Bruno Kerouanton

En relisant mon précédent billet sur Méhari, ça m’a donné une idée… Je vais vous parler de tableaux de bord, et notamment du poste de pilotage du RSSI.

J’en profite donc pour reprendre la fin de mon précédent billet, et pour vous décrire le tableau de bord ci-dessus, qui est un *vrai* tableau de bord de Méhari (la méthode, pas la voiture) heu non, c’est le contraire. Enfin vous aurez compris…

(et une fois n’est pas coutume, nous sommes le 6 avril mais je poste ce billet à la date du 1er avril vu sa teneur…)

En exclusivité et en avant première, je vous présente donc en détail LE seul, l’unique, le sublime et extraordinaire tableau de bord que tout RSSI se doit de piloter si il ne veut pas passer pour un has-been :

(désolé pour l’image hors dimensions, mais je voulais vous mettre un gros plan, quand même…)

• Sur le pare-brise (pour se protéger des malwares), on retrouve les essuie-glace (très utile lors des salons, pour y voir plus clair dans le sombre brouillard des marketeurs).

• Le volant sert à diriger la politique sécurité, mais il est parfois permis de donner un coup vif à gauche ou à droite pour éviter les 0days qu’on n’aurait pas vus arriver (surtout si on a oublié de mettre en marche ses essuie-glace).

• Il ne faudra pas dans ce cas oublier de se servir du levier de commande situé à gauche du volant, pour actionner les clignotants. Ceux-ci sont très utiles dans un tableau de bord. D’ailleurs un vrai tableau de bord sécurité qui se respecte contient une quantité importante de clignotants… qui clignotent forcément tout le temps : Ca sert à impressionner les visiteurs (ça me rappelle la belle aventure Intexxia, tiens ! Souvenirs et nostalgie…) et à justifier le budget et son poste (si tout est vert, c’est que tout va bien donc que le RSSI n’est pas utile… Si tout est rouge c’est que tout va mal et donc que le RSSI doit être viré… Cruel destin que celui de RSSI).

• Vous avez remarqué que la planche avant comportait 2 indicateurs seulement, mais ça suffit ! Le cadran de gauche correspond au nombre de patchs qu’il reste à appliquer (l’aiguille ne descend jamais au dessous du quart du cadran) et à droite c’est la satisfaction des utilisateurs, de la direction et des actionnaires (là, c’est le contraire, l’aiguille ne monte jamais très haut…).

• Les deux boutons rouges et les deux boutons noirs situés à gauche du volant sont suffisant pour tout piloter. Mais attention il ne faut jamais appuyer sur les boutons rouges sans raison. Jamais ! De gauche à droite on a :

1. (rouge) Celui-ci ne marche jamais En théorie il sert à crier au loup, et est censé aider à augmenter le budget. Il semble d’expérience qu’après un ou deux appuis, le bouton se casse et que le budget ne puisse ensuite plus augmenter, voire diminue progressivement.
2. (noir) Le bouton d’appel au centre de support. Indispensable et souvent un peu usé.
3. (noir) On appuie dessus pour activer la défense en profondeur… (mais on ne sait pas exactement ce que ça fait vraiment).
4. (rouge) Ne jamais utiliser celui-ci. C’est la commande du siège éjectable… Parfois il se déclenche tout seul (enfin il paraît)…

• Les deux tirettes à gauche servent à piloter les firewalls et autres équipements de sécurité. Avec ça vous comprendrez aisément pour quelle raison un RSSI a tant de difficultés à transmettre au moteur ce qu’il veut exactement faire… Comment voulez-vous que les gars aux commandes dans le moteur (ceux qui font tourner le tout) arrivent à comprendre ce que le RSSI veut, quand il n’y a que 2 tirettes pour transmettre toutes les règles… Les constructeurs des tableaux de bord ont bien tenté de rajouter des tirettes supplémentaires mais du coup certains RSSI mélangeaient tout, alors ils sont revenus sur le modèle à 2 commandes. D’ailleurs après tout ça marche bien ailleurs… Regardez dans Tintin comment le Capitaine Haddock commande son navire (ouah, quelle culture) : Il a un simple transmetteur d’ordres. Et ça fonctionne, il pilote son paquebot avec ! Donc après tout il n’y a pas de raison que les RSSI n’y arrivent pas non plus.

• Côté pédales il y a le frein et l’accélérateur. Ne jamais se servir du frein, cela nuirait à la productivité et les actionnaires ne seraient pas contents. Toujours utiliser l’accélérateur pour satisfaire la Direction et pour écraser les méchants.

• Le cendrier est petit mais important. On l’ouvre discrètement et on y glisse les cendres des projets avortés ou les rapports un peu trop délicats. On laissera le soin à son successeur de vider le cendrier…

• La grosse boîte à gants renferme des trésors. On y range les catalogues fournisseurs et autres revues pipole (parfois même un Misc ou un Hakin9, mais c’est rare), et quelques gadgets à 2 francs 6 sous glanés dans les salons… Ca peut toujours servir…

• Le robinet gris situé à droite du volant sert en cas d’attaque : lorsqu’on le tourne dans un sens, ça déverse de l’huile bouillante sur les attaquants et lorsqu’on le tourne dans l’autre sens, ça fait couler l’huile sur la route derrière soi pour semer les poursuivants. Astucieux, non ?

• Vous aurez remarqué qu’il n’y a pas de jauge d’essence (appelé aussi budget). Comme cela on ne sait jamais pour combien on en a, et si il nous reste encore des ressources pour finir le trajet. Chaque année on est autorisé à refaire le plein, mais le réservoir est souvent de taille variable (voir ci-dessus la description du premier bouton noir).

Passons maintenant aux accessoires posés sur le tableau de bord. Tout est indispensable, je vous assure :

• L’appareil photo doit toujours être à portée de main, prêt à l’emploi. Il sert à prendre des photos des méchants pirates qui auraient eu l’extravagante idée de s’introduire dans notre domaine. Comme le terme “appareil photo” ne sonnait pas assez bien, les vendeurs ont préféré le rebaptiser IDS, voire IPS (la version avec flash pour aveugler l’ennemi).

• A gauche, vous aurez remarqué la fameuse pipe près du volant… Pour quoi faire ? Elémentaire, mon cher Watson. Il s’agit d’une arme redoutable, unetechnologie duale comme diraient mes amis militaires… D’une part il s’agit d’un outil de forensics. Pas un seul détective qui se vaut ne sortirait sans sa pipe pour résoudre ses affaires. Et accessoirement ça sert également lors des rencontres avec les vendeurs qui sont parfois de grands fumeurs (voire fumistes). Avec une telle pipe, en rendant l’ambience enfumée, on est certain de pouvoir les comprendre et de se faire comprendre…

• Et enfin, il en faut pas négliger le chapelet posé à côté de l’appareil photo… Pour être RSSI il faut avoir la foi, je vous le dis mes frères… Priez et croyez, toujours et encore. Car avec le budget riquiqui que vous avez, les responsabilités et les contraintes qui vous pèsent, l’étendue du périmètre à assurer, et les méchants qui rôdent en permanence, à l’affut de la faille dans un seul de vos 150 VPN ou du 0day sur l’un de vos 300 serveurs, seul un miracle pourrait vous protéger. D’ailleurs il faudrait demander à Sa Sainteté BXVI si il ne pourrait pas nous affecter un Saint Patron des RSSI…

Voilà. Vous savez tout du poste de pilotage d’un RSSI. Ce n’est pas aussi chouette qu’une Lanborghini (modèle réservé à d’autres, mais jamais à nous) mais on arrive à faire avec. Et pour ceux et celles d’entre vous qui auraient eu l’esprit assez curieux au point de lire le nom de fichier de l’image, vous savez que c’est un modèle de 1979. Ca rejoint parfaitement la discussion d’hier selon quoi ces technologies dataient des années 80, voyez-vous !