jeudi 20 septembre 2012

Billet d'humeur : la SSI n'est pas "l'informatique"

Une information parue aujourd'hui dans la presse est la cause première de ce billet d'humeur. Pour ceux que cela intéresse, elle est encore disponible.

Vraisemblablement, un homme aurait réussi à s'introduire dans les systèmes informatiques de la Banque de France - la précision du journal laisse à désirer car on ne comprend pas le lien entre un appel skype et le système informatique - en utilisant un mot de passe trivial qui, par chance, lui laissa l'accès. 

Pour illustrer l'absence de sécurité, la justice a décidé de relaxer cet homme concluant ainsi un procès conduit après un dépôt de plainte de l'entité. Il était tellement facile de pénétrer dans ledit système que la justice en a conclu que l'homme était de bonne foi et que le système ne présentait aucune garantie dissuasive.

Il faut avouer que le désarroi est grand ! Comment peut-on en arriver, malgré toutes les attaques, toutes les informations données ? A quel point un degré de maîtrise de ses systèmes et informations peut-il arriver si bas ?

D'aucuns répondront qu'il s'agit d'une question de coût, de compétences ou encore de formations ? D'autres plaideront pour la faute personnelle, ce qui est également une hérésie car après tout l'organisation peut contrôler le résultat des demandes effectuées.

Alors quoi ? La réponse est sans doute multiple mais un élément me semble intéressant à approfondir : la SSI n'est pas de l'informatique et la confusion savamment entretenue entre les deux est facteur de dysfonctionnements...

Trop souvent encore, on trouve des RSSI placés au sein des Directions des systèmes d'information : c'est le plus sûr moyen de leur dénier toute capacité à obtenir une bonne vision du niveau de sécurité. Corriger une faille, dévoiler une vulnérabilité est difficile car évoquer cela, c'est également critiquer les travaux de son supérieur hiérarchique.

Combien de fois, en discutant d'un problème de sécurité, un responsable informatique en a dénié la portée, la réalité ou encore la probabilité qu'un risque se produise...Fort de son expertise informatique, cette personne pensait en connaître autant en sécurité : nous constatons assez aujourd'hui les résultats de ces comportements.

L'informatique moderne ne peut que fonctionner qu'avec un niveau de maîtrise et de confiance des systèmes et informations très limité. Nous ne fabriquons pas les matériels ni ne connaissons les codes des logiciels que nous utilisons. 

Au contraire, la SSI a pour objectif de restaurer un certain niveau de confiance en recherchant notamment une connaissance approfondie et une maîtrise plus complète de nos systèmes.  D'une certaine manière, SSI et "informatique" ne pourront que continuer à s'opposer.

Ce mode de fonctionnement, acceptant une bonne part d'obscurantisme, est cependant devenue une "règle" de conduite et la remettre en cause serait une révolution des moeurs. La confiance et la maîtrise sont pourtant une forme de dogme dans d'autres milieux : aéronautiques et nucléaires par exemple où le taux d'erreur acceptable semble différent. 

Aujourd'hui, alors que ces systèmes innervent nos sociétés et prennent en charge de plus en plus de fonctions critiques, ne devrait-on pas se diriger vers ce type d'approche ? Changer un système qui corrige chaque semaine les failles de la précédente vers un système pour qui la confiance est un principe de conception (les deux existent...) ?

Alors non, la sécurité des informations et des systèmes n'est pas l'informatique et il faut sans cesse le redire et le rappeler. Au sein d'une organisation, la SSI trouve sa place dans une approche globale des risques, dans une direction sécurité ou encore dans une démarche de qualité ou de fiabilité...

Ainsi, la prochaine fois que vous aurez une décision de sécurité à prendre ou un responsable sécurité à nommer, soyez conscients que l'une comme l'autre auront des conséquences importantes et non mesurables immédiatement. Il vous faudra être informé régulièrement, mesurer les signaux faibles et connaître les risques pris...en bref, contrôler, superviser, corriger et améliorer...

Source : dans le texte


3 commentaires:

  1. Pour information, il y a eu 0 intrusion, ce sont juste les journalistes qui ne savent pas de quoi ils parlent : http://www.pcinpact.com/news/73975-non-systeme-informatique-banque-france-na-pas-ete-pirate.htm

    RépondreSupprimer
  2. Merci pour l'information qui est tout à fait digne d'intérêt.

    Je me permettrais de corriger : il y a bien eu intrusion mais pas dans le SI de la Banque de France.

    Souvent, les journalistes abusent de la simplification, c'est bien vrai.

    RépondreSupprimer
  3. Je ne vois même pas d'intrusion... Il a fait du wardialing via skype (testé tous les n° d'une plage) et l'un d'eux a demandé de saisir un mot de passe.
    Il a tapé 123456, mais en tapant 654321 ou n'importe quoi d'autre il aurait fait "planter" de la même façon le système.

    Le tribunal a donc reconnu que le système était merdique et que le gars est en rien responsable du blocage du service informatique.

    Vivement qu'il y ait des amendes pour systèmes informatiques insuffisamment protégés.

    RépondreSupprimer