Les entreprises doivent s’attendre à ce que leurs logiciels soient toujours plus mal codés et vulnérables aux attaques de hackers. Cela est du à la pression du marché et au fait que l’informatique demeure un artisanat. Des remèdes s’esquissent à long terme.
Les logiciels vont être de plus en plus sujets à des failles de sécurité, à cause d’un mauvais codage du à la pression du time-to-market et à l’arrivée de l’internet des objets. C’est ce qui ressort de la table ronde organisée par le Cigref en clôture des Assises de la Sécurité qui se sont tenues du 30 septembre au 3 octobre à Monaco.
Question constructive
Ce constat est venu en réponse à question plutôt constructive de Didier Gras, RSSI de BNP Paribas. »Comment peut on améliorer les choses avec les éditeurs qui délivrent toujours plus de hardwares et de softwares vulnérables ? » aura demandé le RSSI.
Il décrit une course permanente contre la montre : « on dépense une énergie considérable à suivre les cycles de vie des éditeurs de plus en plus courts, il n’y a jamais eu autant de vulnérabilités, on bat chaque année des records de vulnérabilités. Quel est notre levier, qu’est ce que vous voyez en tant que DSI pour améliorer ce point ? »
La réponse n’a laissé aucun espoir côté ANSSI (Agence Nationale de la sécurité des systèmes d’information). « La situation va être de pire en pire, il faut s’y attendre, » estime Christian Daviot, chargé de mission stratégie à l’ANSSI.
Pas de solution immédiate
Il poursuit : « il n’y a pas de solution immédiate, avec le time-to-market et les objets connectés, cela va se casser la g…, on aura de moins en moins de leviers et ce sera de plus en plus mal codé et il y aura de moins en moins de sécurité. »
Face à ce désastre annoncé, l’objectif de l’ANSSI est de travailler avec les chercheurs et les entreprises qui développent les produits et les services, pour leur faire mettre de la sécurité en amont. « Pour nous, c’est ce qu’il faut faire, c’est d’essayer de changer la mentalité en amont, » résume Christian Daviot.
Autre remède potentiel, cette fois proposé par Jean-Paul Mazoyer, membre du comité exécutif du Crédit Agricole, en charge de l’informatique : créer un Cert – c’est à dire une cellule spécialisée qui identifie les vulnérabilités des logiciels et diffuse des alertes – pour chaque entreprise afin de pouvoir réagir rapidement. Car il pense également qu’il n’y a pas de levier d’action vis à vis des éditeurs.
Détourner une partie des budgets
Afin de financer ces Certs (Computer Emergency Response Team), Jean-Paul Mazoyer préconise de récupérer une partie des budgets de la sécurité informatique affectés à la protection des systèmes.
« Dans les budgets de sécurité informatique des grandes banques, une grande partie est consacrée à la protection des systèmes, que ce soit la périmétrie ou les droits d’accès, il faut absolument que l’on arrive à dévier une partie de ces budgets autour de la surveillance, et de l’organisation des Cert et des Soc [NDLR : Security Operation Center], » dit-il.
Tous les OIV (Opérateur d’importance vitale) aujourd’hui, ne sont pas équipés de Soc et de Cert, pointe-t-il. « Sans Cert une entreprise n’a pas la capacité de réaction rapide par rapport à des vulnérabilités qu’on apprend par les éditeurs ou par les autres Cert, » affirme-t-il.
Aucun levier
Quant à Christophe Leray, DOSI du PMU, il est sur la même longueur d’onde. « Quel levier avons-nous sur les éditeurs ? On n’en a pas, » répond-il. « Je crains que ce soit aussi simple que ça. Il va falloir continuer à vivre avec ça et s’équiper pour pouvoir faire face à ces vulnérabilités« , pense-t-il.
Sur ce, Patrick Langrand, RSSI du groupe La Poste, se sera montré taquin, en lançant une pierre dans le jardin des DSI, en pointant du doigt leur responsabilité sur la qualité des logiciels produits.
« Est-ce que ce n’est pas la responsabilité des DSI de réaliser un vrai effort de formation et d’éducation sur les développeurs, pour qu’ils apprennent à faire du code qui tienne un peu la route, plutôt que de nous livrer en time to market du code qui nous crée des tas de problèmes ? » interroge-t-il.
Qualité et longueur de temps
Christophe Leray aura repris la balle au bond en rétorquant que le time-to-market n’est pas synonyme de défaut de qualité, et que l’on peut aller lentement et mal coder, déclenchant l’accord et les rires de la salle.
Le DOSI du PMU aura conclu en affirmant qu’effectivement un effort de formation doit être réalisé, mais que l’informatique demeure de l’artisanat, et qu’il va falloir continuer de vivre avec ça. C’est à dire sans outil industriel qui permette de calibrer facilement des logiciels comme on peut le faire pour des produits manufacturés en usine.