Témoignages

p. 06  Interview de Cédric Voisin, CISO de Doctolib
p. 10  Interview de Julien Levrard, CISO de OVHcloud

Défense

p. 14  Surveillance et sécurisation des sessions SSH

Dossier : Cloud, le nouveau Far-West ?

p. 23  Introduction au dossier - Le cloud : enjeux et révolutions sociétal, économique et technologique
p. 28  Principes de sécurité des fournisseurs de cloud (CSP) et détection
p. 38  Isoler ses ressources MS Azure
p. 54  Les nouveautés de sécurité de Kubernetes
p. 64  Forensic et remise en condition
p. 74  Bienvenue chez les cLoud

Réseau

p. 92  Architecture DC : en pleine mutation

Ransomware

p. 102  Au cœur de Conti, cette puissante startup de Ransomware-as-a-Service

Le monde se divise en deux catégories ...

Avertissement : cet édito se consomme avec la bande originale de « Le bon, la brute et le truand ».

Il y a quelques semaines, un étudiant me demandait ce que je trouvais difficile dans la cybersécurité. Ma réponse : durer et convaincre.

Quand on tire, on raconte pas sa vie. Je vais donc raconter ma vie.

Durer en cyber et toute expertise, ça veut dire être curieux et tenace. Quand Cédric m’a proposé de m’occuper d’un hors-série, je n’ai pas vu les heures de relecture des articles, mais la possibilité d’apprendre et de rencontrer de nouveaux auteurs. Donc, bingo, vous avez gagné un HS sur le cloud. Le monde se divise en deux catégories mon ami : ceux qui ont la corde au cou et ceux qui la leur coupent. J’avais la corde au cou et Cédric l’avait coupée. Au boulot donc !

Pour durer, il faut apprendre. En permanence. Ne pas croire qu’on sait, être lucide sur ce qu’on connaît et creuser, toujours (rappelez-vous, il y a deux catégories de personnes : ceux qui ont un pistolet chargé et ceux qui creusent). Donc, je creuse. Tout apprentissage passe par le même cycle.

Au début, le sujet semble immense, et on ne sait pas par où le prendre. Je suis paralysé par la peur : - pappy, c’est une farce ? - C’est pas une farce, c’est une corde. Et je m’y remets.

Ensuite, on se documente. Nos connaissances augmentent et s’organisent. Comme avec ce HS. C’est là que la persévérance entre en jeu : arriverai-je à « être bon » ? Dans ces moments de doute, on pense : Cédric, tu veux que je te dise, t’es le plus grand dégueulasse que... que... que la Terre ait jamais porté ! Ça soulage et on avance.

Paradoxalement, plus on rentre dans un sujet, plus il faut aussi s’en éloigner pour continuer à y progresser. Plus l’expertise est pointue, plus elle demande d’efforts. Les 20 derniers % sont plus difficiles à acquérir que les 80 premiers. Et là, le monde se divise en deux catégories : ceux qui passent par la porte et ceux qui passent par la fenêtre. La porte, c’est de continuer le même effort. La fenêtre, c’est de se diversifier et se nourrir d’autres sujets, qu’on transpose ensuite dans son expertise (j’appelle ça « connecter les points »).

Alors, pourquoi convaincre ?

La cybersécurité, en dehors des gens qui bossent dans le domaine, est vue au mieux comme une nuisance coûteuse. Donc, il faut arriver à convaincre, sans trop en faire, sans se prendre pour Superman ou sans FUD. Un hôpital a encore été attaqué par un ransomware. Son RSSI devait pleurer avant la crise pour avoir des moyens. Si on travaille pour gagner sa vie, pourquoi se tuer au travail. Suite à l’attaque, 20 millions d’€ sont débloqués pour les hôpitaux. On mesure l’importance donnée au sujet #sarcasme.

Mais si on regarde ce qui a changé depuis 25 ans, ce que la technologie apporte aujourd’hui, le cyber a un énorme rôle à jouer. Pourquoi ? La technologie améliore nos capacités : on pollue moins (toujours trop en produisant trop), on crée plus de richesses (sans les partager mieux), on vit plus longtemps en meilleure santé, on connaît plus de choses. Pour cela, la sécurité est une condition implicite. Dans ce pays, si on ne veut pas mourir de faim, il faut faire ou le moine ou le bandit, comme en cyber.

C’est pour ça que j’aime ce domaine, il aide le monde à s’améliorer, discrètement, mais sûrement.

Ça, apprendre à apprendre et convaincre, les clés de l’avenir.

Bref, je finis toujours le travail pour lequel on me paie, alors bonne lecture ;-)

Fred Raynal / @fredraynal