Les CSO n'ont aucune tendance suicidaire...
...il faut du moins l'espérer. Car deux papiers viennent éclairer le Landernau de la sécurité d'un spot blafard et catastrophiste. Des Cassandres professionnels ? Des pessimistes de nature ? Pas tout à fait. Le premier, c'est Sean Michael Kerner, d'Internet News, dans un article intitulé « Network Security: Be Afraid, Be Very Afraid ». Notre confrère interview quelques figures du secteur réseau : Joshua Corman d'ISS, Mike McKinnon de ProCurve, Paul Stamp du Forrester Research... le constat est peu étonnant mais désagréable à entendre : ce ne sera pas un NAC qui améliorera la sécurité intrinsèque des réseaux, surtout si ce réseau est mal soigné ou protégé. C'est peu comme une bande Velpeau, explique l'un des interviewé. Si la blessure est superficielle, le bandage sera efficace. Mais si le mal est plus profond, s'il s'agit d'une grave blessure interne, le pansement ne fera que cacher provisoirement la blessure et n'empêchera jamais la mort du réseau. *
Stamp va même plus loin et ironise : « Our biggest threats are CEOs, not rootkits », expliquant que trop souvent, les dépenses en matière de sécurité sont la conséquence d'un accident soit directement vécu, soit vécu par une entreprise proche. Face à cette forme de défense élastique et purement réactive, les auteurs des menaces se professionnalisent à l'extrême et s'orientent vers un type d'attaque essentiellement ciblée et unique, pratiquement « sur mesure ». Comment, dans de telles conditions, compter sur un outil de protection paramétré pour contrer des offensives très générales ? Certains exploits ne sont, en effet, utilisé qu'une seul fois, contre une seul cible. Inutile alors d'espérer en trouver la marque de fabrique dans les entrailles d'un antivirus reposant sur une base de signatures. Le pire, sous-entend l'auteur sans l'exprimer réellement, c'est que les menaces sont là... mais pas les outils pour s'en protéger. Est-ce d'ailleurs une simple question d'outil ?
Un article qui dénonce, donc, mais qui n'apporte pas franchement de solutions précises. Et notamment d'un point de vue économique. Comment gérer un budget sécurité dans de pareils cas ? En attribuant une enveloppe« sécurité générale », qui sera réparti en fonction de chantiers prévus dans le cadre d'un programme électoral présenté à la direction ? Ou alors par « mission » sanctionnée par une obligation de résultat en fonction d'une ligne de crédit fixée ? Seulement voilà, si la recette de la LOLF est porteuse d'espoirs, elle ne peut fonctionner sans une analyse critique des résultats obtenus. Et en matière de sécurité, le résultat c'est quoi ? un ROI impossible à prouver ? une conformité aux normes de gouvernance du genre ISO ou BS ?
L'autre cri d'alarme est poussé par Bruce Schneier, non pas sur son blog, mais dans les colonnes de notre Grand Frère ComputerWorld : We are loosing the security war. Le prédicateur gauchisant du monde informatique n'y va pas de main morte. Là encore, le constat est le même : les cybertruands deviennent de plus en plus « pro ». Mais, pour ne pas arranger les choses, les outils informatiques que nous mettons en place deviennent de plus en plus complexes. A un tel point qu'il devient impossibles de les maitriser entièrement. Remarque que l'on doit rapprocher d'une autre, émise dans l'article précédemment mentionné : « It's time for a reset on education. You can't defend against what you don't understand ». On ne peut se défendre que de ce que l'on comprend. Comprendre, c'est savoir. Savoir, c'est appréhender un problème dans son intégralité. Ce que ne semblent pas pouvoir assumer les CSO et CISO de la création. Soit parce que la tâche est monumentale, quasiment impossible à réaliser... soit par pur désintérêt, insinue perfidement Schneier. Et de citer l'exemple des banques, qui semblent se moquer du tiers comme du quart des problèmes de vol d'identité, car les conséquences matérielles d'une usurpation sont « extérieures » à l'entreprise et ne la concerne pas. En revanche, la compromission de leur propre périmètre de sécurité éveille leur attention la plus soutenue... car les conséquences financière risquent d'être immédiates et directes. Une logique, conclue perfidement Schneier, qui est appliquée également par les éditeurs de logiciels. Et lorsque le gourou de Counterpane lance cette flèche du Parthes, c'est une allusion directe à la correction immédiate du pseudo trou du DRM de Windows Media Player par Microsoft pas plus tard que la semaine dernière, et à l'attitude dogmatique de ce même Microsoft s'accrochant à la parution strictement mensuelle des correctifs de sécurité quelque soit le nombre d'exploits pouvant affecter les postes de ses clients. Il est plus important de voir la paille qui est dans l'oeil de ton portefeuille plutôt que la poutre que tu as fait tomber dans le compte en banque de ton voisin. Proverbe néolibéral.
* NdlC Note de la Correctrice : Cette analogie pharmaceutique est synthétisée par une pensée profonde de Francis Blanche : Il est plus facile de changer le pansement que de penser le changement.
