lundi 20 mars 2017

L'alliance Orange Huawei ou comment enfoncer un peu plus les clou(d)s du cercueil

A l'occasion du dernier FIC à Lille fin janvier 2017, un certain nombre d'interrogations s'était fait jour [1]. L'une d'entre elles avait été affichée sur l'immense écran de la plénière et il n'avait fallu que quelques minutes à peine pour que la "vérité vraie" soit rétablie. Dont acte.



Las, un mois se sera écoulé pour apprendre l'existence d'une alliance de "l'ancien champion du cloud souverain avec Cloudwatt" [2], c'est à dire Orange, avec le groupe chinois Huawei devenu poids lourd mondial des équipements réseau et télécom. Si l'histoire, que dis-je, l'épopée du "cloud souverain à la française" que devait nous envier le monde entier s'est tragiquement achevée, elle apparait finalement dérisoire face à la consternation qui a dû s'emparer d'un certain nombre d'autorités et de services (responsables) de l’État chez qui "on adore pas la perspective". [3]

Dans un contexte international d'une grande instabilité, où l'adversité étatique ou proto-étatique a fait du cyberespace en à peine une décennie un espace de conflictualités principalement économiques où tous les coups - ou presque - sont permis et, de surcroît, en pleine période d'élection présidentielle française, la stupéfaction est grande de constater le silence poli des media mainstream [4] ainsi que des désormais candidats officiels. Car s'agit-il de maladresse, d'absurdité ou de cynisme, voire peut-être un peu des trois, que d'apprendre que "pour tenter d’apaiser les clients, Orange indique que ces derniers pourront s’appuyer sur l’expertise et les services d’Orange Cyberdéfense afin de garantir la sécurité de leur infrastructure cloud." [2]  Une remarque à mettre en perspective avec cette magnifique annonce de délocalisation des centres de services (d'OBS) en Inde.

Il est difficile de savoir dans quelle mesure ce type de déclarations de l'opérateur historique, qui se vante d'être la première entreprise nationale en matière de ressources et de chiffre d'affaires en cybersécurité, peut venir perturber les courageuses tentatives de l’État de promouvoir une offre nationale et européenne de produits et de services de confiance ? Gageons que dans le meilleur des cas elle viennent simplement conforter les (trop) nombreux dirigeants aveuglés par leur sacro-saint pilotage par les indicateurs financiers. Dans le pire, elle vient simplement s'ajouter aux innombrables tentatives sur et hors du territoire de vouloir saper le développement d'une offre européenne, singulière et de plus en plus complète, prise entre le marteau étasunien et l'enclume asiatique.  

Créer des alliances, signer des partenariats, se montrer offensif et ambitieux n'excluent pas un peu moins de cynisme financier et davantage de patriotisme économique et social. Développer une offre de cybersécurité et la promouvoir comme des yaourts, des véhicules ou des bagages même de luxe est un bien mauvais signal envoyé à l'écosystème qui ne ménage pas sa peine

Enfin, considérer que les équipements électroniques en périphérie ou dans le cœur des réseaux ne peuvent ni être backdoorés ni piégés quand ils n'ont pas subi les fourches caudines d'une certification voire mieux, d'une qualification, est tout simplement l'incitation au pillage des savoirs et savoirs faire de nos entreprises et de nos laboratoires. Espérons dès lors qu'Orange en a pris la pleine conscience et aura su traiter l'ensemble des risques pour ainsi s'éviter, un jour, un potentiel mais véritable scandale.


[4] on me glisse dans l'oreillette qu'Orange est partenaire d'une multitude d'entreprises appartenant à notre quarteron d'actionnaires des principaux media de la presse écrite française. Ah ! il fait aussi partie des 10 plus importants budgets publicitaires nationaux

samedi 25 février 2017

Fiat LED, un air-gap de toute beauté

L'air-gap est le moyen qui permet de compromettre un système d'information, y compris s'il est isolé d'internet, à distance et sans interaction physique autre que par les airs (ondes). D'où son nom et d'où le vrai-faux sentiment de sécurité qu'imaginent un certain nombre de responsables techniques et de dirigeants qui considèrent qu'isoler ses moyens informatiques et de production industriels les met à l'abri. Allez dire cela notamment aux Pasdarans chargés de protéger le programme nucléaire iranien et vous vous ferez sans nul doute de nouveaux amis. Quoiqu'il en soit, des chercheurs et non des moindres, avaient démontré en 2014 la possibilité d'une cyberattaque réalisée via un drone et ciblant une imprimante multifonctions. [1] 

lundi 20 février 2017

Réinventer la cybersécurité par le design thinking

Un peu honteux, je dois l'avouer, il y a encore deux semaines je possédais une absence totale de connaissance en matière de design thinking ! Pour celles et ceux d'entre vous qui en maîtrisent parfaitement la matière [1], nul doute qu'un sourire doit apparaître sur votre visage de probable millenial. [2] Comme Monsieur Jourdain cependant, c'est un peu rasséréné que je me suis souvenu d'un séminaire [3] que j'avais coorganisé en 2014 et qui, justement, reprenait une partie des codes et des fondamentaux de la discipline. Las, une question fulgurance s'est alors imposée : quid de l'intérêt de faire converger cette discipline récente et la cybersécurité ?

lundi 30 janvier 2017

#FIC 2017 : impression, soleil couchant

L'exercice de rendre compte d'un événement, quelle qu'en soit l'ampleur et le thème, est une véritable difficulté puisqu'il ne peut être que partiel et parfaitement subjectif avec tous les travers et les affects que cela suppose. Aussi resterais-je d'une grande prudence et souligne que les propos tenus ici ne relèvent que de la vision d'un minuscule bout de la lorgnette. Car l'édition 2017 du FIC me laisse perplexe pour plusieurs raisons.

lundi 16 janvier 2017

Le premier prix « François Perrin » de la cyber bourde 2017 attribué à la Présidence du Brésil

Dans mon billet du 31 décembre 2016 [1] faisant le bilan de l'année écoulée, apparaissait un éclair de lassitude inquiétude lucidité quant aux radotages de ce blog depuis un certain nombre d'années. Le fait ici de radoter consiste à réitérer si ce n'est marteler ce qui est considéré par la plupart comme les fondamentaux, le "socle" minimum de mesures multidimensionnelles [2] qu'il est/serait pertinent de mettre en œuvre pour protéger au mieux son système d'information (SI).

Malheureusement (?), l'actualité cyber et quotidienne des derniers mois [3] permet d'observer un phénomène inquiétant. Il s'agit - enfin - de la prise de conscience des risques par les décideurs c'est à dire une prise de conscience de leur (in)suffisance face à ce "nouveau risque" qui existait déjà, même avant l'avènement de l'internet.

mercredi 4 janvier 2017

Cyber FBI...aïe aïe aïe !

(https://twitter.com/FBI/status/815584098676674560)
Si la critique est facile, il convient dans certains cas d'en saluer la nécessité salutaire de la prononcer. Autant pour permettre à celui ou à celle qui en est la victime de prendre conscience de ses possibles limites. Mais aussi, d'une certaine manière, pour pourfendre donneurs de leçons et gardiens de la morale pour qui le devoir d'exemplarité s'applique surtout aux autres. Prenons par exemple le FBI, cette légendaire agence fédérale étasunienne qui traque les criminels et qui eut à sa tête durant près de 37 ans un directeur qui fit trembler tout le système politique de son époque. Y compris jusqu'à la Maison Blanche. Mais soyons indulgent et, du passé, faisons table rase. Pour arriver à ces derniers jours où deux faits ridicules, et sans doute anodins pour le commun des mortels, se révèlent tout simplement affligeants.

samedi 31 décembre 2016

Quelles (cyber) surprises en 2017 ?

Ébouriffante. Tel est l'adjectif qui vient en tête immédiatement pour qualifier l'année 2016. Sur tous les fronts d'ailleurs, qu'ils soient politiques, géopolitiques, stratégiques et, évidemment cyber. Seuls les historiens pourront dire d'ici quelques décennies si l'année 2016 aura été historique pour la cybersécurité. Charnière sans aucun doute avec une actualité quasi quotidienne, y compris dans la presse généraliste, marquée par des affaires de piratage majeures (Yahoo notamment), de fuites d'information (leak) des Panama Papers, de (nouveaux) records de débit d'attaques en DDoS (OVH, Dyn [1]) ou de "vraies-fausses" cyberattaques au cours des élections présidentielles étasuniennes.

C'est donc sans fausse pudeur et avec une véritable gourmandise que l'on serait en droit d'attendre de l'année 2017 qu'elle surpasse encore plus l'année passée. Pensez-vous, hagards, média, journalistes et citoyens ont dû encaisser une surprise stragique par mois (Brexit) au premier semestre puis par semaine (Trump, Fillon, Castro, Hollande, Alep, ...) au second semestre. Mais cela est-il seulement envisageable souhaitable probable ? En vérité oui. Et plutôt deux fois qu'une. Pour reprendre l'un des leitmotivs d'un chaud printemps 1968 en France mais aussi en Europe : soyez réalistes, demandez l'impossible [2] ! Trêve de pensées révolutionnaires, la vérité de l'avenir proche demeurera probablement écartelée entre continuité et coups d'éclat cyber. Ne cherchez donc pas trace d'annonce tonitruante mais creuse car, vous le savez, ici c'est une maison d'artisan sérieuse et la (cyber)prévision est un art difficile surtout lorsqu'elle concerne l'avenir. [3]

Restons donc sur des choses simples, la tradition comme diraient certains, à commencer par les remerciements, sincères, à toi lecteur qui vient ici depuis peu ou depuis longtemps. C'est toi et seulement toi qui me donne la force de continuer car, plus d'une fois, j'ai caressé la tentation de saborder le navire, qui commence à se faire ancien et, parfois, à radoter.

Enfin, passons aux chiffres.

20
Le nombre d'articles écrits cette année, quasi stable par rapport à l'année précédente. [4] Où l'on notera le 400ème du blog, moment d'émotion singulier. [5]

5
Les cinq articles les plus consultés de l'année, dans l'ordre antéchronologique :