La sécurité informatique, c'est un peu deux poids, deux mesures
La Matrice, ça fait un peu mal aux fesses... depuis 23 ans
Il y a sécurité informatique et... sécurité informatique. Entre ce que ce petit monde donne à voir et la réalité, il y a un monde. Bienvenue dans la Matrice
Il est beau ce monde que l'éco-système a construit. Au fil des plaquettes sur papier glacé vantant les mérites de telle ou telle solution de sécurité informatique, au détour de telle ou telle déclaration d'officiels gouvernementaux, derrière le sourire "ultra bright" des commerciaux et autre patrons de pépites de la sécurité informatique, il y a un monde parfois moche, pourri par le non dit et le mensonge.
A l'époque où Guillermito était poursuivi par les branquignoles de Tegam, tout le secteur de la sécurité informatique, à quelques rares exceptions près, s'est tu. C'est fort dommage. C'était une occasion de mettre à l'index un canard boîteux. Mais un canard boîteux qui avait des contrats avec le gouvernement français...
Il est lisse, ce monde de la sécurité informatique qui n'embauche pas de hackers. Il faut lire la réponse de Philippe Courtot : "Nous avons une politique très claire: nous ne recrutons pas de hackers. Que certains le fassent, ou que les gouvernements trouvent un intérêt, parfois, à utiliser leurs compétences, ça les regarde." Un Must. Le moteur de vulnérabilités de Qualys a été codé par des hackers. Et même par les meilleurs. Il est tellement touchy et incontournable que personne n'a jamais vraiment pu mettre à jour les babasses sur lesquelles il tourne. Mais chuuuut... Où croyez-vous qu'ont fini tous les hackers qui ont marqué les débuts d'Internet ? Dans une grotte ? Dans une boutique d'aide à domicile pour neuneus de l'informatique ?
Non, sans rire, le monde de la sécurité informatique, c'est un monde de bisounours. Franchement. Que des start-up inventives qui méritent bien le soutien de la BPI et les crédits impôt-recherche ! Prenez par exemple ce vendeur de firewall applicatif next generation. Il équipe des ministère français, des banques françaises. Tout beau, membre d'Hexatrust, c'est dire si c'est un partenaire de confiance de l'éco-système de la sécurité française. Bon, évidemment, il ne faudrait pas raconter comment il espérait vendre ses produits à l'Iran. Saymal, ça fait moche dans le tableau. Hexatrust qui héberge en son sein Ercom. C'est dire comme c'est sérieux et lisse cette association !
Paye ton Bisounours
Non franchement, la sécurité informatique c'est lisse. Il y a les méchants, les légions d'Internet qui menacent le gentil monde occidental d'une cyber-guerre avec plein de cyber-morts à la clef. Et puis il y a les gentils, les sociétés qui ont besoin de se défendre contre ces hordes de pirates sans foi ni loi. Enfin, il y a les super-gentils, ces sociétés vendeuses de solutions miracles, qui protègent notre cyber-espace.
Prenez l'Express par exemple et totalement au hasard. Un gentil journal qui ne raconterait jamais des énormités à ses lecteurs. Voilà t'y pas que des malfaisants ont récupéré une base de données avec près de 700.000 profils bien renseignés pour le plus grand profit des marketeux du journal. Les 700.000 personnes dont les données ont fuité peuvent dormir sur leurs deux oreilles. Aucun risque d'usurpation d'identité. Non, c'était un serveur de test ! Pour ceux qui ont de la mémoire, la gadgetophrase « ce serveur était un serveur de test totalement déconnecté des bases de données de production. A aucun moment les données de nos clients n'ont été mises en péril », n'est pas une nouveauté.
Non, dans ce monde tout blanc et tout noir qu'est celui de la sécurité informatique, il y a les méchants, les légions d'Internet, Bluetouff qui télécharge des données publiques archivées par Google, Kitetoa qui accès à une base de données de Tati avec son navigateur et puis il y a les gentils : les entreprises qui sont victimes de ces méchants. Que peut-on reprocher à l'Express ? Sa mauvaise gestion de l'affaire ? Peut-être le parquet de Paris qui se démène tellement pour faire condamner Bluetouff pourrait-il se réveiller et se souvenir de l'article Article 226-17 du code pénal :
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Ça vaut pour un serveur de production comme pour un serveur de test pourtant...
On pourrait peut-être, pour une fois, même si le RGDP n'est pas encore effectif, prendre en compte les véritables victimes, lâcher la grappe aux méchants qui n'en sont pas et arrêter de croire que le secteur de la sécurité informatique est un monde Bisounours ?