Trey Ford, Rapid7 : « on passe moins de temps à faire fonctionner l’IT correctement »

Mi janvier, une mise à jour d’OpenSSH venait combler une importante vulnérabilité. Mais il y avait eu Heartbleed avant. Et c’est sans compter avec ShellShock ou encore Poodle. Même les spécialistes de la sécurité n’échappent pas aux défauts logiciels, aux vulnérabilités, voire aux portes dérobées – intentionnelles ou non – comme il a été récemment possible d’en juger chez FireEye, Juniper, Fortinet, ou encore Cisco. Faut-il en déduire que quelque chose ne tourne résolument par rond dans l’industrie IT ?

Pas exactement, pour Trey Ford, Global Security Strategist, Rapid7, qui préfère voir là « de nombreuses opportunités pour améliorer la profession ». Reconnaissait à demi-mots des dysfonctionnements, il avance un début d’explication : « l’industrie IT dans son ensemble a passé beaucoup de temps pour ne serait-ce que faire fonctionner les choses… mais bien moins, je pense, à faire en sorte qu’elles fonctionnent correctement ».

Toutefois, il appréhende ces multiples révélations avec un optimisme certain : « je trouve rassurant que ces vulnérabilités soient découvertes, mais aussi qu’elles soient traitées avec une véritable transparence ». De fait, Trey Ford souligne le volontarisme d’entreprises prêtes à dire « Eh ! On a trouvé ce problème et on s’en occupe » plutôt que de simplement le corriger discrètement, à l’insu de tous.

Mais cette approche n’est toutefois pas toujours pleinement suivie. FireEye s’est ainsi retrouvé au cœur d’une polémique, l’an passé : il était pointé du doigt pour ses demandes appuyées de suppression d’informations relatives à des vulnérabilités découvertes dans ses produits ; il avait affirmé vouloir protéger sa propriété intellectuelle.

Sans commenter précisément cet incident, Trey Ford estime que le public est prêt à recevoir un message de transparence sur les vulnérabilités et les défauts du logiciel : « compte tenu de la quantité de brèches et de vulnérabilités… qu’il s’agisse d’erreurs naturelles ou de problèmes introduits de manière plus ou moins innocente, le public sait que le logiciel est aujourd’hui au cœur de tout ».

Et le logiciel reste créé par des humains, imparfaits : « tout ce que l’on construit à des défauts. Je pense que le public peut être généralement compréhensif et tolérant, tant que l’on maintient un certain niveau de transparence, que l’on est direct, et que l’on traite le sujet avec professionnalisme ».

Mais de là à militer en faveur de l’Open Source, il y a un pas que Trey Ford ne franchira pas, évoquant en particulier la question du support, de la disponibilité et du professionnalisme des équipes de support, qu’il perçoit comme penchant en faveur du code propriétaire. Mais sans jeter la pierre au logiciel libre non plus, car il y a pour lui une différence clé dans l’approche.

Et de faire un parallèle avec l’artisanat où le temps ne s’écoule pas forcément de la même manière qu’en entreprise, il est moins question de concilier des marges ou des délais de mise sur le marché que de fierté du produit fini.

Le responsable stratégie de sécurité de Rapid7 renvoie alors à la manière dont le rôle du RSSI a évolué au fil temps : « historiquement, il était dans le contrôle et dans le travail – pas toujours simple – avec les auditeurs. Mais aujourd’hui, « c’est plus un coach, un partenaire » chargé d’accompagner le reste de l’entreprise pour assurer que le développement se fait sur base de meilleures spécifications, soit assorti de tests plus complets, ou d’une maintenance plus rigoureuse.

Mais au final, c’est le responsable métier, le directeur qui contrôle calendrier et délais, en fonction des impacts financiers. Au final, il s’agit donc un peu « d’apprendre à danser ensemble ». Ce ne va pas toujours sans friction.