lundi 16 janvier 2017

Le premier prix « François Perrin » de la cyber bourde 2017 attribué à la Présidence du Brésil

Dans mon billet du 31 décembre 2016 [1] faisant le bilan de l'année écoulée, apparaissait un éclair de lassitude inquiétude lucidité quant aux radotages de ce blog depuis un certain nombre d'années. Le fait ici de radoter consiste à réitérer si ce n'est marteler ce qui est considéré par la plupart comme les fondamentaux, le "socle" minimum de mesures multidimensionnelles [2] qu'il est/serait pertinent de mettre en œuvre pour protéger au mieux son système d'information (SI).

Malheureusement (?), l'actualité cyber et quotidienne des derniers mois [3] permet d'observer un phénomène inquiétant. Il s'agit - enfin - de la prise de conscience des risques par les décideurs c'est à dire une prise de conscience de leur (in)suffisance face à ce "nouveau risque" qui existait déjà, même avant l'avènement de l'internet.  

Mais évidemment mon cher Michu, piloter une entité c'est tenir compte des priorités et agir comme tel. Mais alors, ne doit-on pas s'interroger sur le ratio "mesures (et budgets)" qui seraient nécessaires depuis plusieurs années pour réduire significativement la prise de risques vs risques réels, beaucoup moins "coûteux" s'ils sont "lissés" sur plusieurs années ?

Au passage, Messieurs les décideurs, ce n'est pas parce qu'aucun événement majeur de type exfiltration de données massive ou de compromission en profondeur de votre SI ne vous a été signalé qu'il n'existe pas. C'est peut-être simplement l'organisation enthousiaste mais peu dotée en personnel voire l'absence de surveillance / supervision du SI et/ou de cycle d'audits qui ne permet pas de le vérifier. Mais je m'égare.

Au point, presque, d'oublier de vous annoncer la création d'un prix de la "cyber boulette" de niveau national voire international, comme ici, que j'ai dictatorialement décidé d'appeler "François Perrin" en hommage à deux petites histoires s'étant produites dans des centrales nucléaires aux USA il y a quelques années. [4] 

En ce début d'année, c'est avec une émotion non dissimulée que ce premier prix est remis au très officiel "portail du gouvernement brésilien" avec une mention spéciale au Palácio do Planalto [5] l'équivalent brésilien de l'Élysée. Pour le premier, son compte Twitter [6] a publié le 11 janvier un lien hypertexte pointant vers un fichier hébergé sur Google Drive. Pour le second, c'est d'avoir centralisé dans ce simple fichier Excel les identifiants et les mots de passe associés des comptes Gmail, Twitter et YouTube de la présidence brésilienne. 

Deux erreurs en deux actions pour des informations qui mériteraient un minimum de protection (chiffrement, hébergement sécurisé ET souverain) c'est presque oublier l'incompétence du Community manager (CM) qui a publié le tweet. Qui a depuis été retiré. Comme le CM et ses collègues chargés de protéger les informations sensibles du gouvernement et de la présidence brésiliens ?

Note : l'article ayant inspiré cet article est ici disponible


[2] technique, organisation, juridique et humain
[3] En réalité, on va bientôt pouvoir commencer à parler en années...

mercredi 4 janvier 2017

Cyber FBI...aïe aïe aïe !

(https://twitter.com/FBI/status/815584098676674560)
Si la critique est facile, il convient dans certains cas d'en saluer la nécessité salutaire de la prononcer. Autant pour permettre à celui ou à celle qui en est la victime de prendre conscience de ses possibles limites. Mais aussi, d'une certaine manière, pour pourfendre donneurs de leçons et gardiens de la morale pour qui le devoir d'exemplarité s'applique surtout aux autres. Prenons par exemple le FBI, cette légendaire agence fédérale étasunienne qui traque les criminels et qui eut à sa tête durant près de 37 ans un directeur qui fit trembler tout le système politique de son époque. Y compris jusqu'à la Maison Blanche. Mais soyons indulgent et, du passé, faisons table rase. Pour arriver à ces derniers jours où deux faits ridicules, et sans doute anodins pour le commun des mortels, se révèlent tout simplement affligeants.

samedi 31 décembre 2016

Quelles (cyber) surprises en 2017 ?

Ébouriffante. Tel est l'adjectif qui vient en tête immédiatement pour qualifier l'année 2016. Sur tous les fronts d'ailleurs, qu'ils soient politiques, géopolitiques, stratégiques et, évidemment cyber. Seuls les historiens pourront dire d'ici quelques décennies si l'année 2016 aura été historique pour la cybersécurité. Charnière sans aucun doute avec une actualité quasi quotidienne, y compris dans la presse généraliste, marquée par des affaires de piratage majeures (Yahoo notamment), de fuites d'information (leak) des Panama Papers, de (nouveaux) records de débit d'attaques en DDoS (OVH, Dyn [1]) ou de "vraies-fausses" cyberattaques au cours des élections présidentielles étasuniennes.

C'est donc sans fausse pudeur et avec une véritable gourmandise que l'on serait en droit d'attendre de l'année 2017 qu'elle surpasse encore plus l'année passée. Pensez-vous, hagards, média, journalistes et citoyens ont dû encaisser une surprise stragique par mois (Brexit) au premier semestre puis par semaine (Trump, Fillon, Castro, Hollande, Alep, ...) au second semestre. Mais cela est-il seulement envisageable souhaitable probable ? En vérité oui. Et plutôt deux fois qu'une. Pour reprendre l'un des leitmotivs d'un chaud printemps 1968 en France mais aussi en Europe : soyez réalistes, demandez l'impossible [2] ! Trêve de pensées révolutionnaires, la vérité de l'avenir proche demeurera probablement écartelée entre continuité et coups d'éclat cyber. Ne cherchez donc pas trace d'annonce tonitruante mais creuse car, vous le savez, ici c'est une maison d'artisan sérieuse et la (cyber)prévision est un art difficile surtout lorsqu'elle concerne l'avenir. [3]

Restons donc sur des choses simples, la tradition comme diraient certains, à commencer par les remerciements, sincères, à toi lecteur qui vient ici depuis peu ou depuis longtemps. C'est toi et seulement toi qui me donne la force de continuer car, plus d'une fois, j'ai caressé la tentation de saborder le navire, qui commence à se faire ancien et, parfois, à radoter.

Enfin, passons aux chiffres.

20
Le nombre d'articles écrits cette année, quasi stable par rapport à l'année précédente. [4] Où l'on notera le 400ème du blog, moment d'émotion singulier. [5]

5
Les cinq articles les plus consultés de l'année, dans l'ordre antéchronologique :
   

dimanche 25 décembre 2016

Cybersécurité maritime 2016

Il y a un an, jour pour jour, était ici publié le devenu "traditionnel" article [1] traitant de la cybersécurité maritime ou, plutôt, de ses faiblesses voire de ses défaillances. Les 365 jours écoulés entre ses deux repères ont été riches en termes d'actualité mais aussi de promesses. Si en début d'année le rapport du Bimco [2] a marqué les esprits du secteur, le Royaume-Uni mais surtout la France se sont démarqués au travers d'initiatives historiques.

Ces deux pays, au-delà d'une longue relation historique mouvementée, ont pour trait commun d'être des nations maritimes multi-séculaires. Autant consciente l'une et l'autre des enjeux et surtout des risques lié aux attaques ciblant les systèmes d'information, elles ont cependant suivi des voies différentes. Au Royaume-Uni, c'est un guide cybersécurité de bonnes pratiques à destination des ports et des installations portuaires qui a été publié. [3] 

La France, sans doute plus ambitieuse encore, a lancé la vaste manœuvre "LPM" (Loi de programmation militaire) comportant le chapitre IV entièrement dédié à la cybersécurité et qui impose à ses Opérateurs d'importance vitale (OIV) des règles et des mesures de renforcement. C'est dans ce cadre qu'ont été élaborés un certain nombre d'arrêtés sectoriels dont celui relatif aux "Transports maritimes et fluvial". [4] Plus discret mais également utile car récapitulant quelques uns des fondamentaux en matière de bonne pratique SSI, l'ANSSI a également coréalisé un guide avec la Direction des affaires maritimes (DAM) [5]. Pour cette dernière, on relèvera également son activisme en 2016 avec la publication d'un guide plutôt remarquable devant permettre de renforcer le niveau de protection des navires. [6]

Parmi ces initiatives, celle imposant des règles et des mesures de cybersécurité ne devrait porter ses fruits que d'ici deux à trois années, le temps que les différentes obligations commencent à être correctement appliquées puis enfin vérifiées. 2016 marque donc un tournant, celui d'un véritable vent du large souffle sur la cybersécurité maritime, secteur stratégique par excellence mais également parent pauvre du fait d'une prise de conscience des risques, bien réels [7], tardive.


[1] http://si-vis.blogspot.fr/2015/12/cybersecurite-maritime-2015.html

[6] http://www.developpement-durable.gouv.fr/IMG/pdf/Cyber_securite_-_renforcer_le_niveau_de_protection_du_navire.pdf

[7] http://www.techworm.net/2016/03/pirates-hacked-shipping-company-gather-intel-target-ships.html et http://www.digitaltrends.com/computing/tech-savvy-pirates/