Loin de moi l’idée de vouloir comparer les RSSI à Pierre Richard, même s’ils peuvent être grands, blonds avec des chaussures noires ou être des chèvres, personne n’est parfait. Non, le propos de cet épisode 2 concerne la facilité avec laquelle certains se réfugient derrière un argument d’autorité « Sécurité » pour dire tout et n’importe quoi, ou abandonnent toute volonté de gérer la sécurité dès que leur responsabilité n’est plus directement concernée. Comme dans l’article précédent ce rapport d’étonnement est tiré de faits réels. N’y voyez donc pas de généralité, puisque statistiquement l’échantillon n’a pas la taille lui permettant d’être significatif.
Étonnement n°1 : « Je ne peux vous expliquer ma décision et les arguments sur lesquels elle repose, et encore moins vous l’écrire… pour des raisons de sécurité »
bref : Vous comprenez madame Michu, si j’en laisse une trace écrite des méchants djihadistes pourraient mettre la main dessus et en profiter pour exploiter la faille.
Comme l’avait bien remarqué Francis Blanche dans les Tontons flingueurs : « C’est curieux chez les marins ce besoin de faire des phrases… », mes origines atlantico-finistériennes me portent donc à ne pas me contenter de ce genre d’aimable pirouette. C’est très et beaucoup trop facile de refuser la discussion, ou de refuser de rédiger un argumentaire sous des prétextes de « Sécurité » (entre guillemets). Surtout qu’après tout comme disait l’ami Lino Ventura « Aujourd’hui, les diplomates prendraient plutôt le pas sur les hommes d’action. L’époque serait aux tables rondes et à la détente. Hein ? ».
Pour le profane une telle dérobade peut donc être diversement interprétée :
- Interprétation 1 : le RSSI ne souhaite pas prendre le temps de formaliser et d’expliquer ses critiques, sans même parler de proposer des solutions. S’ils ne prend pas ce temps, cela signifie peut-être que le sujet est tout à fait mineur ? ou que ses critiques sont en tout ou partie infondées ? ou que son argumentaire n’est pas fondé, ni solide ni crédible ? voire les trois Mon capitaine ?
- Interprétation 2 : Le RSSI ne souhaite pas laisser une trace écrite d’un argumentaire défaillant qu’il aura émis, et qui pourrait se retourner contre lui un jour. Effectivement pourquoi prendre un risque pour sa carrière quand il suffit d’agiter l’épouvantail sécurité, et de se carapater fissa parce que vous comprenez c’est un homme important, il est déjà en retard pour sa réunion d’après où son avis est très attendu, mais il niera y être allé car vous comprenez il n’était pas vraiment présent dans les réunions où des décisions se sont prises surtout quand il y a un compte rendu.
- Interprétation 3 : Le RSSI ne souhaite pas expliciter les choses, les utilisateurs pourraient être déniaisés sur les sujets de Sécurité et il perdrait un peu de son autorité voire ils finiraient par comprendre assez vite qu’il les enfume régulièrement dans les grandes largeurs.
Étonnement n°2 : « J’interdis tout, comme ça il n’y a plus aucun risque. Et si les utilisateurs contournent et utilisent Google Mail ou leur téléphone perso pour communiquer, eh bien je m’en contrefiche comme de l’an 40, c’est leur affaire, ce ne sera pas moi le responsable ! »
Alors là celle là elle ne cesse de me surprendre ! Les bras m’en tombent. Qu’est ce que ça veut dire d’autre que « La sécurité, j’en ai rien à carrer, ce qui m’intéresse c’est que ma responsabilité ne puisse être engagée » ?
N’est-ce pas un peu court comme raisonnement ? si le RSSI verrouille et interdit tout, en quoi ne peut-il être jugé responsable d’avoir incité les utilisateurs à contourner les règles et les usages ?
Les utilisateurs ont un travail à accomplir, ils ont des objectifs, parfois et souvent des managers qui leur demandent de rendre des comptes (si si ça arrive), parfois même ils ont tout simplement le sens des responsabilités et agissent pour le bien de leurs clients, de leur entreprise voire le bien public pour une administration. Incredible isn’t it ?
Ça me rappelle une remarque de Jean-Paul Figer (ancien CTO du groupe Capgemini, architecte SI émérite et fervent adepte du style d’architecture universel REST) qui avait dit « Je suis un inconditionnel de REST mais je pourrais enfreindre n’importe quelle règle d’or de REST pour réussir mon projet ». Là avec la Sécurité SI c’est parfois exactement le contraire « J’ai pas tout compris les impacts Sécurité, mais je vais surtout ne rien faire et tout refuser, sinon avec un peu de chance le projet pourrait réussir à tomber en marche et occasionner des risques qui m’obligeraient à travailler. »
Concrètement, ces verrouillages trop poussés et cette dé-responsabilisation des RSSI, donnent lieu à des aberrations incroyables parfois cocasses. Ainsi un de mes client avait deux postes de travail. Son véritable poste de travail qui était un poste personnel (Mac ou PC) connecté à internet avec le modem de son smartphone et un second poste fourni par son entreprise et qu’il appelait, non sans humour, son « Poste de non-travail » ! qui était lui parfaitement sécurisé mais ne lui permettait pas de faire ce dont il avait besoin.
Étonnement n°3 : Au nom de la « Sécurité » on mélange allègrement faits, jugements et généralisation à outrance… personne ne s’en rend compte ou ne s’en émeut.
Là je m’adresse aux RSSI mais également aux auditeurs sécurité qui surfent avec plaisir sur la vague du tout sécuritaire. J’ai parfois vu des rapports d’audits de très bonne facture avec d’excellents constats, des failles de sécurité parfaitement étayées et explicités, des résultats de tests d’intrusion bien documentés, puis une synthèse littéraire factuelle. Et soudain, on bascule dans le jugement avec des indicateurs globaux tous dans le rouge et des aiguilles dans le « Critique » sans que l’on ne comprenne le lien. Sachant qu’il ne subsiste d’un document que son Executive Summary, vous pouvez imaginer l’effet dévastateur potentiel d’un tel rapport d’audit lu par un dirigeant qui n’en lira que les pages 1 à 2 et ignorera les 40 autres.
Je m’étais dans ma prime jeunesse essayé à ce genre de choses avec un client de l’industrie pharmaceutique et il m’avait gentiment fait comprendre que mes jugements sectoriels ne valaient pas tripette car même si basés sur des comparaisons avec des cas réels d’autres secteurs, ils n’étaient pas représentatifs statistiquement et ne tenaient pas compte des caractéristiques sectorielles métiers.
Les RSSI font exactement très souvent la même chose, mélangeant dans leurs critiques du factuel et des jugements (souvent à l’emporte pièce)… mais je n’ai malheureusement jamais vu un dirigeant métier les ramener à plus d’humilité. C’est dangereux à, au moins, trois titres :
- Primo, car les RSSI s’autoconfortent dans leurs mauvaises habitude de ne rien justifier, argumenter, formaliser
- Secundo, car les métiers font confiance à l’expertise de l’homme de l’art, et sur un sujet obscur et critique pour eux, ne peuvent challenger le passage des prémisses factuelles à la conclusion et au jugement. Ils sont aisément manipulables.
- Tertio : La tendance à la généralisation complètement décorrélée des risques métiers (et là je reboucle sur mon épisode 1). Trop souvent il est aisé de partir d’un constat de faille et de généraliser ou d’y inclure des sujets certes connexes sur le plan sémantique mais sans rapport aucun avec la choucroute.
Pour revenir sur l’épisode 1.
Comment établir un dialogue constructif avec les RSSI ?