Deux événements récents ont inspiré cet article : En août 2023, SDN a publié un article portant le même titre ("Is Low-Price evaluation secure?"). Et les services d'évaluation des achats de SECOIA pour une agence gouvernementale ont suscité des réflexions similaires. Quelles sont ces observations et considérations ?
Depuis de nombreuses années, le secteur public est conscient d'un dilemme : celui de lancer un appel d'offres pour des systèmes de délivrance de documents sécurisés de manière équitable et conforme aux règles de l'OMC, tout en protégeant les secrets essentiels, en assurant une sécurité efficace tout en restant neutre vis-à-vis des fournisseurs, en évitant le verrouillage des fournisseurs et en obtenant tout cela - parfois plus, parfois moins - au meilleur prix.
Il y a en fait plusieurs dilemmes. Mais ils se résument tous à l'achat public d'articles de sécurité nationale sur la base du meilleur prix pour le produit.
Nous pourrions discuter ici des limites du système pour le "rapport prix-produit", par exemple l'utilisation de l'industrie et de la main-d'œuvre locales, qui paient des impôts et génèrent du PIB et de l'expertise technologique. Ou nous pourrions évaluer le coût de l'absence d'une sécurité ou d'une fonctionnalité efficace (coût d'opportunité). Pour l'instant, nous nous concentrerons sur ce dernier point. Francis Tuffy l'a exprimé comme suit :
"Se concentrer sur la solution de sécurité la moins chère peut sembler rentable à court terme, mais peut finir par créer des vulnérabilités et des coûts supplémentaires pendant la durée de vie d'un document. Une approche fondée sur le meilleur rapport qualité-prix, en revanche, donne la priorité aux aspects techniques, en particulier à l'inclusion de fonctions de sécurité avancées spécifiques qui vont bien au-delà des normes de base disponibles." Secure Document News, August 2, 2023, Francis Tuffy (Pour la citation originale, voir l'article en anglais)
Situation observée
Les meilleurs documents sont présentés dans les actualités comme des exemples brillants. Parfois, ils remportent même des prix et des reconnaissances. Ce qui semble être la norme est loin d'être une évidence. Au cours d'une récente procédure d'appel d'offres dans laquelle un spécialiste de SECOIA assistait les autorités, des observations plutôt choquantes ont été faites. Les autorités se procuraient un système de documents sécurisés en mettant l'accent sur la performance. Bien que le coût soit pris en compte, il n'y avait pas de critères précis sur la façon dont les performances et les coûts seraient comparés. Par conséquent, il n'y avait pas de véritable pression sur le prix au détriment d'un concept approprié.
Les propositions énumèrent des caractéristiques de sécurité. Il y en a beaucoup. D'excellentes caractéristiques. Brillantes. La plupart étaient du type générique bien connu. Certaines étaient basées sur des développements propriétaires. En général, les fonctionnalités ne manquent pas, et elles sont utilisées. Nous avons repéré le problème ailleurs :
La sécurité ne consiste pas à créer une - belle ? - mosaïque de dispositifs de sécurité de marques réputées. Il ne s'agit pas non plus de créer un "arbre de Noël" de fonctions, plus on est de fous, plus on rit. La sécurité est un chef-d'œuvre qui consiste à réfléchir aux vecteurs d'attaque, professionnels et amateurs, et à créer des lignes de défense orchestrées. Lorsqu'on a demandé aux vendeurs de fournir des preuves de leur efficacité à atténuer ces vecteurs d'attaque, ils ont soit fourni un tas de mots à la mode marketing, soit simplement énuméré la conformité aux normes. Pas très convaincant. C'était comme si les responsables des appels d'offres et leurs équipes ignoraient totalement l'objectif fondamental de ces documents. Ainsi, il semblait que la situation de mauvaise sécurité des documents n'était pas seulement motivée par le coût, mais aussi par un manque d'expertise. Cette observation est confirmée par les organismes chargés de l'application de la loi avec lesquels nous nous sommes entretenus. Bien que des formations soient organisées de temps en temps, la sensibilisation ne semble pas être soutenue. L'incitation fait défaut : Si les règles de passation des marchés n'exigent qu'un certain nombre de caractéristiques, de matériaux et de références à faible coût, considérant l'efficacité comme une variable non évaluée et sous-évaluée dans l'équation, alors l'utilisation de ces connaissances se transformera en un obstacle à l'obtention d'une offre réussie.
Même la construction des documents (cartes, datapages) a été radicalement simplifiée. L'avantage est qu'ils sont conçus pour être rentables et pour permettre des délais de production courts. Du côté négatif, ils offrent moins de qualité pour la gravure au laser (si nécessaire), moins d'emboîtement des éléments de sécurité et de la personnalisation, et moins d'adhérence des feuilles lorsque des motifs complexes sont utilisés. Ici, nous nous retrouvons au même endroit.
Catalisateur de la situation
Il appartient à l'industrie et surtout aux autorités de fixer les bonnes priorités. Il ne s'agit pas seulement de proposer ou de recevoir des propositions de documents à bas prix. Il s'agit de fixer des objectifs clairs et de fournir des solutions efficaces pour les atteindre. Une évaluation à bas prix est un manque de vision de la part des autorités et dissuade l'industrie de proposer des solutions suffisamment sûres.
De plus en plus, nous voyons la culture du développement de logiciels empiéter sur ce domaine de la "vieille école" : Le développement de la banane verte (laisser le produit mûrir avec le client) avec un développement court, des itérations de publication rapides et un fort accent sur la fonctionnalité des caractéristiques. Cela contraste fortement avec les cycles de développement plutôt longs des documents sécurisés, avec souvent des délais de plusieurs années. La concurrence et l'inspiration entre les disciplines sont bénéfiques. Cependant, elles peuvent devenir toxiques si les objectifs et les limites se perdent dans l'action.
Deux petits exemples :
Apporter des correctifs à la sécurité des documents après leur émission est pratiquement irréaliste. Pour les systèmes informatiques, il s'agit d'une pratique courante et essentielle ;
Le mythe selon lequel la sécurité des documents est coûteuse et la sécurité numérique est gratuite n'est pas correct et doit être remis en question. On a trop souvent entendu dire que les matériaux sécurisés, la logistique et les laboratoires médico-légaux sont si coûteux et que l'on peut en faire l'économie en utilisant les technologies numériques parce qu'elles sont sécurisées dès le départ. Les rapports presque quotidiens d'attaques et d'exploits réussis sur les infrastructures prouvent que c'est faux.
Conclusion
Dans l'ensemble, qu'il s'agisse de documents physiques ou numériques, le gouvernement doit bien cibler ses objectifs, être responsable et tenir les fournisseurs responsables. Et pour cela, les objectifs doivent être identifiés, alignés et appliqués. Si ce n'est pas le cas, alors les "Secure Credentials" devraient être appelés pour ce qu'ils sont : "une excuse bon marché pour un risque de sécurité incroyable".
A propos de SECOIA Executive Consultants Ltd
SECOIA Executive Consultants (SECOIA) est une société de conseil pour la gestion de l'identité, l'état civil et la gestion des frontières. La plupart des gouvernements sont désireux de participer aux meilleures pratiques en matière de gestion de l'identité et des frontières. SECOIA combine les connaissances, les besoins et les compétences pour guider les gouvernements et l'industrie spécialisée dans la mise en œuvre de solutions d'identité multifactorielles conformes et de premier plan.
SECOIA est un réseau de professionnels expérimentés travaillant dans le secteur public et l'industrie spécialisée. Notre mission est de consulter les parties concernées et de joindre les besoins et les solutions en tant qu'entremetteurs. Nous supervisons l'identification des besoins, le développement, l'évaluation, la recherche et la mise en œuvre.