vendredi 15 août 2014

Protection des données "client" et "projet" : le "prestaleak" a-t-il commencé ?

J'ai récemment été interviewé par deux étudiants (1), l'un en doctorat, l'autre un master, les deux mémoires traitant notamment des "Partenariats Public Privé" (PPP) relatifs à la cybersécurité. L'une des questions à laquelle j'ai été confrontée était de savoir si "une externalisation des services et prestations de cybersécurité pourrait se poser comme solution au déficit de  moyens humains et financiers des services de l’État ?". Une interrogation qui m'a amené à souligner un risque qui semble émerger du côté du secteur privé et qui, par conséquence, pourrait aussi toucher les services de l’État. 

Ce risque concerne le vol d'informations "client" et "projet" chez certains prestataires/consultants naïfs, laxistes ou inconscients (2) du fait d'usages à risques. Qu'importe qu'ils interviennent pour le secteur public ou le secteur privé : la plupart sont des cibles potentielles privilégiées. (3)

Parmi les usages à risques qui demeurent étonnamment constants, il y a l'emploi de moyens de stockage insuffisamment protégés. Une hérésie en 2014 alors que des solutions de chiffrement, simples et robustes, existent et que l'affaire Snowden revient régulièrement sur le devant de la scène. Si ces aspects restent aussi mal adressés qu'aujourd'hui, les incidents de sécurité impliquant directement les commerciaux, les consultants et même les experts en cybersécurité pourraient se multiplier ! Pensez que nombreux sont ceux qui utilisent des systèmes de stockage amovibles ou des NAS (4) auxquels ils accèdent par commodité, de n'importe quel lieu, par un simple ftp ou un moyen d'authentification faible, récurrent (5) voire trivial (6).Exfiltrations non-maîtrisées et divulgations retentissantes pourraient se multiplier à l'avenir alors qu'existent déjà des rançongiciels s'attaquant à certains NAS (7). Une fonction d'exfiltration des données ne serait pas "l'amélioration" la plus inenvisageable.  

Si la partie technique peut donc facilement venir améliorer ou dégrader le niveau de sécurité des données à protéger, n'oublions-pas l'usage immodéré qu'ont certains "bavard(e)s" de communiquer sur leurs missions passées ou en cours : transports en commun, lieux publics et/ou réseaux sociaux. Le triptyque infernal qui réjouit tout service de renseignement digne de ce nom ainsi que, plus largement, les individus potentiellement malveillants.

Dès lors, la saine attitude à adopter entre le client, qu'il soit une administration, une entité disposant d'une délégation de service public ou une entreprise privée, est de régir finement par voie contractuelle toute prestation en lien avec tout projet qui touche de près ou de loin au système d'information. Ce volet juridique spécifique peut aussi s'accompagner de mesures complémentaires comme l'obligation, pour la société et ses intervenants, d'une habilitation de niveau "Confidentiel Défense". Si cette mesure est trop contraignante, le client peut demander la rédaction d'une convention stipulant le besoin d'en connaître du prestataire ainsi que les modalités de protection des informations échangées et stockées. Enfin, un volet spécifique à la sécurité du projet lors de la réunion de lancement, rappelant les engagements juridiques et les règles de base à respecter, peut être efficace et plus utile qu'il n'y paraît.

Soulignons ici que cette nécessité de protection juridique ne peut se faire qu'en s'appuyant sur une véritable expertise juridique spécialisée en cybersécurité. Une ressource actuellement rare qui est sans doute appelée à devenir stratégique au sein de l'entreprise. Véritable goulot d'étranglement avec un potentiel de risques non négligeable, cette faiblesse pourrait pourtant être assez facilement réduite en quelques mois : spécialisation ou formation spécifique des ressources internes (CIL ou juriste), prestation en expertise, utilisation de "modèles-type" (8), veille spécifique, etc. 

Les risques présentés dans cet article ne sont ni imaginaires ni marginaux : observez bien l'actualité des derniers mois et discutez avec vos spécialistes SSI/cybersécurité si vous vous dîtes "encore un gadget cyber truc". Car si une tendance ne fait pas la "mode", il en est certaines où il est préférable de rester "has been" !


(1) Que je salue ici
(2) La combinaison des trois étant aussi valable
(7) Cas du rançongiciel"SynoLocker" qui s'attaque à certains NAS de la société Synology
(8) sur le modèle du "Guide de l'infogérance" de l'ANSSI avec son annexe comportant des exemples de PAS (Plan d'Assurance Sécurité)

lundi 21 juillet 2014

« Forces et illusions de la francophonie », la conférence d'Erik Orsenna aux Lundis de l'IHEDN

Les Lundis de l'IHEDN (1) ont clôturé leur belle saison 2013-2014 de conférences (2) par l'intervention enlevée, lundi 23 juin 2014, pleine de finesse et teintée d'humour, d'Erik Orsenna. Conseiller d’État, académicien et bien-sûr écrivain, c'est dans un amphithéâtre Foch plein que M. Orsenna est venu présenter sa vision de la francophonie. S'appuyant sur de nombreux déplacements internationaux depuis des décennies mais également l'expérience politique de l'exercice du pouvoir, son œil d'écrivain lui donne sans doute l'acuité nécessaire pour garder la bonne distance aux événements auxquels il a participé ou assisté.

mercredi 16 juillet 2014

1914-1918 : du sous-marin à la détection sous-marine, une guerre d’innovations

La Première guerre mondiale ne fut pas seulement le massacre de millions d'hommes, tués, blessés ou estropiés à tout jamais. C'est aussi un conflit qui permit l'émergence de nombreuses innovations scientifiques et techniques dans les domaines de la chimie, du médical, de l'ingénierie, etc. Dans le cadre du dossier commémoratif 1914-1918 réalisé au profit d'EchoRadar, je vous propose un regard sur plusieurs innovations ayant trait au domaine maritime : les sous-marins et la détection de la menace qu'ils font peser sur les navires de surface.

http://i0.wp.com/listverse.com/wp-content/uploads/2013/07/UB_148_at_sea-e1373666561558.jpg?resize=632%2C359
(Source)

La 1ère Guerre mondiale reste, dans l’inconscient collectif, marquée par de terribles combats d’infanterie et d’artillerie. Ce conflit, considéré comme le premier conflit moderne de l’ère industrielle, possède, entre autres, la caractéristique de se produire simultanément sur terre, en mer et dans les airs. A l’émergence de l’aviation, dont l’emploi deviendra stratégique trois décennies plus tard, répondirent de nombreux affrontements maritimes. Essentiellement en surface mais, fait totalement nouveau, également sous la surface grâce à l’emploi d’une nouvelle arme : les sous-marins.

dimanche 13 juillet 2014

Été 1914 : un autre monde ?

Ce blog rejoint la communauté EchoRadar () qui est une plate-forme de blogs fédérant des professionnels et des passionnés de stratégie, de sécurité et de technologie. A l'occasion du centenaire de la Première guerre mondiale, EchoRadar participe à la commémoration de cet événement tragique en vous proposant un dossier "Été 1914 : un autre monde ?".


lundi 30 juin 2014

Fin d'AGS, articles à venir et (pas de) pause estivale

La période estivale est généralement propice à un ralentissement d'une activité quelle qu'elle soit. Ce blog, pour de nombreuses raisons, a anticipé ce ralentissement depuis plusieurs mois déjà. Pour autant, je maintiendrai une activité durant tout l'été, sur ce blog comme sur son compte Twitter associé (1). Revue sommaire des changements liés à l'arrêt de l'Alliance géostratégique, évocation des articles à venir et propositions de lectures du type "cahier de vacances" :-)

lundi 23 juin 2014

Cercle Stratégia du 25 juin 2014 - Présentation du livre d'entretiens "Sécurité alternative"

Le Cercle Stratégia recevra le mercredi 25 juin 2014 le docteur Isabelle TISSERAND, anthropologue médical, Alain JUILLET, Président du CDSE, Jean-Luc DELCROIX, Directeur de la Poste Monaco, et Jean-François CLERVOY, astronaute à l'ESA, pour un petit-déjeuner débat à l'occasion de la parution aux Éditions de L'Harmattan de l'ouvrage d'entretiens :

"SECURITE ALTERNATIVE" (Une réponse aux futures menaces ?)

Cette rencontres, qui se déroulera dans les salons du Bateau Maxim's au Port de Suffren, sera orchestrée autour des interventions suivantes :
  • le concept de sécurité alternative, par le docteur Isabelle TISSERAND
  • l'intelligence économique et l'élaboration des stratégies de protection des patrimoines vitaux, par Alain JUILLET
  • la défense des opérateurs d'importance vitale (OIV), par Jean-Luc DELCROIX
  • la protection du patrimoine humain, par Jean-François CLERVOY
En attendant ce rendez-vous exceptionnel, auquel je participerai, je vous encourage à patienter en lisant la recension récemment consacrée à cet ouvrage.

lundi 9 juin 2014

Recension du livre d'entretiens "Sécurité alternative" (Une réponse aux futures menaces ?)

Déjà auteur de plusieurs ouvrages (1), Isabelle Tisserand vient de publier un nouvel opus, collectif celui-ci : "Sécurité alternative".  L'ouvrage sous-titré "Une réponse aux futures menaces ?" regroupe 26 entretiens d'experts et de spécialistes. Si la plupart exercent dans des domaines directement en lien avec la protection des biens, des savoirs et des personnes, certains sont connus (Alain Juillet) voire très connus (le spationaute Jean-François Clervoy). L'idée majeure de cet ouvrage est de faire émerger des propositions issues de leurs diverses mais solides expériences. A la clé, l'idée convaincante que la sécurité alternative est la prochaine (r)évolution de la sphère "sûreté, défense et sécurité".

lundi 2 juin 2014

Le “kill switch” est-il l’arbre qui cache la forêt (des données) ?

Rendre un smartphone aussi utile qu’une brosse à dents pour téléphoner en quelques secondes est techniquement possible depuis plusieurs années. En effet, grâce à la multiplication des applications et fonctionnalités, le smartphone apporte de nombreux services qui nous facilitent la vie quotidienne. La fonction appelée "kill switch", et qui peut être littéralement traduite par “interrupteur mortel”, permet à un utilisateur de bloquer son téléphone à distance en cas de perte ou de vol. Si la fonction possède un véritable intérêt, rien n’oblige jusqu’à présent les principaux constructeurs de téléphones à en doter leurs bijoux technologiques. Pourtant, cette position devrait rapidement évoluer.

mercredi 21 mai 2014

A quand un ministre de la cybersécurité ?

Si la question peut faire sourire, c'est pourtant la remarque qu'une frange de la communauté cyber a pu se poser ces derniers mois. D'ailleurs, lors des jours précédant la constitution du gouvernement de Manuel Valls, des bruits ont couru sur de possibles réflexions à ce sujet. Enfumage ou réalité, il convient de s'interroger sur la pertinence d'une réflexion en apparence isolée. En effet, depuis peu, la question fait même l'objet d'un débat en Belgique (1).

samedi 10 mai 2014

Détection avancée des cyberattaques, nouvel Eldorado de la cyberdéfense ?

Le débat cherchant à trancher qui de l'attaque ou de la défense aurait l'avantage dans le domaine cyber n'est ni récent ni nouveau (1). De nombreux outils quittent actuellement l'étape de la recherche et des laboratoires pour tenter de se faire une place sur le lucratif (2) marché de la cybersécurité. Parmi eux, certains promettent d'améliorer significativement le niveau de cyberdéfense par la détection avancée de cyberattaques potentielles. Focus sur une avancée qui pourrait apporter plusieurs bouleversements majeurs.

mercredi 2 avril 2014

Cyberattaques et espionnage : le double-effet Nortel

Fin 2011, le ministère de la défense du Canada (The Department of National Defence - DND), sous l'égide de son gouvernement, a acquis l'ancien campus (1) de l'entreprise Nortel. Nortel, entreprise internationale emblématique, passée de la lumière aux ténèbres en une décennie et dont les fantômes continuent de hanter un douloureux épisode technico-industriel canadien.

mardi 25 mars 2014

Critique livre : "Cyber menace" de Tom Clancy

Tom Clancy nous a quittés le 1er octobre 2013, laissant orphelins des millions de lecteurs à travers le monde. Dans son avant-dernier opus (1) "Cyber menace" paru en 2012, l'auteur explore dans le détail les nouvelles conflictualités en y intégrant pleinement le domaine cyber. Un livre qui, s'il souligne une nouvelle fois la maîtrise d'un genre littéraire et la troublante anticipation de scénarii crédibles (2), laisse pourtant le lecteur sur un sentiment mitigé.