Lorsque l’actualité bat de l’aile, les experts soit se drapent dans un mutisme altier, soit s’amusent à écrire des petits billets provocateurs en utilisant des ficelles de présentation inusables. Et parmi les plus usitées, la technique du « top ten » du « décalogue de la sécurité » ou de la règle de trois pour apprenti-chasseur de failles. Ca évite de devoir penser aux transitions et offre l’avantage de pouvoir jeter pêle-mêle des idées sans réel lien, qui, prises indépendamment, n’auraient pas , justifiées un traitement de plus de trois lignes. Et parfois, le résultat est intéressant.
Ainsi sur ShackF00, le blog de Dave Shackleford, qui dresse la liste des 5 erreurs les plus communes commises lors de l’établissement d’un programme de sécurité. Des constats simples, presque des portes ouvertes : « pas de budget, pas de support de la part de la hiérarchie, pas de plan : les premières raisons d’un échec sont souvent politiques ». Viennent ensuite l’absence de ressources de monitoring (au sens administratif du terme), les carences de maîtrise technique ou de suivi des processus primordiaux (gestion des correctifs ou des configurations par exemple) et, enfin, un mauvais respect des règles de conformité.
L’autre article-listing est signé Adriano sur My Information Security Job. Il recense les 7 « choses qu’un homme sécurité devrait faire ». A commencer par communiquer, et remplacer le sempiternel « nonpaspossible » par un diplomatique « peut-être ». Simple question de rapports humains. Mais les points suivants sont moins classiques. « Utilisez les réseaux sociaux, c’est une source d’information comme un autre… et ne vous contentez pas de lire. Bloguez, que diable. Nous sommes dans un monde de liberté de parole ! ». Une attitude relativement Britannique. En France, à une dizaine d’exceptions près, il est rare qu’un spécialiste sécurité s’épanche sur le Web. La « hiérarchie n’apprécie pas ». Surtout dans le domaine bancaire, ou l’omerta est valorisé à 15% net d’impôt. « Surveillez l’évolution des budgets sécurité, gardez un œil sur les niveaux de salaire »… et l’auteur d’expliquer qu’un CV avec une qualification CISSP, ISO 2700x ou PCI DSS, ça ouvre bien des portes et explique la raison pour laquelle les salaires de la profession ne sont pas particulièrement en baisse. Là encore, la hiérarchie ne va pas apprécier. L’administrateur du site, en revanche, n’espère que çà … My Information Security Job n’est pas un blog mais un site d’offres et de recherches d’emplois spécialisés dans la sécurité informatique.