mercredi 12 décembre 2012

Veille en vulnérabilités et patch management

Aujourd'hui j'ai repensé au patch management. Est-ce que la veille en vulnérabilité est si importante que cela ?

Admettons qu'on n'ait pas encore atteint une maturité suffisante pour mettre à jour régulièrement (disons 2 ou 3 fois par an) certaines applications telles que Flash, Adobe Reader et Java. Dès lors qu'il y a une vulnérabilité critique, est-il nécessaire de poursuivre la veille en vulnérabilité sur ces applications jusqu'au déploiement de la nouvelle version ? Certains diront qu'il faut aussi faire de la veille sur l'exploitation de ces vulnérabilités, par exemple en regardant les failles exploitées dans les principaux exploit packs. Malheureusement ces informations sont encore dures à obtenir. Ou alors on se limite aux logiciels commerciaux comme le fait Nessus en listant les vulnérabilités exploitées par Metasploit, Core Impact et Immunity.

Prenons maintenant le cas opposé, un parc Microsoft avec un bon WSUS ou SCOM. Si la mécanique est bien rodée et que les patchs sont déployés dans le mois courant, faut-il faire plus de veille que de suivre les patchs hors cycle ?

Il me semble donc que dans tous les cas une veille intense n'est pas nécessaire. A noter que je ne m'avance pas pour les environnements critiques et industriels qui sont d'un autre ressort.

PDCA et sécurité opérationnelle

Je disais dans un post précédent que les phases "prévention, détection, réaction" sont intemporelles. Alors est-ce qu'elles collent avec le fameux plan-do-check-act de la roue de Deming ?

A mon humble avis, la prévention correspond au DO. Ce sont les mesures qu'on met en place qui préviennent des risques. Le firewall va bloquer les connexions, l'antivirus les virus qu'il connaît...

La détection serait le CHECK. Je vérifie les logs, je supervise mon réseau et mes serveurs.Ce sont ces étapes d'hygiènes qui constituent les contrôle interne.

Et logiquement la réaction va avec ACT. On a détecté une intrusion ? On bloque l'attaque, on diagnostique l'impact, on corrige le problème.

Nous sommes sans doute arrivé à la même conclusion. Il y a du PLAN saupoudré dans chacune des phases précédentes. Mais non ! Mon idée est différente. Ces 3 phases sont opérationnelles et j'aimerai ajouter un besoin de gouvernance qui correspondrait au PLAN. En effet on a beau avoir peaufiné son firewall aux petits oignons avec une matrice de flux minimale. On a le dernier antivirus avec console centralisée qui supprime le moindre petit virus connu. Mais la technique ne suffit pas, il faut du recul et de la stratégie sans quoi on finit vite par tourner en rond. C'est ce que Andrew Jaquith appelle "the hamster wheels of pain" dans son livre "Security Metrics".

vendredi 7 décembre 2012

Le paradoxe du compétent

Je suis tombé un peu par hasard sur les articles suivants :
the #1 career-mistake capable people make
the disciplined pursuit of less

Ils présentent une succession de 4 étapes qui mènent à un paradoxe :
  1. Les gens compétents réussissent les missions qu'on leur confie.
  2. On constate qu'ils sont compétents et on leur propose d'autres options et opportunités.
  3. Plus ils font de missions différentes, plus ils dispersent leurs efforts.
  4. Cette dispersion dans les efforts finit par nuire au niveau de compétence attendu.
Ils font une analogie avec la construction d'une tente. On plante les piquets pour se faire de bonnes fondations, puis on élève le sommet. Sauf que notre gars est tellement bon pour planter les piquets qu'on lui demande de continuer à en planter sans jamais élever le niveau de la tente. Rien de tel pour finir bas de plafond :D

Comme ils le disent clairement dans ces articles, ceci finit par nuire à la personne et à la société. Même si c'est prétentieux de dire que je me retrouve dans ce paradoxe (cela implique qu'on est compétent), j'ai quand même un exemple flagrant qui me revient souvent en tête sous forme de regrets.

Début 2009 j'ai une mission qui a été annulée et je me suis retrouvé en intercontrat et livré aux pires des rapaces. Tandis que ma commerciale travaillait dure pour me faire entrer dans une grande banque comme auditeur interne, un autre commercial m'a présenté à un client qui avait besoin en urgence d'un chef de projet polyvalent... Inutile de dire qu'ils ont été plus réactifs que le service achat de la banque. Je suis resté 8 mois à gérer des projets réseau sans le moindre aspect sécurité. Je crois que j'ai raté la mission qui aurait pu changer ma carrière. Je ne regrette pas non plus mon passage chez cet autre client. J'y ai découvert une équipe incroyablement dynamique et des méthodes de travail comme je n'en ai plus jamais vues.

Quoiqu'il en soit ma société fait preuve de naïveté en ne sélectionnant pas mieux les missions qu'elle nous confie. Cela ne contribue pas à élever le niveau de compétence de la société et les gens écœurés démissionnent rapidement. Bref mon temps est venu :D 

Me serai-je trompé ?

Peut-être que de poser mes idées sur ce blog m'a aidé un peu. J'ai aussi mangé avec un ancien collègue qui vient de changer de boîte et s'épanouit à nouveau. Puis finalement ce soir j'ai encore passé un entretien. Bizarrement j'y allais sans envie. Je ne savais pas quoi attendre d'une boîte sans réputation en sécurité et dont le chef de la branche cybersécurité (en opposition à la sécurité organisationnelle) a fait sa carrière chez les Big Four.

Pourtant à ma grande surprise il n'a pas essayé de me chercher des poux et encore moins de me prendre à défaut. Il a apprécié mon panel de compétences et de connaissances et a été honnête dans ce qu'il recherchait.

Comme je le sous-entendais dans le message précédent, il s'agit d'un poste avec une facette management, mais avant tout il s'agit d'être un référent et un guide pour les jeunes. Toutefois j'attendais quand même de voir sa vision du marché et la structuration de son offre pour me faire une idée.

Je m'attendais au pire venant d'une équipe appelée cybersécurité, mais finalement il n'en est rien. Il y a seulement trois offres qui sont pourtant logiques et évidentes : prévention, détection, réaction. Il s'agit d'une des idées maîtresses du livre "Secrets & Lies" de Bruce Schneier que j'ai eu la curiosité de lire cette année et qui m'a impressionné par son visionnarisme. En effet Bruce a réussi dans ce livre a énoncer en quelques sortes des vérités universelles et intemporelles sur la sécurité.

J'adhère donc totalement à cette structure logique et je pense qu'elle sera pertinente en tout temps alors que je ne me retrouve plus dans l'organisation décousue de ma société actuelle qui sort des offres sécurité pour mobile, sécurité du cloud, un peu de PCI-DSS, un peu de PRA, un peu de fraude téléphonique... et de la régie sans logique pour assurer le fond de commerce.

J'ai à nouveau l'impression d'avoir mon rôle à jouer dans une société et même si ce n'est pas dans celle-là ça sera dans une autre.

jeudi 6 décembre 2012

Toucher le fond pour mieux remonter !

Depuis quelques temps j'ai l'impression de sombrer et je compte sur ce blog pour me remettre les idées en place :)

Je sais que dans le monde du travail on ne peut pas toujours faire ce qui nous plaît. Alors j'ai pris mon mal en patience. Par la suite j'ai demandé à changer de poste, mais sans succès. Depuis quelques jours je pensais avoir franchi le pas en cherchant du travail ailleurs, mais sans succès jusqu'à maintenant.

Je n'avais peut-être pas encore la motivation suffisante ; je me suis ramolli en restant trop longtemps à la même place ; je n'ai pas visé des postes qui me correspondent ; j'ai des contraintes incompatibles avec certains postes. Les raisons de cet échec sont nombreuses, personnelles et m'enfoncent encore plus. Mais j'ai quand même la conviction que le système est faussé.

Je travaille dans la sécurité informatique depuis bientôt 8 ans et comme le dit si bien Nicolas RUFF, "la sécurité est un échec". Je ne vais pas argumenter ici, mais je suis à 200% d'accord avec lui. Par contre j'ai envie de faire un lien avec ma situation : "ma carrière dans la sécurité est un échec".

Comment ai-je pu arriver à cette idée ? Simplement ce que je constate au quotidien. La sécurité dans la plupart des entreprises (il y a des exceptions) n'est qu'une illusion. A l'heure actuelle les RSSI sont loin d'être tous issus de la filière sécurité, certains viennent de la qualité (la roue de Deming peut mener loin) et d'autres de la filière SI. Le niveau technique exigé à leurs équipes (ou celles du DSI) est en adéquation avec leur niveau de compétence, c'est-à-dire faible.

Si le niveau attendu des acteurs de la sécurité (administrateur sécurité, architecte, consultant, auditeur...) est faible, alors les échelons sont vite franchis entre junior (sortie d'école), confirmé (2/3 ans d'XP), senior (6/7 ans d'XP). Les possibilités de progression sont alors managériales ou commerciales et non techniques... Et d'ailleurs le marché suit également cette logique en tirant les prix vers le bas car par exemple un pentester senior qui aurait 7 ans d'expérience et un salaire qualifié d'honnête serait alors trop cher pour réaliser les missions et faire une bonne marge. Le management va alors proposer au pentester de faire du commercial au détriment de l'expertise (il vaut mieux prendre des stagiaires pour la R&D).


Une autre voie sans issue est celle des administrateurs réseau sécurité. Ceux-ci étant très techniques ils sont souvent mal reconnus et peuvent difficilement accéder à des postes d'architectes sécurité. Pourtant en tant que praticiens de la sécurité ils seraient sans doute les mieux placés pour proposer des systèmes fonctionnels et efficaces...

J'en arrive à mon exemple d'ancien pentester curieux de tout, qui a survolé de nombreux sujets mais sans en creuser beaucoup, changeant d'environnement plusieurs fois par mois et devant simplement repérer les maillons faibles. Ma lacune a sans doute été de ne pas avoir "pratiqué" la sécurité comme un administrateur, de ne pas avoir fait d'intégration et de production. J'ai toujours voulu voir des briques comme les firewalls sans vouloir comprendre les différences entre Cisco, Juniper et CheckPoint. Je suis maintenant décalé de la réalité du métier et si on me demandait ce qu'il faut choisir pour se protéger et comment le mettre en place je ne saurai pas le faire. Il ne me reste plus qu'à faire manager et piloter des petits jeunes qui eux savent comme si moi j'avais déjà atteint mon maximum...

Maintenant que j'ai réalisé cet état de fait il ne tient qu'à moi de trouver une échappatoire et de réorienter ma carrière.

Inauguration

Après avoir longtemps réfléchi, c'est finalement sur un coup de tête que je crée mon blog. D'abord pour moi-même et ensuite pour les curieux...