Wednesday, May 29, 2013

ANSSI va la sécurité qu'à la fin...


Dans le MagIT, l’article « BYOD : l’Anssi s’enferme dans l’autisme » est assez vivement critique de la récente prise de position de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) contre les BYOD pour des raisons de sécurité. Cet article est en effet un effroyable recueil des bêtises qui peuvent être prononcées par tant « d’experts » dans ce domaine.

Rappelons que le BYOD – Bring Your Own Device – recouvre cette idée que désormais, il devient de plus en plus intéressant pour les entreprises de laisser leurs employés travailler et se connecter au réseau d’entreprise avec leurs propres machines, que ce soit iPhone, smartphone ou même PC portable. Les employés travaillent sur la machine de leur choix et l’entreprise y gagne en immobilisations et en maintenance.

Le BYOD est l’objet de sérieuses tensions dans le milieu de la sécurité car il remet en cause certains des principes les plus profondément ancrés dans les entreprises en la matière, à savoir que la sécurité passerait par la maîtrise des interfaces avec le monde extérieur. Une machine personnelle qui serait branchée sur le réseau alors qu’elle est plus permissive que les machines officielles fragilise la sécurité de l’entreprise. Une machine « ça va », mais que cela soit généralisé à tout le personnel, ou même simplement aux VIP et aux Génération Y ou Z et l’entreprise risque devenir une passoire virtuelle.

La position de l’ANSSI, objet de l’article, n’est rien de moins que le rejet global du BYOD, sans plus de nuance. D’un point de vue technique, cela se comprend très bien, on l’a vu, c’est cohérent avec le dogme. Mais on comprend facilement que c’est d’une efficacité illusoire car si le sujet fait de nombreuses unes, c’est bien parce que le marché pousse pour imposer peu à peu le BYOD – et on peut parier que comme avant pour les PC portables, le VOIP ou les clés USB, ce sera le marché qui imposera ses vues. Too bad pour l’ANSSI qui se croit encore plus forte que le marché.

Cette logique obtuse est dans la logique habituelle de cet organisme étatique et la lignée de ses ancêtres, les DCSSI et SCSSI avant elle, soit 25 ans d’état isolé face à l’imagination du marché mondial. Un aveu ridicule d’impuissance. Surtout une illustration parfaite de l’incapacité des étatistes à sortir de leur logique, fut-elle erronée par construction même.

Car l’ANSSI et ses prédécesseurs – de même que ses homologues des autres pays, tel le CESG ou le BSI pour ne pas parler de la NSA – sont piégés par leur vocation et leur hypothèse fondatrice. L’agence est supposée assurer la sécurité des systèmes d’information de l’état et repose sur l’idée qu’elle peut émettre des normes, bonnes pratiques et exigences qui, si mises en œuvre par les organes de l’état, assureront cette fameuse sécurité.

Déjà au départ, cela part mal car de plus en plus, tous les systèmes étatiques – du moins civils – reposent sur Internet et les solutions du commerce dont l’agence n’a absolument pas la maîtrise, même en France. Mais là où cela devient franchement comique, c’est que chaque organisme garde son libre arbitre et devant l’arbitrage entre coûts et conformité à l’ANSSI, choisit bien sûr très souvent une conformité au mieux de façade.

Et de plus, on n’hésite pas à acheter les produits du marché, c’est-à-dire les divers Microsoft, IBM et autres HP, tous soumis aux termes du Patriot Act, donc tous à la merci du pouvoir américain. De même, on voit par exemple dans un autre article Jacques Marzin, « DSI de l’état » annoncer  – sans jamais citer l’agence – l’adoption du cloud computing qui est pourtant un autre des cauchemars de l’ANSSI.

Si l’ANSSI dit des bêtises, elle n’est pas pour autant la seule. Dans le même article de référence, un pragmatique mal informé est rapporté affirmer que « nous ne sommes pas assez intelligents pour construire des ordinateurs sûrs ». Comment dire ? Mort de rire. Il s’agit d’un « contre-dogme » qui a tout autant la vie dure mais ne repose sur rien de réel.

Affirmons-le clairement : s’il y a des failles de sécurité dans les systèmes, c’est avant tout – mais pas uniquement – parce que les éditeurs travaillent comme des cochons et laissent quantité de bugs dans leurs produits. Ou plutôt non. C’est parce que les clients préfèrent acheter des logiciels pleins de trous plutôt que d’exiger des logiciels fiables. Ou plutôt non. C’est parce que le marché ne rend pas les éditeurs responsables des conséquences de leur failles.

Imaginez que Adobe ait dû rembourser Bercy des conséquences chiffrées de l’attaque de début 2011 ayant profité d’une faille dans Acrobat Reader. Ou que Microsoft ait à rembourser chaque entreprise victime chaque fois que Windows se laisse infecter par un virus. On peut penser que nous verrions alors rapidement des mises à jour qui auraient des chances d’être les dernières et qui boucheraient toutes les failles, toutes. Il y a bien d’autres aspects, mais le problème de la sécurité informatique est, sous l’angle technique, avant tout un problème de responsabilité mal posée des éditeurs, ce n’est pas un problème « d’intelligence ». Le logiciel sans défaut, c’est possible. Il suffit que les éditeurs y aient intérêt.

Mais cet article ne s’arrête pas là et nous apporte encore une autre superbe bourde. S’agissant des systèmes ou offres de service en détection d’intrusion, le même amuseur public avance que : « si percer mes défenses prend plus de temps que la détection et la réaction réunies, alors je suis protégé ». Quand il s’agit de percer des murs, c’est en effet du bon sens. Mais l’informatique est d’une toute autre nature. Avec les APT (*) cela n’a plus aucun sens, car justement, la détection est extrêmement difficile voire purement accidentelle. Lorsqu’on détecte quelque chose, c’est le plus souvent que le mur est déjà percé depuis longtemps. Notre ami démontre tout simplement son incompréhension de la réalité du sujet.

Par contre, juste après, il marque un point en interrogeant son audience ainsi : « les systèmes de détection des intrusions supervisent l’activité réseau. Mais combien de temps leur faut-il pour détecter une activité suspecte ? Le savez-vous ? » Devant le mutisme général, il enchaîne, un brin provocateur : « mais alors pourquoi les avez-vous déployés ? ».

Il est vrai que beaucoup d’entreprises mettent en place des systèmes de détection, dits SIEM (+), sans trop savoir ce qu’elles peuvent réellement en attendre. Car le paradoxe, c’est que ces systèmes ou services ne servent à rien ou presque si on en attend la seule détection d’attaque, comme on l’a vu. Il ne peuvent être qu’en retard sur les dernières astuces et courir derrière les hackers. Par contre, ils peuvent être un excellent moteur d’amélioration du parc informatique s’ils servent de catalyseur de renforcement de la sécurité des systèmes internes.

Car c’est bien là qu’est l’enjeu. La sécurité périmétrique a vécu, il est désormais incontournable de voir ses systèmes de plus en plus ouverts et donc plus facilement perméables. La seule manière de les sécuriser, c’est de prendre en compte cette réalité, pas de faire de la résistance d’arrière-garde. L’avenir de la sécurité est un avenir où la sécurité des infrastructures sera meilleure mais malgré tout limitée et où les données seront peu à peu sécurisées elles-mêmes.

Et de lire que l’ANSSI ne l’a pas compris puisqu’elle opte pour une position dure : « Aucun salut, donc, dans cette voie, responsables de la sécurité des systèmes d’information et DSI, il faut apprendre à dire non ! » Elle croit encore que la sécurité peut imposer son modèle dépassé aux Directions générales et se permettre de refuser le changement. Vive les étatristes…

Comme le présente le journaliste avec justesse : « … à travers des affirmations catégoriques, l’Anssi apparaît surtout impuissante à sonder et à étudier un marché en pleine effervescence. Avec le risque de compromettre sa propre crédibilité auprès de sa cible… »

Ce serait en fait probablement une bonne nouvelle pour la sécurité des entreprises et des individus. Car peu à peu, les états vont se faire submerger par un Internet toujours plus changeant et la sécurité qui se met en place sera celle qui correspond aux besoins privés, pas à celle qui permet à l’état de nous surveiller.

(*) Advanced Persistent Threat – Attaque Avancée Continue : le type d’attaques par les cyber-malveillants actuels qui sont très furtives et s’oganisent sur plusieurs mois.

(+) SIEM : Security Incident and Event Manager : Système de traitement des incidents et événements de sécurité, système à la base de la surveillance de la sécurité opérationnelle et permettant de détecter les intrusions.