https://linc.cnil.fr/quand-la-chine-cible-une-minorite-grace-lintelligence-artificielle
Philippe WERLE
SSI RH DCP – 540 Million Facebook User Records Found On Unprotected Amazon Servers
thehackernews.com
540 Million Facebook User Records Found On Unprotected Amazon Servers
April 03, 2019
3-4 minutes
facebook app database leak
« First, the social media company was caught asking some of its new users to share passwords for their registered email accounts and now…
…the bad week gets worse with a new privacy breach.
More than half a billion records of millions of Facebook users have been found exposed on unprotected Amazon cloud servers.
The exposed datasets do not directly come from Facebook; instead, they were collected and unsecurely stored online by third-party Facebook app developers.
Researchers at the cybersecurity firm UpGuard today revealed that they discovered two datasets—one from a Mexican media company called Cultura Colectiva and another from a Facebook-integrated app called « At the pool »—both left publicly accessible on the Internet.
facebook app database
More than 146 GB of data collected by Cultura Colectiva contains over 540 million Facebook user records, including comments, likes, reactions, account names, Facebook user IDs, and more.
The second dataset belonging to « At the Pool » app contains information about users’ friends, likes, groups, and checked-in locations, as well as « names, plaintext passwords and email addresses for 22,000 people. »
Though UpGuard believes the plaintext passwords found in the database were for the At the Pool app, and not for users’ Facebook accounts, given the fact that people frequently re-use the same passwords for multiple apps, many of the leaked passwords could be used to access Facebook accounts.
« As Facebook faces scrutiny over its data stewardship practices, they have made efforts to reduce third-party access. But as these exposures show, the data genie cannot be put back in the bottle. Data about Facebook users have been spread far beyond the bounds of what Facebook can control today, » experts at UpGuard said.
Both datasets were stored in unsecured Amazon S3 buckets, which have now been secured and taken offline after Upguard, Facebook and media contacted Amazon.
This is not the first time third-party companies have collected or misused Facebook data and sometimes leaked it to the public.
The most famous incident is the Cambridge Analytica scandal wherein the political data firm improperly gathered and misused data on 87 million users through a seemingly innocuous quiz app, for which the social media giant is facing £500,000 EU fine.
Though Facebook has since then tightened up its privacy controls ensuring apps use their access appropriately, the social media company is still facing intense pressure and criticism for not doing enough to offer better privacy and security to its 2.3 billion users. »
https://thehackernews.com/2019/04/facebook-app-database.html
SSI RH – Game Of Thrones, série la plus touchée par les malwares
undernews.fr
Game Of Thrones, série la plus touchée par les malwares
8-10 minutes
Les auteurs de malware ont déjà gagné « Le trône de fer » ! Dimanche 14 avril, la diffusion de la série la plus populaire au monde, Game Of Thrones, reprenait sur la chaîne américaine HBO avec la saison 8. Après 2 ans d’absence, les inconditionnels de la série étaient impatients. Il n’aura pas fallu attendre plus d’une semaine pour voir la première fuite de cette ultime saison. L’épisode 2 de la série était disponible dès samedi, avant même sa diffusion aux Etats-Unis. Mais attention, télécharger cet épisode n’était pas sans risque.
Tribune par Christopher Louie, CISSP, Sales Engineer, Zscaler.
La série la plus utilisée au monde pour propager des malwares !
Alors que des millions de personnes se préparaient à regarder Game of Thrones, une foule d’activités se déroulait en coulisses pour assurer une première sans fausse note. Pour cette grande occasion, la chaîne avait augmenté la capacité de ses réseaux de diffusion de contenu (CDN) et embauché davantage de personnel pour plus de réactivité. Après le crash de 2017, aucune erreur n’était permise. Pendant ce temps, les auteurs de malware augmentaient également leurs capacités et préparaient leurs campagnes en sachant qu’ils disposaient d’un grand nombre de cibles. C’est pour cela que les chercheurs en cybersécurité ont donné à Game Of Thrones le titre de « série la plus touchée par les malwares ».
Game of Thrones est la série la plus populaire à travers le monde. Pour la regarder, il faut être abonné d’une chaîne câblée premium ou utiliser une application de streaming dédiée. Mais, en raison d’accords de licence et de contrats, la série n’a, pendant longtemps, pas été légalement accessible dans de nombreuses régions du monde. Jusqu’à la 5e saison, beaucoup de personnes recevaient les épisodes des semaines ou des mois après leur diffusion aux États-Unis. Pour faire face à leur propre frustration, nombreux sont ceux qui ont commencé à pirater la série. Il n’est donc pas étonnant que le 1er épisode de la saison 8 ait été téléchargé illégalement 55 millions de fois, un record. Dans ce contexte, Game Of Thrones et HBO doivent se préparer à tous les abus.
De multiples techniques d’attaque
La plus ancienne : faire de la publicité pour des sites web avec de faux liens de streaming ou de téléchargements. Les réseaux sociaux, tels que Twitter, Reddit et Twitch.tv, permettent de donner à ces faux liens un public encore plus large. Le fait de cliquer sur l’un de ces liens déclenche généralement une attaque d’ingénierie sociale pour amener l’utilisateur à télécharger et installer un « lecteur » ou un « codec » spécial pour regarder la série depuis un site Web. Même si le site Web charge un flux vidéo où l’utilisateur peut regarder la série, d’autres éléments malveillants sur la page Web peuvent charger et attaquer le système ou le navigateur.
La plus populaire : utiliser le protocole BitTorrent peer-to-peer décentralisé pour « partager » le fichier avec d’autres utilisateurs. De par sa conception, le protocole BitTorrent ne peut pas être arrêté à partir d’un seul emplacement. Aucun ordre de retrait ne forcera un fournisseur de services à cesser de partager la série. En réponse à ce dilemme, des créateurs de contenu comme HBO se sont tournés vers le droit d’auteur et le système juridique en envoyant des avis de retrait aux utilisateurs qui téléchargent illégalement la série, les menaçant souvent de poursuites judiciaires si les agissements continuent. En raison de la nature décentralisée de BitTorrent, personne ne peut réglementer l’échange de fichiers afin de s’assurer que seuls les fichiers légitimes soient échangés et qu’aucun malware ne soit ajouté. Les auteurs de malware profitent pleinement de ce manque de surveillance pour diffuser de faux fichiers vidéo ayant l’air corrompus lorsqu’un utilisateur tente de l’ouvrir. Dans ces fichiers vidéo, on trouve un fichier readme.txt qui indique à l’utilisateur de télécharger un lecteur ou codec spécial pour visionner la vidéo téléchargée. Comme dans l’exemple précédent, il s’agit d’une attaque d’ingénierie sociale destinée à inciter les utilisateurs à installer des logiciels malveillants sur leurs systèmes.
La plus ingénieuse : elle implique une copie légitime du fichier vidéo et un fichier de sous-titres malveillants. En 2017, les chercheurs en sécurité ont découvert une vulnérabilité dans de nombreuses applications de lecture vidéo, y compris le très populaire VLC, où un fichier de sous-titres malicieusement conçu pouvait conduire à l’exécution de code à distance. Bien que la plupart des lecteurs soient sécurisés, le processeur de sous-titres est un interpréteur. Son code n’est pas scruté autant que l’application du lecteur principal. Par conséquent, les utilisateurs qui regardent des fichiers vidéo piratés chargent en même temps du code malveillant.
Les sites et plateformes de diffusion légale, également victimes
Les sites Web légitimes où les utilisateurs paient pour regarder légalement les épisodes de la série ne sont pas non plus à l’abri des comportements malveillants. En 2017, Showtime a été la cible d’une attaque par injection de code malveillant dans laquelle des abonnés se sont fait voler leurs cycles CPU pour exploiter, pour les attaquants, la crypto-monnaie Monero. En 2018, YouTube a également été frappé par une campagne de publicité malveillante qui a incité les téléspectateurs à charger des publicités remplies de JavaScript qui minaient Monero au nom des pirates. Même lorsque les utilisateurs ont de bonnes intentions et paient pour les services de streaming, ils peuvent être la cible de cyberattaques.
De nombreux moyens de défense
Il existe de nombreux moyens de défense que les entreprises peuvent déployer afin de réduire les risques pour les amateurs de la série. De nombreuses solutions de sécurité « assez bonnes » s’appuient sur la réputation et les listes « top 1000 » pour effectuer l’inspection du contenu en raison des limitations de la plate-forme ou du matériel, en particulier lors de l’inspection SSL. Les CDN et les « sites Web de confiance » tels que YouTube et Showtime sont exemptés de l’inspection pour économiser de précieux cycles CPU et ainsi éviter d’affecter l’expérience utilisateur. Les solutions de sécurité qui n’évoluent pas vers le cloud ou qui n’ont pas été conçues pour l’inspection SSL sont souvent confrontées à des problèmes de performance une fois que toutes les catégories de trafic sont définies pour inspection.
Les proxies de sécurité Cloud analyseront chaque octet de données indépendamment de la destination de l’URL ou de la réputation du site. Cette analyse, à l’aide de l’inspection SSL, est essentielle pour empêcher les pirates de tirer parti des lacunes des autres solutions de sécurité. Le contrôle du type de fichier garantit que les utilisateurs ne téléchargent pas de fichiers exécutables (EXE) déguisés en faux lecteurs ou codecs. Un bac à sable Cloud permet aux entreprises de faire exploser un fichier inconnu dans un environnement contrôlé et de rendre un verdict avant que les utilisateurs ne soient autorisés à télécharger de fichiers douteux. Un pare-feu de nouvelle génération basé sur le cloud peut bloquer les applications de port-hopping telles que BitTorrent. Il protège également les entreprises contre les risques juridiques, comme techniques, associés au téléchargement de contenus illégaux et douteux. Cela sans qu’aucun matériel ne soit requis.
Les auteurs de malware et les attaquants profitent souvent d’événements internationaux pour catalyser leurs campagnes d’attaque. Les amateurs de Game of Thrones attendent depuis près de deux ans le début de la dernière saison et les pirates se nourrissent de cette impatience pour répandre leurs malwares chez les moins méfiants d’entre eux. Le cadre d’exigences légales et réglementaires oblige souvent les utilisateurs à passer par des services de streaming douteux ou illégaux, même s’ils souhaitent payer pour le service. Les solutions de sécurité « suffisantes » révèlent de nombreuses failles que les attaquants exploitent, telles que la diffusion de malware via des sites Web « de confiance » et le chiffrement SSL ou TLS.
SSI CI APT 10 – Une intrusion chinoise chez Airbus visait des secrets industriels
cyberguerre.numerama.com
Une intrusion chinoise chez Airbus visait des secrets industriels
Par Corentin Durand
2-3 minutes
Une semaine après l’annonce d’un incident chez Airbus, des détails sur l’attaque commencent à être révélés.
Il y a une semaine, Airbus annonçait avoir été victime d’une attaque informatique. L’entreprise européenne restait vague sur les conséquences de l’incident et évoquait « un accès non autorisé aux données de l’entreprise » par des attaquants non identifiés. Récemment, le magazine Challenges éclairait cette actualité plus précisément : selon des sources concordantes, l’entreprise aurait subi une attaque vraisemblablement venue de Chine et qui visait des savoirs-faire de l’équipementier.
L’attaque, insistent les sources de l’article, visait à obtenir des documents techniques à la certification des avions. Il s’agit de documents sensibles détaillant de nombreux secrets industriels du géant européen. En outre, l’attaque pourrait être rattachée à la cellule chinoise APT 10 selon les enquêteurs. Pour FireEye, qui suit ce groupe depuis 2009, APT 10 « sert manifestement les intérêts des services de renseignement chinois, tant dans les domaines militaires que de l’intelligence économique ».
Mircea Iancu
Les enquêteurs avancent que l’attaque aurait eu lieu selon un mode opératoire ciblant d’abord un sous-traitant du géant pour l’atteindre. En outre, des employés seraient suspectés d’avoir été complices des hackeurs. Cette information rappelle le cas du piratage de Safran en Chine où des employés avaient été mis à contribution pour pénétrer les systèmes de l’entreprise française. Les similarités entre ces deux affaires ne s’arrêtent pas là puisque déjà à l’époque, les pirates chinois travaillaient pour les services de renseignements et, par extension, pour l’industrie aéronautique nationale.
SSI RH DCP – Comment Google met à la disposition des enquêteurs américains sa gigantesque base de données Sensorvault
cyberguerre.numerama.com
Comment Google met à la disposition des enquêteurs américains sa gigantesque base de données Sensorvault
Par Grégoire Huvelin
6-8 minutes
Sensorvault, une gargantuesque base de données créée par Google, s’est imposée comme un outil presque indispensable pour les enquêteurs américains. Mais son utilisation pose de nombreuses questions quant au respect de la vie privée des utilisateurs. C’est ce que démontre un long article paru dans les colonnes du New York Times.
La réputation du New York Times ne s’est pas bâtie en un claquement de doigt. La publication d’enquêtes et d’articles approfondis ont construit sa renommée au fil des années, propulsant le média américain parmi les quotidiens les plus respectés du monde. L’une des dernières enquêtes parue sur son site reflète parfaitement son travail journalistique de qualité.
« Tracking Phones, Google Is a Dragnet for the Police » (que l’on pourrait traduire maladroitement par : « Traceurs de téléphones : quand Google sert de nasse à la police ») raconte l’histoire de Sensorvault, une gigantesque base de données créée par Google, qui enregistre les déplacements de centaines de millions d’utilisateurs à travers le monde depuis déjà presque dix ans. Sensorvault retrace nos vies, voire les traque. C’est un journal de bord capable de vous donner votre emplacement exact à une date et une heure précise.
Sensorvault, un outil de plus en plus prisé
Mais Sensorvault s’avère être une mine d’or d’informations pour les enquêteurs américains, révèle le NYT. Depuis plusieurs mois, cet outil ô combien précieux fait l’objet d’une certaine convoitise de la part des forces de l’ordre. Grâce à des mandats présentés au service juridique de Google, ces dernières disposent d’une autorisation pour accéder à cette immense base de données.
Le colosse aux quatre couleurs se doit alors de collaborer en fournissant des informations précises selon des zones de recherche prédéfinies. Le fait est que le nombre de mandats a visiblement explosé au cours des six derniers mois, selon des employés de la compagnie californienne. Jusqu’à 180 demandes ont été enregistrées en une semaine. Une tendance en très forte hausse, depuis son inauguration en 2016.
L’allée d’un datacenter. // Crédit photo : Foo Bar via Unsplash.
Ces « mandats géolocalisés », comme les nomme le média américain, s’appliquent à toutes sortes d’affaires : du vol à l’agression sexuelle en passant par l’incendie criminel, au meurtre et aux attentats à la bombe. Pour illustrer ses propos, le New York Times prend l’exemple des attentats d’Austin (Texas) survenus en 2018 : trois bombes ont explosé aux alentours de la ville. Au regard de la situation d’urgence, le FBI a fait appel à Sensorvault suite à l’obtention d’un mandat.
L’enquête s’est alors décomposée en plusieurs étapes : en premier lieu, une zone de recherche ciblée (le lieu de l’explosion) a été définie par les détectives. Au sein de cette zone, un certain nombre d’utilisateurs apparaissait dans les bases de données. Pour respecter leur vie privée, Google leur a attribué un numéro d’identification. Le FBI a ensuite analysé la data récoltée et les positions jugées suspectes qui revenaient sur les différents lieux des explosions.
Le respect de la vie privée remis en cause
Mais la puissance de Sensorvault ouvre bien d’autres portes : l’historique des déplacements d’un utilisateur au-delà de la zone de recherche établie par le mandat est également répertorié. Lorsque les policiers se cantonnent à un secteur restreint, et qu’un suspect ou un témoin semble avoir été identifié, alors Google est en mesure de fournir leur identité. Dans le cas de l’affaire d’Austin, le suspect s’est suicidé trois jours après l’explosion d’un quatrième explosif.
Dans quelle mesure Sensorvault a épaulé le Federal Bureau of Investigation ? Une porte-parole de l’agence américaine a refusé de rentrer dans les détails : il n’y a aucune discussion à avoir sur les questions relatives à la technique, s’est-elle justifiée. D’autres enquêteurs américains ont cependant salué la précision des données recueillies dans le cadre d’affaires autres que celle d’Austin.
Vue spatiale des Etats-Unis. // Crédit photo : NASA via Unsplash.
Comme la majorité des outils, Sensorvault a ses limites. Les détectives dépendent en effet des délais plus ou moins longs imposés par Google : entre quatre semaines et six mois selon les enquêtes. Cette base de données soulève également des nouvelles questions juridiques. Orin Kerr, professeur de droit à l’Université de Californie du Sud et spécialiste du droit pénal dans le domaine du numérique, s’interroge par exemple sur le respect de la vie privée des personnes innocentes.
Une autre affaire, l’affaire Molina a notamment retenu l’attention du New York Times. Jorge Molina a été accusé à tort dans le cadre d’une enquête pour meurtre. Géolocalisée à proximité du lieu du crime, la position de son téléphone portable a été jugée suspecte par les policiers. D’autres preuves circonstancielles fournies par la vidéosurveillance ne plaidaient pas en sa faveur : M. Molina possédait une Honda Civic blanche, soit le même modèle de véhicule duquel les coups de feu ont été tirés. Mais aucun visuel de la plaque d’immatriculation, ni du suspect, ne permettait de l’identifier clairement.
Sensorvault, une vocation ratée ?
Après une semaine passé derrière les barreaux, Jorge Molina a été relâché. L’ex-petit ami de sa mère, repéré à plusieurs reprises au volant de la fameuse Honda Civic blanche, est devenu le suspect numéro un. Touché par cet événement, et arrêté quelques semaines plus tôt sur son lieu de travail, Jorge Molina a perdu son emploi dans la foulée. Au même titre que sa voiture, saisie pour le bien de l’enquête. Difficile de parler de simples dommages collatéraux dans ce cas.
Pour des employés de Google, Sensorvault n’a pas été conçu pour répondre aux besoins des forces de l’ordre. Les différentes affaires susmentionnées prouvent pourtant le contraire. Le procureur principal de l’Etat de Washington, en la personne de Gary Ernsdorff, a tenu à rassurer les plus sceptiques : « Nous n’allons pas inculper n’importe qui parce que Google a dit que tel ou tel suspect se trouvait à cet endroit ». Le cas de Jorge Molina aurait, en plus de le contredire, tendance à être très inquiétant.
ANSSI – Rapport annuel 2018
Rapport annuel 2018 : construisons ensemble la confiance numérique de demain
5-7 minutes
Plus prospectif que les éditions précédentes et fruit d’un travail collectif, le rapport annuel de l’ANSSI se veut être un véritable outil de réflexion sur les enjeux de la cybersécurité.
L’actualité opérationnelle de l’agence en 2018 a permis d’établir les grandes tendances de la menace observée en France et en Europe. Face à ces menaces, l’agence a déployé plusieurs stratégies de réponse. D’abord, en resserrant les liens avec ses partenaires, au niveau national comme européen. Ensuite, en créant de nouveaux cadres d’échanges pour s’ouvrir et anticiper les problématiques du futur. Devant l’immensité des travaux à accomplir, l’objectif est de construire, dans un élan collectif, la confiance numérique de demain.
Analyse de la menace en 2018
Couverture du rapport annuel 2018
En 2018, l’activité opérationnelle de l’agence s’est caractérisée par la variété de ses interventions, des signalements aux incidents de sécurité en passant par la conduite d’opérations de cyberdéfense. Cette capacité de réaction est soutenue par une connaissance fine de la menace complétée par les échanges que l’ANSSI entretient avec ses partenaires.
Si les opérations de sabotage restent les plus visibles, l’espionnage est sans doute le risque qui pèse le plus fortement sur les organisations. Il a été une préoccupation majeure pour l’ANSSI en 2018. Discrets, patients et bénéficiant de ressources importantes, certains attaquant semblent préparer les conflits de le demain en s’intéressant à des secteurs particulièrement critiques (défense, santé, recherche, etc.). L’exploitation des relations de confiance entre partenaires en vue de mener des attaques indirectes constitue également un champ de préoccupation majeur.
Face à l’ampleur de ces menaces, l’ANSSI a consolidé les liens tissés avec ses partenaires, au niveau national, comme au niveau européen.
Resserrer les liens avec nos partenaires
La sécurité doit sortir de son domaine réservé pour associer l’ensemble des acteurs de la société numérique. L’ANSSI entraîne et anime un réseau d’acteurs extrêmement large pour avancer de manière efficace dans un élan commun.
« L’écosystème se transforme au contact de l’ANSSI et inversement. »
Emmanuel Germain, directeur général adjoint de l’ANSSI
En 2018, l’agence a développé et resserré les liens avec ses partenaires nationaux issus de la sphère publique et de la sphère privée. De nombreuses initiatives se sont concrétisées grâce à une étroite coopération interministérielle. Si certaines visent directement le développement sécurisé de services numériques de l’État, d’autres favorisent l’essor d’une culture de la sécurité auprès du plus grand nombre. Pour répondre à ces enjeux, la formation a été un axe de travail majeur pour l’ANSSI en 2018, qui avance main dans la main avec les acteurs du domaine.
Sur la scène internationale, la France et l’Europe ont un rôle majeur à jouer pour limiter le développement d’un far West numérique. L’ANSSI s’est fortement impliquée dans toutes les initiatives européennes de responsabilisation de l’ensemble des acteurs de l’écosystème.
« Il est essentiel de se mettre d’accord à l’échelle internationale sur ce qu’il est permis ou non de faire dans le cyberespace. »
Guillaume Poupard, directeur général de l’ANSSI
Creer de nouveaux cadres d’echanges pour garder un temps d’avance
De plus en plus, l’ANSSI mobilise son écosystème pour réfléchir collectivement aux transformations des missions de sécurité numérique. Ainsi, l’anticipation a été le mot-clé de 2018 et trace la voie pour les années à venir. Les technologies comme l’intelligence artificielle, la santé connectée ou l’informatique quantique vont bouleverser la manière de « faire de la sécurité ». Face à ce constat, l’activité de recherche de l’agence entre dans une nouvelle dynamique pour relever, aux côtés d’experts reconnus, les nouveaux défis de la sécurité numérique.
L’ANSSI assume une mission de vigie technologique. Elle doit anticiper suffisamment tôt les ruptures technologiques et l’évolution des usages pour les accompagner efficacement. C’est pourquoi l’agence a créé en 2018 un groupe de travail interne, pour identifier et comprendre les grandes tendances relatives aux usages émergents observés chez ses publics.
Face à l’immensité des travaux à mener dans le cyberespace, l’ANSSI ne peut pas avancer seule. L’ouverture et le partage sont des leviers décisifs pour l’agence qui participe de plus en plus à la communauté Open Source par ses contributions ou le partage de projets. En ouvrant ses productions à l’appréciation de ses publics, elle rejoint des espaces de dialogue et en créé d’autres avec un objectif clair : favoriser la transmission de compétences et de connaissances.
Le constat est sans appel : 2018 prouve une nouvelle fois que le risque numérique doit être au cœur de nos préoccupations. Les attaques informatiques touchent toute la société, c’est pourquoi nous devons tous nous emparer du sujet. L’année 2018 nous a donné l’occasion d’exprimer collectivement cette conviction. L’Appel de Paris, le Cybersecurity Act, les accords de coopération sectoriels ou encore la participation de l’agence à la communauté Open Source en sont de parfaits exemples. En prenant un temps d’avance sur les tendances scientifiques, l’ANSSI entraîne avec elle une large communauté d’acteurs qui, plus que jamais, doivent s’approprier les enjeux de sécurité numérique.
SSI SSI – Tsurugi Linux for Digital Forensics, Osint and malware analysis
Tsurugi Linux
Also named Tsurugi LAB
Tsurugi is an heavily customized Linux distribution designed to support your DFIR investigations, malware analysis and open source intelligence activities.
In this distribution are included the latest versions of the most famous tools you need to conduct an in-depth forensic or incident response investigation and several useful features like device write blocking at kernel level, an OSINT profile switcher and much more!
The system is based on a 64 bits Ubuntu LTS (Long Time Support) and we preferred to use the 16.04 version to have a stable system with more supported tools, but an upgrade to 18.04 LTS version is still planned in the roadmap with also a dedicated repository.
The patched kernel is based on recent 4.18.5 version that implements many new drivers and features. You can use Tsurugi Linux [LAB] in live mode but its main goal is to be installed and became your default forensics lab.
“TSURUGI Linux – the sharpest weapon in your DFIR arsenal”
A Tsurugi (剣) is a legendary Japanese double-bladed sword used by ancient Japan monks
SSI ORG RSSI et DSI transigent avec la sécurité, et ce n’est pas du goût de tout le monde
« Une nouvelle étude suggère que 90 % des DSI français font des compromis avec la sécurité informatique, notamment pour éviter d’affecter l’activité de l’entreprise. Pour Michel Juvin, membre du Cesin, le RSSI doit prendre ses responsabilités jusqu’au bout.
DSI et RSSI seraient-ils négligents ? Pas nécessaire, mais une étude de Censuswide pour Tanium, pointe des comportements qui interpellent. Selon celle-ci, il n’est ainsi pas rare que ces responsables fassent des « compromis » avec la sécurité ; ils sont même 9 sur 10 à le reconnaître parmi les sondés français. C’est un peu moins que pour l’ensemble de l’échantillon : en tout, 94 % des sondés indiquent faire des compromis avec la sécurité pour éviter d’affecter l’activité de l’entreprise.
Mais de quels compromis parle-t-on ? De renoncement à l’application de correctifs, par exemple : 81 % des sondés indiquent ainsi s’être déjà abstenus de déployer une mise à jour « importante », et 52 % de l’avoir fait à plusieurs reprises.
La première raison invoquée est la pression pour ne pas affecter le fonctionnement de l’entreprise et éviter des indisponibilités. Mais ce n’est pas tout : un peu plus d’un quart des sondés évoque des contraintes liées aux systèmes patrimoniaux, et 23 %… les jeux politiques internes.
Pour Tanium, DSI et RSSI apparaissent tenaillés entre des priorités internes multiples et variées. Près de la moitié des sondés indiquent ainsi peiner à se faire entendre des métiers parce que ceux-ci ne comprennent pas l’importance de la résilience IT. Et 40 % des sondés déplorent que les métiers fassent passer leur travail lié aux clients avant les protocoles de sécurité.
Ces résultats ne surprendront probablement pas grand monde. Le rôle, la place et les moyens du RSSI sont l’objet de débats récurrents, comme pouvait notamment l’illustrer l’édition 2016 des Assises de la Sécurité. Lors d’une table ronde organisée lors de l’événement, Jamal Dhamane, RSSI groupe d’Essilor estimait ainsi que le RSSI doit « parler avec les métiers de leurs problèmes ; prendre de la hauteur ; changer de langage, de vocabulaire ». Concrètement, il suggérait de « parler de perte de chiffre d’affaires, de déficit d’image. Là, vous aurez leur oreille ».
Dans un commentaire publié sur LinkedIn, Michel Juvin, RSSI et membre du Club des experts de la sécurité informatique et du numérique (Cesin), n’apparaît pas goûter l’idée véhiculée par les résultats de l’étude commandée par Tanium. Pour lui, « le RSSI doit présenter une analyse de risques au métier qui prend la décision. Si le RSSI estime que le risque n’est pas acceptable et met en danger l’entreprise […], il y a un vrai problème de gouvernance dans le système de management de l’entreprise ».
Pour Michel Juvin, dans un tel contexte, il revient au RSSI de « prendre une décision courageuse qui pourra être de rompre son contrat de travail ». Avant peut-être qu’une brèche ne lui coûte son poste et ne vienne ternir sa propre image personnelle, comme c’est parfois le cas. Fédéric Gouth, consultant en cybersécurité, s’inscrit sur une ligne comparable : « non, les RSSI ne transigent pas avec la sécurité. Mais tant qu’ils seront rattachés aux DSI, ils seront pieds et mains liés par celui-ci. C’est pour cela que beaucoup démissionnent et n’acceptent plus que des postes rattachés à la direction ».
Au total, pour son étude, Censuswide a interrogé 504 DSI et RSSI d’entreprises de plus de 1000 collaborateurs en Allemagne, aux Etats-Unis, en France, au Japon et au Royaume-Uni, durant le quatrième trimestre 2018. Le nombre exact de sondés dans l’Hexagone n’est pas précisé. »