Mardi dernier (1° juillet) j’ai participé à un CNIS event à Paris. Très bon accueil, très bien organisé une fois de plus. Le thème était Entreprise Mobile, Sociale et dans le Cloud : comment assurer sa cybersécurité ? Pour ceux qui n’ont pu y assister, le programme est disponible ici.

source

Qu’ai-je retenu des diverses présentations ? Intéressantes dans l’ensemble, même si certains conférenciers gagneraient à parler français et non un gloubi boulga franco-anglais incompréhensible hors du cercle des initiés. S’ils sont présentés de cette manière au sein des entreprises, il n’est alors pas étonnant que les messages de sécurité soient aussi mal assimilés, voire suscitent un fort rejet.
Voici quelques notes prises, regroupées par thème.

Cloud

Il y a été question de cloud et d’excès de confiance dans les prestataires de ce service. Encore une fois, abus de langage. Soit je fais confiance, soit je ne fais pas confiance, mais celle-ci ne peut être excessive.
Il a été reproché aux utilisateurs de ne pas sauvegarder les données qu’ils envoyaient dans le cloud. Mais c’est aussi pour cela (ne pas s’embêter avec les sauvegardes) qu’on utilise ce type de service…
Au passage, le cloud fait aussi l’objet de dénis de service. Ce qui laisse augurer de belles empoignades lors d’un futur procès dans lequel un client traînera son prestataire de service pour non respect des temps d’accessibilité aux données.
Visiblement, l’entreprise ne voit dans ce système que les avantages, mais ni les risques ni les inconvénients. A quand une évaluation des gains semblable à l’espérance mathématique (somme de xp(x)) ?
Et à propos de calculs mathématiques, on annonce les avancées du chiffrement homomorphique qui permet de traiter une donnée chiffrée sans la déchiffrer. Quelques explications ici (Solucom), là (cours de traitement du signal) et encore là (Orange).

Données et identité numérique

Donnée et identité numérique sont les deux faces d’une même pièce.
Le big data fonctionne souvent à partir du cloud ce qui lie de fait ces deux éléments.
Il est nécessaire de prendre en compte la sécurité des données, puisqu’elles sont centrales dans le cloud.

Informatique mobile

Depuis sa mise en œuvre, le concept a mûri mais le retour sur investissement n’est pas flagrant.
Il y a, depuis décembre 2011, une forte augmentation des maliciels pour dispositifs mobiles. La plupart cible Android, et il y aurait 13 millions d’applications piégées. Tiens, on peut revenir au texte fondamental « Reflections on trusting Trust » de Ken Thompson : The moral is obvious. You can’t trust code that you did not totally create yourself.
En ce qui concerne la sécurité des terminaux mobiles, l’objectif n’est plus de les sécuriser, car seul l’opérateur peut verrouiller un terminal, mais de sécuriser la donnée.

Intéressante matinée qui renforce l’opinion que je me suis forgée depuis quelque temps : le combat à venir est celui de la donnée, son régime juridique et sa sécurisation.