De la sécurité informatique à la française...

'il y avait une catégorie "Best troll" aux Pwnie Awards 2009, News0ft ferait certainement partie des nominés avec son dernier billet. Sous le titre aguicheur de "L'échec de la sécurité française", il nous rappelle une dure réalité : malgré des annonces ambitieuses en matière de sécurité informatique, notre beau pays a du mal à retenir ses experts.

S'en suit une quantité appréciable de commentaires, soixante-douze à l'heure où je publie ces lignes, ce qui montre bien qu'en posant le problème, il a touché un point sensible : la valorisation de l'expertise en sécurité informatique en France. Ou comment est-ce qu'on traite le "hacker", au sens noble du terme, dans les entreprises nationales. Pour autant, est-ce bien un mal franco-français ?

Si vous n'avez pas encore lu l'excellent billet de News0ft, ainsi que les réactions qui vont avec, arrêtez ici votre lecture de ses lignes et ne la reprenez qu'une fois que ce sera fait. Vous allez y trouver pas mal de réflexions intéressantes, dont certaines mériteraint des séries complètes de billets à elles seules. Pour autant, je ne pense pas que le mal être des experts en sécurité informatique soit un mal exclusivement franco-français.

Car comme le fait remarquer rapidement billybob dans son dernier commentaire, il s'agit bien plus d'un problème d'écosystème que de nationalité, bien que celui-ci présente clairement des variantes locales. Par écosystème de la sécurité, on entendra bien sûr tous les acteurs qu'elle met à contribution, ce qui pourrait tout aussi bien se résumer au monde de l'informatique tout court, ce qui fait globalement beaucoup de monde. Et le moins qu'on puisse dire, c'est que l'essentiel de ce petit monde se contrefout de la sécurité.

Ou plutôt que tout ce beau monde est contraint d'en faire, parce qu'il faut en faire. Parce qu'une réglementation l'exige, parce que le client l'a demandé, parce que ça la foutrait mal au niveau de l'image, parce que c'est dans l'air du temps, etc. Alors s'il faut en faire, faisons-en, mais pas trop. Ce qui veut dire que quand je parle d'en faire, il convient de relativiser. Bien souvent, le "pas trop" se résume à en parler. Juste à en parler. Parce qu'il faut bien voir les choses en face : en ces temps de réduction des coûts, la sécurité est plus un problème pour tout le monde qu'autre chose. Ben oui, la sécurité, ce sont des compétences et du temps à allouer, et donc de l'argent supplémentaire à dépenser. Donc ça ne va pas.

On pourrait disserter des heures et des heures là-dessus, mais un aspect du "cost cutting" qui me semble exacerber encore ce problème est la distribution des tâches et des responsabilités qu'entraîne la sous-traitance. Ce qui ne serait pas tant un problème en soit si cette distribution ne prennait pas souvent la forme d'une dilution dès qu'il s'agit de sécurité. Parce que la sécurité, c'est toujours l'affaire de l'autre en définitive, le jeu des chaises musicales pour savoir qui en portera le coût.

Est-ce que le mandataire va passer plus de temps sur l'introduction d'exigences de sécurité explicites dans le cahier des charges initial ? Est-ce que les avant-vente du prestataire vont s'investir dans la description des moyens de sécurité dans leur réponse ? Est-ce que la réalisation technique respectera les bonnes pratiques en matière de sécurité ? Est-ce que la recette du projet incluera la vérification de la bonne prise en compte de la sécurité ? Autant de questions qui ont souvent une réponse simple : non. Or cette situation pour le moins surprenante semble faire l'objet d'un consensus mou puisque tout le monde semble s'en satisfaire, à l'exception notable d'une partie des professionnels de la sécurité, et encore, pour des raisons aussi diverses que variées. Bref, des chaises musicales, mais avec de la place pour tout le monde...

Alors maintenant, revenons à notre hacker, notre expert technique et pointu en sécurité informatique. Quelle est sa place dans ce cirque ? Pas grande. Car dans un domaine où la réelle prise en compte de la sécurité tient plus de l'exception que de la règle, il y a d'autant moins de place pour ceux que beaucoup considèrent comme les empêcheurs de tourner en rond. Et donc pour la valorisation de leurs compétences. Est-ce là l'unique et ultime fond du problème ? Probablement pas, mais je pense qu'il s'agit d'une explication qui vaut son pesant de cacahuètes. Maintenant, est-ce qu'il s'agit d'un mal exclusivement français ? Je ne pense pas. Et pourtant...

Si je devais avancer des raisons qui font que le marché français semble aussi terne par rapport à d'autres, et plus particulièrement par rapport aux US, j'en aurais quelques unes sous le coude. Si je me sens bien incapable d'en évaluer la portée, ce qui me semble par contre très clair, c'est que ces raisons ne sont pas l'apanage du monde de la sécurité informatique. D'ailleurs, le phénomène qu'on qualifie de "fuite des cerveaux" est un problème bien connu depuis pas mal d'années, et qui touche de nombreux domaines scientifiques.

Mais revenons-en à ces raisons. D'abord, nous n'avons apparemment pas en France d'entreprise pour qui la sécurité informatique représente un tel enjeu de marché qu'il justifierait à lui seul un investissement massif dans de l'expertise pointue. L'organisation sécurité et les initiatives comme la SDL ne sont pas tombée du ciel chez Microsoft : ce sont des réactions à des pertes nettes de parts de marché attribuée à la mauvaise sécurité de leurs produits. On pourrait également prendre l'exemple de Google. Mais globalement, ça veut dire qu'un marché pour des experts pointus n'existe pas. Ou pas encore.

Ensuite, on ne valorise pas assez les compétences techniques en général et trop les diplômes en particulier. Ce qui fait que pas mal de gens techniquement intéressants sous trop souvent recrutés à des échelons bas^[1] et se retrouvent affectés à des tâches pas follement excitantes. Conséquence directe d'une culture de la grille parfois élevée au rang d'art. Ce qui fait aussi que les experts qui ont envie de voir leur carrière évoluer finissent par devoir tirer un trait sur la technique en se lançant dans la seule voie possible, le management^[2]. On notera certes des filières d'expertise plus ou moins abouties dans certaines sociétés, mais encore une fois, ça tient surtout de l'exception^[3]. D'où une certaine tendance pour nos experts à aller voir ailleurs, justement là où on valorisera leur technicité.

Enfin, je dirais qu'en France, on baigne globalement dans un environnement un peu spécial dont une caractéristique principale est le manque de pragmatisme. Comme celui de se donner les moyens de ses ambitions. Ce qui conduit par exemple au gouffre béant qui existe trop souvent entre les ambitions annoncées et les moyens fournis pour les atteindre. Dans le cas particulier de nos experts en sécurité, ce sera pour une boîte de se vanter de son haut niveau de compétence technique d'un côté, et ne pas se montrer capable de fournir un cadre de travail épanouissant à ses employés de l'autre. Alors forcément, quand il s'agira de les retenir...

Ou tout simplement d'annoncer à qui veut bien l'entendre que la sécurité est primordiale, alors qu'on la voit juste comme un emmerdement de plus sur une liste déjà longue...

Notes

[1] Quand ils sont recrutés...

[2] À prendre au sens large.

[3] N'empêche que c'est sympa d'en disposer quand on bosse pour une de ces boîtes...