La cybersécurité et les sujets de sécurité numérique en général ont pris de l’ampleur depuis 30 ans avec la transformation digitale de notre monde et maintenant la numérisation à marche forcée due à la pandémie du SRAS-Cov 2. Pour autant les travers que j’ai vécus sur missions récentes et moins récentes me laissent à penser que certains fondamentaux sont toujours parfois mal maitrisés. Petit florilège…

Cybersécurité : la méthode pour la méthode… déconnectée du métier

Où l’on apprend que les méthodes ont peu évolué depuis 15 ans (ISO 2700x, EBIOS, MEHARI, …). Elles sont bien connues et cohérentes. Là où le bât blesse, c’est dans leur application. Que ce soit au niveau global du Système de Management de la Sécurité de l’Information (SMSI) ou de la sécurisation d’un actif informationnel (une application métier par exemple), la base de toutes les méthodes de sécurisation est une analyse de risques. On retrouve donc les difficultés inhérentes à la gestion des risques, que ce soit dans le cadre du pilotage d’un projet, ou de l’AMDEC d’un produit ou d’un processus industriel. La seule façon de faire une analyse de risques pertinente c’est de la faire en collaboratif avec des sachants (et notamment opérationnels de terrain) éventuellement avec une pointe d’expertise (à petite dose), et éventuellement avec le support d’une base de données capitalisant sur des risques ou facteurs de risques similaires. Un travail approfondi sur les activités métiers (procédures et enjeux) est nécessaire pour mener correctement cette analyse.

Hâtez-vous lentement, et sans perdre courage,
Vingt fois sur le métier remettez votre ouvrage,
Polissez-le sans cesse, et le repolissez,
Ajoutez quelquefois, et souvent effacez.

Nicolas Boileau (1636-1711) – l’Art poétique

Cybersécurité : le coup du parapluie

Où l’on apprend de multiples tours de passe passe parfois utilisés par les (mauvais) acteurs de la sécurité numérique pour brouiller les pistes :

  • se réfugier derrière l’argument de la non-divulgation de failles de sécurité pour ne pas avoir à s’expliquer. Il s’agit en quelque sorte d’une version « Sécurité » de l’argument d’autorité,
  • tout interdire, ne rien autoriser… pour échapper à toute responsabilité –> « c’est pas ma faute si Manu à fait ça, moi je le lui avais formellement interdit ». Lorsqu’on interdit tout c’est qu’on interdit rien,
  • à partir de prémisses et d’analyses pertinentes tirer des conclusions sans rapport avec le sujet ou sans rapport avec une analyse de risques (qui n’a généralement pas été faite ou qui a simplement servi à caler une armoire dans un bureau).

Cybersécurité : trop de sécurité tue la sécurité

Où l’on apprend qu’à l’instar de la performance fiscale où trop d’impôt tue l’impôt, trop de sécurité tue la sécurité :

  • Car les utilisateurs ne respectent plus les systèmes de sécurité
  • et/ou les professionnels du numériques ne veulent plus, n’ont plus les compétences, ou plus les moyens financiers pour respecter ou maintenir les systèmes de sécurité

Les cloud public c’est mal sécurisé… la preuve il y a « public » dedans

Où l’on apprend que de nombreux acteurs ou responsables de la sécurité sont convaincus que les clouds publics (notamment des GAM – Google, Amazon, Microsoft) c’est le diable, le grand Satan américain et qu’il est bien plus sécurisé de disposer de sa propre infrastructure SI. La réalité est bien différente, et il est très pertinent, pour une partie de ses actifs et données d’utiliser des clouds publics. Ils offrent, malheureusement pour notre amour propre français et européen des niveaux de sécurité excellents pour traiter les activités d’un très grand nombre d’entreprises ou d’administrations. Certes il ne faut pas non plus sous-estimer les risques de souveraineté et y placer des actifs stratégiques ou confidentiels. Et cela n’empêche pas non plus de sponsoriser et d’œuvrer à l’émergence d’un cloud souverain européen.

 

Sur la même thématique, vous pouvez également lire les articles suivants :

Cybersécurité – La sécurité de nos données en danger sur Google, Microsoft, Amazon et autres clouds publics. Mythes ou réalités ?

Les travers de la cybersécurité – la méthode pour la méthode

Cybersécurité en trompe l’œil – Les failles de la sécurité SI – Episode 2 « Le coup du parapluie »