Vous avez dit assurance informatique ?

Le plus ancien club français en matière de sécurité informatique, le CLUSIF, fut à l’origine, dans les années 80, monté par des assureurs. Au passage, la méthode Marion a longtemps été « la » méthode d’analyse des risques, issue de cette perspective (Méthode d’Analyse des Risques Informatiques Organisés par Niveaux).

La question, celle de l’intérêt pour l’assurance du risque informatique, n’est donc pas récente. Pourtant, quelques 30 ans plus tard, on ne peut pas dire que les assurances aient inondé le marché de la sécurité informatique, qui se caractérise plutôt par de nombreux produits, des services ‘techniques’ et beaucoup de conseil. Voilà que l’article en référence revient sur le sujet en conjecturant que « La multiplication des incidents de sécurité et l’évolution attendue de la réglementation européenne sur leur divulgation, ainsi que sur les peines liées aux fuites de données personnelles, pourraient faire décoller, sur le Vieux Continent, le marché de l’assurance du risque informatique. »

L’article tourne en rond et s’appuie principalement sur l’idée suivante : « Un retard imputable notamment à l’absence, en Europe, de contraintes légales aussi fortes qu’aux Etats-Unis, avec des lois qui forcent les entreprises, souvent avec un coût considérable, à informer les personnes lorsque leurs données personnelles ont été compromises. »

Autrement dit, vu d’un point de vue d’assureur, il n’est que temps que des règlementations se mettent en place pour enfin imposer l’assurance comme un moyen de faire face aux risques de sanction ou amendes sur des sujets comme le respect de la protection des données personnelles.

Mais ce que ne dit pas l’article, il s’en garde bien, c’est de souligner l’aveu d’impuissance et même d’illusionnisme que font ainsi ces mêmes assureurs par ce biais. Et je généraliserai, la preuve que l’assurance dans le domaine informatique n’a, sauf quelques cas très spécifiques, tout simplement aucun sens réel ni aucune valeur tangible.

Selon Wikipedia, « Les conditions permettant l'assurabilité d'une chose sont l'aléa, c'est-à-dire l'imprévisibilité d'un événement dommageable en tant que tel ou d'une de ses caractéristiques (ex : date du décès), l'indépendance de la volonté de l'assuré (ex : divorce), le caractère licite de l'évènement (ex : impossibilité d'assurer les conséquences d'une condamnation pénale ou d'amendes). » Mettons de côté l’aspect licite, qui n’est pas technique mais relève de l’arbitraire législatif, et concentrons-nous sur l’aléa « imprévisible » et l’indépendance de la volonté.

De manière générale, la question de l’assurance informatique consiste à assurer les dommages subis à la suite d’un incident accidentel ou involontaire, tel une panne ou un piratage, ce qui correspond bien à la définition de Wikipedia.

Toutefois, même pour une panne, et ceci que ce soit en informatique ou dans tout autre domaine, un assureur n’accepte de s’engager que s’il constate que suffisamment de mesures sont en place pour rendre et la panne improbable et surtout les dégâts aussi limités que possible. La dimension volontaire n’est donc pas si « oubliée » que la définition l’induit.

Or cette définition assimile l’accident et la panne au piratage, certes involontaire, mais qui désormais n’a plus rien d’aléatoire, justement : le piratage est depuis longtemps passé d’un phénomène suffisamment erratique pour être vu comme aléatoire à un phénomène industriel et organisé dont tout le monde est victime ou du moins la cible à terme. Ne pas considérer le piratage lors de la conception ou l’exploitation d’un système informatique professionnel n’est autre désormais que de l’amateurisme ou de la plaisanterie.

La difficulté du sujet vient du fait qu’à la fois la prévention (faire en sorte que ni panne ni piratage n’ait lieu) et la limitation des conséquences (faire en sorte que les dégâts soient aussi limités que possible) est entre les main du candidat à l’assurance et constitue en fait un aléa en soit. Même si les mêmes technologies se retrouvent d’une entreprise à l’autre, elles s’organisent chaque fois différemment, sont configurées spécifiquement et manipulent des données propres. Allez m’expliquer que tout cela relève de l’involontaire.

Savoir si un système est perméable, peut facilement le devenir, et qu’en cas d’événement indésirable les mesures et procédures sont en place pour y faire face vite et bien relève d’une expertise de très haut niveau. Alan Turing dirait même que c’est tout simplement indécidable, et en effet, sous l’angle théorique, on ne peut trouver de méthode générale pour formuler la probabilité du risque ni son ampleur. Il ne peut tout simplement pas en exister.

Ou plutôt si : la seule qui ait un sens c’est que le piratage est certain et l’ampleur du dommage est de l’ordre de plusieurs jours d’indisponibilité de l’informatique, ce qui peut impliquer environ une semaine de chiffre d’affaires. Que celui qui sait faire vraiment mieux lève le doigt ! On en revient alors à une simple assurance d’exploitation comme il s’en pratique dans l’industrie, mais sans rapport avec les particularités de l’informatique.

Certains assureurs croient s’en sortir en assortissant leur contrat d’exigences de mise en œuvre des « meilleures pratiques » par leurs clients, pratiques supposées rendre le risque de piratage aléatoire et les dégâts limités. C’est ne pas voir que les systèmes sont garnis de failles grâce aux éditeurs rendus irresponsables et qu’il s’ensuit que les pirates trouvent constamment de nouveaux moyens d’entrer, malgré les meilleures pratiques. De plus, les meilleures pratiques s’émoussent avec le temps, font l’objet d’exceptions et deviennent « moins meilleures » chaque jour.

Enfin, dans certains secteurs, l’estimation des conséquences chiffrées d’une attaque sont une gageure. Si un industriel automobile se fait dérober les plans de son prochain modèle, perd-il pour autant tout ce futur marché ? Ou juste une part ? Probablement pas, mais s’il perd aussi les plans de production, c’est évidemment plus grave. Et comme on ne sait jamais que très difficilement ce qu’un pirate a pu exfiltrer, comment estimer les dégâts les plus probables pour s’assurer ? Nous sommes dans le domaine de la propriété intellectuelle et du virtuel, hautement non-évaluable.

On voit donc que l’assurance informatique ne peut guère dépasser l’approche assez primitive de la perte supposée d’exploitation, conditionnée à la mise en œuvre de pratiques et donc fort coûteuse. Le risque étant très fort pour ne pas dire certain, les primes ne peuvent que suivre et cela pose donc la question de l’efficacité de ce type de mesures, ce qui renvoie à l’article et à notre introduction.

On comprend donc que les assureurs, qui cherchent depuis des années à investir ce marché toujours croissant du risque informatique et qui pourtant leur résiste, souhaitent voir le législateur rendre leurs services obligatoires là où la réalité et le marché ne leur sont pas favorables. Encore une fois, la règle fonctionne : si des offreurs se sentent obligés de souhaiter l’intervention de l’état sur leur marché, c’est que leurs services sont soit inutiles soit peu performants. Notre exemple des assureurs informatiques ne fait pas exception.

Cyber Mercantilisme

Fin avril, l’article en référence fait état du rachat de l’éditeur Arkoon par Cassidian, la branche « cyber » du groupe EADS.

Cet article est une magnifique illustration des délires étatistes actuels, français ou pas d’ailleurs, en matière de protectionnisme et de big-brotherisation, selon différents aspect, en plus. On mettra de côté, comme le fait implicitement le journaliste, la réalité qui veut que EADS soit une entreprise, et une entreprise de siège néerlandais et non français – nous sommes dans le détail, là, n’est-ce pas ?

Trois extraits sont spécialement croustillants. Le premier exprime, de la bouche d’une femme affichant pourtant style et prénom tout à l’opposé de l’image totalitarisante, la caricature habituelle de l’état se mêlant de ce qui ne le regarde pas :

« Fleur Pellerin ne voit probablement pas l’opération d’un mauvais œil. La ministre de l’Economie numérique avait exprimé, à l’occasion du Forum International de la Cybersécurité (FIC), qui se déroulait à Lille fin janvier, son souhait de voir « la cybersécurité se structurer davantage ». Pour elle, « la France souffre d’une absence de véritable politique industrielle dans ce domaine », du fait notamment d’acteurs « trop dispersés ». »

Ainsi revient le Nessie de la politique industrielle, cheval de bataille sans substance qui nous a donné le France, la sidérurgie dilapidée et en matière informatique, un exemple comme Bull qui n’en finit pas depuis 30 ans d’être le fer de lance en devenir de cette ambition qui ne finit jamais plus loin qu’un vague couteau en plastique. Les acteurs seraient donc dispersés, en clair on aime les PME, mais les PME c’est trop compliqué de les suivre pour les contrôler, donc on préfère les grosses boîtes bien big-brotherisables.

On ne va surtout pas jouer le libre-marché et l’innovations qui pourraient in fine développer notre savoir-faire par le simple jeu des PME. Trop incontrôlables. Et si une de ces jeunes-pousses devait trouver une technologie que l’état ne saurait pas maîtriser et détourner ? Car  c’est bien de cela qu’il s’agit, hélas. On critique les Facebook, Google et autres Apple qui auraient eu à collaborer avec les autorités outre-atlantiques, mais que croyez-vous qu’il advient de nos Thales-rien-de-nouveau ?

Là où la politique industrielle prend forme, c’est un peu plus loin dans l’article où la collusion entre les entreprises élues et Léviathan s’exprime sans voile et avec toute l’hypocrisie de circonstance (fautes garanties d’origine) :

« Dans un communiqué, Arkoon et Cassidian soulignent la dimension stratégiqu» de leur rapprochement, dans une perspective de « développement du tissu industriel européen de produits et solutions de cybersécurité », avec notamment la constitution d’une offre qui servira de « base solide pour assurer la sécurité des réseaux informatiques des gouvernements, des infrastructures critiques et des industries stratégiques. » Dans ce même communiqué, Jean-Michel Orozco, président de Cassidian CyberSecurity, souligne une volonté de faire « émerger un industriel d’envergure internationale, fournisseur de solutions européennes de confiance nécessaires à la sécurité des systèmes d’information. »

Oser afficher qu’une offre privée pourra être la base solide des systèmes des gouvernements, ce n’est rien d’autre qu’un aveu que la mise en concurrence de rigueur n’est qu’un mythe et que le délit de faciès se pratique couramment dans le milieu des affaires étatiques. C’est avouer que les marchés sont a priori et d’avance réservés à ces entreprises, indépendamment des qualités réelles de leurs offres ou de celles de leurs concurrents.

Le concept de solution de confiance « nécessaires à la sécurité » mérite une autre splendide tarte à la crème comme cliché de ce milieu. Car s’il est peu discutable que les systèmes étatiques aient besoin d’être sécurisés, ne serait-ce que pour protéger les données individuelles des divers pans de l’état lui-même. Mais en vertu de quel principe les solutions de EADS mériteraient-elles ce qualificatif de « nécessaires » ? Comment peut-on exclure a priori que la concurrence se saurait être encore plus  performante et donc « nécessaire » ? Bel exemple de copinage et de pratiques louches à moitié avoué.

Enfin, le verbiage jargonnesque qui suit vaut son pesant de cacahuètes quant à la philosophie qu’il exprime. Rappelons que les « APT » sont en réalité les piratages de longue haleine menés par les cyber-professionnels, NSA et Chine en tête. Mais justement, il s’agit de dire à la fois que EADS compte ainsi disposer des expertises pour répondre ou déjouer les APT de ces « vilains » (tiens, ils avaient donc besoin de renforts ?) et qu’ils comptent bien s’organiser pour mener eux aussi les mêmes espionnages envers les honorables entreprises chinoises ou amères loques.

« Surtout, pour le président de Cassidian CyberSecurity, cette opération doit permettre de construire une base de recherche et développement unique disposant de la masse critique nécessaire pour « rivaliser avec nos concurrents américains » et dégager les moyens « d’investir dans de nouvelles générations de produits répondant aux besoins des marchés de la défense, des gouvernements, et des opérateurs d’infrastructures d’intérêt vital », des cibles de menaces avancées persistantes (APT), rappelle-t-il. Une logique que confirme Thierry Rouquet : pour lui, les redondances existent, mais en rapprochant deux acteurs d’une certaine taille en France, mais « petits » en Europe et surtout dans le monde, Cassidian a vu une opportunité de « créer un leader européen ».  »

On comprend ainsi, avec ces trois travers qui s’expriment dans le même article – protectionnisme et mercantilisme français, collusion et copinage ostensible des acteurs dits privés et aveu d’hacktivisme professionnel – que le discours mielleux de façade cache une réalité qui est loin d’être motivée par l’intérêt de garder sa neutralité au Net et leur intimité aux français internautes-moyens. Une fois de plus, l’exemple l’illustre à merveille : l’étatisme pourrit tout ce qu’il touche.

Le droit dit "informatique"

Les nombreux cas récents d’attaques de grande ampleur sur internet ces derniers mois sont l’occasion de remettre en perspective la réalité du droit dit numérique.

Commençons par quelques observations, simplement destinées à alerter la vigilance du lecteur :

• Beaucoup de pays n’ont pas de droit numérique, mais ne semblent pas en souffrir particulièrement
• Les divers droits numériques existant sont rarement compatibles entre eux
• Certaines lois semblent souvent en décalage avec la réalité technologique – CNIL, HADOPI
• Le droit informatique en usage est souvent issu de lois arbitraires plus que le fruit des pratiques des entreprises
• Les principaux risques (cyber-sécurité) ne font pas l’objet de lois ni ne disposent de police au sens classique

Mais revenons au droit. D’où vient le droit ? A l’origine, le besoin de droit est la réponse sélectionnée par les âges au besoin d’organisation de la société humaine autour de la liberté et de l’initiative individuelle. Le « droit naturel » est ce droit minimal qui permet à la société de fonctionner, à toute société, où qu’elle soit et quelle qu’en soit l’époque.

Le droit naturel repose sur deux principes simples, celui de non-agression et celui de propriété individuelle : chacun a droit de posséder sa personne et ce qu’il a valablement acquis et personne ne saurait l’agresser ni attenter à sa propriété sans subir de sanction légitime proportionnelle. La propriété est un mécanisme de droit minimal universel qui permet de régler et réguler le conflit d’accès aux ressources et la non-agression assure – ou du moins favorise – des relations pacifiques et policées.

On remarquera tout d’abord que les états, que Max Weber caractérisait comme les monopoles de la violence physique sur un territoire donné, ont altéré pratiquement partout le droit naturel via la législation. Les droits dits positifs, c’est-à-dire les lois votées dans les différents pays, se sont ajoutés, empilés par-dessus le droit naturel avec le temps. C’est notamment le cas des lois qui ont vu le jour ces derniers 40 ans pour soi-disant venir combler le vide juridique du réseau des réseaux.

Pour beaucoup, les états se sont déjà engagés sur la même voie dans cet espace « virtuel » très particulier du Net. A titre d’exemple, mais on pourrait en donner de nombreux autres, la France dispose de la CNIL depuis 1978 alors qu’il n’existe aucun texte équivalent pour l’espace « réel ». Nous verrons qu’il n’y a dans ces approches que maldonne et confusion.

Car qu’en est-il dans le cas d’internet ? Le même droit naturel s’applique-t-il ? Avec des conditions particulières ? Ou bien doit-on imaginer un droit totalement différent ? Et si droit différent, quel peut-être le rôle des états ?

Constatons qu’Internet est comme l’espace réel, un espace où les hommes peuvent se rencontrer et discuter et échanger librement. Evidemment, les notions de distance tombent, on peut y discuter et convenir d’affaires avec la Terre entière à tout moment, mais cela ne change pas la nature de la relation. Internet ne connaît donc pas de frontière. Certes, les machines peuvent être ici ou là-bas, mais comme elles pourraient être ailleurs. La réalité technique de la discussion par Internet n’a pas d’impact sur la réalité humaine qui est toute simple : deux personnes discutent librement et conviennent d’une transaction.

On comprend déjà ce qui est une évidence : l’Internet ne laissant pas place aux frontières, les états qui ne se distinguent que par le territoire n’y ont tous simplement pas leur place. Bien sûr, ils tentent de contourner la question en légiférant via les moyens informatiques (si le serveur est en France alors la transaction est faite de France) mais c’est en réalité acculé à échouer dans la mesure où la technologie et en particulier la virtualisation et le Cloud chamboulent tous les modèles d’architecture supposés par les textes.

Seconde différence, majeure celle-ci, les ressources informatiques ne sont pas rares. Au sens où pour la plupart, il n’est pas possible de voler données et informations. Un fichier de données commerciales, s’il est copié, n’est pas perdu pour son « propriétaire », même si sa communication à la concurrence peut être très dommageable. De même, si se procurer le compte et le mot de passe de quelqu’un d’autre ne prive cette personne de rien, les conséquences peuvent être énormes, allant jusqu’à l’usurpation criminelle d’identité. La notion de vol et de conflit d’accès aux ressources n’a pas du tout la même réalité en informatique que dans le monde réel.

La non-agression reste valable, mais la réalité même des relations entre individus est différente. Sur le net, on peut s’écrire, se parler, se voir, mais on ne peut pas se toucher. La violence peut être au pire verbale, mais ne peut pas avoir d’autre réalité.

On voit déjà combien les deux mondes diffèrent et donc combien l’application du droit ‘classique’ au sein du Réseau est forcément peu pertinente. Pour compléter, il faut souligner de plus que la nature des interactions possibles entre hommes en informatique subit une limite essentielle et trop souvent oubliée. Les types d’échange et de relation qu’il est possible d’avoir en informatique ne peuvent jamais être plus que ce que l’informatique propose. C’est le logiciel qui impose le type de relation. Les parties prenantes peuvent avoir toute l’imagination du monde, elles ne pourront interagir qu’au sein des fonctionnalités offertes par le logiciel utilisé. L’importance de ce point est capitale en matière de responsabilité, car in fine c’est la responsabilité de l’éditeur, du créateur du logiciel qu’établie une relation humaine qui soit une relation compatible avec le droit.

Car quand on se pose toutes ces questions de droit informatique et de droit appliqué au sein de l’informatique, on oublie un point fondamental : l’informatique n’est qu’une technologie, elle n’est qu’un outil. Il n’y a donc en réalité pas de vie dans le Net, mais il y une vie avec le Net. Le droit informatique n’a tout simplement pas de sens, car Internet, Facebook, Google, MS Word et autres SAP ne sont pas des mondes mais de simples outils offrant des services aux hommes, dont certains peuvent affecter leur interrelations, mais ne peut pas les déterminer.

J’entends déjà les réactions de tous les partisans du droit Internet : mais comment, on ne peut pas nier que les pirates et autres hackers pénètrent illégalement dans les systèmes et y dérobent des document précieux contre le gré des entreprises ou des privés. Mon analyse est en effet différente : je ne nie pas le piratage dans son acte, mais par contre je nie l’analyse classique qui en est faite en matière de droit. Et j’en tire donc des conséquences très différentes.

Dans le scénario classique du méchant petit chinois – ou agent de la NSA – qui abuse des failles de mon système pour y entrer et en extrait des informations précieuses, il faut revenir à une analyse sous l’angle du droit naturel pour mieux comprendre les enjeux en présence : Quels sont les acteurs en présence ? Et quels sont les droits de propriété ?

Il y a le chinois, il y a moi, il peut y avoir mon prestataire informatique. Ce dernier est anecdotique, il agit en mon nom donc sa responsabilité se confond en général dans la mienne. Mais souvent on oublie qu’il y a aussi les éditeurs des logiciels composant mon système informatique. En matière de propriété, il y a le système informatique dans sa réalité physique. Et c’est tout. Les données qui sont stockées dans le système n’ont pas de réalité, elle n’existe que via le système lui-même. Les informations ou données ne font pas l’objet de droit de propriété puisqu’immatérielles, elles ne donnent lieu à aucun conflit d’accès.

Sur ce dernier point, il est évident que l’information peut être précieuse et nécessiter protection. Je dis juste, j’affirme, que selon la logique libérale du droit naturel, ce n’est pas le droit de propriété qui peut servir de mécanisme pour cette protection. On y reviendra bien sûr.

Lorsque le chinois tente de se connecter ou pénétrer mon système, quatre choses et quatre choses seulement peuvent se passer :

• Il échoue et l’histoire s’arrête là. Mais personne n’a rien perdu, il n’y a aucun crime de commis.
• Il réussit parce qu’il a trouvé ou pu se procurer l’identité d’un utilisateur légitime.
• Il réussit parce qu’il a pu exploiter une faille, une vulnérabilité du logiciel ou système.
• Il réussit parce que la machine concernée n’était pas spécialement sécurisée et « ouverte à tout va ».

Il faut bien voir que dans le dernier cas, je suis le premier responsable, avant même le chinois. Car dans la mesure où je prends pas la peine de configurer mon système pour que ses frontières soient fermement définies, comment puis-je me plaindre de voir ma propriété mal définie et donc non protégeable ? Mais le second cas est analogue : il revient à laisser traîner les clés de sa maison et s’étonner que quelqu’un les trouve et entre. L’acte est intrusif, certes, mais le signal est donné que ma propriété n’est pas tant d’importance pour moi.

Mais c’est l’avant-dernier cas qui à mon sens est trop souvent mal interprété. Car dans ce cas, c’est avant tout l’éditeur qui est responsable et devrait payer les conséquences de toute intrusion. Or nous sommes désormais dans un monde où les éditeurs ont réussi à faire croire qu’il est normal de livrer du logiciel comportant des failles et vulnérabilités, alors qu’il n’y a là aucune logique ni aucune fatalité. Il est au contraire tout à fait anormal que les éditeurs limitent leur responsabilité dans ce cas : s’ils étaient responsables des conséquences de leurs failles, la probabilité est grande que très vite plus aucun logiciel ne serait livré avec faille (au singulier).

Si une fois dans la place le chinois trouve et copie des choses, à qui la faute ? La sienne, certes. Mais avant tout la mienne. Car à nouveau, si les données qui naviguent dans nos systèmes sont si stratégiques et précieuses que cela, comment peut-on simplement ne pas veiller à ce qu’elles soient protégées et re-protégées ? La facilité avec laquelle le chinois se promène dans mon système et y trouve des choses d’intérêt est donc directement proportionnelle à ma négligence à sécuriser ce qui aurait dû l’être – cela dans l’esprit généralisé des quatre cas précédents, applicables en interne tout pareil. Le chinois abuse, mais l’attaqué néglige de protéger sa propriété.

En conclusion, on voit qu’il n’est pas besoin d’aller chercher un droit informatique incertain, le droit naturel permet de mettre le doigt sur les véritables responsabilités engagées lors d’une « cyber-attaque ». Mais une telle analyse, au lieu de jeter l’opprobre sur le seul méchant chinois cyber-pirate, montre au contraire que les premières responsabilités et négligences sont du côté des éditeurs et des informaticiens en charge de la robustesse des systèmes. Alors comme forcément ça gêne, il est plus facile de crier au voleur.

ANSSI va la sécurité qu'à la fin...

Dans le MagIT, l’article « BYOD : l’Anssi s’enferme dans l’autisme » est assez vivement critique de la récente prise de position de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) contre les BYOD pour des raisons de sécurité. Cet article est en effet un effroyable recueil des bêtises qui peuvent être prononcées par tant « d’experts » dans ce domaine.

Rappelons que le BYOD – Bring Your Own Device – recouvre cette idée que désormais, il devient de plus en plus intéressant pour les entreprises de laisser leurs employés travailler et se connecter au réseau d’entreprise avec leurs propres machines, que ce soit iPhone, smartphone ou même PC portable. Les employés travaillent sur la machine de leur choix et l’entreprise y gagne en immobilisations et en maintenance.

Le BYOD est l’objet de sérieuses tensions dans le milieu de la sécurité car il remet en cause certains des principes les plus profondément ancrés dans les entreprises en la matière, à savoir que la sécurité passerait par la maîtrise des interfaces avec le monde extérieur. Une machine personnelle qui serait branchée sur le réseau alors qu’elle est plus permissive que les machines officielles fragilise la sécurité de l’entreprise. Une machine « ça va », mais que cela soit généralisé à tout le personnel, ou même simplement aux VIP et aux Génération Y ou Z et l’entreprise risque devenir une passoire virtuelle.

La position de l’ANSSI, objet de l’article, n’est rien de moins que le rejet global du BYOD, sans plus de nuance. D’un point de vue technique, cela se comprend très bien, on l’a vu, c’est cohérent avec le dogme. Mais on comprend facilement que c’est d’une efficacité illusoire car si le sujet fait de nombreuses unes, c’est bien parce que le marché pousse pour imposer peu à peu le BYOD – et on peut parier que comme avant pour les PC portables, le VOIP ou les clés USB, ce sera le marché qui imposera ses vues. Too bad pour l’ANSSI qui se croit encore plus forte que le marché.

Cette logique obtuse est dans la logique habituelle de cet organisme étatique et la lignée de ses ancêtres, les DCSSI et SCSSI avant elle, soit 25 ans d’état isolé face à l’imagination du marché mondial. Un aveu ridicule d’impuissance. Surtout une illustration parfaite de l’incapacité des étatistes à sortir de leur logique, fut-elle erronée par construction même.

Car l’ANSSI et ses prédécesseurs – de même que ses homologues des autres pays, tel le CESG ou le BSI pour ne pas parler de la NSA – sont piégés par leur vocation et leur hypothèse fondatrice. L’agence est supposée assurer la sécurité des systèmes d’information de l’état et repose sur l’idée qu’elle peut émettre des normes, bonnes pratiques et exigences qui, si mises en œuvre par les organes de l’état, assureront cette fameuse sécurité.

Déjà au départ, cela part mal car de plus en plus, tous les systèmes étatiques – du moins civils – reposent sur Internet et les solutions du commerce dont l’agence n’a absolument pas la maîtrise, même en France. Mais là où cela devient franchement comique, c’est que chaque organisme garde son libre arbitre et devant l’arbitrage entre coûts et conformité à l’ANSSI, choisit bien sûr très souvent une conformité au mieux de façade.

Et de plus, on n’hésite pas à acheter les produits du marché, c’est-à-dire les divers Microsoft, IBM et autres HP, tous soumis aux termes du Patriot Act, donc tous à la merci du pouvoir américain. De même, on voit par exemple dans un autre article Jacques Marzin, « DSI de l’état » annoncer  – sans jamais citer l’agence – l’adoption du cloud computing qui est pourtant un autre des cauchemars de l’ANSSI.

Si l’ANSSI dit des bêtises, elle n’est pas pour autant la seule. Dans le même article de référence, un pragmatique mal informé est rapporté affirmer que « nous ne sommes pas assez intelligents pour construire des ordinateurs sûrs ». Comment dire ? Mort de rire. Il s’agit d’un « contre-dogme » qui a tout autant la vie dure mais ne repose sur rien de réel.

Affirmons-le clairement : s’il y a des failles de sécurité dans les systèmes, c’est avant tout – mais pas uniquement – parce que les éditeurs travaillent comme des cochons et laissent quantité de bugs dans leurs produits. Ou plutôt non. C’est parce que les clients préfèrent acheter des logiciels pleins de trous plutôt que d’exiger des logiciels fiables. Ou plutôt non. C’est parce que le marché ne rend pas les éditeurs responsables des conséquences de leur failles.

Imaginez que Adobe ait dû rembourser Bercy des conséquences chiffrées de l’attaque de début 2011 ayant profité d’une faille dans Acrobat Reader. Ou que Microsoft ait à rembourser chaque entreprise victime chaque fois que Windows se laisse infecter par un virus. On peut penser que nous verrions alors rapidement des mises à jour qui auraient des chances d’être les dernières et qui boucheraient toutes les failles, toutes. Il y a bien d’autres aspects, mais le problème de la sécurité informatique est, sous l’angle technique, avant tout un problème de responsabilité mal posée des éditeurs, ce n’est pas un problème « d’intelligence ». Le logiciel sans défaut, c’est possible. Il suffit que les éditeurs y aient intérêt.

Mais cet article ne s’arrête pas là et nous apporte encore une autre superbe bourde. S’agissant des systèmes ou offres de service en détection d’intrusion, le même amuseur public avance que : « si percer mes défenses prend plus de temps que la détection et la réaction réunies, alors je suis protégé ». Quand il s’agit de percer des murs, c’est en effet du bon sens. Mais l’informatique est d’une toute autre nature. Avec les APT (*) cela n’a plus aucun sens, car justement, la détection est extrêmement difficile voire purement accidentelle. Lorsqu’on détecte quelque chose, c’est le plus souvent que le mur est déjà percé depuis longtemps. Notre ami démontre tout simplement son incompréhension de la réalité du sujet.

Par contre, juste après, il marque un point en interrogeant son audience ainsi : « les systèmes de détection des intrusions supervisent l’activité réseau. Mais combien de temps leur faut-il pour détecter une activité suspecte ? Le savez-vous ? » Devant le mutisme général, il enchaîne, un brin provocateur : « mais alors pourquoi les avez-vous déployés ? ».

Il est vrai que beaucoup d’entreprises mettent en place des systèmes de détection, dits SIEM (+), sans trop savoir ce qu’elles peuvent réellement en attendre. Car le paradoxe, c’est que ces systèmes ou services ne servent à rien ou presque si on en attend la seule détection d’attaque, comme on l’a vu. Il ne peuvent être qu’en retard sur les dernières astuces et courir derrière les hackers. Par contre, ils peuvent être un excellent moteur d’amélioration du parc informatique s’ils servent de catalyseur de renforcement de la sécurité des systèmes internes.

Car c’est bien là qu’est l’enjeu. La sécurité périmétrique a vécu, il est désormais incontournable de voir ses systèmes de plus en plus ouverts et donc plus facilement perméables. La seule manière de les sécuriser, c’est de prendre en compte cette réalité, pas de faire de la résistance d’arrière-garde. L’avenir de la sécurité est un avenir où la sécurité des infrastructures sera meilleure mais malgré tout limitée et où les données seront peu à peu sécurisées elles-mêmes.

Et de lire que l’ANSSI ne l’a pas compris puisqu’elle opte pour une position dure : « Aucun salut, donc, dans cette voie, responsables de la sécurité des systèmes d’information et DSI, il faut apprendre à dire non ! » Elle croit encore que la sécurité peut imposer son modèle dépassé aux Directions générales et se permettre de refuser le changement. Vive les étatristes…

Comme le présente le journaliste avec justesse : « … à travers des affirmations catégoriques, l’Anssi apparaît surtout impuissante à sonder et à étudier un marché en pleine effervescence. Avec le risque de compromettre sa propre crédibilité auprès de sa cible… »

Ce serait en fait probablement une bonne nouvelle pour la sécurité des entreprises et des individus. Car peu à peu, les états vont se faire submerger par un Internet toujours plus changeant et la sécurité qui se met en place sera celle qui correspond aux besoins privés, pas à celle qui permet à l’état de nous surveiller.

(*) Advanced Persistent Threat – Attaque Avancée Continue : le type d’attaques par les cyber-malveillants actuels qui sont très furtives et s’oganisent sur plusieurs mois.

(+) SIEM : Security Incident and Event Manager : Système de traitement des incidents et événements de sécurité, système à la base de la surveillance de la sécurité opérationnelle et permettant de détecter les intrusions.

Articles pour l'UDL

Juste la liste de mes articles publiees pour l'UDL (Union des Liberaux Francophones) :

1. Maturite des Liberaux
2. En réponse à "Un Etat fort avec une économie saine"
3. 1001 commissions
4. Hoppe: Du conservatisme et du libertarianisme (trois parties)
5. Une lecture de l'Université d'Automne du PLD
6. UMP: Définitivement anti-libérale !

Articles publiés sur Contrepoints

Juste une liste des articles que j'ai pu commettre dans le webzine Contrepoints :

Articles avant Libres !! :

1. Libres !
2. Avant-propos de Libres !
3. Technologie et Liberté
4. Les lois et la confiance
5. Pour un état fort, mais sans état
6. Google est-il libéral ?
7. BitCoin : une Monnaie ?
8. La liberté est-elle menacée par l’égalité ?
9. Rien n’échappe à l’économie. Rien.
10. Nation et Liberté
11. Les Pragmatiques font de la Politique
12. Justice ? Quelle justice ?
13. Des élus ? Pourquoi ?
14. On a dépassé les limites sur la route
15. Le libéralisme connaît-il des variantes ?
16. La liberté aussi a quatre dimensions
17. Le « riche » est-il un voleur ?
18. De l'illusion démocratique

Plus récents :
- Obligation, ou non
- Le marché, cette base naturelle de l'économie

Traductions :

1. La source du droit.
2. Les intellectuels et la société
3. Comment les libertariens peuvent-ils convaincre et influencer les électeurs ?
4. Ce que l'individualisme n'est pas
5. Bastiat pour la postérité
6. Les modérés, les extrémistes et la liberté
7. Qu’est-ce qui cloche dans l’économie américaine ?
8. Dompter Leviathan
9. Dompter Leviathan (2)
10. Pourquoi les catholiques ne comprennent pas l’économie
11. L’analyse de classe libertarienne
12. Quatre mythes à propos du Tea Party

L’Humain contre le Laissez-Faire

L’affaire Maurice Taylor contre Montebourg a fait grand bruit cette semaine. Parmi les grands thèmes qui ont matérialisé l’affrontement entre soutiens et opposants au patron de Titan, on note un grand classique de la rhétorique gauchiste, cette idée voulant que le capitalisme ne se soucierait pas assez de l’humain et que seuls les gens de gauche posséderaient cette grandeur, cette empathie suffisante pour remettre l’humanité au cœur des affaires et de l’économie, sauvagement froides.

Selon cette thèse, le capitalisme et son rejeton le laissez-faire ne seraient qu’une machine à brasser de l’argent sans âme et à écraser les pauvres travailleurs et prolétaires, leur sainteté les syndicats et élus de gauche œuvrant chaque jour pour combattre ce mal et remettre l’homme à sa juste place.
Pourtant, contrairement à la vulgate et aux légendes de tous poils, contrairement au discours en vogue dans l’opinion, colporté par l’école comme par les médias, aucun système socio-économique ne peut être plus « humain » que le laissez-faire. Il suffit de comprendre ce qu’il signifie pour s’en rendre compte. Comment un système où l’homme laisse faire l’homme pourrait-il être inhumain ?

Ce que beaucoup de critiques « pro-humain » du capitalisme de laissez-faire ne comprennent pas, c’est qu’une économie de libre marché constitue l’expression la plus pure de l’humanité collective. Dans une économie de libre marché, c’est-à-dire une société spontanée naturelle, tous les échanges entre individus sont des échanges volontaires, donc créateurs de richesse. Les échanges qui ne seraient pas volontaires ne peuvent être donc être que contraints, ce qui est contraire avec l’hypothèse d’un libre marché. Donc un marché libre est humainement créateur de richesse.

Dit autrement, s’enrichir ne peut se faire que mutuellement et spontanément dans une société libre. Où est donc la trace d’inhumanité dans une telle société ? Le laissez-faire est profondément humain.
Il existe bien sûr de nombreux cas d’échanges non volontaires dans la vraie vie. Le plus fréquent reste celui où une bureaucratie a le pouvoir de nous imposer, de nous dérober une taxe. Car il faut toujours le rappeler, taxer ou imposer ne sont que des formes déguisées de vol. Et c’est là où le raisonnement socialisant dérape. Sous un prétexte humanitaire plus ou moins alambiqué, au titre d’un objectif de solidarité de façade, le socialisme n’hésite pas à prendre à Pierre pour donner à Paul – en prenant bien sûr au passage largement de quoi s’engraisser soi-même.

Et c’est parce que le vol est camouflé sous des couches de fausse solidarité qu’on a fini par convaincre une grande partie du peuple par ailleurs peu instruit que le socialisme est le symbole d’une société humaine. Pourtant, rien n’est plus faux et les libéraux n’ont de cesse de le dénoncer.

Parmi les symboles honnis du capitalisme, on compte le profit, symbole de l’exploitation du riche au dépens des pauvres. Pourtant là encore, rien n’est plus faux, rien n’est moins la preuve d’une incompréhension profonde du fonctionnement social naturel. Car le profit est toujours partagé. A chaque libre échange, les deux parties gagnent un peu. Chacun profite. Echange après échange, le profit cumulé par un entrepreneur est donc la marque d’autant de profit accumulé par ses clients.

Dans une société libre, celle du véritable laissez-faire, le profit est donc un bon indicateur du niveau de service rendu par un individu ou une entreprise aux autres citoyens. Comment faire plus humain que cela ? Bien sûr, la société réelle que nous subissons n’est en aucun cas cet idéal. Mais ce qui l’en éloigne c’est justement que les bureaucrates et autres gouvernants interfèrent pour faire du libre échange et du laissez-faire des légendes. C’est donc l’étatisme socialiste qui ôte son humanité au capitalisme et non l’inverse. Dès qu’on lève le voile de la propagande, l’empereur redevient nu.