Tribune – La cyber-bombe à retardement pourrait être pire que la crise sanitaire


Par Jérôme Nicolle, Expert indépendant mais engagé et motivé, Consultant senior en infrastructures telecom et IT

La période que nous vivons est dramatique sur de nombreux aspects. Nous avons eu peur. Nous avons parfois perdu des proches. Ce sont des douleurs humaines, émotionnelles, sociales et sociétales graves, dont nous passerons des mois à panser les plaies.

Et, pourtant, dans l’univers de la sécurité, cette période a généré une bombe à retardement, qui pourrait être encore plus néfaste à notre société que la crise sanitaire elle même. Elle a aussi révélé – ou caractérisé – certaines de nos erreurs passées, et ce sont de ces deux points que je souhaite vous parler aujourd’hui.

Ma vie d’un consultant en confinement

Il est un fait important à prendre en compte pour bien lire la crise : nombre de nos confrères en sécurité avaient senti le coup venir. Les infos ont réellement commencé à émerger le 16 novembre 2019, si ce n’est plus tôt. Mais ce n’est pas le cas pour la plupart des DSI, notamment celles les moins bien conseillées.

Pour ma part, j’étais moins bien informé, ce n’est qu’à la fin du mois de janvier que j’ai compris qu’on allait se prendre une fessée déculottée.
Mais sincèrement, s’était-on déjà ‘vraiment’ posé la question de ce qu’une crise sanitaire telle que décrite dans des films comme “Contagion” (2011) ou “28 days later” (2002) pourrait avoir comme conséquence sur nos systèmes d’information ?

Je crois qu’on a été stupides, en terme de corporation, sur l’absence d’anticipation de ce risque. Il était documenté, disponible, relativement certain, et on a rien anticipé. “Shame on us”.

Le mode “PANIC”

Je ne vous mentirais pas, je n’avais pas anticipé le confinement par l’État. Ce fut une surprise pour beaucoup d’entre nous. Je n’imaginais pas que nous n’ayons pas, en tant que nation, anticipé ce genre de scénario. Mince, quoi, c’est bien pour ça qu’on paye des impôts, non ?

Bref. On s’est retrouvés confinés le 16 mars 2020. J’étais bien embêté, je devais déployer les nouveaux routeurs de mon AS perso la semaine suivante. Ils siègent toujours au data-garage à ce jour.

Mais alors, pour mes clients, ça a donné quoi ?

Le coût de la panne (de VPN)

Allez, on va imaginer le scénario parce que je n’ai pas le droit de nommer les protagonistes, comme vous pourriez vous en douter. Reprenons donc : lundi 16 mars, 20h et quelques, annonce du confinement par la Présidence de la République. “Oh Shit”.

Ai-je assez de licences de sessions de VPN simultanées ? Est ce que mes liens WAN sont assez bien dimensionnés ? Est ce que mon “cloud public” va encaisser la surcharge (fake, en vrai on s’est posé cette question quelques jours plus tard quand on les a vu souffrir) ?

Bah non, Gaston. T’as gaffé. Ton infra de “PRA/PCA” n’était pas dimensionnée pour ça. Alors tu fais appel à un ami.

La bande (passante) des consultants

On s’est retrouvés, certains confrères avec qui j’en ai discuté et moi-même, submergés d’appels à partir de 7h du mat le mardi 17 (certains ont appelé encore plus tôt, perso j’ai pas décroché à 3h du mat sauf pour un client/ami).

“Allo, Jérôme, on a un problème, on doit faire télétravailler 980 personnes alors que ça fait 5 ans que le service “Rendre Heureux” leur explique que c’est impossible, est ce que tu as une idée ?”

En vrai, le problème, c’est qu’ils avaient du DM-VPN d’un “équipementier reconnu” et pas assez de licences pour tout le monde. Et que le process commercial dudit équipementier prends au moins six semaines à pondre une licence.

Bon bah on a reversé le firmware avec deux copains pour générer des clefs.
Pas Le Choix. 980 “chômages partiels” en jeu, on avait pas le droit de les laisser sur le carreau ou le léger filet de sécurité sociale. On négociera les licences plus tard, qu’on s’est dit. Ils ont fini par les offrir, Oh grands seigneurs.

Bon, pour mes autres clients, on les a presque tous basculés sur de l’OpenVPN et du Wireguard parce que les délais d’approvisionnement de licences étaient insoutenables ; et c’est sans prendre en compte leur coût exorbitant en cette période. C’est juste un peu plus de boulot à intégrer à leur SSO usuel.

The Insider Fallacy

Ouais, bon, excusez pour l’anglicisme, mais ça sonne mieux comme ça. Le problème suivant, c’est le principal : le Shadow-IT.

Allez, je ne vais pas distribuer de croquettes, que ceux qui n’ont jamais vu un service marketing ou RH souscrire à un service numérique sans l’approbation du DSI et du RSSI lèvent la main… Personne ? Bien, c’est représentatif.

Le Shadow-IT, c’est quand la DSI d’une boîte s’est mis tous les autres services à dos à force de dire “non” ou “trop cher” ou “dans six mois” à toutes les demandes des services RH et marketing. Autant dire, dans tout le CAC40, et au delà.

Ces services, qui ont bien besoin de bosser en temps ‘normal’, prennent leurs propres hébergement de faible qualité (ils n’ont pas la compétence pour l’évaluer), leurs domaines à la sauvette, et leurs certificats sans booker leur renouvellement.

Mais ça, c’est juste quand les choses vont ‘normalement’. En situation de crise sanitaire, c’est bien pire.

Télétravaillons sous stéroïdes

OK, alors imaginez bien le scénario. Vous managez une équipe de 15 personnes qui passent leurs journées sur écrans. Développeurs, administrateurs, agents de saisie, peu importe. On vous annonce qu’ils sont officiellement les pas-bienvenus au bureau du jour au lendemain alors que vous insistiez jusque là pour leur faire subir 3h de bétaillère (RER et autres) par jour. Comment gérez-vous la situation ?

Bon, de base si vous n’aviez pas anticipé sur le télétravail et pris en compte la qualité de vie de vos collaborateurs, c’est que vous êtes mauvais et devriez faire partie de la prochaine charrette. Mais prenons juste ceux qui avaient un peu entamé la démarche, et ceux qui peuvent encore se rattraper.

Si vous subissez une DSI adverse, comme décrite plus haut, vous ne pouvez rien faire : votre équipe est paralysée. Si vous avez une DSI compétente, alors vous disposez déjà des infrastructures et processus pour assurer votre continuité d’activité.

J’en ai entendu quelques-uns dans le premier cas, aucun dans le second, et beaucoup dans l’entre-deux. Où vous évaluez-vous ?

La conséquence organisationnelle

Le vrai problème avec cette crise sanitaire, d’un point de vue IT, c’est le chaos (entropie systémique) qu’elle ajoute à un domaine déjà pas très stable.

Si vous êtes dans une DSI de grosse boîte, vous avez déjà du shadow-IT dans vos rangs. Oh oh, ne faites pas cette moue, vous avez déjà dit “non” à un marketteux qui voulait un serveur web pour hier, avouez-le. Ben vous savez quoi ? Il l’a pris chez “whatever trigramme”, en pensant plein de mal de votre service, et croyant qu’il allait savoir le gérer.

Pendant la crise, votre staff s’est fait des comptes Skype, Teams ou Zoom à la pelle, dé-corrélés de votre SSO. Ils ont échangés leurs fichiers par DropBox ou Gmail, ont ouvert des boîtes mails “alt”, comme dans certaines entreprises qui se sont fait cryptolocker leur AD quelques mois avant la crise sanitaire…

Et le vrai problème, c’est qu’ils s’en sont servi comme de vrais outils d’entreprise.

Traité de l’extraterritorialité légistique – ou comment on se fait enfumer par nos alliés ?

La boite a tourné. Elle a passé la crise. Tous les cadres ont pu télétravailler. Cool. Vraiment ?

Vos cadres, mal servis par leurs DSI, ont diffusé de façon massive leurs contacts, des documents internes, des informations stratégiques, des secrets industriels, des métadonnées, sur skype, zoom, teams, ou que sais-je. Que des entités soumises à la section 215 du Patriot Act et au CLOUD Act américains. Ou bien à AliCloud et sa gouvernance par le parti d’État chinois.
Oui, bon, ce sont nos alliés tout ça, enfin regardez Alstom et Lafarge. Ou Encore BNP, pour ne citer que les plus récents et significatifs.

Vous êtes dans la merde. Big time, si votre employeur est stratégique.

Le rétropédalage urgent

Si vous êtes dans ce genre de situation, vous avez deux urgences (voir trois) à traiter.

1) Lisez les contrats, et comme ils sont pourris et trop longs, implémentez des alternatives. (Framasoft et les CHATONS sont vos amis).

2) Formez vos ouailles. Sortez de la “DSI tour d’Ivoire” traditionnelle, rappelez-vous que vous êtes au service des autres services.

3) (optionnel officiellement, mais réellement essentiel) Inventoriez les domaines et certificats, les comptes et alias de vos services et employés, pour les réintégrer dès que possible dans une organisation structurée et assurant la continuité de service.

Des services spécialisés existent pour vous y aider.

En vous souhaitant le meilleur, et d’être prêts pour le re-confinement à venir,

Share:

Author: Yves Grandmontagne

Rédacteur en chef de Datacenter Magazine - Co-fondateur de Human, Business & Technology SCOP SAS (éditeur de DCmag) - Journaliste, conférencier et analyste

1 thought on “Tribune – La cyber-bombe à retardement pourrait être pire que la crise sanitaire

Comments are closed.