23/01/2014

FIC 2014 : Quelle déception !


Je suis allé au Forum International de la Cybersécurité (FIC 2014). Je m'attendais à voir des solutions innovantes, des contres-mesures électroniques, des systèmes de protection étatique, de protection du citoyen.

Je suis véritablement déçu de constater que tout ce que proposent les champions de l'armement français en réponse à la cyber-guerre est la centralisation des logs ! De l'aveu même de l'un des fournisseurs présents : 
"oui, en fait, c'est un gros SYSLOG, c'est tout."

Alors bien sûr, pour faire bien, on a changé le vocabulaire (on parle de Security Operation Center SOC), on met des PC dans des caissons militaires, mais au final, ce que proposent les acteurs c'est juste de centraliser les logs (de quels équipements d'ailleurs, on ne sait pas..) et d'avoir des experts en 24/7 pour les surveiller (d'ailleurs, vous connaissez des experts en intrusion informatique qui font les 3-8 ?).

Heureusement, sur l'un des stands, on avait un écran géant avec la map monde et les cyber-attaques en animation façon War Games.

Les contre-mesures proposées ? On n'en parle même pas, signez donc en bas Mon Général.

Après, on fait des tables rondes entre confrères et journalistes, on parle de la NSA, de Google, de Snowden, de Stuxnet, des attaques SCADA qui nous menacent ; on se félicite des mesures de cyber-défenses, blablabla, des pôles d'intelligence économique, on tape sur les réglementations américaines ; on mélange tout, on a rien à dire. Car dire simplement, "patcher et changer vos mots de passe" cela ne fait pas assez "cyber". On évoque les menaces, mais on ne dit jamais lesquelles. Le "Know your ennemy" n'est plus d'actualité.

Ce qui me désole le plus, c'est de constater que la vision française de la sécurité repose encore sur le postulat de la sécurité périmétrique et de la réaction a posteriori. A l'heure du Cloud, des l'externalisation, des hébergements, des sous-traitants, des partages d'information, les pirates ont encore de beaux jours à venir.

Trois questions que je n'entends pas :

Quelles traces devons-nous surveiller ?
Que cherche-t-on exactement dans les logs? Ca ressemble à quoi une attaque dans des logs ?
Si on détecte une attaque, on fait quoi ? On éteint le système ? On corrige la faille en prod ? On laisse à un technicien externe le choix de bloquer à 3h du matin l'IP source de l'attaquant avec le risque d'erreur ?

On voit bien qu'il y a de gros budgets qui vont tomber pour l'armée (Loi de Programmation Militaire LPM) et que les acteurs habituels (EADS, THALES, CAP GEMINI, BULL) se placent bien pour venir les prendre. Le lobbying classique français est toujours là, avec SOGETI qui débauche l’ancien directeur de technique de la DGSE, Bernard Barbier, (il a forcément fait bruler son carnet d’adresses entre temps, ouf). 

La sécurité informatique restera un échec tant qu'elle sera vue que comme une problématique d'équipement, mais bon, il y a du budget, il faut le dépenser avant qu'on nous le retire.


PS : Je noterai cependant une initiative qui m’a plu : le permis Internet pour les classes de CM2. Dommage qu’il faille aller chercher une société privée (AXA) pour cela, mais l’important c’est quand même que les enfants et les parents seront un peu sensibilisés.

Aucun commentaire:

Enregistrer un commentaire