Dans le cadre de ma série « Cybersécurité en trompe l’œil – Les failles de la sécurité SI », et après mes articles précédents épisode 1 et épisode 2 me voici de retour pour vous faire part de mon 3ème point d’étonnement sur ces sujets : trop de sécurité tue la sécurité, en effet j’ai constaté que malheureusement en voulant bien faire, et en voulant renforcer au maximum la sécurité SI on aboutissait à un résultat contre-productif.
Oh le beau loquet ! encore faut-il qu’il soit utilisé et bien utilisé. C’est un peu le problème parfois avec la sécurité SI
En fait le raisonnement est exactement le même que pour la théorie de Laffer.
Pour rappel la petite histoire raconte que fin 1974 lors d’un déjeuner à Washington entre l’économiste Arthur Laffer, Donald Rumsfeld et son assistant de l’époque Dick Cheney, la conversation tourna autour du sujet « comment effacer dans l’opinion publique les effets du scandale du Watergate ? ». Dick Cheney militant pour une baisse des impôts s’opposa alors à Donald Rumsfeld qui militait pour une réduction des déficits publics. Arthur Laffer les aurait magistralement mis d’accord en dessinant sur la nappe du restaurant, la fameuse courbe qui porte son nom : En abscisse, le taux d’imposition, en ordonnée le rendement fiscal. Quand le taux d’imposition est nul, l’état ne perçoit rien; quand il est égal à 100%, il ne perçoit rien non plus. La courbe de Laffer commence par monter, passe par un optimum puis diminue. Arthur Laffer n’avait pas eu de mal à argumenter pourquoi il estimait que les Etats Unis avaient largement dépassé ce taux optimal et donc en diminuant le taux d’imposition (ce que préconisait Dick Cheney) on allait, in fine, accroître les recettes fiscales du gouvernement fédéral américain (ce que souhaitait Donald Rumsfeld). Bref la courbe de Laffer théorise l’allergie fiscale, c’est à dire qu’il n’est pas fiscalement rentable de dépasser un certain taux de prélèvement car l’effet désincitatif sur l’offre de travail l’emporte sur les recettes attendues (par effet désincitatif on peut évidemment entendre également substitution de travail déclaré par du travail non déclaré ou simplement du « Do It Yourself » faisant le bonheur des grandes surfaces de bricolage). La théorie de Laffer n’a jamais été remise en cause dans ses principes même si la forme de la courbe n’est pas connue : si la première moitié de la parabole semble faire a peu près consensus, la position du point d’inflexion et la forme de la courbe une fois le taux maximal de prélèvement atteinte diffèrent probablement considérablement en fonction du contexte et de la culture de chaque pays.
Pour la sécurité SI c’est pareil, au delà d’un certain seuil l’effet désincitatif l’emporte sur les gains attendus.
Qu’est ce qui génère cet effet désincitatif dans le cas de la cybersécurité ? :
L’alourdissement des procédures qui intègrent trop de contraintes de sécurité
C’est lourd et emmélé parfois les chaines de la Sécurité SI
- Les collaborateurs de la DSI ne respectent plus les procédures (jugées trop lourdes) aussi bien sur les projets que sur l’exploitation.
- Les utilisateurs ne respectent plus les procédures ou n’utilisent plus le catalogue de service de la DSI. Quelques exemples vécus :
- installent des outils de stockage en ligne sur leur poste de travail – Dropbox, box, Onedrive, Google Drive, … même si ceux-ci ne sont pas conseillés par la DSI,
- utilisent un autre poste de travail que celui fourni par la DSI (cf mon article épisode 2, avec l’amusante anecdote du poste de « non-travail »),
- demandent à avoir un iPhone 7 parce que vous comprenez quand on est au Comité Exécutif il faut marquer la différence avec le smartphone sécurisé fourni à tous les cadres par la DSI,
- bypassent partiellement ou complément la DSI pour accéder à des services métiers en mode SaaS avec la bénédiction du CDO, ou d’autres membres du comité de direction.
- désactivent la fermeture des sas de sécurité et de l’accès sécurisé au centre de supervision, car la mascotte de l’équipe, un chat, ne pouvait pas circuler librement
Le manque de compétences ou la sur-estimation de la capacité à faire
J’ai plusieur fois constaté que les compétences étaient insuffisantes au sein de la DSI pour garantir à la fois les niveaux de sécurité SI et les niveaux de service SI compatibles avec les besoins de leurs clients métiers qui ont, eux aussi, une activité à faire tourner.
La sécurité SI, ça devient très vite très très très … mais vraiment très… complexe et la DSI, et son éco-système de partenaires, sous-estiment très souvent le niveau de compétences nécessaire pour mettre au point et pour garantir dans la durée le Maintien en Condition Opérationnelle des infrastructures hautement sécurisées. Le moindre changement devient un cauchemar, que ce changement soit subi (exemple Montée de version d’un composant anodin, ou apparemment anodin, de l’infrastructure ou du poste de travail) ou voulu (une nouvelle application métier qui amène un nouveau champ de contraintes sur l’infrastructure – même quand il s’agit de changements très mineurs). Par conséquent la DSI est parfois obligée de renoncer à ses ambitions de conformité et n’effectue finalement pas la montée de version ou le changement en général, laissant ouvertes d’autres failles de sécurité.
Evidemment ce renoncement a également coûté très cher, car avant d’en arriver là, ce sont des centaines d’heures de travail d’experts, des dizaines d’appels et de prestations de support niveau 3 très pointues auprès des éditeurs et constructeurs de matériels, … qui auront été englouties pour tenter d’y arriver et de monter en compétences. Parfois on y arrive , parfois pas.
Pis encore, généralement, ce renoncement n’est pas documenté puisque le RSSI n’est pas informé et il ne faudrait pas qu’il le soit. C’est fait « en loucedé » entre la DSI, ses partenaires, et les maîtres d’ouvrage. Tout le monde est content… au moins à court terme (c’est déjà pas mal). Cependant le DSI transpire à grosses gouttes lors du prochain audit de Sécurité. Il évite également de croiser le RSSI dans les couloirs (parce qu’il faudrait lui serrer la main tout en le regardant droit dans les yeux d’un beau regard franc), et évite aussi de trop parler de sujets sécurité avec son PDG pour ne pas avoir à répondre à des questions gênantes style »
- – Chaprot, l’homologation Sécurité que j’ai signé de mon sang, hier, nous sommes bien d’accord, tout est OK, hein je me suis appuyé sur votre rapport disant que tout était au vert ?
- – Oui Monsieur le Président vous pouvez avoir confiance, on a tout vérifié »,
et le DSI d’aller prier à la chapelle la plus proche après cet échange franc et viril, en demandant à la sainte vierge de passer au travers des gouttes et de se faire virer le plus tard possible (ou tout au moins qu’il ait lui même choisi de démissionner avant)
