A l'occasion de la publication d'un rapport par le "Intelligence and National Security Alliance’s (INSA) Cyber Council" concernant l'évaluation des menaces dans le milieu cyber, celui-ci dresse un constat assez cinglant à propos de la pratique de l'Outsourcing.
Pratique très à la mode il y a encore quelques années, cette pratique consiste à utiliser des ressources IT (hébergement mais aussi développement...) dans d'autres pays dont la particularité est de disposer d'une ressource humaine de compétence à peu prés équivalente à des coûts moindres.
Bien évidemment, l'Inde a longtemps été une destination de choix pour cette pratique mais il en existe d'autres. Ainsi, on a parfois fait référence à des call-centers hébergés dans les pays d'Afrique du Nord, à destination notamment des usagers pays francophones.
D'une certaine manière, c'est un peu la délocalisation en matière informatique. Mais ce sujet ne constitue pas forcément l'objectif ou la seule conclusion du rapport qui prétend mettre en avant la pratique de la "cyber-intelligence", c'est à dire l'acquisition et le traitement d'informations, notamment à vocations économique ou stratégique, dans le cadre spécifique du cyberespace.
Le rapport débute tout d'abord par une phase de description de l'environnement et des menaces associées. Malgré une vision assez classique, on pourra retenir quelques point intéressants et innovants comme la description d'une vision encore infantile du cyberespace comparée à la vision de la physique dans les années 1800 : bien que nous maîtrisions les aspects sous-jacents et notamment technique, les usages et les voies de développements sont encore méconnus et donc difficilement maîtrisables.
Une des causes en est le développement ininterrompu des technologies et solutions et on en trouverait une preuve dans l'absence d'un langage, vocabulaire ou encore lexique adopté, partagé et intuitivement utilisé par tous.
La question de l'Outsourcing est abordée juste après par une phrase annonçant sans ambages que les Etats-Unis ont utilisé largement l'outsourcing pour des raisons économiques sans prévoir les contrepoids permettant d'en assurer la sécurité. Plus encore, le rapport utilise une comparaison étonnante en déclarant que, au temps de la Guerre Froide, cette pratique aurait consisté à confier à l'URSS l'architecture des ponts, des systèmes de distributions d'électricité et une bonne partie des infrastructures vitales.
Bien que ce point particulier constitue une vision plus rarement mise en avant dans les rapports, la suite de ce document "n'invente pas la poudre" et évoque les menaces et les acteurs classiques avec d'ailleurs quelques approximations : si, dans le texte, les terroristes utilisent le net pour des questions d'organisations, l'importance donnée aux défaçages des sites du Pentagone demeure trop importante.
Au final, le rapport défend une position qui promeut une nouvelle discipline comme évoqué au début de ce billet. S'appuyant sur la description de l'environnement, de la menace, le document évoque également les coûts de la sécurité et l'inutilité d'une forme de "course aux armements" cyber entretenus dans une posture de défense/attaque classique.
Pour répondre à cela, les auteurs préconisent donc d'user de la cyber-intelligence, une forme nouvelle de collecte de données, d'analyse d’événements précurseurs permettant de prévoir et de réagir plus efficacement aux menaces...
Ce rapport est donc intéressant car il apporte quelques nouveautés dans la façon de considérer la menace dans le cyber. Pour autant, il n'évite pas certains écueils comme la dissuasion appliquée au cyber ou une appoche un peu simpliste de la menace.
Dans ces quelques réflexions intéressantes figurent en bonne place une critique de l'outsourcing. Dans le contexte de "cyber-sécurité" que nous connaissons, il est effectivement intéressant de se reposer la question du ration avantage/risque que créent ces actions. Pour autant, il faut aussi considérer que les "fonctions" informatiques des organisations ne semblent plus, depuis quelques temps, donner une priorité à l'outsourcing. Présentée comme la solution miracle pour ses baisses incroyables de coûts, cette délocalisation qui ne dit pas son nom a apporté son lot de problèmes que ce soit au niveau de la culture, des résultats...et bien d'autres éléments peu ou mal anticipés...Le rapport ne témoigne donc pas ici d'une folle originalité.
Source : dans le texte
Pratique très à la mode il y a encore quelques années, cette pratique consiste à utiliser des ressources IT (hébergement mais aussi développement...) dans d'autres pays dont la particularité est de disposer d'une ressource humaine de compétence à peu prés équivalente à des coûts moindres.
Bien évidemment, l'Inde a longtemps été une destination de choix pour cette pratique mais il en existe d'autres. Ainsi, on a parfois fait référence à des call-centers hébergés dans les pays d'Afrique du Nord, à destination notamment des usagers pays francophones.
D'une certaine manière, c'est un peu la délocalisation en matière informatique. Mais ce sujet ne constitue pas forcément l'objectif ou la seule conclusion du rapport qui prétend mettre en avant la pratique de la "cyber-intelligence", c'est à dire l'acquisition et le traitement d'informations, notamment à vocations économique ou stratégique, dans le cadre spécifique du cyberespace.
Le rapport débute tout d'abord par une phase de description de l'environnement et des menaces associées. Malgré une vision assez classique, on pourra retenir quelques point intéressants et innovants comme la description d'une vision encore infantile du cyberespace comparée à la vision de la physique dans les années 1800 : bien que nous maîtrisions les aspects sous-jacents et notamment technique, les usages et les voies de développements sont encore méconnus et donc difficilement maîtrisables.
Une des causes en est le développement ininterrompu des technologies et solutions et on en trouverait une preuve dans l'absence d'un langage, vocabulaire ou encore lexique adopté, partagé et intuitivement utilisé par tous.
La question de l'Outsourcing est abordée juste après par une phrase annonçant sans ambages que les Etats-Unis ont utilisé largement l'outsourcing pour des raisons économiques sans prévoir les contrepoids permettant d'en assurer la sécurité. Plus encore, le rapport utilise une comparaison étonnante en déclarant que, au temps de la Guerre Froide, cette pratique aurait consisté à confier à l'URSS l'architecture des ponts, des systèmes de distributions d'électricité et une bonne partie des infrastructures vitales.
Bien que ce point particulier constitue une vision plus rarement mise en avant dans les rapports, la suite de ce document "n'invente pas la poudre" et évoque les menaces et les acteurs classiques avec d'ailleurs quelques approximations : si, dans le texte, les terroristes utilisent le net pour des questions d'organisations, l'importance donnée aux défaçages des sites du Pentagone demeure trop importante.
Au final, le rapport défend une position qui promeut une nouvelle discipline comme évoqué au début de ce billet. S'appuyant sur la description de l'environnement, de la menace, le document évoque également les coûts de la sécurité et l'inutilité d'une forme de "course aux armements" cyber entretenus dans une posture de défense/attaque classique.
Pour répondre à cela, les auteurs préconisent donc d'user de la cyber-intelligence, une forme nouvelle de collecte de données, d'analyse d’événements précurseurs permettant de prévoir et de réagir plus efficacement aux menaces...
Ce rapport est donc intéressant car il apporte quelques nouveautés dans la façon de considérer la menace dans le cyber. Pour autant, il n'évite pas certains écueils comme la dissuasion appliquée au cyber ou une appoche un peu simpliste de la menace.
Dans ces quelques réflexions intéressantes figurent en bonne place une critique de l'outsourcing. Dans le contexte de "cyber-sécurité" que nous connaissons, il est effectivement intéressant de se reposer la question du ration avantage/risque que créent ces actions. Pour autant, il faut aussi considérer que les "fonctions" informatiques des organisations ne semblent plus, depuis quelques temps, donner une priorité à l'outsourcing. Présentée comme la solution miracle pour ses baisses incroyables de coûts, cette délocalisation qui ne dit pas son nom a apporté son lot de problèmes que ce soit au niveau de la culture, des résultats...et bien d'autres éléments peu ou mal anticipés...Le rapport ne témoigne donc pas ici d'une folle originalité.
Source : dans le texte
Aucun commentaire:
Enregistrer un commentaire