Veille Cyber N68 – 13 mars 2016

ImageVeilleLG

CyberStratégie – CyberDéfense – CyberSécurité

Lettre Cyber 68

Cyberstratégie, cyberdéfense, cybersécurité … le survol de l’actualité de la semaine du 7 au 13 mars 2016, … avec des faits saillants comme …

Cette histoire d’eau en Île de France pour tester une gestion de crise sur fond de crue centennale de la Seine, un exercice qui s’étend sur 15 jours,

également, cette intelligence artificielle qui a vaincu l’homme dans un tournoi de go, sans pour autant que cette victoire doive nous inquiéter sur notre avenir

Ou encore, le chiffrement, au coeur de cette lutte majeure entre gouvernement américain et multinationales du numérique par FBI et Apple interposés …

Et puis, et puis je ne peux pas terminer sans mentionner au moins 2 référentiels qui méritent notre attention, le marketing du DSI publié par le CIGREF et les exigences de CyberSécurité en matière d’intégration et de maintenance de systèmes industriels de l’ANSSI …

bref, je vous laisse découvrir la lettre de la semaine au gré de vos centres d’intérêt personnels et professionnels, maintenant, ou plus tard, car le support demeure à votre disposition pour servir vos recherches en tant que de besoin.

Une bonne lecture.

Une bonne semaine.

Je rappelle que la lettre est découpée en séquences sur la semaine avec reprise des rubriques utilisées dans chaque séquence. Le but est de classer quelque peu cette information si dense et si fournie qui marque notre domaine d’intérêt.

Ce qui a retenu mon attention dans l’actualité de cette semaine

A(ré)couter – A (re)voir

Informations

En management de la sécurité de l’Information

Des nouvelles du CyberFront

Matière à réflexions

Études, enquêtes et référentiels

A(ré)couter – A (re)voir

Informations

En management de la sécurité de l’Information

Les problématiques des (r)évolutions numériques en cours

Des nouvelles du CyberFront

Matière à réflexions

Études, enquêtes et référentiels

Séminaires – Conférences – journées …

A(ré)couter – A (re)voir

  • Opération Sequana : l’eau monte en Île de France, la simulation de gestion de crise sur fond de crue centennale, Jour 5 – Télétravail et sites de repli, le point audio quotidien de Comptoir Sécu

  • Une crue à Paris, imaginez la Seine … un suivi quotidien de l’opération Sequana et un dossier d’archives sonores sur France Bleue

Informations

En management de la sécurité de l’Information

Les problématiques des (r)évolutions numériques en cours

Des nouvelles du CyberFront

Matière à réflexions

 1. Editorial - Hervé Schauer ]---------------------------------------

     Dans un excellent article paru fin Janvier, "L'Uberisation s'attaque à
 l'infosec", Fabrice Epelboin de SciencePo a expliqué le développement
 des plates-formes de 'Bug Bounty', où ceux qui trouvent des failles sont
 "récompensés" pour celles-ci. Il convient de prendre au sérieux
 ce phénomène qui affecte d'ores et déjà le business traditionnel des
 cabinets d'audits de sécurité et de tests d'intrusion. Plutôt que
 d'acheter des "moyens" à une société traditionnelle, dans un pays à monnaie
 forte, les grands donneurs d'ordre comme les start-up d'objets connectés
 achètent à bas prix un "résultat", une faille dans le service ou le produit
 qu'ils délivrent, et ce dans une monnaie faible.
     Cette "Uberisation" est cependant à relativiser et l'article pose des
 questions éthiques et techniques.
 D'ordre éthique : quel mandat les sociétés qui sollicitent un 'bug bounty'
 donnent-elles aux attaquants ? Sont-elles assurées de leur moralité et de
 leur fidélité ? Selon les failles ou données découvertes, l'attaquant peut-il
 avoir intérêt à se tourner vers des commanditaires payant mieux voire à
 mettre ses découvertes aux enchères sur une autre plateforme ?
 D'ordre technique,  du point de vue de l'efficacité même de la recherche de
 failles par cette méthode : l'entreprise doit-elle installer une plateforme
 de tests plus ou moins réaliste ou ouvrir la plateforme pour laquelle la
 recherche de faille est demandée ? Comment cette démarche s'appliquera-t-elle
 aux systèmes internes (non exposés sur Internet) à l'entreprise ?
 J'y ajoute les difficultés légales et d'obtention d'assurance en
 responsabilité civile professionnelle.

     Mais comme pour l'armateur du 17ème siècle, comme pour les chercheurs d'or
 du 19ème siècle, ceux qui restent encore sont l'assureur de l'armateur, et
 le fabricant de pioches et de pelles du chercheur d'or. Celui qui a donc
 peut-être le bon business est la plate-forme d'intermédiation entre
 fournisseurs de produits/services et chercheurs de failles, mais ce n'est
 peut-être qu'une offre de plus qui ne remplacera pas l'auditeur de sécurité
 artisanal de proximité.

Études, enquêtes et référentiels

Séminaires – Conférences – journées …

  • Présentations et slides …de la Journée de la sécurité des systèmes d’information 2016 organisée par l’OSSIR, l’Observatoire de la Sécurité des Systèmes d’Information et des Réseaux, conférence qui s’est déroulée le mardi 8 mars

  • Données et Sécurité, colloque, organisé notamment par le CNRS, le 25 mars 2016.

Cette sélection, parfaitement partielle et partiale, de sujets proposés à votre attention n’est possible que par le travail de veille et de partage réalisé en amont par différentes sources que je remercie.

À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s