Dévoiement de l’informatique de production

No Comments

Un excellent livre paru il y a (déjà!) 4 ans expliquait que la puissance informatique industrielle pouvait être dévoyée, en étant notamment utilisée par des pirates qui y voyaient une source de calculs largement sous-employée. D’où l’impérieuse nécessité de protéger l’accès à ces ressources informatiques, afin d’éviter qu’elles servent, entre autres, à héberger des contenus illégaux.

Source

Le problème est que la puissance informatique industrielle est importante, souvent supérieure à celle de la gestion, mais qu’elle est peu surveillée par les RSSI pour des raisons que vous trouverez exposées dans ce même ouvrage.

Ce qui était à prévoir est, hélas, en train de se réaliser, car il semble bien que des pirates (forcément russes, ils ne peuvent venir d’ailleurs) s’en sont rendu compte.

Read More

Quelques leçons de Saint Gobain

No Comments

Après un billet sur la situation plutôt critique de l’hôpital, un autre sur la situation critique des entreprises qui peut renvoyer à (encore) un autre billet traitant de l’apprentissage à partir de ses erreurs lequel évoquait déjà NotPetya.

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, passons à une entreprise privée. Comme d’autres, Saint-Gobain a été touchée par NotPetya, mais l’entreprise n’a pas occulté le problème, elle l’a affronté et nous en propose un retex.

Source

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises telles Saint-Gobain communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits, les vulnérabilités exploitées, mais aussi les failles dans l’organisation. Car beaucoup pensent que la sécurité informatique est une affaire purement technique, alors que l’organisation est également importante.

Mais une bonne technique mal organisée ne donnera que des résultats médiocres…

Read More

La santé malade de son informatique

No Comments

Wannacry et NotPetya ont été des cyberattaques réussies, notamment du point de vue médiatique. Passé l’engouement des journalistes en mal de sensationnel, que reste-t-il de concret, quelles leçons ont été tirées de ces affaires ?

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits ou les vulnérabilités exploitées. C’est peut-être pour cela qu’on ne parle jamais des problèmes informatiques dans le monde de la santé en France, car, n’oublions pas que le monde entier nous envie notre système de soins (donc son informatique avec).

Source

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, il me semble intéressant d’évoquer le secteur médical, dont l’informatique fait rarement la une de l’actualité. Mais, la France étant protégée par la jurisprudence Tchernobyl (tout ce qui est mauvais pour notre santé s’arrête à nos frontières), ce qui est arrivé aux britanniques ne risque pas de nous arriver.

Bien sûr que non !

Read More

Pistes pour la numérisation de l’État

No Comments

L’État a décidé de lancer sa numérisation. Son exemple et modèle est l’Estonie, dont j’ai déjà dit le plus grand bien par ailleurs.

Ne négligeons cependant pas tout le travail qui reste à accomplir, tant dans la numérisation à proprement parler, qu’en ce qui concerne les fichiers de sécurité (sujet à peine esquissé ici).

Source

Ne boudons pas pour autant notre plaisir, voici un gouvernement qui parle de numériser ses services. Alors, pour faire avancer les choses, voici ma modeste contribution à sa réflexion.

Read More

Apprendre de ses erreurs

No Comments

Ces derniers temps, NotPetya a fait couler beaucoup d’encre. Mais les analyses pertinentes ne sont pas légion, ce qui est un peu désolant, car cela montre qu’au-delà du sensationnel, tous les neurones semblent anesthésiés lorsqu’il s’agit d’analyser des faits cyber.

Heureusement, un article de Libération fournit des éléments d’appréciation intéressants. Ou décourageants, c’est selon, tant il est vrai qu’apprendre de ses erreurs est difficile, y compris en matière cyber.

Source

Il parait qu’il y a eu un avant Struxnet et un après Stuxnet. Un avant TV5 Monde et un après TV5 Monde. Un avant *** et un après *** (que chacun substitue aux étoiles ce qu’il veut).

En fait on se rend compte qu’il n’y a d’avant incident et d’après incident au mieux que pour ceux qui l’ont vécu. Et encore. Souvenons-nous des mots de passe de TV5 Monde affichés en direct à la télé, quelques temps après l’attaque « sans précédents », forcément.

Read More

Faiblesse des trains

No Comments

Le train est un moyen de transport écologique et commode, principalement lorsqu’il ne tombe pas en panne ou que les cheminots ne font pas grève, ce dernier point étant, semble-t-il bien gaulois.

Foin de management aujourd’hui, nous allons parler de trains, non pas de ceux qui n’arrivent pas à l’heure, c’est d’une banalité phénoménale, mais plutôt de ceux qui ne partent pas du tout ou qui s’arrêtent en pleine voie, c’est plus original.

Les explications peuvent être très variables, comme l’indique le tweet (réel) ci-dessus.

Parfois, c’est (un peu) plus grave.

Read More

L’inexistence du cyberterrorisme

No Comments

J’avoue que le titre peut sembler provocateur, à une époque où l’on ne cesse de nous expliquer que le Calife est un adepte du terrorisme en tout genre (donc implicitement du cyberterrorisme) et qu’il faut lutter contre le phénomène. TV5 aurait d’ailleurs subi ses foudres. (Et en porterait encore les stigmates ?). Face à cette menace, la détermination doit être sans faille et la mobilisation générale.

Source

On peut cependant être circonspect (comme on l’est face à une « fake news » ?) devant cette unanimité de façade, car peu nombreux sont ceux qui expliquent clairement ce qu’est le cyberterrorisme. Le plus étonnant est que, outre sa définition parfois stupéfiante, ce que l’on présente comme ses manifestations le sont tout autant.

Cependant, quelques éléments peuvent expliquer pourquoi le cyberterrorisme est toujours dans un « entre-deux ».

Read More

L’été de la saint Denis

No Comments

Curieuse expression, non ? D’habitude on utilise l’été indien ou, à la rigueur, l’été de la saint Martin. Ce n’est cependant pas totalement délirant, j’ai la caution de wiki.

Il fait donc beau et encore bon (encore que cela se gâte), ce qui ne pousse pas forcément à la lecture. Voici quelques provisions pour les froids à venir.

Source

Read More

Categories: Lectures Étiquettes : , , , , ,

Stuxnet, le film

1 Comment

Tout le monde a entendu parler de Stuxnet, le maliciel qui a « révolutionné » le cyberespace. Ou plutôt qui a fait prendre conscience aux uns et aux autres que l’informatique industrielle et celle de production étaient vulnérables, comme de bêtes informatiques !

J’en ai rêvé, Sony Hollywood (ou presque, car cela reste un documentaire) l’a fait, voilà maintenant un film sur le sujet.

source

Read More