Petite réflexion passagère sur la valeur de la sécurité.
Il
m'est arrivé régulièrement de voir des phases d'avant vente inclure sur
les fonds des prestataires candidats des travaux identiques à certaines
prestations de sécurité : état des lieux, benchmark, refonte
d'architecture...
Ou encore l'équipe de l'intégrateur faisant la recette elle-même sans la moindre impartialité, sans se remettre en cause et surtout sans tester des scénarios non prévus (évidemment).
J'ai
entendu un récent retour de FireEye déconseillant de faire des tests
indépendants sur leur plateforme car les résultats sont rarement
concluants (ce qui est malheureusement fort probable). Ils détectent les APT inconnues, mais à base d'éléments connus (par eux seuls).
Un
autre exemple est Google qui partage les recherches et les découvertes
de ses chercheurs à tout le monde. Ou encore leur nouveau
scanner de vulnérabilités.
La sécurité a un coût, mais peu de valeur...
