*Cet article m’a été inspiré par une discussion anodine avec une personne totalement extérieure au monde de l’informatique et de la sécurité. C’est un billet d’opinion qui n’engage évidemment que moi *
La juriste : « Je ne savais pas que tu avais monté ton entreprise. C’est une entreprise de quoi ? »
La consultante : « En même temps, c’est relativement neuf tu sais et le cœur de mission sera principalement la sécurité des applications Web, plutôt dédiés aux particuliers et aux TMPE, qui n’ont pas nécessairement les moyens de procéder à des audits ou des pentests dont la valeur atteint plusieurs dizaines de milliers d’Euro. »
La juriste : « Je comprends, mais au moins les grandes structures comme les banques ou les sites ministériels sont bien protégés puisqu’elles ont les moyens de faire régulièrement auditer leurs systèmes. »
La consultante : « Absolument pas. »
La juriste : « Pardon ? »
La consultante : « Je ne sais pas s’il s’agit d’un mal typiquement Français mais sache que les sites des grandes structures que tu viens de me citer sont très souvent plus vulnérables aux attaques que d’autres sites qui pourraient sembler plus modestes. »
La juriste : « Pourquoi ? »
La consultante : « La faute aux marchés publics en premier lieu. Dans l’administration, dès qu’une prestation dépasse un certain coût, on doit nécessairement passer par un appel d’offre formalisé, remplir un cahier des charges qui doit être rédigé d’une certaine façon, fournir un ensemble de pièces justificatives, argumenter avec la direction juridique de la dite administration et même quand le marché est décroché par le prestataire, exécuter la mission en ayant souvent quelqu’un qui scrute ce que tu fais et attendre au minimum 45 jours – selon le bon vouloir de l’administration en question – pour finalement recevoir son paiement. Pour résumer, c’est chiant, c’est lourd, c’est long et c’est une prise de tête inqualifiable. La plupart des bons prestataires en sécurité informatique n’ont ni l’envie ni les connaissances nécessaires pour se fondre dans les méandres des marchés publics. Résultat : ce ne sont pas les meilleurs qui répondent. »
La juriste : « Si je comprends bien ta démonstration, les sites des administrations Françaises sont mal sécurisés, alors qu’elles gèrent des données personnelles, à cause de l’état actuel des lois régissant les marchés publics ? »
La consultante : « Imputer la faute du manque de sécurisation des applications Web aux seules administrations Françaises serait une erreur et un raccourci. Elles ne sont pas les seules fautives, les entreprises de sécurité ont aussi une bonne part de responsabilité. »
La juriste : « A savoir ? »
La consultante : « On va être honnête : d’une part la sécurité informatique n’est pas encore devenue un élément essentiel pour les infrastructures qui mettent en place des applications Web et on peut étendre aux systèmes informatiques. D’autre part, les entreprises de sécurité informatique ayant pignon sur rue ont une politique de recrutement sclérosée : les ressources humaines recherchent des gens qui rentrent dans les petites cases de leurs formulaires formatés donc ils ne s’intéressent qu’aux ingénieurs. Mais dans les cursus d’ingénieurs informatiques, il faut savoir que la sécurité informatique n’est étudiée qu’au dernier semestre de leur cursus. Autant te dire que leur bagage est léger car la sécurité informatique est un domaine vaste : on y retrouve aussi bien du réseau, que du malware, que des applications Web, que des infrastructures physiques et j’en passe. A ce titre la sécurité informatique est semblable au droit : tu as différentes déclinaisons et spécialités. »
La juriste : « Mais alors, si je te suis bien, il n’y a pas de bons prestataires de sécurité en France ? »
La consultante : « Ne me fais pas dire ce que je n’ai pas dit. Bien sûr qu’il y en a et heureusement. Mais ils sont peu nombreux notamment du fait du processus de recrutement. Les outsiders, les autodidactes, celles et ceux qui ont appris sur le terrain en pratiquant quasi-quotidiennement de façon purement volontaire ne sont pas très courtisés en France par les grandes structures. De ce fait, ils ont deux choix : créer leur propre structure ou partir à l’étranger. »
La juriste : « Ou partent-ils ? »
La consultante : « La Belgique semble être un terreau fertile mais on peut citer la Suisse, le Québec et la Suède. »
La juriste : « Pourquoi la Suède ? »
La consultante : « Parce que les Suédois ont facilement cinq à dix ans d’avance sur les Français, tant sur le plan législatif relatif aux nouvelles technologies que sur le plan technique. Il y a des exceptions pour la recherche, les problématiques de sécurisation sont bien ancrées dans les esprits et ils ont une véritable culture informatique qui en fait un terrain de jeux et d’apprentissage formidable. »
La juriste : « Pourquoi en France, nous n’en sommes pas là ? »
La consultante : « Un ami a une théorie que je trouve intéressante et qui énonce que nous n’avons pas encore connu de catastrophes de grande ampleur qui ferait que chacun d’entre nous serait sensibilisé à la question de la sécurisation. Faisons un parallèle un peu foireux : les capotes existaient depuis très longtemps, depuis la Rome Antique. Or, nous n’avons commencé à en systématiser l’usage que lorsque le SIDA a fait son apparition et que les médias en ont massivement parlé. Et les enfants et adolescents en ont entendu parler à l’école à ce moment-là. Dès qu’il y aura un vrai problème, les Français en prendront conscience a posteriori, nous avons du mal à anticiper. Par ailleurs, les médias Français ne parlent souvent que du côté négatif du hacking, font souvent des mélanges malheureux entre hackers et script-kiddies et ne font presque jamais de pédagogie sur ces sujets. Les journalistes Français qui maîtrisent réellement ces sujets ne sont pas majoritaires pour le moment.»
La juriste : « Pas très gai ce que tu m’expliques. »
La consultante : « Ce n’était pas fait pour non plus mais maintenant tu as déjà plus conscience du problème qu’il y a dix minutes et c’est déjà un élément positif. Lundi, je t’expliquerai comment sécuriser tes emails. »
Commentaires
Kerrubin (non vérifié)
Monday 31 December 2012 à 15:37
Permalien
Tellement vrai...
Tellement vrai...
Juste à redire : "Mais dans les cursus d’ingénieurs informatiques, il faut savoir que la sécurité informatique n’est étudiée qu’au dernier semestre de leur cursus".
J'ai fais ingé, aucun cours de sécurité digne de ce nom (ça à peut être changé depuis...).
Et pour ce qui est des banques, c'est souvent les plus "old school" question technologies.
Avec souvent des plannings (cas général, pas que banque) qui ne laissent pas non plus la place à la sécurité (philosophies du "tout, tout de suite" ou de "l'informatique, c'est magique, je te fais ça en 2 jours").
PS 1 : tu as un nom, pour la boîte, que je la garde sous le coude ?
PS 2 : sur chrome & firefox, y a un span puis un p qui traîne derrière le nom du mois, dans le calendrier
PS 3 : y a pas, réduction budgétaire, on attend la PS4
Tris Acatrinei
Monday 31 December 2012 à 20:35
Permalien
Hello :)
Hello :)
Alors pour les cursus, ça a été intégré au programme mais seulement pour les ingénieurs et au dernier semestre de la dernière année.
PS 1 : non pas encore, je cherche
PS2: oui je sais, je ne vois pas où bidouiller pour corriger mais bon, pour le temps restant on va pas chipoter :p
PS3: :p
Kerrubin (non vérifié)
Thursday 03 January 2013 à 18:09
Permalien
Re :)
Re :)
Pour le cursus, je ne savais pas.
Comme il y a beaucoup (trop ?) de biais pour devenir ingénieur en informatique (y compris la reconnaissance des compétences et donc diplôme à posteriori à l'expérience pro), ça doit aussi dépendre des parcours/écoles.
M'enfin, comme j'ai aucune envie de remettre mon nez dedans, je te fais confiance !
De mémoire, les entreprises non pas d'obligations légales de mentionner à l'Etat (et du coup encore moins au public) les cas d'intrusions et/ou de failles de sécurité (donc tout va bien, on continue comme ça).
Par contre, la CNIL est compétente dans l'examen de failles de sécurité.
Tris Acatrinei
Thursday 03 January 2013 à 22:59
Permalien
Re Kerrubin :)
Re Kerrubin :)
Oui les entreprises n'ont pas encore d'obligations légales à signaler les failles de sécurité, que ce soit à l'Etat, à leurs prestataires ou à leurs clients, ce qui est une connerie à mon sens. Mais dans le rapport Bockel, il était préconisé de changer cela et de s'aligner sur les Etats-Unis sur ce point.
La CNIL n'intervient QUE s'il y a problèmes relatifs aux données personnelles mais on connaît le pouvoir de sanction de la CNIL qui ne dispose pas d'assez de moyens, tout comme l'ANSSI.
Kerrubin (non vérifié)
Friday 04 January 2013 à 12:40
Permalien
EncoRE ^^
EncoRE ^^
Dans le cas des banques, assurances, sites marchands, au vu de la nature des données stockées, il y a de très grosses "chances" que les failles et/ou pertes de données concernent des données personnelles.
Après, que la loi soit effectivement respectée/appliquée/contrôlée (rayer les mentions inutiles) ou non est un problème différent.
L'autre problème, c'est qu'il n'y a pas besoin d'une faille de sécurité ou d'intrusion pour qu'il y ai des problèmes avec les données personnelles.
Comprendre, qu'en interne, il n'est pas impossible d'avoir accès aux bases de données de production, donc il y a des questions à se poser : sous quelles conditions, les personnes concernées sont-elles initiés (donc délit d'initié), ont-elles le droit d'exporter des données (ex : dump de BDD production -> dev, y a-t-il obligation d'anonymisation des données ?), qu'en est-il de la perte de matériel dans des lieux publics (laptop, BYOD, etc. contenant des infos sensibles), etc.
C'est aussi un problème qui est (trop) souvent passé sous silence.
Et dans ce cas, est-ce que le client lambda va être avertit qu'un développeur (ou pif, hein, y a plein d'autres postes concernés) va utiliser ses données personnelles pour faire des tests ?
Concernant les moyens, CNIL et/ou ANSSI ont les moyens légaux réels de contraindre ou c'est juste un avis consultatif (voir une petite tape sur les doigts) ?
PS : l'ANSSI recrute grave ^^
Atios (non vérifié)
Tuesday 01 January 2013 à 18:29
Permalien
N'étant pas un crack de l
N'étant pas un crack de l'informatique et ayant décidé de me tourner vers le Droit, je suis content de voir que mon idée (qui semble tomber sous le sens) de faire travailler des gens qui sont érudits dans des sujets comme l'informatique avec des législateurs pourrait vraiment changer des choses. Maintenant, restes à voir si je suis le seul à me dire que pour légiférer sur un sujet, il faut avoir des connaissances précises sur celui ou si cette idée qui m'apparaît logique va se répandre au fil du temps en France.
Tris Acatrinei
Thursday 03 January 2013 à 22:56
Permalien
Oui sauf que malheureusement
Oui sauf que malheureusement les techos sont peu écoutés pour le moment en France.
Il y a légiférer et légisférer : si c'est pour poser des exceptions notamment pour la recherche, oui. Si c'est pour nous embêter encore plus, c'est non :)
Daybus (non vérifié)
Saturday 12 January 2013 à 00:23
Permalien
Vous êtes à 95% des ignorants
Vous êtes à 95% des ignorants.
Ajouter un commentaire