jeudi 8 avril 2010

La conformité garantit-elle la sécurité ?

Comme souvent, plusieurs articles traitant d'un même sujet m'ont invité à rédiger celui-ci. La question de la capacité de la conformité à fournir des incitations suffisantes pour provoquer des effets recherchés, est fréquemment posée.

En effet, de très nombreuses lois ou textes juridiques ont créé un grand nombre d'obligations en matière de sécurité des systèmes d'informations. On peut donc comparer ces obligations légales et leur efficacité.

Petite précision : l'auteur de ces quelques lignes n'est pas tout à fait dénué d'une certaine éducation juridique. Le droit formalise et donne une force à un contenu par ailleurs plus politique. Ainsi, la loi dite "Hadopi" donne une force juridique à plusieurs décisions politiques et techniques, largement contestables par ailleurs.

Le droit reste donc un instrument : est-ce l'outil adapté ? En partie certainement car son absence rendrait certainement la situation plus critique. Rien n'est pire que le vide juridique. Ex. : la filouterie d'aliment. Imaginez les conséquences désastreuses d'un tel vide pour les victimes des escroqueries financières, vol de numéro de carte bleues....Le droit est donc aussi un instrument de justice (évidemment ! mais droit et justice sont des concepts différents) et de paix sociale.

le droit est un outil mais la forme prise par une incitation, le choix du levier est un choix politique ou économique. C'est toute la question de la théorie des jeux. Le manque d'efficacité d'une loi, vis-à-vis des objectifs que les politiques lui donnent, peut donc être recherchée dans l'élément matériel de l'incitation et non son aspect juridique !

Cela reste très vrai notamment lorsqu'on cherche à obtenir des comportements de sécurité adéquats des utilisateurs, administrateurs...Il faut savoir "appuyer sur le bon bouton"...

Cette parenthèse étant fermée, revenons à nos éléments de sécurité informatique :

En France :

=> Loi "Informatiques et Libertés" : impose les déclaration de fichiers de traitements informatiques de données personnelles ainsi qu'une forme de protection de ces données.

=> Art. 1384 Code Civil : appliqué à la responsabilité civile du chef d'entreprise (pour le fait d'autrui, en l'occurrence ses employés) et utilisé pour responsabiliser le chef d'entreprise vis-à-vis de la sécurité de son SI.

Peut-on cependant affirmer avec certitude que les fraudes sont moins nombreuses ? Rien n'est moins sur mais on est certain que sans, ce serait pire !

On note aussi que, selon plusieurs experts, la certification (ISO27001...) présente de nombreuses limites : d'autres experts attirent également l'attention sur la définition trop étroite du périmètre de certification ou encore sur les motivations réelles de cette démarche ainsi que sur les suites données à cette initiative. Une certification sans remise en cause dans le temps n'est pas très utile à moyen ou long terme.

USA, internationale à dimension globale :

=> Sarbanes-Oxley : obligation d'auditer les comptes des entreprises. Cette obligation est désormais assortie d'une obligation d'audit de la capacité des systèmes d'informations à respecter les principes de la comptabilité.

=> Bâle II et Solvency II : normes destinées au monde de la banque et de l'assurance. Elles préconisent également de nombreuses dispositions en matière de sécurité des systèmes d'informations (logiques et physiques).

=> PCI-DSS : norme du groupement des cartes bancaires. Elle prévoit également de nombreuses dispositions en matière de SSI.

Encore une fois, cette amoncellement de normes n'a pas su empêcher de nombreuses fraudes. En matière de cartes bleues notamment, les quelques millions de numéros dérobés l'ont été via des organismes pratiquant le PCI-DSS...

Quant à Sarbanes-Oxley, elle a su créer un très grand marché de l'audit, suffisamment fort et puissant pour résister à la crise en s'appuyant notamment sur ces réglementations. Crée à la suite du scandale Enron/Andersen, son efficacité a cependant été nulle sur la dernière crise de nature financière.

USA, à vocations plus locales :

=> California 1386 : oblige les entreprises à divulguer les pertes d'informations et les attaques informatiques avec une fort impact.

=> HIPPA : concerne les pertes, vols ou divulgations d'informations dans le monde de la santé.

=> FISMA : norme de sécurité des systèmes d'informations applicables au secteur public américain dans son ensemble.

=> Rockefeller and Snowe’s Bill : autorise le Président américain à déconnecter tout ou partie des réseaux américains d'Internet en cas de cyber-attaques d'envergure.

Selon plusieurs experts, le bilan est mitigé. La loi sur la divulgation a eu un impact positif mais, en revanche, la conformité à FISMA n'empêche pas de nombreuses attaques dont certaines sont réussies (Aurora par exemple ou encore Conficker). Quant à Rockeller and Snowe, les auteurs affirment très simplement qu'il ne sera d'aucune utilité en cas de cyberconflits.

Un autre expert affirme qu'aussi longtemps que la sécurité sera basée sur la conformité, réglementaire ou législative, les résultats seront décevants.

Cette assertion est ainsi tout à fait dans le sens de celles qui affirment que la sécurité de l'information ne peut se faire sans l'adhésion des personnes concernées. Jouer le jeu de "la carotte et du bâton" peut se révéler plus profitable que de jouer uniquement dudit bâton !

Si les lois et règlements en la matière sont nécessaires, la lisibilité pâtit parfois de très nombreux textes parfois difficiles à lire. La preuve en est la multiplication des formations spécialisées en la matière. Par ailleurs, l'obligation, à elle-seule, ne saurait garantir l'effectivité de la sécurité et encore moins de la cyberdéfense.

Source :

http://gcn.com/articles/2010/04/07/federal-it-security-survey-lumension.aspx

http://threatchaos.com/home-mainmenu-1/16-blog/547-response-to-rockefeller-snowe-new-regulations-will-not-prepare-the-us-for-cyberwar

Aucun commentaire:

Enregistrer un commentaire