Bruno Kerouanton

Je profite du 11-11 pour vous exprimer ma hargne à l’encontre des Bisouneux et des gentils utilisateurs, administrateurs et hommes-en-eurs qui croient naïvement que le monde est tout rose et que « tout le monde il est beau, tout le monde il est gentil ».

Hervé Schauer, lors de son intervention lors des Assises de la Sécurité au côté de Patrick Lagadec, l’expert français en risques non conventionnels, a fait sourire l’assemblée en affirmant que « tout le monde croit être dans un monde de Bisounours, ce qui est malheureusement préjudiciable lorsqu’il s’agit de faire de la sécurité« . Et je ne peux que rejoindre son point de vue, c’est certain.

En ce qui me concerne, je le vis au quotidien. Je passe *beaucoup* de temps – trop selon mon avis mais pas assez vu la nécessité de le faire – à réexpliquer que non, tout le Monde (avec un grand M) n’est pas si gentil que cela et que des guerres existent au niveau informatique, que des espions ça existe aussi, tout comme les stagiaires malhonnêtes, tout comme les fournisseurs malicieux. Le débat est parfois houleux et se prête à une véritable interrogation sur la futilité ou non de l’acte. Si j’en parle trop, on va croire que je ne cesse de crier « au loup » pour justifier mon activité contre de soit-disant aliens venus sans remords détruire la planète Terre et ses habitants. Si je me tais, on me dira que je ne fais pas mon boulot, ou que je n’y connais rien. Cruelle situation que celle d’un RSSI qui doit assumer les risques que la plupart des hommes ne saisissent pas car ils sont virtuels et impalpables, techniques et difficiles à vulgariser.

Le complexe existentiel du RSSI

On dit souvent entre nous, RSSI du monde, que l’on a un métier dont l’existence se justifie de manière métaphysique. Si l’on fait son boulot correctement, l’utilisateur ne perçoit pas de risques, et donc pense qu’il n’y a pas de risques… mais alors à quoi sert le RSSI puisqu’il n’y a pas de soucis ? De l’autre côté si l’utilisateur a un souci de sécurité, c’est que le RSSI n’a pas fait son boulot et donc qu’il ne sert à rien ou est incompétent. Donc en synthèse le RSSI ne sert à rien, et sa fonction ne devrait même pas exister.

D’ailleurs, toute l’informatique est ainsi faite. On n’a de cesse de parler de virtualisation, de systèmes virtuels, voire même désormais de données virtuelles, sans compter les nombreux mondes virtuels et autres cyberattaques, cybersoldats, cybermalfrats, tous virtuels… ou presque.

Lorsque j’exerçais encore le métier d’informaticien (c’est à dire que je n’étais pas RSSI virtuel mais développeur puis administrateur virtuel), j’aimais à dire que finalement mon métier n’était que du vent… Mon activité ne consistait finalement qu’à élaborer dans quel sens mettre des séries de 0 et de 1… Désormais mon métier de RSSI me permet également de contrôler si les 0 et les 1 en question sont légitimes ou non, et à qui ils sont destinés… Drôle de métier, quand même (bon, je schématise un peu pour garder le ton caricatural, en pratique mon rôle ne s’arrête heureusement pas à cela).

Pour en revenir au sujet que je traite sur ce billet, je reviens à mes utilisateurs, développeurs, administrateurs et autres gens-en-eurs qui se demandent franchement ce que je suis venu faire chez eux… Franchement, mettez-vous à leur place. Pourquoi aurait-on besoin de rémunérer à plein temps un personnage chargé de veiller à la bienveillance de séries de zéros et de uns ? Personnage qui en plus semble occupé la majeure partie de son temps avec des documents et des écrans dont la teneur révèle le plus souvent des symboles cabalistiques défilant sur fond noir, et des textes utilisant un jargon mystérieux que même les médecins les plus éminents ne parviennent que difficilement à égaliser – sur le plan de la complexité pour le néophyte, du moins.

Lorsque le RSSI arrive en outre toutes les semaines avec ses poches pleines de « tel pays a égaré 25 millions de données« , « tel pays s’est fait cyber-attaquer par tel autre« , « telle mafia s’est emparé de milliards de données ; de millions d’ordinateurs, etc.« , la plaisanterie ne dure qu’un temps. Les voitures continuent à rouler, les vaches broutent toujours leur herbe et finalement la vie continue comme si de rien n’était. Même les présidents continuent à se faire élire à grand renforts de millions de dollars malgré la banqueroute de l’économie mondiale, nous assure t-on. Pour tout le monde, ce qui est grave c’est plus la météo du week-end qui annonce les orages, le voisin qui a garé sa voiture devant l’entrée de la maison, ou bien encore le fiston qui ramène encore une mauvaise note…

Economiser la sécurité ? Sécuriser l’économie ? Tous des menteurs…

Lorsque j’étais à Londres le mois dernier, vous vous rappelez sans doute – si vous suivez attentivement mes billets – que j’étais allé voir Ross Anderson, le vénérable gourou anglais dont j’apprécie fortement les ouvrages et la philosophie. Son dada du moment, c’est le « Security Economics« , que l’on peut comprendre de deux manières différentes : La sécurité de l’économie… qui est certes d’actualité vu la crise actuelle, mais hors sujet pour ce qui nous concerne ; et l’économie de la sécurité, qui est plus adapté à nos propos. Mais même cette locution revêt plusieurs significations… Soit on coupe drastiquement les dépenses et on s’offre des économies dans le domaine de la sécurité, ce qui pour moi est un risque inconsidéré (c’est comme vendre des voitures sans freins, airbags et ABS… ça coûte moins cher mais personnellement j’irai voir ailleurs), soit on traite de l’Economie (avec un grand E) de la Sécurité (avec un grand S), et cela est passionnant… ROI et autres vecteurs d’attractivité pour l’économiste en herbe que je suis permettent d’obtenir à grand peine un semblant de vérité sur la justification de nos dépenses quotidiennes et à venir.

Certains détracteurs diront que le ROI est l’ultime justification des sommes engagées. Certains délateurs ne verront en ROI que fumisterie et machiavélique invention des Vendeurs (avec un grand V) et Consultants (avec un grand C) venus prêcher la bonne parole aux RSSI déboussolés et ne sachant pas comment justifier leurs infâmes dépenses juste pour trier le bon grain de l’ivraie en matière de gentils zéros (Héros, le jeu de mot est facile) et de méchants uns (Huns, le jeu de mot est de nouveau facile, pardonnez-moi !), ou le contraire.

Quand la sécurité s’en va en diarrhée…

Ross Anderson, au cours de son invective, déclarait à qui voulait l’entendre que finalement la sécurité, tout le monde s’en foutait royalement. Et je le crois fondamentalement puisque comme je viens de vous le dire je suis adepte du rossandersonisme, mouvement encore impopulaire mais qui prône La Vérité (avec des grandes lettres !). Afin d’illustrer ses propos en termes concis et imagés, Ross a simplement annoncé la chose suivante selon des termes équivalent grosso-modo à ceci :

La sécurité, tout le monde s’en fout :

- Au boulot, c’est le problème de l’employeur, pas de l’employé.

- A la maison, c’est comme les chiottes. Il y a un PC par maison, toute la famille s’en sert à tour de rôle pour y faire ses besoins quotidiens, et lorsque c’est sale, c’est le dernier qui est passé dessus qui nettoie.

C’est assez imagé et concis, et comme image marquante j’avoue que Ross a trouvé assez exactement le bon parallèle avec la Vraie Vie… (avec des grands V). Pour les puristes, certes, il y aurait quelques nuances à apporter à cette vision quelque peu réductrice du PéCé dans la maison. Avouons-le… nous, informaticiens ou blogueurs, ne sommes pas comme le quidam de moins de cinquante ans, mais force est de réaliser que ce dernier voit dans le formidable assemblage de haute technologie qu’est un ordinateur plus un outil d’agrément basique qu’une oeuvre monumentale ayant nécessité des millions d’heures de labeur pour les physiciens, électroniciens, informaticiens et autres gens-en-ciens pour devenir la chose merveilleuse qui nous unit ce jour.

L’avènement du PéCé dans la maison

Le PC dans la maison… tiens, cela me permet de me remémorer un ouvrage dont je possède un exemplaire et que je garde jalousement au chaud dans mes étagères, comme une véritable relique. Et c’en est bel et bien une, vu son titre et son contenu. Je ne peux résister à vous en faire découvrir la couverture, vu que l’oeuvre est désormais introuvable, son éditeur ayant probablement songé que le Communisme (avec un grand Cé) ne rapportait plus assez de monnaie sonnante et trébuchânte de nos jours… Et pourtant un tel titre ne peut que faire sourire, car le Grand Rêve du Communisme s’est bel et bien réalisé. En 2008, le PC s’est effectivement introduit sournoisement dans chaque foyer, dans chaque maison… certes, pas sous la forme que Lénine imaginait, mais bon, c’est du détail !

Je terminerai ce billet dont, une fois n’est pas coutume, la rédaction m’inspire plus que nécessaire si bien que je suis encore devant mon clavier alors que je devrais être dehors à dîner, en poussant la véritable question qui m’anime depuis ce matin et qui est à l’origine de cette prose…

Brrorucnuahk, où le râle du DNS à l’agonie

Mais dites-moi, vous qui savez… Si nous vivons dans un monde de Bisounours, pourquoi, mais pourquoi donc mes serveurs DNS passent-ils donc leur temps à chercher des noms de domaines bizarroïdes situés dans des lieux étrangement éloignés de mon petit Jura, et dont les suffixes de noms de domaines évoqueraient pour un peu les râles gutturaux d’un agonisant grippé : « ru cn br ro sg hk ua » et j’en passe… ? Des « choses » étranges se seraient-elles introduites subrepticement via un quelconque interstice intergalactique pluridimensionnel, et auraient eu le loisir d’aller prendre racine sur les PéCés de mes utilisateurs ??? A en croire les logs, oui… A en croire la médiocre efficacité de notre antivirus pour pécés dont je dois subir les affres et la quasi-cécité, j’en suis encore plus certain (mais bon, je ne l’ai pas choisi, cet antivirus grabataire et impotent, promis ; il a été acheté avant mon arrivée). Misère de misère, il va falloir agir sans délai et faire comprendre le pourquoi du comment de la chose à nos administrateurs, qui, tels Saint Thomas, ne croient que ce qu’ils ont vus, de leurs yeux vus… Et autant dire que ce n’est pas de la tarte, car la clarté des traces DNS n’est certainement pas aussi limpide que de l’eau de roche pour la plupart des gens de ce monde.

Bon appétit.