Ne nous attardons que sur le positif. Cela dans le cadre d'une économie somme toute positive.
FIC 2013 : aux cyber-armes, virtuels citoyens !
Actualités - Conférence - Posté on 01 fév 2013 at 11:33 par cnis-mag
5ème édition, saison numéro 2 : le FIC, Forum International de la Cybersécurité, vient de s’achever sur un bilan très « politiquement positif ». Trois ministres, une initiative régionale extensible visant à la réalisation d’un « cluster cybersécurité » implanté en région Nord pas de Calais, la disparition de certains « non-dits » et autres sujets tabous (telle l’attaque de l’Elysée) ou la fin de certaines omerta (la vulnérabilité maladive des collectivités territoriales par exemple). Le FIC n’est plus une réunion discrète de cyber-gendarmes mais un forum consacré à la cybersécurité des institutions au sens le plus large possible. C’est également, et par voie de conséquence, l’agora ou se pressent les tribuns qui prônent une mise en pratique du mieux-disant sécuritaire : le cas particulier vient souvent, trop souvent justifier des carcans législatifs ou structurels sans que de véritables métriques viennent justifier le bienfondé de ces décisions.
Un cluster « Infosec » pour les gens du nord ?L’initiative est régionale, mais l’on se doute bien qu’il s’agit là d’un prototype que toutes les autres provinces de France vont suivre avec intérêt : Pierre de Saintaignon, premier vice-président du Conseil général Nord-Pas de Calais, annonçait la création d’un pôle cybersécurité associant les principaux acteurs régionaux. Les universités, l’ilot technologique Euratechnologie de Lille Métropole, les centres de recherches locaux seront associés pour devenir a priori un vecteur d’information et de conseil… et plus si affinités. Ce plus si affinités est encore très flou. Mais s’il ne pouvait que simplement servir de relais de sensibilisation et d’aide technique aux infrastructures régionales, ce serait déjà un remarquable pas en avant.
Au cours d’une des nombreuses conférences tenues à l’occasion de ce FIC 2013, l’une des plus remarquées fut probablement celle du Commandant Rémy Février, Maître de Conférences à la Sorbonne, lequel rendait public à cette occasion quelques extraits de sa soutenance de maîtrise traitant précisément de la cyber-sécurité (ou insécurité) au sein des collectivités territoriales. Ce travail de bénédictin débouche sur des conclusions hélas peu surprenantes. Dans la région Nord-Pas de Calais (périmètre de l’étude), la majorité des maires a entendu parler des dangers du hacking noir, du piratage, des attaques virales, des campagnes de « defacement », des sinistres informatiques « classiques » (inondations, incendies…)… et malgré ce niveau de sensibilisation que l’on pourrait considérer comme salvateur, rares, très rares (moins de 20 %) sont les élus qui se savent pénalement responsables en cas de pertes ou fuite d’information. Une responsabilité qui est souvent attribuée à un vague GIE ou responsable informatique, un sous-traitant, un vendeur/installateur spécialisé dans la sécurité périmétrique… Pis encore, la majorité des maires de petites communes n’ont jamais entendu parler ni de l’Anssi, ni des référentiels applicables et conseillés par l’Administration, parfois même jamais des obligations de déclaration des fichiers nominatifs auprès de la Cnil. Or, la plus petite des communes possède au moins 7 fichiers de ce type (fichier électoral, cantine scolaire etc.). L’usage des supports de stockage amovibles (clefs USB, disques durs, smartphones…), les interconnexions avec le réseau public, l’interpénétration avec les appareils personnels (Byod) manquent cruellement d’encadrement voir purement et simplement de connaissance des risques encourus. Si ce n’est pas là le premier travail d’un cluster cybersécurité, ça y ressemble beaucoup.
Lire aussi
Twitter cache ses trous derrière ceux du N.Y.Times
Oracle et ses 50 trous Java de février
FIC 2013 : Scada, Internet, cyberguerre, la découverte de vieux dangers
FIC 2013 : Honny soit qui Mali pense
Backdoor Skype : 6/100 *
http://www.cnis-mag.com/fic-2013-aux-cyber-armes-virtuels-citoyens.html
FIC 2013 : Honny soit qui Mali pense
Actualités - Conférence - Posté on 04 fév 2013 at 12:52 par cnis-mag
La cybersécurité est comme un mâchon Lyonnais. On y parle de politique, de conquêtes amoureuses, de chasse, de repas gastronomiques… mais jamais de ce qui se trouve dans l’assiette au moment présent. Moyen efficace pour éviter le moindre risque de fâcheries avec la maîtresse de maison.
Il en allait de même dans les allées du FIC 2013, forum essentiellement militaire par définition et par construction, mais dans les allées duquel jamais le mot « Mali » ne fut officiellement prononcé alors qu’il était dans tous les esprits, voir dans tous les instants d’activité de bon nombre de participants. Tout au plus mentionnait-on une vague attaque en déni de service sous bannière jihadiste contre quelque institution nationale… On y parlait avec abondance, en revanche, des hordes de mécréants qui avaient osé pénétrer dans le réseaux d’Areva (un « hack », lors de sa découverte il y a plus d’un an, dont les détails étaient tenus secret), qui avaient osé pirater Bercy ou qui s’étaient joués des défenses de l’intranet de l’Elysée, là encore un accident qui rima longtemps avec un « no comment » de la part tant de l’Anssi que du Gouvernement. Le cybercrime est un plat qui se mange froid. Stuxnet, le virus « conçu par un gentil mais potentiellement dangereux » était également sur toutes les lèvres. Une longue liste de méfaits informatiques mis en réserve, de faits divers croustillants légèrement rassis mais pas trop pour justifier le retour par un gouvernement de gauche de vieilles idées émises par le précédent gouvernement.
Pour Fleur Pellerin, ministre déléguée à l’Economie numérique, revenait sur l’importance d’une politique d’identification (sic) et d’authentification des usagers et d’une sécurisation des échanges visant à rendre possible la construction d’un Internet de Confiance. Ce qui fait titrer à nos confrères de ZD-Net « Fleur Pellerin veut relancer IdéNum ». On est effectivement assez proche des propos de NKM sur la constitution d’un « internet Civilisé » (entendons par là d’un Internet essentiellement commercial). Interpelée lors d’un « point presse » sur l’affaire Amesys et l’éventuelle soumission à autorisation gouvernementale des exportations de ces outils de surveillance globale, la Ministre a affirmé que le gouvernement « entamait une réflexion sur le sujet » et qu’elle n’était pas elle-même opposé à ce principe. Cette gouvernance « a posteriori » donne toute latitude à de futures interprétations techniques en vertu du principe de la liberté d’entreprise et du libre marché. La suite à la prochaine fourniture de cyber-armes.
Deux phrases-choc résument l’intervention du Ministre de l’Intérieur Emmanuel Valls. La première, appréciée à sa juste valeur par la presse présente sur le salon, « Le traitement des infractions de presse doit être repensé compte tenu de la force de frappe d’Internet » Une manière comme un autre d’envisager le durcissement des textes sur la diffamation ou la divulgation d’informations relatives aux vulnérabilités informatiques, et qui ne feront de toute manière pas sourciller le plus virulent des éditorialistes va-t-en-guerre hébergé sur un serveur de Saint Petersbourg ou d’Islamabad. Dura Lex en deçà des Pyrénées, mensonge au-delà. Il est toujours pratique de pouvoir invoquer la Patrie en Danger pour faire taire un folliculaire. L’autre « petite phrase » qui a enjolivé le discours de clôture du Premier Policier de France concernait la nécessité de « décloisonner les frontières administratives ou législatives « absurdes » qui empêchent d’être efficaces ». Briser les carcans mais sans fragiliser le système, puisque le Ministre a annoncé à la fois la création d’un groupe de travail interministériel chargé de la lutte contre la cybercriminalité et la volonté de voir se simplifier les multiples législations gravitant autour du monde « cyber ».
Notons que, malgré le constant souci de placer le citoyen au centre des débats (souvent dans le rôle de cybervictime), pas une seule fois n’a été évoqué le principe d’un CERT grand public ou d’un vecteur d’information destiné précisément à ce même citoyen. L’accent, tout au long de ce FIC 2013, a été porté sur la défense ou le renforcement des défenses des institutions, de l’industrie, des collectivités locales. Autant d’infrastructures dont le fonctionnement repose sur des millions d’individus qui, passé 18 H, retrouvent leur foyer, leurs habitudes « grand public », leurs ordinateurs personnels et leurs plus ou moins bonnes pratiques cybersécuritaires.
http://www.cnis-mag.com/fic-2013-honny-soit-qui-mali-pense.html
Pourquoi les gouvernements sont-ils aussi méfiants? Ne seraient-ce pas plutôt aux citoyens européens de se poser des questions sur ce que font les responsables ici ou là? Voir le billet précédent. Car en fait, pouvons-nous avoir vraiment confiance?
Geen opmerkingen:
Een reactie posten