Parfois, les communiqués de presse font peur à la France qui a Peur. La dernière production de Bit9 débute par l’affirmation suivante : « Dans une étude réalisée auprès des responsables européens de la technologie informatique, 50% des entreprises françaises interrogées ont déclaré qu’elles s’attendent à une cyber-attaque dans les six prochains mois. Contrairement aux autres régions interrogées, les concurrents commerciaux sont considérés en France comme les premiers coupables (45 pour cent) »… alors que la psychose de l’espionnite concurrentielle ne touche en moyenne qu’entre 31 et 35 % les « responsables » des autres pays d’Europe.
Donc, dans les 6 mois à venir, le tissu informatico-industriel National va se faire Tsunamiser par des hordes de botnets lancés à 45% par des concurrents, et à 65% par des petits hackers Chinois. Madame Desachy, l’Anssi et les limiers de l’IRCGN devraient prendre des leçons. Cà , c’est de la défense proactive de première qualité, de la divination mathématique de haut vol. Sur quelles bases scientifiques reposent ces estimations ? Mystère. Quels éléments concrets viennent étayer ces craintes ? Nul ne le sait. Mais, continue l’étude, « Les autres menaces identifiées sont les hacktivistes / les organisations anonymes (35 pour cent), les pirates électroniques (31 pour cent) et les employés mécontents (29 pour cent) ». Reste 5 % dans lequel doivent probablement se réunir les employés mécontents appartenant à des organisations anonymes en dehors des heures de travail et se livrant à des activités de pirates électroniques, et quelques islamistes pédophiles téléchargeurs massifs. Et l’étude de préciser que sur un millier de responsables informatiques de France, Allemagne, Espagne et Royaume-Uni, « 58 pour cent pensent qu’il existe aujourd’hui plus d’attaques organisées par des hackeurs, groupes criminels organisés et des états-nations qu’auparavant. Seul 11 pour cent pensent qu’il n’existe aucune menace et qu’il ne s’agit que de sensation médiatique ». Métrique intéressante qui mesure ce que l’on « pense » et ce que l’on « voit dans les journaux ».
Et l’étude de continuer sur une longue énumération des risques et des méthodes d’attaques, des craintes et des superstitions. L’exposition aux risques des bases de données, l’importance stratégique des fichiers comportant des données personnelles ou des informations financières, le danger que représentent les multiples troyens, rootkits, abominables prises USB laissées à l’abandon dans les bras irresponsables des employés… Ah, DLP, quand tu nous tiens !
Si un tel « sondage d’opinion » portant sur des impressions n’apporte strictement rien en terme de métrique scientifique (il s’agit en fait d’une « quantification de la peur par type de menace »), ce genre d’étude fait tout de même ressortir l’état de psychose dans lequel certains responsables informatiques sont plongés. De Loppsi en LCEN, l’instillation de la terreur fait son chemin, et les menaces, même les plus improbables (les attaques Chinoises par exemple, ou l’ennemi de l’intérieur qui ne cherche qu’à couler l’entreprise qui le nourrit en période de crise) prennent plus de corps que la négligence caractérisée d’une politique de déploiement de correctifs traitée par-dessus la jambe. C’est le « je ne sais quoi » et le « presque rien » Jankélévichien qui fait osciller le responsable d’entreprise entre l’état de préoccupation et l’état de paranoïa.
Certes, les risques existent. Mais l’expérience nous apprend qu’une grande majorité d’entre eux ont moins pour origine les hacktivistes ou les déferlantes virales que l’usage irréfléchi d’une configuration par défaut, l’adoption trop rapide d’une technique (technologie disent les journaux branchés) dont les plâtres n’ont pas été essuyés. L’étude commanditée par Bit9 est à lire absolument, car elle reflète les craintes de ceux qui chapotent généralement les RSSI… et non la réalité de la sinistralité. C’est donc un livre ouvert sur les incompréhensions, un dictionnaire indispensable pour apprendre à vendre l’idée de la sécurité, celle qui n’est pas et n’a jamais été un poste de profit, et qui passe si mal lorsque l’on tente d’en exposer simplement les tenants et les aboutissants. Mais il n’est pas nécessaire de lire les centaines d’autres rapports du même calibre, ceux-là même qui cherchent à quantifier des avis et des impressions plutôt que des recensements d’attaques réelles ou des statistiques directement tirées des logs de nos machines.