Un Petit Conte du Mouton Noir de -ITÉ
Il était une fois des ingénieurs en informatique du monde antique qui utilisaient l'abréviation « -ITÉ » comme raccourci pour « Information Technology » (technologie de l'information). C'était une abréviation appropriée, car elle rappelait à tout le monde les objectifs et les aspects fondamentaux de la technologie de l'information, lesquels rendaient non seulement les ingénieurs en informatique, mais aussi leurs clients, heureux.
Chaque fois que les ingénieurs développaient une application ou mettaient en place un service informatique pour couvrir les besoins de leurs clients, ils se concentraient ardemment sur les quatre paradigmes de « -ITÉ » :
* Fonctionnal-ITÉ, paradigme s'assurant qu'un service ou une application ait un but et une raison d'être,
* Disponibil-ITÉ, paradigme veillant à ce qu'un service ou une application soit fonctionnel à chaque fois qu'un client veut l'utiliser,
* Convivial-ITÉ, paradigme veillant à ce qu'un client ne soit pas dégoûté d’une interface utilisateur mal conçue, ou qu’il soit déçu par le fonctionnement du service ou de l'application - évitant ainsi que ceux-ci ne soit abandonnés,
* Maintenabil-ITÉ, paradigme veillant à ce que les développeurs ne soient pas dégoûtés de l'architecture de l'application ou de la configuration du service - évitant ainsi qu'elles soit abandonnées.
C'était dans l'intérêt de tout le monde. Suivre ces quatre paradigmes garantissait des applications et des services correctement conçus. Une situation « gagnant-gagnant » et un paradis pour les clients.
Mais avec l'avènement d’Internet, le monde sûr et confortable de « -ITÉ » fut menacé par le mal. Les mauvais développeurs et les attaquants entrèrent en scène et commencèrent à harceler et à violer les quatre paradigmes. Avec les mauvais développeurs introduisant des vulnérabilités et des bugs dans les applications, les attaquants exploitèrent une Fonctionnal-ITÉ sous-optimale. Les attaques par déni de service diminuèrent la Disponibil-ITÉ des services. La Convivial-ITÉ devint une arme à double tranchant pour les cas d'utilisation familiers. Et la Maintenabil-ITÉ fut mise sous pression, de plus en plus de services et d'applications étant mis hors service pour pouvoir se rétablir suite à des attaques réussies.
Il n'a pas fallu attendre trop longtemps pour que les ingénieurs en informatique mettent en place un cinquième paradigme censé protéger les autres des fléaux et des malfaiteurs d’Internet : Sécur-ITÉ. Mais Sécur-ITÉ était lourde et n'a jamais été capable de s'intégrer aux autres paradigmes : quand Fonctionnal-ITÉ était la clé, Sécur-ITÉ la rendait compliquée. Lorsque Disponibil-ITÉ était demandée, Sécur-ITÉ criait « redémarrage ! ». Et quand Convivial-ITÉ avait la priorité, Sécur-ITÉ mettait des obstacles et des barrières. Seule Maintenabil-ITÉ était heureuse, car elle bénéficiait de chaque rupture introduite par Sécur-ITÉ. Sécur-ITÉ s'efforça de surmonter ses faiblesses et ses inconvénients, en vain... Au lieu de cela, elle était perçue comme une « -ITÉ » pour gouverner toutes les autres... et dans les ténèbres les lier.
Sécur-ITÉ était devenue le mouton noir de la famille. Les ingénieurs en informatique l'ont méprisée et ignorée, car Sécur-ITÉ introduisait plus de problèmes que de solutions. Elle n'était d'aucune aide. Les années ont passé dans l'obscurité avec tous les paradigmes luttant pour survivre. Aujourd'hui, la question est : est-ce que les applications et les services seront capables de poursuivre sans protection et défense ? Ou le mal finira-t-il par régner et par tuer les paradigmes les uns après les autres ? Les ingénieurs en informatique ne devraient-ils pas s'arrêter et réfléchir sur la façon dont Sécur-ITÉ peut devenir un partenaire indissociable des autres paradigmes ?
C'est à vous de décider s’il y a une fin heureuse. Si le mal va sceller le destin de -ITÉ ou si Sécur-ITÉ sera un jour de retour dans le troupeau. Et si Fonctionnal-ITÉ, Disponibil-ITÉ, Convivial-ITÉ, Maintenabil-ITÉ et Sécur-ITÉ vivront heureux pour toujours.
Rappelez-vous des articles de l'année dernière (La « sécurité », c'est VOUS ! et Pourquoi la « sécurité » ce n'est pas MOI)… Sécur-ITÉ a besoin de votre aide : au CERN ou à la maison, la sécurité informatique n'est pas complète sans VOUS !
Pour plus d'informations, des questions ou de l'aide, consultez notre site web ou contactez-nous via Computer.Security@cern.ch.
Accédez à la collection complète d'articles de l'équipe de Sécurité informatique ici.