CyberDef-CyberSec

Bilan des conférences Cyber à Eurosatory 2016

Cyber Def EuroSatory
Cyber Def EuroSatory

La semaine dernière s’est déroulé le 4ième forum CyberDef-CyberSec. Ce forum s’est déroulé lors du salon Eurosatory 2016 à Villepinte. Le cycle de conférences s’est déroulé sur 2 jours, cette année, c’était les mardi 14 et mercredi 15 juin. Hormis la conférence d’ouverture, toutes les conférences étaient en anglais.

La conférence d’ouverture a été faite par le vice-amiral Arnaud Coustillière qui est en charge de la cyber défense au sein des forces armées françaises. Il a synthétisé la position française sur le sujet. avec une question qui est revenu pour d’autres conférences, l’équilibrage entre la lutte informatique défensive (LID) et la lutte informatique offensive (LIO), question auquel les orateurs ont répondu en indiquant que l’équilibrage se faisait en fonction des besoins, réponse assez évasive, mais réponse quand même.

Lors de la conférence suivante il a été question de la course aux armements dans le cyberespace avec Mikko Hypponen de F-Secure.

La troisième conférence de la première journée portait sur un sujet qui a été remis sur le tapis le lendemain, “Convergence de la guerre électronique et Cyber sur le champ de bataille”. Le mercredi c’était “comment contrôler simultanément le cyberespace et le spectre électromagnétique”. Ces sujets assez proches ont été présenté par des officiels américains qui il faut le reconnaitre ont une longueur d’avance sur le sujet. Ce sujet concerne plutôt le champ de bataille, ce qui assez logique sur un salon comme Eurosatory.

Le mardi on a eu un sujet sur la menace intérieure, “Insider Threat : comment faire face aux menaces provenant de l’intérieur de votre organisation”, une menace bien souvent ignorée par les CIO, alors que chaque salarié quittant une société emmène toujours des données de l’entreprise.

La dernière conférence de la journée portait sur la résilience cyber quand tous les systèmes et plateformes sont connectés, un vaste programme. La vue japonaise des choses était intéressante, car axée sur les problématiques du pays devant tenir compte de son environnement tectonique qui a un impact fort sur la résilience des systèmes d’information.

La première conférence du mercredi portait sur un sujet assez classique sur la détection des menaces et des attaques.

La conférence suivante était sur les fuites d’informations, avec l’affirmation du moment, “il n’est plus question de savoir si on sera attaqué, mais quand?”. Là aussi il n’y avait rien de très nouveau mais l’allocution de Mr Koivunen de F-Secure était agréable.

La conférence de début d’après-midi portait sur la Cyber Défense et la Cyber sécurité en Afrique, continent vierge s’il en est. Les problèmes de l’Afrique sont plutôt orientés sur la cyber criminalité pour l’instant mais les compétences montent vite. Cette conférence a attiré beaucoup de monde.

Les conférences n’étaient pas d’un niveau technique très pointu, mais correspondaient au niveau d’attente d’un salon comme Eurosatory, en particulier les conférences situées au carrefour entre le cyberespace et le champ de bataille. La liaison entre le spectre électromagnétique et le cyberespace montre très bien la très grande maitrise qu’ont les Américains du sujet. Ce qui est rassurant ou pas, c’est que les messages sont constants, sensibilisation, maintenance des niveaux techniques sont les mamelles de la cyber.

Mr Tissot a organisé de bien belles conférences, vivement les prochaines.

Cyber

cyber
Cyber

Cyber par ci, cyber par là, de la chaussure, au frigo en passant par les avions, les voitures il y en a partout. Je voulais depuis quelque temps expliquer ce qu’était le cyber terme qui en vaut bien d’autres. On pourrait dire aussi connecté, informatisé, communiquant, numérique, il existe plein de dénomination possible. Qu’est-ce exactement? Personne n’en sait trop rien, par contre nous somme toutes et tous des cybers quelques choses, citoyen, consommateur, soldat, terroriste, même le sexe y a droit!

Wikipedia a bien résumé la chose, “ Cyber- est un préfixe à la mode à partir de la deuxième moitié du XXe siècle”. Mais ce n’est pas uniquement cela. C’est aussi est surtout un milieu.

Je perçois le cyber comme des chemins numériques reliant des points du monde réel entre eux. Ces chemins mêmes s’ils sont matériels, les fibres optiques, les files de cuivre, les ondes peuvent être considéré comme immatériels et innombrables et ne font que faire transiter des informations.

Le passage entre le monde numérique et matériel se réalise au travers d’interfaces. Celles-ci sont construites dans ce seul but, avec des composants matériels dédiés, le matériel informatique. Celui-ci est construit autour d’un processeur, de mémoire, de dispositifs d’entrées, de sortie et de communication. Un peu comme un port qui sert d’interface entre la mer et la terre.

Enfin il est nécessaire de disposer de mécanisme pour stocker la quantité phénoménale l’information qui est captée par les interfaces et générée par l’ensemble des acteurs lorsque l’énergie nécessaire à faire fonctionner tout cela disparaît.

Ces ensembles, les chemins numériques, l’énergie, le stockage et les interfaces forment le milieu cyber, et sont interdépendants.

Le cyber est un nouveau monde qui prend ses racines sur le monde réel qui nous est si cher. Mais aujourd’hui nous ne serions plus grand-chose sans ce nouveau monde.

La crue de Seine en Cyber crise

Zouave du pont de l'alma
Zouave du pont de l’Alma les pieds dans l’eau

Alors que la crue Seine semble s’éloigner je voulais revenir sur cet événement qui connut un problème technique majeur dans l’évaluation de la crue, la crue de la Seine en Cyber crise.

Le premier élément de cette crue a été joué il y a quelques mois du 7 au 18 mars 2016 lors d’un exercice européen et organisé par la préfecture de police de Paris, les détails sont ici.

Il y a eu beaucoup d’informations pour indiquer qu’un exercice allait se jouer, par contre le résultat lui n’est pas connu (ici), ou plutôt ils devaient être débattus le 17 mai au palais de l’eau à Paris avec tous les partenaires (ici page 221), mais les dieux ont préféré un exercice grandeur nature, bien plus réaliste. L’exercice a surement bien aidé à la gestion de la crue de 2016.

Par contre un site de podcast de sécurité informatique, le Comptoir Sécu a réalisé une série d’émissions sur la durée de l’exercice. Cette série se décline en 10 émissions, de la mise en condition pour l’exercice au fatidique “qui va payer?”.

L’ensemble des podcasts est ici : J1J2J3J4J5J6J7J8J9J10.

Ces podcasts ont le mérite de poser les choses à plat et de pouvoir y réfléchir en amont. Et les événements de ces derniers jours ne font qu’en démontrer la pertinence.

Il s’est d’ailleurs produit un événement mineur qui a conduit à une mini-crise dans la gestion de la crue. Cela c’est produit au cours de la journée du vendredi 3 juin. Alors que l’eau montait, rien d’exceptionnel pour une situation de crue, il est apparue une anomalie entre ce que l’on observait et ce que l’on mesurait (ici et ici).

Graphique d'erreur de vigiecrue
Graphique d’erreur de vigiecrue

Or lors de la crise il est impératif d’avoir les bonnes mesures pour prendre les bonnes décisions et l’écart de 50 cm qu’il y a eu, aurait pu faire toute la différence entre une ligne de métro qui fonctionne et une qui ne fonctionne pas.

Il est assez symptomatique de notre société qu’à partir du moment ou la crise a été avéré, aucune mesure particulière n’a été prise pour valider correctement les mesures des machines, il s’est passé la nuit entre le bon fonctionnement et la découverte de la panne. Cette erreur s’est ressenti dans certaines annonces sur les hauteurs de crue et dans la précipitation de certaines opérations que les Parisiens ont pu observer en particulier dans le processus d’édification le vendredi. Le maximum de crue passé dans la nuit de vendredi à samedi on a senti un grand ouf de soulagement, même si la décrue sera plus longue.

Il faut toujours garder à l’esprit que le meilleur des capteurs reste l’humain surtout en cas de crise et surtout que le bon sens aide à passer la crise.

Hack Academy

Hack Academy
Hack Academy

Le Cigref a lancé le 1er septembre dernier une campagne de sensibilisation aux risques du numérique intitulé Hack Academy. Cette campagne repose sur un parallèle avec l’émission Star Academy, le célèbre télé crochet.

Ici 4 candidats Dimitri, Jenny, Martin et Willy proposent leurs attaques fétiches et pour les départager un jury composé d’Amy, Wuang et Dragan. Les 4 candidats ont chacun un côté attachant, Dimitri le beau gosse avec un accent de l’est, Jenny la teenager québécoise, Willy le belge et enfin Martin le gosse surdoué. Le teaser est ici.

Dimitri nous présente son attaque “man in the middle” sur les sites marchands et réserve une surprise à Dragan ici.

Jenny avec son petit chewing-gum rose nous présente sa technique spéciale pour récupérer les mots de passe, elle est “so cute”, c’est encore Dragan qui ramasse, ça se passe ici.

Martin avec son aire angélique vous présentera les logiciels gratuits et les clés USB ici.

Willy nous propose toutes les subtilités du phising ce sera ici.

Les choses ont même été sous-titré en anglais pour rendre le message plus internationale avec respectivement, Dimitri, Jenny, Martin et Willy.

Usez et abusez de ces vidéos qui sont très bien faites pour sensibiliser vos salariés, vos enfants et vos amis.