ans son dernier commentaire, Jme nous livre une terrible révélation. Un de ces sombres présages qui font froid dans le dos :
Security is dead, risk managment is rising.
Évidemment, c'est moins le fait que le risk management ait le vent en poupe qui fait peur, les réserves mondiales connues de templates PPT étant largement suffisantes à absorber la consommation croissante de roues de Deming. C'est surtout que l'approche technique de la sécurité soit appelée à disparaître qui fout les jetons, en particulier dans une conjoncture déjà pas géniale...
Trève de plaisanterie ; ne cédons pas au troll facile. Je sais bien que Jme n'a pas laissé Kant, l'opéra lyrique et le succès lui tourner la tête. J'ai bien compris que l'absurdité de cette phrase constituait le lot de second degré de cette affirmation à l'emporte-pièce. Ce n'est donc pas le commentaire en lui-même qui me fait tiquer, mais plus le fait qu'il se fait l'écho d'une rengaine qu'on commence à entendre de plus ou en plus souvent, et en général pour expliquer que l'approche technique de la sécurité informatique, c'est has-been.
Je parlais à l'instant d'absurdité. Pourquoi ? Parce que sécurité et gestion du risque vont évidemment de paire. On pratique l'un pour servir l'autre, et on pourrait presque ajouter que l'inverse est vrai. En fait, cette affirmation est à prendre à un autre niveau, plutôt comme l'opposition de l'approche technico-technicienne, i.e. la sécurité à l'ancienne, à une de plus haut niveau, dite de gestion de risque, truc bien plus hype au 21e siècle. Comme si la gestion du risque pouvait se passer de compétences techniques...
Coupons tout net un autre troll. On peut faire de la technique pour technique, tenter de tendre vers une perfection qu'on atteindra jamais. Pour autant, dans la vraie vie, ça ne sert souvent pas à grand chose. Voire à rien, puisqu'on ne peut pas tout couvrir. Il faut donc faire des choix. On peut faire des choix en lançant des dés, au doigt mouillé, ou tenter de les rationaliser. C'est précisément là qu'on commence à faire de la gestion du risque. Même la technique suppose de la gestion de risque, ceux qui vous dirons le contraire n'ont juste rien compris. En tout cas pas encore...
Je le disais, la gestion du risque ne peut pas se passer de compétences techniques. Et la sécurité informatique ne fait pas exception à la règle. Elle ne fait pas certes pas intervenir que des compétences techniques, mais à l'instar des autres, ces dernières sont indispensables. Justement parce qu'on sont nécessaires à la bonne analyse du risque. Parce que bon, quand il va s'agir de comprendre les implications d'une faille, d'en évaluer l'exploitabilité[1] et l'impact. Bref, d'en évaluer, techniquement, le risque. S'en suivra évidemment une pondération business, mais qui découlera directement de l'analyse technique. Il en va de même à l'autre bout de la chaîne, pour la couverture des risques. Comment évaluer le risque résiduel du système si on n'est pas capable d'évaluer l'efficacité des moyens de protection déployés, bref leur capacité à couvrir les risques identifés ? Techniquement ?
Dans un domaine d'une complexité extraordinaire comme l'informatique, s'il est bon de vouloir prendre un peu de hauteur pour rationaliser, on ne peut pas faire l'économie d'analyse techniques de qualités sur lesquelles appuyer ses décisions. Ça me semble tellement évident que je me demande pourquoi je ressens de l'écrire...
Jme nous dit également :
Avant l'on faisait de la sécurité pour faire de la sécurité, c'est terminé et c'était inévitable dans une société civile dirigée par des financiers.
Effectivement. Mais la question n'est plus alors de savoir si on doit faire de la technique ou pas, mais plutôt de savoir pourquoi on fait de la gestion du risque. Est-ce qu'on en fait pour améliorer la sécurité, c'est à dire optimiser l'utilisation des ressources disponibles ? Ou est-ce qu'on en fait pour réduire les coûts, c'est à dire tenter de faire pareil qu'avant[2] avec moins de moyens ? Parce que bizarrement, tous ces apôtres de cette approche business financièrement optimisée, on les entend beaucoup moins quand il s'agit d'expliquer pourquoi ils se sont fait défoncer des réseaux entiers par Conficker plusieurs mois après la sortie du patch. Ou pourquoi le simple oubli d'une pauvre clé USB dans un taxi se transforme en catastrophe. Ou encore pourquoi la solution magique achetée à prix d'or déçoit tout le monde[3]. Ou enfin tout simplement pourquoi la conclusion du dernier rapport de pentest ne montre aucune amélioration par rapport au précédent passage...
Security is dead, risk managment is rising.
Ce n'est finalement qu'une de ces réactions épidermiques niaises qui secouent régulièrement le petit monde de la sécurité informatique[4]. Ce rejet total qui éclate d'un coup à l'égard de pratiques ou technologies qui n'auraient pas tenu leurs supposées promesses. Ou plutôt, et surtout, qui n'auraient pas démontré les vertues qu'on leur prêtait dans la plaquette commerciale... Au point d'en perdre complètement de vue les apports concrets. Ainsi, mettre le paquet sur l'IDS était très à la mode dans les années 2000. C'était une erreur : l'IDS n'a rien d'une solution miracle. Encore moins que le firewall. Mais ce fut également une erreur que de fuir complètement cette technologie quelques années plus tard[5]. Car à vouloir les pousser les nouveautés comme remplaçant miracle de tout le reste, on ne fait qu'en programmer le futur échec, par la fuite de l'utilisateur déçu. Vous me direz, les vendeurs d'antivirus font encore recette, comme quoi...
Bref, non, je ne suis pas d'accord, la sécurité n'est pas morte. Elle n'a jamais été aussi vivante[6]. Mais pour faire une analogie[7] avec la cuisine, la sécurité c'est comme les recettes. Ça consiste elle consiste en un savant mélange d'ingrédients et de manipulations dont une bonne partie se trouvent être indispensables[8]. Et à moins de vouloir s'essayer à un autre plat, on ne peut pas se passer de ces indispensables. En sécurité informatique, la technique est un des ces éléments indispensables.
Si ça ne convient pas, on peut toujours essayer de cuisiner autre chose. Ce qui ici se traduit par changer de métier...
Notes
[1] D'aucuns se contenteront de faire confiance au XI...
[2] C'est à dire pas grand chose en général.
[3] Sauf le pentester qui l'a évaluée, bien sûr...
[4] Constatation qui s'applique aussi à l'informatique en général...
[5] Pas tout à fait, puisqu'elle a fait l'objet d'un savant rebranding après avoir été croisée avec le firewall, justement...
[6] Ça aussi c'est un joli poncif, non ? :)
[7] Merdique comme il se doit...
[8] Le reste permettant de faire des variations.