Tuesday, April 21, 2015

Untel sécurise mon coffee

Ce matin j'assiste à la RSA Conférence à la présentation du patron de Intel Security ex McAfee qui base son discours sur la promotion des statistiques issues du big data comme le prochain paradigme, le prochain nirvana de la cyber sécurité.
Il fait la comparaison avec le baseball où il y a quelques 10 ans les Oakland Athletics se sont fait connaître et ont failli gagner la compétition grâce un emploi totalement nouveau des statistiques dans leur sport.
Et donc sa thèse consiste à pousser l'idée que nous devrions espérer de tels progrès dans notre métier. Cela me fait penser à tous ces économistes qui pensent qu'on peut mettre l'économie et le monde en chiffres. Dans les deux cas ils oublient de se demander si le domaine qu'ils abordent se prête à la statistique. Et dans les deux cas la réponse est non.
Certes on peut espérer des résultats dans la détection des attaques. Et encore faut-il avoir une idée des modes d’attaque pour chercher avec pertinence. Ce n’est guère de la statistique mais de la recherche dans les masses de données. La statistique n'est qu'un outil elle n'est pas la solution.
Mais ce n'est pas le centre de notre sujet. Si le big data peut aider à la détection, il ne peut en rien aider à la réduction des problèmes en amont.
On oublie encore que les attaquants ne peuvent passer à travers un logiciel que lorsque celui-ci a des bugs et qu'une fois un bug trouvé, son exploitation est systématique. En d'autres mots, le domaine où réside le vrai défi de la sécurité à savoir le développement d'applications et de systèmes sûrs, ne donne aucune prise à la statistique. Et donc annoncer celle-ci comme le prochain âge de la cybersécurite n'est rien d'autre qu'une plaisanterie ridicule.


1 comment:

Gregory RAMIREZ said...

Comme le disait un de mes prof de stats à la fac: "la statistique c'est comme un bikini. Elle montre beaucoup de choses mais cache l'essentiel"