Commençons par poser le décor : Vous travaillez dans une grande entreprise spécialisée dans le domaine des systèmes managés de gestion (genre ERP ou autre truc bien critique).
Vos clients, principalement des grandes entreprises du CAC40 (banques, assurances, industries, ...) ont sélectionné les services de votre entreprise pour ses services performants, à un prix compétitif et une position de leader sur le marché offrant des gages de confiance et de pérennité sans équivalent (ou presque).
Parmi les enjeux, il y a ceux de la sécurité du système. Certains de vos clients demanderont à regarder sous le capot et d'autres se satisferont d'une déclaration d'intention ou d'une impression générale de qualité acquise au fil des ans. Normal, vous êtes le ou l'un des leaders sur ce type d'application... et c'est bien connu, le leader sait recruter les meilleurs compétences, construire les meilleurs services et proposer les meilleurs garanties.
En tant que responsable sécurité vous avez la dure et délicate responsabilité de sécuriser le système d'information interne ainsi que les plateformes de service utilisées pour les services vendus.
Hélas, tout n'est pas rose. Et de loin : Les équipes en charge du développement de cet ERP sont réticentes à intégrer vos recommandations visant à sécuriser le système.
Creusons un peu le sujet pour savoir jusqu'où peuvent allez les choses. Bienvenue dans le monde des bisounours où tout le monde est gentil et où les incidents n'arrivent qu'aux autres (Wikipédia, Bisounours : Le terme est passé dans le langage courant pour désigner un individu aux idées exagérément naïves ou candides).
Note: 95% du contenu de ce post reflète la réalité : J'ai volontairement omis certains détails (les 5%) pour protéger la vierge et l'innocent. Effectivement, j'ai été amené à rencontrer ce type de situations dans des contextes divers et variés. Je pense que vous y retrouverez un peu de votre expérience/vécu personnel...
Le top du classique, c’est le responsable de l’ingénierie (ou du développement) ; par ailleurs très compétent dans son métier car maitrisant un panel de technologies très en avance ; qui est hermétique à vos propositions de sécurisation. Pour lui, le système est déjà sécurisé : En effet, c’est redondé. C’est bien le monsieur (ou la madame) en est resté aux enjeux relatifs à la disponibilité et n’a visiblement pas assimilé (ou tenté de) des concepts comme Confidentialité ou encore Intégrité. C’est vrai, un cerveau de responsable moyen gavé aux même technologies durant toute la journée a du mal à s’ouvrir à ne nouvelles notions.
Le jour, et cela arrivera tôt ou tard, ou il se fera trouer son PC personnel et que ses identifiants de banque ou autres informations personnelles seront piratées il fera peut-être l’effort, oh combien compliqué, de comprendre ces notions. Mais j’oubliai son argument préféré : Il ne comprends pas qui serait bien intéressé par son compte bancaire, il y des millions d’internautes, ça tombera forcément sur quelqu’un d’autre et puis ; pour lui tous ces termes barbares que sont les "buffer overflow" ou "attaque via rebond" et "Injections de code" ne veulent rien dire de bien précis : c’est du bullshit marketing sécurité de personnes qui voient le mal partout. Et le bullshit c’est pas bon... faut pas manger, ça rends bête... encore plus bête.
Effectivement, ou il est autiste ou complètement inconscient. Mais comme c’est lui qui est en charge de développer les systèmes qui font font marcher le business, in-fine c’est très souvent lui qui a le dernier mot.
Parmi les arguments, on retrouve (en vrac) : On a pas de ressources ; ca va décaler la roadmap produit ; les composants sont fournis par un tiers on peut pas y toucher ; les systèmes ne sont pas sous Crosoft ; on comprends pas ce que vous racontez ; je ne vois pas pourquoi l’un de nos clients nous attaqueraient ; etc... Oui, c’est vrai, vous êtes un nul en communication et vous avez tout faux avec vos histoires de client qui vous veux du mal.
C’est vrai, vos clients font partie du fleuron des sociétés du CAC40, ce sont des entreprises sérieuses avec des gens sérieux qui ne se posent pas de questions. La preuve ? Elles se chargent de sécuriser leurs propres réseaux donc, comme la plateforme d’ERP est uniquement connectée avec des clients via des liens privés, il n’y a pas lieu de sécuriser la plateforme d’ERP... Démonstration sans faille.
Le top ? C’est qu’il essaye de vous faire comprendre (en le disant avec les formules politiques qui vont bien, c’est beau la rhétorique de conf-call) que faire ce que vous proposez reviendrait à faire preuve d’un manque de discernement et aurait comme conséquence d’affaiblir un système à la base robuste (normal c’est le sien, donc cela ne peut pas être autrement....). Redoutable comme raisonnement. Peut-être vrai sur la disponibilité (un élément de plus dans la chaine) mais à coté de la plaque.
Autre perle: Lors d’une réunion, nous lui présentions les systèmes de sécurité à déployer (on y retrouvait un firewall et un IDS) il a posé la question suivante : C’est quoi un IDS ? Trop top de top pour un responsable en développement logiciel spécialisé dans les grosses plateformes ! C’est vrai, dans 01Net ou autres lectures du genre on ne parle pas d’IDS ou de sondes pour détecter les méchants hackers... Cela sens la (non)-culture informatique générale à plein nez ou alors c’est une mini-provocation lancée afin de tester votre niveau résistance. ;-)
Que faire face à une personne autiste ou inconsciente ?
a) Rester ZEN et continuer... La perséverance vous apportera beaucoup : Vous aurez des hauts et des bas avec des périodes "au fond du trou" et d’autres ou vous savourerez une victoire bien méritée.
b) Adopter la stratégie du crash-test. Inscrivez noir sur blanc son refus de bouger et lancez un test de pénétration... Si vous le test est concluant (ce n’est pas toujours le cas) alors vous aurez les arguments pour renverser la situation en votre faveur. Note: Je rappelle que ce n’est pas par ce qu’un test de pénétration n’est pas successful que le système testé est sécurisé.... Mais c’est un autre débat.
c) Trouvez des compromis : C’est la voie à adopter. Commencez petit, sur des choses simples. Établissez une relation dans le temps et expliquez/transmettez votre savoir aux personnes : Sauf si leur niveau intellectuel est approchant à celui d’un frigo, elles devraient arriver à comprendre ce que vous racontez.
d) En cas d’incident de sécurité, agissez le plus professionnellement afin de montrer à vos détracteurs que vos propositions n’étaient pas dénuées de fondement (Ceci dit, les vrais autistes/inconscients le reste longtemps...donc pas sur qu’ils reconnaissent leurs erreurs)
e) Pétez un câble.. et changez de métier... :-)
Nota: Toute ressemblance avec des situations réelles ou avec des personnes existantes ou ayant existé ne saurait être que fortuite.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens