C’est l’été et vous allez/avez acheté des crèmes solaires. Pour vous, pour vos enfants et vous allez regarder les étiquettes et choisir la protection adaptée aux circonstances : SPF 50 et autre.
Mais au fait cet étiquetage a quoi sert-il ? Selon le site internet des autorités, « le facteur de protection solaire (FPS) (…) correspond à l'effet retardant du produit par rapport à l'agression du soleil. Le chiffre correspondant au "facteur de protection solaire (FPS)" permet d’en évaluer l’efficacité. Plus le FPS est élevé et plus l'action de photo-protection est élevée. ». Donc le consommateur est assuré en achetant un produit SPF 50+ d’avoir la protection maximale contre les coups de soleil.
Transposons ceci dans le monde de la sécurité pour un DSI ou RSSI pressé qui n’aurait pas le temps de se plonger dans le Maquis des certifications. Imaginons qu’il souhaite acheter un firewall, un boitier IDS/IPS ou un proxy physique et que celui-ci porte une mention du type FPS XX pour Facteur de Protection et de Sécurité XX (pour conserver le même acronyme !). A la vue d’une simple étiquette notre RSSI saurait donc qu’il achète un niveau de protection défini comme par exemple une résistance de x minutes ou x heures à une tentative d’intrusion. (Comme pour une serrure ou une porte blindée, tiens une autre analogie intéressante mais moins estivale et dont les normes A2P restent encore trop franco françaises).
avant d’étiqueter il faut normaliser
Mais comment établir ces seuils de protection ? C’est bien là que ça se corse car si l’on veut un critère commun il faudrait envisager une mesure qui aurait du sens pour tous les produits. Problème : on ne stresse pas un Firewall de la même façon qu’un Proxy ou qu’un IPS.
Deuxième problème qui fixerait cette norme unique et fédératrice ? Une organisation internationale au minimum européenne voire mondiale. Pour reprendre le cas des produits solaires, la norme de mesure ISO 24444 « fournit une base pour l'évaluation des produits solaires destinés à la protection de la peau humaine ». Cette norme est reconnue un peu partout mais pas aux USA. Ouille.
En matière de sécurité les normes ISO 27001 et 27002 sont des guides de bonnes pratiques plus que des normes mesurant une résistance. Pour la sécurité, la route pourrait être longue avant que tous les éditeurs se mettent d’accord sur une méthodologie de test et une unité de mesure unique !
le jeu en vaut-il la chandelle ?
Les éditeurs seraient-ils tentés de jouer le jeu ? Oui si l’argument de vente marketing du SPF est jugé suffisant, non s’il n’est perçu que comme une contrainte. Dans le second cas, la mise en place d’une norme acceptée partout prendrait sans doute quelques décennies ! Et ensuite, qui réaliserait les tests ? Des organismes indépendants sans doute mais dans le cas de la cosmétique certains producteurs accrédités le font eux même… Il faut donc en plus envisager les méthodes de contrôle des organismes certificateurs. Nous allons avoir du mal à nous en sortir !
après la norme les étiquettes !
Comme pour les produits solaires, n’en déplaise au marketing, il faudra bannir les mentions « écran total » ou « protection totale ». Ces allégations seraient fausses, car aucun produit de sécurité ne saurait garantir une protection 100 % contre les attaques comme aucun produit solaire n’offre une protection totale contre les rayonnements ultraviolets.
Même si en ces périodes estivales l’analogie pourrait être séduisante, il y a encore un long chemin à faire pour espérer un jour avoir une norme unique pour les équipements de sécurité en terme de performance de protection. En plus si cet étiquetage semble envisageable pour le cas des équipements physiques, qu’en est-il du Cloud ? Pour sa peau, il faut se méfier de la sécurité trompeuse offerte par la couverture nuageuse : tout le monde sait que l’on peut bruler même par temps gris. Pour nos cumulonimbus à nous, essayez-donc de coller une étiquette sur un nuage… Bon courage !
conclusion
En attendant d’avoir un étiquetage clair et unique des produits de sécurité, les hyperspécialistes des normes ont de beaux jours devant eux et les bonnes pratiques restent de mise comme dans le cas de la protection solaire : casquette et tee-shirt sont les compagnons indispensables des crèmes solaires !
Bonnes vacances (les lecteurs attentifs auront deviné où je passe les miennes !)
Philippe
crédit photo : © Pixel & Création - Fotolia.com
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.