La cyber, les bras et le chocolat

Première approche : celle dite « Le Parrain », ou dit autrement « on fait une proposition que l’interlocuteur ne peut pas refuser ». Cela consiste à tordre le bras de l’interlocuteur pour le forcer à mettre en œuvre les mesures de sécurité indispensables, et tous les moyens sont bons. On éteint le serveur s’il n’acquiesce pas, on bloque le projet s’il n’y a pas d’homologation, on coupe les accès fournisseurs si les comptes de télémaintenance sont gérés olé-olé. Bon, personnellement, je n’approuve pas la méthode, sauf en cas d’urgence (ou de ce qui va devenir une urgence si on n’agit pas).
Avantage : efficacité rapide.
Inconvénients : on a de moins en moins d’amis et on doit manger à la cantoche dos au mur.

Deuxième approche : pas de bras, pas de chocolat.
Bon, c’est un peu une variante de la première méthode, mais en plus soft. Cela consiste à accepter une mise en production sous condition que telle vulnérabilité soit corrigée au préalable, ou que telle application soit décommissionnée, ou que l’ouverture de tel accès soit conditionnée à la signature de tel document. Je pratique pas mal depuis quelque temps et j’ai accéléré le recours à la méthode il y a peu, et je suis toujours positivement étonné de constater que tel bug apparemment sans solution se résout comme par enchantement dès lors que le prochain logiciel qui clignote est bloqué sur le serveur de test, et que tel document en instance depuis des mois sur les bureaux de deux managers soit signé comme par magie en cinq minutes.
Avantage : ça rappelle le jeu de la barbichette et ça rajeunit.
Inconvénient : il faut quelquefois être très inventif. Mais, comme me le disait un acheteur de mes amis, on n’a de limites que sa propre imagination, et nom d’un chien, ce que c’est grisant des fois. Oui je sais, c’est mal, mais c’est bon.

Troisième approche : celle dite de « Gaston Lagaffe ».
Cela consiste à faire ripper le doigt (ou plutôt les trois doigts magiques : index et annulaire de la main gauche, index de la main droite) pour rebooter le serveur que personne ne voulait rebooter parce que sinon l’appli pourrie de la mort qui tournait dessus en Windows 2000, non patché depuis quinze ans, n’allait pas redémarrer. Oups, désolé.
Avantage : efficacité immédiate.
Inconvénient : cela finit par devenir rapidement suspect et ça se voit que vous vous payez la tête des autres. Ce qui peut être une partie du plaisir, c’est selon.

Quatrième approche, que j’ai récemment découverte et qui est d’une efficacité redoutable : l’approche dite des « coléoptères ».
Imaginez que vous êtes dans votre jardin et qu’une pierre, au beau milieu, n’a pas été bougée depuis des lustres. Faites-la rouler, retournez-la : vous êtes absolument certains de découvrir en dessous une foultitude de bestioles rampantes qui n’ont rien à y faire. Et d’y aller après en aspergeant de Bégon (jaune ou vert, je confonds toujours).

Eh bien le SI (donc la cyber), c’est pareil : soulevez un tapis qui n’a pas été soulevé depuis des lustres, rentrez dans une pièce où nul cyber-expert n’est rentré depuis des mois, vous êtes absolument certain (absolument, j’insiste) de trouver dessous et derrière des trucs qui défient l’imagination en matière de cyber-bêtise. Et re-Bégon.
Avantage : la même satisfaction qu’après avoir nettoyé les WC et mis un bloc désodorisant sur le rebord de la cuvette : c’est jouissif de voir que ça brille tout net.
Inconvénient : il faut tomber sur le tapis ou sur la porte en question. Mais bon, vu la chienlit et l’entropie de nos SIH, n’importe quelle porte fait l’affaire.

Je suis toujours étonné de constater l’énergie qu’il faut dépenser pour convaincre nos interlocuteurs que le BUILD (d’extension du périmètre du SI) ne peut pas passer devant le RUN quand ce dernier a pour objectif le maintien en condition de sécurité (MCS) de l’existant. La simple analyse des attaques cyber majeures de ces cinq dernières années dans la santé démontre que les catégories de failles exploitées par les attaquants sont en fait très peu nombreuses : pas de MFA, télémaintenance fournisseur non protégée, protection du terminal insuffisante, etc. Et dans le même temps, c’est au RSSI que l’on va demander des comptes (surtout dans le privé où certains sont carrément sur un siège éjectable à la moindre attaque).

Quand un DAF gère les flux financiers par-dessus la jambe, cela finit par se voir : certification des comptes, contrôle fiscal, etc. Et en général, cela sent le roussi pour ce DAF. Par contre, quand il s’agit du SI et des manquements graves aux fondamentaux de gestion des assets (traduction : laisser le SI rouiller comme une vieille guimbarde sur le bord de la route parce que l’on se préoccupe plus des projets-paillettes que de maintenir le vital en fonctionnement), alors là, nada.

Dans tous les secteurs (et surtout ceux allègrement brocardés par les informaticiens comme le biomédical ou les services techniques), on retire des moyens alloués ce qui est nécessaire pour maintenir l’existant, le surplus servant à faire du projet (BUILD). Mais chez les informaticiens, on fait l’inverse depuis des lustres : du BUILD, rien que du BUILD, toujours du BUILD, et après on vient chouiner que la DG ne fournit aucun moyen pour le RUN.

Étonnant, non ?