Newsletter Sécurité 07/01 2017,Ce Web, si utile et si menacé, mais des associations y veillent !!!

Bonjour,

Au début des années 90, un chercheur du CERN, Tim Berners-Lee, eut l’idée géniale, en créant la notion d’hyperliens et un langage pour les mettre en œuvre, de permettre le cheminement, par un simple clic, d’un document à un autre, où que ces documents résident, et sans quitter sa chaise. Les distances étaient abolies. Accrocher un fil d’information permettait de tirer à soi toute la toile. Ce qui nous semble aller de soi aujourd’hui, il fallait l’inventer.

Ainsi naquit le Web qui allait changer notre rapport avec l’Information dans notre vécu quotidien. D’une interface texte pour y accéder, les navigateurs allaient connaître très vite d’importantes évolutions. Sur les pages web, des images fixes et animées firent leur apparition, puis des widgets, des JavaScripts, du code Java, des ActiveX, des formulaires à remplir. Des animations diverses contribuèrent à rendre l’information plus intuitive, plus dynamique, plus parlante. Avec les réseaux sociaux, le web devint interactif. Avec les moteurs de recherche il devient sémantique. Initialement prévu pour les PC ou les Mac, l’accès au web se fait par les smartphones, par les tablettes, et se fera à travers de multiples objets connectés. Un jour peut-être, suffira-t-il d’exprimer à peu près ce que l’on recherche, et la solution apparaitra sur le mur d’en face, visible uniquement à travers ses lunettes de confidentialité si l’information est sensible.

Accéder à l’information, où qu’elle soit, est devenu naturel. Deux ou trois mots connus d’une chanson et on retrouve l’air sur YouTube, quelques mots d’un poème entrés dans un moteur de recherche et on obtient l’ensemble de l’œuvre de l’auteur et sa biographie. On connait le nom d’une société, on trouve son adresse ou celle de son implantation la plus proche et les moyens les plus rapides pour s’y rendre.

Le web est une révolution, mais …

Mais il traine autour de lui un redoutable cortège de menaces, ce web devenu si indispensable mais si en danger et qu’il faut protéger. Si brusquement la toile n’était plus accessible, le ciel nous tomberait-il sur la tête ?

« La sécurité du web, les enseignements de terrain en France » sera le thème de notre premier Lundi de l’IE de l’année 2017, du Cercle d’Intelligence Economique du Medef Ile-de-France, le lundi 16 janvier 18 h 00 - 20 h 00 au 10 rue du Débarcadère 75017 Paris (métro Porte Maillot). Ce sujet sera traité par Etienne Capgras, co-responsable de l’équipe audit de sécurité dans la société de conseils Wavestone.

Je lui donne la plume :

« La sécurité du web est un sujet d’actualité, et ceci depuis des années !

Mais qu’en sait-on vraiment ? Quelle est la réalité sur terrain ? Quelles sont les failles les plus souvent rencontrées ?

Pour répondre à ces questions concrètement, nous avons procédé en France, entre juin 2015 et juin 2016, à un benchmark de l’ensemble des audits de sites web. Ce sont plus de 128 rapports d’audits ainsi que l’ensemble des failles rencontrées qui ont été analysés. Ces audits ont été réalisés pour plus de 80 grandes entreprises dans des secteurs très variés. Comment avons-nous procédé ? Quels sont les conclusions et les enseignements à en tirer ? Où se situent les « vraies » vulnérabilités ?

Et surtout, comment utiliser ces résultats pour faire progresser la sécurité ?

Vous aurez des réponses concrètes à ces questions, pour le contexte français ! »

Je reprends la plume :  

Un tel benchmark, présenté par un orfèvre, vaut certainement son pesant d’or. L’évènement est gratuit après inscription sur : http://www.medef92.fr/lundi-de-lie-securiteweb.html

Au Lundi de l’IE de décembre 2016, Yassir Kazar nous a exposé avec la pédagogie et l’expertise qu’on lui connait, « le Darknet, obscur terrain de jeu des cybercriminels ». Un compte-rendu a été écrit par Sarah Pineau, attachée parlementaire à l’Assemblée nationale, membre du comité directeur : Pôle études de l’ANAJ-IHEDN, sarah.pineau@anaj-ihedn.org, compte Tweeter en @spmilistaro. Précisons que Sarah nous a spontanément proposé d’écrire le compte-rendu du Lundi de l’IE de décembre à la fin de l’évènement. Bien sûr nous apprécions ce type de proposition, et nous tenons à donner de la visibilité à sa rédactrice.

Les explications de Yassir Kazar et le compte-rendu de Sarah Pineau sont disponibles sur http://www.medef92.fr/lundi-de-lie-darknet.html.

Et pour que la cybersécurité puisse être portée auprès du citoyen, il faut que les promotions d’informaticiens, de juristes, d’économistes, qui passent par les bancs de l’enseignement supérieur, soient sensibilisées aux différents aspects de la sécurité des données numériques. En prenant ce projet par le bon bout, il faut d’abord former leurs enseignants pour qu’ils intègrent les notions indispensables de la cybersécurité qui manquaient dans leurs cours, qui ne sont pas des cours dédiés à la cybersécurité. C’est pour cette noble et ambitieuse tâche que l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, a fait développer des modules pédagogiques pour aider les enseignants à intégrer la cybersécurité dans leurs cours non spécialisés en sécurité de l’Information. Pour augmenter l’efficacité de cette mission et lui donner une dimension qui va s’étaler sur tout le territoire national, et pas seulement à Paris, l’ANSSI a créé, en mai 2016, l’association CyberEdu que j’ai l’honneur de présider. Pour que les enseignants s’approprient ces notions et ces modules et les intègrent dans leurs cours, l’ANSSI a déjà organisé quatre colloques en trois ans à Paris. Plus de 100 enseignants en ont déjà bénéficié.

L’association CyberEdu, qui compte dans ses rangs des enseignants en sécurité de l’Information, bénévoles dans chaque Région de France, va poursuivre le développement de ces modules et assurera l’organisation des futurs colloques. Ainsi, si vous ne pouvez venir aux colloques CyberEdu à Paris, les colloques viendront à vous. L’ANSSI organise un cinquième colloque de 3 jours, du mercredi 22 au vendredi 24 mars 2017, Tour Mercure Paris 15e. Ensuite le relai sera passé à l’association CyberEdu qui attribuera un « label CyberEdu » aux enseignements qui auront intégré tout ou partie de ses modules. Pour avoir assisté au dernier colloque de l’ANSSI en mai 2016, je peux vous assurer qu’il est très enrichissant, et qu’ensuite, on a envie d’intégrer ces modules dans ses enseignements de l’informatique, mais aussi des sciences juridiques, des sciences humaines ... Pour participer à ce colloque gratuit, réservé aux enseignants de l’enseignement supérieur qui veulent en savoir plus sur la cybersécurité pour intégrer cette dimension dans leur cours, allez sur :

http://www.cyberedu.fr/billets/2017/01/prochain-colloque-cyberedu-en-mars-2017-a-lanssi/

A propos de l’association CyberEdu et de ses actions à venir, je précise deux choses :

  1. L’association CyberEdu n’est pas un organisme de formation et n’a pas pour cible un participant qui veut être formé à la cybersécurité. Il a dans ses missions de former des formateurs universitaires non spécialistes de la cybersécurité, pour que cette discipline trouve une place dans leurs cours. Tous les membres de l’association sont des bénévoles, et les adhésions à l’association sont ouvertes.
  2. L’association ne décerne pas son label CyberEdu aux enseignements spécialisés en sécurité de l’Information. Pour les enseignements universitaires dédiés à la cybersécurité, l’ANSSI propose le label « SecNumEdu ».

Nous avons été invités à intervenir dans l'AG de l'ADIUT (assemblée des directeurs d'IUT) en décembre. Philippe Werle, Université Paris 13, vice-président de l’association en charge des outils a présenté la démarche CyberEdu, et Xavier Roirand, Université de Bretagne Sud, vice-président CyberEdu Ouest, a esquissé une application pratique et un retour d’expérience de l’utilisation des supports de cours CyberEdu à l'IUT de Vannes. Les directeurs d’IUT ont été très intéressés et de nombreuses suites sont prévues. Voir en https://www.cyberedu.fr/billets/2016/12/presentation-ag-adiut/, vous y trouverez également les supports utilisés. Si vous pensez que notre démarche peut intéresser vos entités universitaires, contactez-nous.

L’association CyberEdu tiendra un stand au FIC 2017. Venez-nous voir, nous vous dirons tout, et pour commencer, allez sur http://www.cyberedu.fr

Dans ce genre de colloque, on enseigne que la cryptologie est le socle sur lequel s’appuie la sécurité de l’Information dans sa dimension confidentialité et intégrité des données numériques. Permettez-moi de me risquer à vous diriger sur un peu de prospective que j’ai osé faire

Je vous souhaite, et à tous vos proches, d’aboutir cette année la réalisation de ce que vous désirez et je vous dis à bientôt dans les évènements que nous organisons.

Gérard Peliks

Président de l’atelier sécurité et VP de Forum ATENA

Agenda de janvier 2017

 

  • Lundi 16 janvier 18 h 00 à 20 h 00 : Lundi de l’IE du Cercle d’Intelligence Economique du Medef Ile-de-France sur la Sécurité du Web : Les enseignements de terrain en France – 10 rue du Débarcadère Paris 17e http://www.medef92.fr/lundi-de-lie-securiteweb.html
  • Mardi 24 et mercredi 25 janvier : 9ème Forum International de la Cybersécurité (FIC) – Lille – Grand Palais - https://www.forum-fic.com