Tu ne commettras pas de meurtre.

Tu ne commettras pas de vol.

Tu ne porteras pas de faux témoignage contre ton prochain.

(respectivement les commandements 6, 7 et 9, sinon le mode d’emploi complet est ici).

C’est propre, net, et sans ambiguïté, au moins on sait ce que l’on a à faire – ou plutôt à ne pas faire. D’ailleurs sur les 10 commandements, 2 seulement sont des obligations, et 8 des interdictions. Mais on peut lire aussi ces phrases à l’envers, voyez plutôt : 

Tu es un meurtrier par nature. Donc tu dois arrêter.

Tu es un voleur dans l’âme. Donc tu dois arrêter.

Tu es un gros menteur. Donc tu dois arrêter.

Cela n’a pas tout à fait la même saveur, n’est-ce pas ?

Le magazine Challenge a publié les propos de Guillaume Collard, président de BPR Security :
« Le coût de la réglementation est en train de devenir plus élevé que celui
des cyberattaques ! ».
Ces propos font suite à la directive NIS 2, qui va toucher beaucoup plus d’entreprises que NIS 1 : environ 300 pour la première mouture et 20 à 30 fois plus pour la seconde. C’est sûr que la facture risque d’être légèrement salée, pas forcément individuellement, mais pour tout l’écosystème. Alors ce type d’inquiétude est légitime, n’est-ce pas ?

Eh bien en fait non, et c’est même étrange de lire de tels propos, surtout venant d’un acteur de la cyber. Pour avoir vu de mes yeux des démarches de contrôle mises en place à partir de zéro dans certaines structures, les premières itérations sont souvent révélatrices de graves dysfonctionnements, mais les suivantes aussi et ce pendant pas mal de tours de roue.

Exemple : la certification des comptes. Avant l’arrivée des CAC la première année, l’ambiance générale est à « ils ne vont pas trouver grand chose ». Passé le premier audit de certification et les sommes colossales perdues dans les tuyaux administratifs et débusquées par les CAC, l’ambiance à la deuxième itération est « ils ont déjà tout trouvé reste plus rien »…mais si ils trouvent encore des trucs. Et ainsi de suite, et l’asymptote peut mettre un bon nombre d’années à être rejointe. Et à ce stade la question qui fâche : mais pourquoi diable l’Organisation a-t-elle du attendre une obligation réglementaire pour faire nettoyer ses flux financiers (les travail réalisé par les CAC peut très bien être fait hors obligation de certification des comptes, c’est juste une histoire de volonté managériale).

NIS demande à une entreprise éligible de réaliser une appréciation des risques.

NIS demande de cloisonner les réseaux.

NIS demande de tenir à jour la cartographie de son SI.

NIS demande de maîtriser ses configurations système.

NIS demande de maîtriser ses accès distants.

NIS demande de gérer les comptes à pouvoir.

NIS demande de mettre au point un PCA-PRA.

NIS demande de superviser, de journaliser, de faire de la veille, etc.

(NIS comporte plus de 20 mesures, vous avez compris l’idée).

Mais vous pouvez aussi lire le texte dans l’autre sens, tout comme les 10 commandements ci-dessus. Les lignes du pavé juridique (et des décrets et arrêtés qui vont suivre) deviennent alors : 

– vous êtes tellement nuls qu’en 2025 il faut vous forcer par la loi à faire une analyse des risques ;

– vous êtes tellement nuls qu’en 2025 il faut vous forcer par la loi à cloisonner vos réseaux ;

– vous êtes tellement nuls qu’en 2025 il faut vous forcer par la loi à tenir à jour une cartographie de votre SI ;

– vous êtes tellement nuls qu’en 2025 il faut vous forcer par la loi à maîtriser vos configurations système.

– vous êtes tellement nuls qu’en 2025 il faut vous forcer par la loi à gérer vos accès distants.

– vous êtes tellement nuls qu’en 2025 il faut vous forcer par la loi à gérer vos comptes à pouvoir.

– vous êtes tellement nuls qu’en 2025 il faut vous forcer par la loi à mettre au point un PCA-PRA.

– vous êtes tellement nuls qu’en 2025 il faut vous forcer par la loi à superviser, journaliser, faire de la veille.

Etc., etc., etc.

Les estimations du coût des attaques cyber sont très larges : on trouve des chiffres allant de 1500 Mds à 5000 Mds par an selon les sources. À titre de comparaison, on estime que le CA mondial annuel de la pornographie est d’environ 100 Mds, celui de la beauté d’environ 300 Mds, celui des drogues illégales ou légales (alcool et tabac) d’environ 950 Mds et le CA de toute l’industrie mondiale pharmaceutique d’environ 1500 Mds. En gros, une semaine à surfer sur Youporn, à vous tartiner de crème de jour, à fumer le tabac du pote de votre ado et à prendre des dolipranes vous coûte (en moyenne bien entendu) moins que ce que va vous coûter l’arnaque au faux conseiller bancaire, le vol de vos numéros de CB ou la fuite de vos données médicales. La cybersécurité coûte cher ? Essayez un monde sans cyber sécurité alors.

Sérieusement, il aura fallu que le proviseur descende dans la cour d’école et file des coups de règle à tout le monde, car le monde justement a été incapable de faire le basique du basique du basique en matière de cyber, alors que les signaux se multiplient depuis des années. Il faut une loi pour forcer les entreprises à supprimer les comptes VPN d’accès distants des fournisseurs dont le marché est terminé ! On croit rêver. La cyber sécurité vous coûte cher ? La faute à qui ? Pour qu’il y ait des chasseurs, il faut qu’il y ait des nuées de moineaux à l’air bien nunuche perchés sur leurs branches à la vue de tous.

Au nom du Bug, du dDos et du Saint-chiffrement,

Allez en paix mes cyber-frères, et que le bit de parité soit avec vous.

cedric@cartau.net

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.