À Hack in Paris, Winn Schwartau suggère de mesurer le risque en fonction du temps

«Le temps de la guerre s’est accéléré.» C’est ainsi que commence l’exposé de Winn Schwartau, avant qu’il ne souligne que les «choses sont de plus en plus compliquées» sous l’effet notamment de la multiplication des communications multi-directionnelles. Une qualité qui change la nature de la réaction applicable et conduit à une situation dans laquelle il n’existe plus de modèle de chaîne de réaction à la menace facile à établir. Et pour ne rien gâter, les modèles historiques de la sécurité, consistant à construire un mur et à tenir à l’écart toute personne - ou utilisateur - illégitime, ne fonctionnent pas. Pour peu qu’ils aient fonctionné : l’expert évoque ainsi l’échec de Troie, du Mur de Chine, de la ligne Maginot... Mais la logique du mur lui paraît d’autant moins pertinente qu’il est impossible de fermer les espaces «où l’on peut faire des affaires ». Pour Winn Schwartau, il est temps de se rendre à l’évidence : «nous ne sommes pas assez intelligents pour construire des ordinateurs sûrs.» Notamment parce qu’en tant qu’entreprises ou qu’utilisateurs, «nous voulons de la simplicité, nous voulons l’accès. Et l’accès et la protection sont mutuellement exclusifs.» Voilà pour le contexte.

Que faire, donc, pour toutefois essayer de concilier les deux ? L’expert revient à ses comparaisons historiques, prenant cette fois l’exemple du coffre-fort. Un objet qui, souligne-t-il, n’a en définitive rien d’inviolable - que ce soit par force brute ou par coercition sur un détenteur de code, voire par fourberie, comme avec le phishing. Dans tous les cas, réussir à ouvrir le coffre pour accéder à son contenu n’est en définitive «qu’une question de temps. Le niveau de sécurité d’un coffre-fort se quantifie en temps ». En fait, pour Winn Schwartau, c’est essentiellement de temps qu’il est question, en matière de sécurité. Le temps nécessaire pour percer une défense, tout d’abord. Mais aussi le temps nécessaire à la détection de l’incident de sécurité - «on peut mesurer le temps nécessaire à un méchant pour faire des trucs de méchant. Et donc le temps dont on dispose pour intervenir.» C’est ainsi, in fine, que «l’on protège les choses dans le monde physique »; Et pour lui, cela peut aussi s’appliquer à l’informatique.

Mais encore faut-il commencer par se poser la question et mesurer les délais de la chaîne de protection : «si percer mes défenses prend plus de temps que la détection et la réaction réunies, alors je suis protégé.» Et d’interroger : «les systèmes de détection des intrusions supervisent l’activité réseau. Mais combien de temps leur faut-il pour détecter une activité suspecte ? Le savez-vous ?», lance-t-il à l’assistance qui reste muette. «Mais alors pourquoi les avez-vous déployés», ajoute-t-il un brin provocateur avant d’enjoindre son auditoire d’interroger les éditeurs sur ces questions. 

Mais encore faut-il que la réaction soit à la hauteur : «elle peut être automatisée en partie; définissez des tables de réaction; supprimez les délais de notification et de transit des acteurs, etc.» Et, surtout, rien ne sert de détecter rapidement si la réaction nécessite plusieurs heures, voire journées... «Accélérer le processus est un point critique.» Car du temps d’exposition à la menace découle le coût : «le volume de données exposées ne dépend finalement que la bande passante.» 

Au final, pour Winn Schwartau, il faut donc renoncer à penser sécurité en des termes absolus mais s’inspirer du monde physique et penser temps; évaluer la chaîne de protection, en profondeur - «il faut aussi protéger vos processus de réaction et utiliser des canaux de notification multiples». Et ce, avant tout autre investissement : «tant que vous n'avez pas fait ce travail, investir dans des outils de sécurité supplémentaire est inutile.»