La politique de divulgation de vulnérabilités au coeur de la gouvernance de cybersécurité

Cyberun gouvernance : la politique de divulgation de vulnérabilités
Par défaut

Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Je poursuis mes efforts de pédagogie autour de la divulgation coordonnée de vulnérabilités en démystifiant l’outil de gouvernance qu’est la politique de divulgation. L’article est à lire dans le 14e numéro de Cyberun. Le texte complet est ci-dessous.

Plus de services et de nouvelles fonctionnalités signifie toujours plus de code et de composants en interaction ; ce qui, à son tour, signifie une surface d’attaque toujours croissante. Ce constat est d’autant plus vrai avec les cycles agiles : les services arrivent plus rapidement sur le marché, mais trouver toutes les vulnérabilités avant la mise en production est quasiment impossible. Même si l’inspection des vulnérabilités à la conception (security by design) et pendant le développement est de plus en plus adoptée, ces approches excluent les besoins de sécurité d’exécution, où des mécanismes techniques externes au code sont à l’oeuvre.

Les inspections occasionnelles, telles que les tests d’intrusion annuels, prédominent. Bien qu’utiles pour la conformité, elles ne reflètent pas des menaces réalistes et ne tiennent pas compte de l’expansion de la surface d’attaque. Des vulnérabilités non corrigées persistent et peuvent ne jamais être découvertes par ces contrôles occasionnels, augmentant ainsi le risque de sécurité pour tous les acteurs légitimes.

la suite…

Divulgation coordonnée de vulnérabilités

Cyberun : divulgation coordonnée de vulnérabilités
Par défaut

Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Cette fois, ma contribution est sur l’un de mes sujets principaux : comment, quand on ne fait pas partie d’une organisation, on l’informe de problèmes techniques avec un impact sur la sécurité. L’article est à lire dans le 12e numéro de Cyberun. Le texte complet est ci-dessous.

De la qualité du code des applicatifs (sites web, développements « maison », etc.) dépend essentiellement leur sécurité. Que faire pour la renforcer et comment gérer les vulnérabilités ?

La divulgation coordonnée de vulnérabilités (CVD en bref pour Coordinated Vulnerability Disclosure) est le processus permettant une collaboration entre un hacker éthique et le responsable du SI. Les hackers éthiques peuvent significativement contribuer à accroître la sécurité numérique.

Toutefois, le « premier contact » est souvent difficile à établir. De plus, même lorsqu’une vulnérabilité est signalée, les responsables du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse à la divulgation publique, moyen de faire pression pour faire corriger la vulnérabilité.

la suite…

Le darkweb : leur entreprise ne connaît pas la crise

Le darkweb : leur entreprise ne connaît pas la crise
Par défaut

Ravie de contribuer une pleine page sur le darkweb ! Après en avoir écrit des dizaines dans La face cachée d’Internet, il reste important de continuer à suivre les évolutions du cyberespace. Ma contribution aborde le mythe qu’il s’agit d’un espace sans foi ni loi. Elle est à lire dans le 9e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous (j’ai ajouté des intertitres pour faciliter la lecture).

Activité en pleine croissance, les Cyberattacks-as-a-Service (CaaS) – mise à disposition de briques logicielles permettant une activité malveillante « simplifiée » – se révèle facilement sur le darkweb et illustre bien l’économie sous-jacente de la cybercriminalité.

la suite…

Les parcours atypiques, le nouveau standard des talents en cybersécurité ?

Recruter en cybersécurité
Par défaut

Ravie de contribuer une pleine page sur la question épineuse mais passionnante de la diversité dans la cybersécurité ! Ma contribution aborde les profils atypiques dans le domaine. Elle est à lire dans le 8e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous.

Nous oublions trop souvent que « diplôme » n’est pas synonyme de « bon professionnel » : le parcours dans son entièreté et l’expérience sont les compétences à valoriser.

Trop souvent encore, une vision sensibleement « ossifiée » sévit : pas de diplôme d’ingénieur, pas de poste en sécurité. Si, pour des postes plus seniors, l’interview avec des opérationnels précède souvent l’étape RH, cette dernière reste un passage obligé pour tout collaborateur qui débute dans le domaine de la cybersécurité. « Le candidat n’a pas le bon diplôme » est un argument prépondérant pour rejeter un CV.

la suite…

Le « darkweb » : sans foi ni loi, vraiment ?

Par défaut

Considéré à juste titre comme un espace où prolifèrent des activités malveillantes, le darkweb continue à faire des émules. Au-delà de l’aspect sensationnaliste de cet espace numérique, il convient de replacer sa signification et portée à sa juste place. J’ai écrit cet article sur invitation pour Les Grands Dossiers de la Diplomatie (n°52).

Le n°52 des Grands Dossiers de la Diplomatie est consacré à la géopolitique de la criminalité. J'ai l'honneur et le plaisir d'y traiter la cybercriminalité sur le darkweb.
Le n°52 des Grands Dossiers de la Diplomatie est consacré à la géopolitique de la criminalité. J’ai l’honneur et le plaisir d’y traiter la cybercriminalité sur le darkweb.
la suite…