Cette histoire figurait à l’origine sur Tâche et objectif.
Si vous avez déjà eu du mal avec un ordinateur gouvernemental fonctionnant toujours sous Windows 2000, sachez que vous n’êtes pas seul. En fait, l’infrastructure de cybersécurité et l’entreprise de développement de logiciels de l’armée sont dans un si mauvais état que le tout premier officier en chef des logiciels de l’armée de l’air démissionnera bientôt, car cela ne vaut pas la peine de lutter contre toute la bureaucratie du ministère de la Défense juste pour obtenir des informations de base. problèmes de technologie de l’information résolus.
“Nous tournons en rond pour essayer de réparer le transport/la connectivité, le cloud, les points de terminaison et diverses capacités informatiques de base qui sont considérées comme triviales pour toute organisation en dehors du gouvernement américain”, a écrit Nicolas Chaillan dans un article LinkedIn annonçant sa démission jeudi. «À ce stade, je suis juste fatigué de rechercher continuellement du soutien et de l’argent pour faire mon travail. Mon bureau n’a toujours pas de logement ni de financement, cette année et la suivante.
Pour ceux qui pourraient penser « qu’est-ce que les logiciels m’importent ? Laissez les nerds comprendre cela », entendez ceci : De nombreux experts pensent que les conflits futurs seront gagnés et perdus en fonction de notre capacité à développer de nouveaux logiciels.
“Le succès dans les conflits de demain dépendra en grande partie de la façon dont les combattants sont capables d’exploiter et d’adapter tout, des systèmes de mission sur les avions aux ensembles de capteurs, aux réseaux et aux aides à la décision”, a pris la retraite du lieutenant général de l’Air Force David Deptula et Heather Penney qui sont respectivement le doyen et chercheur résident principal du Mitchell Institute for Aerospace Studies, dans un document politique de juillet sur le développement de réseaux et de logiciels.
« Pour prévaloir dans un espace de bataille dynamique et contesté, les combattants doivent être capables de reprogrammer et de reconfigurer leurs systèmes d’armes, leurs capteurs et leurs réseaux », ont-ils écrit. “Pourtant, l’Air Force continue de développer, de mettre à jour et de gérer des logiciels et des architectures de manière hautement centralisée et cloisonnée.”
Apparemment, le vieux slogan de recrutement de l’Air Force, « Ce n’est pas de la science-fiction, c’est ce que nous faisons tous les jours », ne s’applique pas à la bureaucratie de la branche, qui, selon Deptula et Penney, est coincée dans une époque révolue.
“La bureaucratie des catégories de financement du ministère de la Défense empêche également la mise en service et l’utilisation d’outils logiciels”, ont-ils écrit, ce qui signifie que les combattants ont toujours un pas de retard sur leur espace de bataille en évolution. « C’est une recette pour l’échec compte tenu des défis de demain. Pour parler franchement, les logiciels et les réseaux ne devraient pas être régis par les processus de l’ère industrielle.
C’est ce genre de bureaucratie qui a également fait des trois années de travail de Chaillan une tâche Sysphean juste pour réaliser des projets simples, du moins selon sa publication sur LinkedIn.
« Je suis fatigué d’entendre les bons mots sans agir, et j’ai appelé les dirigeants à« marcher le pas »», a écrit Chaillan. « Cela comprend le financement, la dotation en personnel et la hiérarchisation des problèmes informatiques de base pour le ministère. Un manque de réponse et d’alignement est certainement un contributeur à ma sortie accélérée.
Il y a plusieurs expériences spécifiques qui ont impressionné Chaillan à quel point les dirigeants militaires se soucient réellement de la cybersécurité et du développement de logiciels. L’un d’eux est DevSecOps, qui est l’abréviation de développement, sécurité et opérations. DevSecOps est un processus par lequel les développeurs de logiciels gardent la sécurité au centre de chaque étape du développement logiciel, plutôt que de l’ajouter à la fin du cycle de développement, selon IBM.
Chaillan a écrit qu’il était très fier que son équipe ait créé l’initiative DoD Enterprise DevSecOps, qui a commencé à répandre la parole sacrée de DevSecOps auprès des cyber-païens arriérés habitant le Pentagone. Mais même ce processus revient souvent à arracher des dents, a écrit Chaillan.
“[Our leaders] ont refusé à plusieurs reprises de mandater DevSecOps, même pas pour de nouveaux départs dans le développement de logiciels personnalisés ! » il a dit. « Il n’y a absolument aucune raison valable de ne pas utiliser et imposer DevSecOps en 2021 pour les logiciels personnalisés. C’est un crime limite de ne pas le faire. Cela garantit effectivement un énorme gaspillage de l’argent des contribuables et crée des menaces de cybersécurité massives, mais nous empêche également de fournir des capacités au rythme de la pertinence, mettant des vies en danger.[.]”
Le même problème s’applique à la mise en œuvre des systèmes Zero Trust. Ce sont des étapes de sécurité logicielle comme lorsque Gmail ou Facebook vous envoie un code de vérification par SMS juste pour vous assurer que vous n’êtes pas un pirate informatique. On pourrait penser que les secrets de sécurité nationale auraient une meilleure couche de sécurité que le compte Mailchimp de mon entreprise, mais apparemment pas, selon Chaillan.
“[W]Nous entendons les dirigeants parler de la mise en œuvre de Zero Trust sans que nos équipes ne reçoivent un centime de financement pour y arriver », a-t-il écrit. De nos jours, le DoD est prêt à investir plus d’argent là où il est en termes de confiance zéro, mais il n’utilise aucun des premiers travaux de Chaillan et de son équipe sur le sujet l’année dernière, a-t-il déclaré.
« Pourquoi gaspiller plus d’argent des contribuables en jouant au rattrapage ? » a écrit le responsable du logiciel. “Le syndrome” pas inventé ici “est puissant au DoD et notre direction n’est pas disposée à l’arrêter.”
Le problème « pas inventé ici » fait référence à une habitude répandue de différentes agences militaires, ou même de différentes tribus au sein d’une agence, de faire leur propre version du même projet sans partager d’informations ou de meilleures pratiques. C’est même un problème entre les différents programmes d’avions de combat de l’Air Force, ont écrit Deptula et Penney dans leur analyse.
“Bien que le F-22 et le F-35 soient les deux seuls chasseurs de 5e génération dans l’inventaire de l’Air Force, ils ne peuvent pas partager d’informations entre eux de machine à machine”, car ils utilisent des liaisons de données incompatibles qui ont été développées à 10 ans d’intervalle, ils a écrit. “Aujourd’hui, la flotte de F-22 et F-35 ne peut toujours pas échanger d’informations sans l’aide d’une passerelle hébergée en externe, qui est encore en phase d’expérimentation et de démonstration.”
En savoir plus sur l’effondrement informatique de l’Air Force sur Tâche et objectif.
