L’avenir de la sécurité… réflexions

090327-printempsL’un de mes anciens collègues RSSI désormais à la retraite nous a lancé un petit défi, à moi et mes homologues : nous exprimer vis-à-vis de l’avenir de notre spécialité. Du coup, je ne résiste pas et me lance dans une petite réflexion n’engageant que moi.


Pour en revenir aux projections et prospectives, voici ma vision du RSSI et de la SSI en général…


1. Un coup de retard
La SSI (Sécurité des Systèmes d’Information) devient l’affaire d’États et de criminels organisées en industries « lourdes ». Les éditeurs et consultants en SSI auront forcément un temps de retard (on le voit bien avec Conficker qui devient avec notamment sa variante C une réelle arme d’attaque très sophistiquée et qui valide le concept). De plus, comme je le dis depuis bien un an, avec la crise aidant les cybercrimels n’auront pas de peine à recruter mules, ex-employés et informaticiens (compétents) au chômage pour leurs desseins funestes ce qui augmentera d’autant plus les soucis à gérer. Le RSSI sera donc forcément à la traîne mais sera pourtant toujours tenu pour responsable en cas de souci…. A lui de trouver les bons arguments. D’où la nécessité de faire de la veille, en fin stratège (voir plus bas).

2. L’explosion technologique

Virtualisation, nomadisme, postes déportés, virtualisés, télémaintenance « sauvage » (Webex, Team/Netviewer et consorts), peer-to-peer, grid computing et j’en passe… Depuis longtemps l’informatique s’est dépérimétrisée, mais on assiste à une véritable explosion des barrières et une mondialisation à outrance. Impossible de dire que l’on cantonne ses données ou que l’on filtre tout. Moi même je me suis vu remettre un blackberry ces dernières semaines, et je ne me bats même plus contre le concept car le ratio productivité/risques est clairement en défaveur du second. Blackberry l’a bien compris. Netviewer et les autres aussi. Que répondre à 40 « clients » internes qui économisent chacun 40Keuros annuels de frais de déplacement si leurs équipes utilisent de la prise en main des postes et téléconférences via Internet… Comment refuser à tel ou tel partenaire d’utiliser du Cloud Computing pour l’hébergement de ses sites web qu’il partage avec nous via des mashups ? Le RSSI doit accepter ces évolutions en gardant à l’esprit qu’il est là lui aussi pour aider à faire tourner le business au mieux, pas l’en empêcher… A lui de jauger le risque et de connaître le marché et ses évolutions pour choisir les solutions les plus appropriées… ou disons les moins inacceptables ! On ne peut plus dire en tant que RSSI « je garde les données sous contrôle total »… Il faut savoir s’adapter et trouver des solutions (souvent juridiques, parfois techniques).

3. Banalisation de la SSI
du moins je l’espère. Car si c’est le cas, c’est que c’est un concept intégré au reste et non une verrue à un environnement existant. Autrefois le RSSI s’occupait de pare-feux et de VPN, c’est désormais du ressort des équipes réseau. Le RSSI d’occupait de SSO, c’est désormais du ressort des équipes métier et/ou système. L’Identity Management devient « standard » et est du ressort des équipes RH. L’archivage et la classification des données sont du ressort des documentalistes et des services de communication. etc…. Bon, j’avoue idéaliser un peu, ce sont les objectifs que je souhaiterai, mais idéalement le RSSI ne devrait pas s’occuper de cela, mais plus du risque en général.

4. La « bulle sécurité » se dégonflera.
Des années 2000 à 2007 les vendeurs en sécurité n’ont pas arrêté de pousser comme des champignons, comme sur la figure d’un adolescent pris d’acné intense… Il y a eu quelques grosses vagues de rachat, création de « géants » de la SSI et toujours (heureusement) quelques petits spécialistes dans des marchés de niche. La crise aidant, et le fait que de nombreuses boites sécurité se sont montées en profitant de ce que j’appelle « l’effet parano », font que je parie sur un effrondrement de ce secteur du moins au niveau du nombre de sociétés, pour en revenir à un ratio plus raisonnable. Les RSSI ont l’obligation du cost-killing eux aussi, et les « trucs et gadgets » superflus vont se retrouver au panier, ainsi que leurs concepteurs et revendeurs. La PKI ? gadget lourd et coûteux qui est très utile dans certains cas, mais que dans d’autres il va falloir mettre au placard… Le chiffrement des disques durs ? Pourquoi payer cher alors que les ordinateurs modernes le font gratuitement ou presque, et que de plus en plus de mesures de sécurité sont intégrées de manière standard dans les produits de base… Toutes les semaines j’ai au téléphone des vendeurs qui tentent de me proposer leurs gadgets, en quelques arguments je leur démontre que c’est inutile… Navrant (pour les salariés de telles sociétés).

5. L’avenir du RSSI…

Dans notre environnement sclérosé et en crise, être RSSI a quelque chose de rassurant. C’est « mieux » que le consultant en sécurité ou l’expert, c’est plus de pouvoir, c’est également plus délicat… car il y a moins de « chaises libres », et que l’on a un niveau de risques à assumer qui est plus lourd. Un consultant « qui se plante » se fera bannir de chez son client, et ira ailleurs. Un RSSI qui se plante se fera souvent blacklister partout. Comme les médecins et les avocats avec leur ordre (Un concept que j’aurai depuis longtemps apprécié de voir naître d’ailleurs…). Comme le dit de manière si exquise et espiègle Alain Bouillé, RSSI connu et reconnu, le RSSI est dans une position fort inconfortable : si ca pète c’est de sa faute car il aurait du prévoir et c’est lui le responsable, si rien ne se passe c’est qu’il n’a pas de boulot et que son poste n’est pas justifié. Pour moi c’est clair, donc je fais de mon mieux et je privilégie la productivité et le risque au détriment de la sécurité à tout prix. A moi de gérer et de faire le nécessaire pour que rien de sérieux n’arrive et pour que l’on me fasse confiance (ce qui me procure budgets, ressources et capacité de décision). Et pour cela le RSSI doit non seulement connaître les VPN et autres techno-acronymes mais devient un tacticien voire un stratège. D’où la nécessité d’une vision à long terme incluant l’ensemble des services, les partenaires, les évolutions technologiques  – pas de l’informatique seulement, mais des autres métiers.

En conclusion, le métier de RSSI a de beaux jours devant lui, si il coopère avec la Direction et sait se faire efficace et persuasif, cost-killer et pragmatique. Son rôle est finalement de gérer le risque (parfois en étant risk-manager, souvent de manière implicite) en encaissant les coups et en croisant les doigts pour que tout ne pète pas au mauvais moment…

Et j’ai une pensée pour un ami, président d’ASIS France, qui aujourd’hui animait une session à Interpol Lyon à laquelle je n’ai malheureusement pas pu me rendre faute de temps, qui s’appelait justement « Séminaire sur l’avenir de la profession de Directeur et Manager Sécurité-Sûreté » ! Je suis certain que les RSSI et eux ont des destinées très similaires, au final…
http://www.asisonline.fr/images/events/asis%20france%20%26%20interpol%20workshop%20march%2027%2C%202009.pdf

Et bon week-end, il paraît que le printemps revient… enfin !

8 Comments »

Bruno Kerouanton on mars 27th 2009 in IT Security

8 Responses to “L’avenir de la sécurité… réflexions”

  1. troller responded on 28 Mar 2009 at 20:49 #

    Une petite réaction par rapport à Conficker. Il fait mal certes, mais pas partout. A la base il profite certes d’une faille, mais combien de boîtes se sont fait piéger par les variantes qui se répandent sur USB ou partages IPC? Je veux dire si on laisse tous les utilisateurs en admin sur leur machine configurée par défaut (j’exagère, mais pas tant que ça), il ne faut pas s’étonner que ce genre de virus se propage si rapidement (pour ma part, on a eu de la « chance »). Je me demande à la base comment un vers peut-il atteindre un réseau d’entreprise depuis l’extérieur via une faille RPC : une faille certes, mais qui l’a laissée rentrer la petite trame ? Tu as beau avoir un portier visagiste (antivirus) devant ta porte blindée, s’il une une belle gueule ou si la fenêtre est ouverte où est l’utilité d’un tel dispositif? Se pose après le problème de l’admin/pas admin dans un contexte de productivité, mais ça reste un autre débat.
    J’avoue aussi qu’en tant que simple clampin de base je ne comprend pas le terme low-cost alors que tous les postes fonctionnent sous OS non libre avec des solutions propriétaires qui coutent une petite fortune pour au final utiliser 10% des features proposées (et encore quand ça fonctionne…). On sait tous quelle est la cible majeure de l’attaquant : plus il y a de victimes potentielles, plus ça rapporte (j’en ai plein d’analogies, politique et marketing en premiers).

    Concernant le crime organisé, je suis à moitié d’accord avec ce que tu dis. Le temps de retard est surtout dû à une obstination des actions curatives au lieu de faire du préventif. Sans rentrer dans la parano non plus, il y a beaucoup de menaces qui ne sont prises au sérieux que quand elles ont été effectuées. Après c’est sûr il y a le problème des moyens. Comment faire comprendre au big boss qu’il faut débourser un peu et sacrifier une infime partie du bénéfice pour lé sécurité, ce qui évitera à l’avenir de se faire voler des données confidentielles qui lui feront perdre une majeure partie de sa clientèle et de son image ? Je dirais grâce aux malveillances justement. C’est un peu le phénomène ying/yang, qui justifie (parfois à tort) l’emploi de certaines protections contre l’ennemi. Si aucune attaque avait eu lieu depuis les 5 dernières années, croyez vous qu’il y aurait autant de travail dans le métier ? A vrai dire je me demande même s’il ya quelques années certains ne propageait pas des virus pour légitimer leur travail. A l’époque du virus disquette, je n’ai pas le souvenir d’actions visant à profiter financièrement de la chose, si ce n’est pas destruction du concurrent. Mais une arme virale était à double tranchant dans la mesure ou on pouvait aussi se la prendre au coin de la figure.

    Par rapport à l’explosion technologique, beaucoup d’innovations ne prennent pas assez sérieusement le côté sécurité. Mais qui nous empêche d’ajouter une surcouche de sécurité en chiffrant par exemple une connexion à distance et en rajoutant une authentification forte via certificat/token/carte à puce… ? Les coûts ne sont pas si énormes, et on doit bien adapter la sécurité à la « convivialité » si personne plus haut n’écoute. Il y aura toujours un moment où la productivité prend le pas sur le risque comme tu l’as si bine dit, mais Pour le blackberry

    Je ne dispose pas d’assez de recul pour réagir sur les autres points que tu as très bien traité donc pour terminer sur une lueur d’espoir : tant qu’il y aura l’utilisateur derrière son clavier il y aura du boulot 🙂

  2. ITI responded on 30 Mar 2009 at 9:36 #

    Conficker ?????

    Pas vu chez mes clients actuels, par contre il a permis de « révéler » pas mal de choses : mauvaises politiques de sécurité, non (ou mal) respect des règles d’implémentation de ces politiques, parcs mis à jours de manière non homogène, outils mal choisis ou mal configurés, compétence et temps de réaction des équipes….

    Pour ce qui est du « devenir » de la sécurité informatique, vaste sujet sur lequel je vais me pencher pour faire une réponse moins « emporte-pièce » que d’habitude. Je reviens….. 😉

  3. Thibow responded on 31 Mar 2009 at 9:22 #

    Je pense que la prise en compte de la SSI est devenu non pas une priorité, mais une obligation dans les entreprises… C’est dèjà un premier pas !

    Maintenant, on peut aussi voir de plus en plus d’intéressé par le milieu, et des formations s’ouvrent chaque année sur la SSI.

    Petite PUB pour mon école ? 🙂

    http://www.iie.valenciennes.net/

  4. Yan responded on 31 Mar 2009 at 11:19 #

    Notons aussi qu’une sécurité mal conçue, qui gêne les utilisateurs dans leur travail, oblige à concevoir des parades… c’est ainsi qu’un jour on découvre des reverse tunnels SSH sur port 443 passant à travers son proxy car un utilisateur en a eu marre, au mieux, que le VPN le plante trop souvent… ou car on lui en a refusé le service alors qu’il en a incontestablement besoin!

  5. Bruno Kerouanton responded on 31 Mar 2009 at 13:56 #

    @Yan: Exact jusqu’à un certain point, mais je ne suis pas tout à fait d’accord sur le plan éthique…
    Il y a des règlements et contraintes également pour les entreprises et institutions, que le RSSI doit prendre en compte. Ce n’est pas parce que j’ai besoin ou envie de faire mes courses un dimanche et que tous les magasins sont fermés que je vais en cambrioler un. Pour reprendre les 2 exemples, si on a refusé le service à un utilisateur qui en a incontestablement besoin, cela est en effet problématique et dans ce cas il faudra qu’il explique mieux sa demande qui a peut-être été mal comprise. Parfois, il y a un manque de budgets ou des priorités à respecter dans les projets que l’utilisateur n’a pas le moyen de maîtriser, et il lui faudra patienter voire renoncer à sa demande en fonction de choix stratégiques concernant toute la société et décidées au plus haut niveau. Le RSSI tout comme le DSI n’est malheureusement pas en mesure de satisfaire chacune des demandes de manière immédiate et inconsidérée, et pour des raisons évidentes il doit faire des choix stratégiques, eux-mêmes dictés par les impératifs du long terme ou la législation. Pour l’histoire du tunnel SSH sur HTTPS, oui cela arrive parfois et c’est assez difficile à contrôler, mais d’une part cela ne concerne que très peu de personnes (il faut savoir configurer le tout, trouver un serveur sur Internet qui termine le tunnel, etc.) et d’autre part cette action est dans la grande majorité des cas en contradiction avec les législations, règlements, chartes et autres documents en vigueur.

    @{Troller ; ITI} : Conficker je n’ai pas eu l’occasion de le rencontrer non plus pour le moment, je croise donc les doigts… Pour cette histoire du 1er avril, je confirme que la variante C (une merveille sur le plan ingéniosité soit dit en passant) va changer sa méthode de mise à jour à compter de cette date, mais c’est tout ce que l’on sait. Une grande proportion de postes infectés dans le monde n’ont pas cette variante C mais une plus ancienne. Bien que le ver soit très sophistiqué et remarquable sur le plan de la conception (étonnant qu’ils aient utilisé des algos aussi récents que MD6, ses concepteurs…), je ne pense pas qu’un « big one » surviendra ! Mais je reste attentif tout de même car pour un ver de ce calibre, ses auteurs ont certainement prévu de ne pas en rester là.

  6. ITI responded on 16 Avr 2009 at 15:52 #

    Bruno says : » Le RSSI tout comme le DSI n’est malheureusement pas en mesure de satisfaire chacune des demandes de manière immédiate et inconsidérée, et pour des raisons évidentes il doit faire des choix stratégiques, eux-mêmes dictés par les impératifs du long terme ou la législation. »

    Certes, mais souvent, le meilleur allié du RSSI est l’auditeur qui exige la mise en place de process contraignants mais sécurisés, alors que sa fonction première était de mettre en évidence les lacunes de sécurité. Il faut savoir jouer finement avec ce nouvel outil pour RSSI…. 😉

  7. Ben responded on 20 Avr 2009 at 12:48 #

    Je n’ai pas l’expérience de la plupart d’entre vous, mais je vois les choses de la manière suivante. Du moins c’est de cette manière (en théorie) que cela se passe par chez moi.
    Le RSSI reste un opérationnel, il est là pour gérer la mise en œuvre des politiques, des décisions… La stratégie, l’évaluation des risques est réalisée par une personne qui gère le risque. Ainsi le RM prends en compte à la fois les risques IT et les risques physiques. J’irai même plus loin, il est et sera de plus en plus impliqué dans la gestion de la fraude en ligne mais aussi dans les autres types de fraudes.
    Mais une telle organisation nécessite une véritable collaboration entre tous ces acteurs. J’ai la chance d’en bénéficier, mais si ce n’était pas le cas ce serait une catastrophe pour la fonction risque.
    My 2 cents.

  8. Bruno Kerouanton » L’avenir du consultant sécurité responded on 05 Sep 2009 at 4:02 #

    […] intéressante, qui complète un précédent billet que j’avais soumis en mars, et dans lequel j’exposais ma vision relativement pessimiste de la sécurité […]

Trackback URI | Comments RSS

Laisser un commentaire