Spécial sécurité : le bilan des assises de la sécurité 2010

Sommaire

1 - Le livre bleu des assises de la sécurité

2 - Les assises, 10 ans de business sécurité

1) Le livre bleu des assises de la sécurité

L’édition 2010 du « Livre Bleu » des Assises de la sécurité ne ressemble en rien à aux précédentes versions. En s’appuyant sur des études universitaires et des enquêtes conduites par l’Enisa, cet ouvrage d’une soixantaine de pages compare les métriques des années 2000 et les chiffres actuels, les attitudes du marché d’alors et les règles qui régissent les échanges aujourd’hui, et le métier d’homme sécurité tel qu’on l’envisageait au début du millénaire et ce qu’il est devenu depuis.

Côté chiffres, le monde IP est passé d’un réseaux de 400 millions d’internautes à près de 2 milliards d’usagers. Le développement des services haut débit et des accès mobiles, encore balbutiants de 200 à 2003, a brusquement décollé. Les Malwares aussi. Car l’an 2000, c’était aussi l’année de I love you, un virus étonnamment vivace qui touchera plus de 3 millions d’ordinateurs. Les choses changent peu en 2010, avec « entre 3,5 et 10 millions » d’infections provoquées par Conficker. Un virus tout frais issu des nouveaux outils de génération automatique de malwares, et dont on ne sait toujours pas ce qu’il pourrait détruire le jour où il se déclenchera.

Cette décennie aura également vu l’apparition d’une exploitation tactique et stratégique des outils internet ainsi en 2007 : affaire de « l’étudiante Chinoise » soupçonnée d’espionnage informatique. 2007 encore, avec l’attaque informatique dirigée contre l’Estonie par… on ne saura jamais officiellement. 2008 : première cyber-attaque officiellement constatée lors du conflit Russo-Géorgien. 2009 : multiplication des opérations de propagande et de « cyber-jihad » organisée par des groupuscules fondamentalistes. Les Etats se battent à fleurets mouchetés, masqués par les paravents des adresses IP, des mercenaires mafieux et l’anonymat des proxys.

Pendant ce temps, les auteurs de malwares d’origine mafieuses font tout autant de progrès. A peine connus en 2000, les grands botnets commencent à faire la loi et inondent les réseaux de campagnes de spam et de phishing et tendent d’accroître leur mainmise sur Internet sous des déluges de chevaux de Troie. Lorsque tombe McColo, l’un des « hosteurs » les plus véreux de la filière mafieuse Russe, le niveau de spam mondial chute brutalement et 450 000 relais se taisent. Hélas pas pour très longtemps. La criminalité, nous rappelle le Livre Bleu, n’est qu’une succession de prises de pouvoir entre cybergangs.

Et les hommes sécurité ? Eux aussi évoluent. Il est loin le temps du « business sécurité » reposant sur l’alarmisme et la terreur. L’antivirus et le firewall sont devenus des « commodités », le RSSI est plus accaparé par des questions de gouvernance que par des problèmes techniques purement binaires. « Plus architecte, moins politique » résume le Livre Bleu. L’opérationnel recule devant l’analyste-architecte, mouvement amorcé par ISO 27001, par la généralisation des CIL (Correspondants Informatique et Liberté), par la lente évangélisation en matière d’intelligence économique (considérée il n’y a pas 10 ans comme une perte de temps et une non-discipline). Les obligations de protection des données personnelles et des « avoirs numériques » de l’entreprise ont changé les mentalités. Et ces tendances à une sécurité de plus en plus architecturale se confirment en analysant les postes de dépense. Interrogés sur leurs priorités, les RSSI citent, dans 56% des cas, la gestion des identités et habilitations, puis, en second lieu (41%) les PRA/PCA et plans de secours. Le chiffrement des données et la préservation de la confidentialité des informations vient en troisième place (37%), suivis, ex-aequo, par le cloisonnement des réseaux/lutte anti-intrusion et les déploiements de correctifs (26%). Le RSSI de la deuxième décennie du siècle sera un organisateur ou ne sera pas.

2) Les assises, 10 ans de business sécurité

Nées avec le « bug de l’an 2000 » - l’une des peurs les plus fantasmées des systèmes d’information, les Assises de Monaco ont fêté leur dixième anniversaire. La sécurité des SI, qui était un sujet de spécialiste, est devenue une extension naturelle des DSI, un réflexe. Dix ans qui ont vu, témoignent les participants, la naissance du « software lifecycle » qui, espère-t-on, fera progressivement disparaître les « bugs de naissance », la montée d’une « industrie » des malwares et la disparition du « virus d’amateur », la presque dématérialisation des serveurs dédiés (avec l’arrivée des hyperviseurs et des machines virtuelles), la poussée progressive d’une informatique distante et diffusée « dans le nuage », la démultiplication des nouvelles formes de communication (mobiles, réseaux sociaux). Durant cette même période, nous avons tous été témoins de la discrète mais bien réelle militarisation de l’informatique accompagnée par les toutes premières opérations de « cyberguerre », sans oublier la très récente menace contre les infrastructures Scada qu’a représenté le rootkit Stuxnet. Durant ces dix ans, également, l’on a vu progressivement apparaître et croître de nouveaux chantiers d’Etat, avec notamment celui du DMP (dossier médical personnalisé) corolaire d’une informatisation se voulant « surprotégée » des établissements hospitaliers, celui aussi d’une police et d’une gendarmerie spécialisée, disposant de moyens d’investigation techniques modernes et adaptés. Une décennie enfin, marquée par une prise en compte progressive de la sécurité dans les textes de loi (LCEN, Lopsi, Loppsi, Hadopi…), les directives communautaires et les normalisations nécessaires (Bâle2, ISO27xx etc).

Aujourd’hui, alors qu’une crise économique qui ne veut pas dire son nom tend à restreindre les budgets informatiques en général et ceux de la sécurité en particulier (dépenses en baisse de 5 à 6% en moyenne par rapport à l’an passé), le volume des menaces, de son côté, ne fait que croître. Tout comme la cyberdélinquance, laquelle suit la croissance générale du marché informatique. En France, cette montée de la menace n’incite que 35 % des entreprises à maintenir ou augmenter leur budget sécurité cette année, contre 63 % dans le reste du monde. De plus en plus fréquemment, les contrats d’externalisation sont perçus comme une manière pratique d’effectuer des économies à court terme, particulièrement dans la tranche « petites et moyennes entreprises » -les grandes structures optant généralement pour des Cloud internes ou ne jugeant pas assez rentables cette nouvelle forme d’informatique « as a service ».

Qu’en sera-t-il dans dix ans ? Si l’on se réfère aux progrès réalisés durant cette même période, l’on se rend bien compte que cet exercice de divination est risqué. Les conférences données durant les Assises donnent quelques idées. A court terme, le Cloud et la multiplication des offres d’opérateurs dans ce domaine. Offre touchant à la fois le grand public et les entreprises… les particuliers constituant, une fois n’est pas coutume, un vecteur économique déclenchant dont profiteront à termes les industriels. Pour Michel Riguidel, professeur à l’ENST, il se pourrait bien que nous puissions assister à l’avènement d’une « ère du quantique », avec des calculateurs plus puissants, plus rapides, et des réseaux sécurisés, chiffrés avec des clefs pratiquement inviolables.

Ces 10 prochaines années pourraient aussi nous réserver des surprises moins agréables, avec une militarisation plus fréquentes des attaques sur Internet, au fur et à mesure que se constitueront les moyens de cyberdéfense et de riposte des grandes nations numérisées (USA, Chine, ex-URSS…). Un durcissement de l’usage qui, dans la vie civile, devra se traduire par un renforcement des instances de régulation et de protection de l’entreprise numérique et des gens qui y travaillent