Il faut tout internaliser : les pirates comme les chasseurs de pirates. Commençons donc par les chasseurs, en leur offrant un stage de véritable piratage , explique Information Week. Un chasseur sachant chasser les casseurs de code, doit pouvoir penser comme eux, maîtriser leurs méthodes, enseignent en substance les profs de Vigilar. Cette société forme au « hethical hacking » à raison de 2500$ par cursus. Un business qui ne peut que rapporter, tant la demande est forte. A tel point que le chiffre d'affaires de cette école des hacks devrait friser les 50 millions de dollars cette année. Selon IDC, il existe aujourd'hui 500 000 postes de spécialiste sécurité aux USA. Il en faudra 800 000 en 2008. En attendant cet âge d'or du RSSI, les élèves de Vigilar planchent sur l'usage de Nmap, dépiautent de l'exploit, triturent de la faille. Un pavé dans la mare des patrons de la sécurité qui, jusqu'à présent, clamaient haut et fort « yé né pas bézouin d'écrire oun virous pour savoir comment protézer moun rézeau ». Par les temps qui courent, pour bien divulguer une information, il est plus simple de la déposer sur le disque dur d'une banque. C'est moins cher que les services d'une attachée de presse, et la diffusion est immédiate, rapide et mondiale.

Mais comment internaliser les pirates ? C'est déjà fait estime Deloitte and Touch dans le Rapport général 2005 sur la sécurité des entreprises de services financiers . Un tiers des sondés admet s'être fait pirater « de l'intérieur » (soit 14% de plus que l'an passé), alors que les attaques externes ne constituent que 26% des menaces (23% l'an passé). Une double croissance qui reflète aussi bien l'augmentation des malversations « maison » par corruption ou concussion, que la montée en puissance des escroqueries provenant du Wan et utilisant des techniques de phishing, DNS Pharming etc.

Comment se protéger ? Avant tout en maintenant un effort d'équipement constant. Notamment à coup de passerelles de protection : Antivirus, 98 % de taux d'équipement (contre 87% en 2004), VPN (79% en 2005, 75% en 2004), filtrage de contenu et monitoring (76% cette année, 60% l'an passé).

En appliquant méthodiquement les réglementations et normalisation en vigueur. Sarbanes-Oxley notamment, même si, remarquait Alan Greenspan, le patron de la « Fed » « les fruits d'un tel déploiement serviront les générations futures plus que la notre ». Même si l'efficacité de SarbOx est illusoire, il ne faut pas perdre de vue que « ceux qui ne s'y conforment pas risquent de voir leur réputation en souffrir ». Mais les Sarbanes-Oxley et Bâle II ne font pas tout. 69% des sondés déclarent avoir entamé des procédures d'encadrement et de gouvernance de la sécurité des systèmes d'information. 18% sont en train de s'y préparer. Mieux encore, 81 % assurent s'être alignés sur des recommandations de bonnes pratiques, notamment ISO 17799 :2000 (67%) Itil (39%). Déjà 17 % bénéficiaient d'une certification BS 7799-2 (elles se comptent sur les doigts d'une seule main en France). Cette course à la propreté structurelle primerait même sur les autres, puisque la conformité aux réglementations passe avant tout dans 74% des cas, devançant ainsi les opérations de reporting et d'établissement des métriques (61%). Le chapitre formations, sensibilisation que l'on nous serinait à tout bout de champ il n'y a pas si longtemps, est oublié, relégué en queue de peloton. A peine 15 % des budgets, comparés aux 64% consacrés à l'achat d'outils de sécurité.

Cette situation est préoccupante. On a presque l'impression que la Norme ou que la Loi agira comme une sorte de transe chamanique miraculeuse. D'accord, un minimum d'encadrement et d'ordre sont nécessaires à toute sécurisation d'infrastructure. Mais l'abus de contraintes provoque souvent l'effet contraire. Sans sensibilisation, sans formation, sans explication... bref, sans intelligence, une mesure de sécurité est souvent prise comme une forme de brimade ou une entrave. Il est dans la nature humaine de s'ingénier à la contourner. Les mots de passe s'échangent à tous vents -ce qui n'est pas toujours un mal-, les procédures ne sont plus suivies, les méthodes sont « biaisées ».

Pendant ce temps, la montée en puissance des forces criminelles commence à coûter très cher. Il y a deux ans, le Cifas britannique (Credit Industry Fraud Avoidance Scheme) avouait environ 1 milliard de dollars de pertes causées uniquement par les conséquences des vols d'identité. Insistons sur le fait que ces chiffres remontent à 2003, époque où le mot phishing n'existait pas encore.

Mais SarbOx s'imposera, par la force si nécessaire. Les USA donnent le ton, avec une FTC qui commence à distribuer des mauvais points et des amendes aux entreprises traitant avec trop de légèreté la protection de leurs SI. Et ce, même en absence de toute attaque ou piratage. « Pas besoin de se faire pirater pour retenir l'attention de la FTC » titre Security News. Et de citer l'exemple de nos confrères Ziff Davis, du libraire Barnes & Nobles... les condamnations ne sont pas très lourdes, mais ont valeur d'avertissement.

Les hackers fonctionnent en temps réel, et vous ? demande Phil Hollows du Sarbanes-Oxley Compliance Journal. Pourrait-on imaginer voir en France un mensuel intitulé « L'Officiel de la BS-7799-2 » ou « L'Argus de Bâle II » ? Les propos de Hollows sont simples : SarbOx réglemente les mécanismes comptables assurant la fidélité et la transparence des finances d'une entreprise. Or, cette comptabilité est dépendante, de nos jours, des services informatiques. Et comme les pirates du monde entier se montrent excessivement créatifs et imaginatifs, la DSI doit également réagir au quart de tour pour ne pas risquer de violer la « section 404 » de Sarbanes Oxley. Tout çà expliqué en 11 pages Web parfois assez arides.

. Web-profils.com, la place de marché du conseil et de l'ingénierie