L'analyse de risque est un échec
Ou comment gérer les risques techniques…
L’analyse de risque appliquée à la sécurité informatique est, et sera toujours un échec. Elle reproduit la même erreur que lorsque les techniques de calcul de fiabilité issue de l’électronique furent appliqués aux bugs informatiques : l’informatique c’est systématique, et c’est valable aussi bien pour les bugs, que pour les failles de sécurité.
L’analyse de risque, c’est un peu comme une partie de black jack, où le DSI joue la banque, et où les attaquants comptent les cartes… la théorie des grands nombres joue en leur faveur, résultat la banque, bien qu’ayant correctement calculé ses probabilité (analyse de risque), se fait tout de même avoir.
Vous entendrez souvent que le risque 0 n’existe pas, et c’est bien vrai si on considère l’ensemble des vulnérabilités techniques et conceptuelles de l’application…
Mais alors pourquoi diable utilise t’on l’analyse de risque sur des éléments techniques ???
Simplement pour rassurer et se décharger de la très lourde responsabilité qu’est la sécurité d’une application, ou d’un SI en se disant : « on a bien pris en compte les risques, et on à mis en place les bonnes actions ».
Sauf qu’une mesure de prévention d’un risque Organisationnel, ne peut pas fonctionner sur un risque Technique !!!
Arrêtons de mélanger les outils; si vous souhaitez éviter un risque technique, il faut mettre en place des mesures techniques, exemple dans la sécurité des applications Web :
- formation aux bonnes pratiques
- relecture de code (automatique, sinon c’est ingérable)
- audit de sécurité (outils de scan type w3af, paros proxy, burp suite, webinspect) lors des étapes intermédiaires du développement.
- et enfin pen-test avant mise en prod
Aie, mais ça coute cher tout ça ??? OUI, surtout si vous ne faites appel qu’à des prestataires externes. Si vous voulez réduire les coûts de tout ça, réalisez les étapes 1,2 et 3 en interne, et la 4 par un prestataire… Mettez en place une équipe sécurité, indépendantes des projets, et faites la intervenir sur l’ensemble de vos projets, vous ferez des économies d’échelle, et votre équipe ne manquera pas de défis à relever.
Vous serez gagnant sur la qualité, la sécurité et finalement sur le coté financier, car vous économiserez sur pas mal de jours de prestation 😉
P.S : Ne prenez pas des bisounours pour votre équipe sécurité, mais plutôt ces gars chiants aux remarques incisives mais justes qui vous pointe du doigt tout les défauts de l’application, et soutenez cette équipe à fond, car ils serons haïs par leurs confrères. Et pour vous assurer de leurs compétences, mettez en place une validation par un pen-testeur tiers de la version finale d’une des application qui aura subis les maltraitances de votre équipe, et informez les de la démarche : effet garanti 🙂