Dans un monde idéal, tout service devrait être sécurisé « by design » afin d’intégrer par défaut les mesures de sécurité élémentaires pour assurer un premier niveau de sécurité des informations stockées, traitées ou transportées.
De ce que je peux constater, c’est entre trop rarement le cas.
le grand théâtre
Une grande partie des acteurs sont dans le « security theater ». Celles qui ont commencé à mettre en œuvre des démarches de prise en compte de la sécurité dans leurs processus de création de service (genre SDL comme celui de Microsoft) trainent la langue dans les phases de mise en œuvre (c'est-à-dire au-delà des phases amont d’analyse de risque).
Point besoin de jeter la pierre à des personnes en particulier : si la démarche de prise en compte de la sécurité n’est pas globale au sein d’une organisation elle sera peu ou prou vouée à l’échec. La faute est donc commune.
Au milieu de tout cela, les personnes en charge de la sécurité sont souvent prises au milieu d’un jeu d’acteurs qui les laisse un peu pantois… Décryptage :
déni du côté des métiers ou unités d’affaires
Directions métiers et unités d’affaires sont rarement enchantées (c’est le moins que l’on puisse dire) de savoir qu’elles doivent prendre en compte la sécurité dans leur démarche. La grande majorité y rechigne et ce même dans le cas de programmes de certifications pour lesquelles on fait les choses « au plus juste » afin de passer l’audit… et entre deux audits c’est l’encéphalogramme plat du côté des métiers car c’est « back to business as-usual ».
La sécurité c’est l’affaire des personnes de la direction de la sécurité et pas de tout le monde ! Le discours de nombreux vendeurs n’a fondamentalement pas (encore, espérons-le) changé depuis les révélations d’Edward Snowden… C’est surement car il y a marqué NSA sur la boite… qui sait ?
ignorance pour les forces commerciales
Des commerciaux convaincus d’avoir les meilleurs services c’est le nerf de la guerre. Il est donc essentiel de tenir les commerciaux dans un état d’ignorance sur le niveau réel de sécurité. C’est un principe auquel il ne faut pas déroger si on veut que le business tourne du mieux possible.
Afin que la sécurité soit présente dans le discours, il faut rester sur des choses simples et efficaces. Rien de tel que de bons slides réalisés par un département marketing compétent dans l’enfumage : de la « security policy » des « règles de design en amont du cycle de vie des produits et services » et un peu technique histoire d’enfoncer le clou. Certains sont des maîtres dans le domaine.
Ici l’approche clef c’est « se présenter sous son meilleur profil » et ne parler que des choses qui vont bien. Un tel discours « positif » permettra de galvaniser les forces commerciales et de rassurer tout le monde.
La stratégie de communication est souvent axée dans le « mensonge par omission ». Les plus polis (ou politiquement corrects) diront que l’on ne donne à une personne que les informations qui sont susceptibles de l’intéresser. Un commercial n’a donc pas besoin de savoir ce qui ne va pas… 1+1=2
l’emballement pour plus de services de sécurité
La recette est simple : le service ou système n’étant pas sécurisé par défaut, il est nécessaire d’ajouter des services de sécurité pour le sécuriser. Dans un tel contexte, tout le monde s’y retrouve (enfin presque…).
Oui car, d’un côté les unités d’affaires restent sur leur position et peuvent continuer à mettre l’accent sur les fonctionnalités et leur « business as usual ». Et de l’autre, le chiffre d’affaire lié aux activités sécurité se développe…. c’est donc une stratégie « win/win ».
à la fin c’est le client qui trinque
In-fine et dans tous les cas, c’est le client qui en est pour ses frais.
Si le client accepte sans broncher le discours des commerciaux des plus convaincants et convaincus (car ils n’ont connaissance que des aspects positifs) alors il a une vision complètement déformée et inexacte des risques.
S’il décide de passer à la caisse en souscrivant à des services de sécurité complémentaires alors son budget sera amputé d’autant et pour une efficacité douteuse (bâtir sur du sable n’est pas une bonne approche).
Si pas de passage à la caisse alors le client restera dans un « nuage flou » car il aura des idées fausses quant au niveau de sécurité du service… le risque étant que cela lui « pète à la gueule » un jour ou l’autre ! Dans ce genre de situation, ça risque d’éclabousser et la confiance accordée à son fournisseur pourra être perdue voire gravement entachée.
quelle approche défendre ?
Un service Cloud (ou autre) devrait être sécurisé « par défaut » ou « en standard » : il est donc essentiel, critique même de poser les questions à ses fournisseurs pour savoir ce qu’ils font (ou pas) pour sécuriser les données qui leur seront confiées. Utiliser les outils standards pour collecter le plus d’information et en faire un point de passage obligé. La Cloud Control Matrix de la Cloud Security Alliance est un outil particulièrement efficace (faut s’y coller quand même, cela ne va pas se faire tout seul).
Ensuite, inscrire dans le contrat la sécurité ! Trop souvent c’est un point qui est omis… Et si celui-ci est présent, il faut en exercer les clauses et poser les questions, obtenir les informations. Ces demandes doivent être faites par des personnes compétentes dans le domaine de la sécurité et ayant le mordant et le punch qu’il faut.
Qu’en est-il de votre côté ? Est-ce que tout fonctionne normalement ou êtes-vous aussi devant un écran en train de regarder « Sexe, Mensonges et Vidéo » - mais en version sécurité - ?
Jean-François Audenard (aka Jeff)
Crédit photo : © stockyimages - Fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens