Cette 19ème édition de la RSA Conference, qui se tient à San Francisco présente un panel de personnalités en dehors de l’industrie de l’IT, en particulier celle de la sécurité. Est-ce par volonté de l’organisation de trancher ou parce que les temps changent, outre atlantique comme ailleurs ?

Les "Ténor" de la sécurité américaine font leur show

Toute bonne conférence introduit généralement la thématique par une session de keynotes pour lancer le débat et le positionner. En deux jours, vont se
succéder, outre les ténors de l’industrie de la sécurité, des représentants du
gouvernement Us : Howard Schmidt (coordinateur de la cybersecurity à la Maison Blanche) Robert Mueller (directeur du FBI) et Janet Napoliatno (secrétaire générale de l’Us Department of Homeland Secuirty). Le tempo est donné ! Si le discourt peut paraître aussi « marketing » que celui des industriels, il marquera un changement dans les messages que nous recevons. Aux Us on ne cite pas Georges Clémenceau, mais ils auraient pu introduire la conférence par « la sécurité est une chose trop sérieuse pour être confiée à des practioners ou industriels ». Mais avant d’en arriver à ce point, Arthur Coviello (EMC Corp. and RSA), Scott Charney (Microsoft) et Enrique Salem (Symantec) ont lancé le débat et planté le décor. L’informatique de demain ne ressemblera plus à celle d’aujourd’hui ! les notions de Cloud(s) Computing ont largement été introduites. Tout le monde s’accorde, heureusement, à dire que finalement il n’y a pas une définition unique de ce terme. Tout dépend du coté du prisme par lequel on regarde tantôt la technologie tantôt le(s) service(s).

La sécurité du Cloud en devenir

Pour certains, il s’agira de données hébergées à l’extérieur de l’entreprise, pour d’autres il s’agira d’utiliser des ressources « IT on Demand », pour d’autres l’idées que les données ne sont plus statiques, elles sont partout (Datacenter, centre de secours, postes de travail fixes, mobiles et autres devices digitaux). Mais quoiqu’il en soit, les industriels présents se tournent aussi vers des offres en mode « Cloud » dont nous ne connaissons pas encore le contenu. RSA annonce un partenariat technologique avec VMWare et Intel pour sécuriser le Cloud, ses infrastructures. Mais lequel ou lesquels ? De même pour Symantec et Amazon.

D’après une étude de RSA, 51% des questionnements autour d’un Go/NoGo vers les solutions de Cloud Computing (internes, externes ou hybrides) sont directement liés à la sécurité. Les éditeurs, dont Microsoft, insistent sur la nature des données manipulées par les systèmes, des informations personnelles. Elles ne concernent pas seulement les utilisateurs, mais maintenant les consommateurs et les citoyens. La frontière est tombée, dans les esprits des industriels, il n’y a pas des questions de sécurité pour l’infrastructure et des questions pour les infostructures. Tout est lié. Résoudre une partie de l’équation résout l’équation. Sécuriser des données, où qu’elles se trouvent, c’est sécuriser son support, le Cloud (quelle que soit sa forme) mais aussi une partie de son usage avec la pénétration, encore, incontrôlable des réseaux sociaux. Nouveaux véhicules temps réel de l’activité et des informations de l’entreprise. La cryptographie reprend de fait toute sa place dans les architectures des Systèmes d’information. Mais il restera à écrire une autre page de l’histoire de l’IT...

Les pères fondateurs de la crypto à la RSA

Cette première session de keynotes s’est poursuivie par la présence des pères
fondateurs de la cryptographie moderne : Whitfield Diffie, Martin Hellman,
Ronald Rivest, Adi Shamir et l’ancien directeur technique de la NSA, Brian
Snow. Cela a été l’occasion pour eux de revenir sur les conditions de
l’avènement de leurs travaux (les échanges laisseraient presque à penser
qu’ils sont arrivés par hasard au résultat que l’on connaît). Cela a aussi été
l’occasion de revenir sur le rôle de la NSA dans le choix des mécanismes de
cryptographie, telle que AES. Son ancien directeur technique, appuyé par Adi
Shamir et Whitfield Diffie, se posait même la question des choix et surtout des
processus internes d’évaluation.... information encore classée Top Secret :-).
Ayant compris qu’en crypto on trouvait ce qu’on ne cherchait pas, la discussion
n’a pas abouti à de grandes révélations, que nous ne connaîtrions pas encore
(faiblesse de Kasumin, d’AES, challenge Us pour SHA-3...).

En complément à ces deux premières parties, Howard Schmidt, est venu rappelé à ses compatriotes l’importance que revêtait pour la 44ème présidence américaine la lutte contre la cyber-criminalité. L’économie du pays repose, en grande partie, sur la capacité des Systèmes d’Information à être prédictibles, efficients et fiables. A cet égard, en ce 2 mars, la Maison Blanche à
déclassifier une partie d’un rapport de la commission sur la cyber-sécurité
(www.whitehouse.gov/cybersecurity) présentant les grandes lignes de défense,
d’attaque, de réponse et d’éducation en la matière. Exemple à suivre ? Mais
quand l’Amérique tousse, c’est la planète qui s’enrhume...

300 exposants à la RSA Conference

Pour sa partie exposition, plus de 300 exposants, nous avons l’impression d’être au mondial de l’automobile à Paris : enthousiasme, entrain et disponibilité des participants invitent chacun passant devant un stand à s’arrêter pour comprendre l’approche : la sécurité des données personnelles, des formes de Cloud, du poste de travail, des réseaux sociaux et bien sûr du chiffrement des données et des communications. Ils réinventent leur approche produits, et non pas seulement marketing, comment un produit que l’on croyait superflu, voire inutile, dans nos environnements de sécurité pouvait maintenant jouer un rôle dans les architectures de sécurité. Le vocabulaire change aussi : architecture et non plus infrastructure de sécurité ; ce terme sous-tend bien qu’il y a une cohésion d’ensemble entre les produits. Ce ciment ne serait-il la prise en compte, enfin, de l’idée qu’un produit ne pouvait rien sans son intégration, son paramétrage et son suivi. Là encore la complexité de la tâche qui nous attend est bien mise en perspective de l’intelligence dont on a besoin pour cerner la problématique. Cette intelligence est bien celle de l’homme, la même qui, en face, met en place la cyber-crimminalité, les cyber-attaques et demain les cyber-guerres. Si nos réseaux d’infrastructures ont besoin d’équipements qui réagissent en temps réel, ces mêmes équipements ont besoin d’un management compétent et prédictible.

Pour conclure ce flash info de San Francisco, je reprendrais les éléments que
j’utilise par ailleurs dans mes formations depuis longtemps. Les enjeux de
sécurité d’aujourd’hui sont bien d’établir, pour ne pas dire rétablir, une
vraie confiance dans l’outil informatique au travers une sécurité : efficiente,
transparente et utilisable par tous. Même si la notion de Cloud Computing fait
le buzz il y a bien une réalité tangible qui se met en place insidieusement :
la donnée n’est plus là où on la croit ! Elle est partout qui plus est en
plusieurs copies : serveurs, poste de travail, laptop, Smartphone, centre de
secours (DRP) et maintenant dans les nuages !

Gageons que si les entreprises ont de vrais problèmes de sécurité à adresser,
qu’elles expriment, que les états mettent enfin une démarche d’accompagnement volontariste, sans parler d’ingérence dans l’entreprise, à l’égard de la cyber-sécurité (voir les lignes directrices en matière de SSI de l’OCDE en 2002) et que les industriels de la sécurité et des services prendront la même mesure des enjeux à venir, et leur rôle à tenir.