La sécurité (et pourquoi c'est pas tous les jours faciles)
Je ne parle ici que de la sécurité telle que je la connais et travaille. La sécurité des informations et des systèmes d'information, comment on l'évalue, l'améliore. Certains concepts pourront aisément se transposer, d'autres non. Je ne parle pas de sécurité physique (ou à la marge), je ne parle pas de sécurité au sens social non plus.Quand je dis que je travaille dans la sécurité, cela signifie que je travaille sur des projets à garantir la meilleure protection des actifs. Seulement, comme le monde est toujours affaire de pragmatisme, cela n'est à faire qu'en regard du "coût" au sens propre comme au sens figuré qu'a cette sécurité.
La sécurité est une activité toujours difficile à financer et à vendre par nature. Essayer de trouver pourquoi avant de lire la phrase suivante.
Si vous vous êtes déjà posé la question sans y avoir été confronté et globalement si vous avez trouvé la réponse, bravo. La sécurité est difficile à financer car elle n'a pas pour but de faire gagner de l'argent mais uniquement d'éviter d'en perdre. C'est tout bête, ça peut sembler évident, mais cela rend toujours plus difficile de débloquer un budget car vous ne pouvez qu'exceptionnellement exhiber un "gain potentiel" à ceux qui détiennent les cordons de la bourse, et les rares fois où c'est le cas, c'est parce qu'il y a déjà eu perte.
La sécurité, c'est aussi être vu comme un gêneur et un poseur de contrainte par les gens qui travaillent, à raison, et donc se faire parfois (souvent) des ennemis. Et c'est également être "responsable" si, malgré tout, quelque chose se passe mal.
Bref, travailler dans la sécurité, c'est un peu une vocation. Surtout que la plupart du temps, vous ne parlez pas chinois à vos interlocuteurs, vous leur parlez en ancien égyptien.
Risque, vulnérabilité, menace, actif, impact...
Le problème de la sécurité, c'est que c'est un concept très vaste (même en le restreignant au champs énoncé).Du coup, comme tout sujet, elle a son vocabulaire. Et notamment, ceux d'un champs que je pratique et qui est lié à la norme ISO 27005 (pour ceux qui souhaiteraient approfondir le sujet), l'analyse de risque.
Désolé, la suite pourra sembler un peu barbante, mais elle est nécessaire.
Dans tout système, et je parle là tant d'un système d'information qu'un système physique, on peut identifier des actifs primaires ou secondaires.
- Les actifs primaires portent ou produisent de la "valeur"
- Les actifs secondaires ne sont là eux que pour permettre l'utilisation ou le bon fonctionnement des actifs primaires.
Ces actifs peuvent porter une vulnérabilité, c'est à dire une faiblesse qui peut être exploitée par une personne malveillante ou même accidentellement.
Sur une autre comparaison un peu plus claire, prenons comme système un coffre-fort (actif secondaire) protégeant votre précieux (actif primaire). Il se trouve que votre coffre-fort a une très bonne serrure, résistante et inviolable (nécessite une empreinte palmaire et de l'iris avec identification par capteur et caméra thermique qu'il ne s'agît pas d'un organe arraché ou contrefait, soyons fous). Mais ce coffre a un fâcheux défaut : ses charnières sont un peu faibles. Voilà la vulnérabilité. Une action mécanique volontaire ou involontaire sur la charnière peut arracher/déboîter la porte.
Se dessine alors un scénario de menace : un cambrioleur avec un pied de biche peut réussir à forcer votre coffre et s'emparer de votre précieux. La menace plus générale est donc le vol de votre précieux.
Maintenant, il faut encore identifier l'impact de la réalisation de cette menace : une perte en argent (le coffre contenait vos économies), un problème d'image (le coffre contenait une VHS de vous en charmante compagnie lors de vacances ce qui pourrait compromettre votre carrière politique ou votre mariage), juridique ou réglementaire (vous encourez une amende pour la perte du contenu et/ou sa diffusion), opérationnel (le coffre contenait les clés de votre voiture, oui vous êtes parano, il vous faudra donc vous déplacer à pieds. Espérons que vous n'êtes pas VRP), ou humain (le coffre contenait l'antidote contre le technovirus qui parcours votre corps. Si vous n'en trouvez pas, vous risquez de vous transformer définitivement en cyborg décérébré).
Le risque, ou plutôt le niveau de risque, c'est le produit de la probabilité de survenance du scénario par l'impact.
Risque = Probabilité x Impact
Si seul un kryptonien armé d'un pied de biche en adamantium peut ouvrir votre coffre, vous pouvez y déposer tout l'or du monde ou l'anneau unique.
Si votre coffre contient votre liste de courses pour ce soir... vous avez plus de chance de l'oublier qu'autre chose, autant jeter le coffre ou le laisser ouvert.
Voilà, mon métier, actuellement, c'est jongler avec ces concepts. Analyser des projets, plus ou moins avancés, pour identifier les vulnérabilités, évaluer ou faire évaluer les impacts par des gens en ayant la capacité, et proposer des solutions visant à réduire le risque (pas forcément le supprimer), lesquelles devront être arbitrées en fonction de leur coût (en argent, mais également en désagrément) comparativement aux menaces contre lesquelles on se protège.
Si ce billet vous a semblé intéressant, si vous notez une erreur ou souhaitez que je développe un point dans les limites de mes capacités, n'hésitez pas à le signaler.
Si je ne chasse pas le clic, vous avez toutefois le droit de relayer cette adresse à qui serait intéressé.
Aucun commentaire:
Enregistrer un commentaire