Laboratoire sécurité : La carte n'est pas le territoire

Si l'essor d'Internet n'a pas fait naître le domaine de la sécurité informatique, il l'a très certainement professionnalisé et élargi: d'un secteur élitiste il s'est élargi à une économie relativement florissante aux multiples acteurs.

Nous sommes passés des souterrains à la lumière du jour et notre industrie à vécu de nombreuses transformations, changeant de paradigme chaque fois qu'un modèle de sécurité nouveau venait contredire l'ancien. Ce qui avait été porté aux nues par le marché quelques mois plus tôt devenait obsolète.

Nous allons échanger sur ce qui fait la sécurité informatique et sur la vision que nous, chercheurs, en avons.

La fabrique de la sécurité
Il existe globalement deux moyens de fabriquer de la sécurité informatique : le papier et la technologie. Sur le papier, ce sont les standards, les certifications - dont au peut au moins créditer l'effort de mettre en avant des compétences -, les analyses de risques et les audits.
La technologie applique des idées ; en sécurité, elle remédie aux menaces, potentielles ou avérées, passées au filtre : les seules menaces dangereuses sont celles dont on parle. Aux mains des marchands, l'exigence sécuritaire est ce qui fera le plus de battage, et creusera en filigrane une démonstration de produit. Pour l'exemple, ci-après une liste de termes récupérés sur les sites de grands concepteurs et éditeurs de solution de sécurité : protection complète,
technologies révolutionnaires, communication en toute sécurité... Que la sécurité soit un lieu marchand n’est pas un problème, l’est néanmoins la convergence vers une seule idée : qu'il existe une sécurité informatique unique,  que tous les problèmes (connus et inconnus) trouvent une solution finie.

La fabrique de l’opinion
Ce type de communication entretient encore dans l'esprit du public que la sécurité informatique est une compétence généraliste, non une collaboration/diversité de profils et des travaux conjoints. A l’heure où la France met en place de nouvelles lois parlant de défaut de sécurisation (loi Création et Internet), il devient pressant de dissiper les traces de cette pensée dichotomique, mettant tout un chacun devant la sécurité (l'insécurité) de son poste informatisé et, d'un autre coté, le pressant de faire seulement confiance à ceux qui savent. Sanctionnant l'usage particulier, la législation prend une forme de coercition à la confiance, et solidifie les bases du théâtre
sécurité (Le terme a été inventé par un spécialiste en sécurité informatique, Bruce Schneier, pour une de ses publications ; anecdote amusante, l'auteur du noyau Linux, Linus Torvalds parle dans un registre plus fleuri, de cirque de la sécurité).

Responsable du laboratoire : Arnaud Maillard