RSSI, les lois sont-elles faites pour être appliquées ?
Quelle sont les limites des règlementations imposant des dispositions sécuritaires ? C'est la question que pose très sérieusement CIO, en citant l'exemple que voilà : Au cours d'une conférence, le Ciso de Sony, accompagné d'un« auditeur sécurité » ayant analysé l'infrastructure de l'entreprise, se fait apostropher ainsi : « Vos contrôles d'accès sont trop faibles, contrairement à ce qu'impose Sarbanes-Oxley, et vos politiques de mot de passe déplorables. Les employés vont même jusqu'à utiliser leurs propres noms lorsqu'ils se loguent sur une machine. Si vos studios d'Hollywood étaient une banque, cela ferait longtemps que vous auriez été éliminé du circuit » Et le patron sécurité de Sony de rétorquer « Si une banque devenait studio à Hollywood, elle serait rapidement éliminée elle aussi ». Image très claire signifiant que les impératifs du milieu et les pratiques d'usage -voir des décisions stratégiques- priment sur les « obligations légales » et les pratiques obtues. Une forme tactique de la gestion de risques. Gestion de risques encore lorsque les décisions doivent louvoyer au milieu du concert des lois et dispositions d'Etat, Fédérales ou Internationales, concernant la sécurité des avoirs de l'entreprise comme la préservation de la vie privée des personnes. S'ajoute à ceci les constats financiers : doit-on aveuglément assurer le renforcement d'une infrastructure de sécurité sachant que le surcoût de l'opération peut atteindre 10 millions de dollars, alors que la perte financière, dans l'hypothèse d'une attaque de l'infrastructure en question, ne pourra dépasser un seul million de dollar ? Cette vision comptable ne tient évidemment pas compte de l'aspect psychologique de la chose, surtout vu sous l'angle de la victime. Logique... le journal s'appelle CIO et s'adresse plus volontiers aux rois qu'à ceux qui les font rois. Toujours à propos du manque de discernement pathologique de certaines personnes du« C level » (CSO, CIO, CFO etc), ce long article de Joanna Rutkowska, qui traite d'une multitude de points, dont le lancement du site web officiel de Invisible Things Lab et de la manifeste incompréhension « pathétique » de quelques CSO quand aux questions de sécurité. Ce que l'auteur du spyware « blue pill » fustige, ce n'est pas l'ignorance « technique hard core » des patrons -il n'est pas nécessaire de savoir coder un virus pour s'en prémunir- mais leur naïveté quand à la réalité des menaces et à l'association des solutions mises en places pour les contrer.
