Zwindler sur GithubAllez faire un tour sur mes dépôts Git !

Halloween : Les chiffres qui font peur en sécurité informatique

Les chiffres qui font peur (donnés par les consultants « sécurité »)

Vous les avez vus, ils sont partout :

  • Dans les powerpoints ou keynotes des consultants qui viennent vous vendre leurs services et sauver votre entreprise d’une mort certaine.
  • Sur LinkedIn ou Twitter, avec des visuels chocs dont les gros caractères restent gravés dans votre rétine, même si vous fermez les yeux pour y échapper.
  • Dans vos cauchemars, ces hackers ukraino-russes cagoulés dont le visage s’illumine à la lumière blafarde de leur terminal vert sur noir.
Sans son sweat à capuche, le hacker n’a aucune crédibilité Source : https://pixabay.com/fr/hacker-attaque-masque-internet-2883632/
CC0 Creative Commons

Quoi de mieux qu’Halloween pour parler de ces chiffres qui nous font peur ?

Mouahahahahahahahah #RireMachiavelique

Mais de quels chiffres parles-tu ?

Admettons que vous ayez été par miracle épargnés, je vais vous donner un petit florilège de ce sur quoi je suis tombé il y a peu.

Visuel publicitaire d’une grande entreprise telco Française (quelque peu amélioré par mes soins avec ce superbe trollface, le reste est vrai)

 

Article « technique » (en réalité il n’y a pas une seule info technique dedans) d’une entreprise de service pour le quidam moyen faisant du e-commerce. Mais on peut le twitter, donc…

Et pour finir, je vous met aussi la crème de la crème. Il s’agit d’un support provenant d’une entreprise de conseil et qui nous énumère a peu près tous les chiffres que vous avez pu rencontrer jusqu’à aujourd’hui :

La société (qui existe toujours) ne s’appelle pas VRAIMENT « B.S. Conseil », au cas où vous trouveriez mon montage trop bien réalisé 😉

Ça vous choque ?

Moi oui, mais peut être pas pour la raison que vous pensez.

Je vous ai moi aussi un peu piégé : cet article ne va absolument pas parler de sécurité informatique. Cet article va vous parler de rigueur scientifique, ou plutôt son absence pathologique. C’est donc un article d’opinion, un billet d’humeur. Vous voilà prévenus.

Ce qui me choque donc, c’est que j’ai des chiffres, balancés hors contexte. Hors contexte, une statistique ne veut ABSOLUMENT rien dire.

Par exemple, pour le célèbre « 75% des entreprise touchées par un sinistre informatique grave déposent le bilan dans les 2 ans (Etude CCI de Londres) ».

Quelles entreprises ? Où ça : en France, à Londres, en Angleterre, dans le monde ? Des PMI, ETI, multinationales ? Avec quelles données ? A partir de quand un sinistre informatique est grave ? Que peut on en déduire ?

Autant de questions sans réponses.

#Angoisse

Ouais mais attends, ils citent IDC et PwC quand même !

Quand une entreprise de conseil ou un « spécialiste en cybersécurité » vous assène de chiffres avec des grands noms comme IDC, Accenture ou PwC, est ce qu’il reste encore beaucoup de décideurs pour se poser la question de la crédibilité de leurs interlocuteurs ?

Combien d’entre eux vont se contenter de ça, sans chercher à récupérer la fameuse étude ?

Je les ai cherché, ces études

De toutes les études citées ci dessus, je n’ai pu retrouver qu’une fraction.

Par exemple, « 48% des attaques ciblent des sites e e-commerce » est probablement une statistique d’un rapport de TrustWave de 2013, basé sur l’analyse post incident et le pentesting réalisés en 2012 par cette société. L’informatique a pas mal évolué depuis 5 ans, on est pas loin d’être hors sujet…

Un autre rapport régulièrement cité que j’ai pu trouvé est le « CSI Survey 2010 » ou « CSI Computer Crime and Security Survey ». Il était facilement accessible jusqu’à il y a peu (distribué sur des intranet ouverts d’universités) mais ce n’est plus le cas. Pour l’avoir lu, ce rapport décrit les vecteurs d’attaque et les actions prisent en conséquence par des entreprises aux Etats Unis. Mais bon… 2010 quoi !

Et souvent, je n’ai rien trouvé du tout !

Ça ne veut pas dire qu’ils sont inventés, mais c’est quand même un peu louche.

D’autant qu’il n’est pas rare que les chiffres changent d’un support à l’autre ! Un coup, ça sera 75%, la fois d’après, ça sera 85… Ou alors la phrase sera légèrement différente pour mieux servir le propos de votre interlocuteur. Ou alors un coup ça sera Accenture, le coup d’après ça sera IBM.

Aïe aïe aïe : vous commencez à voir ou je veux en venir.

On a des chiffres, mais on sait pas trop d’où ils viennent

Vous vous souvenez de l’opérateur telco et de sa pub, en haut de l’article ? Un lien pointe vers un extrait d’une étude de l’IDC !

Ah ! Cette fois ci tu ne va rien trouver à y redire : ils donnent leur source, donc c’est bon !

Donc pour rappel, la statistique était « 20% des entreprises victimes de cyberattaques ont constaté une perte de chiffre d’affaire ». Je vais vous économiser la recopie de l’URL donnée en « source » pour étayer leur propos :

Il s’agit d’une image pompée sur un article de silicon.fr ! La VRAIE source : http://www.silicon.fr/wp-content/uploads/2017/10/IDC-cybers%C3%A9cufrance-priorit%C3%A9s.jpg

Quel rapport ? Où est l’étude complète ?

Ce que j’en pense (et qui n’engage que moi)

Dans ce cas là, c’est de la flemme : l’étude existe vraiment, il s’agit d’une étude commandée par Malwarebytes à IDC, sortie en octobre 2017. Elle est disponible à l’adresse suivante. La personne qui a créé le visuel a lu l’article sur Silicon.fr (que j’ai réussi à retrouver), et a honteusement copié collé le lien de la première image qu’il a trouvé. Pas de bol, c’était pas la bonne.

De la part d’une aussi grosse multinationale, fleuron de l’industrie Française, c’est carrément la honte.

Dans le cas de B.S. Conseil, on est à la limite de la malhonnêteté. Celui qui a rédigé le support nous a fait une compilation de tous les chiffres sans sources qu’il a pu trouver sur Internet, dans le but de pêcher du prospect au chalut. Si j’étais mesquin je dirai qu’il en a probablement inventé certains, que je n’ai revu nulle par ailleurs.

Si ça, ça ne vous fiche pas la chair de poule, je ne sais pas ce qui le fera !

« 80% of business »

C’est à force de chercher ces fameuses études que j’ai fini par trouver le bon « mot clé » à ajouter dans mon moteur de recherche.

En plus de mettre ma recherche, à savoir le chiffre le plus souvent repris et qui est « 80 percent of business », j’ai ajouté le mot « MYTH ».

Et là, miracle, je suis tombé sur le travail de 2 génies, Andrew Hiles et Mel Gosling, qui ont méthodiquement recherché toutes les sources cités qu’on leur a remonté sur plusieurs mois à propos de cette statistique.

L’article « original » a été posté sur le site continuity central mais une version plus agréable a été repostée sur LinkedIn sur la page de Andrew Hiles.

Pour ceux qui veulent un TL;DR : les phrases et les rapports associés sont inventés par les vendeurs de services dans une majorité des cas qui y sont cités. Voilà.

Ce qu’il faut en retenir

J’espère que vous n’avez pas compris de mon propos que la sécurité informatique, ça ne sert à rien, c’est inventé.

NON ! C’est un vrai sujet, il y a de vrais enjeux, et il est certain que de vraies entreprises mal préparées ont mis la clé sous la porte à la suite d’un désastre ou d’une attaque informatique.

Ce qu’il faut vraiment retenir

A l’ère des fake news et du fact checking, le business de la sécurité et du consulting surfe sur votre peur pour vous faire acheter du service, et tous les coups sont permis pour vous effrayer le plus possible. Peu lui importe si la source ne soit pas disponible, votre interlocuteur n’aura probablement pas été vérifié que les chiffres qu’il cite existent (quand ils ne les aura pas lui même inventé).

N’ayez pas peur de challenger ceux qui vous assènent de ce genre de chiffres. Il ne sera pas rare que votre interlocuteur ne soit pas en mesure de vous donner la source.

Bref : Ne soyez pas dupes ; doutez.

Add a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.