Un Blog au stade larvaire, dont l'auteur ne m'est pas complètement inconnu : Charlatanisme digital et gri-gris en fer blanc
. Il lui reste à lacher son fer à souder...
jeudi, octobre 26, 2006
mardi, octobre 17, 2006
De la gestion du risque à la gestion de crise
Les financiers et les assureurs ont inventé la gestion du risque pour justifier des tarifs toujours plus exorbitants. Le malheur est que certains professionnels de la sécurité - et notamment ceux de la sécurité informatique - ont cru bon d'en faire un de leurs credos. L'apothéose de cette pseudo-science est aujourd'hui atteinte avec la ROI appliquée à la SSI !
Ma première question est la suivante :
Mais, le plus terrible demeure la contemplation d'un RSSI-risqueur essayant d'appliquer sa pseudo-science à la résolution d'une simple crise... Un tel personnage - bercé toute la journée par les menaces et les risques - s'efforce alors de trouver la liste exhaustives de toutes les vulnérabilités potentielles pouvant correspondre à cet incident...
Ce délire se poursuit d'ailleurs souvent par des dizaines de minutes passées (avec l'aide d'un technicien IT compatissant ou n'ayant que ça à faire) devant un schéma réseau sur tableau blanc, recouvert bientôt de sigles et de noms de protocoles toujours plus savants. Le plus navrant dans une telle situation reste ce credo pseudo-scientifique qui s'acharne à être juste et exhaustive, plutôt que simplement efficace.
La qualité première du domaine de la réponse aux incidents sont, dans l'ordre :
Ma première question est la suivante :
Lorsqu'il faut justifier ce centre de coût que constitue la SSI à un décideur, vaut-il mieux lui raconter les pires catastrophes qu'il a judicieusement su éviter l'année précédente ou bien lui promettre que cette investissement sera amorti en deux ans grâce au temps gagné sur l'indisponibilité des serveurs hyper-critiques sur lesquels sont passés tous les ordres ?Si l'adaptation au milieu constitue l'une des bases de la survie (surtout en milieu bancaire), encore faut-il pouvoir regarder ce décideur au fond des yeux lorsqu'on lui lache de telles vérités. Chacun son métier, vous l'avez deviné, je ne suis pas RSSI !
Mais, le plus terrible demeure la contemplation d'un RSSI-risqueur essayant d'appliquer sa pseudo-science à la résolution d'une simple crise... Un tel personnage - bercé toute la journée par les menaces et les risques - s'efforce alors de trouver la liste exhaustives de toutes les vulnérabilités potentielles pouvant correspondre à cet incident...
Ce délire se poursuit d'ailleurs souvent par des dizaines de minutes passées (avec l'aide d'un technicien IT compatissant ou n'ayant que ça à faire) devant un schéma réseau sur tableau blanc, recouvert bientôt de sigles et de noms de protocoles toujours plus savants. Le plus navrant dans une telle situation reste ce credo pseudo-scientifique qui s'acharne à être juste et exhaustive, plutôt que simplement efficace.
La qualité première du domaine de la réponse aux incidents sont, dans l'ordre :
- le pragmatisme ;
- l'art subtil de la prise de décision sur la base d'informations parcellaires.
Dans la gestion de crise, savoir prendre des décisions ou, plus difficile, faire prendre des décisions à une personne étrangère au domaine, reste un art plutôt qu'une science. Le problème réside en fait lorsque l'on recherche à prendre absolument les BONNES décisions ! Il est tentant d'enrober cette prise de décision dans une démarche pseudo-scientifique. Si une telle démarche peut rassurer, elle ne remplacera jamais l'expérience et le recul. Tout au plus faut-il s'appuyer sur une procédure toute simple relevant d'avantage de la check-list que des théorèmes de Sylow...
Lors d'une crise, les informations sont la plupart du temps fournies par des utilisateurs et des techniciens paniqués ou complètement blasés, selon leur ancienneté. Recruter des spécialistes relationnels des help-desk m'a souvent traversé l'esprit en contemplant une équipe essayant de répondre à un incident sécurité informatique. Ma deuxième question, à laquelle je vous invite à répondre, est donc :
Lors d'une crise, les informations sont la plupart du temps fournies par des utilisateurs et des techniciens paniqués ou complètement blasés, selon leur ancienneté. Recruter des spécialistes relationnels des help-desk m'a souvent traversé l'esprit en contemplant une équipe essayant de répondre à un incident sécurité informatique. Ma deuxième question, à laquelle je vous invite à répondre, est donc :
Est-il plus difficile de fournir le jargon technique de la SSI à des spécialistes de la relation-client ou d'essayer d'inculquer un savoir-être de base à un spécialiste SSI persuadé d'être un ÜberHacker ?Une des réponses les plus évidentes peut être : il faut ces deux populations pour une équipe de réponse aux incidents ou un hybride des deux. Si vous n'avez jamais eû à vous poser la question, soit vous êtes de ceux qui ont su persuader leur décideur du retour sur investissement en six mois d'une équipe de trente personnes, soit vous êtes de ces apprentis sorciers qui ont réussi à obtenir ou embaucher des hybrides par je ne sais quelle méthode génétique !
dimanche, octobre 15, 2006
int main() {
Un Blog concernant l'inforensique, la réponse aux incidents sécurité informatique et peut être... d'autres thèmes, suivant l'inspiration du moment.
Après réflexion - et connaissant mes tendances à l'écriture automatique - je me suis fixé comme règle d'attendre 24 heures avant de publier tout message, aussi génial puisse-t-il être à trois heures du matin...
Voila pour les bonnes résolutions.
Après réflexion - et connaissant mes tendances à l'écriture automatique - je me suis fixé comme règle d'attendre 24 heures avant de publier tout message, aussi génial puisse-t-il être à trois heures du matin...
Voila pour les bonnes résolutions.
Inscription à :
Articles (Atom)
Articles
