NoSuchCon #2, le second bullshit-free hardcore technical InfoSec event parisien, s’est achevé le 21 novembre dernier. Salle comble, interventions très variées et en général d’une haute qualité technique s’adressant à un public assoiffé de « reverse » et passionné par les « PoC » les plus exotiques. NoSuchCon est une réunion placée sous le sceau de la recherche pure, frisant parfois l’ésotérisme.
Qui donc peut être intéressé par ce genre de réunion ? La communauté des chercheurs, de prime abord. Celle qui souhaite clamer haut et fort que la sécurité des S.I. ne peut se limiter à une simple posture défensive et une suite de « solutions » prédigérées genre antivirus+firewall NG+iso27xxx… Sans recherche, l’adversaire gagne toujours, ne serait-ce que lors de la première attaque, celle que ne connaissent pas encore les équipements de défense périmétrique. Sans recherche, pas d’anticipation, sans recherche, pas d’extrapolation à partir d’attaques déjà connues. Sans recherche, no fun, no profit.
Assistent ensuite à ce genre de conférence les observateurs, généralement des RSSI/CISO qui n’ont pas perdu pied avec ce monde très technique et souhaitent encore « comprendre » pour ne pas accepter comme parole d’évangile les analyses des vendeurs. Car la recherche offre le recul, contribue à l’analyse, facilite l’évaluation du risque. Une réaction légitime en ces temps de marketing de la menace, lorsque les virus arborent un logo et frappent les manchettes des journaux avant même d’être réellement repérés par les outils de filtrage. Les attaques à trois lettres (AET, CIA, APT,NSA…) provoquent parfois plus de dégâts dans les esprits et les budgets que sur les serveurs. Etre méfiant, certes, mais à bon escient, non pas en fonction de l’importance médiatique d’un danger annoncé, mais en se basant sur l’avis de véritables savants : chercheurs, CERT, spécialistes indépendants. Font également partie des observateurs quelques fonctionnaires du Ministère de l’Intérieur, de l’Anssi et de plusieurs entreprises de conseil en sécurité TIC qui viennent « faire leur marché » parmi l’assistance.
Mais cette ambiance passionnée ne parvenait pas à marquer non pas une inquiétude, mais une certaine préoccupation professionnelle. Si l’on excepte les 20 % du marché constitué par les « bijoux de la couronne » du CAC 40, quelques OIV, l’Administration, les 80 % restant, les petites, les moyennes entreprises, le secteur de l’artisanat, tous courent sans hésiter vers une informatique (et donc une sécurité) cloudifiée du sol au plafond. Même certains « grands comptes » ne s’en cachent pas, invoquant des considérations économiques évidentes. De là à estimer qu’à terme, à force de virtualiser et d’externaliser, les métiers de DSI et de RSSI vont eux également se virtualiser et s’externaliser… Ne survivront que ceux intégrés dans les fameux « 20 % » qui n’externaliseront pas ou peu pour des raisons stratégiques, et ceux, encore moins nombreux, qui travailleront pour les « externalisateurs » mêmes, au sein des Big Five et de leurs satellites spécialisés dans la SSI des grands centres de calcul et autres datacenters.
Que restera-t-il aux hommes sécurité d’entreprise ? La charge de commander des audits, de vérifier une mise en conformité, à la rigueur de collaborer à une cellule de crise… mais les mots CVE, PoC, exploit, reverse, ZDE, forensique disparaîtront peu à peu de leur vocabulaire.
Les conférences sécurité techniques résisteront-elles à cette transformation ? Toutes n’en mourront pas, mais toutes seront frappées, cédant le pas aux « salons sécurité » déjà existants, où l’on parle de commerce plus que de veille technologique. Le discours « la sécurité est un processus » pourrait bien définitivement régresser pour laisser place au leitmotiv « la sécurité est une suite de solutions » (entendons par là une succession de produits clef en main et services « on line » vendus sur catalogue, empilables à foison). Les hebdomadaires à grand tirage continueront de titrer « Les gentils hackers existent, nous les avons rencontrés ». Les politiques et dirigeants d’entreprises évoluant hors du sérail informatique, qui se heurtaient déjà à d’énormes problèmes de vocabulaire entre le jargon technoïde des chercheurs et les arguments alarmistes des vendeurs, risqueront de n’entendre plus qu’un seul son de cloche.
NoSuchCon, Hack In Paris, Hackito Ergo Sum, BotConf (classons hors concours les SSTIC) sont nécessaires à l’entretien d’une culture sécurité et à l’établissement d’un dialogue, d’une vulgarisation au sens noble du terme. Sans cette vulgarisation (et donc indirectement le concours des média), le message risque de ne plus passer entre ceux qui cherchent et ceux qui financent, ceux qui légitimisent l’usage des bonnes pratiques et ceux qui doivent coder en les respectant. Il n’est peut-être pas toujours glorieux, pas toujours scientifique de devoir expliquer en termes simples non seulement les étapes d’un travail de recherche, mais également les implications que ce travail laisse prévoir. Faire l’effort de publier cette sorte « d’executive summary » pré ou post conférence assurerait, quelle que soit la direction que prendra le métier d’homme sécurité, une communication non biaisée, étrangère à tout conflit d’intérêt et destinée à un large public… politiques et grands dirigeants y compris.