Commençons par les détails (je vous réserve le meilleur pour la fin).
Les sanctions
Voilà un point sur lequel je suis entièrement d'accord: une règle n'est suivie d'effet que s'il existe des sanctions … appliquées (donc édifiantes). N'importe quel parent aura appris "à la dure" cette leçon de terrain.
Le problème ? Après avoir écrit des politiques de sécurité (mais aussi des chartes d'accès Internet et autres documents opposables) en tant que consultant pendant des années, je n'en ai jamais vu aucune appliquée (et encore moins sanctionnée). Le document ne sert que de parapluie juridique. D'ailleurs personne (en dehors de la sécurité) ne l'a jamais lu.
Quelle surprise lorsque je suis amené à travailler avec des partenaires allemands ou anglo-saxons du domaine de la défense, et qu'ils me demandent effectivement de poser une bandelette sur l'objectif de mon téléphone portable (les photographies étant interdites sur à peu près n'importe quel site sensible dans le monde) …
L'autre problème du bâton, c'est qu'il ne fonctionne bien qu'avec la carotte. Or la sécurité "défensive" est actuellement perçue comme essentiellement vexatoire: le RSSI "saute" s'il y a un problème, l'utilisateur doit changer son mot de passe tous les X jours (ce qui est totalement inutile dans les faits), etc. Elle ne procure aucune récompense. A contrario les attaquants n'ont que la pure satisfaction du succès, et ne sont pour ainsi dire jamais punis (puisque jamais attrapés). Dans ces conditions, on comprend qu'ils mettent plus d'ardeur à nous attaquer que nous à nous défendre …
La maturité
Je vous livre cette citation telle quelle: "Pendant longtemps j'ai dit qu'il ne doit pas y avoir de sanction dans le domaine de la sécurité car le niveau de maturité est tel que cela ne sert à rien. Je pense qu'on est en train d'élever ce niveau et cela commence à se savoir qu'il faut faire de la sécurité informatique !".
Voilà enfin une bonne nouvelle ! Les
autorités de certification ne font plus n'importe quoi, les
prestataires labellisés ont été notifiés, l'algorithme
SHA-3 a été sélectionné, bref: que des motifs de satisfaction pour le RSSI qui va enfin pouvoir se consacrer à des tâches plus nobles que de convaincre ses utilisateurs de ne pas tout mettre dans Dropbox, et sa direction générale de ne pas faire suivre leurs emails professionnels sur une adresse @icloud.com !
Les analogies
Un piège classique pourtant: celui de
l'analogie. Mais qui a relu ce discours ?
"Quand vous sortez de chez vous, vous fermez les portes à clé": certes, mais vous changez les serrures tous les 30 jours ? Vous achetez des serrures complexes, en prenant soin de mélanger serrure à goupille, serrure à pompe, et serrure à gorge ? Vous prenez soin de ne pas racheter la même serrure que les 24 modèles précédents quand vous en changez ? Et surtout, à quoi cela sert-il, puisqu'un expert met quelques minutes pour crocheter n'importe quelle serrure ?
La serrurerie est à l'image des mots de passe: un échec. Les gens ferment essentiellement leur porte parce que l'assurance leur impose une serrure certifiée A2P avec au moins 3 points d'ancrage. Mais dès qu'on s'éloigne des grandes villes, les maisons restent ouvertes d'une manière ou d'une autre - le chien de garde étant souvent beaucoup plus efficace qu'une serrure sur un périmètre indéfendable. C'est le bon sens paysan.
"Vos papiers sont triés": bien sûr, mais comment faire lorsque la lettre laisse une trace dans l'enveloppe (le répertoire temporaire) et la poubelle qui l'a contenue ? Et comment faire lorsque le papier doit être photocopié quotidiennement de manière incrémentale, et transporté sur 2 ou 3 autres sites de stockage physique ?
J'arrête là. Il ne faut pas utiliser d'analogie entre le monde "physique" et le monde "numérique". C'est comme imaginer que les anges s'ennuient et voudraient avoir Facebook.
Le guide d'hygiène informatique
Il est
ici (ou
là en version simplifiée sur laquelle je base mon analyse). Mon Dieu! Et je ne parle pas de la mise en page digne de Word 97 (le document a pourtant été produit avec Excel 2010), mais bien du fond.
Dès le 1.1, ça part assez mal: "établir la liste des briques matérielles et logicielles utilisées". Tout simplement impossible: aucun éditeur ne fournit cette information. C'est en passant des semaines à auditer un logiciel qu'on réalise la quantité de frameworks Java imbriqués, ou l'utilisation cachée de toutes les librairies Open Source "classiques": ZLib, OpenSSL, LibPNG, LibFreeType … sans parler des appliances qui sont conçues pour être des boites noires.
Je passe rapidement sur le reste du document qui est à l'avenant ("12 caractères minimum pour les mots de passe", "changer les mots de passe tous les 90 jours", "privilégier une authentification par carte à puce", etc.) pour me concentrer sur l'essentiel: on retrouve dans ce document les principes stratosphériques que tous les consultants refilaient à leurs clients dans les années 90 tout en se gardant bien de proposer une implémentation. Je vous laisse en juger:
4.3. "Surveiller les accès de manière centralisée et permanente."
4.4. "Pour chaque accès Internet, utiliser des passerelles d'interconnexion sécurisée."
15.1. "Désactiver les services applicatifs inutiles."
15.2. "Restreindre les privilèges utilisateurs."
24.6. "Diversifier les technologies utilisées dans la passerelle dans la limite de la maintenabilité du parc."
26. "Eviter l'usage de technologies sans fil (Wifi)."
30. "Ne pas donner aux utilisateurs de privilèges d'administration. Ne faire aucune exception."
34.1. "Ne pas laisser des imprimantes ou photocopieurs multifonctions connectés au réseau dans un couloir."
Si vous voulez un bon conseil de consultant repenti, ne touchez à rien et changez de version de Windows. C'est beaucoup plus efficace que d'essayer de "désactiver les services applicatifs inutiles" ou de "restreindre les privilèges utilisateurs" sur votre Windows XP.
Quant à "surveiller les accès", c'est à peu près ce que tout le monde fait depuis 10 ans. Mais c'est un peu comme la vidéo
surveillanceprotection: tant qu'on ne sait pas ce qu'on cherche, on a un peu du mal à trouver. Enfin on sait déjà que
lequipe.fr est un
watering hole de premier choix pour compromettre la majorité des entreprises françaises entre 9h00 et 11h00: j'attends maintenant le RSSI qui va dire "non".
Je passe pudiquement sur le "utiliser des passerelles sécurisées". Je ne me rappelle pas avoir vu un vendeur de passerelle non "sécurisé par la technologie AES 256 bits approuvée par le NIST" ces dernières années, donc on est tranquille.
Le fond du problème
Bref, ce discours est du pain béni pour un trollblog.
Mais pour identifier le vrai problème de fond, il ne faut pas chercher plus loin que le titre: on ne demande pas au RSSI de dire oui ou non.
Il peut donner son avis éventuellement, voire dissiper beaucoup d'énergie pour retarder un projet, mais la sécurité n'a pour ainsi dire jamais le dernier mot. Sinon la carte vitale 1, le vote par Internet, ou les impôts sans certificat n'existeraient pas.
Le RSSI (dans le privé) a un rôle de conseil, d'évaluation des risques, de préconisation. Il est parfois CIL ou responsable du PCA/PRA. Mais je n'en ai vu aucun pouvoir interdire à quiconque d'utiliser un iPad. Surtout dans une entreprise moderne, où la mobilité est un atout pour compresser le temps (et donc les coûts), et où la majorité des intervenants sont des sous-traitants dont la cuisine interne échappe complètement au RSSI "maison" - en dehors du traditionnel contrat, qui indique parfois que l'intervenant doit être "sécurisé" (sans fixer aucune exigence ni aucune sanction d'ailleurs).
Comme "il n'est pas de problème qu'une absence de solution ne puisse résoudre", la messe est dite: le RSSI ne dira pas non. Ca n'est pas une question d'oser. C'est qu'on ne lui pose pas la question.
Conclusion (TL;DR)
La conclusion du discours est toujours la même:
l'ANSSI recrute ("des candidats de valeur qui n'ont pas trop besoin de sommeil" - si si c'est marqué dans le
discours officiel). D'ailleurs c'est le bon moment pour ceux qui veulent se planquer pendant la crise: j'ai entendu dire que les critères d'acceptation avaient baissé.
En ce qui concerne le
challenge (dont le discours parle également), je crois que tout le monde a arrêté. Bien sûr, quand on prend 1 an pour rédiger un rapport en LaTeX, on peut bien trouver 6 mois pour faire des
challenges (défis en français). Mais après il faut trouver des copains qui veulent bien jouer.
Sur ce, j'aurais aimé conclure proprement, mais il est tard donc je laisse le mot de la fin
à Twitter (
source).
Mise à jour du 4 octobre 13:15: correction de typos (merci aux relecteurs)