lundi 16 janvier 2017

Le premier prix « François Perrin » de la cyber bourde 2017 attribué à la Présidence du Brésil

Dans mon billet du 31 décembre 2016 [1] faisant le bilan de l'année écoulée, apparaissait un éclair de lassitude inquiétude lucidité quant aux radotages de ce blog depuis un certain nombre d'années. Le fait ici de radoter consiste à réitérer si ce n'est marteler ce qui est considéré par la plupart comme les fondamentaux, le "socle" minimum de mesures multidimensionnelles [2] qu'il est/serait pertinent de mettre en œuvre pour protéger au mieux son système d'information (SI).

Malheureusement (?), l'actualité cyber et quotidienne des derniers mois [3] permet d'observer un phénomène inquiétant. Il s'agit - enfin - de la prise de conscience des risques par les décideurs c'est à dire une prise de conscience de leur (in)suffisance face à ce "nouveau risque" qui existait déjà, même avant l'avènement de l'internet.

Mais évidemment mon cher Michu, piloter une entité c'est tenir compte des priorités et agir comme tel. Mais alors, ne doit-on pas s'interroger sur le ratio "mesures (et budgets)" qui seraient nécessaires depuis plusieurs années pour réduire significativement la prise de risques vs risques réels, beaucoup moins "coûteux" s'ils sont "lissés" sur plusieurs années ?

Au passage, Messieurs les décideurs, ce n'est pas parce qu'aucun événement majeur de type exfiltration de données massive ou de compromission en profondeur de votre SI ne vous a été signalé qu'il n'existe pas. C'est peut-être simplement l'organisation enthousiaste mais peu dotée en personnel voire l'absence de surveillance / supervision du SI et/ou de cycle d'audits qui ne permet pas de le vérifier. Mais je m'égare.

Au point, presque, d'oublier de vous annoncer la création d'un prix de la "cyber boulette" de niveau national voire international, comme ici, que j'ai dictatorialement décidé d'appeler "François Perrin" en hommage à deux petites histoires s'étant produites dans des centrales nucléaires aux USA il y a quelques années. [4] 

En ce début d'année, c'est avec une émotion non dissimulée que ce premier prix est remis au très officiel "portail du gouvernement brésilien" avec une mention spéciale au Palácio do Planalto [5] l'équivalent brésilien de l'Élysée. Pour le premier, son compte Twitter [6] a publié le 11 janvier un lien hypertexte pointant vers un fichier hébergé sur Google Drive. Pour le second, c'est d'avoir centralisé dans ce simple fichier Excel les identifiants et les mots de passe associés des comptes Gmail, Twitter et YouTube de la présidence brésilienne. 

Deux erreurs en deux actions pour des informations qui mériteraient un minimum de protection (chiffrement, hébergement sécurisé ET souverain) c'est presque oublier l'incompétence du Community manager (CM) qui a publié le tweet. Qui a depuis été retiré. Comme le CM et ses collègues chargés de protéger les informations sensibles du gouvernement et de la présidence brésiliens ?

Note : l'article ayant inspiré cet article est ici disponible


[2] technique, organisation, juridique et humain
[3] En réalité, on va bientôt pouvoir commencer à parler en années...

Aucun commentaire: