NetFocus 2009 - Bruxelles

Lundi 11 et mardi 12 mai, votre serviteur a eu le plaisir de rejoindre Bruxelles d'un coup d'aile afin de participer à NetFocus 2009, qui avait lieu au sein du très agréable Royal Hotel Radisson SAS.

Ambiance de crise si l'on peut dire car presque deux fois de participants qu'en 2008, surtout que l'évènement avait lieu en Belgique. Cocasse pour ce NetFocus...France !

Peu de nouveautés ou d'évolutions par rapport à l'année dernière. Un regret sur la présentation web 2.0 pour laquelle j'avais déjà présenté les problématiques l'année dernière. Il me semble que tout se déporte actuellement sur le SaaS et le Cloud et que le 2.0 fait déjà partie...du passé !

Deux belle interventions néanmoins, en lien plus ou moins direct avec les infrastructures vitales et critiques. Affaire(s) à suivre de près puisque depuis la parution du décret SAIV, rien ne semble avoir bougé en terre gauloise ! Mais chuuut puisque NetFocus se veut avant tout un rendez-vous "off" de partage d'expériences, d'opinions et de points de vue parfois antagonistes mais tellement enrichissants.

En résumé, quelques belles interventions, assez peu d'originalité (l'exercice prospectif apporterait du sang frais !), le noyau "dur" des RSSI Français de NetFocus toujours aussi sympathique et l'espoir que NetFocus 2010 ait lieu...en France !

La sécurité redescend de son nuage !

Il aura fallu attendre la RSA Conference 2009 à San Francisco pour finalement ouvrir la boîte de Pandore...du point de vue médiatique : le cloud serait "un cauchemar pour la sécurité" ! Je n'ai de cesse depuis presque deux ans (sans être le seul, évidemment) de m'interroger régulièrement sur les risques et opportunités de cette technologie d'avenir (même si "ancienne" sur l'échelle IT !).

Il va sans dire que, dans la course effrénée au profit par les gains de productivité, dématérialiser tout ou partie de son infrastructure informationnelle est un doux poison. La recherche à court terme d'économies est l'indicateur principal qui pilote une décision ô combien stratégique.

Mais que se passera t-il le jour où se produira la première "fuite involontaire" d'informations d'une entreprise qui aura migré vers le nuage ? Nul doute que le cas se produira et que sera minorée, as usual, la perte d'informations considérées comme non stratégiques par l'entreprise victime. Alors qu'une information, même non sensible, possèdera toujours une valeur différente de zéro.

J'ai encore l'impression que le marketing financier a bâti une séduisante naïade tout en disant à l'équipe sécurité : on vous donnera le budget lorsqu'on aura atteint le profit attendu...en année n+3. Toujours la même fable : la sécurité demeure un coût, pas un investissement. En attendant de compter les pertes, je m'en vais en vacances quelques temps. A bientôt !

Hacking en orbite : science-fiction ?

Un excellent article ce mois-ci dans le non moins excellent magazine CNIS (Computer Network and Information Security) concernant les attaques possibles via les liaisons montantes mais surtout descendantes des satellites de communication.

Et c'est encore Adam Laurie qui, après des démonstrations fracassantes sur le clonage RFID, nous livrera ses réflexions au prochain BlackHat sis à Washington. Il conviendra d'attendre les retours des chanceux qui auront obtenu leur place et un billet d'avion (pas simple en période de crise ?!) mais l'on peut résumer son attaque comme nécessitant peu de moyens techniques, pour un coût dérisoire, avec néanmoins de grandes incertitudes sur la possibilité de réussir une attaque de type cooking-hijacking.

A suivre donc dans les prochaines semaines...

Sectéra Edge - Acte 2

Devant l'étonnante résurgence des commentaires sur mon post de la fin mars 2008 (Sectéra Edge, le Blackberry à la sauce NSA), probablement liée au buzz qui monte depuis plusieurs jours sur le compromis élaboré pour que le nouveau président américain Barack Obama puisse continuer de communiquer via un PDA, il semble de plus en plus que la solution de General Dynamics C4 Systems ait été retenue.

Quelques infos intéressantes et une photo de la"bête" se trouvent ici et ici.

A noter que depuis 1978, le Presidential Records Act oblige tout échange papier ou électronique du président à être archivé et théoriquement consultable 12 ans après la fin de son mandat.

Dernières volontés numériques

Un article extrêmement intéressant sur Rue89, qui ouvre un nouveau champ de réflexions, même s'il a pu déjà être abordé mais de manière plus confidentielle.

Sans revenir sur la révolution sociale que représente le Web, le 2.0 en particulier, des millions d'internautes disposent de plusieurs comptes et profils sociaux : Google, FaceBook, Twitter, FlickR, etc. la liste est longue et non-exhaustive.

La grande question est : que deviennent l'ensemble de ces comptes et les informations que l'on y trouve quand l'un des internautes disparaît dans...la vraie vie !

La question, loin d'être incongrue pousse raisonnablement à inventer le réceptacle perpétuel (éternel ?) de nos identités numériques, de notre vie inter-connectée !

Juridiquement, nos éminents spécialistes devraient s'emparer de la question pour garantir au (futur) défunt que ses comptes, écrits et pensées ne seront pas dévoyées ou utilisées à des fins délictueuses.

Bientôt, on mettra ses dernières volontés numériques en ligne (ou dans un coffre...virtuel à sa banque), avec comme exécuteur testamentaire l'un de ses "amis" du Net, en Corée ou en Islande !

Techniquement, le développement des SaaS garantit une certaine pérennité, survivance numérique de notre passage terrestre.

Enfin, ne reste plus qu'à proposer les services supplémentaires. Encore du business, mais pas que. Je vous l'avais dit : la question initiale était loin d'être incongrue ! ;-)

Meilleurs voeux - Quid en 2009 ?

Traditionnellement, la période se prête à se souhaiter le meilleur pour l'année en devenir mais aussi à secrètement tenter de tenir quelques bonnes résolutions. Quelques jours durant ! ;)

Permettez-moi, cher lectrice ou lecteur, de vous présenter mes vœux les plus sincères et d'espérer en priorité la santé et le bonheur, le reste n'étant que du bonus. Fort appréciable mais bonus quand même.

La grande question que tout le monde se pose actuellement est quelles conséquences mesurables et avérées la crise produit ou produira ? Bien difficile pour le moment de le dire, surtout dans le métier de la sécurité. J'avoue que pour en avoir parlé avec différents collègues, les avis sont partagés.

Je ne peux donc qu'illustrer mon propos par la demande faite chez l'un de mes clients . Il nous a demandé de réduire notre proposition 2009 d'environ 20%, ce qui en soi est important. et correspond peu ou prou à 2 ETP (Equivalent Temps Plein). Fort heureusement, une démission (toujours regrettable) et la signature d'un nouveau contrat nous permettent d'absorber sans mal cette décision.

Pourtant, je reste extrêmement prudent pour la suite et pronostique des coupes franches et claires dans le courant de l'année avec des effets prolongés en 2010. Il ne faut pas croire que la sécurité, pour stratégique qu'elle soit aux yeux de la plupart des décideurs, ne fera pas les frais des efforts demandés à l'ensemble des fonctions de l'entreprise.

Pour finir, je reste convaincu que cette crise sera salutaire, nous poussant à faire preuve de créativité et d'innovation, autant d'un point de vue technique et, probablement/surtout, humain. Car, après tout, nous vendons du service impliquant sans cesse un regard critique sur la qualité de la relation qui nous unit, clients et fournisseurs.

L'informatique en nuages s'envole

Un article relativement intéressant du Monde, avec quelques mois de...retard ! ;-) Au-delà des aspects techniques, écologiques et de sécurité, déjà traités dans mes posts précédents, ce sont forcément les enjeux financiers qui aiguisent la convoitise des prétendants : "Selon les prévisions de Merrill Lynch, le marché du cloud computing s'élèvera à plus de 100 milliards de dollars dans les trois prochaines années. D'ici à 2011, 12 % du marché des logiciels devrait ainsi migrer vers le "nuage"."

L'article peut être lu ici.

Antivirus dans les nuages

L’intérêt stratégique du web 3.0 prend de plus en plus corps. Dernière société à y « succomber », l’éditeur d’antivirus Trend Micro qui vient d’annoncer la sortie, pour la fin 2008, d’un outil baptisé Smart Protection Network. Cet antivirus repose sur une architecture « nuage-client » (« cloud-client ») et pour ce faire, l’éditeur Californien a déployé un réseau de serveurs sur l’ensemble de la planète.

Trend Micro annonce une diminution de 70% de la taille de l’application installée sur le poste client, la base des signatures étant décentralisée et mise à jour 1 à 2 fois par heure, le réseau devant être couplé à l’ensemble des centres de veille scrutant la Toile afin de détecter toute survenance de (nouveau) code malveillant.

Au-delà de la tendance forte et de l’engouement que commence à susciter le web 3.0, les premières critiques sont entrain d’apparaître. Pourtant nul doute que cette direction va continuer à se renforcer, Panda Security (ex Panda Software) ayant également annoncé travailler sur un projet d’antivirus « nuage-client ».

Référentiel Général de Sécurité : appel à commentaires

Une fois n'est pas coutume, je relaie l'appel à commentaires fait par l'administration française à travers son portail "Synergies". Cette revue et les éventuels commentaires portent sur le document de travail RGS (Référentiel Général de Sécurité), élaboré conjointement par la DCSSI et la DGME.
J'apprécie ce mode de fonctionnement qui permet de démontrer que l'administration confirme ses "prétentions" numériques et comble, au passage, le retard avéré (Top 5 européen en 2006) au début de la décennie sur certains de nos voisins européens.

Après avoir retenu du Linux comme système d'exploitation pour la Gendarmerie, déployé la télédéclaration des Impôts, lancé de nombreux chantiers TIC en réalité, l'administration sollicite la communauté des internautes. A quand les portails et interfaces web 2.0 / web 3.0 de l'e-administration, développés sur le même principe ?

Web 2.0 : jeûne ou surcharge pondérale ?

Il y a une dizaine d'années maintenant, Google révolutionnait l'explosion d'Internet et faisait entrer l'humanité dans l'ère du Web...1.0 ! Alors que nous tendons vers la version 3.0* (voire 4.0**) , la 1ère mue connue sous le nom de Web 2.0 a comme première caractéristique d'avoir augmenté la complexité des interactions informationnelles tout en en démultipliant la masse.

Alors que Google s'est montré à la pointe de l'innovation depuis sa création, il faut déjà se placer dans la perspective de l'après puisqu'il me semble à la traîne sur les aspects filtrage / individualisation / automatisation de l'information (= qui a une valeur réelle à un instant donné pour un individu unique).

L'accès simplifié aux réseaux, l'intuitivité des outils de production, l'émergence de nouveaux média (blog, podcast, IM), l'agrégation des contenus ont multiplié follement la création de données. Il devient de plus en plus difficile pour un internaute moyen d'accéder aux seules informations qui l'intéressent, l'obésité informationnelle le guettant à chaque minute !

Bien-sûr, nombreux sont les chercheurs, les entreprises ou plus simplement les amateurs éclairés (communautés de type Open Source) à essayer de résoudre les innombrables paramètres, parfois antagonistes, de l'équation. On peut d'ores et déjà penser que les années qui viennent seront celles d'une nouvelle convergence qui verra s'associer de nombreuses disciplines : médicales (neurosciences, cybernétique***) , sociales (sociologie, anthropologie, psychanalyse) et réseaux-centrés.

Au final, la prochaine décennie pourrait voir l'émergence des premiers individus "infocentrés", bardé de capteurs organiques & nanotechnologiques où l'information qui leur sera destinée tiendra compte du l'activité récente (heures, jours, semaines) ou à venir (minutes, heures), des capacités instantanées d'attention (mode travail, déplacements, week-end, vacances) et de leur état physique et mental (gai, triste, déprimé, etc.).

De fait, la pollution informationnelle et ses excès seront pratiquement réduits à néant. Mais l'IMC de l'information est encore loin !

* Web 3.0 sur Wikipedia (En)
** Web 3.0 and beyond: the next 20 years of the internet
*** dans le sens SF (Science-Fiction, qui ne l'est parfois plus quelques années ou décennies plus tard !)