Retour vers la sensibilisation

No Comments

Il y a déjà quelques années que j’estime que la sensibilisation à la cybersécurité est un échec. Ma position n’a pas changé, surtout lorsqu’on voit les résultats de cette sensibilisation : les cyberattaques continuent d’augmenter de façon exponentielle nous dit-on ! Il serait possible de se lamenter encore une fois sur le viol de l’exponentielle, mais ce serait vraisemblablement pour de piètres résultats.

 

Source

Lorsqu’on ne parle pas d’exponentielle (cela arrive), nous trouvons cependant sur la même page la déploration de la multiplication par 4 des attaques par rançongiciels entre 2019 et 2020 et la nécessité de la poursuite de la sensibilisation.

Read More

Sécurité cyber et routière, même combat !

1 Comment

Le récent FIC s’est clôt par un événement typiquement français : la publication/proclamation d’un livre blanc pour lutter contre le cybercrime/les cybermenaces/les cyberattaques/etc. Au fait, pour avoir des idées utiles à la lutte contre la propagation d’inutiles livres blancs, visionnez cette vidéo en cliquant ici !

Ce n’est peut-être pas inutile, mais typiquement français et il serait à ce sujet intéressant (mais ô combien fastidieux) de lister tous les livres blancs que certains passent leur temps à écrire, à publier avec plus ou moins de publicité, avant que l’oubli de cette incomparable littérature les incite à en écrire un nouveau, car « l’actualité l’impose. »

Cet événement conjugué à la récente lecture du livre de Jean Todt « des millions de vie à sauver… sur les routes du monde » m’incite à dresser un parallèle entre le monde cyber et la sécurité routière, uniquement pour le cas français.

Source

Read More

Categories: protection, Sécurité Étiquettes :

L’hôpital qui se fout de l’informatique

2 Comments

Rappelle-toi Barbara, il pleuvait sur Rouen ce jour-là… Le 15 novembre 2019, le CHU de Rouen était la cible d’une attaque par rançongiciel.  La presse de l’époque racontait : « 19 h 45, vendredi 15 novembre. Un « cryptovirus », de type rançongiciel selon les informations du Monde, est repéré par les services informatiques de ce CHU réparti sur cinq sites, comptant plus de 10 000 salariés et près de 2 500 lits. Afin d’éviter que le virus ne se propage, l’arrêt de tous les ordinateurs est rapidement décidé. L’hôpital passe alors en mode dit dégradé. Il l’était encore lundi dans la journée. »

Source

Ce n’était pas une première, puisque le 15 mai 2017, l’hôpital d’Issoire faisait l’objet d’une attaque par rançongiciel : « Au premier constat, on a eu vraiment peur. Mais on a rapidement identifié les origines de ce virus arrivé par mail. L’impact est minime. On a perdu très peu de données », affirme Franck Barbeau, responsable informatique à l’hôpital Paul-Ardier. N’oublions pas qu’en 2017, le rançongiciel WannaCry avait semé le chaos dans tout le système britannique de santé, contraignant de multiples établissements à refuser des patients. Sûrement la faute au Brexit, et n’oublions pas que nous avons en France un système de santé que le monde nous envie…

Read More

Menaces cyber : imbroglio et erreur de l’ANSSI

No Comments

Parler de menaces cyber revient à ouvrir une boîte de Pandore de laquelle, en premier lieu, s’envolent une multitude de termes relatifs aux risques et menaces. Ces deux termes semblent pour certains tellement proches qu’ils seraient deux jumeaux qu’un importun sort aurait séparé.

Source

Pourtant, les définitions sont claires. Selon le dictionnaire Larousse une menace se définit comme suit :

  • Action de menacer ; parole, comportement par lesquels on indique à quelqu’un qu’on a l’intention de lui nuire, de lui faire du mal, de le contraindre à agir contre son gré : Des gestes de menace. Écrire sous la menace.
  • Signe, indice qui laisse prévoir quelque chose de dangereux, de nuisible : Il y a une menace d’épidémie dans la région.
  • Délit qui consiste à faire connaître à quelqu’un son intention, notamment verbalement ou par écrit, image ou tout autre moyen de porter atteinte à sa personne. (La menace de commettre une destruction ou une dégradation dangereuses pour les personnes est également un délit.)

Quant au risque, c’est toujours selon le même Larousse

  • Possibilité, probabilité d’un fait, d’un événement considéré comme un mal ou un dommage : Les risques de guerre augmentent.
  • Danger, inconvénient plus ou moins probable auquel on est exposé : Courir le risque d’un échec. Un pilote qui prend trop de risques.
  • Fait de s’engager dans une action qui pourrait apporter un avantage, mais qui comporte l’éventualité d’un danger : Avoir le goût du risque.
  • Préjudice, sinistre éventuel que les compagnies d’assurance garantissent moyennant le paiement d’une prime.

Pour savoir si ces deux termes sont deux jumeaux malheureusement séparés, il suffit de les échanger dans les exemples des définitions supra pour s’apercevoir que prendre l’un pour l’autre revient à prendre des vessies pour des lanternes. Ainsi, un pilote ne prend pas trop de menaces, et on n’écrit pas sous le risque.

Serait-il vrai que, dans ce domaine également, le cyber nous brouille l’écoute ?

Read More

Categories: Etat, protection Étiquettes : , , ,

Confiance numérique ? Tentons le reverse big brother alors !

No Comments

Le numérique, l’Internet, doit être un espace de confiance. D’ailleurs tout le monde proclame que la confiance est indispensable dans le cyberespace, certains déclarant même qu’il faut la restaurer. Si on prend cette déclaration au mot, une restauration signifie que la confiance a existé, qu’elle s’est perdue et qu’elle doit revenir. Mais comment cette perte a-t-elle pu advenir puisque tous les « industriels » du numérique affirment qu’ils sont des acteurs de confiance ? Mais si tel était le cas, pourquoi appelleraient-ils à une restauration de la confiance ?

Source

Sûrement parce qu’en fait, et quoi qu’ils disent, la confiance n’existe pas dans le cyber monde. S’il était un espace de confiance, pourquoi faudrait-il acheter aux industriels de la cybersécurité tous les nouveaux logiciels devant assurer cette sécurité ? Pourquoi tant de mises à jour « pour la sécurité » ? Pourquoi tant d’appels à la vérification et à la méfiance ? Un complotiste affirmerait que c’est justement en criant au loup qu’on a le plus de chances de vendre des pièges à loup…

C’est bien plus simple. La confiance n’existe pas dans le cyber monde car il n’est actuellement pas construit pour être de confiance. On peut cependant mettre en place un système peu compliqué pour que les utilisateurs se sentent davantage en confiance. Nous allons en parler maintenant.

Read More

L’échec de l’apprentissage de la gestion de crise

No Comments

L’an dernier (déjà), j’avais publié un article relatif à l’échec de la formation à la cybersécurité. L’actualité épidémique pousse à se demander ce qu’il en est de l’apprentissage de la gestion de crise. En effet, quasiment tous les pays du monde sont confrontés au coronavirus, et l’ampleur de l’épidémie les prend quasiment tous au dépourvu. La situation est inédite pour l’époque mais pas pour l’humanité. Quant à la crise, cela fait des années qu’en ouvrant bien les yeux nous pouvions nous rendre compte qu’il y en avait presque tout le temps dans une partie ou l’autre du monde, et qu’il était bien surprenant qu’aucune ne nous ait encore atteint.

Source

En outre, depuis l’ouragan Katrina en Louisiane (2005), les dirigeants des pays devraient savoir qu’ils sont attendus sur leur attitude et les décisions qu’ils prennent durant ces calamités : George Bush fut ainsi voué aux gémonies pour n’avoir pas réagi correctement à la crise. La surprise devrait alors être faible, d’autant que les formations à la gestion de crise n’ont jamais été aussi abondantes que ces années. En voici une, une autre, encore une autre, encore une, même une liste de formations, et l’Etat via l’INHESJ propose même un management stratégique de la crise.

Bref, il y a le choix. Alors comment se fait-il que tant de voix s’élèvent pour critiquer la façon dont l’épidémie est gérée ?

Read More

Categories: Etat, protection Étiquettes : , ,

Fausse information et fausse monnaie

No Comments

Depuis quelque temps, les fausses informations et leurs circuits de diffusion font la une récurrente de l’actualité, à tel point qu’elles pourraient devenir le marronnier des temps numériques1. Pourtant, ce sujet n’est pas récent, la ruse, la manipulation, la « déception » même ont eu leurs émules à toutes les périodes de l’Histoire.

Leur remise à l’honneur tient aux résultats de récentes élections dont le vainqueur n’aurait dû, dit-on, son succès qu’à l’appui actif de trolls et fuites russes2, ou qui n’aurait pu gagner que parce qu’il avait terrassé ces mêmes éléments malfaisants3.

Source

Si on observe bien ce phénomène, et surtout si on écoute attentivement ses commentateurs, il s’avère que la fausse information circule librement et qu’il est bien difficile de l’identifier avec certitude. De ce double constat, un parallèle avec la fausse monnaie peut être esquissé. En effet, cette dernière est une plaie de l’économie, et son identification souvent difficile rend sa circulation quasiment libre.

Si cette comparaison s’avérait pertinente, le parallèle pourrait alors être poussé davantage afin de savoir si les moyens de lutte contre la fausse monnaie s’avéreraient adaptés à la lutte contre les fausses informations.

Voyons ce qu’il en est.

Read More

Categories: numérisation, protection Étiquettes : , ,

RIP SAIP

No Comments

Ainsi donc, alors que le débat national sur la bioéthique est clos mais que la rédaction des synthèses est en cours, le gouvernement a décidé de faire partir, dans la discrétion, l’application SAIP. J’avais exposé, il y a un peu moins de deux ans, les pièges de la rapidité de la conception d’une telle application. Puis, la persistance de ses problèmes, prouvant ainsi qu’un projet débutant mal ne peut se rétablir que par miracle.

Source

Mais comme la religion ne peut être à l’honneur dans une époque qui se veut laïque, le miracle du fonctionnement normal de SAIP n’a pas eu lieu.

Le gouvernement a donc procédé à l’ultime injection compassionnelle. Tout cela était en fait couru d’avance, tant les défauts de conception et d’organisation initiale du projet étaient flagrants : précipitation, absence de redondance, faible qualité de service annoncée, et surtout direction de projet inexistante une fois le projet lancé. Cela fait beaucoup pour un seul projet, comme si le ministère de l’Intérieur voulait prouver qu’il pouvait faire mieux (ou pire) que celui de la Défense (de l’époque) avec Louvois.

Read More

Categories: numérisation, protection

La santé malade de son informatique

No Comments

Wannacry et NotPetya ont été des cyberattaques réussies, notamment du point de vue médiatique. Passé l’engouement des journalistes en mal de sensationnel, que reste-t-il de concret, quelles leçons ont été tirées de ces affaires ?

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits ou les vulnérabilités exploitées. C’est peut-être pour cela qu’on ne parle jamais des problèmes informatiques dans le monde de la santé en France, car, n’oublions pas que le monde entier nous envie notre système de soins (donc son informatique avec).

Source

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, il me semble intéressant d’évoquer le secteur médical, dont l’informatique fait rarement la une de l’actualité. Mais, la France étant protégée par la jurisprudence Tchernobyl (tout ce qui est mauvais pour notre santé s’arrête à nos frontières), ce qui est arrivé aux britanniques ne risque pas de nous arriver.

Bien sûr que non !

Read More

Achats embrouillés

No Comments

Il est récurrent d’entendre proclamer qu’il faut faire du cyberespace un espace de confiance. Cette affirmation, élevée au rang de mantra au même titre que « il faut centrer le cyber sur l’humain » me semble d’une valeur similaire à celle que ne cessent de répéter les constructeurs : « nous faisons de la security by design ». Je ne crois toujours pas à cette dernière affirmation, vous pouvez consulter les explications dans un billet précédent.

Mais Source

Mais dans le présent billet, je vais vous raconter l’histoire absolument pas amusante que j’ai titrée « les achats embrouillés. »

De quoi s’agit-il ? Un beau jour, je reçois un SMS m’indiquant que « votre abonnement de 10 EUR TTC par mois à Mob4game est pris en compte. Plus de détails sur votre espace client SFR ». Une heure après, même topo, sauf que cette fois le bénéficiaire est slapstickvids.

Les abîmes de la perplexité s’ouvrirent alors sous mes pas, n’étant jamais allé sur ces sites.

Read More

Categories: droit, protection Étiquettes : ,