Il y a quelques années, j'ai pris la sage décision de ne plus jamais prendre de résolution à cette période de l'année (et aux autres périodes à l'occasion !). Donc, rassurez-vous, je n'ai pas pris la résolution de faire revivre ce blog moribond... J'avais simplement envie de m'épancher un peu. Voila tout.
Newsoft m'a demandé le mois dernier de préparer une présentation sur un sujet exotique : la sécurité des systèmes SCADA. J'ai découvert ce domaine l'année dernière, à l'occasion de mon changement d'emploi. L'informatique industrielle est, d'après ma petite expérience, un monde quasi vierge pour la SSI (au sens qu'il n'a pas encore été pollué par des études savantes sur les menaces et par des usines à camemberts de gestion du risque).
Voila pourquoi, jusqu'à présent, je me suis toujours demandé si ce domaine pouvait intéresser quelqu'un d'autre qu'un SEC-geek en mal de nouveautés et qui n'avait pas envie de faire des audits de DSI bancaires consistant pour l'essentiel à vérifier la bonne séparation des tâches dans les immenses départements de ces monstres bureaucratiques...
J'ai donc été étonné, hier, en découvrant un article de MISC abordant ce sujet. Cette revue - bien que trop académique à mon gout (je n'ai pas eu le courage de continuer jusqu'au doctorat, mais mon voisin de bureau est l'un des heureux abonnés...) - est sans doute la plus méritante de la presse professionnelle française dans le domaine de la SSI.
J'ai généralement beaucoup de respect pour les auteurs d'articles de fond. Dans la presse française, ceux de MISC sont en fait de véritables ovnis comparés aux pisses-copies qui traduisent mal du tchèque ou font de la promotion-déguisée pour des feuilles Excel à 50.000 euros (sensées vous amener à la certification 27.001).
A l'occasion, je vous narrerai un jour mon amour immodéré des pseudo-logiciels SSI dont les questionnaires débuttent toujours par la célèbre ritournelle : "Possédez-vous une politique documentée qui...". Mais, dans notre milieu, il est très mal vu d'affirmer qu'un consultant sénior, qui s'évertue durant quatre jours à poser ce type de questions à un pauvre RSSI nouvellement promu, a en fait l'intention de passer l'hiver au chaud, à tricoter des politiques (F7+"nom de la boîte") chez ce client trop naïf ou trop imbu de son immense responsabilité...
Toujours est-il que j'aurais dû me méfier lorsque les auteurs ont commencé à disserter sur les affreux hackers sociopathes payés par la mafia qui ont créé une véritable industrie du malware ! L'analogie de l'usine pour parler de moins de 10.000 lignes de codes m'a toujours fait rire. Il faut dire pour leur défense que la vie de douze développeurs sans vie sociale, qui ne se sont peut être jamais rencontrés en chair et en os, peut difficilement déboucher sur un scénario oscarisable... Quant à un livre à sensation sur la cybercriminalité, il faut voir !!
Je n'ai plus l'article sous les yeux, donc je ne pourrais pas vous en faire une critique constructive. De mémoire, il continuait avec plusieurs pages de la même veine. Je me souviens d'anecdotes douteuses sur les marchés moscovites (où l'un des auteurs a dû se faire arnaqué après avoir acheté un dvd de Windows 2008, ou peut être l'un de ses amis journalistes d'investigation, qui sait...). Mais, là n'est par l'important.
La presse SSI regorge de ce type d'articles sans imagination, dont l'objectif premier est de disserter sur la Peur. Si ce blog était une tribune politique, je pourrais vous sortir un truc du genre : "dans nos sociétés, la peur est très bonne pour la consommation, qui elle même est le terreau du matérialisme, berceau de toute Peur."
Car, en fait, je peux désomais l'avouer à vous mes trois lecteurs qui se donnent la peine de lire tous mes posts jusqu'au bout : l'objectif caché de ce post faussement technique est de répondre à la question suivante : "Un français peut-il hébergé son blog chez google et nommé un post travailler plus pour d'avantage de Peur". La réponse dans quelques jours, peut être... ;-)
Pour revenir à cet article, le truc qui m'a finalement consterné est que les auteurs ont gardé la même approche pour aborder les systèmes SCADA. Apparemment, leur connaissance de ce domaine se limite à la projection du dernier Die Hard et un googling des présentations BlackHat commerciales (il faut dire pour un public d'opérationnels pour être à la page) appartenant aux quelques boîtes qui ont été grassement payées par Bush pour pondre des signatures SCADA. Vous me direz : tout ça pour vendre des scanners de vulnérabilités et des IDS aux industriels américains qui doivent également participer à l'effort de guerre contre le terrorisme ! Mais là, c'est vous qui commencez à faire de la politique. Attention !
Je ne vais pas vous faire un cours de géopolitique, mais si, ni les bedonnants de la CIA avec leurs valises de pétrodollars ni les satellites en platine de la NASA ne peuvent venir à bout d'un groupe de cinq post-doctorants chimistes ayant atteint le point de non-retour du dégout social, ce n'est pas une sonde IDS qui va les arrêter. Mais il faut avouer que les explosions d'usines passent beaucoup mieux à l'écran qu'un ERP sous AIX qui formate ses librairies.
Ce que je leur reproche le plus, c'est de ne pas avoir rassuré le public français sur la réalité des systèmes SCADA en Europe. Car, contrairement aux US où l'administrateur moyen à cinquante ans et est payé au tarif du consultant sénior français alors que les coms locales sont gratuites, les véritables systèmes SCADA en Europe sont quasiment inexistants, car non-rentables, et utilisent des réseaux vraiment dédiés.
D'après moi, les seuls systèmes contrôles-commandes européens qui présentent un attrait sont actuellement ceux des boîtes de maintenance qui sont en train, grâce aux techno DSL, de se rapprocher des réseaux où évoluent les systèmes critiques. Mais heureusement, peu d'entre eux sont administrés de manière nationale, encore que...
Cet havre de paix n'est pas le fruit de la grande sagesse des sociétés européennes, mais est simplement dû au coût de notre main d'oeuvre (les jeunes sysadmins) comparé à celui exorbitant de nos Télécoms. On peut donc remercier la non-gratuité de la téléphonie locale en Europe (et en particulier en France) pour nous éviter un scénario catastrophe à la Die Hard. N'en déplaise aux Cassandres de ce début d'année (et je ne parle pas de ma Cassandra qui se contre-fout de tout cela), tant qu'il y aura des jeunes sysadmins prêts à travailler plus, nous pourrons dormir tranquille .
Voila, bonne année tout de même.
Articles
