Ranger sa maison, ranger sa tête #mykonmari

Ranger sa maison, c'est aussi et surtout ranger sa tête. Petite exploration de la méthode #mykonmari avec des trucs et astuces !
Par défaut

Après avoir longuement hésité, j’ai décidé qu’une façon chouette de faire sa rétrospective après neuf mois de confinement-télétravail-confinement-télétravail, c’est de parler rangement et maison. Cliché oblige, on est beaucoup resté-es à la maison en 2020. Est-ce que pour autant on a eu l’opportunité de ranger (sa maison, sa tête,…) ? La question n’est pas si vite répondue.

Je ne sais pas vous, mais pour moi, 2020 a été une assez bonne année. C’est vrai, je n’ai pas pu autant voyager que j’aurais aimé, ni autant retrouver des gens que j’apprécie. Mais j’ai pu me poser et me pauser sur des sujets significatifs. Ce qui, j’avoue, a été essentiel pour mon équilibre… et pour mon amour propre aussi.

L’un des trucs que j’ai saisi au vol est l’impact du rangement. J’ai toujours su que ça me nettoie la tête. Mais organiser mon environnement immédiat – qui est finalement mon environnement principal – est devenu essentiel avec l’année qui vient de s’écouler. J’avais déjà fait un tri vêtement à l’automne. Mais là, il s’agissait plutôt de se concentrer sur la maison plus largement : les vêtements et chaussures, c’est une chose ; mais quid des livres, bibelots et autres ustensiles de cuisine ?

la suite…

La politique de divulgation de vulnérabilités au coeur de la gouvernance de cybersécurité

Cyberun gouvernance : la politique de divulgation de vulnérabilités
Par défaut

Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Je poursuis mes efforts de pédagogie autour de la divulgation coordonnée de vulnérabilités en démystifiant l’outil de gouvernance qu’est la politique de divulgation. L’article est à lire dans le 14e numéro de Cyberun. Le texte complet est ci-dessous.

Plus de services et de nouvelles fonctionnalités signifie toujours plus de code et de composants en interaction ; ce qui, à son tour, signifie une surface d’attaque toujours croissante. Ce constat est d’autant plus vrai avec les cycles agiles : les services arrivent plus rapidement sur le marché, mais trouver toutes les vulnérabilités avant la mise en production est quasiment impossible. Même si l’inspection des vulnérabilités à la conception (security by design) et pendant le développement est de plus en plus adoptée, ces approches excluent les besoins de sécurité d’exécution, où des mécanismes techniques externes au code sont à l’oeuvre.

Les inspections occasionnelles, telles que les tests d’intrusion annuels, prédominent. Bien qu’utiles pour la conformité, elles ne reflètent pas des menaces réalistes et ne tiennent pas compte de l’expansion de la surface d’attaque. Des vulnérabilités non corrigées persistent et peuvent ne jamais être découvertes par ces contrôles occasionnels, augmentant ainsi le risque de sécurité pour tous les acteurs légitimes.

la suite…

J’ai lu : “Buzz”, une histoire du sextoy

J'ai lu : "Buzz", une histoire de sextoys
Par défaut

Avez-vous déjà cherché à connaître l’origine et les évolutions des jouets pour adultes ? Aussi appelés sextoys ou jouets sexuels, leur mention est quasi-systématiquement accompagnée de rires et d’incrédulité. Croyez-moi, je sais de quoi il retourne : j’ai entendu plein de blagounettes plus ou moins réussies avec mes confs sur la sécurité des sextoys connectés.

Il n’empêche que parler de sexualité est une chose normale. Il en va de même des pratiques sexuelles. Les sextoys font partie des pratiques, voire même peuvent revêtir une importance politique. Quelle que soit leur usage, cependant, l’évolution des pratiques en dit énormément sur les évolutions sociétales. Hallie Lieberman, journaliste et enseignante en Gender Studies à Georgia Tech, décrit l’histoire des sextoys en Amérique avec humour et subtilité.

la suite…

Divulgation coordonnée de vulnérabilités

Cyberun : divulgation coordonnée de vulnérabilités
Par défaut

Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Cette fois, ma contribution est sur l’un de mes sujets principaux : comment, quand on ne fait pas partie d’une organisation, on l’informe de problèmes techniques avec un impact sur la sécurité. L’article est à lire dans le 12e numéro de Cyberun. Le texte complet est ci-dessous.

De la qualité du code des applicatifs (sites web, développements “maison”, etc.) dépend essentiellement leur sécurité. Que faire pour la renforcer et comment gérer les vulnérabilités ?

La divulgation coordonnée de vulnérabilités (CVD en bref pour Coordinated Vulnerability Disclosure) est le processus permettant une collaboration entre un hacker éthique et le responsable du SI. Les hackers éthiques peuvent significativement contribuer à accroître la sécurité numérique.

Toutefois, le “premier contact” est souvent difficile à établir. De plus, même lorsqu’une vulnérabilité est signalée, les responsables du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse à la divulgation publique, moyen de faire pression pour faire corriger la vulnérabilité.

la suite…

Gérer son temps : bilan et conclusions

Gestion du temps : les habitudes durent plus longtemps que les objectifs
Par défaut

Ce billet conclut ma trilogie sur la thématique “gérer le temps”. Il aborde les limites des méthodes et – surtout – les outils que j’ai adoptés. Il fait également un bilan. L’enseignement le plus important que j’en tire est que les habitudes durent plus longtemps que les objectifs.

Dans mes précédents billets sur le sujet de la gestion du temps, on a parlé méthode et outils. J’ai attendu presque 7 mois après la mise en place de ma routine pour en faire un retour et un bilan. On va donc parler des choses que j’ai bien fait, de celles que j’ai loupées et de celles que j’ai changées. Buckle up, le temps de l’introspection est venu 🙂

la suite…

J’ai lu : “Bad Blood” de John Carreyrou

J'ai lu le livre Bad Blood
Par défaut

Avez-vous entendu parler de la folle histoire de la start-up californienne Theranos ? Créée en 2003, Theranos ambitionnait de révolutionner les tests sanguins. La promesse : diagnostiquer à partir d’une goutte de sang. Quelques années plus tard, la fondatrice est poursuivie en justice ; le diagnostic révolutionnaire était une affabulation exemplaire. Le journaliste d’investigation John Carreyrou décrit cette histoire de façon passionnante dans “Bad Blood” que j’ai lu et dont je fais une critique ci-dessous.

la suite…

S’organiser en télétravail pour mieux gérer son temps

Comment s'organiser et gérer son temps en télétravail
Par défaut

Les deux premiers épisodes de ma trilogie sur la gestion du temps et des tâches sont déjà en ligne (méthode ; outils), le troisième arrive prochainement. Cependant, le confinement pour cause COVID19 étant arrivé entre-temps, je pense qu’un aparté sur le télétravail s’impose.

Je ne vais pas répéter ce qui a déjà été dit par Korben ou par différents twittos. J’aimerais plutôt me concentrer sur les habitudes et l’attitude face à un rythme qui est, je crois, une nouveauté pour beaucoup. Entre les enfants, le fait de se retrouver 24/7 entièrement seul-e ou contraint-e de cohabiter avec au moins une autre personne et le boulot, la situation n’est pas simple. L’anxiété induite par le spectre d’une possible maladie dont on ignore encore beaucoup de choses ne fait qu’ajouter du stress.

Avant toute chose, j’aimerais insister sur un aspect crucial : le télétravail, surtout induit par la situation actuelle, n’est pas et ne doit pas être pris sous l’angle “je fais aussi proche de la réalité du bureau que possible”. On ne peut pas transposer un cadre de bureau à un contexte aussi particulier que la maison en conditions de confinement total. J’insiste lourdement sur ce point parce qu’il contribue à créer encore davantage de stress et de pression.

Ainsi, l’angle par lequel j’aborde le sujet du télétravail est toujours le même : faire en sorte que le pro n’empiète pas sur le perso et inversement. Il n’est pas question de tomber dans des travers productivistes frisant le ridicule (“entre mes tâches pro, je vais apprendre la harpe en m’occupant de mes petits, en cuisinant 12 nouveaux plats par semaine et en faisant 2h de yoga par jour”) qui nous expliquent qu’on peut produire encore plus en travaillant de chez soi. Plutôt, essayons de trouver notre propre rythme.

la suite…

Gérer son temps : quel(s) outil(s) pour moi ?

Pour chaque démarche il y a un outil dédié.
Par défaut

Ce billet est le deuxième d’une trilogie sur la thématique “gérer le temps” et aborde les outils que j’ai adoptés. Le dernier fera un bilan. Si ce n’est pas déjà fait, vous devriez lire le premier qui traite du pourquoi et du comment d’une telle nécessité.

Une fois que j’ai structuré une méthode, il s’est agi de la décliner en une démarche pragmatique. Bien sûr que tout est perfectible. Et bien sûr que ça le restera pour toujours : on évolue, nos besoins évoluent avec nous. La preuve : quand j’ai commencé à écrire cette trilogie, on allait toujours au bureau. Aujourd’hui quand je le publie, nous sommes en confinement total pour au moins 2 semaines. Je ne parlerai pas ici de COVID19 pour ne pas embrouiller le message 🙂

Avant toute chose, l’avertissement de service s’applique : je nomme des outils dont je me sers. Je ne suis ni payée par les sociétés qui les fournissent, ni souhaite l’être. Je parle de mes pratiques, sur mon blog, c’est tout.

la suite…

Gérer son temps : pourquoi et comment

Du temps pour soi
Par défaut

Ce billet est le premier d’une trilogie sur la thématique “gérer le temps” et traite du pourquoi et du comment d’une telle nécessité. Le deuxième traitera des outils que j’ai adoptés. Le dernier fera un bilan.

En novembre 2019, j’ai entrepris à revoir mes priorités. J’allais débuter une nouvelle aventure professionnelle. En parallèle, j’entamais les démarches pour terminer un projet entrepreneurial s’étant déroulé de la pire façon possible. Il était donc évident que ma vie était un peu chamboulée. Je me suis rendue compte que je passais mon temps à courir derrière un tas de sujets, je ne parvenais à finir que peu parmi ceux-là et que je n’avais plus de prise sur le déroulé des projets qui me tenaient à cœur.

Cela suggérait deux pain points : 1) des priorités mal placées ; 2) un temps mal organisé. Le point 1) avançait vers la résolution : je veux baisser un peu le nombre d’évènements où j’interviens pour davantage écrire ; je veux reprendre une lecture plus intensive ; etc. Quid du point 2) alors ?

la suite…

Le darkweb : leur entreprise ne connaît pas la crise

Le darkweb : leur entreprise ne connaît pas la crise
Par défaut

Ravie de contribuer une pleine page sur le darkweb ! Après en avoir écrit des dizaines dans La face cachée d’Internet, il reste important de continuer à suivre les évolutions du cyberespace. Ma contribution aborde le mythe qu’il s’agit d’un espace sans foi ni loi. Elle est à lire dans le 9e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous (j’ai ajouté des intertitres pour faciliter la lecture).

Activité en pleine croissance, les Cyberattacks-as-a-Service (CaaS) – mise à disposition de briques logicielles permettant une activité malveillante “simplifiée” – se révèle facilement sur le darkweb et illustre bien l’économie sous-jacente de la cybercriminalité.

la suite…

J’ai lu : “Les dernières heures” de Minette Walters

Par défaut

Je découvre Minette Walters et sa saga “Les dernières heures”. Cela fait un moment que je n’avais pas lu de fiction et, qui plus est, de polar historique. Alors, en cherchant à faire les cadeaux, j’ai décidé de m’en faire un sous la forme d’une découverte littéraire.

La 4e de couverture résume bien l’histoire :

Mois de juin de l’an 1348 : une épidémie monstrueuse s’abat sur le Dorset et décime peu à peu les habitants. Nobles et serfs meurent par milliers dans d’atroces souffrances.

Quand la pestilence frappe Develish, Lady Anne a l’audace de nommer un esclave comme régisseur. Ensemble, ils décident de mettre le domaine en quarantaine pour le protéger.

Bientôt, les stocks de vivres s’amenuisent et des tensions montent car l’isolement s’éternise. Les villageois craignent pour leur sécurité lorsqu’un événement terrible menace le fragile équilibre. Les gens de Develish sont en vie, mais pour combien de temps encore ? Et que découvriront-ils quand le temps sera venu pour eux de passer les douves ?

Pour ce début des vacances de Noël, je cherchais quelque chose de captivant, qui me transporte et qui se lit bien. Ce billet est une critique plutôt longue et contient quelques spoilers superficiels, donc si vous ne souhaitez pas lire plus loin, voici ma recommandation : ce n’est pas un chef d’œuvre littéraire mais l’écriture est cadencée, les descriptions ne s’étalent pas inutilement, les dialogues contribuant richement à la contextualisation. Ainsi, si vous avez envie de vous échapper par une journée pluvieuse, au coin du feu, c’est un roman sans prise de tête à la lecture fluide.

la suite…

Les dons 2019

Donation. Photo by Christian Dubovan on Unsplash
Par défaut

Comme tous les ans, je finalise ma campagne personnelle de dons. Contrairement à d’autres années, j’en parle publiquement. C’est important de le faire pour motiver d’autres personnes à contribuer et à soutenir les activités de recherche, de protection des personnes vulnérables, etc.

Voici donc ma liste :

  • Croix Rouge : je donne avec ma carte Ticket Restos/Edenred. De nombreuses applis permettent de le faire sans aucune difficulté (e.g. Frichti,…). Ainsi par ex. on peut faire 1€ tous les jours vu que le montant journalier est limité à 19€.
  • Planning familial : la page de dons est très bien faite et explique ce que permettent les différents montants. On peut donner par CB ou par chèque.
  • Internet Archive : la page de dons liste de nombreuses façons de faire un dons (CB, PayPal, diverses cryptomonnaies). Attention, organisme américain, donc pas de déductibilité fiscale en France.
  • Secours Populaire : la page propose de nombreuses façons de donner y compris par SMS ou encore en titres restaurant (tickets ou via différentes cartes type Edenred).
  • Institut Pasteur : c’est l’institut de recherche où j’ai passé de belles et passionnantes années dans une précédente vie 🙂 Son travail est extrêmement important, comme celui des autres centres de recherche, surtout en période de disette budgétaire. La page qui explique les raisons de soutenir et le formulaire de dons sont séparés ; cette dernière permet de se ré-identifier d’année en année si on privilégie le don ponctuel.
  • Observatoire International des Prisons, section française : les dons par CB sont privilégiés, même si on peut opter pour d’autres moyens.
  • La Cimade : je donne même si c’est écrit “crypté” sur leur page de dons 😉 on peut donner par CB, PayPal ou chèque.
  • Fondation AP-HP : dons récurrents ou uniques par CB.
  • OpenFoodFacts : les dons se font via HelloAsso que l’on peut soutenir par la même occasion.

D’autres ont donné à d’autres causes 🙂

Voici également une dépêche LinuxFr complète avec des éclaircissements sur les aspects fiscaux.

Les parcours atypiques, le nouveau standard des talents en cybersécurité ?

Recruter en cybersécurité
Par défaut

Ravie de contribuer une pleine page sur la question épineuse mais passionnante de la diversité dans la cybersécurité ! Ma contribution aborde les profils atypiques dans le domaine. Elle est à lire dans le 8e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous.

Nous oublions trop souvent que “diplôme” n’est pas synonyme de “bon professionnel” : le parcours dans son entièreté et l’expérience sont les compétences à valoriser.

Trop souvent encore, une vision sensibleement “ossifiée” sévit : pas de diplôme d’ingénieur, pas de poste en sécurité. Si, pour des postes plus seniors, l’interview avec des opérationnels précède souvent l’étape RH, cette dernière reste un passage obligé pour tout collaborateur qui débute dans le domaine de la cybersécurité. “Le candidat n’a pas le bon diplôme” est un argument prépondérant pour rejeter un CV.

la suite…

Organiser un évènement : 101 manières de vous vautrer pitoyablement

Par défaut

Maintenant que j’ai enfin géré les soucis techniques avec ce blog suite à la migration de 1&1 à OVH, voilà que je me prends à faire un billet de (mauvaise) humeur : les invitations à des évènements.

Je parle souvent en public, j’interviens également à des évènements privés (séminaires d’entreprise, etc.). Comme j’ai déjà eu l’occasion de le dire ailleurs, mon engagement suite à la publication de “La face cachée d’Internet” a été d’accompagner la lecture, de ne pas laisser seule face au livre la personne qui découvre le sujet complexe de la confiance au numérique. Cet engagement m’a amenée à parcourir les terres européennes en long et en large, parfois jusqu’à 3 fois par semaine et ce, en plus de mon travail. Fatiguant, épuisant même, mais la plupart du temps, terriblement satisfaisant sur le plan humain.

The elephant in the room, comme disent les anglo-saxons, est l’organisateur. En réalité, c’est cette fonction qui garantit la réussite d’un évènement. Et autant quand je faisais beaucoup d’associatif et quand je commençais mon activité d’indépendante (il y a plusieurs années, quoi), j’en organisais, autant depuis 3-4 ans, je ne fais pratiquement qu’à assister à des évènements. Et à force d’y assister, j’en ai vu plein, des organisateurs. Si j’ai décidé de sévèrement réduire ma participation à des évènements, c’est en grande partie à cause de la manière hallucinante (pour ne pas dire insultante) qu’ont beaucoup à aborder leurs potentiels intervenants. Florilège issu de mon expérience.

la suite…