Qui ose gagne ! Ou comment nos entreprises devraient apprendre à chasser la croissance en meute

Il y a quelques mois, votre serviteur participait à l'une de ces innombrables réunions où industriels, chercheurs et représentants de l’État se retrouvent pour faire un point d'avancement sur un projet. Sans doute assez justement à certains égards, certaines légendes urbaines [1] voudraient que l’État soit inefficace, impécunieux et parfaitement déconnecté des rouages industriels. En réalité, il n'en est rien puisque de plus en plus nombreux sont ses serviteurs à être passés par une structure privée [2]. Cela tombe à point car il arrive même que les représentants étatiques connaissent bien sinon parfaitement les rouages des financements des projets et, cerise sur le gâteau, maîtrisent même les tenants et les aboutissants techniques d'un projet ! Les industriels qui, normalement, devraient se réjouir d'avoir de tels interlocuteurs en vis-à-vis peuvent vite révéler, dans ce cas, certaines lacunes quand ce ne sont pas des limites.

L'actuelle bataille des câbles préfigure-t-elle le cyberespace de 2030 ?

S'il est sans doute encore un peu tôt pour vérifier que la Russie et la Chine pourraient venir concurrencer et pourquoi pas, à termes, dominer les USA dans le cyberespace, force est cependant d'observer deux faits différents mais complémentaires : la Russie dispose, dans ce domaine, de ressources techniques et humaines plus que respectables. La Chine, elle, se dote en plus de capacités technologiques et d'innovations qu'il conviendrait d'évaluer avec le plus grand respect. 

Pour cette dernière, la mise en exploitation en 2016 de la plus grande boucle de réseau de communication quantique (1) entre Pékin et Shanghai, soit tout de même plus de 2 000 kilomètres, vient illustrer une prouesse technologique indéniable. Qui illustre parfaitement les efforts scientifiques et financiers mais aussi alternatifs déployés par Pékin en matière de recherche et de développement tout azimuts depuis le milieu de la précédente décennie. Dans une volonté à peine dissimulée, ces efforts pourraient également provoquer de possibles bouleversements concernant la géopolitique de l'Internet. Soit un scénario crédible du visage que pourraient prendre certaines infrastructures de transport et de traitement des données à moyen terme.

Enquêtes numériques : Nissan à la rescousse du sheriff de Williamson !

C'est une information qui semble digne d'un (bon) poisson d'avril. Seulement, nous sommes en décembre et l'information s'avère exacte. Nissan, l'un des tous premiers constructeurs mondiaux de véhicules motorisés, possède son siège Nord-Américain dans la ville de Franklin (1), état du Tennessee. Employé important, bienfaiteur local donc acteur économique et politique régional de premier plan, le constructeur de l'alliance franco-japonaise (2) risque également de faire parler de lui dans un tout autre domaine : la cybersécurité ! Et, plus particulièrement, en matière d'analyses forensiques.

Analyses forensiques : les résultats prometteurs d'une étude du NIST

Un scénario d’attaque décrit les possibilités techniques et organisationnelles par lesquelles un attaquant potentiel pourrait exploiter une ou plusieurs vulnérabilités en vue de s’introduire illégalement dans un système d’information. Un ensemble de scénarii d’attaques peut être utilisé pour calculer les chemins d’attaque potentiels à partir d’une configuration cible et des vulnérabilités connues qui lui sont rattachées. Le département des sciences informatiques du NIST vient de sortir un article fort intéressant sur l’utilisation d'une nouvelle technique améliorant l'analyse forensique (enquête technique post-incident).

Réseaux centrés et milieux extrêmes : de TCP/IP au DTN (Disruption Tolerant Networks)

La NASA vient d'annoncer le succès d'une expérience réalisée durant le mois d'octobre et intéressante à plus d'un titre. Sunita Williams, commandant de la 33ème mission à bord de la Station Spatiale Internationale (ISS) a pu prendre le contrôle depuis celle-ci d'un robot en Lego au centre européen d'opérations spatiales (ESA ESOC) de Darmstadt en Allemagne. Si la prouesse n'a rien d'exceptionnel il s'agit cependant d'un test grandeur nature utilisant un nouveau protocole de tolérance aux interruptions réseaux autrement appelé Delay/Disruption Tolerant Networks (DTN).

Cloud 2012 : pluie d'attaques ou renforcement de la protection ?

Alors que la Directive Européenne 95/46/CE est en cours de refonte depuis des mois, seul le versant privacy (vie privée et données personnelles) a eu le droit récemment aux feux de la rampe à travers la polémique Facebook. Même si elle est d'une grande importance, l'essentiel de cette directive porte peut-être ailleurs. 

C'est l'objet d'un récent article du blog ami et transalpin de Paolo Passeri. Cet article souligne que si 2011 confirme l'émergence des problématiques de Sécurité liées au Cloud, 2012 devrait voir s'amplifier le phénomène en terme d'attaques mais pas seulement.

On peut, de manière schématique, rappeler le trio d'acteurs dont l'intérêt et parfois les objectifs peuvent être contradictoires (business donc $/€)  :
- les opérateurs de services dont l'intérêt principal est d'attirer le plus d'entreprises désireuses d'externaliser une partie de leur DSI (serveurs, applications bureautiques et métier mais aussi voire surtout services afférents : Haute-disponibilité, support technique et supervision H24 - 7/7);
- "l'entreprise" (car reflétant des aspects bien divers en terme de taille, de CA, d'implantation, etc.) pour laquelle de vraies économies (coûts de possession, gestion de l'obsolescence, etc.) sur l'outil de production informatique sont attendues;
- le législateur qui se doit de déterminer qui du fournisseur de service ou du client est responsable en cas d'intrusion informatique avérée via les moyens de l'un pour passer vers l'autre (et vice et versa) ! De l'oeuf ou de la poule, l'Union européenne semble s'être rangée à une certaine sagesse en ne retenant qu'un responsable : le fournisseur de service. Qui, en conséquence, doit s'engager à fournir un service entièrement sûr et sécurisé. Vaste sujet qui devrait amener une multiplication des affaires et autres incidents dans les mois qui viennent.

Pour cette dernière assertion recensons l'intérêt majeur d'utiliser le Cloud pour une cyber-attaque :
- Une allocation dynamique des ressources compliquant au possible la détection préventive ou, si l'attaque a réussi, le forensique;
- Des faiblesses d'infrastructures et/ou organisationnelles parfois incroyables comme dans l'incident EC2 (Cloud d'Amazon) au 1er semestre 2011;
- Des vulnérabilités logicielles et/ou de conception bien réelles et donc, pour le moment, exploitables (même si peu exploitées - Lire quand même la fin de l'article de Paolo);
- Enfin, une réglementation encore disparate dont la Directive européenne 95/46/CE devrait permettre d'apporter le niveau de confiance suffisant que les (futurs) clients sont en droit d'attendre (et que Verizon, acteur majeur du Cloud poussait fortement depuis des mois).

L'année 2012 sera donc l'année du plein succès ou du relatif échec de la migration de nombre d'entreprises vers le cloud. La problématique Sécurité tant du point de vue technique qu'organisationnel et, évidemment, juridique devra être le fil conducteur au même niveau que la rentabilité attendue ou de l'avantage concurrentiel souhaité. Sous peine de contribuer à de graves désillusions et à l'adoption bien trop tardive d'un service générateur de croissance du PIB dans une période aussi cruciale où celui-ci en a bien besoin.