mercredi 30 novembre 2016

Des femmes en cybersécurité

Créé en début 2016, le CErcle des Femmes en CYberSécurité (CEFCYS) a tenu sa première conférence annuelle le 15 novembre à Paris [1]. Cette initiative constitue un élément fondateur dans la nécessaire ouverture qu'il y aurait à accueillir plus de femmes dans les métiers des technologies de l'information en général et singulièrement en SSI / cybersécurité [2]. Cette observation, fruit de plus de deux décennies dans le monde des TIC puis de la cyber, conduit à plusieurs remarques.

Si les femmes portent la vie et sont (presque) l'égal de l'homme dans la majorité des pays démocratiques, nombreuses sont celles qui subissent une discrimination de la plus pernicieuse à la plus barbare en fonction des pays, de leurs us et de leurs coutumes. Par extension, expliquer que "la femme est capable d'apporter la paix comme elle l'a déjà fait" [3] est un élément de discours singulier et potentiellement maladroit. Des femmes militaires, qui pilotent des avions de combat et embarquent sur des sous-marins nucléaires lanceurs d'engins (SNLE) [4] participent donc plus ou moins directement à cette chaîne de décision qui peut légalement délivrer la mortC'est pourquoi la formulation et son argument "femme = paix" apparaissent curieux et, d'une certaine manière, représentatifs de plusieurs paradoxes dont le suivant : relever l'absence flagrante de femmes dans une corporation sans indiquer de mesures vigoureuses pour contribuer à modifier cette situation

Après tout, si l'État français a su mener avec volontarisme et un certain talent la loi de programmation militaire ainsi qu'un certain nombre d'initiatives majeures en Europe sur le volet de la cybersécurité, pourquoi n'investirait-il pas non plus le champ de l'égalité et de la responsabilité sociale, en vogue et parfois concrète dans le secteur privé ? Une telle initiative susciterait à coup sûr des vocations parmi les jeunes filles et les jeunes femmes, souvent meilleures dans les études que leurs pairs masculins, qui hésitent à se lancer dans un parcours d'ingénieur et, mieux, en cybersécurité comme celles [5] qui sont bien rares aujourd'hui encore. Dans une période où un déficit important de compétences est un constat partagé par l'ensemble des professionnels de la filière, que faut-il encore attendre pour lancer une campagne nationale pour lutter contre les discriminations et susciter les vocations ?

Il pourra m'être rétorqué que je fais fausse-route et que, malheureusement, dénoncer une situation de fait qui perdure depuis plusieurs décennies est un combat perdu d'avance. Et que, d'ailleurs, ce ne serait qu'un épiphénomène s'il n'y avait seulement [6] que la niche cybersécurité, récemment sortie du placard ? Donc on ne fait rien et on attend que les open spaces, les colloques cyber et les bancs des écoles d'ingénieurs demeurent des lieux où la testostérone est surreprésentée. Avec ce que cela suppose de batailles d'ego, conscientes ou inconscientes, de "gestion de carrière" donc de compétition, plus ou moins assumée, et de faibles interactions lorsqu'il est nécessaire de travailler ensemble pour réussir un projet.

Alors bien-sûr, féminiser davantage nos métiers n'est pas la panacée mais c'est probablement un ingrédient majeur dans la recette complexe qu'est devenue la protection et la défense du patrimoine informationnel. Que cela nous déplaise, heurte nos convictions bien ancrées de "mâle" ou une vision parfois paternelle et datée du monde, l'heure est pourtant venue de penser à transmettre et à s'ouvrir en s'entourant de la diversité des pensées, des parcours (autodidactes, sciences sociales dites "molles), des origines, des classes et, évidemment, de genre. La réflexion est ouverte, place à l'action !

dimanche 23 octobre 2016

Cyberattaques OVH puis Dyn ou la déstabilisation numérique par objets connectés illustrée


Une vague de cyberattaques majeure débutée vendredi 22 octobre à 7h10, heure de New-York, a sérieusement perturbé l'accès à de nombreux sites internet d'acteurs majeurs étasuniens durant plusieurs heures. Inédite par son ampleur (durée, conséquences), elle s'est appuyée sur une typologie d'attaques old school, un déni de services distribués (DDoS) massif, via un mode émergent, celui de l'utilisation de centaines de milliers voire de millions d'objets connectés (IoT ou IdO). Un risque qui, s'il est pointé depuis quelques années [1], apparait aujourd'hui concrètement [2] et sera très probablement dans les prochains mois de plus en plus à la Une.

lundi 17 octobre 2016

Assises de la sécurité Monaco 2016 : la cybersécurité évolue. Et vous ?

Pour cause d'interruption technique indépendante de ma volonté et qui s'est prolongée durant une semaine [1], voici mon analyse des 16èmes Assises de la sécurité qui se sont déroulées à Monaco du 5 au 8 octobre 2016 et auxquelles j'ai eu l'insigne honneur de participer une nouvelle fois. Pour le lecteur pressé et abreuvé d'informations, retenons simplement les deux éléments suivants : (qualité des) échanges et décloisonnement. La plupart des commentateurs considèrent cette édition comme réussie, ce que je valide pleinement.

samedi 1 octobre 2016

Le mois européen de la cybersécurité (#ECSM) 2016 démarre sous de bons auspices

Dès aujourd'hui commence le mois européen de la cybersécurité [1], 6ème édition du nom qui consolide la série d'événements qui vont se dérouler au sein des 28 États-membres [2] de l'Union européenne (UE). S'il avait pu être observé en 2014 [3] l'essor réel de cette manifestation, la richesse du programme 2016 témoigne d'un enracinement réel.

lundi 26 septembre 2016

Admin entends-tu le vol noir des hackers...


"Hâtez-vous lentement, et sans perdre courage,
Vingt fois sur le métier remettez votre ouvrage,
Polissez-le sans cesse, et le repolissez,
Ajoutez quelquefois, et souvent effacez".
En matière de protection du patrimoine informationnel, tel devrait être le mantra du dirigeant, qu'il soit du secteur public ou privé, ainsi que de ses responsables de la "sécurité" [1] et de ses administrateurs des systèmes d'information, les fameux "Admin". Que ne serait pourtant dépité Nicolas Boileau [2] qui, dans sa grande sagesse, n'envisageait sans doute pas il y a plus de trois siècles, qu'un mélange d'autisme, d'inconscience et de déni s'emparerait depuis des années de nos systèmes d'information au point qu'il faille la loi [3], encore elle, pour tordre les mauvaises pratiques des entreprises dont l'activité économique et sociale est vitale pour la nation.

lundi 5 septembre 2016

L'intervention russe en Ukraine, cas d'école cyber de la guerre hybride moderne ?

L'expression "guerre hybride" existe depuis longtemps mais a investi sinon réinvesti ces dernières années le champ de la dialectique militaire et de travaux de recherche associés [1] tout en faisant l'objet de divergences entre les tenants de son existence [2] et ses détracteurs [3]. Pour autant l'objet de cet article n'est pas de prendre position [4] mais plutôt de s'intéresser à l'exemple de l'intervention russe en Ukraine depuis 2014 (annexion de la Crimée et soutien aux rebelles du Donbass), probablement représentatif des conflits asymétriques du 21ème siècle mais côté État(s), cette fois-ci [5]. Pour lesquels le domaine cyber joue un rôle de plus en plus majeur sans pour autant sembler pouvoir emporter à lui seul la décision dans un conflit. Pour le moment ?

lundi 22 août 2016

Le 400ème

C'est presque avec surprise que je me suis rendu compte, lors de la publication du précédent billet, qu'il s'agissait alors du 399ème paru sur ce blog. Le sentiment qui prévaut lorsque je repense à l'origine de ce blog est agréable mais aussi teinté d'une certaine tristesse [1]. Je n'oublie pas par ailleurs combien j'ai tâtonné durant les premiers mois et combien tout cela manquait également de régularité, l'un des principaux écueils  d'un blog. Créé en avril 2007 [2], en pleine vague du "web 2.0" c'est à dire quand les blogs (ou blogues pour les puristes) étaient à la mode et préfiguraient les réseaux sociaux à venir, je n'avais absolument aucune idée de la voie, du ton et de la durée de vie qu'allait posséder ce merveilleux [3] vecteur de communication.

mardi 16 août 2016

Vessie ou lanterne, le coût des cyberattaques reste un véritable défi

1,6% du PIB annuel de certains pays de l'Union européenne, 425 000 € à 20 M€ par entreprise en Allemagne, 330 Mds à 506 Mds € pour l'ensemble du globe ? Combien ? Quels sont les coûts directs et indirects [1] des cyberattaques ? Si la question n'est pas nouvelle, elle se pose avec davantage d'acuité ces dernières années, transition numérique de la société et dépendance accrue aux technologies de l'information et de la communication (TIC) obligent. L'ENISA, l'agence européenne chargée des questions de cybersécurité, a tenté de répondre à cette lancinante interrogation au travers d'une étude [2]. En arrivant finalement à la conclusion qu'il n'existait pas (encore) de méthodologie fiable et donc de chiffres cohérents et qu'y arriver représentait un défi de taille.

jeudi 30 juin 2016

Le détournement des "panneaux à messages variables" s'invite dans la campagne présidentielle US 2016

Le détournement des messages d'information des "panneaux à messages variables" (PMV) possède une forme de poésie qui confine presque à une sorte de démarche artistique si son origine n'était pas le détournement malveillant de fonctions informatives. Après notamment les zombies [1] puis un hypothétique gorille perdu [2], c'est au tour de la campagne présidentielle étasunienne de 2016 de faire les frais de cette technique rudimentaire mais somme toute efficace.

lundi 13 juin 2016

Tensions en Mer de Chine méridionale, conflictualités dans le cyberespace et survie de l'humanité

Vendredi 27 mai 2016 s'est tenue à Ventiane, au Laos, la 10ème réunion annuelle des ministres de la Défense de l'ASEAN [1] qui a entériné la proposition du ministre de la Défense des Philippines [2] d'établir un groupe de travail qui "servira de cadre pour la coopération en matière de cybersécurité" [3]. 

Si cette déclaration est parfaitement demeurée inexistante dans les media européens et notamment français, elle souligne cependant si besoin était les tensions qui se jouent au voisinage de la Mer de Chine méridionale.

mardi 17 mai 2016

Renforcement des capacités cyber de l'Iran : l'échec Stuxnet

Si l'hypothèse, jamais confirmée jusqu'à présent [1], que l'opération Olympic games [2], menée de concert par la NSA, la CIA et quelques autres agences tant étasuniennes qu'étrangères se révélait étonnamment confirmée, quelle a pu en être l'analyse des résultats par ses géniteurs : quasi-succès ? semi-échec ? [3] Historiens et stratégistes tenteront bien d'y répondre un jour mais, s'il y a bien une certitude d'échec, elle concerne en premier lieu l'effet collatéral de l'emploi de Stuxnet, assurément mal voire non estimé : la volonté politique du pouvoir iranien de réduire sa vulnérabilité aux cyberattaques sophistiquées ET la nécessité de se doter de capacités offensives - dignes de ce nom - dans le cyberespace.

lundi 11 avril 2016

Du DDOS à 5$ / heure au #PanamaPapers, la cybercriminalité à portée de clics !

Les plus anciens lecteurs de ce blog, assurément attentifs, auront pu remarquer un élément inaliénable et intransigeant qui le caractérise : de rares informations, en particulier commerciales, issues des vendeurs de produits et services de cybersécurité. Le mélange des genres apparaissant comme une perte d'indépendance morale et intellectuelle pour cette zone d'information libre à destination du plus grand nombre, il faut cependant admettre qu'un certain nombre d'informations de ces entreprises, évidemment limité, possède parfois quelque intérêt.

lundi 4 avril 2016

Du réalisme économique aux chausse-trappes sécuritaires, un système d'exploitation souverain pour quoi faire ?

Alors que le débat d'un "système d'exploitation souverain" a agité le Landerneau numérique en début d'année, l'heure n'est sans doute pas de rallumer le feu aux poudres mais en revanche d'essayer de comprendre si l'idée relève d'une douce utopie déconnectée des réalités ou, au contraire, d'un symptôme voire d'un "mal" nécessaire en prise, justement, avec les réalités notamment économiques et géopolitiques.

mercredi 16 mars 2016

Cyberattaques : les papillons (de nuit), les experts (auto-proclamés) et les oies (forcément) blanches

Cyberattaques Sony (2014), "SCADA" Ukraine (2015) et le week-end dernier la Banque du Bengladesh (février 2016) [1]. Difficile, en apparence, d'y trouver un point commun, notamment sur les aspects techniques. A y regarder de plus près, pourtant, il est assez remarquable de relever :
- des commentateurs qui commentent en ne sachant rien mais en disant tout et ce faisant, parfois, n'importe quoi ;
- une attribution quasiment immédiate [2] des cyberattaquants, de l'incontrôlable Corée du Nord [3] pour Sony à l'ours russe pour l'Ukraine. Ne manque que la Chine pour que le trio infernal soit complet ;
- la médiatisation croissante de ces cyberattaques ce qui, en soi, n'est pas une mauvaise nouvelle, la cybersécurité sortant du placard réservé aux sujets "techniques" [4] dans lequel elle était reléguée jusqu'ici.

lundi 29 février 2016

L'Etude Nationale de la Filière Industrielle Cybersécurité (ENFIN Cyber !)

Rattaché à la Direction générale des entreprises (DGE) qui dépend elle-même de Bercy [1], le Pôle interministériel de prospective et d’anticipation des mutations économiques (Pipame) [2] "réalise des rapports dont l’objectif est d’apporter un éclairage sur l’évolution des principaux acteurs et secteurs économiques en mutation, en s’attachant à faire ressortir les menaces et les opportunités pour les entreprises, l’emploi et les territoires". Publiée en novembre 2015, l'analyse du marché et des acteurs de la filière industrielle française de la sécurité [3] s'intéressait à l'ensemble de la filière de la sécurité c'est à dire sans distinguer particulièrement l'un de ses piliers, la cybersécurité, qui nous intéresse ici. Présentée lors du dernier FIC [4], l'étude Pipame de janvier 2016, que ce blog vous invite aujourd'hui à consulter [5] vient, elle, ausculter plus en détail la filière cybersécurité nationale.