Vous êtes dans : Accueil > Tribunes libres >

Sécurité des SI et bandes dessinées

Cédric Cartau, MARDI 12 AVRIL 2022

De temps en temps, je ressors un album de BD histoire de me changer les idées, entre un contrôle de flux https sortant sur le firewall externe et une revue des habilitations fonctionnelles. Et c’est le propre des grands ouvrages ou des grandes séries que d’avoir plusieurs niveaux de lecture selon que l’on soit gamin, adulte ou pire : RSSI.

Ainsi, dans Les Schtroumpfs et le Cracoucass, deux habitants du village doivent aller se débarrasser d’une substance hautement toxique que le Grand Schtroumpf a concoctée par erreur dans son laboratoire, mais au final le breuvage atterrit dans la gorge d’un oisillon qui devient un monstre : absence de traitement d’une vulnérabilité externe et identifiée.

La plupart du temps, le ressort des albums de BD repose sur la présence ou plus souvent l’absence d’un personnage clé : dépendance RH ou pas de redondance RH sur une compétence majeure. Ainsi dans Le Combat des chefs, le village d’Astérix se rend compte que la recette de la potion magique est connue seulement de Panoramix… qui est devenu amnésique après avoir pris un coup de menhir sur la tête. Idem dans Astérix et les Normands(besoin impératif du barde Assurancetourix pour chasser les Normands).

On trouve aussi, mais plus rarement, de l’ingénierie sociale, quelquefois de haute volée. Ainsi dans La Zizanie avec l’inénarrable Détritus, mais aussi dans L’Étoile mystérieuse où Tintin et ses acolytes doivent faire face à un faux message de détresse en mer qui les détourne de leur objectif. Sans parler de l’album Le Devin, avec en sus une manipulation de masse.

Le grand classique reste la dépendance à un objet sans doublon : absence de PCA-PRA. Ainsi dans La Serpe d’or, impossible de fabriquer la potion magique sans le gui cueilli par la serpe – en or justement – que le druide Panoramix a brisée. Astérix et Obélix doivent aller chercher une nouvelle serpe chez un fabricant précis (dysfonctionnement dans la gestion fournisseur, de mémoire le chapitre A15 de l’ISO 27001). Également dans Le Sceptre d’Ottokar où la pérennité d’une dynastie est conditionnée par la présence du roi en possession de son sceptre le jour de la fête nationale. Dans Astérix chez les Helvètes, on trouve une variante, à savoir l’absence de doublon dans la procédure d’ouverture d’un coffre-fort dans une banque du pays.

La série des Gaston Lagaffe fourmille d’inventions catastrophiques en tout genre (absence de procédure de test). Outre la figure classique du techno/bricolo qui est le cauchemar des RSSI, on notera dans la séquence de la guerre des ouvre-boîtes (Gaston tente par tous les moyens de faire passer en douce un ouvre-boîte pour manger à toute heure, ce que l’irascible Prunelle déteste) une allégorie du pare-feu avec WAF intégré (qui dans l’exemple est efficace).

Pas ou peu de protocole de test de changement dans Vol 714 pour Sydney, où Tintin et ses amis se voient embarqués dans une affaire rocambolesque à l’occasion d’un changement de vol non prévu. Pas de protocole de test non plus dans pas mal d’inventions du professeur Tournesol, surtout dans L’Affaire Tournesol où son arme ultrasonique sera au final détruite. Dans la série des Dingodossiers, Gotlib fait régulièrement des misères au professeur Burp en faisant immanquablement échouer ses expériences.

Quelques innovations intéressantes, par exemple problème de gestion de la capacité dans On a marché sur la Lune (trop de monde au final dans la fusée et souci d’oxygène), effet classique de tunnélisation dans la localisation du trésor de Rackham le Rouge dans l’album éponyme (il était juste à côté d’eux et pas à l’autre bout du monde) et de secret à quorum (assez rare en BD) dans l’album précédent Le Secret de la Licorne (localisation du trésor nécessitant trois messages éparpillés). Enfin, présence de la notion de « signal faible » également dans Les Dingodossiers, avec la caricature de Newton qui se prend régulièrement des pommes sur la tête (et tout un tas d’autres objets plus ou moins contondants) avant de découvrir la loi de la gravitation.

Quand on y réfléchit, inutile de se prendre la tête pendant des heures sur des méthodes d’appréciation des risques formalisées, inutile de lister à n’en plus finir des bibliothèques de vulnérabilités/menaces. Avant d’aller vous faire plumer par le cabinet MacQuisait avec des TJM à 4 000 euros pour des rapports de 400 pages que personne ne lira jamais (et qui seront à 80 % du copié-collé du pigeon – pardon du client d’avant), relisez juste tout Astérix, tout Tintin, tout Gaston. Bref, la base.

Non non, ne me remerciez pas, c’est tout naturel.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé. 

#rssi#sécurité