Aller au contenu
AIR-DEFENSE.NET

Nemo123

Members
  • Compteur de contenus

    437
  • Inscription

  • Dernière visite

Tout ce qui a été posté par Nemo123

  1. Un acteur malveillant soupçonné d'avoir des liens avec le Pakistan a infiltré des organisations gouvernementales et énergétiques (services publics, production et transport d'électricité) d'Inde et Afghanistan pour déployer un système d'accès à distance non autorisé. L'opération aurait commencé au moins en janvier 2021. Pour rappel, ce type de stratégie s’insère dans un cadre géopolitique visant à rendre persistant un accès dans le système d'information contrôlant un composant vital pour la nation, en l'occurrence l'accès à l'électricité pour une population. La cyberwarfare est l'exemple type de la lutte non conventionnelle moderne : pas de mort directe, un moyen de dissuasion digne d'une bombe nucléaire, l'aspect immoral en moins. Pour rappel, la France a, via l'ANSSI, déclaré que les attaques étatiques cyber contre ses infrastructures vitales étaient la menace n°1 identifiée pour le pays en cas de conflit important, et que depuis quelques années, la France dispose d'une doctrine offensive pour répondre à une agression (dans le cas où l'acteur serait identifié). En effet, la surface à défendre demandant des moyens humains et financiers démesurés, il est établi qu'aucun pays ne peut et pourra prétendre pouvoir se protéger de telles attaques. La réponse offensive cyber devient donc, au même titre que le nucléaire avec les SNLE et leur capacité de frappe a posteriori, un élément important du système de défense. Seul problème : cela ne fonctionne que contre les acteurs étatiques, mais pas les groupes criminels.
  2. La Chine avance de plus en plus sur le bannissement des mineurs... Autre actualité qui relève du fait divers : John McAfee a mis fin à ses jours (apparemment), dans une prison espagnole : il était en attente d'extradition vers les Etats-Unis, après que le ministère de la Justice l'a inculpé pour une série de chefs d'accusation liés à l'évasion et à la fraude fiscales en mars. Il risquait près de 30 ans de prison. Il avait été arrêté par la Police nationale espagnole à l'aéroport d'El Prat en octobre, alors qu'il tentait de fuir en Turquie. Le lien avec le sujet ? Après avoir fait fortune dans divers business de la Tech, après avoir commencé par monter une société d'Antivirus (la première ?) il a monté plusieurs arnaques aux cryptomonnaies. J'attends avec impatience le film Hollywoodien qui sortira sur sa vie, parce qu'elle a été agitée.
  3. Pour faire suite à nos réflexions sur le manque de usecases business de la blockchain, Microsoft annonce arrêter son offre de service de plateforme blockchain le 10 septembre prochain (qui n'était qu'en preview, mais c'est quand même assez rare et significatif pour être partagé, d'autant plus que préavis est assez court par rapport à d'habitude). https://docs.microsoft.com/en-us/azure/blockchain/service/migration-guide
  4. Présentation de la stratégie nationale pour le cloud –17 Mai 2021 Par Bruno Le Maire, ministre de l’Économie, des Finances et de la Relance, Amélie de Montchalin, ministre de la Transformation et de la Fonction publiques, et Cédric O, secrétaire d'État chargé de la Transition numérique et des Communications électroniques La présentation me semble d'une lucidité impressionnante, sort complètement du dogmatique et pose les bonnes questions. C'est assez rare pour le souligner. Source texte : https://www.economie.gouv.fr/files/files/Thematiques/numerique/Transcript_presentation_strategie_nationale_cloud.pdf Source vidéo : https://www.economie.gouv.fr/cloud-souverain-17-mai Analyse d'un média que je trouve d'une bonne justesse: https://siecledigital.fr/2021/05/17/gouvernement-strategie-nationale-pour-le-cloud/
  5. Je ne sais pas si ce débat a déjà eu lieu ici, mais depuis 2013 que je suis les cryptomonnaies (initialement) puis la blockchain (soit 8 ans), j'ai l'impression que si les applications business n'ont pas déjà explosées, c'est probablement qu'elles n'arriveront jamais suffisamment en nombre pour rendre cette technologie communément utilisées (même en B2B). Ou alors que le besoin auquel elle répond n'a pas encore été révélé. Oui, il y a quelques applications, en gestion des titres d'identité, traçabilité en supply chain, modalité d'exécution de contrat, etc... mais force est de constater qu'ils s'agit davantage de POC et/ou de marketing que d'un besoin technique qui les aurait orienté vers la blockchain. On a pas mal cherché au boulot comment utiliser la blockchain, et c'est un flop : à part quelques applications de niche et insuffisantes pour développer un marché digne de ce nom, on en a conclu que l'IT n'en a "pas besoin". Une bonne vieille base de donnée centralisée (c'est ça qui les différencie) bien gérée fait tout aussi bien le boulot. Que la blockchain soit privée ou publique n'y change rien. Et je vous promets qu'on a bien cherché. Bref, si on retire l'application IT à la blockchain, sauf erreur de ma part, il n'en demeure que le volet cryptomonnaies uniquement spéculatif. Apparemment les chinois ont eu cette même analyse. Sinon, considérez-vous les NFT comme les cryptomonnaies ? Qu'en pensez-vous ? Teasing : pour moi c'est du gros bullshit pour les gens qui ont de l'argent à perdre. Peut-être pas à terme si la loi s'en empare, mais ce sera certainement sans l'historique des transactions d’aujourd’hui, donc ce qui est fait aujourd'hui n'est que du vent.
  6. Tout à fait. Et si ça peut te consoler, sa phrase offusque sans équivoque également la dizaine d'algériens qui partagent mon bureau (des vrais qui viennent du bled, ils ne sont pas français dans leur grande majorité). Et j'espère que tu es tout autant offusqué quand un frontiste sort des diffamations sur les maghrébins telles que je les ai citées plus haut. Et les Espagnols, Anglais, Belges, Hollandais, bref, toutes les monarchies d'Europe attendent une release 2 de la Marseillaise. Sans parler chez nous de De Villers et Dupont Aignan, qui en seraient ravis. Chacun ses boulets. Et bien non, nos amis européens iront se faire foutre pour que l'on change quoi que ce soit, tout autant qu'on ira se faire foutre à demander aux algériens de changer leur hymne. Balayer devant sa porte avant de revendiquer ou s'offusquer, toussa toussa.
  7. Mais c'est quoi cette rumeur comme quoi l'immigration serait un problème ? Alors que c'est tout l'inverse, c'est la solution à beaucoup de problèmes (d'où le fait que la politique nationale et européenne soit assez molle pour lutter contre). C'est l'intégration de ceux qui ne veulent / peuvent pas s'intégrer, le problème
  8. L'un est plus récent que l'autre, on a tendance à focus sur les traumatismes les plus récents, d'autant plus quand ils sont fédérateurs : les nazis en France, le Viet Nam et le 11 septembre aux US, la France coloniale en Algérie... Ça me semble cohérent. La Marseillaise ne fait pas référence à la guerre des Gaules ou la guerre de cent ans. Et les algériens voient davantage des ennemis en les sub-sahariens, touaregs et marocains qu'en les français. Et l'ennemi par dessus tout c'est l'islamisme. Je parle des algériens d'Algérie, hein, pas les fakes qui vivent en France et n'ont pas grand chose d'Algérien si ce n'est un grand père. Après, c'est sûr que si l'image que tu as des algériens c'est les rebeux français, y a moyen que ton jugement soit un peu biaisé. Le jeune algérien d'aujourd'hui, s'il est un peu éduqué et qu'il a fait des études, il voit plutôt la France comme l'eldorado du boulot, de la liberté, etc... Bien loin du storytelling officiel du ministre pré-cité.
  9. Disons que quand on évoque les arabes en France, ça indique les maghrébins, parmi lesquels les Algériens. Petite liste de citations de membres du FN : Alors certes, pas un ministre, mais les frontistes ne sont pas non plus du genre à envoyer des fleurs aux Algériens. Source : https://www.nouvelobs.com/politique/elections-departementales-2015/20150223.OBS3201/contre-les-arabes-les-juifs-les-gays-ces-candidats-fn-qui-propagent-la-haine.html Après, je te concède que les frontistes s'adressent plutôt aux arabes vivant en France vs ceux vivant en Algérie.
  10. El Hachemi Djaâboub est un vieux briscard de la politique. Il est membre du Hamas algérien, proche des Frères Musulmans (clairement religieux, mais plus soft que ses cousins Turcs ou Égyptiens), et dans deux mois c'est les législatives. Il cherche à rassembler autour de son parti les indécis et nostalgiques du Hirak religieux soft. Il représente clairement une aile de la coalition gouvernementale, et quand il évoque en ces termes malheureux la France, s'adresse à son électorat, en politique intérieur, et ça n'est pas un message adressé à la France (bien qu'il ne pu ignorer que ça eu fait des vagues). C'est un peu comme si un mec des Républicains ayant des affinités avec le FN faisait une déclaration amalgame entre les arabes et la délinquance. Faut savoir qu'en Algérie, le storytelling autour du rôle de la France durant ce qu'ils appellent l'occupation, qui est assez différent de ce qu'on apprend à l'école de la République en France. Donc pour le commun des algériens, il n'y a rien de choquant à dire ces mots. C'est certes une provocation, mais tout à fait recevable. C'est comme si en France, un politicien brayait haut et fort à propos du génocide arménien : de notre point de vue français, ça serait avant tout un message de politique intérieur, tout le monde y adhérerait, mais on saurait que ça n'est que de manière secondaire un message de provoc' à destination de la Turquie (avec tous les sous entendus attenants type tueurs de chrétiens, ennemis éternels de l'Europe, etc...). Et bien là c'est exactement pareil avec le ministre algérien. Pour moi (et ça n'engage que moi), c'est un non évènement. En tant que français, je m'en serais bien passé, mais puisqu'on a des pratiques similaires en France...
  11. Disons que si les tazus arrêtaient de bloquer toutes les propositions de résolution à l'ONU, on pourrait imaginer à terme un embargo envers Israël. Mais comme les Etats Unis ne sont pas encore une colonie française, en effet, il y a bien peu de choses que le PR Français puisse faire à son échelle. D'ailleurs, j'apprends que les échanges commerciaux avec les Israeliens ne sont pas si important que ça.
  12. En fait, je pense qu'il y a un malentendu : La France a laquelle il est fait référence dans l'hymne algérien est la France en tant qu'empire colonial, qu'occupant, et ne correspond pas à la France d'aujourd'hui. Certe, la France d'aujourd'hui est l'héritière de cette France coloniale d'antant, mais ce n'est pas les mêmes entités qui sont identifiées ! Imaginez si dans les paroles il y avait écrit "Ô empire colonial Français [...]", au lieu de "Ô France". Votre point de vue serait probablement radicalement différent. Pourtant, le sens de l'hymne en serait inchangé. Après, que le commun des grouillots (français comme algériens) fassent l'amalgamme entre les deux, c'est bien dommage, et le fait que les deux entités portent toutes les deux le nom de "France" n'aide en rien. Mais je vous sais plus inteligent que ça pour tomber dans ce piège réservé aux incultes
  13. Je ne suis pas tout à fait d'accord. Si les responsables politiques au pouvoir se gardent bien de donner leur avis, ça n'est pas le cas des responsables des partis qui n'ont pas le pouvoir. Le Pen et Mélenchon ont exprimé leurs positions (teasing, opposées), car la démagogie (à prendre au sens littéral, rien de péjoratif) sert leur intéret électoral. Si ces derniers n'ont pas de créanciers juifs pour leur campagne, ils peuvent se permettre d'afficher leur position pro-palestinienne. Disons que moins tu as de chance de prendre le pouvoir en 2022, plus tu as de raisons de l'ouvrir car tu n'auras pas à assumer. A contrario d'un chef d'état qui a économiquement davantage à perdre. Bref, plein de gens qui n'ont que faire des conséquences de leur prise de position, ont pu exprimer leur mécontentement. Hé oui, prendre le risque d'irriter 0,2% de la population mondiale en prenant position sur ce sujet, c'est dangereux ! Ils sont partout, on vous dit
  14. Finalement, après avoir un peu creusé la question, j'apprends que les arabes sont 20% de la population israelienne et qu'absolument aucune étude sérieuse ne tendrait à faire croire que ces derniers puissent devenir majoriatire dans le corpus électoral.
  15. Bah c'est mal barré... Si les arabes israeliens sont réduits à peau de chagrin à la Knesset, j'ai cru comprendre que les arabes israeliens seraient dans quelques (dizaines d') années majoriataires en israel... avec les problèmes de démocratie représentative qui iront avec.
  16. Si j'ai bien retenu, un missile Iron Dome coûte environ 50k$, alors qu'une roquette Gazaoui coûte dans les 500$ (avec des problématiques d'approvisionnement qui ne rentrent pas en compte dans ce calcul).
  17. J'en profite pour déterrer ce sujet, en présentant mes excuses aux modos :/ D'autant plus que le sujet est à la croisée des chemins avec la cyber, mais sans être à proprement parler de la cyberwarfare. Un groupe de cybercriminels non identifié (possiblement étatique, mais possiblement pas) contrôle désormais 27% des noeuds de sortie (cad routeurs) TOR, qui permettent d'accéder à une partie du fameux Darkweb plein de fantasmes. Parmi d'autres, cette position permet (dans le détail technique, il s'agit de replacement dans de l'inspection SSL) d'identifier toutes les adresses de portefeuille de monnaies virtuelles placées dans des requêtes web http (donc non chiffrées, par opposition à https) de demande de transaction, et à les remplacer par leurs propres adresses de portefeuille (et donc d'acquérir les précieux sésames de manière irrémédiable). Bref, si vous accédez à des portefeuilles de monnaies virtuelles en ligne via TOR : vérifiez bien que vous êtes en https pour y accéder.
  18. Les attaques sont légions à toutes les secondes sur le globe, mais certaines méritent qu'on s'y penche sur ce forum pour des raisons de sécurité nationnale. C'est celles que je me permets de vous remonter en priorité ici. Colonial Pipeline, qui transporte 45% du carburant consommé sur la côte est des États-Unis, a annoncé samedi avoir interrompu ses opérations en raison d'une attaque par ransomware, démontrant une fois de plus à quel point l'industrie est vulnérable aux cyberattaques. "Le 7 mai, la Colonial Pipeline Company a appris qu'elle était victime d'une attaque de cybersécurité", a déclaré la société dans un communiqué publié sur son site Internet. «Nous avons depuis déterminé que cet incident impliquait des ransomwares. En réponse, nous avons mis certains systèmes hors ligne de manière proactive pour contenir la menace, ce qui a temporairement interrompu toutes les opérations de pipeline et affecté certains de nos systèmes informatiques. Colonial Pipeline est le plus grand pipeline de produits raffinés aux États-Unis, un système de 8 851 km (5,500 miles) impliqué dans le transport de plus de 100 millions de gallons de la ville texane de Houston au port de New York. Côté procès (sur une autre affaire qui n'a rien à voir et qui est vieille) : Quatre ressortissants d'Europe de l'Est risquent 20 ans de prison pour le chef d'Racketeer Influenced Corrupt Organization (RICO) après avoir plaidé coupable d'avoir fourni des services d'hébergement "bulletproof" entre 2008 et 2015, qui ont été utilisés par des cybercriminels pour distribuer des logiciels malveillants à des entités financières à travers les États-Unis. Les individus : Aleksandr Grichishkin, 34 ans, et Andrei Skvortsov, 34 ans, de Russie, Aleksandr Skorodumov, 33 ans, de Lituanie et Pavel Stassi, 30 ans, d'Estonie, ont été accusés d'avoir loué leurs infrastructures bulletproof à des clients cybercriminels, qui ont utilisé l'infrastructure pour diffuser des logiciels malveillants tels que Zeus, SpyEye, Citadel et Blackhole Exploit Kit, capables d'enroler de manière malveillante les PC victimes dans un botnet et voler des informations sensibles. Le déploiement de logiciels malveillants a causé ou tenté de causer des millions de dollars de pertes aux victimes américaines, a déclaré vendredi le département américain de la Justice (DoJ) dans un communiqué. Un service d'infrastructure bulletproof, c'est un service fourni par certaines sociétés (officielles ou non) d'hébergement qui s'appuient soit sur du Cloud (cloud public AWS, Azure, GCP ou Alibaba, mais aussi souvent privé avec ses propres serveurs physiques chez soi derrière sa box internet) qui permet à leurs clients (spammeurs, les cybercriminels, les hackers et les fournisseurs de jeux d'argent en ligne ou de pornographie illégale) une clémence considérable dans les types d'activités qu'ils peuvent entreprendre, sans être risquer de poursuite légales à la suite de plaintes et de rapports d'abus (formels). Les infrastructures privées "on premise" (physiquement derrière une box internet dans une cave) sont généralement dans des pays peu recommandables et pas très coopératifs avec la justice internationale. Alors que les services de cloud public sont souvent hébergés dans des pays de bonne confiance type US ou Europe Occidentale pour augmenter leur score de fiabilité, mais souvent cachés derrière des sociétés fantomes et techniquement bien maquillés.
  19. Pour coller au sujet du thread, je reviens vers vous avez 2 actus : Côté iranien, 2 groupes ont été identifiés, ayant des liens avec l'Iran's Islamic Revolutionary Guard Corps (IRGC), le IRGC Quds Force (IRGC-QF), et l'Iran's Ministry of Intelligence and Security (MOIS). Le premier d'entre eux (Fox Kitten, ayant lancé la campagne nommée Pay2Key) avait un objectif de destruction et sabotage d'une douzaine de cibles israéliennes et a opéré entre Novembre et Décembre 2020, Le second groupe (sous le couvert de la société Emen Net Pasargard), identifié sous les noms Read My Lips ou encore Lab Dookhtegan a lancé une campagne non pas à but destructif, mais plutôt de demande de rançon (en Bitcoin) après chiffrement des éléments critiques du SI des cibles. La campagne a commencé à s'organiser à l'été dernier (2020) et d'après les documents récoltés par des chercheurs en sécurité, il était prévu de passer à l'offensive entre le 18 et le 21 Octobre. Côté chinois, un groupe soutenu par l'état a été pris la main dans le sac en train d'essayer d'exfiltrer des données de chez un sous traitant (Rubin Design Bureau) ayant pour contrat de designer les SNA et SNLE de la Marine Russe (ils ont été impliqués dans 85% des projets depuis que les russes créent des sous marins).
  20. La magie de l' "infra as code" Et du DevOps en général (pour la partie infra que tu évoques) : Ansible, Puppet, Terraform & Co. Mais il existe plein d'autres tools selon les sous rubriques du SI à automatiser. J'ai envie de dire que toute société qui se respecte et qui développe un logiciel a d'ores et déjà une maturité sur ces méthodes. Après, y a encore probablement des sociétés old school qui ne se respectent pas, mais il ne doit pas/plus y en avoir beaucoup. C'est à mon sens très généralisé en France et dans le monde.
  21. Ce que tu décris là semble bien correspondre à des méthodologies de développement sécurisé et efficace de logiciels dans le meilleur des mondes, probablement appliqué chez les GAFAM qui sont des éditeurs, et plus ou moins appliqués partout, y compris chez les (meilleurs) éditeurs français. Après, je t'accorde que les produits des GAFAM sont beaucoup plus utilisés, donc il y a plus de chercheurs de vulnérabilités qui se penchent dessus (sans parler du faire que les primes et les bug bouties sont plus rémunérateurs), donc les produits sont moins truffés de vulnérabilités évidentes. Mais tout ceci est un problème d'éditeurs qui n'a rien à voir avec l'activité des acteurs de sécurité que sont les auditeurs, ESN de cybersécu et l'ANSSI. Donc je ne vois pas trop le rapport avec ce que je disais, mais j'ai peut-être mal compris ce que tu voulais dire. Leur job n'est pas de développer proprement, mais plutôt d'auditer, recommander, certifier des solutions et d'intervenir sur des incidents en cours. Du coup, je ne vois pas trop en quoi l'ANSSI fait la guerre d'avant. Après, c'est sûr que la qualité (sous entendu le niveau de sécurité, aka présence de vulnérabilités ou non dans le code) des softs produits par les différents éditeurs est assez (très) variables. Mais étonnamment, les GAFAM ne remportent pas forcément la palme. Si tu connais des pentesteurs, je t'invite à les questionner sur la sécurité d'AWS par exemple, ou d'Azure, ils s'en frottent les mains ! Sans pour autant parler d'erreurs de configuration de la part des admins / archis, il y a légion de vulnérabilités régulièrement révélées, pour lesquelles les PoC sortent bien avant les patchs, sur plein d'outils d'infra des clouds publics (donc développés par eux-même, je ne parle pas d'images d'éditeurs tierces qu'on pourrait ajouter dans une infra en IaaS). On pourrait parler du WAF AWS par exemple.
  22. Concernant les GAFAM, ça n'a rien à voir : il s'agit (parmi d'autres activités) d'éditeurs de logiciels de sécurité et non pas de clients (sauf Facebook, qui n'en produit pas). Le positionnement n'est donc pas comparable, car c'est en quelques sorte leur métier qui gère la sécu. Mais a contrario, prends justement un Facebook ou un Tesla (pour prendre des symboles), et je ne suis pas sûr qu'ils soient beaucoup plus efficaces que nos gros groupes en France (d'autant plus qu'ils doivent être davantage ciblés). Attention à ne pas confondre la sécu contre les actes malveillants et contre le risque de panne. Je relève, car tu évoques "le MCO, la fiabilité, la performance, etc" qui sont purement attraits au risque de panne. Ça n'est pas le même métier, ni les mêmes compétences, ni le même état d'esprit, même si c'est, en partie, les mêmes personnes qui font les deux (archi + admins de l'infra en phases de think, build et run). Alors là, ça dépend tellement d'une boite à l'autre que tu ne peux pas généraliser. Pour être aussi vindicatif, je suppose que tu as eu une expérience malheureuse, mais ça n'était (à mon avis) pas représentatif de la majorité. Oui, il y a souvent de la politique et des gueguerres à la con, mais c'est pareil chez les américains, chinois, japonnais et israéliens (les autres, je ne connais pas). De mon avis, les problèmes de management sont davantage liés à la culture du diplôme et de l'ancienneté plutôt que de la réelle compétence de l'individu. Mais de ce que j'ai vu, plus on est dans un milieu technique, plus on s'éloigne des gueguerres, de la politique, des placardisés, des contre-productifs, etc... Et en cybersécu, un mec qui n'est pas à sa place dans la hiérarchie se fait dégager assez vite, qu'il soit chez un éditeur, une ESN de sécu, ou un client. En fait, je pense que c'est un secteur d'activité qui fait un peu exception : y a assez peu de mauvais, et encore moins dans la hiérarchie où il faut souvent engager sa responsabilité en son nom propre. C'est assez dur de se planquer, et faut suivre techniquement et ça bouge très vite, donc ça nettoie. Beaucoup de gens se font virer de mission ou repositionner, moi-même ça m'est arrivé plusieurs fois, pour différentes raisons, c'est la norme, ça n'a rien de scandaleux ou honteux, on est toujours challengés et la moindre erreur est auditée / analysée pour capitaliser dessus. Tout ceci amène une émulation formidable dans le milieu, et c'est tant mieux. Rien à voir avec ce que tu m'as décrit. Après, je te parle de la partie cybersécu, et pas de l'informatique en général (auquel je ne connais pas grand chose, en fait). L'ANSSI et les sociétés de sécurité, à la ramasse ? Vraiment ? Comme dans tous les milieux privés, il y a de tout, mais pour très bien connaitre les deux (ANSSI + ESN de cybersécu), ce n'est vraiment pas comme ça que je les qualifierais, mais bon... Je parlais pour la cybersécu. Le reste, je n'y connais rien.
  23. Je ne suis pas trop d'accord, l'armée de consultants GRC à laquelle je faisais référence sont 100% dans une démarche de prévention. Idem pour toute la partie infra, audits et SOC. Et à eux seuls, ils représentent 95% des effectifs d'une boite dans la sécurité informatique. Après, faut comprendre que la sécurité informatique (et l'informatique en général, sauf cas exceptionnels type banques) est vu comme un centre de coûts, avec de lourds investissements et un RoI à zéro, qui doit être réduit au maximum, surtout en ces temps difficiles. Sachant que pour avoir une sécurité préventive en best practice demande un coût inaccessible, il est nécessaire de choisir ses combats (donc les choix d'investissements en cyber défense) en fonction d'analyses de risques (très précises, pour en avoir fait moultes), où on prend la perte d'exploitation conséquente à une attaque potentielle (+ remédiation et d'autres trucs), multipliée par la probabilité d'occurrence, et on met en face le coût des moyens de mitigation de risque, et on laisse le décideur choisir le niveau (on propose plusieurs formules : caleçon, ceinture, bretelles, ou ceinture + bretelles + pare-balle). Le RSSI, qui est responsable devant la loi des pertes de sa société lors d'un hack, est systématiquement audité pour vérifier s'il a pris ou non les bonnes décisions et s'il convient de le poursuivre pénalement. Et même dans les bas étages, la chasse aux sorcières est systématique. Après, c'est vrai que c'est très peu médiatisé, mais les retombées (légales ou en management interne) sont réelles. Surtout que l'armée de consultants armée en renforts pour répondre à l'incident va se faire un malin plaisir à pointer du doigt toutes les défaillances, aussi bien techniques que stratégiques (oui, faut bien justifier la facture -très salée - du rapport). Autant dire que ça donne du grain à moudre pour savoir qui a chié dans la colle. Après, c'est sûr que dans le milieu bancaire, les décideurs sont plutôt du genre à choisir la formule "ceinture + bretelles + pare-balle", alors que dans le milieu du luxe ou de l'industrie non stratégique, on est plutôt sur du "caleçon". Disons qu'il y a des tendances, mais pour le justifier, les impacts ne sont pas les mêmes, et ne justifient pas les mêmes montants de dépense, donc ça me semble cohérent. Je pense que ta vision sur les caprices ou l'incompétence des directions était vraie il y a 10-15 ans, et elle existe encore dans quelques boites, mais elle est assez rare aujourd'hui, surtout dans les grands groupes, et elle ne peut pas exister dans les OIV à cause des exigences de la LPM. Aujourd'hui, l'immense majorité des RSSI et mêmes DSI / CTO sont compétents. Il leur faut juste du budget. Sauf que les analyses de risque ne le justifient pas souvent à la hausse. Pour faire une analogie très approximative : théoriquement, si on avait un flic à tous les carrefours, un prof derrière chaque élève et un médecin derrière chaque petit vieux, tout irait bien, mais le budget de l'état ne le permet pas. Alors il organise ses budgets en fonction d'une analyse de risque et quand le système craque (covid, des flics qui se sont attaquer, décrochage scolaire massif) on lui demande des comptes, des rapports sont rédigés, la presse livre ses analyses, et les électeurs jugent.
  24. On en vient donc à la priorisation de l'effort et à choisir ses combats : la souveraineté numérique totale est une chimère à laquelle nul ne peut prétendre, il faut appliquer la politique du moindre mal. N'empêche que le débat sur le choix des équipementiers pour l'infra 5G (évincement des chinois par principe ou non) était très intéressant à ce sujet, avec des impératifs de non régression mais acceptation du risque pré-existant, optimisation des coûts, bien cibler les menaces auxquelles on s'expose, juger de leur niveau d'impact, etc... Et l'éternelle question du choix entre vendre son âme aux américains ou aux chinois
  25. Y a encore des gens qui croient que les chinois veulent d'une démocratie à l'Occidentale ? Une infime proportion, oui, mais l'immense majorité, je ne crois pas. En tous cas, de mon expérience. Ça peut nous paraitre incongru à nous, européens, a fortiori les français, qu'un peuple ou une nation refuse ce cadeau de la civilisation, mais il faut se rendre à l'évidence : ces barbares jaunes d'extrême Orient n'en veulent tout simplement pas. Ou alors c'est l'exception (Taiwan, Japon, ROK, et dans une moindre mesure la Malaisie).
×
×
  • Créer...