Alliance Géostratégique

Cet article, premier d’une série, a pour but de poser la problématique, parfois avec provocation. Après 1 – Le constat, les thèmes suivants seront abordés:
2 – Panorama des difficultés d’environnement (identification et classification des Assets, volume des données et traçabilité, plasticité des risques et dynamique des menaces)
3 – Quelles perspectives juridiques, économiques et sociales (restriction des libertés, surveillance des salariés…)
4 – Quelles pistes, idées et solutions.

1–Le constat

La sécurité des SI est-elle un échec ? Un simple relevé du nombre d’attaques réussies rien qu’en 2011 nous conduirait presque à répondre positivement. Ainsi, dernièrement, avec les attaques réussies sur des Autorités de Certification, c’est un énième coup porté à l’un des dispositifs de sécurité, donné comme parmi les plus fiables, mais qui vacillait déjà sous des problèmes techniques connus et de nombreux problèmes d’organisations.

Les mesures et les dispositifs sont-ils encore adaptés ?

Cette rançon à l’inadaptation pourrait se résumer ainsi : la protection périmétrique du S.I. évoluant peu dans le temps (l’obsolescence, n’est pas prise en compte – ou peu dans le meilleur des cas – avec en contrepoint un facteur régressif croissant de l’efficacité de la protection), plus le temps passe sans attaque, plus les impacts augmentent (coûts financier directs et indirects, coûts à moyen terme. Et encore, ces sombres assertions ne tiennent pas compte d’attaques dynamiques et adaptatives, les fameuses “APT” dont l’acronyme est avant tout marketing même si l’idée sous-jacente est juste. Cette famille d’attaques constitue un modus operandi classique mais élaboré. Même si ses ressorts sont connus de longue date, le nombre d’attaques organisées semble avoir connu une explosion en 2010 puis 2011. Ses victimes, sociétés, administrations voire certains ministères, sont ainsi devenues très nombreuses et seul un décompte minutieux permet de s’en rendre compte. Dernière affaire en date, Areva, sans compter celles encore plus sensibles qui ne sont pas ébruitées…

Quelque chose de pourri au royaume de la SSI !

Il semble donc qu’il y ait “quelque chose de pourri au royaume” de la SSI. Ce problème semble avoir attiré les experts depuis quelque temps car des interventions publiques (H. Schauer -Slides 31 & 32) et certaines publications s’en font de plus en plus l’écho. Les questionnements sont nombreux et les réponses doivent probablement commencer par la formation des nouveaux arrivants sur le marché de la sécurité. Former les spécialistes d’aujourd’hui et de demain, en leur permettant d’exercer leur métier “Thinking out of the box” si cela est nécessaire, est l’héritage qu’il faut dès à présent transmettre. À cela doit s’ajouter un pilotage des organisations et de la sécurité nourris pas des indicateurs fiables et représentatifs et pas uniquement liés à des éléments financiers, de gains ou de coûts.

Pour tenter d’arrêter cette spirale infernale, il va sans doute falloir réactualiser, réinventer voire inventer tout ou partie du système :
- des modèles de pensée dont certains sont adroitement associés à ce que d’aucun considèrent comme de la rente économique ayant cours jusqu’ici!
- des réponses normatives insuffisantes ou inadaptées ou mal appliquées et bien souvent nébuleuses (quand elles ne confinent pas à un certain hermétisme !) aux profanes mais aussi, parfois, à certains spécialistes!
- des réponses techniques (topologie réseaux, infrastructures, équipements);
- de l’organisationnel et de l’humain par le recrutement et la formation continue des spécialistes, “vraie sensibilisation” de l’ensemble des salariés, “vrai” pouvoir des RSSI/RM ou DSI face aux Directeurs Financiers ou à l’unique pilotage financier. Ainsi, certaines pratiques du secteur sont parfois critiquées, comme les prestations de conseil et d’expertises, ou encore la formation, continue ou initiale, des praticiens de la sécurité;
- du juridique, enfin, réduit à un mille-feuilles de textes législatifs, d’articles et d’amendements illisibles et, généralement, peu si ce n’est pas dissuasifs envers la cybercriminalité “dure” et l’espionnage économique déloyal. Le paquet télécom dit “n°3”, adopté en France à la fin août, apporte aussi son lot de questions.

L’Alpha et l’Oméga ou l’Alpha sans l’Oméga ?

Sous peine d’en payer un prix de plus en plus élevé, l’heure n’est plus à la demi-mesure : qu’on l’appelle InfoSec, SSI, ou AI, il devient urgent de protéger sérieusement les informations des entreprises à l’aune des enjeux et de l’environnement de menaces dans lequel elles naissent, vivent, évoluent puis disparaissent, généralement archivées. Ou alors, la souscription d’un contrat d’assurance spécifique Cybersécurité pourrait devenir l’Alpha sans l’Oméga de la protection des systèmes et des informations.

CIDRIS Cyberwarfare & Si vis pacem para bellum