vendredi 27 septembre 2013

Réagir à l'attaque informatique : quelle complexité ?

Source : carnal0wnage.attackresearch.com
L'inspiration de cet article est venu ailleurs alors que l'on m'interrogeait sur la signification du terme "APT" pour "Advanced Persistant Threat" et sa portée. L'acronyme, un peu comme "cyber", a fini par devenir un terme usuel dont le sens n'est pas très clair. On entend parfois n'importe quoi à son sujet comme l'individu qui s'exclame : "ah, j'ai reçu un pdf ...j'ai une APT"...

En premier lieu, il ne s'agit pas d'une maladie mais d'une tentative de synthèse pour un phénomène complexe. L'idée est de représenter les caractéristiques des attaques informatiques "modernes" en insistant sur leurs facettes :

- "Avancées" comme relativement complexes parfois dans leurs aspects techniques, fréquemment dans l'orchestration des actions et la malignité des techniques. On peut également y entendre la prise de contrôle "avancée" d'un réseau avec le gain de privilèges très élevés.

- "Persistantes" car bien souvent, il s'agit, une fois entrée, de durer et de persister en dépit des efforts des responsables légitimes pour vous déloger. La notion de persistance illustre aussi bien gagner le contrôle durablement et en profondeur d'une machine que de l'ensemble d'un réseau.

Pour ma part, c'est ainsi que je le comprends. Effectivement, bien souvent, et comme le rappelle les éléments publics de certaines affaires célèbres, "Bercy" ou "Areva", tout cela commence bien souvent par un acte individuel et anonyme qu'est l'ouverture d'un fichier délibérément piégé et rendu attractif.

Toutefois, pour le profane, le praticien SSI apparaît parfois un peu austère voire légèrement autiste. En bref, il n'est pas illogique de ne pas comprendre ce qu'il en est. En revanche, il est toujours intéressant de savoir quels en sont les enjeux et les solutions trouvées.

Il existe de nombreux soucis dans la gestion de telles attaques. Aujourd'hui, nous en retiendrons principalement un : la détection. Nous pourrons évoquer plus tard, l'assainissement ou la reconstruction ou encore l'amélioration post-incident.

La détection recouvre en réalité deux actions bien distinctes. La première serait l'alerte, c'est à dire la découverte d'une infection initiale ou encore le sentiment que "ça colle plus" ou que "Houston, on a un problème"...La seconde consiste à mesurer le profondeur du problème et à détecter l'ampleur de celui-ci.

L'alerte dépend de nombreux facteurs. Une bonne équipe SSI peut disposer de moyens de recueil d'infos et d'analyse permettant de matérialiser de tels problèmes. Avec de la chance, l'outil de l'attaque pourra faire réagir un ou plusieurs des outils de sécurité que vous pourriez avoir (proxy, IDS, firewall, antivirus). 

Par exemple, si le composant malveillant contacte une adresse connue à l'extérieur, celle-ci peut être repérée grâce à l'usage de liste noire dans un proxy. Ou encore si le motif des flux est repérable, il pourra être détecté par une sonde de détection d'intrusion. Parfois, c'est le comportement de vos équipements qui sera détecté par un autre acteur : "Allo, M. RSSI ? Oui... ? Je suis administrateur sécurité dans la société machin et l'un de vos serveurs est décidément très motivé pour scanner mes ports et trouver des failles !".

Mesurer l'ampleur de l'attaque dépend de plusieurs facteurs. Mais l'idée principale est les acteurs en présence ne disposent pas toujours d'une représentation des systèmes à l'état "sain". Autrement dit, c'est un peu chercher la fameuse aiguille dans la non moins fameuse botte de foin ! Prenons un exemple courant : vous rencontrez un homme très pâle : est-il malade ? est-il doté d'une telle constitution ? A-t-il mangé quelque chose de périmé ? Ou bien ressort-il d'une longue maladie ?

C'est un peu la même idée en fait car la comparaison avec un état sain nécessite de d'abord connaitre cet état : la préparation, et c'est évident, à subir de telles attaques est donc indispensable. Par exemple, lorsque l'analyse détient la liste des comptes dans un annuaire d'entreprise ou encore la liste des utilisateurs d'un serveur, comment pourra-t-il savoir si certains comptes sont illégitimes ? 

Ou bien encore, tel programme est-il légitime ? Tel exécutable est-il bien celui qu'il parait être ?

Les professionnels de la SSI ont bien fini par comprendre le problème car l'alerte et la détection de l'ampleur ont un point commun : il faut savoir ce que l'on cherche. Une des réponses a donc été les indicateurs de compromission (IoC) qui se traduit bien en anglais : Indicators of Compromise.

L'objectif est de fournir tant un moyen d'alertes que de mesure de l'ampleur en définissant, par référence à un cas connu, les modalités ou les "symptômes" de l'infection. Le rapport Mandiant et la société du même nom ont d'ailleurs développé un outil comprenant un format (un langage commun) permettant de lire et de créer de tels indicateurs.

Dans l'exemple cité en source, il est possible de télécharger la liste des IOCs de l'attaque en question et de les parcourir afin de définir des modalités adaptées de recherche de ces caractéristiques. Notez aussi l'outil Yara qui a plusieurs  modules dont l'objet est d'intégrer plusieurs types d'IOC (des séquences de caractères par exemple) pour les recherchez de manière systématique sur des fichiers et des arborescences. On peut même y ajouter des règles en demandant de rechercher telle règle OU telle autre ou bien celle-ci ET celle-là.

L'originalité et l'utilité des IOC est la multiplicité des informations et la combinaison de celles-ci que l'on peut faire. Par exemple, dans le cas cité ci-dessous, on trouve aussi bien : des empreintes de fichiers, des adresses IP en destination (utilisées peut-être pour l'exfiltration de données ou l'envoi de commandes) ou encore des chaines de caractères spécifiques. 

Celles-ci sont combinées pour tenir compte des versions et évolutions du malware. C'est typiquement l'usage du "OU" : la diversité des empreintes uniques (hash) de fichiers ne limite par la possibilité de détecter telle ou telle version.

Les IOCs ne sont pas la solution parfaite mais adossées à la réactivité de la communauté, elles constituent une réponse intéressante à ces problématiques d'APT que nous venons d'évoquer. Nul doute que d'autres idées viendront afin de progresser dans le traitement de ces sujets complexe mais au coeur de l'actualité en sécurité !

Source :



Publié par à 9 commentaires:
Libellés : , ,

jeudi 19 septembre 2013

Irrévérencieusement vôtre !

Source : cybersecurite.fr
Soyons francs : cet article risque de ne pas plaire. Il faut bien parfois. Ce billet m'a été inspiré par un constat un beau matin alors que, comme chaque matin, je m'astreignais à dépiler la veille quotidienne. Or, ce fameux matin, en matière cyber, demeura la furieuse impression que plus rien n'était nouveau et que d'un article à l'autre, on réchauffait les mêmes vieilles idées.

Prenons cet article : son auteur évoque rapidement Snowden, la NSA, Vupen et l'achat de vulnérabilités et ce qui s'annonce comme des arguties juridiques sans fin. En quelques mots - et je suis persuadé que l'auteur peut, a déjà fait et fera mieux - c'est réchauffé, ennuyeux et vaguement faux.

Réchauffé car l'affaire Snowden a déjà été analysé de manière pertinente et moins et qu'il faudrait creuser de manière innovante pour en tirer tout ce qui pourrait être dit. Ennuyeux car on ne cesse de parler, voire de critiquer ou d'envier Vupen, qui fait un boulot techniquement remarquable et développe son modèle de manière ouverte (il suffit d'aller sur le site)...Faux car Snowden et les questions de NSA sont mélangés avec la SSI, la lutte informatique et les stratégiques ou tactiques en matière d'usage offensif de l'information.

De même, me sentant vaguement coupable de n'avoir pas assisté au 1er Symposium Académique national de recherche en cyberdéfense, l'allié Si-vis en a fait un agréable compte-rendu immédiatement rassurant : on n'a pas encore décroché la lune et je n'ai rien raté.

Les derniers ouvrages ou travaux qui m'ont été donné de lire présentent des dérives similaires. Les seules différences avec les bêtises que j'écrivais lors de mes études sont les références et certains événements qui, alors ne s'étaient pas encore produits. Le "cybercommand" fait encore recette sans parler de la RMA ou encore des stratégies cyber ou des tactiques "trucs"...

Ce constat s'explique par quelques raisons - qui ne sont que ma vision - : tout d'abord, ce domaine, qu'il soit abordé sous l'angle technique, sécurité informatique ou encore "opérationnel" demeure encore très secret. Que la NSA soit un sujet à la mode ne doit pas nous faire oublier que, selon M. Merchet, on aurait renforcé la protection du secret en France sur ces questions. Ce premier point explique donc que les commentateurs et analystes finissent par être "secs" toujours selon l'adage que ceux qui savent, en ces domaines, ne parleront que peu.

L'autre problème serait, pour moi, la méthode : il n'est pas possible de progresser sur ces sujets sans réfléchir de manière différente et sans se livrer à un travail de recherche complexe, long et surtout innovant. Le sujet présente une composante technique forte et ne pas s'y attarder est une "faute logique".

Tout n'est pas perdu cependant et puis conclure un tel article sans offrir des solutions serait peu courtois. Aussi, sur les questions de renseignement par exemple ou sur toutes activités dont le poids du secret est importante, les travaux de Zone d'intérêt, allié au grand mérite, me semblent le chemin à prendre ainsi qu'une source d'inspiration innovante.

N'oublions pas aussi les travaux de la chaire Cyberdéfense que j'évoquais récemment. A première vue, la notion de "chaire" ou encore l'association avec Saint-Cyr peut faire frémir. Et je dois bien avouer que je n'ai pas lu tous les articles. Mais j'ai participé à certains travaux et un des avantages est qu'aucune question n'est écartée et qu'une forte discipline scientifique est exigée.

Le second point clé est l'association des compétences : remarquez par exemple l'article rédigé par M. Paget que l'on connait plus volontiers pour ses travaux chez un éditeur anti-virus et qui a accepté de travailler sur l'hacktivisme.

Enfin, à mon sens, dans la catégorie des "exemples" figurent également bon nombre de blogs de nature plus techniques. S'il est vrai que les aspects techniques continuent de m'intéresser, je suis régulièrement surpris par leur capacité à innover, à se poser des défis et même parfois à oser poser un orteil sur le terrain réservé des analyses de nature plus "politique" ou "stratégiques"...

Concluons ici : il est temps d'innover et de rechercher d'autres manières de réfléchir et de proposer des idées. Limiter sa recherche et sa réflexion à un unique domaine est, en matière "cyber", le plus sur moyen de scléroser sa pensée. 

Vous voulez penser "cyber", penser comme un hacker et piratez-vous le cerveau :)

Sources : dans le texte



Publié par à 2 commentaires:
Libellés : , , ,

mercredi 18 septembre 2013

Chaire de Cybersécurité/Cyberdéfense - St Cyr & Sogeti/thales

Retrouvez en ligne les articles produits par la chaire cyberdéfense ainsi que ceux issus du colloque consacré à la Chine.




Notez en particulier la profusion d'articles ou d'interviews de personnalités, chercheurs ou autres, étrangers. Cela permet notamment d'avoir un aperçu de la manière dont ils approchent les sujets.

Bonne lecture !

Source : dans le texte
Publié par à Aucun commentaire:
Libellés : , , ,

lundi 26 août 2013

La sécurité de l’information est-elle un échec ? Que faire alors ? Ecce homo

Source : http://www.scoop.it
Aujourd'hui, j'ai le plaisir de vous informer de la publication du dernier volet de la série d'article consacrée à la sécurité, ses échecs et les solutions envisagées:

http://alliancegeostrategique.org/2013/08/27/la-securite-de-linformation-est-elle-un-echec-que-faire-alors-ecce-homo/

A toutes fins utiles, vous trouverez au début de l'article un lien vers l'ensemble des parutions précédentes.

Ce travail vient conclure une réflexion de presque 2 ans puisque le premier article avait été publié en octobre 2011. Il a été l'occasion de prendre un temps de recul alors que l'actualité accapare souvent les acteurs du domaine en les obligeant à réagir.

J'espère que vous y trouverez des idées intéressantes et peut-être même susceptible de vous aider dans votre quotidien.

La conclusion - remettre l'humain au centre - peut vous surprendre mais dans ces temps de crise et de questionnements sur nos modèles de société, il n'est pas délirant de prétendre trouver en cela une réponse.

Source : dans le texte


Publié par à 3 commentaires:
Libellés : , , , ,

Asia - the cybersecurity battleground : Audition de James Lewis

Découvrant grâce à E-Conflict, une des dernières parutions du CSIS, j'ai eu le plaisir de lire un texte agréable, issu d'une audition, bien pesé et apportant quelques idées nouvelles. En voici un florilège...

Tout d'abord, l'on doit ce texte à l'intervention de James Lewis s'exprimant sur le sujet de l'état de l'environnement "cybersécurité" en Asie. Notons qu'il s'agit d'un texte synthétique : tout lecteur qui rechercherait les preuves des assertions de M. Lewis serait déçu. Il s'agit plutôt d'un condensé de ses opinions, acquises pendant d'autres travaux. Une rapide recherche vous montrera que James Lewis est un habitué du sujet, plusieurs fois cité dans ce blog.

Voici les idées que l'on peut garder :

- La volonté des protagonistes (USA, Chine et autres) de limiter la portée de leurs actions en restant volontairement sous ce qui pourrait déclencher une guerre ;

- "Spying is not warfare " : cette citation car bien souvent, l'impression demeure que des faits d'espionnage sont cités à l'appui des questions de "cyberguerre" ;

- les actions d'espionnage en particulier chinoises auraient un impact régional décisif et auraient tendance à raidir les positions des voisins. En particulier, et c'est assez drôle, l'orateur qualifie les activités chinoises de "noisy", donc bruyantes et facile à détecter ;

N'étant pas spécialiste du domaine, on ne peut que constater que de nombreux cas sont rapportés et attribués ainsi. Pourtant, la difficulté de l'attribution au-delà de tout doute reste à ce jour très difficile ;

- il confirme également le déficit criant en matière de sécurité de la Chine, utilisateur immodéré de matériel contrefait et donc proie facile. Souvent évoqué, ce thème se fait plus rare ces derniers temps mais demeure vrai et ce, pour n'importe qui ! L'attaque n'est pas assimilable à la défense...

- Selon lui, l'activité d'espionnage, en particulier à vocation économique, n'est pas une démarche unifiée. L'impression qui se dégage est que si l'espionnage n'est pas systématiquement encouragée par les plus hautes autorités, celles-ci ne disposent plus vraiment des moyens de l'arrêter. D'une part, celui-ci serait désormais trop imbriqué avec la croissance économique et constitue un formidable moyen de gains. D'autre part, les entités responsables de ces acteurs sont parfois bien appuyées et elle-même "fortes" : à défaut d'une politique intelligente, une simple décision ne suffira pas à enrayer le système. D'une certaine manière, cela rappelle la difficulté à lutter contre la corruption ;

- le développement des normes et codes de conduite appliqués à la question des attaques informatiques est selon lui un facteur majeur dans l'avenir. L'approche russe et chinoise (Code of Conduct for Cyberspace) s'oppose encore aux approches développées par les USA et ses alliés. Il demeure cependant nécessaire d'utiliser autant que nécessaire les outils diplomatiques plutôt que la force ou la coercition qui contribueront à créer des situations sans intérêt pour toutes les parties.

En bref, un texte intéressant qui semble bien informé et qui propose une vision éclairée de la situation. On peut y trouver à redire mais l'ensemble demeure attractif notamment pour une certaine prudence dans le ton et les propos. N'hésitez pas à le lire pour y trouver ce qui m'aura échappé. 

Source : dans le texte



Publié par à Aucun commentaire:
Libellés : , , , , ,

vendredi 12 juillet 2013

Stratégie du "Big 7" : quelle efficacité ?

Nous, passionnés voire professionnels de SSI - ne partez pas les autres, c'était juste pour rire -, et plus généralement tout personnel ou toute entité ayant à traiter du risque se pose nécessairement la question de l'allocation des ressources.

De multiples facteurs ont en effet un impact sur la disponibilité des ressources que ce soit dans des entités publiques - à qui l'on réclame sans cesse de moins dépenser - que des entités privées - qui subissent une santé économique précaire à la suite d'une crise d'envergure.

A cela s'ajoute une complexité inhérente au métier "SSI" qui est de devoir gérer la précarité de la confiance. En deux mots, il s'agit de s'assurer que des fonctions ou des services critiques (compte en banques, impôts, paies, systèmes industriels...)  mais confiées au moins pour partie à des outils informatiques présentent un certain niveau de confiance.

L'analyse de risque puis sa gestion sont alors les outils privilégiés pour les acteurs et décideurs. Il s'agit de déterminer ce qui doit être protégé et contre quoi (en simplifiant!). Les ressources peuvent alors être allouées en fonction des risques qu'il faut ramener à un niveau acceptable, pour s'assurer contre ces risques (les transférer). On peut aussi n'affecter aucune ressource à un risque donné : soit on "prend" le risque pour utiliser une expression familière mais on peut également décider de supprimer l'activité génératrice du risque.

Tout cela n'est pas que du ressort du praticien SSI : celui-ci est à l'aise pour "matérialiser" les risques, les rendre crédibles et compréhensibles à ses décideurs. Mais la décision de prendre ou refuser un risque est par exemple du ressort d'un acteur à qui a été confié une responsabilité importante pour la vie de l'entreprise.

Certains risques sont plus facilement visibles que d'autres et les limiter pas nécessairement très complexe. La continuité d'activité n'est ainsi pas un métier évident mais les outils pour créer une capacité de résilience sont relativement nombreux. Une entité qui, par exemple, externalise tout ou partie de ses systèmes peut choisir son prestataire en fonction de sa capacité à lui offrir des multiples data-center éloignés. Les "cluster" et l'ensemble des équipements offrant des fonctionnalités de type "actif-actif" ou "actif-passif" sont autant d'exemples.

D'autres risques sont plus complexes à gérer comme la protection des informations de valeur pour l'entité (personnelles, contrats, listes de clients, développements..) ou s'assurer que le réseau ne soit pas envahi par des intrus. 

L'allocation des ressources intervient alors afin de mettre en oeuvre la démarche nécessaire pour gérer ces risques. Il existe pour cela plusieurs méthodes dont une découverte aujourd'hui durant la veille quotidienne. L'idée est de contrôler les "Big 7" dans un contexte de ressources contraints : il s'agit notamment dans l'idée formulée par l'auteur de l'article de s'attacher à mettre à jour les logiciels les plus connus et utilisés - à la fois par l'utilisateur mais aussi par les "pirates" -.

En s'inspirant des analyses des attaques récentes, l'auteur produit un modèle qui limite l'usage des ressources affectées à ce risque spécifique en contrôlant notamment ces 7 applications (le navigateur, Java, Acrobat Reader, Word, Excel, Power Point, Outlook). Il s'agit d'une part de s'assurer qu'ils soient fonctionnels et à jour et d'autre part de définir des profils d'usage à partir desquels on pourra identifier des divergences. Ces "déviances" du profil normal sont alors susceptibles de représenter des attaques et de déclencher une intervention.

L'idée semble excellente et en y réfléchissant un peu, on s'aperçoit qu'il s'agit d'une gestion "gaussienne" des risques. Si l'on considère la "population", c'est à dire le nombre d'attaques et les méthodes d'attaques, il s'ensuit - si l'on suit la logique - que le nombre d'attaques est très élevé (et donc la chance qu'elles se produisent) dés lors que vous "Big 7" ne sont pas ou mal gérés...

Avant de continuer, je vous invite à relire ces quelques applications des probabilités à la sécurité, la défense ou même la guerre...bonnes ou pas. Comme vous vous en doutez, cela n'a pas été sans effet sur cet article. C'est fait ? Continuons...

La problématique d'une gestion de ce type, qui conditionne l'allocation des ressources aux risques considérés comme "majeurs" est effectivement d'écarter les cas "limites" ou "extrêmes". En soi, cela n'est pas dommageable car on peut considérer que le fameux "Cygne noir" que vous avez pu lire dans les articles précédents ne restera que théorique.

Re-basculons un instant dans la SSI et considérons quelques faits supplémentaires :

- tout attaquant informatique est opportuniste. L'attaque peut survenir car la ressource qu'il acquiert aura une valeur tant qu'il trouve une vulnérabilité. La surface d'attaque est donc réduite et proche des "Big 7" et le temps qu'il consacrera sera limité.

- tout attaque ciblée n'est pas moins opportuniste ! La surface d'attaque est immense puisque chaque possibilité sera exploitée et il n'y a que peu de contrainte de temps. Dans ce genre de cas, on quitte le cas gaussien car la probabilité que soit utilisée les attaques "extrêmes" augmente de manière importante.

En bref, la stratégie des "Big 7" est efficace contre les attaques "moyennes" ou "classiques" mais ne le saura pas contre un attaquant motivé disposant de temps et/ou de ressources. Cela ne restreint pas la liste aux Etats car il me semble crédible d'y ajouter des organisations criminelles.

Il est également possible de considérer qu'une telle stratégie serait efficace dans le cas d'une entité pour qui la répartition des risques gaussienne est réelle et qui a principalement affaires à des risques moyens. Peu informatisée, ne gérant pas d'activités au profit de l'état, sans lien avec des activités financières...sont des critères qui peuvent qualifier une telle organisation.

Pour les autres, la répartition des risques me parait tout à fait différente car le "cygne noir" informatique a une portée réelle. De plus, et contrairement à d'autres secteurs, ce fameux événement très rare mais à très fort impact s'est, en quelque sorte, déjà produit. Des attaques de grande envergure ont eu lieu contre des organisations dont la sécurité apparaissait comme élevée.

Une telle méthode des risques parait donc limitée voire insuffisante. Une méthode alternative, comprenant la problématique d'allocation des ressources pourrait être :

- De définir des ressources liées à l'existence même de l'entité et d'adopter différentes "zones de risques" en fonction de l'impact potentiel sur l'activité ;

- Appliquer une forme de segmentation des activités, des personnels et des informations en fonction de ces "zones de risque"...L'objectif est de limiter l'inter-dépendance avec des zones de risques inférieurs par divers moyens d'organisations ou technique ;

- L'allocation des ressources peut alors être réalisée en fonction des impacts. Un avantage est né de cette répartition : les profils de risque de chaque "zone" est cohérent et il est probable que les ressources seront mieux employées que disséminées car elles pallieront moins à une multitude de risque très différents mais à des risques de nature proches.

En conclusion, le "Big 7" est une stratégie intéressante mais pas toujours adaptée. Intéressante au début car se fondant sur une approche rationnelle, il faut prendre en compte les contraintes du modèle sous-jacent. Le modèle alternatif n'est pas nécessairement meilleur mais à force d'inventer, nous produirons bien quelque chose !

Source : dans le texte


Publié par à Aucun commentaire:
Libellés : , , ,

lundi 1 juillet 2013

L'illusion du mieux où comment Snowden va rendre votre vie plus difficile !

Source : Gizmodo
L'affaire PRISM, les débats sur la charmante personnalité de celui qui en a révélé les grandes lignes génèrent de nombreuses réflexions. Certaines sont percutantes, d'autres moins. Dans les très bonnes, j'ai trouvé la lecture des analyses du Jester rafraîchissante à défaut de la partager entièrement. En français et tout aussi intéressante, je vous conseillerais celle-ci.

Tout cela est bel et bon et fait réagir de nombreux analyses et autres publicateurs (un mix entre ceux qui publient et les prédicateurs) enfiévrés au sujet de la vie privée, de la surveillance de masse ou encore du renseignement et de son efficacité. Si, une fois encore, la virulence des propos est omniprésente ainsi qu'une bonne dose d'opportunisme ou d'approximation, cela m'a surtout inspiré quelques réflexions liées à la sécurité.

En premier lieu, il n'est un secret pour personne que le fameux "facteur humain" est au coeur de l'histoire. La formulation même, franchement technocrate, explique en partie pourquoi ce sujet échappe en partie - pour ne pas dire totalement - aux praticiens de la sécurité. Et il est bien difficile de leur en imputer la responsabilité ! 

En effet, l'expert ou le spécialiste en SSI connait le problème et sa dangerosité potentielle. En revanche, le traiter requiert des "outils" autres et un environnement relativement complexe à mettre en oeuvre. N'hésitez pas à relire la série d'article sur la SSI co-rédigé avec l'Alliance Géostratégique et en particulier celui se consacrant aux aspects humains.

Visiblement, ce sujet n'est pas nouveau pour votre serviteur puisqu'il vous proposait ces quelques réflexions sur la nécessité de changer de vision à propos du problème situé entre la chaise et le clavier. L'idée globale est que le niveau de sécurité n'augmentera pas tant que l'utilisateur ne sera considéré que comme un problème. 

En ce qui me concerne, j'ai tendance à considérer qu'il existe une telle "imbrication" entre les salariés et le travail qu'il n'est pas possible de générer un niveau de sécurité sans s'appuyer sur ceux-ci...Le meilleur exemple est celui des comportements déviants générés lorsque les contraintes sont trop pressantes. On pourrait citer aussi la capacité de l'utilisateur à repérer les failles de son environnement immédiat et les signaler...ou pas.

Bref, après Bradley Manning, le cas Snowden n'est pas bon pour nous ! D'une part, cela illustre une forme d'impuissance de la sécurité au moins sur la gestion de l'humain. Vous me répondrez que Snowden est peut-être notre "cygne noir" (cf. également un autre blog allié). Après tout, c'est peut-être bien le cas !

Mais quoi qu'il en soit, il est à craindre que ces événements ne renforcent pas la confiance mutuelle entre les entreprises et leurs salariés. Pire encore, on pourrait craindre la mise en place d'un cercle vicieux qui nuirait de manière grave à la sécurité. 

Si par exemple, une entreprise prenait "peur" d'un éventuel futur Snowden et adoptait, de manière arbitraire, des mesures de confinement plus importantes des informations. Celles-ci, se traduisant par des mesures contraignantes et vécues comme agressives, les salariés n'auront alors aucune envie de s'attacher à leur entité et d'y apporter une forme de fidélité : il est à craindre que la sécurité baisse ou soit contournée. 

Nous ne saurions mieux conseiller les organisations de faire preuve d'une forme d'innovation managériale bienvenue afin de profiter de l'exemple - car autant le faire - pour renouveller les pratiques de sensibilisation et de de gestion de l'information en matière de SSI.

Comme quoi Snowden nous aura fait du mal à tous :D - pure provocation gratuite !

Source :

dans le text




Publié par à 2 commentaires:
Libellés : , , ,
Inscription à : Articles (Atom)