Autoblog de paulds.fr

Ce site n'est pas le site officiel de paulds.fr.
C'est un blog automatisé qui réplique les articles de paulds.fr

TMG va être audité par HSC… On s’en fout un peu…

Wed, 08 Jun 2011 13:21:15 +0000 - (source)

Depuis aujourd’hui on connait le nom de la boite qui va auditer la milice de la Hadopi (TMG) : HSC. L’occasion de vous expliquer rapidement pourquoi il ne faut rien attendre de cet audit et à quel point il s’agit de poudre aux yeux…

Concrètement une mission d’audit se déclenche quand un client X (ici les ayants-droits et TMG) approche une entreprise ou un expert Y (ici HSC) pour réaliser une analyse d’un existant en vue d’obtenir des préconisation d’évolution sur des domaines de qualité, sécurité, référencement, … Ici on parle d’audit de sécurité, ça tombe bien, c’est mon boulot !

Quand un client X m’approche, et avant même de travailler sur un devis, est signé un contrat de confidentialité (dans 99.99% des cas on va dire) garantissant que je ne vais pas dévoiler mes découvertes sur mon blog par exemple. Cette clause de confidentialité est reconduite dans le contrat de prestation, elle permet notamment de garantir au client qui va me livrer ses sources que je les garderai pour moi. Certains imposent même que les sources soient shrédées une fois la mission d’audit réalisée. Une contrepartie financière très lourde est prévue en cas de manquement à cette clause (le genre qui te fait passer l’envie de faire du full disclo).

Une fois le devis transmis et accepté la phase d’audit peut commencer. Il s’agit d’analyser l’existant et d’en relever les défauts de la façon la plus exhaustive possible. Plusieurs façons de procéder ici :

- à l’aveugle : je n’ai pas les sources et bosse sur un serveur de test que je vais malmener autant que possible pour me placer dans un rôle d’attaquant bête et méchant (c’est ma méthode préférée, relativement chèr, aucune garantie donnée sur le rapport final vu que l’on peut rater quelque chose).
- rapport classique : j’ai les sources, je me base sur celles-ci et cherche directement dans le code ce qui peut poser souci (je ne suis pas fan, c’est de la lecture de code, de bonnes garanties sur le résultat final si suffisamment de temps).
- méthode hybride : un peu des deux au dessus, en général je commence par taper à l’aveugle et je vérifie les sources ensuite… (franchement fun, très cher, très bonnes garanties).

Cette phase d’audit dure plus ou moins longtemps en fonction de la taille et de la complexité du système analysé. Il n’y a pas de norme réelle, le plus tu payes le plus j’ai le temps de creuser et plus les résultats seront proches de l’exhaustivité. Si tu me demandes de t’auditer un site web en 3 jours il y a intérêt à ce que le machin soit très light !

Ensuite vient le rapport d’audit, j’ai consigné toutes mes découvertes dans un tableur open office (z’avez pas cru que je bossais sur excel quand même !) et je n’ai plus qu’à mettre en forme.

Pour chaque anomalie relevée un paragraphe est consigné dans le rapport expliquant la nature de anomalie, sa localisation (éventuellement multiple), ses implications ainsi que deux indicateurs : la criticité et la quantité estimée de travail pour corriger ladite anomalie. Le tout est remisé dans un rapport marqué « confidentiel » de partout… et qui commence par dédouaner l’expert en expliquant le périmètre de l’audit (typiquement quand j’audite du Web je n’audite pas Apache ou PHP) et qu’éventuellement, même dans ce périmètre, des choses peuvent avoir échappé à l’audit faute de temps (c’est relativement cher donc le client négocie souvent pour que l’on bosse pas trop).

Le client dit merci, paye et éventuellement mandate une autre boite pour corriger ce qu’il juge nécessaire de corriger, essentiellement en fonction des deux indicateurs par anomalie fournis par l’expert. Concrètement si une anomalie mineure est relevée et que la corriger demande beaucoup de temps de travail, vous avez toutes les chances qu’elle reste en place…

Le client a la jouissance exclusive du rapport et le pouvoir de décider ce qui est à corriger ou non. L’expert qui a réalisé l’audit sait de quoi il retourne mais est toujours tenu par la clause de confidentialité. Souvent il doit se débarrasser du document produit et l’affaire s’arrête là pour lui.

Alors même avec toute la compétence que peut avoir HSC (que je ne connais pas) et sachant que l’audit a été commandé par TMG et les ayants-droits, qui n’ont aucun intérêt à ce que les serveurs de test de TMG soient reconnus comme ce qu’ils sont : des passoires, ne vous attendez pas à un quelconque résultat ou à la moindre dans la pratique.

TMG et les ayants-droits viennent de mandater des experts facturés entre 500€ et 900€ la journée pour ne pas avoir l’air (trop) cons…

flattr this!


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles