Comment partir en congés d'été, en toute cybersécurité ?

Le saviez-vous ? L’une des raisons pour laquelle votre entreprise est plus vulnérable pendant les congés, c’est surtout parce que salarié•e•s, comme dirigeant•e•s, n’arrivent pas à se déconnecter de leurs outils professionnels. Tout en étant moins attentifs aux risques cyber !

En période de vacances, 9 dirigeant•e•s sur 10 ne décrochent pas complètement de leur activité.

Côté salarié•e•s, il s’agit de 67% des travailleur•se•s français.

Dans cet article nous allons revenir sur les attaques les plus courantes en période de vacances, les bonnes pratiques à mettre en place avant, pendant et après les congés.

#1 — Quels types d’attaques sont les plus courantes en période de vacances ?

Il y a plusieurs modèles de menaces, en fonction de votre niveau hiérarchique dans l’entreprise, mais aussi vos habitudes et destinations de vacances telles que :

  • Le vol physique de matériel : ordinateur, clé usb, disque dur, téléphone…
  • La perte et la dégradation du matériel (“haaa la pina colada renversée sur le clavier…”)
  • L’installation de logiciel espion
  • Le vol de données
  • Le phishing
  • L’arnaque au président
  • L’infiltration d’appareil

#2 — Mesurer les risques

Afin de protéger correctement l’entreprise, quand il y a des départs en congés, il y a plusieurs étapes à suivre afin d’être en mesure de :

  • Mesurer les conséquences des absences
  • Assurer la continuité d’activité et la réponse à incident
  • Sensibiliser l’ensemble de l’entreprise aux bonnes pratiques de sécurité en vacances

L’idéal est qu’en amont, vous ayez défini les modèles de menaces de l’entreprise, c’est-à-dire une cartographie des différents risques encourus en cas d’absence d’une fonction, d’un service, etc.

Pour définir ces modèles de menaces, il y a plusieurs questions à soulever :
  • Quelles sont les données détenues par chaque service ? Par niveau hiérarchique ?
  • Sur quels matériels et logiciels sont-elles stockées ?
  • A-t-on des outils de détection suffisants pour les protéger ?
  • Les équipes accèdent-elles à ces logiciels sur du matériel mobile ? Professionnel ? Ou Personnel ?
  • Les équipes utilisent-elles des logiciels non-référencés par l’entreprise ?
  • Les équipes sont-elles sensibilisées à la sécurité ?
  • Les équipes amènent-elles leur matériel en vacances ?

Une fois ces modèles définis, vous serez en mesure d’en déduire les risques encourus, en fonction de chaque situation, métier et matériel.

#3 — Sensibiliser et…laisser partir en vacances déconnectées !

Nous sommes tous moins vigilants en vacances. C’est pour cela, que le meilleur moyen d’éviter les cyberattaques, c’est de profiter de ses vacances sans :

  • Vérifier ses emails ;
  • Vérifier ses tickets ;
  • Lire les conversations sur Teams ;
  • Répondre aux appels professionnels…

Au-delà des risques cyber, il s’agit aussi de respecter le Droit à la déconnexion. Il est important de faire comprendre aux salarié•e•s qu’ils ne perdront pas leur emploi, pour ne pas avoir répondu aux sollicitations pendant leurs congés ( c’est la loi 😉 )

Et si vous êtes un super dirigeant·e qui applique et respecte le Droit à la déconnexion. Mais que les salarié•e•s ont toujours du mal à décrocher, il faut sensibiliser aux bonnes pratiques de vacances en toute cybersécurité :

  • Réinitialiser ses mots passe avant de partir et au retour de congés
  • Éviter d’annoncer où et quand on part en vacances sur les réseaux sociaux
  • Éviter de géolocaliser ses photos de vacances et/ou de prendre des photos dans des cadres facilement reconnaissables
  • Ne pas se connecter aux logiciels professionnels sur un WiFi Public
  • Ne pas accepter, ni utiliser, de cadeaux type clé USB, disque dur externe, carte SD…
  • Activer la vérification des paiements sur son application bancaire
  • Privilégier l’utilisation d’un VPN, même sur mobile
  • Ranger le matériel professionnel en lieu sûr et clos
  • Éviter au maximum de se connecter aux logiciels professionnels sur du matériel personnel
  • Éviter de stocker ses mots de passe dans les trousseaux des navigateurs ou des téléphones
  • Ne jamais se connecter sur des appareils publics

Nous savons très bien que tout cela est plus facile à dire qu’à faire. Les habitudes mettent du temps à évoluer, surtout en termes de cybersécurité en entreprise. C’est justement pour ça qu’il est essentiel :

  • D’anticiper vos modèles de menace
  • De définir vos risques et les conséquences de ces risques
  • De sensibiliser régulièrement autant les dirigeante·s que les salarié·e·s

En ritualisant de plus en plus ces bonnes pratiques, quelle que soit votre fonction ou votre niveau hiérarchique, vous gagnerez en autonomie, et serez de plus en plus en mesure de savoir comment agir en cas de cybermenace.

Bonnes vacances à tous·tes 🙂 !

by Fen Rakotomalala

Les mondes imaginaires sont-ils toujours des safe place pour les personnes minorisées ?

Pendant longtemps, les jeux vidéo qui se déroulaient dans des mondes imaginaires, pouvaient être un moyen d’affirmation de soi pour les personnes minorisées. Ou un moyen de s’évader d’un système oppressif.

L’avatar, notamment, pouvait être, aussi bien une réplique de soi-même, qu’une projection de ce que la société nous empêche d’être. Le choix d’un rôle, du contrôle d’une histoire, pouvait être un moyen de ré-appropriation de ce qui nous échappe IRL[1].

Pourtant, 83%[2] des gamers, de 18-45 ans, ont subi du harcèlement en jouant aux jeux vidéo, dont 71% allant jusqu’à des agressions graves : menaces physiques, stalking[3], chantage…Ces agissement sont en augmentation depuis 2019.

Pour 1 gamer sur 2, les raisons sont liées à leur religion, leurs identités de genre, leur orientation sexuelle ou leurs origines. Même dans un monde imaginaire, iels se retrouvent alors, autant stigmatisé·e·s que dans leur quotidien « réel ».

[1] IRL = In Real Life, Dans la vraie vie
[2] Rapport de l’ONG ADL “Hate is No Game: Harassment and Positive Social Experiences in Online Games 2021”
[3] Stalking = Fait de traquer une personne en ligne et/ou dans la vraie vie

#1 C’est quoi une safe place ?

C’est un espace bienveillant et protecteur, où des personnes minorisées et discriminées, se retrouvent pour différentes activités, très souvent empêchées ou polluées par des personnes oppressives.

Ces espaces sont aussi bien physiques que virtuels. Ils sont souvent fondés, par et pour les personnes minorisées, avec ou sans leurs allié•e•s

Dans les milieux du jeu, les safe place sont surtout créés pour jouer en ligne loin des « haters » » et des » trolls », mais aussi pour donner de la visibilité à des profils de joueur•ses qu’on ne voit pas assez.

On les retrouve notamment dans des associations militantes, des groupes de discussion ou des applications de mise en relation.

#2 C’est quoi un HATER et un TROLL ?

Hater
[ɛ.tœʁ] Nom, anglicisme
Personne qui dénigre d’autres personnes sur internet, en raison d’un critère qu’iel déteste, un désaccord, ou un biais d’intolérance

Troll
[tʀ ɔl] Nom, originaire de Suède
Personne ou message, qui vise à provoquer et/ou susciter des polémiques afin de perturber une discussion ou une personne

#4 Comment en sommes-nous arrivés là ?

Dans les faits, le harcèlement et agressions en ligne, ont toujours été présents dans les communautés de jeux en ligne. On peut pointer plusieurs phénomènes qui ont contribué à renforcer ces comportements :

  • L’augmentation de la pratique du jeu multi-joueur en ligne, associé à des canaux de discussion, où les joueurses discutent pendant le jeu (chat, live streaming, salon audio…)
  • L’évolution des moyens de cyberharcèlement et cyberintimidation intraçable. Les agresseurs redoublent d’ingéniosité pour contrecarrer les règles de modération
  • Il est de plus en plus facile de « stalker » une personne afin de récolter des informations pour lui nuire. On appelle ça le « doxxing »
  • Les agressions se déroulent en majorité dans le jeu, et laisse de moins en moins de traces à l’écrit
  • L’écran donne l’impression aux agresseurs, que leurs actions n’ont pas de conséquences
  • Ce sentiment d’impunité est d’autant plus renforcé par le manque de volonté de modération et/ou de moyen de modération, sur les plateformes de discussion

#5 Les mondes imaginaires restent des créations humaines, avec des biais bien humains

L’un des éléments qui « permettent » (avec de GROS guillemets) aussi les agressions, c’est la narration des jeu, associée aux représentations qu’évoquent certains personnages.

Même si les mondes sont imaginaires, ils peuvent parfois répliquer :

  • Des rapports de dominants-dominés ;
  • Des rapports abusifs ;
  • Des situations qu’il faut résoudre par la violence ;
  • De la fétichisation et/ou sexualisation des corps.

On va éviter les raccourcis type « Les jeux vidéo rendent violents ». L’idée ici est de rappeler qu’en fonction de nos biais, et de nos vécus, certaines représentations, certaines histoires, entretiennent la violence des agresseurs, et leur sentiment d’impunité.

Nous faisons plutôt face à une double problématique, liée à des sujets plus sociétaux :

  • Le manque de sensibilisation contre le harcèlement et ses conséquences
  • Le manque de sanction et de médiatisation des sanctions face à ces comportements

#6 Le soucis de la performance

Autre motif, qui poussent certaines personnes à polluer l’expérience de jeu, c’est leur rapport à la performance de jeu.

Pour les jeux narratifs, l’objectif est d’entretenir une histoire

Pour ces types de jeu-là, on peut davantage jouer en ligne, dans un cadre bienveillant, car on n’a peu, voire pas, d’interaction avec d’autres personnes.

Pour les jeux de gestion ou de création, l’objectif est de créer puis de gérer un monde

En fonction des joueur•ses, les premières agressions viennent parce qu’on n’est pas d’accord sur la manière de faire ; pour saboter les choix du groupe ; ou venir d’une frustration de ne pas être en mesure d’avoir un monde aussi « stylé » que les autres.

Pour les jeux d’affrontement, l’objectif est d’être le n°1

C’est là qu’on retrouve le plus de « toxicité » liée à la performance

  • On reproche aux autres sa défaite, ou celle de son équipe
  • Pour les plus intolérants, on estime qu’il n’y a que les hommes cisgenres, qui soient capables d’être performants
  • Pour les plus frustrés, on y estime que les personnes marginalisées qui performent, prennent la place des joueurs « qui étaient là avant »
  • Pour les plus incohérents, on décrète que les personnes marginalisées perturbent la performance…par leur existence

#7 Les safe place, on les crée

Malheureusement et heureusement, les safe place sont des espaces qui se créent par les personnes concernées.

Ce qui est cool

  • On peut y être soi-même
  • Il y a moins de toxicité
  • Il y a davantage de soutien et d’entraide
  • L’expérience de jeu est peu perturbée
  • La modération est réelle et plus efficace

Ce qui est moins cool

  • Le problème des haters et des mauvais trolls n’est toujours pas résolu
  • Les plateformes ne sont pas assez responsabilisées sur les sujets de modération, ni de sensibilisation
  • Pour les débutant•e•s, les espaces bienveillants ne sont pas accessibles tout de suite
  • Ce sont les victimes qui ont la charge de se protéger

by Fen Rakotomalala

Cybersécurité : à quoi sert un exercice de crise ?

Quand on pense à exercice de crise, comme beaucoup de sujet de cybersécurité, on a tendance à se dire qu’on n’est pas concerné, que c’est un projet lourd à mettre en place, ou qu’on se posera la question le jour où cela arrivera.

Nous savons aussi que l’approche par le risque est une approche lourde pour bon nombre d’organisation, parce qu’elle peut être rapidement anxiogène.

Et pourtant ! Rien de mieux que la mise en situation pour comprendre les enjeux de sécurité ! Et ce, pour plusieurs raisons :

  • Cela permet de se poser les bonnes questions ;
  • Cela implique toute l’entreprise ;
  • Cela permet de visualiser concrètement ce qu’on fait de bien et ce qu’on peut améliorer.

On va vous éviter les expressions bateaux, type « il vaut mieux prévenir que guérir », mais globalement, en sécurité informatique, les coûts du manque d’anticipation ou de sensibilisation peuvent être très importants pour votre entreprise, quelle que soit sa taille.

Alors, dans quel contexte faut-il organiser un exercice de crise ? Sous quelle forme ? Avec qui ? Erwan Moyon vous fait part de son retour expérience, en tant qu’Ingénieur SI, anciennement Consultant en Sécurité des Systèmes d’information.

#1 — Qu’est-ce qu’un exercice de crise en cybersécurité ?

Un exercice de crise est une mise en scène, comme un jeu qui intègre différents acteurs d'une entreprise. Il se veut ludique et accessible.

Son objectif est de tester des situations de crise propre à l’entreprise pour mettre en avant des points d’amélioration, de sensibiliser et former les équipes à ce type d’évènements rares.

Dans le cadre de la cybersécurité, il s’agit d’organiser une mise en situation de cyberattaque ou de cyberincident.

#2 — Dans quel cadre doit-on organiser un exercice de crise ?

Il y a différentes situations qui peuvent justifier l’intérêt d’organiser des exercices de crises :

  • Lorsque l’entreprise devient publiquement connue, cela attire les hackers et personnes malveillantes ;
  • Lorsque l’entreprise a été hackée et a besoin de s’entraîner dans sa gestion de crise ;
  • Lorsque l’entreprise s’apprête à lever beaucoup d’argents, ou dans le cadre d’une fusion-acquisition qui viendrait à modifier l’organisation de l’entreprise

#3 — Est-ce qu’il faut obligatoirement des spécialistes de la cybersécurité pour le faire ?

Les spécialistes sont les garants du suivi et de l’application des procédures de réponses à une crise. Ce n’est pas obligatoire, mais cela reste préférable pour :

- Conseiller la direction ;

- Définir des scénarii basés sur les tendances des cyberattaquants ;

- Investiguer et analyser les incidents qu’on va mettre en scène ;

- Accompagner les équipes IT et métier pour faciliter la communication et la remontée d’information ;

- Analyser les résultats de l’exercice et définir les plans d’amélioration et de sensibilisation

#4 — Quel type d’exercice de crise peut-on organiser ?

Il existe deux types d’exercice de crise : L’exercice sur table et l’exercice en réel.

Leur mise en place diffère en fonction des moyens de l’entreprise et de ses objectifs.

L’exercice sur table consiste à définir un scénario de crise propre à l’entreprise et de suivre une chronologie d’évènements. Ces évènements sont définis sur papier (ou PowerPoint).

Tous les participant•e•s vont devoir répondre à chaque évènement comme s’il était réel.

L’avantage de ce type d’exercice est qu’il est rapide à mettre en place et à simuler car il ne nécessite pas d’utiliser le système d’information.

L’exercice en réel est une mise en situation réelle. Par exemple, on peut installer un vrai sur une copie du système d’information. On va ensuite analyser en temps réel l’évolution du virus, ses impacts, les moyens à déployer pour le mitiger, la réaction des équipes etc.

L’avantage de ce type d’exercice est qu’il permet de tester le fonctionnement des logiciels de sécurité et d’analyser l’organisation de l’entreprise face à une cyberattaque.

En revanche, il nécessite un temps de préparation conséquent.

#5 — C’est quoi le déroulé classique d’un exercice de crise ?  

Un exercice de crise s’organise en plusieurs temps.

Il faut d’abord cadrer et définir des scénarii de crise : que souhaite-t-on évaluer ? Quel est l’objectif de l’exercice de crise ? De quel type d’intervenants a-t-on besoin ? Quels sont les moyens IT qu’on peut mobiliser ? Qui est disponible pour y participer ? En moyenne, il faut bien 1 à 2 mois de préparation

Ensuite, il faut mobiliser les équipes, sur des temps où elles sont réellement disponibles. Il ne faut pas oublier qu’un exercice, c’est comme un jeu de rôle ou une simulation, il faut vraiment être impliqué dedans pour cela fonctionne. Si les équipes ont d’autres priorités ou si elles sont prises de court, l’exercice va les contraindre plus que les sensibiliser.

Pour les mobiliser, il est essentiel de prendre le temps d’expliquer régulièrement l’objectif de l’exercice, mais surtout de présenter les bénéfices que cela peut avoir. Pour cela, il faut aussi prévoir un plan de communication interne, au moins 1 mois à l’avance, avec des rappels. Quitte à mettre en place une permanence, pour répondre aux questions des participants.

L’exercice en lui-même dure de 1 à 3 jours, en fonction des scénarii choisis.

À la fin de l’exercice, on réalise un bilan à chaud, comme à la fin d’une formation. On organise également une enquête quelques temps après l’exercice. Cette enquête permet de comprendre comment l’exercice a été vécu, évaluer le niveau de compréhension, évaluer la culture sécu de l’entreprise en cas de crise…

Enfin, on réalise également un bilan global, à froid, qui comprend les points d’amélioration, mais aussi les bonnes pratiques à maintenir. Ce bilan est censé être décliné en plan d’action.

#6 — Comment faut-il communiquer un exercice de crise ?

La communication est très importante lors de l’organisation d’un exercice de crise

Les personnes mobilisées ne sont pas nécessairement très sensibilisées à ce qu’est un exercice de crise, notamment sur des sujets informatiques. Elles connaissent les risques de leur activité, mais n’y pensent pas tous les jours.

Il faut favoriser une communication en plusieurs temps également, avant, pendant et après. On peut évoquer les enjeux de l’exercice, réfléchir à des messages ludiques, d’autant plus qu’un exercice est assez ludique !

#7 — Qu’est-ce qu’on fait après avoir mis en place l’exercice ?

Après avoir réalisé un exercice il faut :

- Tirer un bilan des points positifs (ce qui a fonctionné) et les points d’amélioration (ce qui a moins bien fonctionné)

- Maintenir une certaine transparence sur les bilans, en évitant d’enjoliver les points d’amélioration ; le but de l’exercice c’est d’apprendre de nos erreurs courantes

- Définir un plan d’action cyber : mise à jour de procédures, renforcement de la communication, amélioration des outils…

- Le must du must, c’est de prévoir d’autres exercices pour s’améliorer continuellement jusqu’à qu’il y ait une vraie culture de la cybersécurité dans l’entreprise

#8 — C’est quoi les bénéfices concrets d’un exercice de crise ?

Concernant la cybersécurité, c’est une opportunité pour l’entreprise de :

- Identifier les points d’amélioration

- Comprendre les problèmes de communication interne et de sensibilisation à la sécurité

- Mettre en place des bonnes pratiques de cybersécurité, en fonction de chaque activité, de chaque outil utilisé

- Sensibiliser l’entreprise à la gestion de crise et instaurer une culture sécurité

by Fen Rakotomalala

Comment mettre en place une feuille de route pour un projet informatique ?

« Alors on en est où ? »

Cette question anodine suscite à la fois de l’enthousiasme (quand on a bien avancé) mais aussi beaucoup de frustration (quand on est en retard ou qu’on ne sait pas).

Pour arriver à y répondre sans stress, il y a un outil imparable, à la fois collaboratif et structurant : le feuille de route (ou roadmap).

Quelle que soit la forme que vous lui donnez, la feuille de route permet à tous les intervenant•es d’un projet informatique :

 

  • Identifier les rôles et les relations entre chaque personne
  • Comprendre les objectifs du projet
  • Suivre les avancées et les communiquer
  • Prioriser et réagir en cas de retard

C’est l’outil qu’il vous faut ? On vous explique en quelques étapes comment définir votre feuille de route IT.

 

#1 — C’est quoi une feuille de route concrètement ?

Une feuille de route, également appelée roadmap, est un document qui présente les principales étapes à suivre pour réaliser un projet. Ces étapes ont pour vocation d’être ensuite planifiées dans le temps.

Pour un projet informatique, à quelques spécificités près, le découpage est assez standard :

 

  1. Analyse de l’existant
  2. Conception
  3. Développement
  4. Test
  5. Déploiement
  6. Maintenance

 

#2 — Comment structurer une feuille de route ?

Une feuille de route se structure en trois grandes parties :

 

  • Tout d’abords, vous définissez des « jalons », c’est-à-dire un ensemble de temps forts et/ou d’objectifs à atteindre
  • Dans ces jalons, vous spécifiez des tâches à réaliser pour atteindre chaque objectif. En fonction des jalons, il y a peut-être un ensemble de tâches à rassembler en « chantier », qui constituent un « sous-jalon »
  • Pour chaque tâche ou chantier, vous associez des personnes qui auront chacune des responsabilités dans la réalisation des tâches
  • Ceci fait, vous inscrivez un niveau de priorité et des échéances pour chaque tâche ou chantier
  • À l’issue de ce découpage, vous avez suffisamment d’éléments pour faire un planning

 

#3 — Quels sont les contenus les plus importants à suivre dans une feuille de route ?

Pour que votre feuille de route soit efficace, il y a plusieurs éléments importants à intégrer, et à valider régulièrement :

 

À intégrer À valider
Les charges temps Combien de temps faut-il pour réaliser une tâche ?
Ce temps a-t-il été respecté ?
Le budget Combien a-t-on investi pour aboutir un jalon ?Combien a-t-on réellement dépensé ?
Les rôles et responsabilités Les rôles sont-ils cohérents ?
Les niveaux de responsabilité sont-ils clairs ?
Les effectifs sont-ils suffisants ?

C’est uniquement sur la base de ces éléments, qu’il est possible de définir une feuille de route claire, et suffisamment précise pour piloter un projet.

 

#4 — Comment mettre à jour une feuille de route ?  

Nous mettons une feuille de route à jour dans les situations suivantes :

 

  • Quand un chantier, une tâche ou un jalon est terminé
  • Quand un risque vient impacter ou remettre en question la réalisation d’un chantier ou d’une tâche
  • Quand une tâche a été mal estimée, ou qu’une nouvelle tâche doit être ajoutée et planifiée

 

#5 — Qui doit avoir la charge du suivi d’une feuille de route ?

Une feuille de route est gérée et pilotée par un•e chef•fe de projet, qui la met à jour en collaborant avec les différents intervenant•es du projet :

 

  • Les équipes métiers ;
  • Les services IT ;
  • Les intervenant•es externes.

 

#6 — Quels sont les supports les plus pertinents pour mettre en forme une feuille de route ?

Il n’existe pas de supports prédominants pour définir une feuille de route, cela dépend des affinités du/de la responsable du projet, avec les outils qu’il/elle utilise habituellement.

En revanche, on peut identifier des usages spécifiques en fonction du support :

 

  • Les outils de bureautique (type Suite Office) :
    • EXCEL : Utiliser pour définir le planning et organiser les chantiers du projet
    • PowerPoint : Utiliser pour communiquer les avancées et réaliser le reporting lié à la feuille de route
    • Sharepoint : Utiliser pour communiquer les avancées de manière plus ludique et visuelle, pour associer des documents
  • Les outils de gestion de backlog type JIRA ou Trello : Outil tout-en-un, très orienté développement informatique, pour planifier et définir les chantiers d’un projet en même temps
  • Les outils de planning type Planner ou Monday : Outil collaboratif, plutôt orienté processus, qui permet à la fois de planifier et de donner une vue d’ensemble au projet

 

Une fois structurée, les rôles clarifiés et les différentes charges du projet définies, le suivi d’une feuille de route offre plusieurs bénéfices :

 

  • Fluidifier la communication : Une feuille de route est facile à lire ce qui permet de rapidement communiquer sur ses avancées, blocages, etc. auprès de n’importe quel interlocuteur d’un projet
  • Renforcer la collaboration : Ce document unique et central permet de renforcer les échanges et le travail entre les équipes IT et les équipes métiers
  • Faciliter la prise de décision : Une feuille de route permet de rapidement mettre en avant des risques capacitaires, financiers ou les conflits de planning, afin de prendre des décisions
  • Prioriser les chantiers : Une feuille de route permet rapidement d’identifier et de définir des priorités vis-à-vis des jalons importants, de leur complexité de réalisation et des délais de livraison

Prêt à mettre en pratique nos conseils ?

Voici un outil signé Cool Kit pour vous exercer à définir votre feuille de route informatique
➡️ https://coolkit.coolitagency.fr/toolspage/details/14 ⬅️

Besoin d’aide ?

Chez Cool IT, nous avons développé nos propres méthodes, largement éprouvées (depuis plus de dix ans !), pour vous aider à mener à bien vos projets informatiques.

by Erwan Moyon

Interview Ali Moutaib : Croissance et disparités technologiques des pays d'Afrique

Sur le compte Instagram de l’agence (@cool_it_fr), on parlait la semaine dernière des inégalités et disparités technologiques entre les continents : Qui a accès à Internet ? Quelles sont les habitudes ? Quel est l’impact des disparités sur le développement des pays ? Le développement des personnes ?

Afin de compléter nos différentes publications, sous forme de cartographie, nous avons également échangé avec Ali Moutaib, Directeur d'un cabinet de conseil, spécialisé en stratégie et intelligence économique, basée au Maroc.

Nous avons souhaité en savoir plus sur la vision business, qu’on pouvait porter sur les évolutions technologiques des pays d’Afrique.

#1 — Peux-tu te présenter ?

Ali Moutaib, directeur associé d'un cabinet spécialisé en stratégie et intelligence économique, je suis aussi directeur d’une filiale d’une école du même secteur.

#2 — Peux-tu présenter ton activité professionnelle ? Pourquoi fait-on appel à ta société ?

 Le métier de la data et de l’information est au cœur des services que nous proposons à nos clients. Si la data est considérée comme le pétrole du 21ème siècle, notre objectif est d’en faire un levier créateur de valeur pour nos clients.

Soit en protégeant leurs actifs : mise en place de veille stratégique et compétitive pour leur produit, mais aussi des services de gestion de risques et de crise (informationnel, cyber). Nous exploitons aussi l’information afin de booster la compétitivité, et la visibilité de nos clients, à travers nos outils d’analyse.

#3 — Pourquoi avoir choisi d'installer ton activité au Maroc ?

Avec une approche business et de coopération sud-sud dynamique sur le continent africain, le Maroc est aujourd’hui un pivot géopolitique et business se situant entre l’Europe, le Moyen Orient et l’Afrique. Notre cabinet a choisi d’accompagner ce mouvement en essayant d’apporter notre pierre à l’édifice.

#4 — Quelle place occupe le web et les nouvelles technologies dans ton activité ? Celle de tes clients ?

La digitalisation occupe aujourd’hui une place de première importance dans le cœur de métier, et des préoccupations de nos clients. Internet est au cœur des enjeux stratégiques des missions, sur lesquelles nous intervenons. Il constitue aussi un levier de développement important dans notre entreprise, que cela soit dans nos processus métiers, mais aussi dans notre stratégie de développement, et à travers nos outils d’analyse de data

#5 — Quelle vision as-tu des disparités entre les différents pays d'Afrique, en termes de développement technologique et d'innovation ?

Il faut noter que le continent africain a rattrapé son retard au niveau du développement technologique et d’innovation ces 20 dernières années.

Les initiatives technologiques ne manquent plus au continent, et la crise sanitaire a aussi accéléré ce phénomène.

Néanmoins, les disparités restent présentes, et se traduisent plus dans les zones rurales, moins connectées, et plus pauvres en termes d’accès à l’information, que les zones urbaines. C’est ce qui accentue plus cette hétérogénéité.

#6 — Comment peut-on expliquer ces disparités ?

Les raisons sont multiples, nous pouvons citer :

·      La pauvreté dans les pays les moins avancés, car le coût pour avoir accès à l’information est très élevé

·      L’éducation et l’analphabétisme sont l'une des principales raisons pour lesquelles certains pays d’Afrique sont à la traîne par rapport au reste du monde.

·      Les politiques gouvernementales, certains pays du continent investissent moins dans les nouvelles technologies, que les autres pays du monde

·      Les infrastructures inadéquates sont également un facteur contribuant à cette disparité, notamment les zones rurales qui sont moins connectées.

#7 — Quels sont les impacts principaux sur les populations ?

Si des mesures rigoureuses ne sont pas prises pour réduire le fossé entre ces pays, les disparités seront de plus en plus flagrantes, et nous auront une fissure au sein du continent. Ce qui créera une Afrique à deux vitesses. Tous les secteurs seront impactés : Industrie, agriculture informatique…etc.

#8 — Aujourd'hui, quels sont les besoins principaux liés à internet des différentes populations ?

Internet a révolutionné les communications, à tel point qu'il est désormais notre moyen de communication préféré au quotidien.

Mais il a lui-même été transformé. Si nous nous rappelons bien qu’à ses débuts, il s'agissait d'un réseau statique conçu pour transporter un petit fret d'octets ou un message court entre deux terminaux ; c'était un référentiel d'informations où le contenu était publié et maintenu uniquement par des codeurs experts. Aujourd’hui nous sommes tous des commentateurs, des éditeurs et des créateurs.

Internet n'est plus uniquement un échange d'informations : c'est un outil multidisciplinaire sophistiqué. Il est l'un des principaux moteurs de l'économie d'aujourd'hui. Personne ne peut être laissé pour compte. Même dans un cadre macroéconomique difficile, Internet peut favoriser la croissance, associée à une productivité et une compétitivité accrue.

#9 — Où se situent les bassins d'innovation et de compétitivités informatique africains les plus importants ?

Le Nigeria, l'Afrique du Sud et le Kenya sont dans le top 5 des pays africains avec les écosystèmes de startups les plus développés.

Il faut par ailleurs noter aussi un écosystème d’innovation très important au Rwanda, mais aussi en Egypte, principalement dans l’industrie de la Fintech.

#10 — Quels sont les activités informatiques les plus compétitifs sur ces bassins ?

Software & Data, Fintech, la technologie de l'énergie et de l'environnement, la technologie du commerce électronique et de la vente au détail, la technologie des transports et la technologie de l'éducation.

#11 — Quelles sont les solutions / initiatives mises en place ou à venir pour réduire les inégalités techniques ?

Pour réduire ces inégalités techniques il faut combattre et résoudre les problèmes qui les engendrent : investir dans les infrastructures, dans la formation, contrer la pauvreté à travers l’éducation, et surtout combattre la corruption. Ce ne sont pas les richesses qui manquent sur le continent, mais l’exploitation des richesses qui est mise en question. L’adoption même d’une politique technologique pourrait permettre d’économiser de 5 à 9 milliards de dollars, soit environ 1,7 % du PIB (Digital Révolutions in Public Finance, FMI, 2017). 

 

Interview réalisée dans le cadre du thème
« Le web est-il égalitaire ? »
Retrouvez les post ici : https://www.instagram.com/cool_it_fr/ 

by Erwan Moyon

Interview de Sylvain Abélard : Les entreprises peuvent-elles utiliser des logiciels gratuits ?

« L’internet libre est-il gratuit ? » C’est la question qui a rythmé la rédaction d’un des thèmes de notre Instagram : @cool_it_fr

Pour y répondre, nous avons abordé la question sous plusieurs angles :


  • Celui des internautes
  • Celui des professionnels du contenus
  • Celui de l’économie

En tant qu’informaticien•ne, quand nous pensons à « la gratuité », nous pensons à l’Open Source. Et bien souvent, nous grinçons des dents, parce qu’en tant que créateur-technicien, pour nous rien n’est jamais vraiment gratuit, et ne devrait jamais l’être totalement pour rester performant et sûr pour les internautes.

Sylvain Abélard, ingénieur Software et partner de la société Faveod, a pris le temps d’échanger avec nous à ce sujet.


#1 – Quel est ton rapport à la gratuité des services en ligne ?

En tant que client, je veux du tout gratuit. Mais si c’est gratuit, c’est vous le produit !

Dans l’ensemble j’ai tendance à fuir le Web gratuit même si la prison Google est dorée.

Mais pas que Google : les exemples ne manquent pas ! Il faut « juste » suivre l’argent et l’histoire.

Les services Google sont pratiques, et comme tout le monde j’apprends ensuite leur coût en données personnelles, en services qui me rendent captifs (le confort d’un tableur partagé), en services qui ferment (Reader, leurs nombreuses messageries) ou qui font le bras de fer avec les acteurs établis (la presse, les commentaires sur Maps).

J’ai appris à me méfier de services qui montent trop vite, puis qui ferment les accès à du contenu que je voulais voir ouvert (Quora, Medium). On sait bien qu’exposer son travail chez un autre, c’est prendre le risque qu’il garde, change, ferme…

On pourrait aussi vouloir un monde moins centralisé, et s’efforcer de prendre des services « moins chers et très pratiques ». Hélas, ils se feront plus ou moins rapidement racheter : Instagram, WhatsApp, Bandcamp, Skype, Tumblr… avec les changements au service que cela peut impliquer.


« En tant que consommateur responsable, je suis content de payer pour des services de qualité, et aussi pour montrer qu’une approche légale et profitable existe. »

Quitte à parler d’histoire ancienne, durant un très court laps de temps, on a vu du RSS partout : des outils ouverts, le rêve que chacun ait son petit serveur et sa part d’internet à soi ! On avait des agrégateurs, des outils permettant de se faire des pages, qui utilisent plusieurs services ouverts…

Puis très vite les intérêts commerciaux ont cherché à re-centraliser ce qui était décentralisé, souvent à perte, dans l’espoir de devenir un acteur indispensable et monétiser tout cela.

En tant que consommateur responsable, je suis content de payer pour des services de qualité, et aussi pour montrer qu’une approche légale et profitable existe. À l’époque, le « danger du piratage » faisait parler jusqu’à l’Assemblée ; depuis, Netflix a mis tout le monde d’accord… et le marché s’est de nouveau fragmenté, le piratage revient plus fort, et ainsi de suite.

Payer, c’est aussi pouvoir voter avec son porte-monnaie : quand diverses entreprises ont voulu ajouter des NFT dans leur produit, il a fallu des mouvements de communautés entières pour dire aux managers « non, nous n’en voulons pas, et nous sommes prêts à quitter le service ».


#2 – Pour nous, Internet s’est fondé sur la gratuité des savoirs et sur le partage, que penses-tu de l’évolution des modèles économiques dans notre accès au contenu ? (tiping, abonnement, crypto…)

Je ne pense pas qu’Internet se soit fondé sur la gratuité.

Internet, ce sont des réseaux décentralisés, pour des raisons stratégiques : d’abord pour l’armée, puis pour les universités qui ont le partage dans leur ADN…(quoique, avec le business des publications et des revues, ça n’est pas si évident).

Internet, c’est pleins d’acteurs qui pensaient faire beaucoup d’argent et qui ont vu ces rêves mis à mal par un acteur dominant, par du piratage, etc.


 

Ça a culminé en 2000, par une énorme bulle spéculative, et notamment pour toutes les entreprises qui voulaient faire « l’argent de demain ». Finalement c’est Paypal le seul gagnant de cette époque, et dont certaines personnes (la « paypal mafia », Elon Musk par exemple) façonnent encore les modes aujourd’hui.

Personne ne fait d’infrastructure télécom gratuite, personne n’a d’électricité gratuite.

Le partage d’idée gratuit, c’est un acte militant : les mouvements Logiciel Libre, Linux…

Même Firefox fait de gros accords pour proposer un moteur de recherche par défaut.

Même Framasoft, qui fournit de super services, ont bien besoin de se financer quelque part. Ils ont été plébiscités par les profs durant la crise du COVID, et ils ont dû se fendre d’une tribune politique sur le gratuit, les associations, le service public et la mission de l’État.


#3 – L’événement Log4shell a remis sur la table le sujet des développeurs qui travaillent bénévolement à créer des solutions OpenSource. Penses-tu que cela remette en question la gratuité de ce type de modèle ?

Je ne sais pas si log4shell est un événement.

Preuve par XKCD :  https://xkcd.com/2347/ (je m’attendais à ce qu’il soit plus vieux)

La maintenance n’est jamais sexy, les problèmes sont connus sans qu’on les regarde.

Les process de sécurité des entreprises disent déjà qu’il faut auditer un peu ses dépendances.

On ne peut pas tout refaire, on doit bien faire confiance à des briques qui ne sont pas chez nous. « Faire, réutiliser, ou acheter » est une question qui se pose tous les jours dans toutes les DSI.


« Le souci n’est pas le gratuit, c’est de mal exploiter le gratuit. »

Une entreprise peut très bien bâtir des choses et faire de l’argent avec des briques gratuites. Elle devrait s’engager, non pas pour l’idéologie, mais simplement pour respecter la loi, protéger ses profits, vérifier que toutes les briques sont encore saines. Le souci n’est pas le gratuit, c’est de mal exploiter le gratuit.

Enfin, la santé mentale des devs Open Source n’est pas un sujet nouveau. On leur en demande davantage, on les traite mal. Il y a des développeurs qui disparaissent ou qui sabotent leurs projets et qui, durant quelques jours, mettent à terre toute une chaîne de sécurité.

Sur les paquets NPM, par exemple, il y a eu ce dev qui a saboté son code dont dépendaient des entreprises, et qui a permis à des pirates d’y mettre des attaques.


Log4shell, c’est la continuité de tout cela, avec peut-être une composante absurde en plus : dans le processus de justification de sécurité, de grosses entreprises ont demandé des audits gratuits à des personnes physiques, qui n’avaient absolument aucun engagement envers elles.


#4 – Selon toi, quel service devrait rester gratuit ? Être payant ? Et pourquoi ?

Rien ne restera gratuit.

Les services publics seront gratuits, car ils sont payés par nos impôts : bibliothèques, médiathèques, services pour participer à la vie locale ou nationale…

D’autres auront une étiquette gratuit et se rémunèreront autrement, via la pub, des partenariats, des produits annexes etc.

Certains services continueront via des plateformes de tipping ou de mécénat, ou tenteront de proposer « mieux que gratuit » (article de Kevin Kelly en mai 2008) : l’immédiateté, coffrets prestige, soutien aux créateurs… à ce titre, les streamers de Twitch sont sûrement un phénomène qui devrait intéresser bien davantage.

 

by Fen Rakotomalala

Pourquoi mettre en place une politique de gestion de mots de passe ?

“123456”, “qwerty”, “password”, “marseille”, “loulou”… En 2021, les pires mots passe sont toujours les mêmes. On estime même que 406 millions mots de passe ont été divulgués en 2021, soit une moyenne de 6 mots de passe par habitant (source NordPass).

En moyenne, il faut moins d’une seconde pour hacker un compte personnel, qui utilise un mot de passe trop simple. Pour une entreprise dont la gestion des mots de passe est faiblement sécurisée, le risque est le même.

Dans cet article, nous allons vous donner quelques pratiques fondamentales pour mettre en place une politique de gestion de mots de passe.

#1 — Définir un mot de passe complexe

Tout commence avec le bon choix du mot du passe ! Choisir un mot de passe sécurisé permet de :

  • Réduire les risques qu’une personne malveillante accède à un compte utilisateur de l’entreprise ;
  • Renforcer la sécurité des comptes administrateurs ;
  • Intégrer la sécurité dans les bonnes pratiques professionnelles des collaborateurs.

Il y a plusieurs critères à intégrer dans son mot de passe, afin de garantir un niveau de sécurité suffisant :

  • 12 caractères minimum ;
  • Au moins 1 majuscule ;
  • Au moins 1 minuscule ;
  • 1 chiffre et un caractère spécial.

On vous l’accorde, il est difficile de retenir et d’innover constamment ce type de mot de passe. Pour cela, le plus simple reste d’utiliser un générateur de mot de passe, comme le générateur en ligne motdepasse.xyz ou les générateurs de logiciel de sécurité en ligne tels que Dashlane, 1password ou Avast.

Source — The Cybersecurity Hub

#2 — Éviter la réutilisation de mot de passe

Même si le mot de passe est complexe, s’il vient à être compromis et divulgué sur internet, il devient inutilisable.

Les hackers utilisent des programmes pour automatiser leurs attaques et trouver les mots de passe.

Dès qu’ils ont en trouvé un, ils le réutilisent sur d’autres sites internet, et ainsi de suite. Les mots de passe volés sont soit revendus, soit utilisé pour compromettre les données de l’entreprise.

Il faut donc éviter au maximum la réutilisation de mots de passe, même avec quelques variantes, comme : « loulou22 », « loulou23 » … Les hackers anticipent également les variations possibles.

#3 — Utiliser un coffre-fort numérique

Avec la multiplication des outils en ligne, nous avons forcément une multiplication de mots de passe. Cette multiplication de mots de passe peut parfois mener à des failles dans la politique de mot de passe, ou l’utilisation de mémo matériel, très risqué : tableau Excel, post-it…

L’utilisation d’un coffre-fort numérique peut permettre de :

  • Stocker l’ensemble des mots de passe sur un serveur sécurisé ;
  • Générer aléatoirement des mots de passe complexes ;
  • Se connecter sans avoir à saisir les identifiants et mots de passe ;
  • Partager des données sensibles de manières sécurisées.

Le coffre-fort est protégé par un seul mot de passe maître à retenir. La perte ou la compromission de cet unique mot de passe peut être prise en charge par l’éditeur qui vous propose le coffre-fort.

Parmi les plus connus du marché, on retrouve : Dashlane, NordPass, KeePass, LastPass...

#5 – Éviter de passer par des systèmes tiers, non-dédiés à la sécurité

Google, Facebook, Twitter, LinkedIn… proposent tous des moyens de s’authentifier via leur propre système d’authentification. Le problème avec des services tiers, c’est la dépendance. Si ces derniers viennent à être attaqués, il y a un risque à ce que les accès de l’entreprise soient compromis.  

Il en va de même pour les navigateurs : Chrome, Firefox, Edge etc. Ces services sont régulièrement attaqués, et comportent régulièrement des failles de sécurité.

Pour les sujets de sécurité, comme les mots de passe, il vaut mieux privilégier des services dédiés à la sécurité (générateurs, coffre-fort…)

#5 – Activer la double authentification

On ne le répète jamais assez ! Le risque zéro n’existe pas ! On œuvre surtout à réduire les risques au maximum. Les pratiques citées ci-dessus permettent de réduire les risques de vol de mot de passe, mais ne l’empêche pas 100%

Pour renforcer la sécurité d’accès à un compte, il est également conseillé d’en renforcer l’accès via la double authentification.

Cette méthode de sécurité permet, au moment de la connexion à son compte, d’utiliser un second moyen d’authentification pour accéder à son compte. On vérifie doublement la personne qui devra se connecter via un SMS, un e-mail, une application en plus.

Les bénéfices de la double authentification sont multiples :

  • Renforcer la sécurité des accès aux comptes sensibles de l’entreprise ;
  • Empêcher l’accès à un compte même si le mot de passe a été volé ;
  • Renforcer la sécurité en dehors du bureau.

Les méthodes de cyber hacking de mots de passe continuent de se perfectionner, au fil des années. Les attaques sont de plus en plus subtiles. Par exemple, on sait qu’aujourd’hui les hackers peuvent tenter de contrepasser la double authentification.

Pour réduire les risques de sécurité, les entreprises doivent impérativement s’armer d’une politique de gestion de mots passe robustes :

  • Définir des mots de passes complexe ;
  • Privilégier les coffres forts numériques ;
  • Éviter les solutions tierces ;
  • Sensibiliser les collaborateurs à la réutilisation ;
  • Mettre en place la double authentification.

En complément de ces pratiques, on peut ajouter le renouvellement des mots de passe tous les 90 jours, afin de toujours garder un temps d’avance sur les attaques possibles. Sans oublier, de sensibiliser régulièrement les collaborateurs sur les différents risques et actualités cyber liés aux mots de passe.

by Erwan Moyon

Comment sécuriser son code ?

Dans son dernier rapport dédié aux failles de sécurité, IBM a identifié le coût moyen d’une faille de sécurité à 4 millions de dollars. Cisco évoque également qu’une faille de sécurité peut coûter jusqu’à 20% du chiffre d’affaires d'une entreprise.

Certaines de ces failles de sécurité exploitent des vulnérabilités dans le code informatique afin de voler de l’information, s’introduire sur le système informatique, supprimer des données…

De la conception à la maintenance, les développeur-ses peuvent avoir un rôle à jouer dans la protection des données de l'entreprise.

Même si le risque ne peut pas atteindre le niveau 0, je vous propose quelques règles à suivre qui peuvent aider à renforcer ce rôle, sans modifier drastiquement leur activité principale.

Règle n°1 – Toujours concevoir avant de développer

Plus les lignes de code sont complexes, plus elles sont difficiles à maintenir dans le temps, surtout lorsque les développeur-se-s changent.

Pour réduire cette complexité, les équipes de développement doivent pouvoir dédier du temps à la réflexion et à la conception du code.

Plus l’écriture du code est simple, plus elle sera facile à faire évoluer, à transmettre et à maintenir dans le temps.

Règle n°2 – Automatiser les tests

Il est courant que plusieurs développeur-se-s travaillent sur le même code, ce qui amène des problèmes d’intégration et de qualité.

Afin de détecter ces problèmes, on peut opter pour l’intégration continue. Ce type de pratique regroupe un ensemble de technique pour vérifier la qualité du code de manière automatique. Cela aide aussi à identifier s’il y a eu une régression sur le code, et ce, de manière transparente.

L’intégration continue fonctionne grâce à des outils tels que CircleCI, JetBrains ou Travis CI. Ces outils vont reproduire et simuler un déploiement en production, lancer des tests automatiques définis dans le programme…

Règle n°3 – Faire de la veille de vulnérabilités

Une application ou un logiciel informatique utilise régulièrement des bibliothèques externes. Ces bibliothèques peuvent contenir des vulnérabilités, qui peuvent être exploitées par des hackers.

Pour surveiller l’apparition de nouvelles vulnérabilités, le service CVE a pour mission d’identifier, de définir et de cataloguer les nouvelles failles de cybersécurité.

Compte tenu des milliers de vulnérabilités, il existe des plateformes permettant d’agréger et analyser ces failles, selon son existant, le tout en temps réel : Kenna Security Vulnerability Management, Flexera Vulnerability Manager, Tenable.io ou ZeroNorth.

Règle n°4 – Former les développeurs

Les développeur-se-s ne sont pas ou peu formé-e-s à la cybersécurité. Iels appliquent les exigences de sécurité imposées par le-a RSSI et les bonnes pratiques de développement.

Pourtant, ils utilisent de plus en plus de technologies différentes qui amènent leur lot de failles de sécurité.

Les développeur-ses peuvent être le premier rempart aux risques de sécurité. Pour cela, iels doivent être accompagné-es et formé-es aux bonnes pratiques de développement sécurisé.

Iels peuvent être accompagnés sur plusieurs sujets :

  • Apprendre à configurer, intégrer et utiliser des outils cyber sécurité (outil d’analyse de code et vulnérabilités, outil de tests d’intégration…) ;
  • Apprendre à évaluer les risques liés à l’utilisation d’un outil, définir des critères sécurité avant de choisir un outil, identifier les données sensibles à protéger ;
  • Intégrer des méthodes de développement sécurisé, comme définie par l’organisation OWASP

Règle n°5 – Faire de la revue de code

La revue de code est un des moyens les plus efficaces pour réduire des risques de cybersécurité.

Elle consiste à procéder à l’examen du code par un-e autre développeur-se, généralement plus expérimenté-e.

Le processus de revue de code est essentiel, il permet :

  • de réaliser un contrôle qualité en continu ;
  • d’enrichir et d’améliorer la qualité des réalisations des développeur-ses

Il existe plusieurs manières de revoir un code :

  • Pair programming ;
  • Pull requests ;
  • Revue périodique…

Règle n°6 – Réaliser des audits de code

L’audit de code permet d’évaluer en profondeur le niveau de sécurité d’un logiciel ou d’une application. Il est mené par une entreprise tierce.

Un audit de code est réalisé dans plusieurs contextes :

  • Au moment du lancement d’une application ou d’un logiciel contraint par des obligations réglementaires,
  • Lorsque l’application ou le logiciel est massivement utilisé,
  • Au moment où l’entreprise devient publiquement connue, les cyber hackers attaquent particulièrement des entreprises visibles.

Il a un double objectif sécurité :

  • Identifier les vulnérabilités de sécurité ;
  • Évaluer la qualité des mesures de sécurité intégrées au code.

A l’issu d’un audit, un plan d’action technique est fourni qui permet à l’entreprise d’identifier ses points d’amélioration.

Règle n°7 – Activer les logs

Les logs désignent un fichier qui stocke l’historique d'activité d'une application, ou d'un serveur. Pour toute application ou logiciel, il est donc nécessaire d’activer les logs, pour les analyser régulièrement.

Grâce à ces logs, il est possible de détecter des cyberattaques, un dysfonctionnement, des problèmes de sécurité, etc. Ces journaux permettent aux dévs de corriger leurs codes et d’identifier des comportements anormaux.

La sécurité dans le code est au centre des enjeux cybersécurité des entreprises.

Elle doit être utilisée comme un moyen d’améliorer la qualité des développements informatiques et de renforcer la protection de l’entreprise contre des cyberattaques.

Ces règles de sécurité sont les bases pour un premier niveau de sécurité. Elles doivent être revues, renforcées, corrigées de manière régulière.

Enfin, il ne faut pas négliger la partie humaine de la sécurité dans le code : le-a développeur-se. Iels sont en première ligne pour corriger les failles de sécurité, iels doivent être accompagné-es et formé-es aux bonnes pratiques de sécurité, afin de les appliquer dans leur travail de conception, de code et de maintenance.

 

 

by Erwan Moyon

Comment sécuriser son entreprise avec des logiciels Open Source ?

Chaque année, 370.000 logiciels Open Source sont téléchargés dans le monde. Le dernier rapport de Sonatype, appelé « State of the Software Supply Chain 2020 » a même identifié que 29% de ces logiciels possédaient des vulnérabilités, soit un tiers du marché actuel de l’Open Source. En 2021, le nombre d’attaques utilisant des vulnérabilités Open Source a augmenté de 650%

La plus importante et dernière en date concerne l’exploitation d’une vulnérabilité appelée Log4Shell. Cette vulnérabilité a été détectée dans le logiciel Log4Js, lui-même utilisé par le logiciel Apache, solution utilisée par des dizaines de milliers de site web.

Cet évènement a remis au centre des préoccupations les conditions d’utilisation des logiciels Open Source, les pratiques de maintenance et de financement.

#1 — Open Source, de quoi parle-t-on ?

Un logiciel Open Source, ou logiciel libre, est un programme informatique dont le code est publiquement accessible. N’importe qui peut y accéder, le modifier et en distribuer le code. L’Open Source existe depuis que l’informatique existe.

Le modèle de développement d’un logiciel Open Source est différent d’un logiciel propriétaire :

  •  Il se repose sur le travail bénévole de communautés de développpeur·ses, à maintenir le code du logiciel sans demander de contrepartie financière
  •  Il s’enrichit de manière collaborative, n’importe qui, tant qu’iel en a les compétences peut contribuer à améliorer le code
  • Il est censé entièrement responsabiliser les utilisateur·rices, qui peuvent eux-mêmes l’exploiter comme iels le souhaitent

La fiabilité d’un logiciel Open Source est donc fortement associée aux développeur·ses qui le maintiennent. Les solutions les plus fiables, comme celles de Red Hat (1er éditeur mondial de solutions Open Source), sont gratuits pour les utilisateur·rices les plus débrouillard·es, payants pour celles et ceux qui souhaitent bénéficier d’un service similaire à une version propriétaire.

En dehors de ce modèle, la gratuité totale peut amener à des problématiques de mise à jour, sécurité, de performance, d’ergonomie…

#2 — Que renforce les dernières cyber actus des problématiques du Logiciel Libre ?

Depuis Log4Shell, on réalise que les risques cyber, qui ciblent les failles de l'Open Source, peuvent être subtiles mais ne sont pas inédites. Tels que l’exploitation de codes vulnérables, le sabotage de logiciels, le découragement des développeur·ses…

Les raisons sont diverses :

  • Peu ou pas d’audit interne en amont ;
  • Peu ou pas de vérification de la qualité du code ;
  • Surcharge de travail des développeur·ses Open Source ;
  • Maintenance peu réalisée après la mise en production …

90% des programmes informatiques existants utiliseraient des modules Open Source pour fonctionner. Cela sous-entend que la majorité des programmes du marché sont dépendants de leur fiabilité.

Du fait de cette dépendance, il y a un réel enjeu à valoriser l'Open Source d’une part, et d’autre part à renforcer les politiques de maintenance.

3 — Pourquoi financer les développements Open Source ?

Le développement Open Source n’est pas gratuit pour ses créateur·rices. Il demande du temps, souvent pris sur le temps libre de développeur·ses passionné·es. Pour en tirer profit, il est primordial de valoriser les communautés qui font vivre ce milieu, afin qu’iels aient les moyens de proposer des solutions plus fiables.

Les modèles de rémunération peuvent être divers :

  • Recruter un·e développeur·se et/ou un expert en interne pour travailler sur la maintenance ;
  • Rémunérer directement les développeur·ses Open Source, si iels proposent des services de maintenance ;
  • Financer des programmes Open Source : collectifs, formation, entreprise spécialisée, initiatives gouvernementales...

Néanmoins, il faut garder en tête que l’Open Source ne fonctionne pas pour tout. Cela requiert un véritable questionnement sur la dépendance informatique et sur sa propre politique de maintenance, de sécurité.

4 — Mais du coup, doit-on arrêter d'exploiter les logiciels Open Source ?

Non ! L’Open Source contribue à l’enrichissement de l’informatique.

Il permet :

  • d’accélérer l’innovation
  • de maintenir l’accessibilité logiciel aux organisations plus modestes
  • d’expérimenter des produits

Ce n’est pas le modèle d’organisation qui est à revoir, mais l’exploitation des logiciels.  

Pour citer Sylvain Abélard, ingénieur logiciel chez Faveod : « Le soucis n’est pas les gratuit, c’est de mal exploiter le gratuit. »

Pour une meilleure exploitation des logiciels libres, il faut donc :

  • Être en mesure de se responsabiliser, calibrer leur dépendance et investir davantage sur la maintenance, la sécurité
  • Soit fournir des contreparties justes aux acteur·rices de l’Open Source

Ainsi, les organisations pourraient être en mesure d’entretenir un cercle vertueux. La traçabilité des développements contribueraient à la fois au maintien des valeurs de l’Open Source, mais aussi au maintien des organisations de ses exploitants.  

 

by Erwan Moyon

Femme de la Tech — Interview de La Steminista, ingénieure cybersécurité et dév Python Django

#1— C’est quoi Steminista ? Qui se cache derrière ? Pourquoi avoir lancé un blog et un compte Instagram ? 

La Steminista, c’est simplement la fusion des termes « steminist » et « pythonista ». Deux adjectifs qui me décrivent assez bien en tant qu’ingénieure informatique.

Pythonista, parce que, depuis quelques années déjà, j’utilise principalement Python dans mon travail et mes projets perso.

Et Steminist, parce que je suis convaincu que la contribution des femmes est primordiale dans les sciences dures ou les disciplines dites STEM (Sciences, Technologies, Engineering, Maths). 

En tant qu’ingénieure, j’ai eu l’occasion de collaborer sur des projets dans différents métiers et il est vrai que les femmes sont sous-représentées dans le milieu de la tech. Je pense que c’est un vrai gâchis et c’est l’une des principales raisons qui m’ont motivée à lancer mon blog.

Par ailleurs, la documentation et les contenus de formation sont principalement en anglais. Je me disais qu’un blog en français ne ferait pas de mal pour les francophones pour qui l’anglais pouvait être une barrière dans leur processus d’apprentissage. En bref, le blog et le compte instagram sont une façon comme une autre de transmettre, mais aussi d’apprendre de la communauté d’informaticiens présente sur les réseaux.

#2—Tu es ingénieure en cyber avec une spécialisation Python. Quel a été ton parcours ? 

J’ai appris les fondamentaux et les bases de l’informatique en école d’ingénieurs. C’était une formation assez vaste et généraliste mais tout à fait bénéfique. 

En travaillant, je me suis retrouvée dans des projets qui ont nécessité de mettre en place des solutions pour répondre à des besoins divers. Il fallait avoir plusieurs casquettes et c’est comme ça que je me suis tournée vers Python. 

Je pouvais faire de l’automatisation pour les tâches quotidiennes, mettre en place des solutions web avec Django notamment (un Framework puissant basé sur Python) et je profitais des nombreuses librairies qu'offrait Python pour réaliser entre autres des statistiques et de la visualisation de données. Pour faire court, il fallait être polyvalent, rapide et efficace, et Python était un peu mon couteau-suisse.

Après quelques années, j’ai décidé de me spécialiser. Je me suis alors orientée en sécurité informatique. La formation que j’ai suivie a consolidé mes acquis d’informaticienne généraliste, dans le domaine de la sécurité des systèmes d’information. J’y ai appris à concevoir des systèmes et des solutions robustes et sécurisés, en prenant en compte les aspects techniques, organisationnels et juridiques.

#3—Qu’est-ce qui t’a attiré vers cette profession ? 

Les premiers cours d’algorithmique ont été un tournant. J’ai adoré résoudre des problèmes concrets en utilisant des logiques de programmation. Et c’est comme ça que je me suis orientée vers les sciences informatiques.

J’ai eu l’occasion de faire des stages dans différents secteurs et c’est l’une des choses que j’aime le plus en informatique. On apprend continuellement en collaborant avec différents corps de métiers. Ces expériences professionnelles m’ont conforté dans l’idée que c’était ce que je voulais faire.

#4—Qu’est-ce que tu fais concrètement ? À quel moment fait-on appel à toi ?

En tant qu’ingénieure en cybersécurité, cela veut dire que je contribue à la sécurisation et la protection des systèmes d’informations contre les incidents et les attaques malveillantes.

Je travaille actuellement au sein d’une équipe chargée de la conception et de la sécurisation des systèmes d’information. 

Il est aussi important de sensibiliser les utilisateurs de façon continue, pour qu’ils apprennent à avoir les bons réflexes face aux dangers qui peuvent menacer l’entreprise.

Mon boulot est de protéger les données et le patrimoine informationnel de l’organisation. Pour cela, il faut réfléchir à une stratégie et la mettre en place à l’aide des moyens techniques et organisationnels mis à notre disposition. 

Pour faire simple, construire une stratégie sécurité revient à analyser les risques auxquels l’entreprise est exposée, pour ensuite définir et implémenter des politiques de sécurité. 

Il est aussi important de sensibiliser les utilisateurs de façon continue, pour qu’ils apprennent à avoir les bons réflexes face aux dangers qui peuvent menacer l’entreprise.

#5—La sécurité est un sujet qui devient de plus en plus central dans l’actualité informatique, mais reste pourtant assez impopulaire en France, pourquoi selon toi ? 

A mon avis, il y a plusieurs facteurs.

-        Notre imaginaire ou l’idée qu’on se fait de la sécurité informatique : Dès qu’on parle de cybersécurité, on pense à un jeune homme en hoodie mi-fou mi-génie, planqué dans une salle sombre prêt à répandre le chaos.

-        L’apparente complexité du sujet : La sécurité est liée à l’insécurité que l’on ressent face à un sujet vaste qui paraît de prime abord trop compliqué à appréhender. Et ce n’est pas la faute de monsieur et madame tout le monde. Les experts en cybersécurité s’adressent principalement à leur communauté. Pour beaucoup, c’est un univers qui semble réservé à des initiés qui parlent leur propre langage.

-        Le sentiment de ne pas être responsable : On se dit que la sécurité est l’affaire exclusive du constructeur du produit ou du fournisseur de service.

-        La tendance à sacrifier la sécurité au profit d’une expérience utilisateur plus fluide et plus rapide.

Beaucoup d’entreprises ne mesurent pas l’importance de ces « peut-être » et ne veulent pas investir en fonction de ces prédictions. C’est humain mais ça peut coûter cher. On constate parfois que, tant qu’elle n’a pas été attaquée, une entreprise ne mettra pas tous les moyens pour se protéger. 

#5—On constate une importante recrudescence de pannes et de cyberattaques à travers le monde, avec des impacts importants, comment se fait-il que les entreprises soient aussi vulnérables ? 

Tout d’abord, la sécurité est un investissement basé sur des prédictions. En d’autres termes, on construit une stratégie de sécurité sur des scénarios décrivant la probabilité que la société soit « un jour », « peut-être » attaquée. 

Beaucoup d’entreprises ne mesurent pas l’importance de ces « peut-être » et ne veulent pas investir en fonction de ces prédictions. C’est humain mais ça peut coûter cher. On constate parfois que, tant qu’elle n’a pas été attaquée, une entreprise ne mettra pas tous les moyens pour se protéger. 

Mais fort heureusement, les choses changent avec les lois et les nouvelles réglementations en vigueur qui font en sorte que les entreprises prennent la question plus au sérieux.

Par ailleurs, on sait que le facteur humain est la principale source des incidents cybers. La sensibilisation et la formation des collaborateurs, à tous les niveaux, est centrale et ne doit pas être prise à la légère.

On pense aussi que la sécurité est une action ponctuelle, alors que c’est un processus en permanente évolution. Les risques doivent être réévalués, les réponses aux menaces et les politiques doivent être constamment mises à jour.

Enfin, le risque zéro n’existe pas. Les experts sécurité veillent principalement à réduire les risques d’incidents autant que possible et c’est un processus continuel. En d’autres termes, c’est une guerre perpétuelle entre les experts chargés de protéger l’entreprise et les hackers malveillants.

#6—Selon toi, qu’est-ce qu’il faudrait mettre en place pour mieux sensibiliser à la sécurité ? 

L’humain est au centre de toute stratégie de sécurité. L’objectif de la sensibilisation à la sécurité est d’instaurer une culture de la cybersécurité. Il est important de mettre en place des formations et des techniques de sensibilisation à la cybersécurité efficaces en entreprise. Il faudrait par exemple :

  1. Produire une charte informatique de qualité, qui fixe les droits et les devoirs de chacun, est indispensable. Celle-ci doit être claire et facile à comprendre pour les profils non-techniques.

2. Sensibiliser tout le personnel en continu. Les technologies et les techniques d’attaques évoluent rapidement et les collaborateurs doivent être au fait des différents types de risques qui peuvent menacer l’entreprise.

3. Améliorer les modes de communication et vulgariser les concepts techniques au maximum. Les utilisateurs ont besoin de les connaître, pour mieux se protéger, et protéger leurs données. Il faut expliquer aux utilisateurs qu’ils peuvent choisir entre être le problème ou la solution.

4. Rendre la formation ludique et interactive. Au-delà des présentations classiques, on peut se montrer créatif, impliquer les utilisateurs et mettre en place des exercices de simulation ou des ateliers incluant des jeux, des mises en situation et des quizz, et s’assurer que les informations ont été correctement assimilées.

5. Être bienveillant en tant que formateur :

  • Eviter le sarcasme ;
  • Savoir adapter son discours en fonction du profil et du niveau de responsabilité de chacun ;
  • Se montrer ouvert et disponible et instaurer un climat de confiance pour que les collaborateurs posent toutes leurs questions.

#7—Qu’est-ce qui selon toi fait un-e bon-ne ingénieur-e ? 

Pour moi, les qualités principales d’un-e bon-ne ingénieur-e sont la curiosité, la créativité, l’envie d’apprendre et la capacité de s’adapter. Un-e ingénieur-e est une personne qui aime relever des défis et résoudre des problèmes. Iel est capable d’avoir une vision claire de ce qu’il veut faire et de comment y parvenir. 

C’est aussi quelqu’un qui peut collaborer et travailler en équipe. Concernant les ingénieur-e-s spécialisé-e-s en cybersécurité, avoir un sens moral sans faille est capital, en particulier chez les hackeurs éthiques ou les pentesters.

#8—Qu’est-ce qui est un bon environnement de travail pour toi ?

Selon moi, un environnement de travail sain, c’est avant tout de la flexibilité et de l’agilité pour les employés en leur donnant plus de liberté concernant leur façon d’organiser leur travail. C’est aussi pouvoir communiquer facilement autant entre collaborateurs qu’avec la hiérarchie.

#9—Quels conseils donnerais-tu aux recruteurs et aux entreprises pour mieux recruter/engager des profils techniques ?

J’aurais deux conseils :

-        Donnez leurs chances aux passionnés, même s’ils n’ont pas le nombre « parfois irréel » d’années d’expérience requises.

-        N’oubliez pas les softs skills. Évidemment avoir des capacités techniques est important, mais une bonne recrue est une personne capable de se former, de s’adapter à de nouvelles technologies, de communiquer et de collaborer au sein d’une équipe.

#10—Quelque chose à rajouter ?

L’informatique n’est pas réservée exclusivement à des élus cracks en mathématiques. L’informatique offre un éventail de possibilités et d’opportunités quasi-infini. On peut apprendre un langage de programmation, écrire des programmes, coder des applications avec un niveau basique en maths. Si ça vous intéresse, lancez-vous ! Les ressources pour apprendre sont illimitées, il suffit de le vouloir.

Pour suivre La Steminista
Le blog : https://lasteminista.com/
Le compte Instagram : https://www.instagram.com/lasteminista/

by Fen Rakotomalala