Introduction - billet n.37.5

Il restait à tirer les leçons de cet événement pour hausser le niveau de sécurité.

Depuis le piratage de ce blog en 2012, lors d'une conférence sur la sécurité informatique où j'étais invité comme conférencier pour parler de mes activités d'expert judiciaire (lire le billet "pwned"), je me suis intéressé de près aux questions de sécurité informatique. Mon premier réflexe a été de lire tout ce que je pouvais sur internet, et il y a une tonne de références.

Puis je me suis intéressé aux documents de l'ANSSI, référence en la matière, et en particulier à la méthode EBIOS. J'ai commencé par auditer mon périmètre personnel, mes pratiques un peu light et trop confiantes. J'ai ensuite modifié mes habitudes, et en particulier j'ai segmenté mes identités numériques : identité comme blogueur, identité comme professionnel, identité comme expert judiciaire, identité comme conseiller municipal, etc. La compromission d'une boite email de l'une de ces identités numériques ne doit pas impacter les autres. Enfin, j'espère.

Tout ce travail d'analyse a eu comme conséquence de mettre un peu d'ordre dans mes pratiques et hausser un peu mon niveau de sécurité : modification en profondeur de la politique de sécurité des systèmes d'information de mon entreprise, et étapes par étapes, amélioration des procédures et meilleure identification du périmètre de sécurisation. J'ai endossé, petit à petit, la fonction de RSSI, en plus de toutes les autres.

Ma politique en matière de sécurité informatique est assez simple : chaque compte informatique sera un jour piraté, chaque ordinateur sera un jour compromis et chaque utilisateur cliquera un jour sur un lien malicieux. Plutôt que de faire culpabiliser tout le monde sur ces sujets, j'essaye de mettre en place des outils pour anticiper l'intrusion, pour réparer la perte d'un poste de travail ou pour faciliter le redémarrage de l'activité en cas de compromission. Un mode "best effort" pragmatique mais organisé.

J'ai établi la liste des services rendus, à la mode ITIL, la liste des logiciels, la liste des risques, etc. Tout ce travail m'amenait vers une conclusion assez évidente : le logiciel informatisant notre cœur de métier, notre ERP, était agonisant. Il fallait d'urgence mener une opération de remplacement, une opération à cœur ouvert du système d'information.

A suivre...

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

La sécurité, un travail d'équipe (allégorie)

Photo © Mme Zythom (cliquez sur l'image pour l'agrandir)

Je me tiens au courant de l'actualité à travers de nombreux sites web, sélectionnés en fonction de mes centres d'intérêt, mais aussi en fonction de l'être humain qui rédige les articles que je lis.

Je teste régulièrement les logiciels d’agrégation des flux de syndication RSS/Atom et je suis plutôt satisfait du site Inoreader, même si leur message anti bloqueur de publicité commence à suffisamment m'agacer pour que j'envisage de partir voir ailleurs... Vous aurez néanmoins une idée d'une partie des sites que je suis, en consultant ma liste de liens sur le côté droit du blog (version web).

Parmi les gens que j'apprécie, et dont je ne rate aucun billet, il y a un certain Stéphane Bortzmeyer, que j'ai eu la chance de croiser en chair et en os lors de plusieurs conférences. J'aime la grande expertise qu'il possède et sa capacité à en publier des billets clairs, même si je le reconnais, j'ai parfois du mal à suivre le niveau...

C'est pourquoi j'ai un peu paniqué quand il m'a contacté pour me demander d'écrire la préface de son ouvrage "Cyberstructure". J'ai cherché sur Internet un tuto pour savoir comment écrire une préface et j'ai découvert à ma grande surprise que c'était maintenant enseigné au collège, et même un exercice assez basique...

J'ai donc beaucoup lu sur le sujet, et essayé de mettre en pratique les conseils des enseignants : donner envie sans dévoiler, mettre en valeur sans se mettre en valeur, etc. Stéphane et son éditeur ont accepté que je puisse reproduire cette préface sur mon blog. La voici.

Déclaration d'éventuels conflits d'intérêts : J'ai écrit la préface sur la base du tapuscrit numérique envoyé par Stéphane Bortzmeyer. Son éditeur m'a ensuite proposé, comme c'est semble-t-il l'usage, de recevoir des exemplaires gratuits de l'ouvrage final. J'ai refusé, et je me suis procuré avec mes propres deniers un exemplaire de cet excellent ouvrage que je recommande d'avoir dans toutes les bonnes bibliothèques : "Cyberstructure - L'Internet, un espace politique". L'ouvrage est pour tout public, et pas seulement pour les geeks, les nerds, les experts judiciaires ou les avocates. Je ne touche aucun droit sur les ventes, pas même en Ethereum. Je n'ai reçu aucune rémunération, et aucun animal n'a été maltraité durant nos échanges chiffrés.

------------------------------------------------------------------------------ 

Préface

Quand Stéphane Bortzmeyer m’a demandé d’écrire la préface de cet ouvrage, j’ai essayé de comprendre pourquoi il contactait un petit informaticien expert judiciaire de province, inconnu de tous IRL. En fait, la réponse fait partie de la magie d’internet : cet assemblage de réseaux informatiques qui relient des ordinateurs, relie également les gens entre eux et permet des rencontres qui auraient été improbables dans le monde réel. Car oui, j’ai eu la chance de rencontrer Stéphane Bortzmeyer, de lui parler et de lui serrer la main (je n’ai pas fait de selfie avec lui car je trouvais cela un peu ridicule à l’époque, mais je me soigne depuis).

Comme beaucoup d’internautes, je lis avec attention les textes que Stéphane Bortzmeyer publie sur son blog http://www.bortzmeyer.org/même si souvent leur contenu me semble a priori hors de portée, moi qui ne suis pas spécialiste des Request For Comments(RFC), ni du nommage internet sécurisé… L’éclairage qu’il apporte à ces sujets complexes permet de mieux comprendre comment fonctionne internet dans ces différents usages.

Aujourd’hui, tout le monde connaît internet, mais peu cherchent à en comprendre la dimension politique. Le livre que vous allez découvrir aborde ce sujet avec une prise de hauteur que peu d’experts techniques arrivent à avoir, en abordant par exemple la question de la neutralité de la technique, de la censure du web, de la vie privée, et bien d’autres encore. Stéphane Bortzmeyer montre ici toute sa capacité d’explication et partage avec nous sa vision humaniste du progrès technique.

Vous allez y trouver des réponses claires sur le fonctionnement d’internet, mais aussi des réflexions sur des points politiquement sensibles telles que la manière de prendre en compte les différentes langues humaines, ou l’influence des choix techniques sur l’exercice des droits humains.

En tant qu’expert judiciaire en informatique, j’ai dû me plonger, à la demande de magistrats, dans l’intimité numérique de nombreux citoyens, pour y rechercher des preuves éventuelles de leurs activités supposées criminelles. Cette violation légale du droit à la vie privée m’a amené à réfléchir sur le pouvoir qui m’était délégué par des lois votées par des femmes et hommes politiques qui n’ont pas toujours conscience de leurs impacts potentiels sur chaque citoyen. Un fait divers sordide entraîne souvent une réaction législative guidée par l’émotion de la population. Mais sommes-nous conscient de limiter nos libertés individuelles au nom d’une protection collective souvent illusoire ? Il faut ouvrir une réflexion.

Ce livre vous donnera beaucoup de réponses aux questions que vous vous posez sur le formidable outil qu’est internet. Mais il vous permettra surtout de redécouvrir une aptitude que nous possédions tous dans notre enfance : celle de se poser des questions. A vous ensuite d’essayer de trouver les bonnes réponses auprès de sources fiables. Ce livre en fait partie.

Je vous souhaite une lecture instructive.

Zythom, avec ma serviette de bain

Je vous souhaite à tous une bonne et heureuse année 2019. J'espère qu'elle vous sera agréable pour vous et vos proches.

De mon côté, je vais tout faire pour remonter la pente et reprendre une vie recentrée sur les choses importantes. Je pose ici une vidéo qui illustre bien cet état d'esprit :



La suite de la série "25 ans dans une startup" va reprendre après 3 mois d'interruption, mais à un rythme plus lent (un billet par semaine), toujours dans l'esprit de l'exercice d'écriture dont je parlais dans l'introduction. Je vais aussi intercaler d'autres billets sans rapport avec la série, mais plus près de ce que je fais dans le temps présent.

Comme je le disais dans le billet précédent, 2019 est pour moi une année de grands changements. Le blog va également changer d'orientation. J'en parlerai dans l'épilogue de la série des "25 ans dans une startup". Merci pour votre patience.

2019, c'est aussi un nombre qui a la propriété suivante : quand on l'écrit en binaire et qu'on compte de droite à gauche les nombres de bits identiques, le comptage est une suite strictement croissante :
11111100011 -> 2,3,6
La dernière fois, c'était avec 2017 (1,4,6) et la prochaine fois, ce sera avec 2032 (4,7).
De rien (source).

Zythom

Introduction - billet n.37

Je ne pensais pas que vous seriez aussi nombreux à suivre cette série de billets "25 ans dans une startup" et je vous en remercie.

Quand j'ai commencé la série, j'indiquais dans l'introduction que j'avais fait un point professionnel un peu éprouvant. Je n'ai pas encore abordé ce point dans la série, mais il se trouve que l'une de ses conséquences est en train de se dérouler actuellement, de manière plutôt surprenante pour moi, surtout quand je relis le billet "TeamVieux" (en même temps, je le cherchais un peu).

Comme la série s'approche de sa fin, et donc de l'instant présent, je suis obligé d'attendre que tout rentre dans l'ordre. C'est juste pour moi un mauvais moment à passer.

Je suspends donc la série pour quelques mois. Je vais en profiter pour finir le tome 7 des billets de ce blog et laisser passer l'orage jusque janvier, puis je finirai l'écriture de la série, avec quelques belles surprises à partager (et les explications de tous ces mystères). Enfin, cette série constituera l'essentiel du tome 8. Je rappelle que les tomes 1 à 6 sont disponibles gratuitement en téléchargement sur le blog (sans DRM) dans la rubrique Publications.

2019 sera pour moi une année de grands changements. Le blog va également changer d'orientation. J'en parlerai dans l'épilogue de la série des "25 ans dans une startup". Merci pour votre patience.

A suivre...

Extrait de http://salemoment.tumblr.com/ avec l'aimable autorisation de l'auteur Olivier Ka

Introduction - billet n.36

Pendant la tempête Xynthia de 2010, le service informatique de mon département avait été sinistré. Par solidarité avec les agents concernés, et bien que travaillant dans une entreprise privée (hébergée dans des locaux appartenant au département), j'étais allé leur donner un coup de main, certes modeste en regard des dégâts. Plusieurs d'entre eux avaient apprécié le geste. C'est dans les moments difficiles qu'on a besoin de soutiens.

Il se trouve qu'à ce moment-là, simplement parce que j'étais présent dans les locaux du département, et connu du DSI, j'ai assisté en spectateur externe à plusieurs réunions de gestion de crise, en particulier des réunions liées aux problèmes de communications téléphoniques (tous les réseaux téléphoniques étaient en panne). De cette époque, j'ai gardé dans mon téléphone plusieurs numéros d'urgence, et en particulier les numéros du personnel d'astreinte... Je ne m'en étais jamais servi, et c'est en cherchant dans les contacts de mon téléphone que je suis tombé dessus.

J'en essaye un, puis un autre, et à un moment un agent territorial me répond. Je lui expose mon problème, un peu incrédule sur l'aide qu'il va pouvoir m'accorder. Et là, un petit miracle se produit :

Lui : "C'est l'astreinte technique au téléphone. Je vais faire le nécessaire."

Moi : "Mais comment ça le nécessaire ?"

Lui : "Alors voilà : je vous fais livrer lundi par camion deux groupes électrogènes de forte puissance en container. Ils devraient être en service aussitôt. Ne vous inquiétez pas. L'expert technique du département passera aussitôt pour voir les dégâts et déclencher la remise en état. Bon week-end."

Le lundi, deux énormes containers étaient installés sur le parking et raccordés au réseau électrique de la startup. L'électricité était pleinement rétablie le mardi et tout le monde pouvait travailler.

Je n'en revenais pas.

J'entends souvent dans mon entourage des critiques sur les fonctionnaires. Mes parents étaient tous les deux instituteurs et vivaient pleinement et avec passion leur métier. Je connais donc la valeur et l'implication des agents du service public.

Mais le vivre et le voir à l’œuvre concrètement, cela m'a fait chaud au cœur.

Quelques semaines plus tard, les armoires haute tension étaient remplacées, les assurances versaient les indemnités. Ce cauchemar devenait de l'histoire ancienne.

Il restait à tirer les leçons de cet événement pour hausser le niveau de sécurité.

A suivre...

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.