samedi 10 mars 2007

Fini de lire (ou pourquoi les certifications ça ne sert à rien)

Ca y est, j'ai épuisé ma "to read list".

Pour finir sur Hakin9 n°21, que Nono a déjà abondamment chroniqué, j'aime bien la typo page 74, colonne 2.


Si un expert Linux a un indice sur la manipulation technique qui a pu conduire à cette typo, je suis preneur :)


J'ai également terminé MISC n°30, sur les protections logicielles. Sans rentrer dans la polémique sur l'aspect "universitaire" de ce magazine, l'article sur les normes ISO 2700x m'a beaucoup inspiré.

Malgré la beauté intellectuelle de la construction de toutes ces normes (et c'est un expert EBIOS v2 qui vous parle :), je ne peux que sourire en me rappelant la réalité du terrain.

Tout d'abord il faut bien prendre conscience qu'à part dans les entreprises du CAC 40, l'informatique est vue comme une commodité et pas du tout un coeur de métier. En conséquence, la maintenance est souvent réalisée sur un coin de table, soit par un ancien administrateur AS/400 "maison" recyclé en expert Windows, soit carrément par un prestataire extérieur (de type PC30 ou même une simple EURL) qui intervient une fois par semaine sur site.

Le niveau de compétence de l'intervenant est très variable, mais rarement foudroyant. Dans la plupart des cas, le diagnostic côté client se limite à "ça plante", et la solution à "faut réinstaller".

Quant à mettre en place de la sécurité informatique, voire carrément utiliser des méthodes formelles de modélisation des risques, on peut toujours rêver ...

Et dans les entreprises du CAC40 alors ? Beaucoup mettent en place des démarches normatives (ISO 900x, ISO 2700x, ...) pour de bonnes ou de mauvaises raisons, sur lesquelles je ne m'attarderai pas. Disons simplement que tout est politique :)

Mais sur le terrain, beaucoup d'entreprises ont suivi la mode de l'externalisation des services informatiques, c'est-à-dire que la gestion technique de leur informatique ne leur appartient plus. Même si on peut penser qu'une société spécialisée dans l'administration Windows sera meilleure qu'un petit groupe d'informaticiens "maison", dans les faits il s'agit bien souvent des mêmes personnes qui ont été "revendues" à un grand nom de l'informatique. Les compétences restent donc strictement les mêmes, la motivation en moins.

Mais surtout, un tel état de fait crée une dépendance incroyable vis-à-vis d'un sous-traitant inamovible (croire qu'on peut changer de prestataire informatique du jour au lendemain relève de l'utopie ... ou alors le nouveau rachète simplement l'ancienne équipe !). J'ai connu des cas réels où le sous-traitant fait grève en éteignant le serveur de messagerie, ou même l'ensemble des serveurs. Vous imaginez qu'il a eu gain de cause assez rapidement :)

Pour finir, aucune entreprise n'audite le fonctionnement de ses sous-traitants. Je ne parle pas de saupoudrer un audit technique de sécurité de temps à autre, dont le rapport finit sur une étagère chez le sous-traitant. Je parle d'intégrer les processus du sous-traitant (gestion du personnel, gestion des mots de passe, connexion de portables sur le réseau, etc.) dans la démarche de certification de la société.

Dans ces conditions, la certification obtenue par la maison mère n'a aucun sens. Il suffit de chercher "passwords.xls" sur les serveurs "à usage interne des administrateurs" pour s'en rendre compte ! (100% de réussite jusqu'à présent).


Sur ce, je vous laisse, Hakin9 n°22 vient d'arriver dans la boite aux lettres. Il semblerait qu'il y ait un challenge de sécurité dans ce numéro :)

8 commentaires:

Anonyme a dit…

Il semblerait qu'il y ait un challenge de sécurité dans ce numéro :)

Le vrai challenge dans Hakin9, c'est de remettre les mots dans le bon ordre et avec le bon sens.
C'est comme un sudoku mais avec des lettres.

ruellort a dit…

la manip c'est qu'il y avait a l'origine une photo a l'emplacement du /mnt/blabla..

pour ce qui est de ta reflexion sur les SI... faut arreter la drogue , tout tourne uniquement autour des benefices aujourd'hui on se fout du reste .

et d'ailleurs suffit de regarder les offres d'emploi sur les sites spe pour voir qu'on comble aujourd'hui le manque de lucidite de dsi par :: le tech embauche a 2ans d'experience donc on peut avoir confiance lol

va falloir que j'offre dsi.con a mon dsi :)

jco a dit…

Ta réflexion me fait penser à un projet qui me tient à coeur : certifier les partenaires des grands comptes et rendre accessible la sécurité informatique avec pragmatisme aux pme/i.

D'ailleurs je compte bien me lancer sur ce sujet. Si tu as des pistes de réflexions je suis preneur.

Côté magazines de sécu, malgré l'excellent MISC, ça manque de rêve et de charme je trouve. La sécu est elle condamnée à rester un sujet pour geek ou nerds ?

Tyop? a dit…

Côté magazines de sécu, malgré l'excellent MISC, ça manque de rêve et de charme je trouve. La sécu est elle condamnée à rester un sujet pour geek ou nerds ?
Mais non... Il reste pirate magazine!

newsoft a dit…

@jco : mon point de vue sur les PME, c'est qu'il n'y a pas d'argent pour faire de la sécurité. Déjà qu'elles ne paient pas toutes leurs licences ...

In fine, tout repose sur la compétence de l'administrateur, qui est bien souvent un prestataire freelance plus ou moins au black.

La seule solution c'est de déléguer sa sécurité à Microsoft via Vista et Windows Update :)

@Tyop : ça existe encore Pirates Mag' ? Je crois qu'il n'y a plus que le site Web. Mais il reste Hackerz News Magazine :)

Tyop? a dit…

@Newsoft : Oui ca existe toujours, au kiosque il est sur le devant des etalages, et Misc est en deux exemplaires defonces tout en haut a gauche.
Faut dire que leurs couvertures sont plus flashy.

newsoft a dit…

Je me base sur la news du 20 octobre 2006 publiée sur leur site ...

Mais peut-être qu'on ne parle pas du même magazine ?

Tyop? a dit…

Merde, apres verification...
... j'ai encore fait une bourde, j'etais persuade que pirate mag' c'etait cette blague qui traine en kiosque.
Que leurs auteurs me pardonnent.

J'irais enqueter demain sur le fameux magazine qui pique les honneurs a Misc.