Je m'en c...

Je viens de lire un excellent billet sur le blogue de Veracode... Mobile Security – Users Just Don’t Care

L’essentiel du message est que les utilisateurs désirent être protégés contre les menaces courantes, mais ne sont pas prêts à faire l’effort nécessaire pour y arriver.

Il est là le problème. Les utilisateurs doivent faire un effort pour se protéger au-delà de ce qu’ils leur semblent raisonnable. Comme l’humain est fondamentalement pas très bon pour analyser le risque, les utilisateurs vont minimiser la portée du risque réel. C’est aussi pour cette raison que nous nous trouvons face à un discours de peur pour essayer d’influencer les achats ou le changement des comportements.

D’ailleurs, ça résume bien le problème que nous vivons en sécurité. Nos compatriotes hors du milieu de la sécurité ne comprennent pas vraiment pourquoi nous nous énervons de la sorte et le seul moyen que nous avons réussi à vendre nos dossiers c'est en faisant allusion à des scénarios catastrophes. Est-ce que cela nous a servi à long terme? À voir l’état général de la sécurité, je ne crois pas. Les groupes comme Lulzsec et Anonymous ont réussi à passer à travers la sécurité de grande corporation comme un couteau chaud dans du beurre mou. Il y a de sérieuses questions à se poser sur ce que nous avons réussi à accomplir comme professionnel en sécurité depuis les 10 dernières années.

J’ai eu ce choc pour la première fois en 2007 lorsque je suis allé au Blackhat/DEFCON, où la grande majorité des conférences relataient des problèmes de sécurité Web 2.0, qui étrangement ressemblaient aux problèmes que nous avions vécus dans les années 90 avec les buffer overflow… Comme quoi l’histoire se répète et que les nouvelles générations n’apprennent pas tant que ça.

Nous vivons dans un système qui valorise la coupure dans les couts. La sécurité est un coût. Il est facile de couper dans la sécurité (n’est-ce pas Sony?). En général, il y a peu de conséquences à ces coupures, les gestionnaires reçoivent de beaux bonus de performances et le cycle de coupure continue. Le problème avec la sécurité, c'est que nous ne savons jamais quand le malheur arrivera… Et surtout l’ampleur du malheur. Comme l’enseignement du passé nous a montré que les coupures en sécurité n’ont jamais eu de conséquence très grave, rien ne force à prendre la sécurité au sérieux. Si Sony n’avait pas subi une telle brèche de sécurité, les gestionnaires impliqués auraient reçu leur bonus de performance et tout aurait continué normalement.

Ça, c'est le passé. Maintenant que nous nous trouvons avec des groupes d’activistes qui ne se gênent pas de vandaliser et voler l’information, au gré de leur bon plaisir, le risque de devenir une cible publique est de plus en plus grand. Malgré cela, les incitatifs financiers vont favoriser les compressions pour augmenter les bonus, souvent au détriment des bonnes pratiques.

Ce qui sera intéressant d’observer dans les prochains mois et années, c'est comment vont s’opposer ces deux forces. Considérant que les entreprises n’ont pas un bon historique d’avoir appliqué les bonnes pratiques, je crois que le législateur devra intervenir pour forcer la main aux entreprises… Comme ce fut le cas pour les lois en santé et sécurité au travail ou dans le milieu financier (un SOX qui rendra les gestionnaires imputables des brèches?). Sans balise, c’est le Far West :-S