Cyberattaque mortelle ?

No Comments

Il y a environ 2 mois, une cyberattaque visant un hôpital allemand a été qualifiée de première cyberattaque mortelle. La presse s’en est d’ailleurs fait l’écho, mais depuis, plus aucune nouvelle.

Ce qui peut laisser songeur.

Il est vrai que les inondations dans le sud de la France, les attentats, l’actuel psychodrame électoral américain mobilisent davantage, mais nous pouvons nous poser quelques questions cependant :

  • alors que l’événement marque une rupture dans les cyberattaques qui, jusqu’à présent, n’avaient pas causé de morts, pourquoi si peu d’articles à ce sujet ? Les moteurs de recherche sont plutôt avares de références sur le sujet.
  • pourquoi (également) tous les experts de la cyber (plus nombreux que les spécialistes des maladies infectieuses) ne se sont-ils pas emparé, eux aussi, du sujet ?
  • comment se fait-il que les rares articles à en avoir parlé n’ont pas proposé de chronologie afin que nous sachions quel a été l’ordonnancement exact des événements ? La cyberattaque a-t-elle paralysé le bloc opératoire dans lequel la personne venait d’être admise, ou les responsables ont-ils tardé à la transférer une fois le constat de non fonctionnement du bloc fait ?

Ce dernier point est important car dans un cas la responsabilité des médecins n’est pas engagée, mais si l’enquête venait à prouver qu’ils ont trop tardé, ce ne serait plus pareil.

Comme le dirait Balzac, c’est une bien ténébreuse affaire.

Categories: Sécurité Étiquettes : , ,

Où l’on reparle de formation à la cybersécurité

No Comments

Placer l’humain au cœur de la cybersécurité est une expression à la mode depuis quelque temps. Elle peut être vue comme un sacrifice aux idoles du temps présent (après tout, même Staline estimait qu’il fallait placer l’homme au cœur du communisme et G. Marchais évoquait un communisme à visage humain) ou comme un véritable centre d’intérêt des organisations.

Source

Dans ce dernier cas, cela signifie que l’organisation a centré sa cybersécurité sur l’humain, mais pas seulement pour estimer que PEBKAC ou le punir lorsque les choses se passent mal.

Ce (re)centrage de la cybersécurité sur l’humain permet alors de remédier à l’échec de la sensibilisation à la cybersécurité, pour peu que les quelques éléments suivants soient pris en compte.

Read More

Categories: Non classé Étiquettes : , , , ,

Menaces cyber : imbroglio et erreur de l’ANSSI

No Comments

Parler de menaces cyber revient à ouvrir une boîte de Pandore de laquelle, en premier lieu, s’envolent une multitude de termes relatifs aux risques et menaces. Ces deux termes semblent pour certains tellement proches qu’ils seraient deux jumeaux qu’un importun sort aurait séparé.

Source

Pourtant, les définitions sont claires. Selon le dictionnaire Larousse une menace se définit comme suit :

  • Action de menacer ; parole, comportement par lesquels on indique à quelqu’un qu’on a l’intention de lui nuire, de lui faire du mal, de le contraindre à agir contre son gré : Des gestes de menace. Écrire sous la menace.
  • Signe, indice qui laisse prévoir quelque chose de dangereux, de nuisible : Il y a une menace d’épidémie dans la région.
  • Délit qui consiste à faire connaître à quelqu’un son intention, notamment verbalement ou par écrit, image ou tout autre moyen de porter atteinte à sa personne. (La menace de commettre une destruction ou une dégradation dangereuses pour les personnes est également un délit.)

Quant au risque, c’est toujours selon le même Larousse

  • Possibilité, probabilité d’un fait, d’un événement considéré comme un mal ou un dommage : Les risques de guerre augmentent.
  • Danger, inconvénient plus ou moins probable auquel on est exposé : Courir le risque d’un échec. Un pilote qui prend trop de risques.
  • Fait de s’engager dans une action qui pourrait apporter un avantage, mais qui comporte l’éventualité d’un danger : Avoir le goût du risque.
  • Préjudice, sinistre éventuel que les compagnies d’assurance garantissent moyennant le paiement d’une prime.

Pour savoir si ces deux termes sont deux jumeaux malheureusement séparés, il suffit de les échanger dans les exemples des définitions supra pour s’apercevoir que prendre l’un pour l’autre revient à prendre des vessies pour des lanternes. Ainsi, un pilote ne prend pas trop de menaces, et on n’écrit pas sous le risque.

Serait-il vrai que, dans ce domaine également, le cyber nous brouille l’écoute ?

Read More

Categories: Etat, protection Étiquettes : , , ,

Confiance numérique ? Tentons le reverse big brother alors !

No Comments

Le numérique, l’Internet, doit être un espace de confiance. D’ailleurs tout le monde proclame que la confiance est indispensable dans le cyberespace, certains déclarant même qu’il faut la restaurer. Si on prend cette déclaration au mot, une restauration signifie que la confiance a existé, qu’elle s’est perdue et qu’elle doit revenir. Mais comment cette perte a-t-elle pu advenir puisque tous les « industriels » du numérique affirment qu’ils sont des acteurs de confiance ? Mais si tel était le cas, pourquoi appelleraient-ils à une restauration de la confiance ?

Source

Sûrement parce qu’en fait, et quoi qu’ils disent, la confiance n’existe pas dans le cyber monde. S’il était un espace de confiance, pourquoi faudrait-il acheter aux industriels de la cybersécurité tous les nouveaux logiciels devant assurer cette sécurité ? Pourquoi tant de mises à jour « pour la sécurité » ? Pourquoi tant d’appels à la vérification et à la méfiance ? Un complotiste affirmerait que c’est justement en criant au loup qu’on a le plus de chances de vendre des pièges à loup…

C’est bien plus simple. La confiance n’existe pas dans le cyber monde car il n’est actuellement pas construit pour être de confiance. On peut cependant mettre en place un système peu compliqué pour que les utilisateurs se sentent davantage en confiance. Nous allons en parler maintenant.

Read More

Categories: Management, numérisation, protection Étiquettes : , , , ,

Modalités de télétravail

No Comments

Alors que le déconfinement pointe le bout de son nez et que le gouvernement vient de publier (selon la presse) un guide sur le télétravail, il peut être utile de se poser quelques questions sur ce « nouveau » mode de travail.

Source

Il y a peu, un billet de ce blog a traité du télétravail en général. Article très générique qui exposait quelques éléments indispensables pour que cette injonction due au confinement réussisse. La bonne volonté ne suffisant pas toujours, il peut alors être bon, de même qu’il existe un plan de continuité d’activité et un plan de protection de l’information (euh…) de rédiger un plan de télétravail qui en fixe les modalités pratiques. Il est admis que la première victime d’une opération est toujours le plan, cependant en rédiger un permet de ne pas être pris totalement au dépourvu. Enfin, s’il n’a pas été rédigé depuis trop longtemps… Passons donc à la pratique.

Read More

Categories: Management Étiquettes : ,

L’échec de l’apprentissage de la gestion de crise

No Comments

L’an dernier (déjà), j’avais publié un article relatif à l’échec de la formation à la cybersécurité. L’actualité épidémique pousse à se demander ce qu’il en est de l’apprentissage de la gestion de crise. En effet, quasiment tous les pays du monde sont confrontés au coronavirus, et l’ampleur de l’épidémie les prend quasiment tous au dépourvu. La situation est inédite pour l’époque mais pas pour l’humanité. Quant à la crise, cela fait des années qu’en ouvrant bien les yeux nous pouvions nous rendre compte qu’il y en avait presque tout le temps dans une partie ou l’autre du monde, et qu’il était bien surprenant qu’aucune ne nous ait encore atteint.

Source

En outre, depuis l’ouragan Katrina en Louisiane (2005), les dirigeants des pays devraient savoir qu’ils sont attendus sur leur attitude et les décisions qu’ils prennent durant ces calamités : George Bush fut ainsi voué aux gémonies pour n’avoir pas réagi correctement à la crise. La surprise devrait alors être faible, d’autant que les formations à la gestion de crise n’ont jamais été aussi abondantes que ces années. En voici une, une autre, encore une autre, encore une, même une liste de formations, et l’Etat via l’INHESJ propose même un management stratégique de la crise.

Bref, il y a le choix. Alors comment se fait-il que tant de voix s’élèvent pour critiquer la façon dont l’épidémie est gérée ?

Read More

Categories: Etat, protection Étiquettes : , ,

Le (télé) travail c’est (pendant les crises de) la santé

No Comments

En son temps, Henri Salvador chantait que le travail c’était la santé. Depuis, nous avons été incités, pendant les crises sanitaires, à découvrir les joies vertus et bonheurs du télétravail. A entendre les conseils prodigués au tout début du confinement, cela semblait tout simple. Les professeurs étaient d’ailleurs incités le soir de l’annonce de l’imminence du confinement à préparer dare dare leurs cours pour qu’ils soient télé compatibles.

Source

C’est dire comme c’était facile, car comme tous les managers sont bons excellents, ils ne peuvent mettre leurs subordonnés dans une situation délicate. Il suffisait d’un ordinateur, d’une connexion internet, d’un peu de bonne volonté et…hop ! Le tour était joué.

Dans les faits, était-il si bien joué que cela ? Au-delà des questions légales que le télétravail peut soulever, nous allons passer en revue quelques ingrédients pour que le télé travail fonctionne correctement.

Read More

Categories: Management Étiquettes : , , ,

Innovation et innovateur

No Comments

L’affolement médiatique et politique autour du Professeur Raoult peut être vu comme révélateur de nombre d’éléments : narcissisme de l’intéressé, résistance de la caste des mandarins qui se voit menacée par un hurluberlu, faillite de l’État, engouement pour un « gourou » ayant trouvé un remède miracle, volonté de mettre de côté la méthode scientifique, résistance des lobbies (ah, toujours critiquer les lobbies, surtout quand on ne précise pas lesquels !), espoir en un homme ou un remède miracles d’autant plus démesurés que la surprise a pris (tout le monde, forcément) de court, etc.

Source

Sujets sûrement passionnants que nous n’évoquerons cependant pas dans les lignes de ce billet. En effet, « l’affaire Raoult » reflète également ce que vivent les innovateurs, ce qui nous amène à nous focaliser sur l’innovation et ses caractéristiques. Sans toutefois coller au cas d’espèce actuel, car le but de ce billet n’est pas de prendre parti pour ou contre le professeur et ce qu’il propose, nous tenterons de dresser quelques caractéristiques communes aux innovateurs. Ce faisant nous aborderons les deux côtés de l’humanité, des ombres et des lumières.

Read More

Categories: Réflexion

Cyber corona

No Comments

Bien que n’ayant pas encore achevé la rédaction de ma thèse (mais cela approche, heureusement !) l’actualité me pousse à rédiger un billet tant qu’il en est temps : espérons que le corona ne s’appesantira pas, et que la vie reprendra son cours paisible.

Source

Ayant été frappé par les similarités entre le monde réel et le monde cyber à l’occasion de cette épidémie, je vous propose d’en faire un petit tour, non exhaustif.

Read More

Categories: Entreprise, Etat, Management, Sécurité Étiquettes : , ,

Que l’année soit belle !

No Comments

Un bref message pour rassurer ceux qui se demanderaient si ce blog n’est pas, tel l’OTAN, en état de mort cérébrale.

Non, il vit toujours, au ralenti, pour cause de rédaction intensive de thèse depuis septembre dernier. Le dernier billet complet remonte à octobre 2018, et reconnaissons qu’avec l’annonce par Cédric O de « l’expérimentation » de l’utilisation de la reconnaissance faciale, ce dernier billet me permet de me jeter des fleurs. Car si on expérimente quelque chose, on a défini la durée, on sait ce qu’on recherche, et on sait qui évaluera cette expérimentation. Pour la reconnaissance faciale, l’évaluation risque de se faire « à la gueule du client » si l’on peut dire…

Ne perdez pas courage chers lecteurs, j’espère terminer ma rédaction au plus tôt afin de redonner de la vie à ce blog.

En attendant, je souhaite à chacun de vous une excellente année 2020 !

Source

Categories: Non classé