du sentiment de la sécurité

Comment évaluer réellement sa sécurité ? Les consultants sécurité répondront avec une analyse de risque, un test de pénétration et une probabilité sur le risque que l’évènement se produise avec leurs propres estimations du niveau d’importance du risque détaillé. Fait amusant : il est tout à fait possible de détecter des variations d’une équipe d’experts à l’autre.

voir l'invisible

Les équipes techniques, en confiance avec les périphériques mis en œuvre sur le réseau et constatant que peu d’attaques se produisent (et qu'encore moins réussissent), diront que tout est en ordre.

Mais le propre d’une attaque n’est-elle pas de réussir à passer « un jour » ? Le fait de repousser les scripts utilisés par tout un chacun n’est donc pas forcément un signe fiable, même si cela produit une volumétrie importante.

Le vrai risque n’est clairement pas lié à la volumétrie mais à la sophistication et au ciblage d’une attaque. Réaliser une tentative d’attaque sérieuse noyée au milieu du bruit ambiant est d’ailleurs un moyen assez simple pour essayer de rester invisible le plus longtemps possible. Néanmoins, tout ceci fourni un deuxième set d’indicateurs pour caractériser « un » niveau de sécurité.

prévenir plus que guérir

Le manager qui voit ses ventes de produits se dérouler convenablement et son SI fonctionner normalement se dit que tout doit être en ordre et qu’il n’est pas utile de dilapider des ressources sur la sécurité.

Et pourtant, une machine non patchée depuis trois ou quatre année, bien que pouvant continuer à rendre parfaitement le service en question, représente un vrai danger. Que dire des modules développés à la va vite pour répondre à un besoin business sans réelle analyse, tests de non régression et questionnement sécurité ?

Mes expériences me pousseraient à rappeler que traiter un incident sécurité et ensuite remettre de l’ordre dans une organisation et ses outils coûte probablement plus cher que de prendre la sécurité comme un stream de travail supplémentaire, nécessaire et obligatoire.

La pauvre victime (ou l’apôtre du Dieu sécurité) qui décide de jouer le rôle de RSSI posera des questions supplémentaires sur des points comme la sauvegarde, les plans de continuité ou de reprise d’activité (pour quoi faire, vous croyez vraiment qu’un avion va venir s’écraser au fin de la Somme ? ouhahahahahaha ! Un avion peut être pas, mais pourquoi pas une calamité climatique en ces temps de dérèglement météorologique…) ou encore les processus de la société. Démarche importunant en partie le manager. A quoi cela peut-il bien servir puisque tout tourne rond ?

conclusion

Voila donc différentes situations, qui conduisent à un ressenti différent (subjectif) et donc à adresser la question sous un angle spécifique. Or la sécurité doit être et rester un processus global pour être réellement effective dans une structure.

Ne s’occuper que de la partie technique ou des processus ne permettra pas de protéger réellement la société. Bref, le sentiment de sécurité que les uns et les autres peuvent avoir sur leurs petits prés carrés ne traduit pas la réalité, qui est malheureusement généralement beaucoup plus noire que le ressenti ne le laisse apparaître.

Seule une vision globale et rassemblant chacun de façon cohérente permettra petit à petit d’améliorer les choses pour peut être un jour atteindre le Graal (le risque minimum, suivi et mesuré).

Cedric

crédit photo : © maximino gomes - Fotolia.com

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.