La sécurité immergée dans la complexité systémique

La sécurité de l'information ne vit pas en vase clos et de ce fait, doit être mise dans un contexte de perspective plus globale. D'autant plus qu'essayer de garantir un niveau de risques acceptable dans un environnement interdépendant où les menaces, les enjeux et les technologies évoluent rapidement, nécessite une approche bien plus souple et ouverte qu'une simple analyse de risques à laquelle vient se greffer un système de management de la S.I.

Des termes comme systémique, prospective et géostratégie ne sont pas de simples figures de style que l'on entendrait dans les salons feutrés de certaines discussions où la rhétorique l'emporterait sur la réalité. Ces disciplines participent à la réflexion d'ensemble qu'un responsable de la sécurité se doit d'avoir constamment, au risque de ne faire qu'un simple travail de technicien, oubliant dans quel cadre le système qu'il doit protéger s'insert et interagit et quels sont les enjeux politiques, économiques et stratégiques pouvant peser de manière indirecte mais parfois aussi directe.

C'est dans cet esprit que je porte au lecteur attentif et francophone (les autres aussi are welcome :) quelques liens qui servent à ma veille quotidienne et qui, parfois, m'aident à anticiper ou mieux comprendre certaines tendances.

Le blog Secret Défense de J-D Merchet qui est probablement le blog français des affaires militaires le plus consulté.
Celui de son homologue Jean Guisnel, Défense Ouverte.
Mon blog défense, mis à jour régulièrement avec des sujets d'actualité.
Le dessous des cartes qui, je le pense, n'a aucun rapport avec l'excellente émission de vulgarisation sur Arte.
Alliance géostratégique, assurément intéressant, avec des articles pertinents et d'une certaine profondeur.
Enfin Rapport de conflits, créé et animé par un citoyen belge, petit pays dont nous sommes beaucoup à espérer que les tensions actuelles déboucheront sur une solution politique viable et non sécessionniste.

Cette liste n'est bien-sûr pas exhaustive mais elle participe, je l'espère, comme base fiable à la prise en compte de la complexité que la sécurité de l'information doit prendre en compte. Bonne(s) lecture(s).

Risques et réseaux sociaux en entreprise

Dans mon billet du 11 février 2010, je terminais en indiquant que l'une de mes prochaines réflexions porterait sur l'intérêt d'exploiter les réseaux sociaux. Accaparé par mes activités tant professionnelles que personnelles, je préfère vous renvoyer, pour le moment, vers un billet court mais intéressant qui traite d'une étude sur le sujet menée par Forrester.

A vrai dire, mes réflexions actuelles gravitent davantage autour de mon dernier billet intitulé "Le jeu et ses règles". Mais les problématiques et les solutions possibles appréhendant un changement de paradigme proche d'une véritable révolution culturelle ("From follower to leader") sont complexes. Donc je phospore... :)

Le jeu et ses règles

Le CDSE (Club des Directeurs de Sécurité des Entreprises) vient de publier les actes de son colloque européen qui s'est tenu le 15 décembre 2009 à l'OCDE. Plongé dans leur lecture, je n'ai pas encore fini la cinquantaine de pages du rapport mais l'intervention du criminologue Alain Bauer est enthousiasmante.

Rappelant que les entreprises sont confrontées à des menaces réelles, organisées et de plus en plus ciblées, il note que celles-ci ont généralement un coup de retard en matière de gestion des risques tandis qu'en face, le crime est en mutation et que l'adversaire définit les règles du jeu. Une digression sur l'évocation de la mafia Turque qui a la particularité d'être également "prestataire de services" pour les autres mafia !

A. Bauer considère également que la conformité (référentiels normatifs de type "formule magique" ISO 27001 mais pas que) est un "drame [qui] empêche la réalité d'exister au nom d'une réalité virtuelle qui devrait être celle-là". Il y a beaucoup d'autres éléments significatifs mais je pense qu'il faut simplement retenir que si l'entreprise ne peut ni quitter la partie ni en imposer les règles, alors il faut les changer !

Pour se faire, les personnes en charge de la sécurité doivent s'inscrire dans une démarche pro-active en développant l'analyse en amont afin d'anticiper les coups à venir. Protéger étant aussi anticiper, l'intégration d'un processus prospectif permettrait à l'entreprise d'infléchir certaines règles du jeu à son avantage. Un processus à définir de manière peu orthodoxe puisque s'appuyant autant sur l'innovation, une bonne dose de créativité et d'instinct, le tout combiné à une démarche d'I.E. appliquée à la sécurité de l'information. Il faut laisser de la souplesse et éviter les effets trompeurs de type ligne Maginot dans lesquels nous nous laissons choir chaudement au creux d'une sécurité qui n'est qu'apparente !

Le fil conducteur dictant cette profonde évolution d'usages dangereux car non remis en cause : comment faire évoluer régulièrement les dispositifs et processus de protection que j'applique ? Comment rendre dynamique ma sécurité (et surtout pas sous le seul angle technique, restrictif à mon sens).

Le sujet est vaste et mérite plus qu'un simple billet posant la problématique. Là aussi, je vous ferai part de mes réflexions sur le sujet et apprécierai également les vôtres.

Réseaux sociaux 1 - Blogs 0

Au risque d'enfoncer des portes ouvertes, mon blog est resté inactif durant de longs mois. S'agissait-il d'illustrer le côté has been récemment pointé par les media ou, plus prosaïquement, ai-je manqué d'inspiration face à une actualité bien pâle et sans réelle innovation/évolution/révolution ? Sans doute a-t-il s'agit de tout cela car je n'aime pas vraiment parler ou écrire...pour ne rien dire !

Quelques éléments intéressants me donnent cependant envie de réagir. En premier lieu, les sempiternels rapports d'éditeurs bien connus sur les menaces à venir . Ou comment recycler les mêmes ingrédients depuis des années pour ne rien proposer de nouveau ! Eventuellement, on notera l'émergence du thème portant sur les infrastructures critiques, bien commodément remis au goût du jour ces derniers temps. En lien direct, malgré ou en dépit des apparences, l'affaire Google en Chine qui n'est rien d'autre que l'instrumentalisation de faits, certes graves, dont l'extension politique et surtout géopolitique n'est pas...absurde. Sur cette affaire, je vous renvoie à l'article intéressant de Wired, traitant des APT (Advanded Persistent Threats).

Finalement, je vais opter pour le côté has been :) et m'intéresserai prochainement à l'intérêt pratique que les entreprises, mais pas que, ont à exploiter les réseaux sociaux. De vraies mines d'or que ces lieux d'ego-socialisation dont il me semble nécessaire de pointer les limites et d'explorer les usages professionnels en interne des entreprises.

NetFocus 2009 - Bruxelles

Lundi 11 et mardi 12 mai, votre serviteur a eu le plaisir de rejoindre Bruxelles d'un coup d'aile afin de participer à NetFocus 2009, qui avait lieu au sein du très agréable Royal Hotel Radisson SAS.

Ambiance de crise si l'on peut dire car presque deux fois de participants qu'en 2008, surtout que l'évènement avait lieu en Belgique. Cocasse pour ce NetFocus...France !

Peu de nouveautés ou d'évolutions par rapport à l'année dernière. Un regret sur la présentation web 2.0 pour laquelle j'avais déjà présenté les problématiques l'année dernière. Il me semble que tout se déporte actuellement sur le SaaS et le Cloud et que le 2.0 fait déjà partie...du passé !

Deux belle interventions néanmoins, en lien plus ou moins direct avec les infrastructures vitales et critiques. Affaire(s) à suivre de près puisque depuis la parution du décret SAIV, rien ne semble avoir bougé en terre gauloise ! Mais chuuut puisque NetFocus se veut avant tout un rendez-vous "off" de partage d'expériences, d'opinions et de points de vue parfois antagonistes mais tellement enrichissants.

En résumé, quelques belles interventions, assez peu d'originalité (l'exercice prospectif apporterait du sang frais !), le noyau "dur" des RSSI Français de NetFocus toujours aussi sympathique et l'espoir que NetFocus 2010 ait lieu...en France !

La sécurité redescend de son nuage !

Il aura fallu attendre la RSA Conference 2009 à San Francisco pour finalement ouvrir la boîte de Pandore...du point de vue médiatique : le cloud serait "un cauchemar pour la sécurité" ! Je n'ai de cesse depuis presque deux ans (sans être le seul, évidemment) de m'interroger régulièrement sur les risques et opportunités de cette technologie d'avenir (même si "ancienne" sur l'échelle IT !).

Il va sans dire que, dans la course effrénée au profit par les gains de productivité, dématérialiser tout ou partie de son infrastructure informationnelle est un doux poison. La recherche à court terme d'économies est l'indicateur principal qui pilote une décision ô combien stratégique.

Mais que se passera t-il le jour où se produira la première "fuite involontaire" d'informations d'une entreprise qui aura migré vers le nuage ? Nul doute que le cas se produira et que sera minorée, as usual, la perte d'informations considérées comme non stratégiques par l'entreprise victime. Alors qu'une information, même non sensible, possèdera toujours une valeur différente de zéro.

J'ai encore l'impression que le marketing financier a bâti une séduisante naïade tout en disant à l'équipe sécurité : on vous donnera le budget lorsqu'on aura atteint le profit attendu...en année n+3. Toujours la même fable : la sécurité demeure un coût, pas un investissement. En attendant de compter les pertes, je m'en vais en vacances quelques temps. A bientôt !

Hacking en orbite : science-fiction ?

Un excellent article ce mois-ci dans le non moins excellent magazine CNIS (Computer Network and Information Security) concernant les attaques possibles via les liaisons montantes mais surtout descendantes des satellites de communication.

Et c'est encore Adam Laurie qui, après des démonstrations fracassantes sur le clonage RFID, nous livrera ses réflexions au prochain BlackHat sis à Washington. Il conviendra d'attendre les retours des chanceux qui auront obtenu leur place et un billet d'avion (pas simple en période de crise ?!) mais l'on peut résumer son attaque comme nécessitant peu de moyens techniques, pour un coût dérisoire, avec néanmoins de grandes incertitudes sur la possibilité de réussir une attaque de type cooking-hijacking.

A suivre donc dans les prochaines semaines...

Sectéra Edge - Acte 2

Devant l'étonnante résurgence des commentaires sur mon post de la fin mars 2008 (Sectéra Edge, le Blackberry à la sauce NSA), probablement liée au buzz qui monte depuis plusieurs jours sur le compromis élaboré pour que le nouveau président américain Barack Obama puisse continuer de communiquer via un PDA, il semble de plus en plus que la solution de General Dynamics C4 Systems ait été retenue.

Quelques infos intéressantes et une photo de la"bête" se trouvent ici et ici.

A noter que depuis 1978, le Presidential Records Act oblige tout échange papier ou électronique du président à être archivé et théoriquement consultable 12 ans après la fin de son mandat.

Dernières volontés numériques

Un article extrêmement intéressant sur Rue89, qui ouvre un nouveau champ de réflexions, même s'il a pu déjà être abordé mais de manière plus confidentielle.

Sans revenir sur la révolution sociale que représente le Web, le 2.0 en particulier, des millions d'internautes disposent de plusieurs comptes et profils sociaux : Google, FaceBook, Twitter, FlickR, etc. la liste est longue et non-exhaustive.

La grande question est : que deviennent l'ensemble de ces comptes et les informations que l'on y trouve quand l'un des internautes disparaît dans...la vraie vie !

La question, loin d'être incongrue pousse raisonnablement à inventer le réceptacle perpétuel (éternel ?) de nos identités numériques, de notre vie inter-connectée !

Juridiquement, nos éminents spécialistes devraient s'emparer de la question pour garantir au (futur) défunt que ses comptes, écrits et pensées ne seront pas dévoyées ou utilisées à des fins délictueuses.

Bientôt, on mettra ses dernières volontés numériques en ligne (ou dans un coffre...virtuel à sa banque), avec comme exécuteur testamentaire l'un de ses "amis" du Net, en Corée ou en Islande !

Techniquement, le développement des SaaS garantit une certaine pérennité, survivance numérique de notre passage terrestre.

Enfin, ne reste plus qu'à proposer les services supplémentaires. Encore du business, mais pas que. Je vous l'avais dit : la question initiale était loin d'être incongrue ! ;-)

Meilleurs voeux - Quid en 2009 ?

Traditionnellement, la période se prête à se souhaiter le meilleur pour l'année en devenir mais aussi à secrètement tenter de tenir quelques bonnes résolutions. Quelques jours durant ! ;)

Permettez-moi, cher lectrice ou lecteur, de vous présenter mes vœux les plus sincères et d'espérer en priorité la santé et le bonheur, le reste n'étant que du bonus. Fort appréciable mais bonus quand même.

La grande question que tout le monde se pose actuellement est quelles conséquences mesurables et avérées la crise produit ou produira ? Bien difficile pour le moment de le dire, surtout dans le métier de la sécurité. J'avoue que pour en avoir parlé avec différents collègues, les avis sont partagés.

Je ne peux donc qu'illustrer mon propos par la demande faite chez l'un de mes clients . Il nous a demandé de réduire notre proposition 2009 d'environ 20%, ce qui en soi est important. et correspond peu ou prou à 2 ETP (Equivalent Temps Plein). Fort heureusement, une démission (toujours regrettable) et la signature d'un nouveau contrat nous permettent d'absorber sans mal cette décision.

Pourtant, je reste extrêmement prudent pour la suite et pronostique des coupes franches et claires dans le courant de l'année avec des effets prolongés en 2010. Il ne faut pas croire que la sécurité, pour stratégique qu'elle soit aux yeux de la plupart des décideurs, ne fera pas les frais des efforts demandés à l'ensemble des fonctions de l'entreprise.

Pour finir, je reste convaincu que cette crise sera salutaire, nous poussant à faire preuve de créativité et d'innovation, autant d'un point de vue technique et, probablement/surtout, humain. Car, après tout, nous vendons du service impliquant sans cesse un regard critique sur la qualité de la relation qui nous unit, clients et fournisseurs.

L'informatique en nuages s'envole

Un article relativement intéressant du Monde, avec quelques mois de...retard ! ;-) Au-delà des aspects techniques, écologiques et de sécurité, déjà traités dans mes posts précédents, ce sont forcément les enjeux financiers qui aiguisent la convoitise des prétendants : "Selon les prévisions de Merrill Lynch, le marché du cloud computing s'élèvera à plus de 100 milliards de dollars dans les trois prochaines années. D'ici à 2011, 12 % du marché des logiciels devrait ainsi migrer vers le "nuage"."

L'article peut être lu ici.

Antivirus dans les nuages

L’intérêt stratégique du web 3.0 prend de plus en plus corps. Dernière société à y « succomber », l’éditeur d’antivirus Trend Micro qui vient d’annoncer la sortie, pour la fin 2008, d’un outil baptisé Smart Protection Network. Cet antivirus repose sur une architecture « nuage-client » (« cloud-client ») et pour ce faire, l’éditeur Californien a déployé un réseau de serveurs sur l’ensemble de la planète.

Trend Micro annonce une diminution de 70% de la taille de l’application installée sur le poste client, la base des signatures étant décentralisée et mise à jour 1 à 2 fois par heure, le réseau devant être couplé à l’ensemble des centres de veille scrutant la Toile afin de détecter toute survenance de (nouveau) code malveillant.

Au-delà de la tendance forte et de l’engouement que commence à susciter le web 3.0, les premières critiques sont entrain d’apparaître. Pourtant nul doute que cette direction va continuer à se renforcer, Panda Security (ex Panda Software) ayant également annoncé travailler sur un projet d’antivirus « nuage-client ».

Référentiel Général de Sécurité : appel à commentaires

Une fois n'est pas coutume, je relaie l'appel à commentaires fait par l'administration française à travers son portail "Synergies". Cette revue et les éventuels commentaires portent sur le document de travail RGS (Référentiel Général de Sécurité), élaboré conjointement par la DCSSI et la DGME.
J'apprécie ce mode de fonctionnement qui permet de démontrer que l'administration confirme ses "prétentions" numériques et comble, au passage, le retard avéré (Top 5 européen en 2006) au début de la décennie sur certains de nos voisins européens.

Après avoir retenu du Linux comme système d'exploitation pour la Gendarmerie, déployé la télédéclaration des Impôts, lancé de nombreux chantiers TIC en réalité, l'administration sollicite la communauté des internautes. A quand les portails et interfaces web 2.0 / web 3.0 de l'e-administration, développés sur le même principe ?

Web 2.0 : jeûne ou surcharge pondérale ?

Il y a une dizaine d'années maintenant, Google révolutionnait l'explosion d'Internet et faisait entrer l'humanité dans l'ère du Web...1.0 ! Alors que nous tendons vers la version 3.0* (voire 4.0**) , la 1ère mue connue sous le nom de Web 2.0 a comme première caractéristique d'avoir augmenté la complexité des interactions informationnelles tout en en démultipliant la masse.

Alors que Google s'est montré à la pointe de l'innovation depuis sa création, il faut déjà se placer dans la perspective de l'après puisqu'il me semble à la traîne sur les aspects filtrage / individualisation / automatisation de l'information (= qui a une valeur réelle à un instant donné pour un individu unique).

L'accès simplifié aux réseaux, l'intuitivité des outils de production, l'émergence de nouveaux média (blog, podcast, IM), l'agrégation des contenus ont multiplié follement la création de données. Il devient de plus en plus difficile pour un internaute moyen d'accéder aux seules informations qui l'intéressent, l'obésité informationnelle le guettant à chaque minute !

Bien-sûr, nombreux sont les chercheurs, les entreprises ou plus simplement les amateurs éclairés (communautés de type Open Source) à essayer de résoudre les innombrables paramètres, parfois antagonistes, de l'équation. On peut d'ores et déjà penser que les années qui viennent seront celles d'une nouvelle convergence qui verra s'associer de nombreuses disciplines : médicales (neurosciences, cybernétique***) , sociales (sociologie, anthropologie, psychanalyse) et réseaux-centrés.

Au final, la prochaine décennie pourrait voir l'émergence des premiers individus "infocentrés", bardé de capteurs organiques & nanotechnologiques où l'information qui leur sera destinée tiendra compte du l'activité récente (heures, jours, semaines) ou à venir (minutes, heures), des capacités instantanées d'attention (mode travail, déplacements, week-end, vacances) et de leur état physique et mental (gai, triste, déprimé, etc.).

De fait, la pollution informationnelle et ses excès seront pratiquement réduits à néant. Mais l'IMC de l'information est encore loin !

* Web 3.0 sur Wikipedia (En)
** Web 3.0 and beyond: the next 20 years of the internet
*** dans le sens SF (Science-Fiction, qui ne l'est parfois plus quelques années ou décennies plus tard !)

Le FBI, Cisco et le "péril jaune"

De l'art de présenter l'information pour l'orienter d'un côté...comme de l'autre ! Telle pourrait être la morale de cette vraie-fausse histoire de risque "majeur" sur les infrastructures critiques avec atteinte à la sécurité nationale des États-Unis !

C'est en quelque sorte ce que retient le lecteur peu ou pas averti en parcourant l'une des nombreuses dépêches de la semaine. L'affaire, puisqu'elle est présentée ainsi, est la communication officielle du FBI sur une enquête commencée il y a 2 ans.

Nom de code : "Operation Cisco Raider".
Objet : la contrefaçon de routeurs Cisco.
Lieux : l'U.S. Naval Academy, l'U.S. Naval Air Warfare Center, l'U.S. Naval Undersea Warfare Center, la General Services Administration et la base aérienne US de Spangdahlem en Allemagne.

Waouh, ça sent le scoop avec des vrais morceaux d'OSS 117 dedans ! Voire le bon vieux scénario hollywoodien du futur blockbuster de l'été. Dit comme cela, on dirait une plaisanterie mais l'information est très sérieuse.

L'attention (la tension ?) monte subitement de plusieurs crans puisque la provenance de ces matériels reste floue, on parle de "fabricants tiers". Et puis, la fumée se dissipe complètement et on se retrouve téléporté en Asie, du côté de l'empire du Milieu !

Contrefaçons, équipements réseaux, guerre de l'information, Chine, USA, ça y est, le scénario est planté, la machine à mythes et à fantasmes peut fonctionner à plein. Sauf que...

Sauf qu'après enquête du FBI et de ses homologues canadiens, aucun troyen ni code malicieux n'a été trouvé dans ces équipements mais qu'ils "étaient susceptibles de s'y trouver portant potentiellement atteinte à l'infrastructure nationale". Et là, merci à l'article de NewsFeed qui évite le comportement moutonnier de certains de ses camarades !

Dans l'état de tensions géopolitiques et économiques actuelles, d'évènement controversé proche à venir (JO Pékin), de désinformation qui pullule, il est important d'éclairer correctement ce type d'information "sensationnelle". Même s'il faut admettre que la contrefaçon est une plaie, que les équipements électroniques contrefaits peuvent être truffés de troyens, backdoors et autres joyeusetés, il y a comme un parfum de malhonnêteté à orienter suffisamment des possibles pour en faire de l'avéré !