![[Pipotron et bullshitor], les deux mamelles de la cybersécurité](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-1920x735.jpeg)
Pipotron et bullshitor, les deux mamelles de la cybersécurité
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
En gros, le concept c’est d’utiliser l’IA pour analyser de façon proactive (c’est-à-dire en avance de phase) les cyberattaques dans certains composants. Au passage on en déduit, nous autres pauvres mécréants de la cybersécurité, que s’il existe des produits proactifs, cela doit être pour les distinguer de ceux qui ne le sont pas et qui vous laissent dans la mouise après l’attaque, mais passons.
J’ai entendu tous les poncifs du genre : analyse comportementale, IA de première et deuxième génération, console d’alerte et j’en passe. Moi aussi je sais jouer. Tiens, on essaye un coup pour voir : paramétrer les bonnes pratiques autoportantes pour inscrire les signaux faibles dans un cadre de référence des forces et faiblesses conceptuelles des patterns d’attaque. Cela en jette, non ? D’autant que j’ai généré cela avec Bullshitor, plus besoin de direction marketing (j’attends le moment où les PDG réaliseront que les plaquettes marketing débiles peuvent être générées par de l’IA et économiser la masse salariale de tout un service, ça va être drôle).
Mais bon je n’achète pas et ce pour deux raisons. La première, conceptuelle, tient en une seule question : mais qui a évalué ces produits ? Je ne doute pas que l’on me sorte du chapeau un cadran magique (invérifiable) et des témoignages clients (à qui on a filé une grosse réduction pour témoigner). Non, je parle d’une évaluation par une autorité indépendante, l’équivalent des crash tests Euro N Cap ? Nada. Parce que cela supposerait de construire un protocole de test, de le faire évoluer, de concevoir des plateformes régulièrement mise à jour, etc.
Trop cher, trop lent et finalement on risque de se rendre compte que l’IA en question est au niveau basique de chez basique, du même genre que de se rendre compte en trois clics de souris que comme les cambrioleurs passent majoritairement par la porte d’entrée (authentique), les cyberattaquants passent majoritairement par messagerie / accès distants / accès VPN fournisseur avec une compromission de l’Active Directory en premier lieu et basta.
La seconde est que, globalement, l’hyper outillage dans la cybersécurité est un échec patent. Si les antivirus existent, c’est en bonne partie pour palier des OS mal écrits. On nous a ensuite bassiné avec le fait que les stratégies par signature ne fonctionnaient pas et qu’il fallait déployer des outils d’analyse comportementaux dans les AV des endpoints (encore un chèque). Puis on nous a dit que cela ne suffisait pas et qu’il fallait déployer des EDR.
Et maintenant, on nous explique que les EDR ne suffisent pas et qu’il faut déployer de l’IA. Il n’y a que deux choses sûres dans la cybersécurité : on finira tous par mourir mais entretemps, on va filer des tonnes de chèques pour des produits à l’efficacité au mieux incantatoire.
Que l’on commence déjà par tout patcher, n’avoir que des logiciels maintenus et au dernier niveau de correctif, du Zero Trust partout. Certes des 42 mesures de l’Anssi, tout n’est pas facile à mettre en œuvre. Mais au moins la moitié est à la portée de tous et, ô miracle, ne réclame aucun logiciel, aucune licence, aucun investissement à part de l’huile de coude. Le problème quand on sur-outille, c’est que le temps que l’on passe à installer, paramétrer, exploiter, remédier, c’est autant de temps que l’on ne passe pas à bloquer la porte d’entrée du « domicile informatique » par laquelle passe l’essentiel des attaquants. Dit autrement, avant d’aller chercher les outils prétendument magiques : back to basics. L’hyper outillage est un échec, et on ne résout pas les problèmes d’outillage par le sur-outillage, est-il besoin de la préciser.
J’ai un projet de coucher un jour, sur papier, toutes les anecdotes stratosphériques de ce genre vues dans toute ma carrière mais il y a deux soucis logistiques. Il va falloir bloquer plusieurs volumes de la Pléiade pour tout stocker. Mais si l’on s’en tient aux statistiques, il me reste environ trente années à passer sur cette Terre. Pas certain que cela suffise sans parler du fait que tout le monde va croire que j’affabule.
On s’en refait une pour la route ? Notre produit sert à dématérialiser le pitch intuitif dans la matrice des affectations 80/20 et il est conduit par un Chief Account Squad Leader au travers d’un diagnostic de dispersion numérique. Notre Global Design Consultant flexibilise la vision cible sectorielle en effectuant un diagnostic flash d’information consolidée lors d’un kick off de projet élargi. Oulala c’est trop, il faut que je m’assoie deux minutes, désolé.