L’édition 2010 du « Livre Bleu » des Assises de la sécurité ne ressemble en rien à aux précédentes versions. En s’appuyant sur des études universitaires et des enquêtes conduites par l’Enisa, cet ouvrage d’une soixantaine de pages compare les métriques des années 2000 et les chiffres actuels, les attitudes du marché d’alors et les règles qui régissent les échanges aujourd’hui, et le métier d’homme sécurité tel qu’on l’envisageait au début du millénaire et ce qu’il est devenu depuis.
Côté chiffres, le monde IP est passé d’un réseaux de 400 millions d’internautes à près de 2 milliards d’usagers. Le développement des services haut débit et des accès mobiles, encore balbutiants de 200 à 2003, a brusquement décollé. Les Malwares aussi. Car l’an 2000, c’était aussi l’année de I love you, un virus étonnamment vivace qui touchera plus de 3 millions d’ordinateurs. Les choses changent peu en 2010, avec « entre 3,5 et 10 millions » d’infections provoquées par Conficker. Un virus tout frais issu des nouveaux outils de génération automatique de malwares, et dont on ne sait toujours pas ce qu’il pourrait détruire le jour où il se déclenchera.
Cette décennie aura également vu l’apparition d’une exploitation tactique et stratégique des outils internet ainsi en 2007 : affaire de « l’étudiante Chinoise » soupçonnée d’espionnage informatique. 2007 encore, avec l’attaque informatique dirigée contre l’Estonie par… on ne saura jamais officiellement. 2008 : première cyber-attaque officiellement constatée lors du conflit Russo-Géorgien. 2009 : multiplication des opérations de propagande et de « cyber-jihad » organisée par des groupuscules fondamentalistes. Les Etats se battent à fleurets mouchetés, masqués par les paravents des adresses IP, des mercenaires mafieux et l’anonymat des proxys.
Pendant ce temps, les auteurs de malwares d’origine mafieuses font tout autant de progrès. A peine connus en 2000, les grands botnets commencent à faire la loi et inondent les réseaux de campagnes de spam et de phishing et tendent d’accroître leur mainmise sur Internet sous des déluges de chevaux de Troie. Lorsque tombe McColo, l’un des « hosteurs » les plus véreux de la filière mafieuse Russe, le niveau de spam mondial chute brutalement et 450 000 relais se taisent. Hélas pas pour très longtemps. La criminalité, nous rappelle le Livre Bleu, n’est qu’une succession de prises de pouvoir entre cybergangs.
Et les hommes sécurité ? Eux aussi évoluent. Il est loin le temps du « business sécurité » reposant sur l’alarmisme et la terreur. L’antivirus et le firewall sont devenus des « commodités », le RSSI est plus accaparé par des questions de gouvernance que par des problèmes techniques purement binaires. « Plus architecte, moins politique » résume le Livre Bleu. L’opérationnel recule devant l’analyste-architecte, mouvement amorcé par ISO 27001, par la généralisation des CIL (Correspondants Informatique et Liberté), par la lente évangélisation en matière d’intelligence économique (considérée il n’y a pas 10 ans comme une perte de temps et une non-discipline). Les obligations de protection des données personnelles et des « avoirs numériques » de l’entreprise ont changé les mentalités. Et ces tendances à une sécurité de plus en plus architecturale se confirment en analysant les postes de dépense. Interrogés sur leurs priorités, les RSSI citent, dans 56% des cas, la gestion des identités et habilitations, puis, en second lieu (41%) les PRA/PCA et plans de secours. Le chiffrement des données et la préservation de la confidentialité des informations vient en troisième place (37%), suivis, ex-aequo, par le cloisonnement des réseaux/lutte anti-intrusion et les déploiements de correctifs (26%). Le RSSI de la deuxième décennie du siècle sera un organisateur ou ne sera pas.