Je vous préviens tout de suite, ce billet illisible est bourré de disgressions proustiennes...
Parce que le monde est imparfait et que je connais pas encore d'industriel (même ceux qui vendent sur leurs sites web des pièces détachées à plus de 2.000.000 euros !!) qui ait réalisé une analyse de risques à la sauce 27.005 pour ses appli' web, il sera toujours difficile de qualifier le niveau d'impact du risque potentiel (trop classe comme appelation, nan ?) de la petite centaine de vulnérabilités qui forment votre rapport d'audit.
On a beau marteler durant la réunion de lancement, qu'il vous faut au minimum un classement par niveaux de criticité des différentes applications à auditer (et oui, je ne parle même pas d'actifs primaires et secondaires, car je ne veux pas brusquer le chaland toujours ignare en matière de SSI), tout ce que le chef de projet surchargé vous sortira après deux semaines de harcèlement quotidien, c'est un pov' schéma visio (avec un fond noir pour raisons de sécurité...) avec les noms des appli', ou deux noms ont été soulignés car : "ce sont les appli' dont les bases sont sauvegardées toutes les demies journées...alors ce doit être les plus importantes !!"
Tout ça pour dire, qu'il ne faut pas tomber dans le FUD complet (ça, c'est pour la citation de Montesquieu dans le titre) comme le pratiquent certains concurrents (vous savez, une de ces grosses boîtes de la région parisienne qui utilisent Nessus pour auditer des services web !), mais choisir soigneusement les vulnérabilités à mettre en avant lors de la réunion de restitution (vous savez la réunion programmée à 14h00, après le repas arrosé où les commerciaux, qui payent l'addition, ont gonflé le client avec un étalage indigeste de chiffres et de succes story... et d'où il ne faut pas repartir sans avoir fait signer le sacro-saint PV de recette).
Le plus simple, pour choisir les bonnes vuln' à mettre en avant, consiste à utiliser le ratio "facilité d'exécution"/"gain attendue" du délinquant moyen (ratio qui a fait la prospérité de l'ancien maire de New York et de nos chers ministres de l'intérieure, avec la cèlèbre politique de la tolérance zéro, mais ceci est encore une autre histoire...).
Le fait est, que ce sont ces vulnérabilités qui sont les plus simples à expliquer lors de la réunion/sieste de l'après-midi, surtout lorsque vous avez un auditoire composé de littéraires (là, je veux parler des RSSI de toutes les filliales du client qui se sont donné le mot pour la bouff' gratos, et non du consultant sénior qui a insisté pour vous accompagné, car il veut vendre au client une analyse de risques 27.005 ou une politique de sécu de 400 pages... encore que !!) qui considèrent tout sigle anglosaxon comme une grossière insulte à leur intelligence...
En fait, mon message était tout simple : je m'interrogeais sur le ratio vuln' critiques/vuln' hautes qu'il faut glisser dans un rapport d'audit ?
Ah, j'oubliais : "bonne année toi-même !" pour mes six lecteurs.
Articles
