lundi 26 août 2013

La sécurité de l’information est-elle un échec ? Que faire alors ? Ecce homo

Source : http://www.scoop.it
Aujourd'hui, j'ai le plaisir de vous informer de la publication du dernier volet de la série d'article consacrée à la sécurité, ses échecs et les solutions envisagées:

http://alliancegeostrategique.org/2013/08/27/la-securite-de-linformation-est-elle-un-echec-que-faire-alors-ecce-homo/

A toutes fins utiles, vous trouverez au début de l'article un lien vers l'ensemble des parutions précédentes.

Ce travail vient conclure une réflexion de presque 2 ans puisque le premier article avait été publié en octobre 2011. Il a été l'occasion de prendre un temps de recul alors que l'actualité accapare souvent les acteurs du domaine en les obligeant à réagir.

J'espère que vous y trouverez des idées intéressantes et peut-être même susceptible de vous aider dans votre quotidien.

La conclusion - remettre l'humain au centre - peut vous surprendre mais dans ces temps de crise et de questionnements sur nos modèles de société, il n'est pas délirant de prétendre trouver en cela une réponse.

Source : dans le texte


3 commentaires:

  1. Je pense que la sécurité informatique n'est pas un échec, il faut bien comprendre ses enjeux et limites et prendre en compte l'ensemble des facteurs (humains, organisationnels). Nous passons actuellement dans une nouvelle aire celui de la cybersécurité. Les entreprises l'on bien compris mais ne savent pas toujours pas où commencer. Restez simple et vous comprendrez que la sécurité ce n'est pas compliqué.

    RépondreSupprimer
  2. C'est votre opinion. Notez tout de même que nombreux sont ceux à dire exactement le contraire, de brillants techniciens aux cadres de haute volée. La profession dans son ensemble partage un certain constat d'échec : l'introduction de Hervé Schauer dans sa dernière lettre en est un autre exemple.

    Par ailleurs, des axiomes de type "restez simple" aurait déjà fonctionné si effectivement, la SSI était une démarche simple. Au contraire, le niveau ne s'améliore que très lentement et le nombres d'attaques et de crises a tendance à croître...

    Si vous aviez raison, ne croyez-vous pas que d'autres l'auraient déjà découvert ???

    RépondreSupprimer
  3. La sécurité informatique n'est pas un échec, c'est pire encore...
    Nous sommes en train de perdre la bataille de la sécurité de nos ordinateurs et de l’internet dans son ensemble. Un ordinateur sur quatre serait porteur d’un logiciel malveillant. Le nombre de logiciels malveillants est en constante augmentation, leur complexité aussi. Les attaques de type zero-days sont en progression. Les DDoS n’ont pas de réponse évidente. Il y a autant de gens sur les réseaux sociaux que d’ordinateurs dans les botnets. Une grande partie des ordinateurs sont mal protégés, voir tout simplement mal configurés. Les anti-virus, quand ils sont en place et à jour, ne détectent pas toutes les menaces. Les sociétés privées sont les maillons faibles des certificats utilisés par TLS et deviennent des cibles privilégiées. Les DNS sont régulièrement détournés...
    On essaie désespérément de nous faire croire que tout va bien (si on achète tel produit très chère).
    Même les standards de sécurités (FIPS 140-2 et critères communs) sont remis en question grâce à Edward Snowden (à zut, encore lui) :
    https://www.schneier.com/blog/archives/2013/10/breaking_taiwan.html
    http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?_r=0

    Remettre de l'humain dans la SSI, oui. Il y a deux mesures de temps en informatique :
    - le temps machine : la nanoseconde et moins ;
    - le temps humain : la seconde et plus.
    Il y a des choses pour lesquelles la machine est plus performante, et d'autres pour lesquelles l'humain est plus performant. Il devrait (...) être possible de faire traiter les problèmes de SSI sur une période de temps de la nanoseconde par la machine et les autres de l'ordre de la seconde par un opérateur humain.

    RépondreSupprimer