« On se demande finalement si à force d’empiler des solutions et d’être toujours vulnérables on ne ferait pas mieux de tout ouvrir. Ca coûterait peut-être moins cher, et après tout il y a bien des cultures basées sur l’ouverture et la transparence, comme le modèle nordique par exemple » affirmait hier soir, un brin provocateur, Patrick Langrand, le RSSI du Groupe La Poste.

La sortie n’a bien entendu pas été du goût de tous les participants à cette conférence organisée conjointement par Atheos et Qualys, mais elle a parfaitement joué son rôle d’introduction au thème du jour : que faudrait-il faire pour que ça marche ? (ou, plus cérémonieusement, comment « optimiser votre protection face aux menaces actuelles« ).

Et là Patrick Langrand a son idée : « il y a toute une industrie de sécurité offensive à créer« , explique-t-il. La meilleure défense serait-elle donc encore l’attaque ? Le sujet aurait en tout cas été intéressant à aborder, d’autant plus que nous aurions alors pu profiter de l’expertise en la matière de Samuel Dralet, responsable technique d’AtLabs, la filiale d’audit d’Atheos, et animateur du site www.lasecuriteoffensive.fr

Mais le programme a préféré prendre un tour un peu plus classique en abordant notamment la complémentarité entre l’audit de vulnérabilités automatisé et l’audit manuel. Sans grande surprise Samuel Dralet nous a appris que l’audit automatisé est idéal pour traiter du volume tandis que l’audit manuel permettra de comprendre la logique métier d’une application inconnue afin de la compromettre. Rien de franchement neuf ni de très palpitant jusqu’ici, donc.

Plus intéressant a été l’accent mis sur la notion d’exploitabilité des vulnérabilités détectées. Car il est certes bien utile de savoir qu’une faille existe, mais il sera difficile d’évaluer le risque que celle-ci représente pour le Système d’Information si l’on ne peut évaluer son exploitabilité. Et si cela fait souvent partie de la prestation lors d’un audit manuel, c’est en revanche encore rarement le cas dans le cadre d’un audit automatisé tant le développement d’exploits est un tout autre métier. Les éditeurs en sont conscients et nouent pour y remédier des partenariats avec des spécialistes du domaine (Metasploit, Core Impact, etc). En attendant certainement des rachats (qui ont même déjà commencés, témoin le rachat l’an dernier de Metasploit par Rapid7 par exemple).

La soirée aura également vu Eric Detoisien, RSSI du fabricant Ingenico témoigner de sa conformité PCI-DSS. A prime abord le rapport entre PCI-DSS et les nouvelles menaces peut sembler au mieux ténu. Mais Eric démontre qu’en définitive la conformité PCI-DSS consiste à suivre (bêtement ?) de bonnes pratiques.

Alors peut-être sommes-nous passés à côté de la morale de cette soirée, mais nous en retiendrons surtout qu’il n’y a finalement pas à chercher très loin l’optimisation de la sécurité face aux menaces, qu’elles soient anciennes ou nouvelles (par exemple, en guise de nouvelles menaces, celles introduites par le contexte d’applications SaaS multiples auquel l’entreprise doit faire face, tel que l’a détaillé Christophe Bianco, Directeur Général EMEA de Qualys).

Finalement, un socle de bonnes pratiques éprouvées et des processus efficaces afin de maintenir dans le temps ces bonnes pratiques permettront déjà d’aller loin. Pour le reste – et c’est l’autre morale que nous retiendrons de cette soirée – c’est aux fournisseurs de solutions de sécurité à s’adapter !