Exploit Corner

p. 06 Spectre, 3 ans après

Pentest Corner

p. 14 Exploration du standard HITAG2 utilisé pour le verrouillage des véhicules grâce à la SDR

Forensic Corner

p. 26 Le Bruit de fond d'Internet

Dossier

p. 30 Introduction
p. 31 Les environnements sécurisés
p. 38 Découverte de la puce Titan M a.k.a Citadel
p. 48 Les protections des Secure Elements contre les attaques physiques

Réseau

p. 56 La téléportation, de la fiction au SDN

Code

p. 66 Stocker ses secrets dans Git, une mauvaise pratique pouvant avoir de lourdes conséquences

Organisation & juridique

p. 76 Où en est-on du Pearl Harbor numérique ?

Ayant commencé ma carrière comme pentester avant de devenir RSSI puis DSI, la lecture de ce Tweet [1] m’a rappelé quelques souvenirs vécus d’un côté ou de l’autre de la force.

Il faut reconnaître que certaines équipes de production ont encore une compréhension très limitée des menaces et des faiblesses de leur SI. Beaucoup de RSSI ont croisé des collègues réfractaires à tout ce qui risquait de leur compliquer la vie quand bien même les préconisations étaient la base de l’hygiène informatique. Qui ne s’est pas vu un jour ou l’autre répondre après avoir demandé le déploiement de règles de filtrages sur les réseaux internes ou la nécessité d’un audit de sécurité avant mise en production d’une application sensible : « on a toujours fait comme ça et on n’a jamais eu de problèmes » ?

A contrario, quand on débute comme RSSI, il est naturel d’adopter une posture zélée en voulant s’aligner sur les meilleures pratiques sans considérer l’adéquation des mesures de sécurité avec les besoins métiers et les enjeux de la structure. Après être passé de l’autre côté du miroir, mon RSSI a voulu m’imposer, pour utiliser Skype, de faire tourner le logiciel dans une VM sur un VLAN distinct de la machine physique et réinitialisée après chaque utilisation. Cette recommandation aurait pu se concevoir dans certains environnements, mais pour des salles de TP en université, il y avait de quoi sourire… D’ailleurs, lorsque je donne un cours d’introduction aux analyses de risques, je n’oublie jamais de remercier ce RSSI pour m’avoir fourni ce magnifique exemple démontrant l’intérêt de la démarche pour éviter les mesures de réductions de risques totalement disproportionnées au regard des besoins de sécurité.

Plus récemment, j’ai essuyé quelques critiques d’ultras de la sécurité après avoir choisi un logiciel de visioconférence non souverain alors qu’il existait tant d’alternatives sécurisées fonctionnant, selon eux, tout aussi bien pour peu que les utilisateurs se donnent la peine de couper caméras et micros, investissent dans un poste de travail avec une GPU récente et renoncent à enregistrer leurs réunions.

Car ce qu’oublient ces prescripteurs zélés de la sécurité, c’est qu’à moins de travailler dans quelques structures très sensibles, leur employeur ne va jamais choisir d’abandonner SAP pour un ERP open source donnant toute satisfaction dans une poignée de PME quand bien même sa sécurité est bien meilleure parce qu’il est en cours de certification CSPN par l’ANSSI. La sécurité n’est qu’un des très nombreux paramètres entrant en ligne de compte dans le choix d’une solution par les directions métiers et techniques, loin derrière l’adéquation aux besoins fonctionnels.

Il est temps que nous mettions fin au mythe du RSSI mangeant tout seul à la cantine après s’être mis à dos tous les collègues. Le travail est d’identifier les risques et de proposer des mesures de réduction proportionnées au regard des spécificités de la structure, pas de vouloir imposer des mesures disproportionnées. C’est l’art de manier le compromis, comprendre les enjeux métiers de son organisation et placer correctement le curseur en travaillant de concert avec les directions métiers et opérationnelles afin ne pas prendre de risques inconsidérés sans dégrader le niveau de service apporté aux usagers.

Cedric Foll / cedric@miscmag.com / @follc

[1] Les RSSI, ce cauchemar pour les gens opérationnels qui cherchent à travailler efficacement :-( :

https://twitter.com/acontios_net/status/1360263189074743296?s=21