lundi 18 mai 2009

NetFocus 2009 - Bruxelles

Lundi 11 et mardi 12 mai, votre serviteur a eu le plaisir de rejoindre Bruxelles d'un coup d'aile afin de participer à NetFocus 2009, qui avait lieu au sein du très agréable Royal Hotel Radisson SAS.

Ambiance de crise si l'on peut dire car presque deux fois de participants qu'en 2008, surtout que l'évènement avait lieu en Belgique. Cocasse pour ce NetFocus...France !

Peu de nouveautés ou d'évolutions par rapport à l'année dernière. Un regret sur la présentation web 2.0 pour laquelle j'avais déjà présenté les problématiques l'année dernière. Il me semble que tout se déporte actuellement sur le SaaS et le Cloud et que le 2.0 fait déjà partie...du passé !

Deux belle interventions néanmoins, en lien plus ou moins direct avec les infrastructures vitales et critiques. Affaire(s) à suivre de près puisque depuis la parution du décret SAIV, rien ne semble avoir bougé en terre gauloise ! Mais chuuut puisque NetFocus se veut avant tout un rendez-vous "off" de partage d'expériences, d'opinions et de points de vue parfois antagonistes mais tellement enrichissants.

En résumé, quelques belles interventions, assez peu d'originalité (l'exercice prospectif apporterait du sang frais !), le noyau "dur" des RSSI Français de NetFocus toujours aussi sympathique et l'espoir que NetFocus 2010 ait lieu...en France !

lundi 27 avril 2009

La sécurité redescend de son nuage !

Il aura fallu attendre la RSA Conference 2009 à San Francisco pour finalement ouvrir la boîte de Pandore...du point de vue médiatique : le cloud serait "un cauchemar pour la sécurité" ! Je n'ai de cesse depuis presque deux ans (sans être le seul, évidemment) de m'interroger régulièrement sur les risques et opportunités de cette technologie d'avenir (même si "ancienne" sur l'échelle IT !).

Il va sans dire que, dans la course effrénée au
profit par les gains de productivité, dématérialiser tout ou partie de son infrastructure informationnelle est un doux poison. La recherche à court terme d'économies est l'indicateur principal qui pilote une décision ô combien stratégique.

Mais que se passera t-il le jour où se produira la première "fuite involontaire" d'informations d'une entreprise qui aura migré vers le nuage ?
Nul doute que le cas se produira et que sera minorée, as usual, la perte d'informations considérées comme non stratégiques par l'entreprise victime. Alors qu'une information, même non sensible, possèdera toujours une valeur différente de zéro.

J'ai encore l'impression que le marketing financier a bâti une séduisante naïade tout en disant à l'équipe sécurité : on vous donnera le budget lorsqu'on aura atteint le profit attendu...en année n+3. Toujours la même fable : la sécurité demeure un coût, pas un investissement. En attendant de compter les pertes, je m'en vais en vacances quelques temps. A bientôt !

mercredi 25 février 2009

Hacking en orbite : science-fiction ?

Un excellent article ce mois-ci dans le non moins excellent magazine CNIS (Computer Network and Information Security) concernant les attaques possibles via les liaisons montantes mais surtout descendantes des satellites de communication.

Et c'est encore Adam Laurie qui, après des démonstrations fracassantes sur le clonage RFID, nous livrera ses réflexions au prochain BlackHat sis à Washington. Il conviendra d'attendre les retours des chanceux qui auront obtenu leur place et un billet d'avion (pas simple en période de crise ?!) mais l'on peut résumer son attaque comme nécessitant peu de moyens techniques, pour un coût dérisoire, avec néanmoins de grandes incertitudes sur la possibilité de réussir une attaque de type cooking-hijacking.

A suivre donc dans les prochaines semaines...

mardi 27 janvier 2009

Sectéra Edge - Acte 2


Devant l'étonnante résurgence des commentaires sur mon post de la fin mars 2008 (Sectéra Edge, le Blackberry à la sauce NSA), probablement liée au buzz qui monte depuis plusieurs jours sur le compromis élaboré pour que le nouveau président américain Barack Obama puisse continuer de communiquer via un PDA, il semble de plus en plus que la solution de General Dynamics C4 Systems ait été retenue.

Quelques infos intéressantes et une photo de la"bête" se trouvent ici et ici.

A noter que depuis 1978, le Presidential Records Act oblige tout échange papier ou électronique du président à être archivé et théoriquement consultable 12 ans après la fin de son mandat.

vendredi 23 janvier 2009

Dernières volontés numériques

Un article extrêmement intéressant sur Rue89, qui ouvre un nouveau champ de réflexions, même s'il a pu déjà être abordé mais de manière plus confidentielle.

Sans revenir sur la révolution sociale que représente le Web, le 2.0 en particulier, des millions d'internautes disposent de plusieurs comptes et profils sociaux : Google, FaceBook, Twitter, FlickR, etc. la liste est longue et non-exhaustive.

La grande question est : que deviennent l'ensemble de ces comptes et les informations que l'on y trouve quand l'un des internautes disparaît dans...la vraie vie !

La question, loin d'être incongrue pousse raisonnablement à inventer le réceptacle perpétuel (éternel ?) de nos identités numériques, de notre vie inter-connectée !

Juridiquement, nos éminents spécialistes devraient s'emparer de la question pour garantir au (futur) défunt que ses comptes, écrits et pensées ne seront pas dévoyées ou utilisées à des fins délictueuses.

Bientôt, on mettra ses dernières volontés numériques en ligne (ou dans un coffre...virtuel à sa banque), avec comme exécuteur testamentaire l'un de ses "amis" du Net, en Corée ou en Islande !

Techniquement, le développement des SaaS garantit une certaine pérennité, survivance numérique de notre passage terrestre.

Enfin, ne reste plus qu'à proposer les services supplémentaires. Encore du business, mais pas que. Je vous l'avais dit : la question initiale était loin d'être incongrue ! ;-)

mercredi 7 janvier 2009

Meilleurs voeux - Quid en 2009 ?

Traditionnellement, la période se prête à se souhaiter le meilleur pour l'année en devenir mais aussi à secrètement tenter de tenir quelques bonnes résolutions. Quelques jours durant ! ;)

Permettez-moi, cher lectrice ou lecteur, de vous présenter mes vœux les plus sincères et d'espérer en priorité la santé et le bonheur, le reste n'étant que du bonus. Fort appréciable mais bonus quand même.

La grande question que tout le monde se pose actuellement est quelles conséquences mesurables et avérées la crise produit ou produira ? Bien difficile pour le moment de le dire, surtout dans le métier de la sécurité. J'avoue que pour en avoir parlé avec différents collègues, les avis sont partagés.

Je ne peux donc qu'illustrer mon propos par la demande faite chez l'un de mes clients . Il nous a demandé de réduire notre proposition 2009 d'environ 20%, ce qui en soi est important. et correspond peu ou prou à 2 ETP (Equivalent Temps Plein). Fort heureusement, une démission (toujours regrettable) et la signature d'un nouveau contrat nous permettent d'absorber sans mal cette décision.

Pourtant, je reste extrêmement prudent pour la suite et pronostique des coupes franches et claires dans le courant de l'année avec des effets prolongés en 2010. Il ne faut pas croire que la sécurité, pour stratégique qu'elle soit aux yeux de la plupart des décideurs, ne fera pas les frais des efforts demandés à l'ensemble des fonctions de l'entreprise.

Pour finir, je reste convaincu que cette crise sera salutaire, nous poussant à faire preuve de créativité et d'innovation, autant d'un point de vue technique et, probablement/surtout, humain. Car, après tout, nous vendons du service impliquant sans cesse un regard critique sur la qualité de la relation qui nous unit, clients et fournisseurs.