Le CSO/RSSI, vecteur de perte parfaitement inutile (episode 2)

• Imprimer

S'il est un poste qui risque de devenir précaire aux Etats-Unis durant les mois à venir, c'est bien celui de CSO/RSSI. La vague de fond Démocrate va, sans le moindre doute, restreindre fortement le « budget paranoïa » de l'équipe Bush, à commencer par les attributions sectorielles d'enveloppes décidées par cet organisme centralisateur unique qu'est le DHS. Le départ de Donald Rumsfeld n'est jamais que le premier symbole de l'abandon d'une gouvernance par la peur. Avec lui, risquent de disparaître également une bonne partie des dispositions visant à imposer des contraintes fondées sur l'existence de simples soupçons. A commencer par le cybercrime, marotte du DHS dans ses jeunes années. Si les Sénateurs insistent moins sur le danger représenté par les méchants hackers, pour quelle raisons les Directions Générales continueraient-elles à nourrir de leur sein des postes budgétivores improductifs ? Question qui vient se poser à un moment relativement critique, récemment signalé par le Sans Institute notamment, celui du « bilan Sarbannes-Oxley ». Une loi-cadre nécessaire, limitant les risques de dérapages Enron/Worldcom, mais dont les implications relatives à la sécurité des équipements informatiques commencent à être fortement critiquées. Trop chères, trop lourdes, pas assez efficaces. Motifs amplement suffisants pour que le CSO fasse office de fusible, faute d'avoir pu jouer le rôle de bouclier. Ce constat dressé, divers donneurs de conseils s'empressent de distiller leurs avis. Il faut, déclarent-ils, « intégrer la sécurité dans les flux productifs ». Voilà qui fait plaisir aux responsables sécurité européens, lesquels sont généralement issus du sérail informatique ou « métier », possèdent une approche peut-être plus « cambouis », moins « gestionnaire », mais considérablement plus pratique. Plus récemment, Dark Reading se penche sur une enquête initiée par le DHS, enquête qui aurait peut-être été la bienvenue il y a 5 ans déjà... mais qui tombe à point nommé. Elle pose la question « Qu'est-ce qui cloche entre les services de sécurité des TIC et les Directions Générales ? » La réponse est sans surprise : les hauts dirigeants considèrent les problèmes de sécurité plus sous un angle organique ou de gestion, et les estiment très rarement comme relevant d'une importance véritablement stratégique. Dans ces conditions, les responsables sécurité peuvent-ils vendre leurs idées et décrocher leurs budgets ? C''est encore possible, et de deux manières, répond l'enquête. Dans un premier temps, en se faisant un allié du Risk Manager, probablement la personne la plus sensibilisée aux conséquences des menaces informatiques. Reste, précise le rapport, que ces Risk Manager sont avant tout des cadres formés par les filières de gestion, ce qui pose déjà un sérieux problème de communication et de compréhension mutuelle. En outre, les Risk Managers traditionnels américains ont appris à évaluer des risques financiers modélisables et prévisibles, et sont donc souvent incapables de saisir la réalité de certains dangers techniques à faible probabilité d'occurrence et fort potentiel de destruction. Et la route risque d'être longue, car la « perception » de la sécurité dans l'entreprise est, aux yeux des Directions Générales, pour 79% patrons sondés, une affaire de mise en conformité vis-à-vis des réglementations en vigueur, un vecteur de protection des informations confidentielles (74%) ou un outil de maintient de la continuité business (71%). Dans seulement 44% des cas la sécurité est perçue comme un moyen de valoriser la marque, et dans 36 % des avis, elle est considéré comme pouvant faciliter la gestion du « supply chain » (gestion amont tendue des fournitures/livraisons en fonction de la demande). Le second conseil de l'enquête nous ramène au moins 6 ans en arrière : il faut fournir des métriques qui parlent aux gestionnaires. Et le rapport de préciser que, dans 64% des cas, l'estimation des coûts d'interruption de production « interpellent la Direction au niveau du vécu ». Suivi de près (60 %) par les inventaires de vulnérabilité, puis les tests comparatifs (benchmarks) par rapports aux standards de l'industrie, la valeur des équipements (43%) et l'abaissement des primes d'assurance (39%). Il est courant de dire que ce qui se passe Outre Atlantique surviendra en Europe avec un léger retard. Dans ce cas précis, la « révolution des CSO/RSSI » pourrait bien ne pas du tout se dérouler de la même manière. En premier lieu parce que la mise en oeuvre des règlementations locales, Bâle 2 notamment, sont d'une toute autre nature et approche que celles de SOX. En outre, parce que l'image d'un RSSI « vendeur de confiance » n'est pas encore parvenu à pénétrer totalement le cerveau reptilien des grandes entreprises. Pour preuve, la récente prise de conscience (mais est-elle si récente que çà) du secteur bancaire en matière de sécurité. « On » se rend compte enfin qu'un mot de passe communiqué par courrier postal et un login immuable n'est pas fait pour rassurer le client. « On » se rend compte enfin que « provisionner les pertes éventuelles du crime en ligne » n'est pas non plus une réponse capable de renforcer une relation de confiance. « On » se rend compte que nier l'existence du phishing en faisant publier des rapports d'inviolabilité des transactions en ligne par la Documentation Française ne fait avancer en rien la question. Et ce n'est là qu'un exemple. Dans un monde idéal, l'enquête commanditée par le DHS nous apprendrait que dans 80% des cas, la sécurité serait vue avant tout comme un moyen de renforcer l'image de marque, de fluidifier les rapport allant du « fournisseur du fournisseur » au « client du client », de normaliser et clarifier les procédures appliquées dans le flux de production... et accessoirement un moyen de payer des primes d'assurance moins élevée. L'informatique de confiance, ce n'est pas nécessairement celle que nous promettent les membres du TCPA, avec leurs processeurs de cryptage et leurs gadgets électroniques. C'est celle qui fera que les relations « client-fournisseur » s'établiront dans un climat de mutuelle estime, sans clivage « grand compte/grand public ». C'est celle qui transformeront l'entreprise en « maison de verre », et qui feront comprendre, tant du coté des équipementiers que des Direction Générales, que l'Informatique de Confiance, c'est avant tout une Informatique de Franchise.