mardi 31 juillet 2012

Le Top 5 des articles 2012 (1er semestre)

L'été est généralement une période transitoire pour de nombreuses professions. Le premier semestre clôturé, vient le temps de se reposer, de recharger les accus (en vue du second semestre) et, de manière avisée, faire un bilan des ventes. Pour un blog, il s'agit dans ce cas d'un recensement des articles les plus lus, ce qui permet toujours d'observer certaines tendances et/ou les sujets porteurs voire incontournables.

Le Top 5 des articles ci-dessous recense ceux qui ont été les plus consultés (par nombre de pages vues), généralement plusieurs centaines de fois avec une exception notable concernant le n°1, vu/lu plus d'un millier de fois. Je profite d'ailleurs de cet article estival pour saluer et remercier mes plus fidèles lecteurs (il y en a ! :) et vous assurer de cette envie permanente d'apporter une (modeste) contribution à un domaine mouvant, évolutif et d'une grande complexité. La pédagogie, la clarté du propos et l'accession au plus grand nombre demeurant toujours des critères auxquels j'essaye de ne pas déroger. Vos commentaires, trop rares, sont et seront toujours les bienvenus puisque souvent vos remarques et vos informations sont pertinentes.

N°4 - Décès de M. Pascal Lointier, Président du CLUSIF (mes pensées amicales vont à sa famille et à ses proches. Personne n'oublie Pascal)


mardi 24 juillet 2012

Power Pwn : la Hack machine infernale !

Cyber Fast Track (CFT) est un programme de la DARPA dont l'objectif ambitieux est de développer des projets cyber à bas-coût et en un temps record (démonstration des résultats en moins de 12 mois). L'un de ces projets, Power Pwn, arrive en phase d'industrialisation puisqu'il est possible de commander cette sorte de "module étrange" et d'être livré aux alentours du 30 septembre 2012.

D'aspect anodin car ressemblant à une sorte de multiprise parafoudre, il est quasiment invisible dans un bureau mais surtout une salle informatique et/ou de serveurs. Réellement impressionnant, c'est tout simplement une plate-forme ultra-complète de tests de pénétration puisque les tests partent de la couche ISO la plus basse, la couche physique, jusqu'à la couche applicative. Il peut être préalablement configuré puis déposé en mode "verrouillé et armé".

samedi 21 juillet 2012

Sécurité de l'Information : faut-il abandonner la sensibilisation des utilisateurs ?

A première vue, la problématique ainsi posée peut paraitre décalée si ce n'est provocatrice. En effet, et depuis des années, les entreprises qui traitent sérieusement de la protection et de la sécurité de leurs systèmes d'information s'appuient toutes sur une sorte de carré magique : un référentiel adossé à une politique (PSSI), des moyens spécialisés, une organisation fonctionnelle au centre de laquelle le RSSI est la pierre angulaire et enfin l'éducation des utilisateurs. 

Ces derniers, souvent qualifiés de maillon faible ou, plus rarement, de maillon fort en vertu de leur niveau de sensibilisation et de formation, devraient dorénavant être écartés du budget alloué à la sécurité du SI au profit unique d'un axe double : le cloisonnement des réseaux et la sécurité (robustesse) de l'environnement. C'est en tout cas ce que pense Dave Aitel, le président¹ d'une société américaine de sécurité des SI.

lundi 16 juillet 2012

Vulnérabilités du système Niagara : émergence d'un phénomène et irresponsabilités coupables

Quel rapport y-a-t'il entre la 21st Century Tower à Dubaï, l'aéroport Changi à Singapour, l'hôpital universitaire James Cook à Middlesbrough en Angleterre ou bien un dépôt géant de munitions de l'armée de terre américaine en Pennsylvanie ? A première vue, aucun et pourtant un point commun relie ces lieux et ces ouvrages fonctionnellement très différents. Ce lien s'appelle le système Niagara de la société Tridium et peut être considéré comme une sorte de "télécommande universelle" pour d'innombrables équipements électroniques.

Dans 52 pays, un peu plus de 11 millions de ces dispositifs, au premier rang desquels l'on trouve des systèmes permettant le contrôle de dispositifs anti-incendie, de climatiseurs, d'ascenseurs, d'éclairage, des frigos et des congélateurs, mais aussi des pompes à carburant, de la vidéosurveillance, des détecteurs anti-intrusions, voire des systèmes médicaux critiques ou des détecteurs de vapeurs chimiques (comme pour le dépôt géant de munitions de Tobyhanna). La Défense toujours puisque Niagara fournit également des dispositifs de surveillance et de contrôle des accès dans des installations de "haute sécurité".

samedi 7 juillet 2012

Chaire de cyberdéfense, NCCoE : deux centres d'excellence cyber, une différence fondamentale

Il ne se passe pas une semaine aux USA, allez, disons un mois sans que ne surgisse l'annonce de la création d'un nouveau centre dédié à la cybersécurité et/ou à la cyberdéfense¹. Cette fois-ci, c'est au tour du NIST de créer le Centre d'Excellence National en Cybersécurité (National Cybersecurity Center of Excellence - NCCoE). Notons là encore la réactivité dans la dynamique cyber des USA car le NCCoE est opérationnel à peine 4 mois après l'annonce publique de sa création.

mardi 3 juillet 2012

Le "pack cybersécurité" du DHS pour les agences fédérales

Sur un budget fédéral consacré à la cybersécurité estimé à 6 milliards $ par an, le DHS en 2013 devrait consacrer 202 millions $ à faire développer puis fournir aux autres agences fédérales un kit de cybersécurité visant à réduire drastiquement les risques liés aux vulnérabilités logicielles.

Ce qui est pour le moment appelé "CMaaS" (Continuous Monitoring as a Service - Surveillance continue en tant que Service) sera constitué de plusieurs outils incluant des sondes de menaces proches temps réel, un panneau de contrôle pour prioritiser les mises à jour logicielles et enfin des services de conseil et d'assistance permettant d'assurer la cohérence d'ensemble. Le kit sera développé par un contractant inconnu pour le moment mais la genèse et la philosophie du projet sont intéressantes à connaître.