s'emparer avec sérieux, justesse et méthodologie d'un sujet majeur pour l'avenir du pays. Les polémistes pourront toujours clamer que le sénateur a eu l'intelligence de savoir s'emparer, là-aussi, d'un sujet trendy pour se refaire une virginité. Et faire, peut-être au passage, oublier son récent parcours politique, discutable. Peu importe cependant puisque J-M Bockel semble avoir réussi l'honorable synthèse de comprendre les enjeux de la problématique cyber tout en se faisant l'apôtre d'une approche pragmatique, offensive mais dépassionnée.

Deux jours plus tard, mercredi 21 novembre après-midi, un panel de chercheurs et d'experts internationaux, spécialisés en cybersécurité/cyberdéfense, ont pu faire montre de l'excellence des travaux en cours mais aussi de certaines limites majeures. Et c'est ici qu'il faut saluer Cédric "Sid" Blancher qui a su capter l'attention du public en étant magistral, parfois décapant mais toujours d'une grande justesse. Un tour de force en apparence impossible qu'il convient de préciser.

Vieilles ficelles et bouts de ficelles ! 
Concernant les fameuses "APT", Cédric commence son propos en affichant des mails forgés avec pièce jointe associée, reçus par son employeur dès...mai 2006. Trois ans plus tard, c'est la même charge active qui est utilisée. Il explique qu'en 2012, soit six années et demi après, les mêmes (grosses) ficelles sont utilisées et continuent de fonctionner !
Ce qui l'amène à analyser l'industrie de la sécurité qui lui parait peu évolutive et uniquement par sauts incrémentaux. Cette industrie n'est pas très motrice, ne faisant que recycler les mêmes produits (cas des IDS devenus IPS quelques années après) avec un problème de raisonnement du type : "vous avez un problème, nous avons un produit". D'où une distorsion entre les besoins réels des DSI/RSSI, un vrai-faux sentiment de sécurité mais une réelle augmentation de la surface d'attaque. Car nombreux sont les produits et outils embarquant des vulnérabilités,  nouvelles ou pas (1) !

Ici donc est souligné un joli paradoxe puisque la typologie des attaques est plutôt stable, exploitant les mêmes typologies de failles depuis des années  (les turfistes joueront Adobe/Flash/Java) et un constat embarrassant : s'il y a bien une chose qui croît de manière affolante, c'est la complexité ! (2) 

Pilotage par l'argent, pilotage par l'absurde
Des questions se posent alors concernant certaines causes et d'éventuelles responsabilités. Pourquoi s'échiner à empiler des produits et des technologies qui ne correspondent pas aux vrais besoins ? Pourquoi aussi transférer la responsabilité vers une sous-traitance de moins en moins crédible ? Parce que la sécurité, depuis trop longtemps, n'a que rarement été traitée du point de vue stratégique. Et n'est vue, dans le meilleur des cas, que comme une obligation de se protéger contre les virus ! Je caricature à peine mais l'antienne "je suis progé, j'ai un firewall" n'est pas qu'une vue de l'esprit.

L'autre problème, renforçant les travers décrits précédemment, est le pilotage par le seul facteur financier. Pilotage "aux instruments" d'une fonction qui commence seulement à être perçue comme stratégique. Centre de coûts, la sécurité n'a jamais été réellement considérée pour ce qu'elle est vraiment : une assurance contre les risques informationnels, un investissement contre le pillage donc un facteur de compétitivité.  

Idéalement, la fonction de RSSI devrait être tout bonnement confiée au directeur général (3), au moins du point de vue de sa responsabilité légale. Peut-être alors ce dernier serait-il à même de convaincre son conseil d'administration que la sécurité n'est qu'un coût somme toute raisonnable, avec un véritable effet de levier de profitabilité sur le long terme. Et qu'enfin le RSSI détiendrait le pouvoir que les DSI et les métiers, bien conscients du "danger" sur leurs propres pouvoirs, n'ont jamais cessé de lui confisquer.

(1) Lire en complément le premier et second article de la série "la sécurité de l'information est-elle un échec ?" écrite conjointement en 2011 avec Cidris
(2) Lire le quatrième article sur le sujet de la complexité toujours issu de la série décrite ci-dessus
(3) Suite à la précision apportée par Sid (dans les commentaires), je souligne que cette proposition n'engage que moi 

* qui va atterrir en pleine nuit, par temps de brouillard, train bloqué / RAT sortie !!!

A noter la parution simultanée de cet article sur le site de l'Alliance géostratégique

6 commentaires:

Christophe a dit…

La responsabilité légale SSI est souvent du ressort du DG dans les administrations. C'est du moins le cas de la fonction publique hospitalière. Toutefois, est-ce une garantie pour avancer mieux ?
En termes de capacité de travail et de compétences, ne vaut-il pas mieux attribuer ces responsabilités à une personne dédiée ? Je pose réellement la question, car je ne suis convaincu ni par le RSSI en DSI, ni par le RSSI hors-DSI (qualité, risques, sécurité de l'entreprise), ni par le RSSI à la DG.

L'une des meilleures organisations que j'ai vues est une séparation de toutes les fonctions de l'entreprise entre le "développement" (nouveaux projets, stratégie cœur de métier, nouveaux produits...) et l'"amélioration continue" (sécurité, qualité, risques, amélioration des processus tant métier que support...)

Sid a dit…

Concernant le dernier paragraphe, ce n'est pas ce que j'ai dit.

Ma vision, ce n'est pas que les DG doivent devenir des RSSI, mais qu'il leur revient de prendre les décisions sous l'éclairage apporté par le RSSI tant sur les risques que sur les solutions, ou de déléguer complètement ce pouvoir, sans ambiguïté et avec un support total.
Or aujourd'hui, nous touchons très clairement les limites de ce que j'appellerais plutôt un abandon du pouvoir de décision sur les RSSI en matière d'autorisation des usages, ces derniers n'ayant souvent que peu de poids face aux "impératifs business" d'une part, et aux caprices des décisionnaires (qui ne décident pas) d'autre part.

Pour faire écho à un refrain entendu récemment, le RSSI n'a que très rarement ce pouvoir de dire non dans la pratique, et c'est aussi ce qui l'empêche d'être vu comme apportant de la valeur.

egea a dit…

En suite de ton billet : http://www.egeablog.net/dotclear/index.php?post/2012/11/28/Comment-faire-pour-que-le-cyber-soit-le-probl%C3%A8me-du-dirigeant

Dnucna a dit…

Merci beaucoup pour cette restitution.

Quand je vois des discours comme ça d'acteurs (je pense à Sid, pas à Bockel) de la sécurité je me demande vraiment vers où on va... Et vers où je vais.

A quoi ça sert d'être un RSSI frustré, sans pouvoir et sans budget et dont la tête tombera en cas de pépin ?
A quoi ça sert de former des gens à voir des risques et à dire non tout le temps ? Non au cloud, non à l'externalisation, non au byod, non au smartphone.

Je me demande souvent si je veux rester dans ce milieu ou ouvrir un restaurant (par exemple) :D

Si vis pacem a dit…

@Christophe
Merci beaucoup pour votre commentaire.
Votre remarque sur une possible spécificité de la responsabilité SSI dans les administrations est intéressante, particulièrement sur ce que vous semblez connaître de la fonction publique hospitalière. Les enjeux et les biens essentiels à protéger sont cependant extrêmement différents d’avec ceux d’une entreprise du secteur privé. Par ailleurs, l’une des meilleures organisations que vous ayez vue avec la fonction sécurité positionnée dans le fourre-tout « amélioration continue » emblématique du problème actuel. A mon sens, c’est dans la partie « développement » rattachée à la stratégie cœur de métier qu’elle doit impérativement se trouver.

@Sid
Tu as tout à fait raison l’ami, tes propos ont simplement inspiré ma réflexion. J’ai donc légèrement modifié le texte pour le faire apparaître. Merci en tout cas à continuer ce rôle d’aiguillon, indispensable en cette période où faire l’autruche semble à la mode ! :)

@Egéa
Merci cher allié pour ce billet rebondissant et ton apport général au débat, nécessaire là-aussi.

@Dnucna
Cher camarade, être frustré signifie qu’il faut prendre du recul…ou prendre le large ! Si votre tentation de Venise culinaire venait à se concrétiser un jour, puis-je vous demander en toute amitié de me le signifier ? J’irai sans aucun doute dîner par chez vous afin de vérifier qu’un praticien libéré et enthousiaste transforme les choses les plus simples en miracles sans cesse renouvelés ! Solidairement,

Dnucna a dit…

Je suis simplement dans ma phase "ma carrière dans la sécurité est un échec" :)
J'espère bientôt toucher le fond pour mieux remonter :)

Sachant que les attentes des clients/DSI/RSSI (en général) est faible, le niveau technique des consultants et informaticiens est donc bridé. Le niveau maximal étant vite atteint il y a donc peu de choix : travailler pour soi (principalement le soir pour ceux qui ont le temps et la motivation), stagner (et déprimer comme moi pauvre petit père de famille avec 2h30 de transport parisien par jour) ou changer de voie (client, manager, autre métier).

Tout cela forme un cercle vicieux "la sécurité est un échec" <-> "il y a un manque de compétence en France/fuite des cerveaux".