lundi 26 septembre 2016

Admin entends-tu le vol noir des hackers...


"Hâtez-vous lentement, et sans perdre courage,
Vingt fois sur le métier remettez votre ouvrage,
Polissez-le sans cesse, et le repolissez,
Ajoutez quelquefois, et souvent effacez". 
En matière de protection du patrimoine informationnel, tel devrait être le mantra du dirigeant, qu'il soit du secteur public ou privé, ainsi que de ses responsables de la "sécurité" [1] et de ses administrateurs des systèmes d'information, les fameux "Admin". Que ne serait pourtant dépité Nicolas Boileau [2] qui, dans sa grande sagesse, n'envisageait sans doute pas il y a plus de trois siècles, qu'un mélange d'autisme, d'inconscience et de déni s'emparerait depuis des années de nos systèmes d'information au point qu'il faille la loi [3], encore elle, pour tordre les mauvaises pratiques des entreprises dont l'activité économique et sociale est vitale pour la nation. 

Si ce pan des activités nationales semble désormais en voie de convalescence [4], il reste cependant tout le reste. Et ce tout est immense. Il concentre l'écrasante majorité des emplois et est généralement désarmé donc très vulnérable y compris aux cyberattaques les plus triviales qui constituent toujours la majeure partie de celles utilisées et qui fonctionnent [5]. Ce "grand tout" est constitué de toutes les autres entreprises, PME et ETI mais aussi de groupes nationaux qui n'ont pas été désignés comme opérateur d'importance vitale (OIV) mais qui possèdent pourtant des dizaines d'implantations à travers le monde, ont des milliers de salariés et un chiffre d'affaire souvent supérieur au milliard d'euros.  

Seriez-vous ainsi étonné qu'il existe encore en 2016 de tels fleurons qui ne possèdent toujours pas de responsable de la sécurité des systèmes d'information (RSSI) ? Moi oui et je reste parfaitement consterné si ce n'est choqué par une telle incurie des dirigeants de cette entreprise que nous appellerons "entreprise FVMP" [6] qui, sans doute, n'est pas un cas isolé. Alors que faire et par où commencer puisque la tâche est immense ? 

En admettant qu'un RSSI compétent soit recruté et qu'il dispose d'un mandat clair, d'un budget honorable et du soutien de sa direction [7] il faudrait distinguer les temporalités :
- moyen et long terme : ajustements ciblés suite aux premiers audits, élaboration d'une politique SSI (PSSI), sensibilisation/éducation, politique de classification et de protection des données, ré-urbanisation et simplification du SI, etc. ;
- court-terme : pélerinage à Lourdes, à La Mecque puis à Jérusalem pour éviter de découvrir une situation "à la Nortel" [8], revue des comptes et des accès avec une priorité absolue sur les comptes à privilège de type "administrateur".

Cette dernière mesure est en effet capable de réduire de moitié, oui de 50% pour les plus scientifiques ou comptables, le risque de compromission en profondeur du système d'information. Elle fait partie des fondamentaux d'une bonne hygiène informatique, répétés depuis des années et toujours d'actualité. [9] Preuve en est s'il en faut, la grande constance avec laquelle elle se retrouve dans l'ensemble des règles de base [10] recommandées (ou exigées, cas de la LPM) par l'ANSSI depuis plusieurs années.

Le gain potentiel en regard de l'investissement [11] doit être compris par le dirigeant néophyte qui aura vu la lumière céleste en ayant décidé d'investir un peu d'argent pour s'éviter les frais d'avocat(s), d'équipes de forensique puis de remédiation et enfin de son médecin. A l'heure d'un quasi équilibre (temporaire) du budget de la Sécurité sociale, le ministère de la Santé devrait peut-être encourager cette pratique vertueuse par un système de bonus/malus envers nos entreprises ?


[1] de l'information, des données, des biens et des personnes, etc.
[4] Rome ne s'étant pas faite en un jour, la mise en place des mesures prévues par les différents arrêtés sectoriels, leur vérification et leur amélioration n'empêcheront sans doute pas d'autres cas de "cyberattaques majeures" dans les prochaines années...
[6] FVMP comme "future victime majeure potentielle"
[7] aurait-il fallu la fin d'année pour décrire la "liste au père Noël" du RSSI rêveur et schizophrène ? :-)

lundi 5 septembre 2016

L'intervention russe en Ukraine, cas d'école cyber de la guerre hybride moderne ?

L'expression "guerre hybride" existe depuis longtemps mais a investi sinon réinvesti ces dernières années le champ de la dialectique militaire et de travaux de recherche associés [1] tout en faisant l'objet de divergences entre les tenants de son existence [2] et ses détracteurs [3]. Pour autant l'objet de cet article n'est pas de prendre position [4] mais plutôt de s'intéresser à l'exemple de l'intervention russe en Ukraine depuis 2014 (annexion de la Crimée et soutien aux rebelles du Donbass), probablement représentatif des conflits asymétriques du 21ème siècle mais côté État(s), cette fois-ci [5]. Pour lesquels le domaine cyber joue un rôle de plus en plus majeur sans pour autant sembler pouvoir emporter à lui seul la décision dans un conflit. Pour le moment ?

lundi 22 août 2016

Le 400ème

C'est presque avec surprise que je me suis rendu compte, lors de la publication du précédent billet, qu'il s'agissait alors du 399ème paru sur ce blog. Le sentiment qui prévaut lorsque je repense à l'origine de ce blog est agréable mais aussi teinté d'une certaine tristesse [1]. Je n'oublie pas par ailleurs combien j'ai tâtonné durant les premiers mois et combien tout cela manquait également de régularité, l'un des principaux écueils  d'un blog. Créé en avril 2007 [2], en pleine vague du "web 2.0" c'est à dire quand les blogs (ou blogues pour les puristes) étaient à la mode et préfiguraient les réseaux sociaux à venir, je n'avais absolument aucune idée de la voie, du ton et de la durée de vie qu'allait posséder ce merveilleux [3] vecteur de communication.

mardi 16 août 2016

Vessie ou lanterne, le coût des cyberattaques reste un véritable défi

1,6% du PIB annuel de certains pays de l'Union européenne, 425 000 € à 20 M€ par entreprise en Allemagne, 330 Mds à 506 Mds € pour l'ensemble du globe ? Combien ? Quels sont les coûts directs et indirects [1] des cyberattaques ? Si la question n'est pas nouvelle, elle se pose avec davantage d'acuité ces dernières années, transition numérique de la société et dépendance accrue aux technologies de l'information et de la communication (TIC) obligent. L'ENISA, l'agence européenne chargée des questions de cybersécurité, a tenté de répondre à cette lancinante interrogation au travers d'une étude [2]. En arrivant finalement à la conclusion qu'il n'existait pas (encore) de méthodologie fiable et donc de chiffres cohérents et qu'y arriver représentait un défi de taille.

jeudi 30 juin 2016

Le détournement des "panneaux à messages variables" s'invite dans la campagne présidentielle US 2016

Le détournement des messages d'information des "panneaux à messages variables" (PMV) possède une forme de poésie qui confine presque à une sorte de démarche artistique si son origine n'était pas le détournement malveillant de fonctions informatives. Après notamment les zombies [1] puis un hypothétique gorille perdu [2], c'est au tour de la campagne présidentielle étasunienne de 2016 de faire les frais de cette technique rudimentaire mais somme toute efficace.

lundi 13 juin 2016

Tensions en Mer de Chine méridionale, conflictualités dans le cyberespace et survie de l'humanité

Vendredi 27 mai 2016 s'est tenue à Ventiane, au Laos, la 10ème réunion annuelle des ministres de la Défense de l'ASEAN [1] qui a entériné la proposition du ministre de la Défense des Philippines [2] d'établir un groupe de travail qui "servira de cadre pour la coopération en matière de cybersécurité" [3]. 

Si cette déclaration est parfaitement demeurée inexistante dans les media européens et notamment français, elle souligne cependant si besoin était les tensions qui se jouent au voisinage de la Mer de Chine méridionale.

mardi 17 mai 2016

Renforcement des capacités cyber de l'Iran : l'échec Stuxnet

Si l'hypothèse, jamais confirmée jusqu'à présent [1], que l'opération Olympic games [2], menée de concert par la NSA, la CIA et quelques autres agences tant étasuniennes qu'étrangères se révélait étonnamment confirmée, quelle a pu en être l'analyse des résultats par ses géniteurs : quasi-succès ? semi-échec ? [3] Historiens et stratégistes tenteront bien d'y répondre un jour mais, s'il y a bien une certitude d'échec, elle concerne en premier lieu l'effet collatéral de l'emploi de Stuxnet, assurément mal voire non estimé : la volonté politique du pouvoir iranien de réduire sa vulnérabilité aux cyberattaques sophistiquées ET la nécessité de se doter de capacités offensives - dignes de ce nom - dans le cyberespace.

lundi 11 avril 2016

Du DDOS à 5$ / heure au #PanamaPapers, la cybercriminalité à portée de clics !

Les plus anciens lecteurs de ce blog, assurément attentifs, auront pu remarquer un élément inaliénable et intransigeant qui le caractérise : de rares informations, en particulier commerciales, issues des vendeurs de produits et services de cybersécurité. Le mélange des genres apparaissant comme une perte d'indépendance morale et intellectuelle pour cette zone d'information libre à destination du plus grand nombre, il faut cependant admettre qu'un certain nombre d'informations de ces entreprises, évidemment limité, possède parfois quelque intérêt.

lundi 4 avril 2016

Du réalisme économique aux chausse-trappes sécuritaires, un système d'exploitation souverain pour quoi faire ?

Alors que le débat d'un "système d'exploitation souverain" a agité le Landerneau numérique en début d'année, l'heure n'est sans doute pas de rallumer le feu aux poudres mais en revanche d'essayer de comprendre si l'idée relève d'une douce utopie déconnectée des réalités ou, au contraire, d'un symptôme voire d'un "mal" nécessaire en prise, justement, avec les réalités notamment économiques et géopolitiques.

mercredi 16 mars 2016

Cyberattaques : les papillons (de nuit), les experts (auto-proclamés) et les oies (forcément) blanches

Cyberattaques Sony (2014), "SCADA" Ukraine (2015) et le week-end dernier la Banque du Bengladesh (février 2016) [1]. Difficile, en apparence, d'y trouver un point commun, notamment sur les aspects techniques. A y regarder de plus près, pourtant, il est assez remarquable de relever :
- des commentateurs qui commentent en ne sachant rien mais en disant tout et ce faisant, parfois, n'importe quoi ;
- une attribution quasiment immédiate [2] des cyberattaquants, de l'incontrôlable Corée du Nord [3] pour Sony à l'ours russe pour l'Ukraine. Ne manque que la Chine pour que le trio infernal soit complet ;
- la médiatisation croissante de ces cyberattaques ce qui, en soi, n'est pas une mauvaise nouvelle, la cybersécurité sortant du placard réservé aux sujets "techniques" [4] dans lequel elle était reléguée jusqu'ici.

lundi 29 février 2016

L'Etude Nationale de la Filière Industrielle Cybersécurité (ENFIN Cyber !)

Rattaché à la Direction générale des entreprises (DGE) qui dépend elle-même de Bercy [1], le Pôle interministériel de prospective et d’anticipation des mutations économiques (Pipame) [2] "réalise des rapports dont l’objectif est d’apporter un éclairage sur l’évolution des principaux acteurs et secteurs économiques en mutation, en s’attachant à faire ressortir les menaces et les opportunités pour les entreprises, l’emploi et les territoires". Publiée en novembre 2015, l'analyse du marché et des acteurs de la filière industrielle française de la sécurité [3] s'intéressait à l'ensemble de la filière de la sécurité c'est à dire sans distinguer particulièrement l'un de ses piliers, la cybersécurité, qui nous intéresse ici. Présentée lors du dernier FIC [4], l'étude Pipame de janvier 2016, que ce blog vous invite aujourd'hui à consulter [5] vient, elle, ausculter plus en détail la filière cybersécurité nationale.

lundi 8 février 2016

La cyberdéfense entre usines à gaz et rites vaudou

Il y a plusieurs années déjà, soit au "Moyen-âge du cyber" (2011), j'évoquais alors le système fédéral étasunien Einstein 3 [1]. Soit "la 3ème génération de systèmes de détection et de prévention des intrusions réseaux de niveau fédéral (techniquement et financièrement, on n'est plus du tout au niveau de la petite sonde sur un réseau d'entreprise).  Il doit permettre de réagir automatiquement en proposant la réponse adéquate face à une tentative d'accès non autorisé dans les réseaux du gouvernement américain (ministères et agences fédérales). Il s'interface également avec l'US-CERT en automatisant le processus d'alerte aux vulnérabilités." Or ce système, développé par la célèbre NSA, aurait coûté plus de 6 milliards de $ et, d'après un récent audit, ne serait en réalité ni sûr ni efficace.

lundi 18 janvier 2016

Cyberattaque SCADA Ukraine : attribution, piège à ... ?

L'actualité cyber depuis la période des fêtes de Noël 2015 est principalement marquée par une cyberattaque coordonnée qui se serait produite sur de multiples sites distribuant l'électricité en Ukraine. Avec pour conséquence de ne plus pouvoir fournir de l'électricité à quelques milliers de civils et durant plusieurs heures. En dépit de nombreux articles parus ces derniers jours, beaucoup qualifiant d'ailleurs la cyberattaque comme étant d'origine russe, il parait nécessaire, une fois encore, de raison garder et de faire preuve de la plus grande prudence quant à la réalité et, bien sûr, l'origine de cette possible cyberattaque.

lundi 4 janvier 2016

La (cyber)prévision est un art difficile, surtout lorsqu'elle concerne l'avenir

Comme chaque année, ou presque, depuis le Moyen-Âge cyber [1] l'année calendaire écoulée est propice aux bilans [2] mais aussi, et sans doute surtout, aux prévisions pour la nouvelle année. Cet exercice est même devenu une sorte d'incontournable pour un certain nombre d'entreprises de cybersécurité, sans doute en quête d'une certaine forme de respectabilité si ce n'est de crédibilité. Et pourtant, l'exercice est délicat quand il n'est pas casse-gueule ! En effet, nos vendeurs de solutions et autres (cyber)camelots cherchent à prescrire en filigrane un certain nombre "d'onguents miraculeux" à appliquer sur des systèmes d'information le plus souvent perclus de vulnérabilités exploitables donc exploitées. Si les plus grandes entreprises n'y échappent pas (IBM, Kaspersky, Trend Micro, etc.) [3], j'ai choisi cette année [4] de "céder la parole" à une société un peu moins connue et, dans son registre, pas moins lancée dans la course à l’échalote [5].

jeudi 31 décembre 2015

Bilan 2015 et cap sur 2016

Alors que mon premier article en 2016 traitera des (cyber)prévisions et de leurs cohortes d'analyses intéressées quand elles ne sont pas risibles, l'heure est au bilan de l'année écoulée. Pour résumer, une moindre production mais un lectorat toujours aussi fidèle et un peu plus nombreux, à nouveau l'envie durant l'été de cesser les activités de ce blog [1] et, enfin, une activité prenante en lien direct ou indirect avec EchoRadar [2].

22
Le jeu de mot serait facile aussi n'y céderais-je pas ! 22 comme le nombre d'articles écrits et publiés en 2015, soit presque deux fois moins qu'en 2014 qui avait déjà subi une baisse d'environ un tiers par rapport à l'année précédente. Bref, la ligne est claire : moins d'articles mais plus "sourcés" et, je l'espère, qualitativement plus intéressants et pertinents.

5
Les cinq articles les plus consultés de l'année, toujours par ordre antéchronologique [3] :

En vous souhaitant une année 2016 pleine de réussite et de (belles) surprises et, collectivement, une année féconde qui verra les couleurs de la France, meurtrie, portées haut dans un même élan de combativité et d'envie de réussir...ensemble !

[1] Soit pour en créer un nouveau, mais à quoi bon, soit pour me concentrer à d'autres horizons...ce qui sera de toute façon le cas avec un projet (débuté) d'écriture d'un livre en 2016
[2] Avis aux plumes et aux analyses même décalées, nous étudierons sérieusement tout article qui nous sera envoyé (echoradar.blog @ gmail.com) pour publication