Cinq ans après

No Comments

Il y a cinq ans, un quinquennat numérique s’annonçait. Pour preuve, une des premières visites internationales du premier ministre avait pour but l’Estonie, modèle des pays numérisés. Son secrétaire d’État au numérique l’accompagnait, et un touit nous révélait l’étendue de l’ambition des dirigeants de l’époque :

Qu’en est-il de ces promesses, cinq ans après ? Il est certain que le covid et la guerre en Ukraine peuvent servir d’habiles contre-feux pour expliquer que tout n’a pas pu être accompli parce que ce n’est pas si simple, c’est plus compliqué que ça, et, attention, c’est complexe (nouvelle expression dans ma collection de bonnes excuses). Puisque le temps est à la campagne, et bientôt printanier si tout se passe bien, dressons donc un bilan de ces promesses à travers quelques exemples simples (mais pas la qualité de service des opérateurs internet puisqu’ils sont privés – habile !).

Read More

Hôpital, sécurité et dignité

No Comments

Un récent séjour à l’hôpital s’est révélé concomitant à la publication de ce tweet déplorant la déliquescence de la sécurité informatique à l’hôpital :

Effectivement, lorsqu’on lit ce tweet et qu’on regarde les photos jointes, il y a de quoi être atterré, car la sécurité informatique élémentaire est battue en brèche d’une manière remarquable.

Le moment d’indignation passé (bien sûr que c’est mal, bien sûr qu’en aucun cas je ne ferai jamais cela), il est intéressant de se demander comment on en est arrivé là, si ce constat n’est pas le symptôme d’un mal plus profond interne à l’hôpital, et si cette question de la SSI à l’hôpital peut être réglée uniquement par des mesures techniques.

Read More

Categories: Sécurité Étiquettes : , , ,

Une hirondelle ne fait vraiment pas le printemps

No Comments

C’est le printemps ! Les hirondelles sont de retour et volent (bas).

Cette année, reconnaissons qu’il est spécial : son froid, sa grève des trains, la mise en examen d’un ancien président qui disait (justement) que plus personne ne remarquait les grèves en France, etc., etc.

Source

Tout pareil sur le front de la cyber : « il faut que tout change pour que rien ne change. » Il y a peu, je vous ai compté la mésaventure de Saint-Gobain et de NotPetya. La direction de l’entreprise avait juré que, dorénavant, il y aurait un avant et un après NotPetya. J’étais un peu sceptique, car on nous a déjà asséné un avant et un après Stuxnet, Wannacry, TV5Monde, etc., etc.

Mais Saint-Gobain a fait ce qu’elle a dit. Il y aura pour elle un avant et un après, car depuis ils cherchent un responsable sécurité / sûreté. Intéressant. Bonne réaction ! En uoi consiste ce poste ?

Read More

La santé malade de son informatique

No Comments

Wannacry et NotPetya ont été des cyberattaques réussies, notamment du point de vue médiatique. Passé l’engouement des journalistes en mal de sensationnel, que reste-t-il de concret, quelles leçons ont été tirées de ces affaires ?

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits ou les vulnérabilités exploitées. C’est peut-être pour cela qu’on ne parle jamais des problèmes informatiques dans le monde de la santé en France, car, n’oublions pas que le monde entier nous envie notre système de soins (donc son informatique avec).

Source

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, il me semble intéressant d’évoquer le secteur médical, dont l’informatique fait rarement la une de l’actualité. Mais, la France étant protégée par la jurisprudence Tchernobyl (tout ce qui est mauvais pour notre santé s’arrête à nos frontières), ce qui est arrivé aux britanniques ne risque pas de nous arriver.

Bien sûr que non !

Read More

Lectures de reprise

No Comments

Après des vacances fructueuses et un nouveau déménagement, le blog reprend du service. Quelques lectures d’abord, pour reprendre doucement, avant de publier bientôt un billet relatif à la numérisation du pays, qui est une des nombreuses priorités du gouvernement.

Source

Mais pas forcément de tout le monde si l’on en croit l’expérience… Chut, laissons un peu de suspense pour faire venir des lecteurs…

Read More

TV5 Monde, retour sur l’incident

No Comments

L’attaque de TV5 Monde a fait couler beaucoup d’encre (et encore plus de salive) à propos du cyberterrorisme, dont on attend encore les premières manifestations (voir mon billet précédent). À l’image de l’entrée Colonies dans le dictionnaire des idées reçues de Flaubert, dès que le sujet TV5 était abordé, tout le monde devait s’affliger quand on en parle…

De plus, à part celle cataclysmique du président de la chaîne, peu de communications avaient porté sur cette attaque, ses caractéristiques, ses causes, ses conséquences. Récemment, l’ANSSI a rompu ce silence (en juin 2017 au SSTIC) pour présenter son action de réparation des dommages chez TV5. Si l’on peut rester circonspect quant aux justifications de la participation de l’ANSSI au sauvetage de la chaîne de télévision (« Un média est, dans une certaine mesure, un opérateur d’importance vitale dans une démocratie », justifie Guillaume Poupard), le retex est intéressant.

La vidéo de ce retex est disponible ici, et ce billet a pour objectif d’en rendre compte. Les chiffres entre parenthèses indiquent les passages de la vidéo à l’appui de mes commentaires, et les images sont des captures d’écran de la vidéo de l’ANSSI.

Read More

Étonnante Estonie (3/3)

No Comments

Les deux précédents billets nous ont permis de constater que l’Estonie, malgré ce qui nous semble des désavantages rédhibitoires (pays de petite taille, peu connu, disposant de peu de ressources et, qui plus est, ancien pays soviétique) a réussi une percée notable sur la scène mondiale par la numérisation de ses services. Alors, au terme de ce voyage septentrional, que pouvons-nous en retenir pour tenter de le transposer en Gaule ?

Beaucoup de choses assurément.

Tout d’abord que la transformation d’un pays soviétique en pays avancé est possible, dans la mesure où les gouvernants le veulent et montrent l’exemple. Les contingences locales et historiques ne sont pas tout : ce pays demeure un cas particulier. En effet, ses voisins baltes qui présentent les mêmes contraintes, n’ont cependant pas réussi une percée similaire dans le domaine numérique.

La France pourrait-elle alors s’en inspirer, comme l’ont récemment indiqué le premier ministre et le secrétaire d’État chargé du numérique ?

Read More

Étonnante Estonie (2/3)

No Comments

Après la visite à l’e-Estonia showroom, une visite du RIA eut lieu. Le RIA est l’autorité des systèmes d’information nationale créée en 2011 et qui dépend du ministère de l’économie.

Source

Que fait-elle exactement ? Elle « coordinates the development and administration of the state’s information system, organises activities related to information security, and handles the security incidents that have occurred in Estonian computer networks. RIA advises the providers of public services on how to manage their information systems as per requirements and monitors them. In addition, RIA is an implementing entity of the structural assistance of the European Union. »

Read More

Étonnante Estonie (1/3)

No Comments

L’Estonie est un pays étonnant. Tout le monde se souvient de l’attaque de 2007 qui a frappé le pays et l’a paralysé un certain temps. On en trouve encore une relation ici et .

Il est cependant intéressant de savoir que les troubles n’eurent pas lieu qu’en Estonie. L’ambassade d’Estonie en Russie a connu également des moments… mouvementés.

Source

Depuis, le pays a renforcé sa cybersécurité, et lorsqu’on se fait présenter ses caractéristiques cyber (ou numériques), on peut être frappé du niveau de développement d’un pays qui partait de rien au moment de son indépendance retrouvée il y a une vingtaine d’années.

Read More

La security by design, produit marketing

No Comments

Depuis plusieurs mois, on nous rebat les oreilles de la « security by design », nouveau mantra sensé sécuriser paradigme qui sécurisera toutes les applications et programmes informatiques de manière native.

Source

Pour autant quelques problèmes résiduels se font jour. C’est ainsi que la société Spiral toys a mis en vente des jouets connectés avec une faille de sécurité. La mésaventure est esquissée ici, contée par le menu . Comment cela est-ce possible ?

Read More

Categories: Sécurité Étiquettes : ,