Sécurité

La politique de divulgation de vulnérabilités au coeur de la gouvernance de cybersécurité

Cyberun gouvernance : la politique de divulgation de vulnérabilités
Par défaut

Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Je poursuis mes efforts de pédagogie autour de la divulgation coordonnée de vulnérabilités en démystifiant l’outil de gouvernance qu’est la politique de divulgation. L’article est à lire dans le 14e numéro de Cyberun. Le texte complet est ci-dessous.

Plus de services et de nouvelles fonctionnalités signifie toujours plus de code et de composants en interaction ; ce qui, à son tour, signifie une surface d’attaque toujours croissante. Ce constat est d’autant plus vrai avec les cycles agiles : les services arrivent plus rapidement sur le marché, mais trouver toutes les vulnérabilités avant la mise en production est quasiment impossible. Même si l’inspection des vulnérabilités à la conception (security by design) et pendant le développement est de plus en plus adoptée, ces approches excluent les besoins de sécurité d’exécution, où des mécanismes techniques externes au code sont à l’oeuvre.

Les inspections occasionnelles, telles que les tests d’intrusion annuels, prédominent. Bien qu’utiles pour la conformité, elles ne reflètent pas des menaces réalistes et ne tiennent pas compte de l’expansion de la surface d’attaque. Des vulnérabilités non corrigées persistent et peuvent ne jamais être découvertes par ces contrôles occasionnels, augmentant ainsi le risque de sécurité pour tous les acteurs légitimes.

la suite…

Divulgation coordonnée de vulnérabilités

Cyberun : divulgation coordonnée de vulnérabilités
Par défaut

Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Cette fois, ma contribution est sur l’un de mes sujets principaux : comment, quand on ne fait pas partie d’une organisation, on l’informe de problèmes techniques avec un impact sur la sécurité. L’article est à lire dans le 12e numéro de Cyberun. Le texte complet est ci-dessous.

De la qualité du code des applicatifs (sites web, développements « maison », etc.) dépend essentiellement leur sécurité. Que faire pour la renforcer et comment gérer les vulnérabilités ?

La divulgation coordonnée de vulnérabilités (CVD en bref pour Coordinated Vulnerability Disclosure) est le processus permettant une collaboration entre un hacker éthique et le responsable du SI. Les hackers éthiques peuvent significativement contribuer à accroître la sécurité numérique.

Toutefois, le « premier contact » est souvent difficile à établir. De plus, même lorsqu’une vulnérabilité est signalée, les responsables du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse à la divulgation publique, moyen de faire pression pour faire corriger la vulnérabilité.

la suite…

Le darkweb : leur entreprise ne connaît pas la crise

Le darkweb : leur entreprise ne connaît pas la crise
Par défaut

Ravie de contribuer une pleine page sur le darkweb ! Après en avoir écrit des dizaines dans La face cachée d’Internet, il reste important de continuer à suivre les évolutions du cyberespace. Ma contribution aborde le mythe qu’il s’agit d’un espace sans foi ni loi. Elle est à lire dans le 9e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous (j’ai ajouté des intertitres pour faciliter la lecture).

Activité en pleine croissance, les Cyberattacks-as-a-Service (CaaS) – mise à disposition de briques logicielles permettant une activité malveillante « simplifiée » – se révèle facilement sur le darkweb et illustre bien l’économie sous-jacente de la cybercriminalité.

la suite…

Les parcours atypiques, le nouveau standard des talents en cybersécurité ?

Recruter en cybersécurité
Par défaut

Ravie de contribuer une pleine page sur la question épineuse mais passionnante de la diversité dans la cybersécurité ! Ma contribution aborde les profils atypiques dans le domaine. Elle est à lire dans le 8e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous.

Nous oublions trop souvent que « diplôme » n’est pas synonyme de « bon professionnel » : le parcours dans son entièreté et l’expérience sont les compétences à valoriser.

Trop souvent encore, une vision sensibleement « ossifiée » sévit : pas de diplôme d’ingénieur, pas de poste en sécurité. Si, pour des postes plus seniors, l’interview avec des opérationnels précède souvent l’étape RH, cette dernière reste un passage obligé pour tout collaborateur qui débute dans le domaine de la cybersécurité. « Le candidat n’a pas le bon diplôme » est un argument prépondérant pour rejeter un CV.

la suite…

Le « darkweb » : sans foi ni loi, vraiment ?

Par défaut

Considéré à juste titre comme un espace où prolifèrent des activités malveillantes, le darkweb continue à faire des émules. Au-delà de l’aspect sensationnaliste de cet espace numérique, il convient de replacer sa signification et portée à sa juste place. J’ai écrit cet article sur invitation pour Les Grands Dossiers de la Diplomatie (n°52).

Le n°52 des Grands Dossiers de la Diplomatie est consacré à la géopolitique de la criminalité. J'ai l'honneur et le plaisir d'y traiter la cybercriminalité sur le darkweb.
Le n°52 des Grands Dossiers de la Diplomatie est consacré à la géopolitique de la criminalité. J’ai l’honneur et le plaisir d’y traiter la cybercriminalité sur le darkweb.
la suite…

On s’ennuie dans les transports ? Une solution : les podcasts

Here is the ultimate podcast list for infosec and data protection. Enjoy!
Par défaut

L’autre jour, je participais à une table ronde autour des opportunités professionnelles de la cybersécurité. L’évènement visait principalement à attirer davantage de femmes afin de diversifier et d’enrichir les talents que nous attirons dans le domaine, même si certain-es parmi nous ont insisté sur la diversité, qu’il s’agisse du genre, de l’origine sociale, etc.

L’une des questions principales était : comment puis-je entrer dans l’infosec ? Essayer de donner des conseils judicieux à ce sujet m’a fait réaliser que nous avons de nombreuses ressources pour acquérir des compétences nouvelles et/ou supplémentaires une fois qu’on travaille dans le domaine. Cependant, si vous êtes, disons, développeur-euse ou juriste, les choses sont plutôt difficiles.

la suite…

Comment ne pas écrire un guide de cybersécurité pour les dirigeants

Par défaut

J’ai lu le Guide de cybersécurité pour les dirigeants pour pas que vous ayez à le faire. Ou comment perdre une bonne occasion de sensibiliser…

Challenges et Eyrolles publient, le 23 février, un guide intitulé “L’essentiel de la sécurité numérique pour les dirigeants”. L’ouvrage est présenté comme “[l]e mode d’emploi facile d’accès pour être à jour et mieux éclairé face au nouveau risque numérique”. L’idée est excellente : il faut sensibiliser toujours davantage aux risques numériques, les personnes qui ont en charge la prise de décision. Ces derniers sont nombreux et de nature très variable. C’est encourageant de voir qu’enfin la gestion des risques rencontre le volet numérique.

Enfin, c’est ce que j’ai pensé… jusqu’au moment où j’ai commencé à lire. Déjà, pour l’obtenir, c’était un peu délicat : la personne qui me l’a envoyé en première disait que ça m’épargne la création d’un compte pour le télécharger chez Eyrolles où la navigation n’est pas en HTTPS, où il n’y a pas de TLS pour SMTP et où les machines ne sont pas à l’heure. Que doit-on conclure quant à l’importance de la sécurité de ses visiteurs dans ces conditions ? (C’est une question rhétorique.)

la suite…

“La face cachée d’Internet” : comprendre les enjeux du numérique

Mon dernier livre est dans les librairies ! Retour sur quelques mois d’écriture, intenses et gratifiants, et sur l’importance d’être interface entre les techos et les autres.
Par défaut

Mon dernier livre est dans les librairies ! Retour sur quelques mois d’écriture, intenses et gratifiants, et sur l’importance d’être interface entre les techos et les autres.

“La face cachée d’Internet” a pour but de démystifier des choses parfois terrifiantes mais le plus souvent, purement abstraites et qui, pense-t-on, n’arrivent qu’aux autres. Internet a un rôle extrêmement important dans nos vies, mais sait-on ce qui se passe derrière ? Ainsi, de quoi parle-t-on lorsqu’on dit piratage, diffusion de logiciels vérolés, attribution des attaques informatiques, surveillance ou encore vulnérabilités zero day ? Est-ce que tous les criminels sont des hackers — et inversement, — et se cachent-ils tous aux tréfonds du terrifiant “Darknet” ? Ce sont certaines des questions auxquelles nous tenterons de répondre, ensemble.

Commencer un livre est difficile, bien plus que le terminer. Ces quelques mois d’écriture ont été intenses : l’actualité l’a été, certes, mais pas seulement. L’effort de traduire la complexité des thématiques abordées en quelque chose de digeste, d’intelligible et de plaisant à lire a été important. Mais plus encore, j’ai fait un effort conscient de m’extraire de ma propre vision de choses vécues.

Internet, et globalement le numérique, est un des acteurs majeurs du monde dans lequel nous vivons. Ce livre vous aide à en saisir les enjeux.

La face cachée d’Internet
la suite…