Il aura ainsi fallu qu'un administrateur système, Edward Snowden, travaillant chez un sous-traitant de la NSA, parle publiquement, pour que les citoyens du monde entier réalisent enfin que tout le monde écoute tout le monde.
La SSI demeure une activité de «luxe», dont il peut sembler facile de se passer. Il s'agit d'une activité saisonnière, chaque responsable sécurité dans les organismes dépensant son budget en fin d'année, à moins qu'un incident n'ait justifié de le dépenser plus tôt. Pourtant, la SSI ne va pas si bien que l'on pourrait le penser. Le domaine a, certes, connu récemment une croissance liée à la multiplication des lois, des règlements et des obligations contractuelles en matière de sécurité des données. Par exemple, en France, la loi a contraint les opérateurs d'importance vitale (OIV) à respecter les directives nationales de sécurité (DNS) imposées par l'Etat. Les organismes qui acceptent les paiements par carte bancaire doivent, quant à eux, prendre désormais l'engagement contractuel de se certifier PCI-DSS pour la protection des données bancaires. Mais la crise financière internationale commence maintenant à se faire sentir dans notre domaine.
Cette crise impose une rationalisation, qui risque d'avoir une conséquence extrêmement regrettable : la SSI est en train de perdre ce qu'elle a de plus précieux, à savoir l'expertise.
Il faut le dire, car il est encore temps d'éviter un véritable échec de la profession de Conseil en sécurité des systèmes d'information, échec qui serait d'autant plus cuisant qu'il ne serait pas le premier. Le marché de la SSI doit se réveiller pour sauver l'expertise indispensable à la mise en œuvre des politiques de sécurité, qui, mine de rien, participent aux équilibres de la société.
Aujourd'hui, les enjeux de la sécurité des systèmes d'information sont mieux compris par certains dirigeants qu'auparavant, grâce notamment aux révélations sur la NSA évoquées plus haut, ou du fait des incidents qui se multiplient. Dans le même temps, la sécurité des systèmes d'information se révèle de plus en plus complexe techniquement, et toute la réussite de la sécurité dépend directement de la compréhension et la maîtrise de cette expertise.
L'expert, cet incompris
Ce mouvement s'accompagne-t-il pour autant d'une montée en compétence et en expertise des consultants en sécurité informatique ? Non. Il s'agit pourtant d'un domaine majeur pour les ingénieurs. Dans les faits, la sécurité se banalise, sous couvert de «professionnalisme» ou encore de «maturité». Les sociétés de conseil et d'audit en sécurité ne sont plus des «amateurs» hyper compétents, mais des «professionnels», qui pilotent par la marge et exploitent surtout l'incompétence des consommateurs de SSI. Quel responsable en sécurité comprend encore à quoi sert l'expertise ?
La sécurité consiste aujourd'hui à intégrer, à empiler les produits, à faire de la supervision, du pilotage, et des tableaux de bord… La véritable expertise est morte, vive l'expertise en tableaux de bord. Peu importe que le produit serve à réduire les risques, ce n'est pas l'objectif, peu importe qu'il détecte les logiciels malfaisants, ce qui compte, c'est que les tableaux de bord soient «jolis» et démontrent l'intérêt, parfois hypocrite, porté à la sécurité, dans le seul but de pouvoir montrer, en cas d'incident, que l'on avait pris «les précautions nécessaires». Cela pourrait bien expliquer pourquoi les budgets dépensés dans ces produits empilés représentent cent fois le budget dépensé en expertise.
Le consultant lui-même n'est plus un expert, mais un produit, vendu en gros, à coup de contrats qui valent dix fois les forfaits d'expertise. Ce «consultant» analyse des données, enquête sur des ordinateurs, et a finalement perdu toute curiosité ou passion pour le sujet.
Les consultants réalisent de plus en plus des missions longues qui s'apparentent à des régies. Ces missions longues forment le consultant débutant, cependant elles ne permettent pas toujours la montée en expertise que permettent la diversité et l'hétérogénéité des missions courtes.
Redonner à l'expertise sa place
Combien de pilotes d'audit de sécurité comprennent le fond ? Très peu. La plupart ne commentent que sur la forme et seuls quelques-uns seraient effectivement capables de réaliser l'audit qu'ils pilotent. Et dans l'équilibre des forces, il y a maintenant bien plus de pilotes d'audit de sécurité que d'experts en sécurité, à l'exception notable de l'ANSSI qui emploie aujourd'hui beaucoup de vrais experts.
Or, celui qui réduit les risques, fait combler les trous et corriger les failles, c'est l'expert en SSI. Lui seul possède la connaissance et la capacité de réflexion indispensables. Il se met véritablement dans la peau de la personne malveillante, et il n'y a qu'ainsi que la sécurité progresse. L'expert est quotidiennement à l'écoute, au courant. Il est nécessairement motivé et passionné. Cette fulgurance technologique est commune à toutes les niches et n'est pas spécifique à la SSI. L'expert se forme et se certifie, il suit et donne des conférences, démontrant ainsi sa volonté de se maintenir au meilleur niveau et de partager son expertise et son expérience.
Pour éviter un nouvel échec de la SSI, il faut vraiment que nous redonnions à l'expertise une place de choix, sans quoi notre métier risque petit à petit de disparaître.
