Tire la cyber-chevillette, la cyber-bobinette cherra : une analyse légèrement décalée des contes de fées par un RSSI

On commence par Les Trois Petits Cochons, et pour le coup cela démarre mal.
Certes, un cluster de trois nœuds (les cabanes) a été déployé par les frangins, mais l’appréciation des risques laisse à désirer pour deux des nœuds, de sorte qu’une fois survenu l’événement extérieur (le loup qui s’époumone) l’ensemble des assets doit se rabattre sur le troisième nœud (la cabane en brique).
On constate par contre une bonne appréciation de la capacité du troisième nœud, et globalement un bon PCA.
Note pour moi-même : encore un cas où l’Ebios ne sert à rien.

On continue avec Le Petit Chaperon rouge, et c’est tout de suite moins bien.
Non seulement côté loup on a une indiscutable usurpation d’identité de Mère-grand, mais on relève aussi un dysfonctionnement de la procédure d’authentification loup/grand-mère par le Chaperon, un problème de certificat. Et même pas de MFA, hallucinant !
En même temps, je n’ai jamais trop compris pourquoi le loup a monté ce subterfuge bien tordu, prendre la place de Mère-grand dans la chaumière, alors qu’il aurait suffi de profiter de la transmission d’un asset critique (le Chaperon) sur un canal non sécurisé (les bois) pour becqueter le Chaperon. Mais bon, ce n’est que mon avis. Il est urgent de déclarer le Chaperon rouge en tant qu’entité essentielle NIS 2.

Par contre, avec Cendrillon, ça se dégrade et pas qu’un peu.
D’abord, dysfonctionnement du cluster des trois sœurs pour le ménage : il n’y en a qu’une qui taffe – Cendrillon.
Ensuite, le coup du carrosse qui redevient citrouille à minuit : soit la marraine de Cendrillon a totalement foiré l’appréciation des risques (il était évident que la filleule allait vouloir rester plus tard), soit Cendrillon a utilisé un asset au-delà de sa capacité annoncée, mais dans les deux cas, c’est nul. Côté gestion de capacité à la sauce 27001, vous repasserez.
Après, le prince lance une recherche de la belle sur toute la population féminine du royaume : alors là, je dis STOP. C’est clairement un traitement de données personnelles sans base légale (et ne venez pas me sortir « l’intérêt légitime » et gnagnagna et gnagnagna) : il faut monter un entrepôt de données à des fins de réutilisation, on doit être sur de la MR-004 ou un truc équivalent, au minimum il faut une conformité avec le référentiel EDS de la Cnil.
Mais le pompon, c’est le coup de la pantoufle de vair : le prince doit lancer une recherche opérationnelle inversée pour retrouver Cendrillon, opération d’une complexité élevée. Allô ! T’es une servante et pour pécho du prince tu lui demandes de résoudre un problème de complexité polynomiale. Non mais allô quoi !

Blanche-Neige : alors là, c’est la totale.
Ça démarre à fond avec le miroir : un jour il te dit que c’est la reine la plus belle, le lendemain que c’est la belle-fille. On suspecte un bug dans le soft, ça sent l’OS non patché ou l’IA avec un bug d’hallucination, je voudrais bien voir la check-list de mise en production – sans parler du fait qu’il n’y a aucun contrôle d’accès physique au local du miroir. En plus, ce miroir accède au fichier des citoyens (bonjour le croisement des fichiers et le respect du RGPD) et pour couronner le tout il te sort que Blanche-Neige s’est planquée chez les nains : vidéosurveillance avec détournement de la finalité, on est au minimum sur une amende de 2 % du CA du royaume.
Je ferme les yeux à la limite sur un indiscutable problème d’intégrité de la donnée (le chasseur qui met le cœur de la biche dans la boîte pour faire croire qu’il a tué Blanche-Neige), mais avec la combine du virus (la pomme), là, je vois rouge. Il ne fait aucun doute que le royaume est une entité essentielle soumise à NIS 1 et à NIS 2, ça fait beaucoup.
Et pour couronner le tout, à la fin on a :
– la reine absorbant une potion qui la transforme : je peux voir l’essai clinique et l’autorisation de mise sur le marché du médoc ?
– le prince qui se pointe chez les nains : il a eu l’adresse comment celui-là ? C’est pas un fichier des citoyens avec nom, prénom et adresse, c’est une vraie passoire.

Alors ma version que je raconterai à la veillée à mes arrière-petits-enfants quand je serai vieux, ce sera ça :
Il était une fois un prince qui, lors d’une fête dans son château, entité essentielle NIS 2 avec les 23 mesures déclarées à l’Anssi, après avoir fait remplir une fiche de renseignement RGPD avec recueil du consentement comme base légale plus droit d’opposition et de rectification, tomba sur une jeune femme exceptionnellement jolie, mais qui devait rentrer à minuit du fait d’une appréciation des risques foireuse quoique identifiée en revue de direction et dont la root cause était toujours en évaluation par sa marraine qui elle-même n’était pas conforme au RGPD et dont le dernier audit de certification 27001 avait démontré des manquements dans l’appréciation des risques.

Ça en jette, non ?

[1]   https://dsih.fr/articles/4517/breaking-news-le-pere-noel-hors-la-loi-multirecidiviste