Tout comme les hordes de pirates qui menacent l’avenir de la culture et l’Art, le prétexte de la menace Scada est trop séduisant, l’efficacité de la rumeur trop importante pour qu’elle ne serve pas de catalyseur. A force de crier au loup et au risque Scada, certains experts pourraient bien provoquer des réactions des politiques totalement disproportionnées par rapport à l’analyse de risque.
En attendant les détails de la Loppsi (ou Lopsi2) en France, voici les promesses de la CyberSecurity Bill aux Etats-Unis. Internet est devenu un tel lieu de perdition qu’un projet de loi US vise à donner à la Présidence la possibilité de « fermer Internet » en cas de péril national, et de sanctionner par une « licence » la pratique du métier de cyber-expert en sécurité. Un Ordre National des Gourous du Hack en quelques sortes, assimilable à celui des Avocats ou des Docteurs en médecine. Une analyse passionnante qui nous est offerte par Joe Stewart de SecureWorks
.
L’idée même d’un centre de contrôle national centralisé capable de gérer tous les indicateurs d’une « cybermenace » relève un peu de l’utopie, fait remarquer l’auteur. Une utopie qui est d’ailleurs fort bien décortiquée au fil d’un tête à tête opposant Bruce Schneier et Markus Ranum, confrontation organisée par nos confrères de Security News. Chaque département, chaque secteur particulier doit posséder ses propres experts, rompus aux difficultés intrinsèques de son milieu. Le DoD se charge de la sécurité des armées, le FBI de la défense intérieure, et ainsi de suite. Ce qui ne contredit pas l’idée d’une sorte de cellule de crise unique fédérant les avis, chère à Ranum. Mais en aucun cas un modèle « top down » ne peut fonctionner. Un censeur central, un « manitou » de la cybersécurité –une chimère que poursuivent d’ailleurs tous les gouvernements occidentaux à tendance atlantiste- est un non-sens absolu, une folle prétention de tout connaître, un espoir vain de voir appliquer une sorte de « solution-décision radicale et unique » pour parer une menace qui serait évidente et aisément cernée. Une chose est certaine : quelque soit le pays, quelque soit la tendance politique, quelque soit la structure gouvernementale -des plus totalitaristes aux démocraties se réclamant d’un libéralisme éclairé- la mode est au contrôle et à l’écoute permanente des médias numériques. Que la chose soit techniquement envisageable ou non, que ces menaces poussent ou non les usagers à utiliser des mesures de contournement dignes des grandes heures de la résistance des maquis de 44, Internet pousse les politiques à verrouiller Internet sans même chercher à comprendre ni son utilité, ni les principes qui le régissent. Ceci en vertu du principe qui dit « celui qui peut détruire ou interdire l’accès à une richesse en détient le contrôle absolu ». Internet est paradoxalement une infrastructure Scada qui représente donc un danger pour les autres infrastructures Scada.
Reste le second point du projet de loi « Cybersecurity Bill » : la tentation de « l’ordre des CISO ». L’idée n’est en soit pas très révolutionnaire, et plus ou moins inscrite génétiquement dans les réactions des entreprises et des administrations. Car cette « licence » cybersécurité existe dans les faits : CISSP, SANS GCIA, MCSE, CCSA, CCSE, CSA, CCNA, CNA, Iso lead auditor … tout çà vaut bien une « équivalence » de permis de conduire un audit officiellement, après tout. Reste qu’un expert n’est généralement expert que dans un domaine précis. Et s’il en est lui-même très souvent conscient, ce n’est pas nécessairement le cas de ses clients, qui voient en lui un sauveur, un savant digne des grands maîtres de l’Universalisme, une réponse imparable à tous les problèmes. En bref, un antivirus ou un firewall fait homme.
Il suffit d’assister à quelques-unes des grandes conférences consacrées à la sécurité pour se rendre compte que le diplôme ne fait pas la science, et que les découvertes les plus importantes –ou les expertises les plus solides- sont parfois l’œuvre de gens qui n’ont cure des diplômes. Un Luigi Auriema, un Matthieu Suiche, un Paul (de GreyHat) sont les preuves vivantes de l’ineptie de cette course à l’expertise diplômée. Un cursus cadré est sans le moindre doute la preuve d’une connaissance acquise, mais édicter cette connaissance au niveau d’une « charge » professionnelle, avec patente et pas de porte serait le meilleur moyen de tuer la spontanéité de la profession. Et par là même son efficacité.
