Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Ingénierie et sécurité de l'information : Autisme ou insconcience ?

Ingénierie et sécurité de l'information : Autisme ou insconcience ?
2009-01-152013-02-11bonnes pratiquesfr
En tant que responsable sécurité vous avez la dure et délicate responsabilité de sécuriser le système d'information interne ainsi que les plateformes de service utilisées pour les services vendus. Hélas, tout n'est pas rose. Et de loin : Les équipes en charge du développement de...
Publié le 15 Janvier 2009 par Jean-François Audenard dans bonnes pratiques

Commençons par poser le décor : Vous travaillez dans une grande entreprise spécialisée dans le domaine des systèmes managés de gestion (genre ERP ou autre truc bien critique).

Vos clients, principalement des grandes entreprises du CAC40 (banques, assurances, industries, ...) ont sélectionné les services de votre entreprise pour ses services performants, à un prix compétitif et une  position de leader sur le marché offrant des gages de confiance et de pérennité sans équivalent (ou presque).

Parmi les enjeux, il y a ceux de la sécurité du système. Certains de vos clients demanderont à regarder sous le capot et d'autres se satisferont d'une déclaration d'intention ou d'une impression générale de qualité acquise au fil des ans. Normal, vous êtes le ou l'un des leaders sur ce type d'application... et c'est bien connu, le leader sait recruter les meilleurs compétences, construire les meilleurs services et proposer les meilleurs garanties.

En tant que responsable sécurité vous avez la dure et délicate responsabilité de sécuriser le système d'information interne ainsi que les plateformes de service utilisées pour les services vendus.

Hélas, tout n'est pas rose. Et de loin : Les équipes en charge du développement de cet ERP sont réticentes à intégrer vos recommandations visant à sécuriser le système.

Creusons un peu le sujet pour savoir jusqu'où peuvent allez les choses. Bienvenue dans le monde des bisounours où tout le monde est gentil et où les incidents n'arrivent qu'aux autres (Wikipédia, Bisounours : Le terme est passé dans le langage courant pour désigner un individu aux idées exagérément naïves ou candides).

Note: 95% du contenu de ce post reflète la réalité : J'ai volontairement omis certains détails (les 5%) pour protéger la vierge et l'innocent. Effectivement, j'ai été amené à rencontrer ce type de situations dans des  contextes divers et variés. Je pense que vous y retrouverez un peu de votre expérience/vécu personnel...

Le top du classique, c’est le responsable de l’ingénierie (ou du développement) ; par ailleurs très compétent dans son métier car maitrisant un panel de technologies très en avance ; qui est hermétique à vos propositions de sécurisation. Pour lui, le système est déjà sécurisé : En effet, c’est redondé. C’est bien le monsieur (ou la madame) en est resté aux enjeux relatifs à la disponibilité et n’a visiblement pas assimilé (ou tenté de) des concepts comme Confidentialité ou encore Intégrité. C’est vrai, un cerveau de responsable moyen gavé aux même technologies durant toute la journée a du mal à s’ouvrir à ne nouvelles notions.

Le jour, et cela arrivera tôt ou tard, ou il se fera trouer son PC personnel et que ses identifiants de banque ou autres informations personnelles seront piratées il fera peut-être l’effort, oh combien compliqué, de comprendre ces notions. Mais j’oubliai son argument préféré : Il ne comprends pas qui serait bien intéressé par son compte bancaire, il y des millions d’internautes, ça tombera forcément sur quelqu’un d’autre et puis ; pour lui tous ces termes barbares que sont les "buffer overflow" ou "attaque via rebond" et "Injections de code" ne veulent rien dire de bien précis : c’est du bullshit marketing sécurité de personnes qui voient le mal partout. Et le bullshit c’est pas bon... faut pas manger, ça rends bête... encore plus bête.

Effectivement, ou il est autiste ou complètement inconscient. Mais comme c’est lui qui est en charge de développer les systèmes qui font font marcher le business, in-fine c’est très souvent lui qui a le dernier mot.

Parmi les arguments, on retrouve (en vrac) : On a pas de ressources ; ca va décaler la roadmap produit ; les composants sont fournis par un tiers on peut pas y toucher ; les systèmes ne sont pas sous Crosoft ; on comprends pas ce que vous racontez ; je ne vois pas pourquoi l’un de nos clients nous attaqueraient ; etc... Oui, c’est vrai, vous êtes un nul en communication et vous avez tout faux avec vos histoires de client qui vous veux du mal.

C’est vrai, vos clients font partie du fleuron des sociétés du CAC40, ce sont des entreprises sérieuses avec des gens sérieux qui ne se posent pas de questions. La preuve ? Elles se chargent de sécuriser leurs propres réseaux donc, comme la plateforme d’ERP est uniquement connectée avec des clients via des liens privés, il n’y a pas lieu de sécuriser la plateforme d’ERP... Démonstration sans faille.

Le top ? C’est qu’il essaye de vous faire comprendre (en le disant avec les formules politiques qui vont bien, c’est beau la rhétorique de conf-call) que faire ce que vous proposez reviendrait à faire preuve d’un manque de discernement et aurait comme conséquence d’affaiblir un système à la base robuste (normal c’est le sien, donc cela ne peut pas être autrement....). Redoutable comme raisonnement. Peut-être vrai sur la disponibilité (un élément de plus dans la chaine) mais à coté de la plaque.

Autre perle: Lors d’une réunion, nous lui présentions les systèmes de sécurité à déployer (on y retrouvait un firewall et un IDS) il a posé la question suivante : C’est quoi un IDS ? Trop top de top pour un responsable en développement logiciel spécialisé dans les grosses plateformes ! C’est vrai, dans 01Net ou autres lectures du genre on ne parle pas d’IDS ou de sondes pour détecter les méchants hackers... Cela sens la (non)-culture informatique générale à plein nez ou alors c’est une mini-provocation lancée afin de tester votre niveau résistance. ;-)

Que faire face à une personne autiste ou inconsciente ?


a) Rester ZEN et continuer... La perséverance vous apportera beaucoup : Vous aurez des hauts et des bas avec des périodes "au fond du trou" et d’autres ou vous savourerez une victoire bien méritée.

b) Adopter la stratégie du crash-test. Inscrivez noir sur blanc son refus de bouger et lancez un test de pénétration... Si vous le test est concluant (ce n’est pas toujours le cas) alors vous aurez les arguments pour renverser la situation en votre faveur. Note: Je rappelle que ce n’est pas par ce qu’un test de pénétration n’est pas successful que le système testé est sécurisé.... Mais c’est un autre débat.

c) Trouvez des compromis : C’est la voie à adopter. Commencez petit, sur des choses simples. Établissez une relation dans le temps et expliquez/transmettez votre savoir aux personnes : Sauf si leur niveau intellectuel est approchant à celui d’un frigo, elles devraient arriver à comprendre ce que vous racontez.

d) En cas d’incident de sécurité, agissez le plus professionnellement afin de montrer à vos détracteurs que vos propositions n’étaient pas dénuées de fondement (Ceci dit, les vrais autistes/inconscients le reste longtemps...donc pas sur qu’ils reconnaissent leurs erreurs)

e) Pétez un câble.. et changez de métier... :-)

Nota: Toute ressemblance avec des situations réelles ou avec des personnes existantes ou ayant existé ne saurait être que fortuite.

2 Commentaires

  • 16 Janvier 2009
    2009-01-16
    par
    Bonjour Vince.
    Vous faites bien de noter le coté très négatif de mon bulletin. Il est vrai qu'à la lecture de celui-ci on pourrait penser que tous les responsables de développement sont à ranger dans la catégorie autistes/inconscients. Cela n'est fort heureusement pas le cas : Certains d'entre-eux ont une vision terrain particulièrement réaliste et savent concilier les compétences de personnes de divers horizons pour le bien commun.
    La situation décrite ici est donc un peu atypique : Elle s'attache à mettre en avant les travers d'un petit nombre de personnes.
    La persuasion ou la négociation ont leurs limites : Surtout lorsque les périmètres de responsabilité sont imprécis ou si des conflits d'intérêts de plus haut niveau rentrent en jeux. Quel est le meilleur point de rattachement d'une direction sécurité : A la DSI ou plutôt à la direction générale ? Même si on peut considérer que la réponse semble assez facile (Direction générale), c'est parfois l'inverse qui est décidé... et alors là, avec la meilleure volonté du monde cela deviens compliqué...
    En vous souhaitant un agréable week-end !
  • 16 Janvier 2009
    2009-01-16
    par
    Vince
    Je vous trouve particulièrement négatif sur les relations entre les responsables de développement et les responsables sécurité.
    Dans la majorité des cas de figure que vous mentionnez, il est bien évident qu'il existe toujours des réticences au changement.
    Malgré tout, lorsque les politiques de sécurité d'entreprise sont bien expliquées et qu'elles ne sont pas faites par des M.I.B ("Men In Black") de la sécurité informatique, elles sont en général mises en oeuvre sans soucis.
    Il est bien entendu évident que vous ne faites pas partie des personnes concernées par cet "autisme ou insconcience" car votre pouvoir de persuasion et votre sens de la négociation vous ont toujours permis de débloquer la situation :)

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage