Les cyber-tuiles ont toutes été posées par cyber-temps sec

Là, impossible de le rater, le cambriolage spectaculaire du Louvre : l’équipe de malfrats qui utilise un monte-charge en pleine rue à la vue de tous, entre par une fenêtre à l’étage, découpe une vitrine blindée à la disqueuse, le tout sous le regard ébahi d’une partie du personnel, et repart par le même chemin en sens inverse, en 7 minutes chrono. Le seul blessé à déplorer aura été notre amour-propre qui s’est fait copieusement botter le derrière (toute la presse internationale se fiche allègrement de nous à stylo-plume déployé), mais on s’en remet.

Bien évidemment, la polémique traditionnelle va se déployer. Madame : « Oui-mais-on-avait-demandé-des moyens-euh », qui va se crêper le chignon avec Monsieur : « Oui-mais-vous-avait-fait-d’autres-travaux-moins-urgents-euh-fallait-prioriser-euh », mais pour le coup ce n’est pas tellement ça le sujet. Le sujet, c’est l’évaluation. Je m’explique.

Le vrai proverbe chinois détourné en titre du présent article est bien entendu que les tuiles ont toutes été posées par temps sec, ce qui, dit autrement, signifie que les emmerdes (qui volent toujours en escadrille) ne passent jamais par le côté qu’on avait imaginé. J’ai un scoop : la ligne Maginot n’a JAMAIS été franchie.

La vitrine qui protégeait les bijoux dérobés était bien pare-balles, mais pas pare-disqueuse. Et d’ailleurs, le jour où on en installera une à la fois pare-balles plus pare-disqueuse, il est à peu près certain qu’elle ne parera pas un troisième type d’attaque. Je signale au passage que le concept des plaques de Reason semble être inconnu des protagonistes de l’histoire ; s’ils ont fait une EBIOS RM, je leur suggère de changer de consultants. LOL.

Dans un système de management de la qualité (SMQ), on est supposé :

– Faire auditer ledit SMQ par une entité externe, cela s’appelle un audit interne ; oui, parce que quand on juge soi-même ce que l’on fait, on se trouve toujours très bon ;

– Exposer les performances de son SMQ à sa direction générale ; ben oui, c’est quand même à celui qui paye au final de dire s’il est content ou pas ;

– En plus, bien entendu, faire auditer son SMQ par un auditeur externe – et si les deux premières étapes ont été suivies, cela doit se passer pas trop mal, nonobstant les évolutions structurelles du SMQ que va impulser l’auditeur, mais c’est un sujet à part entière.

Mais, à ce stade, on en est au niveau du SMQ, donc managérial et pas technique. Dit autrement, si le SMQ produit de la bouse de vache, on aura juste vérifié qu’il en produit plus, mieux, et de la qui brille. Mais, toujours à ce stade, on n’a pas investigué le sujet de la bouse de vache en question, qui relève d’un aspect purement opérationnel/technique et échappe aux trois processus susnommés (qui sont des checks organisationnels et pas techniques).

Et c’est là que la 27001 a pensé à tout (un genou à terre) et que dans sa grandeur (et plus précisément dans le 5.35 de l’annexe A) elle indique que l’organisation doit effectuer une révision indépendante (donc par quelqu’un d’autre que celui qui a imaginé l’EDR, ou le firewall, ou la vitrine anti-balles). Et que l’approche de l’organisation […] doit être révisée de manière indépendante à intervalles planifiés ou lorsque des changements significatifs se produisent (genre quand vous avez changé d’architecture de firewall, ou de SOC, ou supprimé le coffre-fort automatique sous le caisson anti-balles des bijoux d’Eugénie).

Cette révision indépendante est un des exercices les plus intéressants que je connaisse. Elle peut être réalisée à moindre coût (venez faire la mienne, je ferai la vôtre gratos, et le café sera fourni) et a pour objectif de s’assurer que tout n’est pas en train de partir en cacahuète,* juste parce qu’à force de bosser en groupe on finit par être tous du même avis. D’ailleurs, cela ressemble fichtrement aux concepts de reproductibilité et de falsifiabilité de Karl Popper dans le domaine de l’épistémologie, surtout la falsifiabilité qui consiste, en gros, à éprouver une théorie scientifique non pas en cherchant des preuves qu’elle fonctionne, mais au contraire qu’elle ne fonctionne pas. Idem 5.35 : viens un peu par ici jeter un regard critique sur nos objectifs, nos choix de réduction des risques, histoire qu’on soit bien sûr de n’être pas en train de voir des éléphants roses au cyber-plafond.

Vous pensez avoir le meilleur EDR du monde, mais un regard extérieur pointe du doigt des trous béants dans l’architecture, vous pensez avoir déployé le meilleur firewall du monde, mais un regard extérieur sur le schéma d’architecture vous alerte sur des bypass, vous pensez avoir la meilleure vitrine de protection des bijoux de famille, mais un regard aguerri vous interroge sur la fenêtre faiblarde au premier étage.

Une page entière pour paraphraser ce petit proverbe qui est une merveille de concision, et que l’on devrait tous se tatouer sur la cuisse droite : « Les tuiles ont toutes été posées par temps sec. »