mardi 17 septembre 2013

Fiat Lux

J’ai assisté à la réunion d’information PASSI du mardi 10 septembre dernier. Et je n’étais pas le seul. Vu l’épaisseur du listing au point de contrôle, il devait bien y avoir 500 personnes invitées, pour une centaine effectivement présentes dans la salle.

Personnages principaux

Pour cette réunion clé dans le paysage de la prestation de services en SSI, il faut admettre que l’ANSSI avait réellement effectué un travail amont de fourmi en recensant toutes les structures qui réalisent des audits de sécurité en France. SSII de toutes tailles, freelances, et même associations – Club PSCO, CESIN, OSSIR, CLUSIF, Club 27001 – à l’exception notable des FPTI (canal historique ou pas).

Sur scène :

  •  Contre-amiral Dominique Riban (directeur adjoint de l’ANSSI)
  • Yann Tourdot (ANSSI)
  • Armelle Trotin (LSTI)
  • Hervé Schauer (HSC)
  • AMOSSYS
L’absence de Sogeti/ESEC, troisième larron de la procédure expérimentale, a été remarquée. Y avait-il un message politique ?

Hervé Schauer a été égal à lui-même, et nous a gratifié des quelques saillies drolatiques telles que « je ne sais pas combien ça a coûté car je n’ai jamais été très fort en comptabilité analytique » ou « vous n’avez pas besoin de formation pour présenter le PASSI mais on est prêt à vous en vendre quand même ».

Enfin il faut rendre hommage au maitre de cérémonie - Yann Tourdot - qui a encaissé pendant presque 3 heures le feu roulant des questions de la part d’un public pas vraiment conquis (c’est un euphémisme) avec un calme olympien. Je cherche encore à découvrir le secret de cette incroyable résistance au troll : pratique de la méditation Asubha ou perfusion de Lexomil ?

Acte 1 : le message est délivré

Les hostilités démarrent à 14h, modulo les quelques minutes de retard de M. Schauer. Le contre-amiral Dominique Riban nous remémore par son bref exposé que l’ANSSI est la digne héritière de la DCSSI. On ne va pas parler audit de code Java ou recherche de XSS dans des applications PHP – non, nous sommes ici entre représentants de la « chaine de cyberdéfense » (le terme a été employé une bonne demi-douzaine de fois).

Son allocution brève et précise délivre la clé du PASSI en quelques minutes seulement : l’ANSSI pourra se faire remplacer dans ses interventions par un PASSI de son choix, au TJM de 1000€/jour (indexé sur le point de la fonction publique), et ce pour une durée illimitée. Car malgré un effectif cible de 500 personnes à horizon 2015, l’ANSSI est débordée par la situation calamiteuse dans les administrations et les grandes entreprises françaises (sans toutefois oser employer le mot d’échec de la sécurité).

J’aurais alors pu me lever et partir à la suite du contre-amiral, mais j’aurais peut-être eu l’impression d’avoir fait le déplacement pour rien (d’autant qu’il n’y avait ni café ni goodies). Je restais donc pour l’acte 2, durant lequel les détails d’implémentation allaient être âprement débattus.

Acte 2 : la principale subtilité

Mon objectif n’est pas de retranscrire ici deux heures de questions par ordre chronologique, mais plutôt par ordre de pertinence.

L’un des points essentiels qui a été soulevé concerne le niveau de technicité recherché chez les auditeurs (tout le monde connaît la rigueur des entretiens d’embauche à l’ANSSI). L’objectif du PASSI est de labelliser des prestataires de confiance, non pas de trier sur le volet les meilleurs experts français. La différence est subtile ; sans vouloir faire de mauvais esprit je pense qu’elle conduira les usual suspects à être automatiquement labellisés indépendamment de leur capacité à délivrer une prestation de qualité.

Acte 3 : le diable est dans les détails

Le schéma de certification est un processus assez lourd, à l’instar du transparent consacré au sujet. Pour obtenir le précieux sésame, l’entreprise devra se faire auditer, et disposer de consultants labellisés dans les domaines pour lesquels elle candidate (audits organisationnels, audit de code, etc.).

En ce qui concerne l’entreprise, elle devra se plier à un audit de son réseau interne, et démontrer que le service « audits et tests » n’a aucune adhérence avec le reste de l’entreprise, considéré comme « hostile ». Curieuse approche qui consiste à laisser les auditeurs gérer eux-mêmes leur infrastructure ; on sait pourtant qu’ils ne sont pas les premiers à appliquer les conseils qu’ils donnent aux autres.

Le niveau d’exigence n’a pas été clairement défini, mais des gros mots ont été utilisés, tels que « produits certifiés » ou « IPSEC ». On peut s’attendre toutefois à un saut qualitatif par rapport aux pratiques actuelles, car il a été évoqué le fait que les tests et la rédaction du rapport devaient être réalisés sur deux machines distinctes, l’auditeur n’étant pas administrateur de la deuxième. Par ailleurs tous les échanges de documents avec les clients devront être chiffrés, ce qui promet des heures d’amusement compte-tenu du niveau d’interopérabilité entre les différentes solutions.

En ce qui concerne les personnes, elles devront passer un examen écrit (de type QCM) et un examen oral par catégorie. Visiblement le taux de succès selon les catégories varie entre 50% (test d’intrusion) et 90% (audit organisationnel) ; en phase expérimentale 15 consultants ont été labellisés sur le test d’intrusion.

Pour l’anecdote, bien qu’elle se défende avec véhémence de piller les ressources du privé, l’ANSSI a d’ores et déjà recruté la majorité de ces consultants. Par contre l’histoire ne dit pas ce qu’il est advenu des autres… qui peuvent toutefois retenter leur chance jusqu’à 2 fois par an.

Une fois l’étape initiale franchie, il reste pour l’entreprise à payer un audit de contrôle tous les 18 mois et un audit de re-certification tous les 3 ans, sauf si un événement vient à remettre en cause la labellisation, comme par exemple le départ de tous les auditeurs dans une activité donnée.

Tout ceci a bien évidemment un coût, à propos duquel il a été difficile de tirer les vers du nez de LSTI, qui est de facto la seule société habilitée à dérouler la procédure de labellisation.

Une estimation grossière donne 6 jours pour l’audit de l’entreprise et environ 600€ par consultant présenté à l’examen, ce qui reste modeste. Mais de l’aveu même des participants au programme beta, le temps de préparation est considérable, aussi bien pour l’entreprise que pour les candidats. Ce qui fait dire à un participant : « c’est le même prix qu’un stand aux Assises, mais avec un ROI moins évident ».

Acte 4 : il est frais mon label

L’implémentation retenue par l’ANSSI est la suivante : une « attestation de compétences » est remise à l’auditeur labellisé. Il peut s’en prévaloir lors de la réponse aux appels d’offres, mais la liste des auditeurs certifiés reste « secrète ». Ce qui veut dire qu’elle ne sera pas publiquement affichée ni sur le site de l’ANSSI ni sur le site des entreprises labellisées, mais aucune sanction n’est prévue s’il se crée demain un groupe LinkedIn des auditeurs PASSI. Une sorte de secret de polichinelle, donc.

L’ANSSI, soucieuse d’éviter la débauche de personnel (ou pas), précise que l’attestation de compétences n’est valable que pour exercer dans l’entreprise qui l’a financée. Si l’auditeur change d’entreprise, il devient automatiquement « incompétent », mais peut être admis à repasser l’examen.

Détail amusant : afin d’éviter les conflits d’intérêt lors des audits de labellisation, LSTI a choisi de faire appel à des profs (voire des étudiants). « Ce n’est pas de la sous-traitance, c’est du mandatement » nous signale Armelle Trotin. Comme quoi il peut exister des passerelles entre l’industrie et le monde universitaire !

Acte 5 : le futur

Bien entendu tout ceci n’a de sens que si le RGS 2.0 est publié un jour, puisque le PASSI ne sera contraignant que pour les victimes de ce document. L’ANSSI est confiante dans le fait que ce document verra le jour « avant 2015 ». Avec un délai de 5 ans entre la publication du RGS 1.0 et le décret d’application, on est en droit de ne pas partager le même optimisme.

Néanmoins l’ANSSI poursuit dans sa lancée afin d’adresser toutes les activités de la « chaine de cyberdéfense ». Après la prévention avec les audits et tests d’intrusion (si tant est que cela prévienne quoi que ce soit), des labels vont être créés pour les prestataires en détection d’intrusion (SOC), en investigation (forensics) et en reconstruction – ainsi que dans un tout autre domaine, celui du Cloud.

Petite anecdote : il est d’ores et déjà prévu de tester les candidats dans ces catégories sur leur capacité à rétro-concevoir des échantillons de malwares. Une double révolution culturelle est donc en marche …

Conclusion

Une poignée de sociétés ont d’ores et déjà fait la démarche de candidater à la procédure PASSI « finale ». Toutefois pour l’écrasante majorité des prestataires avec qui j’ai pu discuter en « off », il est urgent d’attendre. Les coûts engendrés sont considérables eût égard au volant d’activité que représentent réellement les clients soumis au futur RGS 2.0. Même les appels d’offres publics les plus récents – dont certains sont des contrats « cadre » sur 4 ans – ne font aucune mention du PASSI.


A moyen terme, on risque donc de voir le marché se fragmenter entre quelques « gros » opérateurs, qui pourront être imposés par l’ANSSI chez certains « clients » (essentiellement les OIV), et le reste des SSII qui continueront à traiter 95% des affaires courantes. Tout ça pour ça.

lundi 9 septembre 2013

PASSI cool

Vous rêvez d’une carte de visite à rallonge – CISSP CEH MCSA CCNA – mais vous n’avez pas les moyens de cotiser à la fois à l’ISC2, à l’EC Council, chez Microsoft, et chez Cisco ? Rassurez-vous, grâce à l’ANSSI vous aurez bientôt la classe américaine. Après les certificateurs ARJEL, les laboratoires d’évaluation CSPN, les PSCE, les PSHE, le nouveau titre à la mode s’appelle PASSI (ce qui est – vous en conviendrez – beaucoup plus facile pour les jeux de mots). D’autres suivront, tels que les opérateurs certifiés de sonde ANSSI, les prestataires certifiés de réponse à incident, etc. mais il conviendra d’en parler en son temps.

Il n’y a PASSI longtemps (à l’échelle administrative)

Souvenez-vous, il y a deux ans : trois sociétés – Sogeti/ESEC, HSC et AMOSSYS – étaient retenues pour « beta-tester » la procédure expérimentale. Après moult péripéties, la phase de test est déclarée concluante, et la procédure de labellisation officiellement « bonne pour le service ».

Je ne voudrais pas ennuyer le lecteur avec tous les réglages techniques qu’il est nécessaire d’apporter pour mettre au point une telle mécanique, mais je vous laisse vous délecter de cette anecdote : pour valider la certification, un inspecteur de l’ANSSI doit assister à une prestation en conditions « réelles » chez un client. On imagine les difficultés du pauvre prestataire qui essaie de vendre à son client que s’il est retenu, il faudra faire ménage à trois avec l’ANSSI. Une fois le client enfin convaincu, il reste un détail à régler : l’administration ne se déplace jamais en province car … elle n’a pas de processus pour établir des notes de frais !

Un exercice de PASSIence

Bref, la certification entre en service. Petit détail (mais qui a son importance) : après avoir gracieusement travaillé pendant plus d’un an pour l’administration, tous les prestataires de service retournent désormais à la case départ. Il n’existe aucun prestataire officiellement labellisé actuellement.

La re-certification, une simple promenade de santé pour les vétérans du programme « beta » ? Pas vraiment, car chez la majorité d’entre eux, le turn-over a frappé : plus aucun consultant ayant participé à la phase expérimentale n’émarge encore aux effectifs …

On touche ici l’une des limites (prévisibles) de l’exercice : comment délivrer un label à une entreprise dans sa globalité, alors que ce sont des personnes qui sont auditées ? N’est-ce pas un manque de clairvoyance sur le consultant en SSII, dont l'objectif principal est de s'en évader ? Et pour une fois, le système PCI-DSS – avec sa liste de consultants accrédités intuitu personae – ne serait-il pas plus cohérent ?

PASSI rentable

Autre détail qui a son importance : depuis que le processus de labellisation est « en production », celui-ci est entièrement délégué au secteur privé. L’organisme certificateur est évidemment la société LSTI – qui dispose d’un monopole de fait sur l’activité de certification en France dans de nombreux domaines.

Et donc, la certification est payante. Voire pas donnée, compte-tenu des coûts annuels liés au maintien de la certification. Vous n’avez pas voulu cotiser à l’ISC2, vous participerez au redressement productif.

Pour les petites sociétés, l’équation n’est pas évidente : entre le coût de préparation, le coût de passage, et les coûts récurrents liés à la certification, il faut vraiment aimer les appels d’offres publics pour rentrer dans ses frais. Et savoir fidéliser ses consultants certifiés, tout en leur faisant quand même faire un peu d’EBIOS en régions. Bref, le mariage de la carpe et du lapin.

Car bien sûr, le « label » PASSI n’a des valeur contraignante que pour les administrations qui doivent se conformer aux RGS et donc recourir exclusivement à des prestataires labellisés. Du moins quand le RGS 2.0 entrera en vigueur, ce qui laisse le temps de la réflexion, celui-ci étant en relecture à Bruxelles.

Pour tous les autres appels d’offres, on peut supposer que le label PASSI sera un nice to have. Enfin comme d’habitude, la réponse sera jugée selon les critères suivants : prix 90%, bullshit (dont les labels) 10%.

Vous l’aurez compris, le point d’inflexion sera atteint dans les prochains mois. Les prestataires vont-ils jouer le jeu, dans un contexte économique difficile où les marges diminuent sans cesse ? Les administrations vont-elles jouer le jeu, au risque de se faire dépouiller par les mastodontes habituels ? Est-ce qu’un tel label est de nature à conserver la compétence technique en France et stimuler les PME ultra-pointues, comme il en existe quelques-unes en sécurité informatique ?

PASSI vite

Il s’agit d’une vraie question, car autre chose a fondamentalement changé depuis deux ans : tout le monde a compris que la sécurité était un échec. Pas une table ronde, pas une WebTV, pas un éditorial qui ne surfe sur ce concept. Ou plutôt devrais-je dire : « la sécurité informatique défensive » est un échec.

Il y a dix ans, on pouvait faire briller des étoiles dans les yeux d’un jeune sorti d’école en lui proposant un poste de pentester. Aujourd’hui il sourit gentiment en disant « merci mais je préfère aller chez VUPEN ». Un poste de RSSI, n’en parlons même pas.

Même l’ANSSI, qui a jouée les vierges effarouchées tant de fois à SSTIC, a finalement choisi « l’option offensive » : la future Loi de Programmation Militaire s’apprête à en faire le shérif de l’Internet. Quoi de mieux pour attirer les derniers jeunes qui hésitaient encore à quitter leur SSII, sinon que le frisson de la cyber-action ?

En clair, si à 30 ans t’es PASSI, t’as raté ta vie. Ou pas loin.

Conclusion

Pour une fois je vais mouiller la chemise et me lancer dans l’exercice périlleux de la futurologie.

Je pense qu’il y aura des sociétés labellisées PASSI d’ici quelques mois (au mieux). Mais que la prestation de service labellisée restera un marché de niche dans lequel se retrouveront piégées quelques administrations. Et que les prestataires eux-mêmes finiront par jeter l’éponge si les règles sont appliquées de manière trop stricte (comprendre : s’il faut vraiment démontrer une compétence pointue et continue).

Je pense que le seul qui profitera à coup sûr du système sera le vendeur de pioches, comme dans toutes les ruées vers l’or.

Je pense que l’ANSSI n’aura jamais le courage politique de retirer le label à un quelconque acteur majeur du domaine, ce qui aura pour conséquence de dégrader lentement mais irrémédiablement le fondement même de la labellisation comme processus de création de confiance. C'est ce qui se passe actuellement – mais dans une moindre mesure, car il ne s'agit que de produits – avec la CSPN.

Je pense que dans cinq ans, les seuls endroits où se pratiquera encore de manière professionnelle la sécurité informatique en France seront les acteurs de l’offensif (ANSSI, DGSE, DGA … ainsi que quelques privés comme VUPEN). Aucun jeune ne fera l’effort nécessaire pour se mettre à niveau sur les technologies actuelles avec pour seul horizon de piloter une analyse EBIOS ou une matrice de couverture des risques. Le métier d’auditeur en sécurité dans le privé – s’il existe encore – se réduira à l’utilisation d’outils simples tels que pst2ppt (ou l’inverse).

Sur ce, souhaitons que l’ANSSI s’attaque à un chantier encore plus fun : labelliser les RSSI :) Et à demain pour la réunion de lancement du PASSI.


Déni de responsabilité : je ne suis pas prestataire de service, je n’ai aucunement contribué au PASSI (sauf par mes écrits), je ne dispose d’aucun canal d’information en dehors des circuits publics, tous les propos retranscrits dans cet article ont été collectés sous l’emprise de l’alcool, donc certainement faux. Ou pas.