samedi 14 novembre 2009

UK & Cyberdefense

Le Cyber Security Operations Center, organisme anglais en charge de toutes les questions relatives à la protection du cyberespace anglais devrait être opérationnel pour Mars 2010.

En charge également de la très "chaude" problématique des infrastructures vitales, il sera animé par 19 personnels avant d'envisager un élargissement des ressources humaines. Celles-ci devront être animées de "l'esprit hacker".

Il sera supervisé par le Cabinet Office qui gére également l'Office of Cyber Security, chargé quant à lui des stratégies et programmes transverses du gouvernement anglais. Le scope de cette agence est plutôt l'infrastructure IT britannique tandis que le CSOC privilégie la question des infrastructures critiques.

Source : http://news.zdnet.co.uk/security/0,1000000189,39877965,00.htm & http://news.zdnet.co.uk/security/0,1000000189,39667231,00.htm

dimanche 1 novembre 2009

FRANCE 24 : reportage sur la cyberguerre

Une émission consacrée à la "cyberguerre" par France 24. Son invité, Daniel VENTRE, a consacré plusieurs ouvrages très intéressants à la Guerre de l'Information. En particulier, il est un des rares experts à avoir publié une liste importante des efforts doctrinaux et organisationnels entrepris par plusieurs pays dans le domaine.

Sans que cela ne soit étonnant, je m'inscris un peu en faux contre certains propos alarmistes et mal pesés des journalistes dans la parti vidéo. En revanche, les leçons données et les propositions formulées par certains interviewés sont à retenir.

On remarquera le symbole qui représente la cyber-défense au début, lors de la conférence otanienne : une résultante entre la Loi, la Technique et les politiques. Autrement dit, une approche humaine/organisationnelle, une approche technique et une approche juridique. Éminemment vrai !

Source : http://www.france24.com/fr/20091026-cyberguerre-ANSSI-OTAN-cybercriminalit%C3%A9

Nouveau centre pour la NSA

Un nouveau centre dédié aux questions de cybersécurité est actuellement en cours de constructions à proximité de Salt Lake City dans la zone de la National Guard de l'UTAH. Parrainé par la NSA, ce centre s'inscrit dans la continuité de la Comprehensive National Cybersecurity Initiative lancée par l'ex-président G.W. Bush.

On retiendra le coût exorbitant (1,5 milliard de dollars) et les objectifs, à priori, de cette installation : fournir une capacité unifiée de connexion aux différentes agences et administrations américaines afin d'en améliorer la sécurité.

Source : http://www.computerworld.com/s/article/9139915/NSA_to_build_1.5B_cybersecurity_center_near_Salt_Lake_City

Conformité : bien mais peut faire mieux !

Une réaction intéressante encore une fois aux Etats-Unis où l'évaluation des politiques et pratiques de sécurité est très largement commentée. Vivek Kundra, membre du GAO (la cour des comptes américaine) s'est ainsi exprimé devant le Congrés et a émis l'hypothèse que le niveau de "cyber-sécurité" était encore trop bas notamment à cause d'une approche trop "scolaire" du FISMA.

Le FISMA est une loi qui définit les obligations relatives au management de la sécurité de l'information, notamment pour les administrations et autres agences américaines. Kundra dénonce à ce niveau une approche de type "conformité" tout à fait regrettable. En effet, tous les efforts entrepris en ce sens, bien que remarquable, ne sont pas aptes à garantir une sécurité de l'information efficace.

Certains experts ont déjà, par ailleurs, critiqué de telles approches "conformité" appliquées à l'ISO27002 qui engendrent des effets désastreux en termes de coûts sans parfois élever efficacement le niveau de sécurité. L'application de cette norme se concevant dans une démarche de management des risques et de mesures répondant aux risques existants et mésurés.

Un esprit taquin ajouterait par ailleurs que les obligatoires audits pratiqués aujourd'hui sont un peu dans la même veine. Ils répondent à un besoin ancien (prévenir les scandales de "type" ENRON) et s'ils apportent une forme de certitude sur les comptes et la bonne gestion des entreprises, ces mêmes audits n'ont pas été utiles pour prévenir la crise que nous connaissons aujourd'hui. Les obligations d'audit n'étant, en effet, pas prévues pour mesurer ces risques précis et les organisations contrôlées se focalisant sur le respects des principes et éléments garantissant un audit aux résultats favorables.

Il ne faut pas voir ici une critique de l'approche normative, bien au contraire, car elle est un élément majeur et indispensable mais les critiques de la GAO rappellent qu'au-delà des normes, la sécurité est parfois également une affaire d'intelligence et de bon sens.

Source : http://gcn.com/Articles/2009/10/30/Cybersecurity-hearing-Congress-Kundra.aspx?Page=1