Nota: de nombreux ateliers ont lieu en parallèle, il n’est pas possible d’assister à tous, ce compte-rendu de ces trois jours ne représente que ma sélection personnelle, n’hésitez pas à en lire d’autres: Le Monde informatique a déjà publié quelques articles (ainsi que sur l’intervention de l’ANSSI) et certainement d’autres articles publiés dans les jours qui viennent.
Vendredi est donc le dernier jour de ces Assises 2012 pour moi, certains ne repartant que demain matin.
Une journée marquée pour moi par encore de nouvelles rencontres et échanges. J’ai pu assister à la présentation par Renaud Lifchitz de BT France sur ses recherches, précédemment exposées aux GS Days ou à la conference Hackito Ergo Sum de Paris cette année, sur la sécurité des interfaces sans contact NFC des cartes bancaires, une démonstration de Picviz Labs (l’entreprise qui a remporté le Prix de l’innovation 2012) sur sa technologie et enfin à une conférence de clôture avec les discours du Sénateur Jean-Marie Bockel (auteur du rapport parlementaire sur la cyberdéfense) et du directeur général de Cassidian Cybersecurity, Hervé Guillou.
Le message principal de ces deux orateurs est qu’il est impératif de mobiliser les décideurs politiques et les dirigeants des entreprises sur les questions de cybersécurité, qu’elles ne doivent plus être uniquement le sujet des informaticiens. J’ajouterais pour ma part qu’il faut aussi mobiliser les citoyens, les individus qui doivent tous s’accaparer les aspects éthiques, politiques, sociaux ou encore de vie privée liés à la cybersécurité.
Rendez-vous donc l’an prochain pour une autre édition qui sera sûrement tout aussie réussie.
Autres compte-rendus:
- Sur le blog de Bruno Kerouanton (@kerouanton)
Merci pour ce compte-rendu. Je ne laisse qu’un seul commentaire pour les 3 billets pour ne pas m’étaler partout:
1. La conférence de l’ANSSI a eu son petit impact vu toute la couverture presse qui en a été faite. En tout cas je partage l’avis de M. Pailloux sur bien des points, cependant:
— Si la nécessité de déconnecter les systèmes industriels (à minima les installations critiques) du réseau me semble tout à fait normale, la plupart des automates industriels ont des systèmes de supervision interfacés sur Ethernet. Comment concilier efficacement la nécessité d’un contrôle à distance (et parfois hors-site) avec la sécurité, surtout pour des structures de taille moyenne?
— A également été évoqué la mode des BYOD, avec les prises de position qu’on connaît et que je partage. En particulier pour les smartphones (hormis peut-être les BlackBerry), j’ai le sentiment que les produits Apple, comme Android, ayant été conçus pour un usage grand public, ils ne sont fondamentalement pas appropriés pour un usage en entreprise où la sécurité est un impératif.
Je peux me tromper, mais j’ai l’impression que les outils de gestion de flotte ne sont qu’une solution de contournement, qui, en règle générale, revient à pouvoir effacer à distance les données en cas de perte ou de vol (et donc cette solution dépend de la réactivité des utilisateurs à signaler la disparition de l’appareil). D’autant plus que vu la difficulté de saisir des mots de passe complexes sur un clavier tactile, la plupart des utilisateurs préfèrent soit stocker ces mots de passe, soit utiliser des mots de passe faibles, ce qui facilite d’autant plus la tâche d’un individu malintentionné.
==> A part l’aspect configuration + quelques applications pour la gestion à distance, quelle est la différence, au niveau sécurité, entre un smartphone d’entreprise et un autre personnel?
==> Certains smartphones proposent une option de chiffrement de la mémoire (interne et/ou SD card), mais impossible de connaître les algos utilisés. Que valent-ils? Vu que pour le moment, je n’ai pas connaissance de solutions type OFTE/TrueCrypt en version mobile…
2. Sur le rapport du sénateur Bockel (qui a lui aussi eu son impact médiatique…), Huawei et ZTE sont-ils vraiment plus dangereux (pour le coeur de réseau) que Cisco, HP, ou encore Ericsson? Si oui, pourquoi ne pas aller jusqu’au bout de la démarche, et imposer Alcatel-Lucent pour le réseau français?