Cliquez sur la couverture pour découvrir le sommaire et des extraits du magazine !
Attention : dernières pièces disponibles !
Date de disponibilité:
Aucun avis n'a été publié pour le moment.
Merci de vous connecter à votre compte afin de pouvoir publier votre avis.
Se connecter à votre compteMammouthification vs coopération (qui aime bien châtie bien)
Commençons par une banalité : l’affaire Snowden, qui nous envoie de bons baisers de Russie, a été un électrochoc. Ceci dit, quelques mois auparavant, l’intrusion de Bercy aussi. Tout comme celles de l’Élysée, de Belgacom, d’Areva, bref, la routine est faite d’Opérations Tonnerre. Elles ont toutes en commun d’être récentes. Difficile de trouver trace d’une grosse intrusion en France avant 2010.
Depuis, la gestion de crise se professionnalise, s’organise comme LE truc à la mode où tout le monde est expert (que tous les CERT en France lèvent le doigt), mais où concrètement, seule l’ANSSI chez nous, et 2-3 boîtes non françaises ont géré des crises de bout en bout. Si on s’y prend mal, on tape sur un malware, mais il revient et meurt un autre jour... quand il meurt.
Et justement, pas mal de choses bougent sous l’impulsion de l’ANSSI, bien que dans une position ambiguë :
Pour résumer, l’ANSSI cherche à contrôler tout ce qui se passe en sécurité en France, mais les retours vers la communauté de la sécurité ne sont pas à la hauteur des espoirs engendrés par l’Agence #Frustration.
En sécurité, on mesure couramment la légitimité de quelqu’un à ce qu’il produit. Or là, on ne voit quasiment rien de ce que crée l’ANSSI, car il n’y a pratiquement rien de public (for your eyes only). Du coup, après avoir recruté des juniors à tour de bras, l’ANSSI impose sa légitimité par la Loi. Cette légitimité législative donne une petite arrogance à certains (très peu pour être honnête) alors qu’ils ont encore du lait qui leur coule au coin des lèvres en termes de sécurité.
Il est quasi-sûr que, sans ce passage en force, les grandes entreprises et OIV ne bougeraient pas autant qu’il faudrait (la sécurité n’est que rarement la priorité, ça coûte de la money avec un budget d’un penny). Quand le sage montre le doigt, le fou regarde la Lune et raque (moon raker en anglais, évidemment). Alors, rien que pour ça, merci l’ANSSI.
Cette frénésie réglementaire est aussi liée à une obligation de neutralité : l’ANSSI, au service de l’État, ne peut (veut) pas dire que tel produit est pourri, ou telle société incompétente, elle n’a pas de permis de tuer en tant que juge. Pour compenser, la réglementation a vocation à éliminer les « mauvais », mais regardez les 8 CSPN et 13 PASSI, pas de surprise ! Du coup, à quoi servent ces usines à gaz ? Les clients continuent à jouer à la roulette pour choisir produits et prestataires comme au casino royale. Tous les CSPN/CESTI et PASSI ne sont pourtant pas équivalents. Pourquoi ne pas mettre une sorte de graduation par domaines d’expertise par exemple ?
L’Agence pourrait aussi révolutionner ses règles de diffusion (articles et outils) guidées par le politiquement correct. Les bulletins de sécurité fourniraient différents niveaux d’analyses des failles et une signature pour détecter les attaques utilisant ce vecteur. Offrez du vrai contenu ! Aujourd’hui, on récupère un bulletin, un rapport, et on ne lit que deux fois la prose de l’Agence.
La sécurité est un domaine avant tout humain. Pas technique, organisationnel, juridique ou je ne sais quoi : humain ! Et la sécurité marche parce que des personnes collaborent, discutent, se font confiance. Et ça, pas une réglementation ou un contrat ne pourra le forcer. Tout le monde se connaît. Les labos de l’ANSSI font des trucs impressionnants : ouvrez-les à la coopération, simple, sans cadre administratif, juste parce que des échanges naît le progrès.
La France est un petit pays avec de très nombreux talents, entre autres avec ses ingénieurs. Il serait peut-être temps de les libérer, de les laisser briller : les diamants sont éternels. Faites-leur confiance : la France ne suffit pas. Mais pour ça, il faudrait aussi arrêter de sans cesse se reposer sur l’État, et prendre ses responsabilités : c’est aux acteurs d’agir, pas d’attendre que ça vienne à eux.
N’en doutez pas, je suis fan de l’ANSSI. Ou plus exactement d’un paquet de monde qui y travaille et qui essaye de faire bouger la bête administrative et hiérarchique de l’intérieur. Mais je suis vraiment frustré de voir la sous-exploitation, et plus encore des jeunes déprimer devant la lourdeur interne et me sortir comme excuse « on n’y peut rien, c’est l’administration ». Des choses bougent, certes, mais tellement lentement si on suit le système.
Conclusion : pour faire un Bond (James Bond) en avant, bougez-vous le Q ! Ou pour être plus souverain, on ne manque pas d’os, sans disette, dans ce nid d’APT.
God save l’ANSSI
Fred RAYNAL (idéaliste)
@fredraynal
@MISCRedac
p. 04 Contribuer à Metasploit : guide du débutant
p. 11 Analyse du malware Blame
p. 14 Volatilisons Linux : partie 2
p. 29 Appréhender le cloud, pour le meilleur et pour le pire
p. 36 Introduction à la sécurité de la gestion dynamique des ressources dans le cloud
p. 42 Mécanismes de sécurité au niveau processeur pour la virtualisation
p. 46 Le Cloud : cette nébuleuse juridique
p. 58 Génération automatique de règles Snort pour la détection des réseaux Fast-Flux
p. 60 Une étude des bruteforce SSH
p.66 La sécurité des SAN (2ème partie) : impacts de la convergence LAN/SAN
p.74 Analyse d'une inscription en ligne : comment vos données fuitent sur Internet…
MISC est un bimestriel consacré à la sécurité informatique sous tous ses aspects, où les perspectives techniques et scientifiques occupent une place prépondérante. Les questions connexes (modalités juridiques, menaces informationnelles...) sont également considérées, ce qui fait de MISC une revue capable d'appréhender la complexité des systèmes d'information et les problèmes de sécurité qui l'accompagnent.
Jouez avec les nombres premiers pour comprendre le chiffrement RSA !...
Lire plus ➤Mémo Python - Saison 2 59 nouvelles recettes pour accélérer vos...
Lire plus ➤Aidez la recherche... ... en mettant à disposition votre PC lorsque vous...
Lire plus ➤Pas de Wifi ? Pas de net ? Pas grave... Connectez votre Arduino au...
Lire plus ➤Rétrogaming Le guide pour retrouver le plaisir des classiques du jeu...
Lire plus ➤