La première plénière du FIC2014 a commencé par une question assez cocasse : la cybersécurité est-elle un échec ? Forcément, les réactions étaient prévisibles : le personnel étatique dit non, les autres (consultants, activistes, etc.) disent oui. Déchiffrement…
la cyber sécurité ? un échec technique !
Selon Bernard Barbier de Sogeti, l’échec est permanent puisque les sociétés subissent régulièrement des attaques réussies. Sans parler d’Edward Snowden et de ses révélations qui affectent nécessairement les défenses des uns et des autres, au moins intellectuellement.
Bref, tout le monde en prend pour son grade et spécialement les éditeurs, accusés de ne penser qu’à vendre et non résoudre les vrais problèmes. Sacrée vision réductrice !
la cyber sécurité ? un échec humain !
Au tour de Jérémie Zimmermann (La Quadrature du Net) de plaidoyer : « l’écosystème de la cybersécurité a oublié de mettre le citoyen au centre du problème et ne pense qu’à la cyberguerre. Quid de la cyberpaix ? » lance-t-il.
Bien que personnellement j’apprécie cette vision pour son côté humaniste et orienté vers la paix (enfin quelqu’un pour parler paix plutôt que guerre !), je pense qu’il parlait essentiellement des actions Etatiques et notamment des révélations (et conséquences) de M. Snowden. La cyberguerre pour les entreprises, c’est surtout de la cyberdéfense (pour la grande majorité en tout cas). Bref, l’échec humain dénoncé par Jérémie ne concerne que peu les entreprises donc je passe à la suite.
la cyber sécurité ? un échec intellectuel !
Viens le tour de David Lacey, consultant chez IOActive. Selon lui, le vrai problème est que les acteurs de la sécurité passe trop de temps le nez dans le guidon, à savoir si oui ou non ils peuvent cocher telle ou telle case et ainsi prouver leur « compliance ». Je ne redirais pas ce que l’on a déjà pu dire à ce sujet donc zou :
- « être certifié ISO27001 ne veut pas dire être sécurisé » de Jean François
- « certification ISO 27001 : pour économiser du temps et de l'argent #OSD13 » d’Eric
David Lacey renchérira plus tard en disant que les best-practices des uns et des autres sont tout autant à la base de l’échec de la cybersécurité : copier sur le voisin n’a jamais permis à qui que ce soit de répondre à ses propres problèmes !
ma conclusion : on est loin de l’échec… à priori !
Toutes ces interventions (j’en ai zappées quelques-unes et raccourcies les autres, vous me pardonnerez ! :-)) me font penser que, par leur hauteur de vue, elles oublient finalement le client final qui n’évaluera l’échec que par rapport à des objectifs et une stratégie fixée au préalable. Parler d’échec est facile pour provoquer et lancer une conférence mais au final, c’est relativement décorrélé de la réalité du terrain d’un RSSI et de ses équipes.
Après tout, si on compare une PME avec une multinationale, les besoins (donc les objectifs et, in fine, les métriques qui définiront le succès et l’échec) sont totalement différents. Au final, c’est David Lacey qui m’a le plus convaincu : bêtement copier la best-practice du voisin est stupide si on ne la réfléchie pas.
Et vous, vous réfléchissez votre stratégie cybersécurité ? :P
Rémi
Les autres articles/vidéos du #FIC2014 :
- la sécurité par les logiciels libres, c’est possible ? #FIC2014
- sécurité des mobiles : le RSSI se casse toujours la tête
- le professeur Audenard au #FIC2014 - Jour 1 : DDoS, phishing, malwares, API et Cloud
- le professeur Audenard au #FIC2014 - Jour 2 : mots de passe, imprimante connectée et sensibilisation à la cybersécurité
- cybersécurité & cyberdéfense : des buzzwords ? #FIC2014
Crédit photo : © lexaarts - Fotolia.com