Est-il temps de tourner la page et d'explorer de nouvelles approches de la sécurité ? Arrivons-nous à la fin d'un cycle ? Faut-il repenser notre façon d'adresser les problèmes de sécurité dans nos entreprise ? Ce sont les questions que pose le livre "the new school of information security". Ce livre ne fait d'ailleurs pas que poser la question, il apporte aussi des pistes.
Le postulat de départ me paraît assez vrai : la sécurité est un sujet trop sérieux et suffisamment mûr aujourd'hui pour le laisser aux seuls techniciens !
Il est vrai que depuis "sa création" cette discipline a été presque exclusivement "trustée" par des experts techniques qui n'ont eu de cesse de proposer des mécanismes techniques (dont on peut parfois douter de l'efficacité) pour répondre souvent à des problèmes organisationnels ou de structure. Or, force est de constater que ça ne marche pas :
- Les virus pullulent
- Les vulnérabilités apparaissent à la vitesse de la lumière
- La fraude électronique s'organise de plus en plus en mafias
- Et faut-il parler du SPAM ???
Le constat est bien sombre …il ne faut pas être devin pour prédire que les vulnérabilités et les attaques persisteront (et s'amplifieront ?) quelques soient les contre-mesures mises en œuvre. La vraie question posée est : avons-nous les bonnes informations à notre disposition pour prendre les bonnes décisions ?? Et na faudrait-il pas enfin avoir le courage de prendre le problème à la source ?
"les amateurs étudient la crypto et les professionnels l'économie" : c'est le titre d'un chapitre du livre. Ce titre est provocateur mais a le mérite d'être clair. Il est vrai qu'historiquement ce sont les mathématiciens qui ont grandement participés à l'avènement de l'informatique. Cet héritage on le retrouve aujourd'hui dans tous les cursus sécurité, où il est évident d'étudier la crypto. Pourtant, tout un chacun possède un ordinateur individuel et les attaquants modernes ne sont bien souvent pas des génies des mathématiques ! Faut-il alors continuer exclusivement dans la voie de l'expertise?
Les auteurs nous suggèrent dans le cadre de cette nouvelle école, d'aller voir ce que peuvent apporter les disciplines de l'économie, de la psychologie et de la sociologie...
Je ne vais pas vous dévoiler la suite et vous conseille vraiment de lire le livre.
Pour ma part, Il est clair que la SSI a atteint un degré de maturité suffisant et qu'il est indispensable de la replacer dans un contexte plus proche des "réalités" et arrêter de considérer les DSI/RSSI comme des "vaches à lait" à qui il faut vendre des boites de petit pois. Lisez ce livre et faites-vous votre opinion.
The New School of Information Security
by Adam Shostack; Andrew Stewart
Publisher: Addison Wesley Professional
Pub Date: March 24, 2008
Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.