Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Quand le RSSI doit s’imposer

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

La mésaventure survenue récemment à la société RSA illustre probablement la difficulté que peuvent rencontrer les RSSI à être mis dans la boucle de certains projets, notamment ceux initiés par le marketing et la communication.

En ce qui concerne RSA le problème est venu d’une application mobile destinée aux participants à la RSA Conference 2014 de San Francisco. Celle-ci permet aux inscrits d’accéder via le mobile à leur programme de visite personnalisé, aux plans du Moscone Center ou encore d’être informés de l’agenda en temps réel. De telles applications sont désormais fort courantes pour tous les événements majeurs, et même Les Assises propose la sienne.

Le problème c’est que ces applications sont généralement programmées par une agence de communication tierce, qui a rarement conscience des bonnes pratiques en matière de développement sécurisé (voire qui n’a parfois rien d’un studio de développement professionnel !)

Dans le cas de l’application mobile de la RSA Conference 2014 la société IOactive a identifié plusieurs vulnérabilités importantes et, surtout, une pratique aberrante : l’application récupère localement la liste complète de ses utilisateurs enregistrés. Ainsi chaque smartphone qui installe l’application dispose localement d’une base SQLite contenant les noms, prénoms, employeur et fonction de tous les autres utilisateurs…

Ioactive RSA app

Le contenu du fichier stocké localement par l’application RSA Conference 2014 (source : IOactive)

Evidemment la société RSA n’y est pour rien : elle a confié le développement de cette application à une agence indépendante, d’ailleurs manifestement spécialisée dans l’événementiel puisqu’elle a également fournit l’application mobile des Red Hat Summit, Splunk Conf, Citrix Meetings ou encore Kaspersky Labs Events.

Toutes ces entreprises sont des spécialistes du développement et / ou de la sécurité et disposent évidemment en interne de l’expertise nécessaire pour éviter de commettre une telle boulette.

Mais dès lors que la communication et le marketing sont aux commandes, l’expertise sécurité maison semble passer à la trappe.

Cela peut s’expliquer – à défaut de se comprendre – par le schéma courant d’organisation qui place la SSI sous la DSI. Sa priorité est alors la protection du réseau de l’entreprise, de ses machines et parfois de l’information qu’elles y traitent. Autant d’actifs qui sont placés sous son contrôle direct et sont donc bien pris en charge.

Mais les activités du marketing et la communication sont en dehors de son périmètre. Les machines et les LAN de ces services sont bien entendu protégés, mais ce n’est pas là que se joue le développement de l’application mobile pour le prochain évènement. Quant aux mini-sites pour la prochaine opération marketing, ils seront de toute manière hébergés à l’extérieur, parce que c’est plus simple et souvent moins coûteux…

Bref, les contrats, les initiatives, les sous-traitants et les projets du marketing sont hors d’atteinte de la SSI. Pourtant, la composante IT existe bel et bien et ces projets peuvent introduire des risques indirects (image, conformité) et directs (ces tablettes utilisées pour scanner les visiteurs sur le stand, elles deviennent quoi en rentrant au bureau ? Et qui contrôle l’accès à l’application Cloud qui héberge les coordonnées des visiteurs recueillies pendant le salon ?)

C’est alors au RSSI de s’imposer…

Pour cela il semble vital de prendre les devants. Le RSSI peut par exemple aller discuter avec le marketing afin d’identifier les sujets à risque (mini-sites pour des opérations spéciales, applications mobiles, récupération de données personnelles dans le cadre de concours ou d’événements, etc…).
Cette sensibilisation lui permettra d’être alertés plus facilement en amont des projets. « D’une manière générale, la seule solution que nous avons trouvé pour connaître les sites mis en ligne chez nous c’est d’avoir de bons rapports avec les métiers et leur prouver que nous ne sommes pas une contrainte, afin qu’ils nous mettent au courant. Sinon ça ne marche pas » , explique ainsi un RSSI membre de notre communauté.

Si cela ne donne pas satisfaction, l’étape suivante pourra s’avérer plus contraignante. Elle consiste à créer un processus de validation prenant en compte les spécificités du marketing (en terme de rythme et de délais notamment) et tenter d’obtenir l’appui de la Direction Générale afin de le rendre obligatoire : la SSI devra alors être « mise dans la boucle » de tout projet de communication et de marketing impliquant un quelconque support numérique.
Evidemment, il est toujours plus efficace de convaincre que de vaincre, mais ce n’est malheureusement pas toujours possible…

Quelle que soit la solution choisie il sera efficace de travailler avec le marketing afin de pré-valider les « modèles » applicatifs utilisés par leurs prestataires web & mobile. Car la base technique des mini-sites et des applications mobiles est généralement copiée-collée d’un client à l’autre et seul l’habillage change. « Ces sites sont généralement pré-fabriqués à 90%, nous avons pris les devants et discuté avec le prestataire chargé de leur création afin de nous assurer que la base commune était sûre » , poursuit le RSSI.
En acceptant ainsi d’auditer au préalable cette base technique (sans oublier ses évolutions) le RSSI n’impose plus de délai au service marketing tout en s’assurant que le minimum syndical en matière de sécurité applicative est respecté.

Enfin, si rien de tout cela ne fonctionne, la solution pourra être alors de sortir le RSSI du giron de la DSI pour le rattacher à une direction plus transverse, celle des risques par exemple, voire à une direction sécurité Groupe.

Car dans l’exemple de l’application événementielle un peu trop bavarde, le risque dépasse le cadre de la SSI : il s’agit à la fois d’un risque d’image (l’histoire retiendra qu’il s’agit d’une boulette de la société RSA et non de la société QuickMobile qui a pourtant conçu l’application) et éventuellement d’un risque juridique (non-conformité aux obligations de protection des données personnelles). Le numérique n’est ici qu’un outil et l’on comprend parfaitement que la DSI ne puisse porter ces risques.

Mais les risques d’image ou juridiques seront en revanche naturellement pris en compte par une direction des risques ou une direction sécurité Groupe, et elle pourra alors choisir d’en traiter ses déclinaisons numériques via le RSSI, assisté selon les besoins par un juriste ou un spécialiste de la communication.

Evidemment, il s’agit là d’une décision structurante forte qui ne pourra venir que du RSSI, mais l’idée fait son chemin et il n’est peut-être pas inutile de la remettre régulièrement sur la table du comité exécutif… Finalement c’est là aussi pour le RSSI une façon de s’imposer, plus subtile certes, mais la fonction est parfois aussi politique que technique, non ?

(L’illustration de cet article est tirée de l’excellent jeu vidéo Bully, dans lequel le joueur incarne un jeune pensionnaire d’une école privée de la Nouvelle Angleterre)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à Quand le RSSI doit s’imposer

  1. Nicolas RUFF dit :

    L’application des Assises pourrait-elle elle-même être vulnérable ? 😉

  2. Gaduc dit :

    Le RSSI doit s’imposer. C’est une évidence voire une lapalissade.

    Mais encore faut-il qu’il soit reconnu en tant que tel.
    Depuis bien trop longtemps les RSSI français ne sont que la cinquantième roue du carrosse placé là un peu par hasard (celui qui levait la tête) suite à un audit et souvent pas compétent pour cela.
    Les choses changent paraît-il. C’est sans doute vrai mais à quel rythme ?

    Bref, on est encore loin, très loin, en France, du RSSI :

    1. que l’on écoute vraiment (et non considéré comme un gentil garçon [ou fille] jouant aux nonaudits dans son coin et assujetti malgré à satisfaire les règles « business ») ;
    2. non limité à faire mumuse avec l’informatique (l’information et, désormais, la sûreté de fonctionnement, est partout) ;
    3. siégeant en comité de direction.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.