Cybersécurité, quel combat à mener?

Posted inCybersecurity4 min read

Les récentes attaques montrent que les leçons du passé ne sont pas retenues : CF « Stuxnet » (nul n’est à l’abri d’une faille d’un protocole USB).
Ou encore Centreon qui est encore une énième histoire d’absence de maintenance/mise à jour, veille stratégique/technique mais aussi de communication.

Néanmoins, il y’a une différence par rapport à l’affaire SolarWinds : l’application Centreon n’a pas été apparemment « backdooré ». L’attaque de type web shell PAS (dont l’outil parfaitement légal a été créé par un étudiant ukrainien et disponible sous GitLab) est particulièrement redoutable et radicale et raison de sa quasi-indétectabilité. Si un administrateur système/réseaux est rigoureux, l’analyse des fichiers journalisées (CF fichier .htaccess de Apache) si elle est régulière et attentive permet de trouver les traces suspectes relevant la présence d’un web shell. En général, ce fichier sera au format php, avec un nom inconnu et des requêtes plus que douteuses par le biais de mots clefs suspects (GET, POST…). De plus en plus de web shell passe par le fichier .htaccess car il moins suspect qu’un fichier php, il permet d’appliquer des filtres dans l’upload de fichiers et surtout permet de manipuler la configuration de Apache sans passer par le fichier de configuration http.conf). En plus, le module mod_rewrite de Apache permet de recharger le fichier .htaccess à chaque chargement de page = modification à la volée de la configuration des pages et des réécritures. Un « bon » spécialiste aurait placé Centreon : derrière un pare-feu et créer une règle pour que le pare-feu réalise des vérification en DMZ.

Plus récemment, « Log4j » (la note technique CVSSv3 vaut bien un 11.0/10.0) hantera le web et ses fondations encore : 4 vulnérabilités pour une bibliothèque de logs, de là à voir que « log4j » capable de se connecter à une base de données, exécuter du code dessus même si il n’est pas directement joignable ou derrière une DMZ, on se pose vraiment des questions (prise de contrôle à distance sans authentification).

L’affaire est prise de sérieux : la Maison Blanche a déclaré que la sécurité de l’Open Source est une question de sécurité nationale. Elle va réunir courant ce mois tous les acteurs du marché. Il faudra convaincre utilisateur et développeur d’auditer les packages dans les dépôts des différentes distributions racines…

La pression de la maîtrise des coûts sur les DSI qui favorise l’externalisation à tout va ne semble pas arranger la donne.

Détecter une vulnérabilité sur Windows, Linux, BSD, MacOS, iOS, Android demande beaucoup de travail. Techniquement, on doit surtout vérifier les processus (programmes en cours d’exécution), réagir en cas de comportement anormal et bien veiller aux fichiers journalisés (logs) attentivement… Seul le temps permettra d’évaluer les dégâts. La cyberguerre est désormais devenue la composante majeure des nouvelles formes de conflictualités au XXIe siècle. Avec des dégâts se chiffrant en milliards de dollars pour un investissement de quelques milliers, le recours aux systèmes d’armes classiques apparaît de plus en plus obsolète.

Ian WEST, directeur du centre technique de la capacité de réaction aux incidents informatiques de l’OTAN et Eric FILIOL, ancien militaire, directeur du laboratoire de cryptologie et de virologie opérationnelles à l’ESIEA déclare qu’aujourd’hui, un individu muni d’un ordinateur peut causer plus de dégâts qu’une bombe ou toute autre arme conventionnelle. L’état des lieux de la sécurité informatique a soulevé la question de la protection des données personnelles et des solutions dans une optique de l’analyse des risques. Disposer d’une politique de protection des données est signe de la mise en place d’une confiance numérique (entreprise responsable) d’une part, et, d’autre part, d’une économie responsable (conformité RGPD, EBIOS).

Il est grand temps d’intégrer le concept de « Securirty by Design » dans les projets et d’investir sérieusement : il faut 5% de budget supplémentaire pour produire du code sécurisé sans oublier le risk-management afin d’évaluer le risque et la probabilité.

La société, hyper-connectée, semble échapper à tout contrôle, que ce soit technique (cyberattaque) ou législatifs (GAFAM).

Et si c’était mieux avant : CF la méthode de VAUBAN où on laisse les enceintes accessible pour identifier la menace et la contrer. Dois-on revenir sur une architecture composée d’une unité centrale et de terminaux passifs, les échanges avec l’extérieur de l’entreprise se faisant avec de multiples précautions et tests divers, quitte à ralentir la rapidité de ces échanges. Le risque zéro n’existe pas.

« Quis custodiet ipsos custodes? » (Qui surveillera les gardiens?)…

Liberté

Posted inFreedom1 min read

« Les citoyens qui se nomment des représentants renoncent et doivent renoncer à faire eux-mêmes la loi ; ils n’ont pas de volonté particulière à imposer. S’ils dictaient des volontés, la France ne serait plus cet État représentatif ; ce serait un État démocratique. Le peuple, je le répète, dans un pays qui n’est pas une démocratie (et la France ne saurait l’être), le peuple ne peut parler, ne peut agir que par ses représentants. » (Abbé Sieyès, discours du 7 septembre 1789).

DPO : quel salaire?

Posted inPrivacy3 min read

La grille de rémunérations reste encore opaque :
– DPO débutant = 2200/2400€ brut par mois (annuel à 35000-40000€/an, pic max à 51600€),
La logique veut que en raison du positionnement du métier, un minimum en début de carrière devra être fixé à 48000€/an
– DPO confirmé = 4000/5000€ (annuel minimum à 45000/50000€, pic max à 60200€)
– 25% des DPO junior se sont vus proposer un salaire situé entre 3000/3499€ par mois.

Le record salarial connu à ce jour est de 700000$ (bonus inclus) pour une « DPO » américaine embauchée par une entreprise qui avait subi une fuite de données qui a mis en péril sa réputation et lui a fait perdre des parts de marché significatives.

Aux Etats-Unis d’Amérique, le salaire médian d’un professionnel serait de 130000$ contre un salaire médian de 95800$ pour leurs confrères européens (soit de 35% supérieur).

De manière plus générale, le salaire brut mensuel d’un DPO (toutes expériences, tant débutant que expérimenté) oscille entre 2500€ à 4000€.


D’autres données plus complètes sont disponible sur AFPA : 
– 1 660 réponses 8% des DPO alors enregistrés en France sur un échantillon de :
# 1 192 DPO internes (qui exercent dans une seule entreprise ou administration),
# 224 DPO internes mutualisés (qui partagent leur temps entre plusieurs structures),
# 244 DPO externes (prestataires de services).

Le domaine d’activité de ces DPO est représenté à :
– 28,6% en provenance de l’informatique,
– 27,9% en provenance du juridique,
– 74,2% travaille à temps partiel.
Concernant les salaires, voici le récapitulatif :
– 11,5% : montant de la rémunération <25000€,
– 21,2% : montant de la rémunération comprise entre 25000€-35000€,
– 23,5% : montant de la rémunération comprise entre 35000€-45000€,
– 14,9% : montant de la rémunération comprise entre 45000€-55000€,
– 10,5% : montant de la rémunération comprise entre 55000€-65000€,
– 6,1% : montant de la rémunération comprise entre 65000€-75000€,
– 3% : montant de la rémunération comprise entre 75000€-85000€,
– 9,3% : montant de la rémunération >85000€.

Selon l’AFCDP lors de l’enquête des DPO publiée début 2021, voici les chiffres à retenir :
– 63% d’entre eux ne bénéficiaient pas en 2020 d’un budget spécifique,
– 55% à disposer d’une lettre de mission ou d’une fiche de poste,
– 75% à temps partiel,
– 44% des profils ne sont pas issus de l’informatique ou/et du juridique,
– 60% sont de niveau BAC+5 ou plus,
– 80% sont de niveau minimum BAC+4,
– 33% ont 1 ou 2 années d’expériences en tant que DPO/DPD/CIL.
Concernant les salaires :
– 56% des DPO sondés perçoivent une rémunération brute annuelle comprise entre 25000 et 44999€,
– 13% d’entre eux touchent un salaire >75000€.