lundi 30 janvier 2017

#FIC 2017 : impression, soleil couchant

L'exercice de rendre compte d'un événement, quelle qu'en soit l'ampleur et le thème, est une véritable difficulté puisqu'il ne peut être que partiel et parfaitement subjectif avec tous les travers et les affects que cela suppose. Aussi resterais-je d'une grande prudence et souligne que les propos tenus ici ne relèvent que de la vision d'un minuscule bout de la lorgnette. Car l'édition 2017 du FIC me laisse perplexe pour plusieurs raisons.

La première d'entre elle est la dimension prise par ce qui est devenu le premier forum français si ce n'est européen (?) dédié à la cybersécurité : entre 6000 et 7000 participants enregistrés pour cette 9ème édition. Cela est évidemment une bonne nouvelle à ceci près qu'il serait souhaitable que l'organisation se pose plusieurs questions :
- comment faire pour que la comparaison avec les lieux ne ressemble trop au salon de l'agriculture [1] qui se tient chaque année à la porte de Versailles ? En effet, l'effet bruit + foule nombreuse + stands à foison le tout dans un immense volume de béton, froid et impersonnel [2], donne le tournis qui peut parfois confiner au malaise quasi-physiologique (plusieurs témoignages à ce sujet)
- cette ressemblance troublante avec le salon de l'agriculture est renforcée par le regroupement d'entités par région (la Bretagne via le Pôle d'excellence cyber) pour lequel je n'ai pas d'avis sauf que rien n'empêche d'autresgions où l'industrie de la cybersécurité se développe d'en faire de même au cours des prochaines éditions : Hauts-de-France, Occitanie, Auvergne-Rhône-Alpes, bref une régionalisation de l'événement donc un possible cloisonnement et de la compétition alors que la discipline et les enjeux réclament de travailler tous ensemble donc de "décloisonner" afin de faire rayonner la marque France
excellente idée que d'organiser de petites zones réservées sur le salon pour des rump sessions SAUF que celles-ci sont parfaitement désagréables du fait du bruit réellement important (à mesurer par sonomètre la prochaine fois) et des passages incessants autour de ces zones réservées
- l'accueil, en dépit d'un personnel toujours souriant et faisant pour le mieux,  notamment au niveau des vestiaires était (très) compliqué : files d'attente parfois longues, mélange dans les affaires (un de mes collègues a dû se racheter un manteau, le sien ayant été égaré...puis retrouvé plusieurs heures plus tard)
- les nombreuses critiques entendues concernant le prix du café, des sandwichs et l'attente (jusqu'à 40 minutes) pour se restaurer le midi. Effectivement, sur la pyramide de Maslow [3], voilà un axe d'amélioration fort qui peut être corrigé facilement (fontaines à eau toujours remplies et café gratuit en 2018 ?)
- comment améliorer la sécurité quant j'entends au détour d'une file d'attente que l'un des participants a pu entrer avec son badge de l'édition 2016 ?
- l'omniprésence ministérielle si ce n'est politique qui aseptise notamment les différentes interventions à l'ouverture du forum au cours de la matinée du mardi 24. Les discours sont convenus, on a l'impression que les mêmes éléments de langage tournent en boucle et que seul le directeur général de l'ANSSI possède une vision, une philosophie et un cap ce qui en fait la boussole ainsi que le rempart de plus en plus incontournable face à la succession de (cyber) tempêtes qui se profile.

Pour le reste, ce type de manifestation possède comme vertu essentielle de regrouper les acteurs de la profession et tous ceux qui gravitent de plus en plus autour. L'entretien des relations, le développement de nouvelles et le partage d'informations par cercles de confiance est une formidable incitation à participer à ce type d'événement. Sur le fond aucune nouveauté ou élément digne d'intérêt ne m'est parvenu du fait de l'aspect très business de l'événement. Cependant, certaines Master classes et tables rondes étaient assurément d'intérêt et de qualité. [4] Paradoxalement ou pas, les Assises de la sécurité à Monaco [5] ont ma préférence, sans doute par rapport à l'aspect plus "familial" et moins extensif en termes de surface d'exposition.

En dépit de quelques critiques, parfois plus mordantes [6] ou d'interrogations qui...interrogent [7], cette édition 2017 aura permis, quelques semaines après le CES à Las Vegas, de confirmer le dynamisme français et particulièrement industriel en matière de cybersécurité et de cyberdéfense. Implicitement aura aussi été souligné le basculement et les modifications profondes qui sont en train de s'y opérer. Une observation que j'aurai l'occasion de partager dans un prochain billet.


[1] ni critique ni malice, c'est un constat relevé par un certain nombre de personnes

lundi 16 janvier 2017

Le premier prix « François Perrin » de la cyber bourde 2017 attribué à la Présidence du Brésil

Dans mon billet du 31 décembre 2016 [1] faisant le bilan de l'année écoulée, apparaissait un éclair de lassitude inquiétude lucidité quant aux radotages de ce blog depuis un certain nombre d'années. Le fait ici de radoter consiste à réitérer si ce n'est marteler ce qui est considéré par la plupart comme les fondamentaux, le "socle" minimum de mesures multidimensionnelles [2] qu'il est/serait pertinent de mettre en œuvre pour protéger au mieux son système d'information (SI).

Malheureusement (?), l'actualité cyber et quotidienne des derniers mois [3] permet d'observer un phénomène inquiétant. Il s'agit - enfin - de la prise de conscience des risques par les décideurs c'est à dire une prise de conscience de leur (in)suffisance face à ce "nouveau risque" qui existait déjà, même avant l'avènement de l'internet.

mercredi 4 janvier 2017

Cyber FBI...aïe aïe aïe !

(https://twitter.com/FBI/status/815584098676674560)
Si la critique est facile, il convient dans certains cas d'en saluer la nécessité salutaire de la prononcer. Autant pour permettre à celui ou à celle qui en est la victime de prendre conscience de ses possibles limites. Mais aussi, d'une certaine manière, pour pourfendre donneurs de leçons et gardiens de la morale pour qui le devoir d'exemplarité s'applique surtout aux autres. Prenons par exemple le FBI, cette légendaire agence fédérale étasunienne qui traque les criminels et qui eut à sa tête durant près de 37 ans un directeur qui fit trembler tout le système politique de son époque. Y compris jusqu'à la Maison Blanche. Mais soyons indulgent et, du passé, faisons table rase. Pour arriver à ces derniers jours où deux faits ridicules, et sans doute anodins pour le commun des mortels, se révèlent tout simplement affligeants.

samedi 31 décembre 2016

Quelles (cyber) surprises en 2017 ?

Ébouriffante. Tel est l'adjectif qui vient en tête immédiatement pour qualifier l'année 2016. Sur tous les fronts d'ailleurs, qu'ils soient politiques, géopolitiques, stratégiques et, évidemment cyber. Seuls les historiens pourront dire d'ici quelques décennies si l'année 2016 aura été historique pour la cybersécurité. Charnière sans aucun doute avec une actualité quasi quotidienne, y compris dans la presse généraliste, marquée par des affaires de piratage majeures (Yahoo notamment), de fuites d'information (leak) des Panama Papers, de (nouveaux) records de débit d'attaques en DDoS (OVH, Dyn [1]) ou de "vraies-fausses" cyberattaques au cours des élections présidentielles étasuniennes.

C'est donc sans fausse pudeur et avec une véritable gourmandise que l'on serait en droit d'attendre de l'année 2017 qu'elle surpasse encore plus l'année passée. Pensez-vous, hagards, média, journalistes et citoyens ont dû encaisser une surprise stragique par mois (Brexit) au premier semestre puis par semaine (Trump, Fillon, Castro, Hollande, Alep, ...) au second semestre. Mais cela est-il seulement envisageable souhaitable probable ? En vérité oui. Et plutôt deux fois qu'une. Pour reprendre l'un des leitmotivs d'un chaud printemps 1968 en France mais aussi en Europe : soyez réalistes, demandez l'impossible [2] ! Trêve de pensées révolutionnaires, la vérité de l'avenir proche demeurera probablement écartelée entre continuité et coups d'éclat cyber. Ne cherchez donc pas trace d'annonce tonitruante mais creuse car, vous le savez, ici c'est une maison d'artisan sérieuse et la (cyber)prévision est un art difficile surtout lorsqu'elle concerne l'avenir. [3]

Restons donc sur des choses simples, la tradition comme diraient certains, à commencer par les remerciements, sincères, à toi lecteur qui vient ici depuis peu ou depuis longtemps. C'est toi et seulement toi qui me donne la force de continuer car, plus d'une fois, j'ai caressé la tentation de saborder le navire, qui commence à se faire ancien et, parfois, à radoter.

Enfin, passons aux chiffres.

20
Le nombre d'articles écrits cette année, quasi stable par rapport à l'année précédente. [4] Où l'on notera le 400ème du blog, moment d'émotion singulier. [5]

5
Les cinq articles les plus consultés de l'année, dans l'ordre antéchronologique :