La technique de combat ISO 27001

La technique de combat ISO 27001

ISO 27001 Épisode 2  – Démarche ? Des marches

Elevator pitch : ce terme fait rêver d’ascension verticale… 

Popularisé par Guy Kawasaki, ancien d’Apple, l’elevatorest un argumentaire bref comme un trajet en ascenseur. 

Bruce Lee, dans son dernier film, a pris l’escalier. Ça ne l’a pas empêché de remporter tous ses combats.

Marchons donc dans ses pas avec l’épisode 2 de « la technique de combat ISO 27001».

GRAVIR LA TOUR DU CONTRÔLE

Ce fameux survêtement jaune (pour ceux qui suivent), c’était d’abord la tenue de combat qu’arborait Bruce Lee dans «Le Jeu de la Mort».

Un bon titre pour illustrer la gestion d’entreprise à l’ère des cyberattaques (avec des coûts qui mettent KO les plus fragiles).

Le scénario du Jeu de la Mort était plus encourageant : pour atteindre le chef mafieux qui attaque sa famille, Bruce Lee devait monter au sommet d’une pagode dans laquelle chaque étage était gardé par un combattant redoutable. Que le meilleur gagne.

Quand vient votre tour d’être confronté au danger, sécuriser les informations essentielles de votre activité au moyen de la méthode ISO 27001, plutôt que se contenter d’une gestion erratique et confuse, présente de multiples avantages, que je vais résumer en 4 étages points:

1)     Pragmatisme : faites ce que vous voulez, et faites-le vraiment

Chaque entreprise a ses propres priorités et enjeux. L’ISO 27001 propose à la Direction de déterminer librement  les mesures de protection qui conviennent à son contexte.

Il s’agit encore une fois de se concentrer sur ce qui est essentiel à son activité, pas d’atteindre un absolu.

Dans cette optique de pragmatisme, je dis toujours que ce qui compte pour que votre SMSI soit un atout dans votre jeu, c’est ce qui est vécu, effectivement pratiqué par vos équipes, pas un joli classeur rempli de procédures écrites déconnectées de votre réalité quotidienne.

Moi, j’aime prendre exemple sur Bruce Lee : vraiment agile, il s’adapte parfaitement au contexte de chaque combat.

2)   Clarification : en interne et vis-à-vis de l’extérieur

Utiliser l’ISO 27001 vous aide à y voir clair :

  • dans vos priorités,  
  • dans votre exposition aux risques, 
  • dans les responsabilités de chacun 

…et vous conduit efficacement vers la détermination des objectifs facteurs de succès.

Pour le dirigeant d’entreprise, c’est un excellent moyen de disposer d’indicateurs et d’éléments de pilotage, grâce à la logique d’audits récurrents et à la mobilisation des équipes.

Vis-à-vis de vos fournisseurs et clients, la certification montre que l’entreprise a pris conscience des risques pesant sur ses informations, et qu’elle a un plan de protection actif et évolutif. 

Parce que vous ne savez jamais ce qui vous attend au prochain étage…

La méthode d’ascension constante

3)    Atout marketing : la différenciation en mode Dragon

L’ISO 27001 vous positionne en tant qu’entreprise qui sait évoluer constamment, c’est-à-dire la mieux placée pour accéder à de nouveaux marchés.

Outre le gain en termes d’image, qui est évident, cela assure vos clients que leurs exigences seront prises en compte.

Dans la phase de vente, une entreprise qui peut attester du respect de bonnes pratiques qui vont au-delà de la réglementation se singularise : cela crédibilise votre proposition commerciale.

N’oubliez pas non plus qu’à l’international (et pas qu’à Hong Kong) certains pays sont très avancés dans l’adoption de l’ISO. Pour construire des partenariats avec des grands groupes, c’est évidemment décisif. 

4)     Prêt à parer tous les coups

Le progrès continu est dans l’ADN de l’ISO. Gardez à l’esprit que la certification ne vous est accordée qu’à la condition que vous intégriez les nouveaux défis. Le cycle de certification est de 3 ans, et de toute façon vous inspecterez continuellement votre propre activité.

Ainsi le SMSI est un outil idéal pour découvrir au plus vite les non-conformités et y réagir avant qu’elles ne portent préjudice à votre activité.

En pratique, les entreprises qui adoptent cette démarche s ’aperçoive qu’en intégrant le niveau d’exigence de leur client ou prospect le plus exigeant, elles se dotent d’un niveau de performance qui bénéficient à l’ensemble de leurs activités.

…Je laisse le dernier mot à Bruce Lee, qui a dit :

« Il n’y a pas de limites. Il y a des niveaux, mais tu ne dois pas en rester là, il faut aller au-delà. […] 

Un homme doit toujours dépasser son niveau.»

(The Art of Expressing the Human Body)

À suivre au prochain étage,
Thomas
(qui pousse le cri qui tue en tapant ses billets de blog)

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


ISO 27001 : vous allez trouver la voie

ISO 27001 : vous allez trouver la voie

Passer à l’action en sécurité

Vous connaissez l’histoire de la blonde qui agite le gros orteil ? 

Vous la connaissez probablement… Dans une scène mémorable de Kill Bill, on voit Uma Thurman se livrer à une séance de rééducation, par la seule force mentale, de ses pieds paralysés. 

En fait, son truc de «vas-y, bouge ton orteil !», c’est de l’imagerie motrice, une technique bien connue des préparateurs sportifs… mais un peu moins en vogue chez les dirigeants d’entreprise français.

Les neurosciences ont montré que l’action effectuée et la représentation mentale de cette action activent les mêmes canaux. C’est bien commode pour les sportifs, qui peuvent fortifier leur technique sans aller à la salle. 

L’ennui, c’est que dans le monde des affaires, penser (même très fort) à une action n’équivaut pas à agir. Même si la paperasse vous pèse, ça ne muscle pas votre performance. 

Et le pire, c’est que même agir ne suffit pas toujours ! Il faut souvent rendre compte de son action.

L’ISO 27001 fournit une technique de combat ultime pour les blondes qui se bougent l’orteil, les brunes, les poivre-et-sel, et même pour les porteurs de sourcils blancs.

L’ISO 27001 : Discipline et Self-Défense

Sœur cadette de la célèbre ISO 9001 (plus d’1 million de certificats délivrés en France), l’ISO 27001 est une norme internationale de sécurité des systèmes d’information.

Une norme ? C’est un ensemble de bonnes pratiques codifiées. À la différence des lois, qui s’imposent à toutes les entreprises, la norme est un groupe de règles qu’on adopte librement, dans le but d’améliorer le fonctionnement de son entreprise au-delà du minimum.

L’ISO 27001, en clair, explique ce qu’est un bon Système de Management de la Sécurité de l’Information (SMSI). C’est un guide fiable pour établir un SMSI qui profite continuellement à l’entreprise.

Si vous êtes familier de l’ISO 9001 ou d’une autre norme, vous retrouverez ici la même logique, qu’on peut résumer en 5 étapes :

1.    On commence par un diagnostic : il y a toujours un existant, même si on n’en a jamais fait le recensement précis. Ainsi, personne ne commence de zéro. Je suis sûr que vous êtes au moins ceinture jaune.

2.    On définit la politique de sécurité : c’est un bon brainstorming qui a l’énorme avantage de clarifier la stratégie, et avoir une stratégie claire est vraiment indispensable.

3.    Ensuite, à l’aide d’une méthodologie (j’utilise souvent EBIOS, la nouvelle version est top), on identifie les risques… et, bien évidemment, on les évalue

Exemple amusant : au cours d’une interview donnée à Kaspersky Lab, Alain Juillet, ancien de la DGSE, admet qu’on peut toujours faire de l’espionnage économique en faisant les poubelles des entreprises, mais qu’au temps des destructeurs de documents et surtout quand il est tellement facile de s’introduire à distance dans le serveur, il ne faut pas se faire d’illusions…

4.    Mettre en place des mesures de sécurité : la norme ISO 27001 fournit tous les repères nécessaires. Ensuite c’est à vous de déterminer les actions concrètes qui vont vous faire progresser.

Par exemple, ça concerne les contrôles d’accès, la sécurité des communications, les relations avec les fournisseurs…

5.    Quand on est prêt, on peut obtenir la certification, qui atteste aux yeux de tous que l’entreprise se saisit réellement des préoccupations de sécurité de l’information, et qu’elle les traite beaucoup mieux que ses concurrents.

Évidemment il ne s’agit pas d’un acquis définitif. Cela montre que votre entreprise a la bonne méthode pour traiter le risque lié à l’information, de manière dynamique et évolutive.

Devenir ceinture noire en sécurité

Vous l’aurez compris, si elle est un art martial utile à toutes les entreprises qui se soucient de la sécurité de leurs informations, l’ISO 27001 compte dans ses rangs une majorité de ceintures noires qui viennent du même dojo : high-tech, digital, et secteurs sensibles apparentés.

Je vous cite quelques exemples :

-un cabinet de conseil international très branché digital, Wavestone

Niji(ça fait Budo, non ? c’est en Bretagne), un spécialiste de la transformation numérique

SELP, un producteur de cartes sécurisées genre carte bleue (basé vers Angoulême)

– UC GROUP (12/14), spécialiste de la transformation digitale

L’ISO 27001 n’est pas une transmission secrète réservée à l’élite de la sécurité informatique. C’est une démarche qui s’adresse à des entreprises qui sont souvent à la pointe de l’innovation, mais chez lesquelles la sécurité de l’information est un point faible qui peut les envoyer au tapis.

Avec l’ISO 27001 il s’agit avant tout d’une méthode, une démarche d’organisation, qui doit vous permettre de sécuriser les informations essentielles de votre activité.

On pense évidemment à la protection des données contre le vol, la perte, on pense aux sinistres, mais on pense moins à des aspects comme la disponibilité de l’information par exemple.

Alors, vous êtes plutôt Kill Bill, électrisé par les opportunités et les dangers, un peu sur le fil du katana en ce début d’année 2019 ?

Venez la semaine prochaine découvrir la suite dans le BILLET 2 (leu reutour !), qui récapitulera les points forts de la méthode de combat 27001.

…venez aussi si vous vous sentez plutôt Kung-Fu Panda.

Thomas,
(qui a fait une salutation martiale en quittant cette page)

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


La vérité sur le facteur humain en sécurité de l’information

La vérité sur le facteur humain en sécurité de l’information

À votre avis, quel est le lien entre :

  • Le prix de l’essence
  • L’élection de Donald Trump
  • Le mal de dos (mal du siècle, soit dit en passant)
  • Le métro bondé où ça sent pas très bon
  • La 6ème extinction des espèces
  • Les pizzas tièdes à pâte ramollie 

(Vous allez voir, ça va vous sembler teeeellement évident…

Mais je continue ma liste pour vous mettre sur la piste…)

  • Le cholestérol
  • La voisine du dessus qui marche avec des talons aiguilles sur le carrelage la nuit
  • Les prix qui montent toujours dans les magasins même si c’est écrit «en baisse»
  • Les cheveux qui tombent sans autorisation
  • Un temps pourri en plein pour ma semaine de vacances

» » » Tout ça, c’est la faute des Russes.

Ils peuvent bien se cacher sous des chapkas en fourrure de lapin de Sibérie, ils peuvent même faire les gens-qui-n’y-sont-pour-rien-dans-tout-ça, coupés de Facebook à rester entre eux dans leur machin social hyperboréen, on le sait bien, nous, que c’est la faute des Russes.

Au 21ème siècle, l’ours russe est devenu un plantigrade informatique

Les exemples accumulés en introduction ne suffisent encore pas à vous convaincre que la totalité des problèmes de sécurité informatique ont une seule origine, la même que tous les autres problèmes dans le cosmos ?

Lisez cet article, alors. Hum… ? Quiiiiii… a exposé les données confidentielles de centaines de grosses cravates germaniques ? 

C’est les Russes. 

Enfin…

Ça, c’était l’hypothèse un peu audacieusement balancée par la société Checkpoint, qui avait incriminé le traditionnel petit-groupuscule-bien-louche-et-effrayant-qui-va-bien pour accréditer le scénario de l’attaque par ours interposé. 

Bad buzz, étant donné que, dans cette affaire, au lieu d’une attaque coordonnée conduite par plusieurs personnes ayant reçu l’appui d’un Etat, on a au final un étudiant de 20 ans, et tout bêtement allemand. 

C’est d’autant plus embarrassant que tout en désignant avec plus d’impétuosité que de rationalité le classique gros méchant ours de l’ex-G8, le gouvernement allemand a demandé de l’aide, pour y voir clair, aux américains, lesquels, comme on s’en souvient, avaient, eux, bel et bien espionné leurs petits camarades

Qu’à cela ne tienne, ils se joignent désormais au hourvari visant à interrompre l’hibernation du plantigrade d’en face. Sans blague. Il y a même une opération de haute sécurité tout ce qu’il y a de plus officielle pour en finir avec les cyberattaques des maudits Russes «Opération Grizzly Steppe» !!! Ça claque.

Ça va… ! me direz-vous, une battue médiatique… pas de quoi polémiquer non plus.

«ET LE PRIX DE LA SÉCURITÉ INFORMATIQUE EST ATTRIBUÉ À …»

L’attribution des attaques informatiques est (pour un tas de raisons, dont certaines que je ne saurais même pas expliquer bien précisément) tellement difficile que normalement on y renonce.

Vous remarquerez par exemple que le monsieur web-sécurité de la Gendarmerie Nationale, le Général Marc Watin-Augouard, ne dit pas :

«Encore un sale coup des Russes, maudits cosaques !»

Mais :

«Je pense qu’aujourd’hui,

 il faut être extrêmement prudent dans l’attribution.»

On ne va pas se cacher derrière son stylo numérique…

(surtout vu que ça masquerait beaucoup moins la réalité qu’un gros ours ventru…) 

…en vérité, les défaillances humaines sont la première source de problèmes en sécurité de l’information, très loin devant les failles logicielles (ou les causes fantasques).

Et bim ! Nous voilà déjà rendus à ce point critique où l’on va ranger d’un côté l’humain et de l’autre la machine. 

Ce qui soulève une intéressante question : notre monde est-il devenu à ce point machiniste qu’on en vienne à rappeler qu’il existe, au milieu de cette prodigieuse mécanique, un élément accessoire, presque invisible, l’élément humain ?

C’est ce que font à peu près tous les éditorialistes qui parlent du «facteur humain» comme d’une incongruité qu’on aurait tendance à oublier. 

Et puis il faut bien admettre que dans certains secteurs, la réponse (notre monde est-il…etc.) est oui. 

À la Bourse, par exemple, l’élément humain est devenu très minoritaire.  Même dans ce qui était le dernier carré des humains, les ordres d’échange. 

À Wall Street, 70% des échanges sont générés par des algorithmes de trading haute fréquence. 

N’en déplaise aux transhumanistes de tous poils, les entreprises sont encore remplies d’humains, ce qu’une expression irrévérencieuse mais répandue désigne comme «interface chaise-clavier».

Et ces humains, vous et moi (si du moins vous n’êtes pas un bot, ami lecteur), sont désignés de manière pas plus flatteuse comme «le maillon faible» de la cybersécurité.

Comment ça «maillon faible» !? (ok cette question est faible).

»»» Question forte pour un maillon faible [mode réflexivité : ON] :

Qu’est-ce que l’humain ?

Il existe de bons livres à ce sujet, et beaucoup a déjà été dit. Tant et plus. 

Tellement, même, que je vais procéder directement à une bonne petite synthèse des familles, le truc qui va nous débrouiller cette problématique plus vite qu’un CyBorg (©Danemark) qui joue au Rubik’s cube ®.

*** Synthèse magistrale : ***

Le propre de l’homme, c’est le rire.

 Sans blague ! Rabelais l’a écrit en 1534 dans Gargantua, excusez donc sa langue peu «French Tech» :

 Mieulx est de ris que de larmes escripre,
Pource que rire est le propre de l’homme.

Non, en fait je plaisante… 

Un peu de sérieux, il s’agit de l’Homme tout de même !

***** Synthèse magistrale (pour de vrai, cette fois) : *****

L’humain est sujet à des affects et passions. 

On peut classer ses passions en 3 catégories :

(voyez que c’est réellement synthétique, et en plus vous pouvez le vérifier sur n’importe qui ou même «pas n’importe qui» : ça marche tout le temps) 

1 – ignorance (pour la gestion des cyber risques, j’y rangerais l’égarement, la naïveté, l’inconscience, la maladresse…) ;

2 – avidité (pour nos questions de sécurité informatique, ça désignera une tendance à l’impulsivité, la curiosité, le désir d’obtenir quelque chose…) ;

3 – aversion (là en ce qui nous concerne, j’entends le refus des contraintes, le rejet de la nouveauté, mais aussi la paresse).

[mode réflexivité : OFF] 

QUAND IL S’AGIT DE CLIQUER NOUS SOMMES TOUS CONCERNÉS

Je ne vais pas multiplier les exemples, vous n’avez qu’à le faire vous-même. 

Enfin… pensez à un collègue si vous êtes trop mal à l’aise en songeant à la dernière fois que vous avez cliqué sur un lien de hameçonnage bien bidon. (vous avez bien noté les 3 «o» ?)

Ou à la dernière fois que vousce maillon faible de collèguen’a pas signalé à un responsable un message on ne peut plus intriguant… Qu’un collègue indélicat a bafoué la charte de bonnes pratiques pour faire des copies Système en urgence et éviter ainsi les bouchons sur le périph.

Comme quoi, les campagnes de sensibilisation à la cybersécurité ont tout bon quand ça dit : «nous sommes tous concernés…». 

Si vous venez de culpabiliser rudement en repensant à tous vos méfaits, voilà un exemple de vulnérabilité informatique via facteur humain qui va vous mettre du baume au processeur à 8 cœurs cadencé à 2,2 GHz :

            »»» d’après une étude de la société Proofpoint »»» cliquez ici, (c’est sans danger) 50 % des clics sur des URL malveillantes ont lieu dans la première heure après réception du mail vérolé !!! 

C’est-t-y pas de l’impulsivité, ça ? Ecce homo : il voit un lien, il clique !!!

Lol.  

Mdr.

Il clique…

Tel Chirac avec son mulot, « je clique !». 

Et pourquoi il clique comme ça ? Tout de suite (comme un gros bourrin), sans analyser avec circonspection l’authenticité de cet e-mail, et sans appliquer toutes ses facultés sceptiques, en bon disciple de Pyrrhon, préalablement à l’application de son curseur de souris? Pourquoi ? Pourquoi ??

Une partie de la réponse ne sera révélée que dans un billet de blog à venir. Un secret plus grand que celui la nature humaine. 

L’autre partie, je vous la donne : le phishing, qui reste l’arme de prédilection pour dérober des informations– loin devant les attaques «avancées», redoutables, mais rares -, le hameçonnage, donc, devient de plus en plus astucieux.

Pour vraiment achever de vous faire vous sentir normal, si vous en êtes encore à vous ravager les doigts dans un accès d’onychophagie qui altère vos possibilités futures d’utilisation du clavier, apprenez ceci :

          –      Incroyable mais vrai  – 

Madame Karla Burnett, employée d’une entreprise de paiement en ligne, Stripe («oulà ! ils doivent être balèze en cybersécurité là-dedans, ça compte pas !») a soumis ses collègues a plusieurs test de phishing

Même après la catastrophique première expérience, qui a donné lieu à une intense campagne de sensibilisation en interne, bon nombre de ses collaborateurs ont continué à se faire piéger, allant même, pour certains, jusqu’à ignorer délibérément les messages de mise en garde émis par leur ordinateur, et bien peu ont signalé les atteintes dont ils avaient eu connaissance.

Tout ça pour dire quoi ???

Que c’est pas les Russes le problème, c’est les humains ?

Non.

En fait… les Russes sont des humains. 

Sting l’a chanté dans «Russians» avec des paroles telles que «we share the same biology».

(Pour le clip, cherchez vous-même, je crains que vous n’osiez plus cliquer.)

«Bah… tout ça pour dire quoi du coup ?»

LA ROUE DE DEMING, C’EST PAS POUR LES HAMSTERS

C’est pas parce que :

  • la plupart des intrusions se font au moyen de simples appels à clics
  • c’est hyper commode de conduire les victimes à exécuter elles-mêmes les attaques 
  • les humains sont mus par des ressorts psychologiques bizarres, voire irrationnels

…qu’on va continuer (en tout cas pas sur ce blog) de propager des slogans du genre «maillon faible».

L’humain est certes plus faillible qu’une machine en termes de résultats sur une opération machinale répétée un grand nombre de fois, mais pour l’heure, en l’absence d’intelligence artificielle forte, il est le seul à disposer de capacités critiques élaborées et à pouvoir montrer une adaptation permanente à un environnement qui évolue et se reconfigure. 

On va donc plutôt affirmer, comme l’a éloquemment résumé un magazine de référence, qu’au lieu de maillon faible, l’humain peut être vu comme première ligne de défense de la sécurité informatique en entreprise.

De la même manière que la SNCF diffuse des messages du type «nous vous prions de nous signaler tout colis suspect» et fait de chaque usager des transports un agent vigilant à la sécurité de tous, dans l’entreprise les employés peuvent être les yeux et les oreilles de la fonction sécurité.

Ce type de fonctionnement collaboratif colle parfaitement à l’esprit du temps. 

Il ne demande pour être mis en application qu’un peu d’organisation.

Car s’il est pénible de réaliser qu’en tant qu’humains on est au cœur du problème, c’est aussi le niveau où l’on peut reprendre le plus sûrement le contrôle de la situation. 

En tout cas le management des équipes est plus à portée de main que la géopolitique des ours polaires. 

«J’EN PARLERAI À MON OURS».

Examinons différentes possibilités pouvant conduire à une vulnérabilité des SI, et voyons si elles sont plus réalistes que Vlad à dada sur le dos d’un dodu plantigrade :

  • il n’existe pas de procédures écrites de sécurisation des données
  • il existe des procédures mais elles n’ont pas été communiquées
  • les procédures ont été communiquées mais aucune démarche n’a permis leur appropriation
  • les procédures sont rejetées par les opérateurs, qui les trouvent lourdes et déconnectées du réel

J’aime bien l’exemple des procédures de sécurité, parce qu’il met immédiatement en lumière un paradoxe : 

»»» le paradoxe de la libération normative (ça rigole moins, là).

C’est un paradoxe parce que, dit comme ça, les procédures, boh… c’est pas d’un attrait irrésistible.

Pourtant, tout le monde connait cette sensation de malaise qu’on éprouve quand on est dans le flou et l’ignorance. Et le soulagement d’avoir des repèreset une procédure à suivre. 

Avoir des règles auxquelles se référer est clairement un atout et une nécessité.

L’essentiel est qu’elles soient adaptées et acceptées.

«Justemeeeeent ! J’en veux bien moi des procédures adaptées, mais chez nous laisse tomber c’est trop n’importe nawak…», râle le lecteur qui rêve de sérénité et déplore la confusion qui règne autour de lui. 

C’est là où j’en reviens, tel le chat qui retombe toujours sur ses pattes après avoir longtemps tripoté la souris, à la question du propre de l’homme.

Parce qu’en fait, le propre de l’homme, c’était pas le rire. 

En fait … ///  RÉVÉLATION FINALE !!! ///

Le propre de l’homme, c’est la perfectibilité.

 Eh oui. Rousseau l’a écrit, à je ne sais plus quelle date, mais largement avant l’œuvre philosophique de Sting. 

Quand les difficultés qui environnent toutes ces questions laisseraient quelque lieu de disputer sur cette différence de l’homme et de l’animal, il y a une autre qualité très spécifique qui les distingue et sur laquelle il ne peut y avoir de contestation, c’est la faculté de se perfectionner, faculté qui, à l’aide des circonstances, développe successivement toutes les autres.

C’est pas beau, ça ? Franchement ? 

Ce qui fait de Rousseau, je m’empresse de le dire, l’ancêtre de tous les coachs en entreprise, de tous des ardents combattants de l’amélioration continue, faisant toujours avancer, par la force sublime de son verbe éteint, depuis le fond des siècles (enfin presque) les glorieuses conquêtes de la qualité grâce à l’implacable mécanisme rotatif Plan-Do-Check-Act.

Celui qui croit à la perfectibilité, celui-là ne peut pas tout-à-fait désespérer de l’humain.

Très humainement, Thomas.

PS : «Un peu d’huile de girofle : le soulagement est immédiat.»

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


4 tendances en sécurité de l’information pour 2019

4 tendances en sécurité de l’information pour 2019

Il y a quelques jours j’ai trouvé dans ma boîte mail un message bizarre…

Expéditeur : inconnu.

Objet : pas tellement clair… « fil à Gilles message rayonnage ».

Je me méfie, forcément… Après ce que j’ai dit dans le billet de blog la semaine passée.

Bon, je n’ai pas résisté à la tentation. « Peuh ! Quelle déception…Un vulgaire camelot ! Un pitre ! Il se moque ! »

Ça disait : « Monsieur j’ai bu votre log la semaine passe formidable et je vou propose donc D rayonnage à -30% de réduction en métal garanti pur France », accompagné d’une photo de rayonnages métalliques – plutôt quelconques il faut dire —, donc je n’ai pas donné suite.

Avant, j’avais un fax, et ce genre de messages publicitaires (particulièrement pour les rangements métalliques de grande hauteur vendus au rabais) était le lot quotidien.

Mais désormais « pas de fax ! ». Trop facile à pirater, ces machins.

C’est alors qu’un deuxième message est arrivé dans ma boîte.

Expéditeur : inconnu.

Objet : un peu plus clair… « demande de renseignements sur la sécurité de l’information ».

J’ouvre. Sans hésiter.

« Monsieur, j’ai eu l’insigne honneur de parcourir du regard votre billet de blog du 9 janvier ; je l’ai trouvé formidable à ce point que l’heure me tarde de vous demander conseil. Daigneriez-vous m’instruire au sujet des principales tendances en matière de sécurité de l’information pour cette année nouvelle ? ».

Laissez-moi vous faire part de ce que je lui ai répondu…

Je lui ai dit : « Cher Monsieur,  plus je travaille sur les sujets de sécurité informatique auprès des entreprises, et par ailleurs plus je lis la presse spécialisée, plus il m’apparaît que ces menaces que vous voudriez connaître sont complexes, et nombreuses… » (j’abrège, tout de même, je me laissais influencer par son style),

« mais d’accord, disons, pour faire vite, que les tendances confirmées par tous les observateurset donc inévitables en 2019 sont au nombre de 4 :

1 – CLOUD : DES LENDEMAINS DANS LE NUAGE

C’est en fait une tendance constatée, qui se confirme. Et pour se confirmer…

Toutes les études vont dans le même sens : il y a un déplacement soutenu vers le cloud, dans des proportions spectaculaires.

83 % : c’est la part des activités professionnelles qui s’effectueront dans le cloud en 2020 d’après une étude de Logic Monitor (voyez comme ce blog est stimulant, je vous aide à tenir votre résolution 2019 de réviser l’anglais).

Et quand je dis « cloud », ce n’est pas un petit nuage isolé dans le ciel bleu, non : « le multi-cloud deviendra la stratégie la plus utilisée par les professionnels » prédit Gartner (leur biblio est trop fournie, et j’ai fait mon 5 minutes english, je passe).

Autant dire que ce type de prédiction ne va pas rester sans conséquences météo…

La mutualisation des serveurs, et cetteémulsion de data un peu partout sur la toile, c’est une opportunité très attrayante pour les hackers, qui ont déjà montré avec notamment les affaires Marriott et Quora que des scores en centaines de millions de comptes atteints, c’est tout à fait réalisable.

Mais, dirait Friedrich Hölderlin (qui était pourtant un vrai nullard en informatique, d’après ses contemporains)

« là où est le danger, croît

Aussi ce qui sauve. »

Il est vrai que les nuages ne sont pas toujours signe d’orage, et on remarquera en 2019 une tendance à l’automatisation des tâches dans le cloud, et donc une meilleure sécurisation.

C’est formidable le cloud, c’est aussi the place to be, le lieu où résident la vitesse et la puissance d’analyse nécessaires pour faire face aux menaces.

Le clou du spectacle, ce sont les applications cloud-native. Conçues dans et pour le cloud, elles y sont comme un poisson dans l’eau – sans hameçon en vue.

2 – IOT, OU QUAND LES OBJETS DÉCONNENT, ETC.

Vous connaissez le montant des dépenses annuelles de l’armée américaine ?

Dites un gros chiffre.

Plus gros.

Encore…

Bon, en 2017 et 2018, c’était 700 milliards de dollars.

Et bien d’après une étude IDC (ben oui, désolé c’est en anglais ces trucs tech), il y aura encore plus de dollars investis en 2019 dans ces p’tits gadgets puérils que sont les objets connectés. Vrai.

745 milliards de dollars dans des montres Hello Kikiqui vibrent dans les os du poignet pour notifier les respirations (super désagréable, comme sensation). Ou dans des frigos cinglés qui commandent la pizza grandiosa en Norvège sans garantir la chaîne du froid. Dans les fax qui… (non pas ça !!!).

…voilà l’époque : le monde est un vaste smartphone…

Et alors ? C’est une tendance majeure en sécurité de l’information, ça ?

Tiens donc ! Parmi les 20 milliards d’objets connectés qui seront dans nos foyers le 31 décembre 2019 au moment des accolades, pensez-vous que tous soient conçus de manière bien sécurisée ? Il n’y a pas que des smartphones et des bracelets pour transpirateurs semi-professionnels dans le lot, mais aussi toutes sortes d’objets anodins, sonnettes-caméra, régulateur de chauffage, etc.

Et malheureusement la priorité des concepteurs, c’est la rapidité de commercialisation, pas la sécurité. On ne le sait que trop.

Non seulement il y a des failles partout, mais il faut réaliser que ces failles sont  situées dans un système où les interconnexions sont de plus en plus nombreuses, et où le volume de données collectées augmente plus vite que la température d’une pizza grandiosa entre l’entrepôt de Øksfjord et cette plaisante bastide de Villefranche-de-Rouergue.

Vous n’y croyez pas ? Eh bien d’ici 2020, ¼ des attaques d’entreprises devraient impliquer des objets connectés IoT.

3 – PAS DE BRUITS DE BOTS

Jean Ferrat, on le dit trop rarement, était drôlement balèze en prospective IT. Ainsi il chanta en 1975, avant tout le monde, dans « Le bruit des bottes » :

Ils auront des électrodes,

Ils diront « tu veux du jus ? »

Cette année-là, Steve Jobs avait 20 ans et sortait l’Apple 1 … mais revenons à nos boutons.

Les bots et les gros botnet seront très tendance en 2019 parce qu’ils permettent des attaques massives et sophistiquées (le bon truc, en somme, quand les professionnels de la sécurité informatique n’ont pas passé ces dernières années à transpirer bêtement avec une montre fluo qui notifie des âneries sur la plage).

Une étude d’Akamai affirme que déjà 43 % des tentatives de connexions qui ont lieu sur le Net sont malveillantes. C’est les bots.

Ça peut sembler beaucoup, mais ce n’est encore qu’un début.

2019 est probablement cette année plus terminatorienne que thermidorienne où le trafic web des bots va devancer celui des humains.

[respirez……………………………………………………………………………………………………………………………………

………………………………………………………………………………………………………continuez courageusement]

No pasarán !

Ces bots font et feront autant que possible du credential stuffing, une petite pratique consistant à faire une infinité de tentatives de connexions un peu partout, s’infiltrer où ils passent pour humains (et ça marche), puis (et c’est là que c’est sournois) rester loooooongtemps indétectables pour faire ample provision de données, de quoi permettre d’accéder par la suite aux comptes associés.

Bien sûr, à Gothom City, il y aurait un justicier comme Botman pour rétablir chacun dans son bon droit et sa pleine propriété. Mais IRL (In Real Life, pas « Indice de Référence des Loyers », pfff), IRL, donc, pas de Botman.

La seule chose que proposent les héros de la cybersécurité, c’est « détecter les bots ». Seulement voilà, les bots avancent sans bruits, de la manière la plus insidieuse.

On ne finira pas sur une note si sombre sans rappeler que les failles ne sont pas une fatalité, et que ce qu’on fait encore de mieux, c’est des systèmes informatiques bien organisés, pour rester dans la zone où le bot ne passe pas.

4 – CRYPTO, QUAND L’IMAGINATION NE CONNAÎT PAS DE LIMITES

On parle des cryptomonnaies, et rapidement on a le cryptominage (cryptomining), et le cryptojacking (c’est un peu la même chose sans traduction française convaincante), et c’est sans parler du cryptofax, qui existe bel et bien.

Mais pour en rester à la tendance 2019, ça sera donc le déferlement du cryptomining, façon de faire chauffer le processeur des autres (ils sont nombreux, les autres) pour miner de la monnaie virtuelle.

… – « Et on attrape ça comment ? »

  • Soit en ouvrant une pièce jointe un peu bizarre venant d’un expéditeur pas bien connu (ne vous gaussez pas, 23 % des entreprises dans le monde ont été atteintes par ce biais), ou encore par un lien de messagerie électronique vérolé.
  • Soit sur des sites internet aux audiences très élevées, et où se trouve du contenu de fournisseurs qui a été infecté. Bon, ça paraît un peu capillotracté, mais c’est réel.

« Le cryptomining, c’est comme les décharges au fond de la mer :

ça ne gâche pas le voyage, tant qu’on reste à la surface. »

Avec les avancées de l’informatique, les scripts se sont terriblement complexifiés, et ce type d’infection est quasiment indétectable.

Las ! direz-vous. Mais, n’oublions pas la sagesse du vieux Friedrich… En matière pécuniaire, tandis que les pirates se refont en trésors virtuels, la technologie servira aussi, en 2019, à protéger l’argent des honnêtes gens, grâce à une diffusion rapide de la blockchain dans le secteur bancaire.

En vérité, en 2019, il y a tant de nouveaux concepts en vogue, que j’aurais pu continuer cette liste, et évoquer le zero trust, la cyber-résilience, le machine learning en cybersécurité, etc.

Une autre fois, peut-être.

Ce que l’on voit partout, et qui ne peut être passé sous silence, c’est qu’en 2019 les mêmes problèmes de sécurité parfaitement connus continuent à se poser, les vulnérabilités sont patentes, et les entreprises sont globalement en retard dans la course avec les factions hostiles.

…Mais au 15 janvier il n’est pas trop tard pour faire de cette année celle du changement.

Thomas, qui attend vos courriers

PS : il n’est pas trop tard non plus pour répondre à cette enquête CPME sur les usages en cybersécurité dans les PME et TPE, si vous vous sentez concernés.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Cybersécurité, la prise de conscience ?

Cybersécurité, la prise de conscience ?

…CHAQUE JOUR DE L’ANNÉE 2019…

… Vous allez allumer votre ordinateur.

Et peut-être que tout ira bien pour vous.

Moi, c’est quand j’ai vu la tête que faisait le chef de la sécurité que j’ai compris que l’année 2019 n’allait pas trop bien commencer…

Je voulais pourtant partir d’un bon pied, et abattre vite une tonne de boulot pour être en mesure de faire des annonces encourageantes dès que les gens auraient oubliés les fêtes.

Et là, c’est le drame : on me retire mon ordinateur, et mon téléphone ! Confisqués !

C’est que… je ne peux plus m’en passer, de mon téléphone.

Même pour une demi-journée.

A la limite (du pire) je pourrais me passer de mon café du matin. Mais pas de mon portable ! Il me le faut, c’est juste pas négociable.

Me faire ça, à moi…

La Chancelière de la première économie européenne…

C’est à peu près ce qu’a dû penser Angela Merkel ce 3 janvier.

Et avec elle «des milliers de personnalités politiques allemandes», rien que ça.

C’est juste un peu le pays qui se trimballe avec la qualité en auréole tout autour du globe comme les anneaux de Saturne.  Ach !

#Hasthtag Bundestag…

Mais au fait : déjà en 2018, il ne se passait pas un mois sans qu’une cyber-tragédie «sans précédent» ne défraie la web-chronique.

Souvenez-vous :

Sur la terre (plus de 5 millions de numéros de passeports volés chez Marriott) et jusque dans les airs (380 000 transactions informatiques compromises chez British Airways), personne ne fut épargné par ces désagréments aussi spectaculaires que réellement inquiétants, et qui avaient déjà occasionnés quelques sérieuses sorties de route en l’antique an 2015 avec l’épisode de la voiture hackée via l’ordinateur de bord (en bref : elle tourne quand elle veut, freinera peut-être, vous envoie du lave-glace à gogo et des basses à fissurer les sièges en cuir…).

Effarée par les attaques par hack qui nous matraquent, même la ménagère commence à considérer ses bigoudis connectés d’un œil torve : «est-ce que mes objets IoT ne vont pas me martyriser le chignon ? Avec tout ce qu’on voit aujourd’hui…».

C’est décidé, elle s’inscrit pour le FIC, qui se tiendra les 22 et 23 janvier à Lille.

Parce que la cyber-négligence, ça pique : Bouygues a écopé pour Noël d’une amende de 250 000 € pour ne pas avoir assez protégé les données de ses utilisateurs. Sans parler de Yahoo, qui a carrément perdu 300 millions de dollars dans les turbulences de sa gestion hasardeuse de 3 Milliards de comptes utilisateurs…

Alors, cette gueule de bois millésime 2019…?

Les plus chanceux ont commencé ce matin à la soigner, à Las Vegas. Le CES, plus grande messe technologique de l’année, s’y tient du 8 au 11 janvier avec pour thème principal……tadzam……

La cybersécurité.

Bon, le Figaro n’a pas encore parlé de nous, mais ça ne saurait tarder.

Et en france, c’est quoi le programme en cybersécurité pour 2019 ?

  • C’est le défi du social engineering (ou comment les failles des organisations sont exploitées)
  • C’est le RGPD qui reste un coquet casse-tête-à-clics à tel point qu’une récente étude montre que la moitié des décideurs des PME sont toujours désemparés 6 mois après son entrée en vigueur
  • C’est aussi les DSI qui sont limite en mode chemise-corporate-jaune

…et c’est à croire qu’on ne peut même plus être prélevés à la source OKLM sans se faire escagasser par des pêcheurs fadas.

Difficile dans ces conditions d’oublier les impératifs de sécurité dans les SI…

«D’accord, d’accord, n’en jetez plus, on a déjà assez mal au crâne» : impossible de faire de la qualité sans répondre aux exigences criantes de la cybersécurité.

Alors face à cette déferlante d’actualités cyberflippantes, à Feel Agile on a décidé de renforcer… notre blog !

Pour vous aider à y voir clair et à engager les bonnes actions en 2019, on publiera toute une série d’articles cette année.

Restés connectés, car on évoquera pour vous, entre autres :

  • Les origines des vrais risques en management SI (eh oui ils ne sont pas là où on croit…)
  • Comment vous pouvez arrêter de vous relever la nuit tourmentés par le RGPD
  • La différence (pas si évidente) entre le volontaire et l’obligatoire en matière d’organisation de votre SMSI
  • Pourquoi c’est le top-management qui doit désormais empoigner ce sujet

Et aussi :

  • On vous fera des coups de projecteurs sur les certifications qui buzzent (la HDS, par exemple)
  • Des bons petits FAQ qui claquent
  • Des éclairages juridiques (oui oui, le Droit, cette vieille chose rance et inappétissante, mais bien utile pour traverser 2019 sans encombre)
  • … et tant de choses encore

Stay safe !*

*Et bim ! un vilain petit anglicisme inutile pour faire French Tech. Allez je vous le traduis dans la langue de Molière :«Il n’y a point de supplice assez grand pour l’énormité de ce crime ; et, s’il demeure impuni, les choses les plus sacrées ne sont plus en sûreté.» (Approuvé par Angela Merkel)

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !