Que penser de la "Stratégie nationale pour la sécurité du numérique" ?

Ainsi donc, la stratégie de la France pour sa "sécurité numérique" a été présentée par le Premier ministre, Manuel Valls, vendredi 16 octobre 2016 à la maison de la Chimie à Paris. Initialement prévue pour l'été, il est probable que d'ultimes arbitrages aient décalé d'environ trois mois son annonce qui devait suivre la présentation de la "stratégie numérique du Gouvernement" du 18 juin 2015 [1]. La #StratSecNum (ou SN2) est le fruit d'un long et, on l'imagine, complexe travail de concertation interministériel. Que contient cette nouvelle stratégie, quelles en sont les qualités mais aussi les faiblesses ?

Les Assises de la cybersécurité à Monaco s'offrent une 15ème édition réussie

Il y a deux ans, certains avaient pu être troublés sinon choqués en lisant mon article de bilan [1] des Assises de la sécurité à Monaco qui venaient à peine de se refermer. C'est ce que l'on m'avait alors rapporté mais je n'y avais pas attaché d'autre importance que de vouloir m'adresser à mes pairs ainsi qu'on le fait à un ami : en toute franchise et parce que l'on se respecte suffisamment pour pouvoir se dire autre chose que des mots bleus. L'édition 2014 avait heureusement vu la dérive constatée se modifier [2] et donc l'interrogation cette année portait sur la qualité de l'édition des 15 ans.

Oktober(cyber)fest

Alors que s'ouvre aujourd'hui la quinzième édition des Assises de la Sécurité à Monaco, il convient de rappeler que débute également la cinquième édition du mois européen de la cybersécurité (ECMS). La conjonction de ces deux événements cyber est l'occasion de (re)mettre le focus, pour le grand public, sur l'un des risques majeurs de notre époque.

Ayant la chance de participer aux Assises de la Sécurité, j'aurais probablement l'occasion d'y revenir plus en détail dans les prochaines semaines. Afin de patienter, vous pouvez lire ou relire l'article de l'édition 2014 [1]. Souhaitons simplement que l'édition 2015 soit pleine de (bonnes) surprises et supérieure sinon égale à l'édition précédente.

Songdo : ville intelligente du futur ou cauchemar orwellien ?

Alors qu'EchoRadar entame sa deuxième année d'existence, nos dossiers thématiques ont trouvé leur rythme, semestriel. Après avoir commémoré le centenaire de la Première guerre mondiale [1], les armes de rupture et "miraculeuses" [2], c'est au tour des "artificialités futures" [3] d'être interrogées. Dans ce cadre, je me suis penché sur la ville de Songdo, en Corée du Sud. 

Créée de toute pièce, ultra-connectée et écologique, elle suscite cependant une cohorte d'interrogations puisque, par exemple, la surveillance optique et surtout électronique est omniprésente. Qu'il est également possible à ses habitants d'assumer leurs besoins personnels via le truchement des services à domicile et leur vie professionnelle sans quitter leur domicile. 

Le pari de Songdo, loin d'être gagné pour le moment, pourrait cependant préfigurer les villes du futur, à condition de tenir compte de facteurs essentiels comme le respect de la vie privée ou la nécessité de conserver des interactions sociales réelles. Je vous invite donc à lire cet article sur le site d'EchoRadar : http://echoradar.eu/2015/09/21/artificialites-futures-songdo-ville-intelligente-du-futur-ou-cauchemar-orwellien/

[1] http://echoradar.eu/?s=1914

[2] http://echoradar.eu/?s=armes+miraculeuses

[3] http://echoradar.eu/?s=artificialit%C3%A9s+futures

Quelques réflexions inspirées par la cyberstratégie du Luxembourg

La publication en mars 2015 par le Luxembourg de la version actualisée de sa stratégie nationale en matière de cybersécurité est intéressante à plus d'un titre. Pour ceux qui aiment les chiffres, cette cyberstratégie pourrait se résumer à ses 5 axes, 7 objectifs et 41 actions. Pourtant, le cycle d'actualisation court entre les deux versions (2012, 2015) et le positionnement stratégique de ce document invitent à l'analyse et à certaines réflexions.

La méthode NSA de "blocage d'adversaire" pour la cybersécurité

Assurément soucieuse de redresser une image passablement écornée [1], la célèbre "agence de sécurité nationale" étasunienne, plus connue par son acronyme NSA, publie régulièrement des documents publics. Que ce soit des archives [2] ou des documents plus récents, la fascination ambivalente qu'exerce cette agence est indéniable d'autant plus lorsqu'elle distille des informations. Sous l'égide de l'une de ses directions, le Directoire de l'assurance de l'information [3], elle a récemment publié un guide méthodologique de 9 pages intitulé "NSA methodology for adversary obstruction". Soit, en français convenablement traduit, la "méthodologie de la NSA de blocage d'adversaire".

Top 5 des articles du 1er semestre 2015

Comme depuis plusieurs années maintenant, ce blog vous propose une sélection des cinq articles ayant été les plus lus au cours du premier semestre de l'année en cours. Est-ce une habitude devenue tradition ? De la facilité ? L'envie de communiquer avec les retardataires ? Sans doute un peu de tout cela avec, de surcroît, le désir et la nécessité de partir sereinement en congé estival, de "pauser", loin du remugle assourdissant d'un monde de plus en plus incertain. Bonnes vacances à tous, sachez en profiter mais également déconnecter. Je vous donne rendez-vous à la rentrée tant ici que sur EchoRadar.

N°1 - Cyberattaque TV5 Monde : premiers enseignements et recommandations

N°2 - Le Sony hack 2014 ou comment des "Gardiens de la paix" ont failli déclarer la (cyber) guerre mondiale

N°3 - Fonctions de hachage et mots de passe complexes sur Duckduckgo

N°4 - Cyberdéfense active et Cyber renseignement opérationnel ?

N°5 - La culture geek est-elle soluble dans la cyberdéfense ?

(1) pour mémoire, celui de l'année dernière

Fonctions de hachage et mots de passe complexes sur Duckduckgo

Même s'il est possible que nombre d'entre vous ne le sachiez déjà, j'avoue n'avoir découvert que récemment les fonctions cryptographiques intégrées à Duckduckgo. Pour les autres, Duckduckgo est l'un des moteurs de recherches sur Internet dont le slogan nous dit qu'il est "le moteur de recherche qui ne vous espionne pas". Sa philosophie générale est de préserver le plus possible la vie privée des internautes en ne stockant aucune information personnelle. Pour les plus affûtés paranos, il propose une enclave de sortie Tor [1] depuis 2010 soit des siècles [2] avant l'affaire Snowden. Des fonctions qui, bien qu'appréciables, ne garantissent cependant pas les requêtes des autorités fédérales américaines ou les intrusions discrètes mais néanmoins puissantes de la NSA. Mais revenons à l'une des originalités qui fait de ce moteur l'une des alternatives agréables à Google [3] : les fonctions de génération de mots de passe notamment forts, de hachage [4] et de récupération de mots de passe à partir des hashés !

Qui ose gagne ! Ou comment nos entreprises devraient apprendre à chasser la croissance en meute

Il y a quelques mois, votre serviteur participait à l'une de ces innombrables réunions où industriels, chercheurs et représentants de l’État se retrouvent pour faire un point d'avancement sur un projet. Sans doute assez justement à certains égards, certaines légendes urbaines [1] voudraient que l’État soit inefficace, impécunieux et parfaitement déconnecté des rouages industriels. En réalité, il n'en est rien puisque de plus en plus nombreux sont ses serviteurs à être passés par une structure privée [2]. Cela tombe à point car il arrive même que les représentants étatiques connaissent bien sinon parfaitement les rouages des financements des projets et, cerise sur le gâteau, maîtrisent même les tenants et les aboutissants techniques d'un projet ! Les industriels qui, normalement, devraient se réjouir d'avoir de tels interlocuteurs en vis-à-vis peuvent vite révéler, dans ce cas, certaines lacunes quand ce ne sont pas des limites.

Cyberdéfense active et Cyber renseignement opérationnel ?

Il y a quelques jours, l'ami Olivier Kempf relevait le glissement sémantique qui verrait la discrète et sensible discipline de "lutte informatique offensive" (LIO)[1] être renommée en "lutte informatique active" voire en "cyberdéfense active" [2]. En réalité, il est possible que les choses soient plus subtiles qu'elles ne le paraissent au premier abord et que les locuteurs anglo-saxons fassent bien le distinguo entre des actions offensives et des actions d'adaptation en temps réel des dispositifs de cyberdéfense. Ces dernières, basées sur de l'analyse et du renseignement d'intérêt et/ou d'origine cyber (RIC/ROC) peuvent permettre de mieux se protéger sans forcément chercher à entraver voire neutraliser une cyberattaque.

Le jour où Google annoncera son indépendance

Justement qualifiés de cyberpuissance ces dernières semaines [1], les États-Unis affirment de plus en plus leur supériorité dans le cyberespace. Un fait qui, s'il n'est pas récent [2], est bien peu aisé de contester. Sauf, peut-être, si l'on est une entité privée d'envergure mondiale, qui dispose de la matière grise et de moyens financiers peu courants. C'est en effet la lecture et le paradoxe que pourraient annoncer les récentes déclarations [3] de Gerhard Eschelbeck, le nouveau gourou de la cybersécurité de Google.

Cyberattaque TV5 Monde : premiers enseignements et recommandations

A la différence de l'affaire Sony en décembre 2014 [1] pour laquelle j'avais attendu que la poussière retombe, difficile cette fois-ci de se retenir tant l'emballement médiatique, les (sur)interventions ministérielles et l'aspect "brèves de comptoir" de certains "experts" aura consterné quelques uns d'entre vous/nous dont les camarades d'EchoRadar [2].

Obama autorise les sanctions ciblées contre les cyberattaquants

Signé un 1er avril, l'ordre exécutif ("Executive Order") du président Obama permettant de sanctionner notamment financièrement "toute personne ou entité" qui portera dorénavant préjudice aux systèmes d'information d'un secteur d'infrastructure critique étasunien (1) n'est pas un poisson d'avril. Ou alors, il est sacrément bien fichu tant il est crédible et cohérent avec la stratégie générale de l'administration US en matière de lutte contre les agressions et, plus globalement, de conflictualités dans le cyberespace (2).

La culture geek est-elle soluble dans la cyberdéfense ?

Si pour les États-Unis les conséquences internationales de l'affaire Snowden [1] sont diverses mais unanimement négatives, les impacts futurs notamment en matière de géopolitique de l'Internet [2] demeurent difficiles à anticiper. En revanche, au fil des diverses révélations, les relations entre l'administration U.S. et les entreprises de la Silicon Valley se sont singulièrement compliquées. Avec pour corollaire une conséquence majeure, directe et inquiétante : une franche défiance voire de l'hostilité de la part de la plupart des entrepreneurs et des salariés de la zone la plus high-tech au monde [3]. Dans ces conditions, les difficultés actuelles de recrutement que connait l'administration américaine portent-elles à conséquence sur ses capacités cyber ? Sinon quelles solutions sont envisageables ?

Affirmation de la cyberpuissance USA et ruptures stratégiques

Si depuis juillet 2013 le tsunami de l'affaire Snowden (1) nous a habitué à des révélations régulières et parfois spectaculaires, la semaine qui vient de s'écouler marque un tournant ainsi qu'une rupture. Tournant parce que de "l'affaire délicate" Gemalto (2) à Equation Group (3), l'ampleur des moyens déployés pour espionner toutes les communications électroniques de la planète permet, à ceux qui en avaient encore, de ne plus se faire aucune illusion sur l'absolue nécessité de bien protéger les informations qui le méritent. Rupture technologique mais aussi stratégique et bien-sûr politique. Comme le relève avec acuité Eric Le Boucher dans les Échos (4), les États-Unis d'Amérique "hyperpuissance" sont devenus "cyberpuissance". Y affirmant leur hégémonie dans le cyberespace tandis que leur repli des affaires du monde "réel", annoncé depuis des années par Obama et en cours de réalisation, les place dans une position de plus en plus isolationniste.