jeudi 29 juillet 2010

Sécurité de l'information: inventer un nouveau modèle !

Une petite réaction à l'article de M. Pierre CARON, de Lexsi, disponible sur le blog de la société.

Résumons simplement son propos, en essayant de ne point trahir sa pensée :

1/ Le coût des fraudes, le nombres de victimes et les problématiques actuelles rencontrées en matière de sécurité de l'information, SSI ou sécurité informatique ne diminuent pas.

2/ Au contraire, la menace mute alors que les messages, les outils et les modèles largement utilisés - je ne conçois ici que les outils de la désormais célèbre "Mme MICHU" - restent dramatiquement inadaptés...Et cela ne s'arrange pas..

Par ex. SSL et le modèle de confiance associé qui a subi de nombreux coups de boutoir...

Par ex. les réseaux sociaux incitent à une confiance imméritée en partie car le message reste : ne pas engager de discussion ou de relation avec un inconnu, surtout si celui-ci envoie un pièce kointe.

3/ Le modèle de sécurité a failli...Changeons-le ! Et pourquoi pas, « répression des victimes / sensibilisation des fraudeurs » (je cite)...

J'avoue que j'ai failli sauter au plafond. Cela rappelle par trop HADOPI. Mais, en réfléchissant un peu mieux, on se demande si cela, effectivement, ne serait pas plus efficace.

Les dispositions d'HADOPI génèrent, en théorie, une externalité positive pour la sécurité en obligeant les utilisateurs à sécuriser leurs machines et accès wifi. Tant bien que mal, l'autorité devrait publier une série de moyens certifiés, et simplifiés, pour permettre à l'utilisateur lambda de sécuriser tout cela un peu mieux et contribuer, donc, à l'élévation générale du niveau de sécurité.

J'avoue également, mais peut-être me traitera-t-on de dégénéré autoritaire voire pire, que ce qui me plait dans cette démarche, c'est la responsabilisation de l'utilisateur.

Il n'est évidemment pas question de le rendre définitivement responsable car il pourra, mais dans un sens aussi, devra, mettre en place des moyens de sécurisation, s'exonérant ainsi de sa responsabilité en la transférant sur l'éditeur ou le responsable de l'efficacité de l'outil (et cela me plait aussi que d'imposer une obligations de moyens, ou pire, de résultat aux éditeurs d'anti-virus)

La responsabilité de l'utilisateur me plait bien car trop souvent, celui-ci veut avoir le beurre, l'argent du beurre et le sourire de la crémière :

=> le beurre : aller sur internet partout, tout le temps, de n'importe quelle manière

=> l'argent du beurre : utiliser tous les services rendant la vie si facile, en particulier ceux impliquant des aspects financiers ou l'identité de la personne

=> le sourire : ne jamais avoir de problème...

Mais, je dirais, le concept du "yaka faukon"...ne fonctionne pas ici. Internet, c'est un peu, pour moi, comme la navigation maritime : n'y vont que ceux qui en acceptent les risques, ont pris le temps de s'informer et ont mis en place les dispositifs ou mesures de sécurité adéquats..

De cette attitude désinvolte, l'utilisateur ne retire que des problèmes mais ne peut, ni ne souhaite, se passer du net. L'avantage, donc, de ce déplacement de responsabilité est qu'il redevient acteur de ses activités sur Internet et qu'il est obligé d'adopter une conduite prudente et adaptée ou d'accepter les risques inhérents à une attitude délibérément dangereuse.

Par ailleurs et rappelons-le, le concept de défense globale s'adapte bien à Internet. Et quiconque défend mieux sa machine, contribue également à la défense de l'ensemble. On peut donc faire un lien avec les problématiques de défense.

Toutefois, je ferais un reproche à la vision de M. CARON. Les utilisateurs d'Internet présentent d'importantes différences caractérisées par des capacités différentes à intégrer la dimension sécurité. L'âge, les études, l'intérêt ou encore le milieu sont susceptibles de sérieusement impacter la capacité d'un individu à prendre en main les techniques ou à intégrer les comportements adéquats. Et même, les très jeunes aujourd'hui présentent de sérieuses difficultés à intégrer la dangerosité liée à la publication sans limite de leur vie privée sur le net...

Tout cela renforce quand même le besoin d'une éducation, d'une formation continue et d'une sensibilisation. Rien n'oblige cependant à ce que les modèles d'éducation ou de sensibilisation demeurent identique : un renouveau en ce domaine serait très certainement bénéfique.

On gardera à l'esprit que rien ici n'est totalement incompatible pourtant avec le modèle proposé...Ainsi, le modèle du permis de conduire consiste bien à donner à celui qui le passe les moyens d'assurer sa sécurité, celle des autres et à mieux assumer sa responsabilité sur la route.

Quoi qu'il en soit, il est vrai qu'aujourd'hui, les modèles de sécurité posent parfois quelques problèmes. J'essayais d'ailleurs d'en proposer de nouveaux dans ma thèse pro et l'apport de M. CARON est de poser les bases d'un débat qui s'avérera, j'en suis sur, très intéressant voire déterminant.

4 commentaires:

  1. Le principe d'HADOPI est juste une prouesse juridique permettant d'empêcher toute défense de la part de l'accusé. HADOPI considère juste que la victime et le fraudeur sont une seule et même personne. Soit il est considéré comme victime, auquel cas on l'accuse de ne pas sécuriser sa ligne. Soit il est considéré comme fraudeur, auquel cas on l'accuse de contrefaçon.

    Jusque là, la fraude consistant à détourner la ligne d'autrui pour télécharger n'existait pas, puisque la contrefaçon n'était pas poursuivie. HADOPI va pousser la population des téléchargeurs à maintenant frauder la ligne d'autrui pour se cacher des autorités. Et la fameuse madame michu sera toujours en retard.

    J'avoue que la répression de la victime me fait juridiquement et surtout moralement sauter au plafond. Si ce principe était étendu à d'autres domaines que le téléchargement, cela pourrait aller très loin.

    "Oui, madame, votre fils s'est fait renverser sur la route. Nous allons donc vous accuser de négligence caractérisée."

    RépondreSupprimer
  2. Bonjour et merci du commentaire,

    Je ne défends pas HADOPI ! Je trouve cette loi déplacée et inutile.

    En revanche, le volet facilitant l'apprentissage de la sécurité par l'utilisateur est intéressant.

    Tout comme admettre que le modèle de sécurité actuel n'a pas fait ses preuves.

    J'admets aussi que rendre l'utilisation responsable n'est pas opportun.

    Mais il faut réinventer quelque chose et pour cela, il me parait intéressant de ne rien écarter pour mieux s'inspirer

    Merci encore,

    AG

    RépondreSupprimer
  3. Bonjour,

    Ce n'est pas tant HADOPI et ce que la loi représente qui m'interpelle mais plutôt la façon dont cela va se faire. Pensez-vous sérieusement que la mise en action du dispositif va gêner les "vrais" aficionados du téléchargement ?

    Il existe une pléthore de moyens de contournement qui n'obligent pas à « squatter » des moyens de communications tiers alors monsieur et madame Michu vont il est vrai rencontrer le risque de se faire attraper, mais après, les "bonnes" pratiques vont vite se faire connaître et ...

    Ceci dit, je suis d'accord avec vous, la sécurité informatique n'est pas qu'une question de produits / moyens de sécurisation et la notion de processus dont un des premiers jalons serait la sensibilisation/apprentissage » prend tout son sens.

    RépondreSupprimer
  4. Soyons précis :

    1/ je ne défends absoluement pas HADOPI contre laquelle je me suis mobilisée.

    2/ Je constate une faillite et, dans la loi, une initiative intéressante que je mets en avant car "il ne faut pas jeter le bébé avec l'eau du bain"..

    Mais, encore une fois, nous sommes d'accord sur la démarche, injuste socialement et juridiquement, et l'efficacité qui sera très certainement, faible.

    Merci de votre participation !

    RépondreSupprimer