Les professionnels de la sécurité sont-ils insouciants ?
Noam Eppel, de Vivica Information Security, vient d'écrire, dans les colonnes de Security Absurdity, un article remarquable de minutie. Il dresse un tableau vivant, saignant, réaliste des menaces et des crimes commis à l'aide ou à partir d'outils informatiques. Le spam, les virus, les hacks de firewalls, les spywares, les intrusions WiFi... 12 pages qui pourraient bien constituer une sorte de manuel informatif destiné à l'édification de ceux qui surfent sans précaution. Mais des « bilans catastrophistes », surtout en début d'année, période propice aux grands papiers de tendance, nous en avons déjà lu quelques palanquées. Qu'est-ce qui distingue celui-ci d'un autre ? Ses propos liminaires. « Le niveau de criminalité augmente lentement mais surement, et les indicateurs de dangerosité restent désespérément fixés sur le « vert »... la communauté des experts en sécurité ne cesse de proférer des propos lénifiants et rassurants sous une continuelle averse de virus, de spywares, d'attaques en phishing »... dit l'auteur en substance. A force de vivre dans le poison, la profession s'est mithridatisée. Que propose Noam Eppel ? Nous ne le saurons pas avant le prochain épisode, non encore plublié. Quelque soit l'annonce miracle de ce nouveau visionnaire politique, il faut bien reconnaître qu'il n'a pas tout à fait tort. Les cris d'alarmes poussé sans cesse par les marchands de cuirasses binaires, les revendeurs de coffres forts numériques et autres mercantis du Paranoïa-Business ont, depuis longtemps, assourdis les clients. Crier plus fort ne servirait à rien. Il est également vrai qu'à force de vivre dans un milieu ou l'on ne parle que de menaces, de crimes, d'agressions, fussent-elles numériques, on fini par être blasé face aux situations les plus alarmantes. Les « pros » de la sécurité se sont habitué au climat ambiant de menace permanente et ne font plus attention au bruit provoqué par les averses virales ou les inondations d'hameçonnage. L'insécurité devient coutumière, un peu comme l'on s'habitue à relever 1200 emails de spam par jour, sans y prendre garde -sans même le remarquer puisque les filtres bayesiens font leur office avec propreté-. C'est là une constante des métiers de la sécurité, cette attitude qui consiste à banaliser des faits qui, pourtant, font encore peur au commun des mortels. Ce « cynisme du porte-flingue », cette froide assurance du « pro qui sait ce qu'il doit faire », cet endurcissement de l'âme des experts sécurité ne doit être qu'un rempart contre une vague de panique, et surtout pas une attitude quotidienne. En affichant une attitude blasée face aux aléas de notre monde numérique, les gens du sérail incitent les usagers à accepter cette banalisation du crime. C'est là une attitude aussi condamnable que celle consistant à déifier ou idéaliser le « super hacker héro qui traverse toutes les passerelles de sécurité par la seule force de son clavier ». Charybde d'un coté, avec l'idéalisation et le folklore, Scylla de l'autre, et ses hurlements de panique, monstres qu'accompagne un troisième récif tout aussi mortel, celui de l'indifférence. Allez hop, vivement la semaine prochaine, que le merveilleux Oncle Eppel nous raconte la suite de l'histoire de la CyberSécurité.
