Selon le Baromètre mondial des risques d’Allianz de 2018, le risque cyber est devenu le deuxième risque le plus redouté, après le risque d’interruption d’activité et juste devant le risque lié aux catastrophes naturelles. Et pour cause, le risque cyber n’est plus pris à la légère aujourd’hui, de plus en plus d’entreprises prennent conscience de l’enjeu que représente la cybersécurité. Il faut dire qu’avec l’avènement du numérique et l’explosion des solutions Cloud, il est nécessaire de sécuriser le tout. Dans cet article, nous allons nous intéresser à la protection des serveurs, et plus particulièrement les WAF, ou Web Application Firewall. De plus en plus populaire, le WAF est devenu un élément important de la sécurité des serveurs. Focus sur cette solution. Définition : Un Web Application Firewall (WAF) est, comme son nom l’indique, un type de pare-feu dont le but est de protéger la couche applicative du réseau, en particulier les applications, sans pour autant les modifier. Dans le schéma d’architecture globale d’un système, le WAF sera placé à avant de l’application à protéger, de sorte que toute requête adressée à notre application sera analysée par le WAF. Ainsi, les paquets seront analysés un à un. Si la demande est conforme avec l’ensemble de règles prédéfinies, alors ces paquets seront autorisés à atteindre l’application. Dans le cas contraire, ceux-ci seront rejetés. Le mode de fonctionnement est explicité dans le schéma ci-dessous : Ce mode de fonctionnement va permettre au WAF de protéger la couche applicative du réseau contre un bon nombre d’attaques les plus courantes. Chaque attaque a une signature qui lui est spécifique, c’est ce qui va permettre au WAF de les bloquer, puisque l’analyse du trafic permettra de détecter toute activité anormale. Parmi les attaques bloquées par les WAF, on peut citer : Les vols de session: Lorsqu’une session web est initiée sur un site, un cookie sera créé de sorte qu’on n’ait pas besoin de nous authentifier toutes les 10 minutes. Un cookie mal-sécurisé peut être répliqué et hop ! on nous usurpe notre session, plutôt embêtant quand on est sur le site de sa banque, par exemple. Le WAF permet de se prémunir contre ces attaques en proposant une sécurisation de notre connexion à l’aide d’un chiffrement SSL. Les Injections SQL : les injections sont souvent véhiculées par des requêtes http ou embarquées dans une URL. Dans un très grand nombre d’attaques de ce type, on remarque que des caractères comme les « = » ou « ‘’ » reviennent souvent. Grâce au WAF, on peut implémenter une règle de blocage de caractère dans les formulaires de saisie. Les attaques DDoS : les attaques DDoS (Distributed Denial of Service) sont des attaques visant à rendre une application ou un serveur indisponible, en saturant sa bande passante. Ainsi, lorsque cette attaque est en cours sur un serveur, le nombre de requêtes par seconde va drastiquement augmenter, et le temps de réponse du serveur avec. Le WAF détecte, dans ce cas, un comportement anormal et va réagir en conséquence. Par exemple, il peut limiter le nombre de requêtes par seconde vers le serveur et rejeter le surplus, ou tout simplement blacklister les adresses IP suspectes et les requêtes qui y proviennent. Ceci n’est qu’un exemple d’attaques contre lesquelles protège le WAF. On peut aussi citer le Cross-Site Scripting (XSS) ou le forced browsing. Quand dois-je mettre un WAF ? Au vu de ses capabilités, le WAF est certainement un « nice-to-have », offrant un niveau supplémentaire de sécurité, en plus des protections déjà mises en place. Mais avant de l’implémenter, il faut se poser la question de sa nécessité. Le besoin va dépendre d’un nombre de critères : L’importance de l’application à protéger : si l’on prend le site vitrine d’une grande marque de parfums, à audience mondiale, cet asset sera certainement d’une importance stratégique pour l’entreprise et là, le WAF sera plus que conseillé. Mais si on est en présence d’un petit site personnel, le besoin est beaucoup moins évident. Les données hébergées sur le serveur : Les données bancaires des clients doivent faire l’objet d’un haut niveau de sécurité, et le firewall applicatif ne sera pas de trop. Avec sa capacité à stocker les logs sur le serveur, une fuite de données peut être détectée rapidement. Le cadre réglementaire et légal : En sachant, par exemple, que le RGPD impose la notification de la CNIL à chaque fuite de données, au plus tard 72h après la constatation des faits, la capacité du WAF à détecter les data breach serait plus que bienvenue. Le coût et la maintenance : Comme vous pouvez vous en douter, un WAF a un coût. Il s’agit, là encore, de voir si l’investissement en vaut la peine. Il faut savoir aussi qu’un WAF a besoin d’être entrainé à détecter les comportements inhabituels, cela nécessite de mobiliser des compétences spécifiques pour des opérations de maintenance et mises à jour régulières. D’autres critères peuvent rentrer en jeu et il faut garder en tête que le fonctionnement d’un pare-feu applicatif n’est pas sans faille (détection de faux-positifs par exemple provoquant le blocage à tort d’un ensemble de requêtes) et ne peut rien contre les attaques exploitant des failles spécifiques. Même s’il limite grandement le risque lié à certaines attaques, la sécurité commence avant tout par la sensibilisation des parties prenantes quant à l’exploitation sécurisée d’un service web, car on ne le dira jamais assez, la sécurité est l’affaire de tous ! Mehdi

Oui ! C’est bientôt la fin de l’ère des passwords. La tendance actuelle est de se lancer sur des nouvelles méthodologies d’authentification qui remplaceront les mots de passe. En effet, La majorité des utilisateurs Internet ne prennent pas le temps nécessaire pour la création d’un mot de passe qui respecte les normes de sécurité basiques. De plus, 2018 était l’année des fuites de données par excellence. On estime que plus de 6 milliards d’identifiants (email, username, password) ont été volés. Prenons l’exemple du « data breach » de Facebook en Septembre 2018, où 50 millions de comptes ont été piratés. Ou plus récemment, lorsque Quora, la plateforme d’échange de questions/réponses, a annoncé que plus de 100 millions de comptes utilisateurs ont été corrompus. Par ailleurs, les « dumps », qui sont des bases de données piratées, peuvent être facilement accessibles sur le darknet, et puisque la plupart des utilisateurs disposent d’un seul mot de passe générique pour tous les sites web et applications mobiles, un hacker peut automatiser le processus de « Credential Stuffing » permettant de tester le password obtenu depuis un dump sur d’autres sites, chose qui aggrave sérieusement l’authentification par un mot de passe simple. Pour répondre à toutes ces limitations, plusieurs recherches visaient à ajouter une couche supplémentaire de sécurité en instaurant l’authentification à deux facteurs (2FA). C’est-à-dire que l’utilisateur est d’abord amené à taper son mot de passe sur le site qui génère ensuite un token valide pour quelques minutes pour s’authentifier. Ensuite l’utilisateur doit saisir le token reçu par SMS. Toutefois, cette méthode peut être exploitée par une personne malveillante : On a récemment découvert des failles dans le protocole SS7 des réseaux mobiles qui permettent de détourner l’acheminement des SMS. Ceci nous amène au cœur de notre article : Nous allons citer quelques protocoles qui, petit à petit, gagnent du territoire dans le monde de la sécurité : WebAuthn C’est une API qui permet au site web d’échanger avec un périphérique de sécurité (Smartphone, clé USB, carte RFID, etc.). Pour utiliser WebAuthn, un utilisateur doit d’abord générer une paire de clés (privée et publique) qui éviteront toute attaque de type « phishing » ou « Man In The Middle ». Son principe de fonctionnement est détaillé dans la figure suivante : Schéma : principe de fonctionnement de WebAuthn Le protocole WebAuthn a été approuvé par W3C et il est désormais considéré comme le standard officiel de l’authentification sans mot de passe. A ce stade, certains navigateurs web ont déjà implémenté le protocole dans leurs récentes versions, c’est maintenant le tour aux utilisateurs d’adopter cette méthode ! OTP Le mot de passe à usage unique ou le one time password en anglais est un protocole mis en place dans le but d’éliminer les failles que présentent un mot de passe classique. En résumé, OTP est une chaîne de caractères alphanumériquse générée automatiquement afin d’authentifier un utilisateur pour une seule session. On distingue trois type d’OTP : Time-based OTP : Génère un nouveau OTP à partir de l’ancien en prenant en compte le « timestep ». Algorithm-based OTP : Calcule l’OTP en se basant sur des algorithmes mathématiques bien définis. HMAC-based OTP : Utilise l’algorithme HMAC pour le calcul des mots de passe. Principe de fonctionnement de OTP Notons que d’après le schéma ci-dessus le point fort d’OTP est son intégration avec les serveurs d’annuaire (Active Directory, SAMBA, OpenLDAP…) Pour bénéficier des avantages de l’authentification à mot de passe unique, l’utilisateur a le choix d’employer des solutions web, des applications mobiles ou d’acheter un périphérique de gestion de token OTP dédié. Auth0 C’est la solution Open Source la plus utilisée aujourd’hui. Auth0 fournit un service AAaaS (Authentication and Authorization as a Service). L’avantage de cette méthode est qu’elle est parfaitement compatible avec les processus de Single Sign On, OAuth 2.0, SAML, 2FA SMS … Partant du principe « Security By Design » Auth0 offre une API facilement intégrable par le développeur : On présente ci-dessous un schéma explicatif : Authentification d’un utilisateur par Auth0 Lorsqu’un utilisateur veut s’authentifier auprès d’une application, Auth0 prend la main en lui demandant de fournir un token reçu soit par email, soit par application mobile. Le token peut être valide sur une durée, ou peut expirer à la fin de chaque session de connexion. Pour finir, je vous propose un site qui vous permet de vérifier si votre adresse email figure sur les bases de données volées. Vous pouvez même créer une alerte pour être notifié dès lors que vos identifiants seront corrompus. Liens vers le site : https://haveibeenpwned.com/ Sources : https://auth0.com/blog/how-passwordless-authentication-works/ https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API https://sebsauvage.net/wiki/doku.php?id=totp Ayoub

Aujourd’hui, nous vivons dans l’ère de l’internet des objets : on ne parle plus des objets en tant que produits, mais plutôt en tant que services : on parle de montres intelligentes, qui surveillent notre rythme cardiaque et respiratoire, de frigos intelligents qui font les courses à notre place, etc. Avec la croissance des objets connectés, nous avons une explosion des données : imaginez la quantité de données produite par 23,14 milliards d’objets connectés (en 2018) ! ENORME ! Comment l’IoT permet-il de gérer cette masse de données ? Traditionnellement, un objet collecte des données à partir de son environnement et les envoie vers le cloud, qui sert d’espace de stockage et de traitement intelligent des données. La solution du Cloud computing permet un accès facile aux ressources virtualisées et est capable de gérer un flux important d’informations. Cette architecture a tout de même ses limites. On pense notamment au temps de réponse de la solution. Imaginez une voiture autonome, « self drive car » qui circule en ville. Les capteurs détectent des piétons en train de traverser la route. Les données de détection doivent voyager vers le cloud afin d’être traitées, ensuite la voiture reçoit une réponse sur la manière de réagir : Cette attente peut être trop longue et les piétons peuvent être en danger. Comment assurer un temps de réponse acceptable ? Les technologies Fog/Edge computing proposent de rapprocher la partie « traitement intelligent » de l’environnement physique de la source des données (l’objet connecté) et évitent ainsi le temps de voyage des informations. Figure 1 : Fog Computing : L’intelligence placée au niveau du LAN ( au niveau d’un routeur par exemple) Figure 2 : Edge Computing : L’intelligence est placée au niveau des équipements. Petit comparatif : Edge computingFog ComputingCloud Computing Temps de réponseMillisecondesSecondes à minutesMinutes, jours, semainesCouverture géographiqueLocalLANGlobaleExemples d’utilisationTransport intelligent, gestion du TrafficVilles intelligentes, bâtiments intelligents Et la sécurité dans tout ça ? Le cloud est une technologie globalement maitrisée d’un point de vue sécurité. Entendons-nous bien, tous les clouds n’ont pas mis en place les mesures de sécurité adaptées (loin de là), mais ses mesures existent et garantissent une maitrise des risques cyber. L’architecture des IOT avec le cloud computing a plusieurs surfaces d’attaque : Les objets connectés. Les connexions réseaux au niveau du LAN et du réseau public Les passerelles réseaux. Une bonne sécurité du cloud permet de limiter les conséquences d’une intrusion. Les données en transition vers le cloud peuvent être compromises ; l’intelligence de traitement reste intègre. La technologie du fog/Edge computing diminue les surfaces d’attaque en se limitant au réseau local de l’équipement : Elle permet en effet de réduire l’exposition des données sensibles au public. Cependant, si l’un des nœuds contenant le traitement intelligent (équipement ou routeur) est mal sécurisé, sa compromission entraine automatiquement la compromission de l’ensemble du réseau local, puisqu’il contient toute la partie stockage et traitement intelligent. Pour s’en préserver : Le Fog computing assure le chiffrement de toutes les données qui circulent sur le réseau. Le Fog computing garantit que tous les logiciels des objets connectés soient mis à jour. En effet, la restriction à un réseau local permet de faciliter le téléchargement des mises à jour et de veiller à ce que tous les objets soient up-to-date. Rania Sources : https://wire19.com/comparing-fog-computing-with-edge-computing/ https://www.cisco.com/c/dam/en_us/solutions/trends/iot/docs/computing-overview.pdf

Dans la continuité des efforts fournis pour une meilleure protection de la vie privée des utilisateurs et de leurs données personnelles, l’Union Européenne compte remettre une couche avec la Réglementation ePrivacy, quelques temps seulement après l’entrée en vigueur du RGPD, le 25 Mai 2018. Se voulant être un complément du RGPD, ePrivacy se concentre sur les données personnelles embarquées dans les communications électroniques. Son entrée en vigueur, prévue pour cette année, fait d’ores et déjà couler beaucoup d’encre. ePrivacy en bref ePrivacy, également appelé « Règlement vie privée et communications électroniques » est un règlement européen qui vise à renforcer la protection des données personnelles des consommateurs de services en ligne et de simplifier les règles relatives à la gestion des cookies, de manière à rendre transparent le marketing des entreprises. Ce règlement remplacera la directive, portant le même nom, en place depuis 2002. ePrivacy a pour objectif d’harmoniser les législations nationales de sorte qu’elles soient conformes au RGPD. Le règlement permettra de garantir la confidentialité de toutes les communications électroniques, notamment les nouvelles méthodes de communications, telles que Skype, WhatsApp, Messenger, etc. Il permettra aussi de réguler et simplifier l’utilisation des cookies. En outre, ePrivacy portera également sur la protection des métadonnées inhérentes aux communications. En effet, elles renferment des données pouvant révéler la géolocalisation, date et heure d’un appel ou le type de téléphone utilisé. Que prévoit le règlement ? Au-delà des sanctions déjà prévues par le RGPD, pouvant être de 4% du chiffre d’affaires mondial de l’entreprise ou de 20 millions d’euros, d’autres mesures sont provisionnées dans ePrivacy : Le consentement préalable pour l’activation des cookies : Les cookies utilisés pour tracer les activités des consommateurs seront désormais sujets à un consentement préalable. Ce consentement sera configuré une seule fois et sera valable sur tous les sites. L’utilisateur devra explicitement accepter d’activer les cookies sur son navigateur, et son choix s’appliquera par défaut à tous les sites qu’il visite, contrairement à ce que préconise la loi en vigueur qui impose de cliquer sur une bannière de consentement, site par site, tout en sachant que la notion de consentement actuellement employée est opaque dans la mesure où un utilisateur qui ne clique pas sur la bannière est considéré comme ayant accepté les cookies. La suppression des « Tracking-Walls » : Cette méthode largement utilisée aujourd’hui par les sites consiste à conditionner l’accès audit site selon l’acceptation ou non des cookies. Le règlement (article 18) considère cette pratique comme étant contraire au principe de liberté du consentement et entend l’interdire. Une protection contre les spams : Sans consentement, les messages publicitaires non-sollicités seront proscrits. Cela concerne les SMS, les e-mails et les appels automatiques. De plus, les appels commerciaux ne pourront plus se faire en numéro masqué et devront être explicitement annoncés (par un indicatif réservé par exemple). La Protection des métadonnées : Le règlement prévoit aussi la protection des métadonnées. Comme indiqué précédemment, les métadonnées renferment des données sur le type de téléphone, la localisation et les durées d’appels. Celles-ci devront être anonymisées ou supprimées sans consentement de l’utilisateur. Seules les métadonnées utilisées à des fins de facturation pourront être utilisées sans accord préalable de l’utilisateur. La polémique ePrivacy L’application prochaine d’ePrivacy n’est pas du goût de tout le monde, en particulier les sites se reposant en partie sur les cookies. Aujourd’hui, 93% des entreprises ont recours aux cookies pour cibler et atteindre les consommateurs. En offrant la possibilité d’un consentement plus explicite aux utilisateurs, les cookies peuvent être bloqués par défaut sur tous les sites, engendrant ainsi une perte de trafic sur lesdits sites, et inexorablement un déficit de données pour ces entreprises. Celles-ci dénoncent les mesures « anti-cookies » d’ePrivacy puisque l’expérience utilisateur n’en sera que moins personnalisée. De même, ils estiment que ce règlement fait la part belle aux GAFA dont le principe de ciblage repose non sur des cookies mais sur l’identifiant unique, et qu’il en résultera l’accroissement de l’emprise des géants du web sur Internet. Ces tractations ont retardé l’adoption d’ePrivacy, qui devait entrer en vigueur en même temps que le RGPD. Cette réglementation est toujours en cours de discussion et devrait être adoptée dans le courant de l’année. Les entreprises auront alors un an pour se mettre en conformité avec ePrivacy, sous peine de subir les mêmes sanctions que le RGPD. Mehdi

Depuis des années on entend parler de SSL, TLS, HSTS, certificat, BEAST, etc. sans prendre le temps de les comprendre. Cet article présentera de manière « simplifiée » le protocole HTTPS et ses composantes. Qu’est-ce que le HTTPS ? Le HTTPS est la version sécurisée du protocole HTTP. Il permet de se connecter à des sites Internet sans que le contenu des données échangées, ni même les URL complètes des sites visités, ne soit récupérables par un pirate informatique (ou une entreprise …). Les différentes versions de SSL/TLS Le protocole SSL (Secure Socket Layer) est apparu dans les années 90 avec deux versions disponibles : le SSLv2 et le SSLv3, puis il a été remplacé dans les années 2000 par le protocole TLS (Transport Layer Security). Trois versions du protocole TLS existent actuellement : TLS v1.0, TLS v1.1 et TLSv1.2 ; nous reviendrons sur le TLSv1.3 plus loin dans cet article. Les protocoles SSL et le TLSv1.0 sont aujourd’hui considérés comme non conformes suite à de nombreuses attaques : DROWN (SSLv2), POODLE (SSLv3) et BEAST(TLSv1.0). Il est recommandé de n’utiliser que les versions les plus récentes du protocole TLS : TLSv1.1, TLSv1.2 ou TLSv1.3. De quoi est « composé » le protocole HTTPS Les certificats Le certificat permet de valider l’identité du visiteur. Il permet de s’assurer que l’on communique avec le bon serveur. Depuis 2015 la solution Let’s Encrypt permet simplement et gratuitement d’obtenir des certificats. Les suites cryptographiques Une suite cryptographique est un groupement d’algorithmes dont chacun va assurer la sécurité d’une partie de la communication entre un client et le serveur. La sécurité de ces suites cryptographiques dépend fortement de l’algorithme de chiffrement utilisé. La clé de chiffrement Dans un échange HTTPS et pour chiffrer les communications, le serveur va envoyer son certificat au navigateur de l’utilisateur au moyen d’une clé publique. Cette clé publique se définit par sa taille en bits. Plus la taille de la clé sera petite, plus elle sera facile à déchiffrer (et non pas DECRYPTER, je vous renvoie sur ce très bon site au passage : https://chiffrer.info/). Il est aujourd’hui recommandé d’utiliser des clés d’une taille minimale de 2048 bits. La renégociation Dans un échange HTTPS le client et le serveur vont négocier la « meilleure » version du protocole disponible. « Je vois que tu acceptes le protocole TLSv1.2, moi aussi. Echangeons ensemble via ce protocole ». Le souci avec la renégociation TLS est qu’en rendant possible cette négociation, un client pourrait demander au serveur d’utiliser le protocole TLSv1.0 sujet à la vulnérabilité BEAST. HSTS (HTTP Strict Transport Security) Le HSTS est une fonctionnalité implémentée sur un serveur Web à destination du navigateur des utilisateurs. Cette fonctionnalité va forcer les connexions HTTPS avec chiffrement. Par exemple si mon site example.com peut être consulté via l’url http://example.com ET https://example.com. Le protocole HSTS va forcer le navigateur à se connecter au site https://example.com. Nouveautés avec le TLSv1.3 10 ans après le TLSv1.2, le TLSv1.3 montre le bout de son nez. Il est disponible en version finale depuis août 2018. Globalement, le protocole est plus rapide et plus fiable en termes de sécurité. Plus rapide dans le sens où il y aura moins d’interactions client/serveur comme le montre ce petit schéma explicatif : Source : https://kinsta.com/blog/tls-1-3/ En termes de sécurité, le TLSv1.3 n’autorise pas les suites de chiffrements obsolètes, telles que DES, 3DES, RC4, SHA1, etc. Conclusion Voilà, vous savez maintenant tout sur le protocole HTTPS. Il est performant, sécurisé, met en confiance les utilisateurs et il permet d’être conforme à tout un tas de réglementations. Faites-nous des retours si vous avez commencé l’implémentation du TLSv1.3 !

Avec l’utilisation du cloud, de nombreuses entreprises peuvent se développer sans avoir à investir dans de nouvelles infrastructures, des licences de logiciels ou dans la construction de grands Datacenter. Mais il y a un revers à la médaille, tous ces progrès se font au détriment de la sécurité des données. Les entreprises perdent en effet la gouvernance sur leurs propres données et traitements. Nous ne pouvons que supposer que les fournisseurs de cloud utilisent des mécanismes de sécurité de base pour protéger les données dans le stockage, le traitement et la communication, puisque le cloud propose des ressources que beaucoup d’entreprises ne pourraient se permettre. Lorsqu’on envisage de passer au cloud computing, les clients doivent avoir une compréhension claire des avantages potentiels et des risques liés au cloud computing. Il faut alors qu’ils établissent des attentes réalistes avec leur fournisseur de cloud. Le cloud présente des défis de sécurité bien différents de ceux que nous avons connus jusqu’à présent. Il ne s’agit plus simplement de sécuriser le périmètre, de créer une zone démilitarisée (DMZ) ou d’utiliser les dernières solutions antivirus. Dans un rapport élaboré par l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information), les menaces susceptibles d’atteindre la sécurité du Cloud Computing peuvent être catégorisées comme suit: Quels sont donc les défis du Cloud Computing ? – Les violations des données Les violations des données, c’est quand des informations sensibles, protégées ou confidentielles sont diffusées, vues, volées ou utilisées par une personne qui n’est pas autorisée à le faire, via une attaque ciblée, une erreur humaine, une vulnérabilité dans l’application ou tout simplement de mauvaises pratiques de sécurité. Bien évidemment, cela implique une violation des paramètres de sécurité, d’intégrité et de confidentialité. Dans ce contexte les entreprises peuvent se voir infliger d’importantes amendes selon les pays où les données ont été hébergées. Elles peuvent également être soumises à des poursuites civiles et, dans certains cas, à des accusations criminelles. La meilleure protection contre la violation des données est d’adopter un programme de sécurité efficace. Il faut noter qu’il existe deux mesures de sécurité importantes qui peuvent aider les entreprises à rester sécurisées sur le cloud, le cryptage multifactoriel et l’authentification, ce qui nous ramène au second défi du Cloud Computing. – Fragilité dans la gestion des accès et des identités Les organisations qui prévoient de fédérer leur identité avec un fournisseur de cloud doivent comprendre le niveau de sécurité à atteindre autour de la solution apportée sinon, et en cas de manque de systèmes évolutifs de gestion de l’accès à l’identité, elles risquent de : • Lire, exfiltrer, modifier et supprimer des données; • « Snooper » sur les données en transit ; • Accéder sans autorisation aux données sensibles de l’entreprise. Ainsi, des dommages catastrophiques peuvent atteindre les organisations ou les utilisateurs finaux en matière de confidentialité et d’intégrité, ce qui peut impacter l’image de marque des entreprises ainsi que leurs finances. Parmi les contremesures de ce problème de sécurité, il faut mettre en place une infrastructure à clé publique bien sécurisée et des systèmes d’Authentification multifactorielle (carte à puce),OTP et authentification par téléphone. Les Systèmes d’identité doivent être adaptés pour gérer le cycle de vie pour des millions d’utilisateurs. A noter que tous les mécanismes cryptographiques utilisés doivent être changés périodiquement pour renforcer la sécurité. – Exploit de vulnérabilités des systèmes et des applications Les vulnérabilités du système sont des bugs exploitables dans les programmes que les attaquants peuvent utiliser pour infiltrer un système informatique pour voler des données, prendre le contrôle du système ou interrompre les opérations du service. De telles attaques peuvent être atténuées par des processus informatiques de base: L’analyse régulière de la vulnérabilité, le suivi des menaces système signalées et l’installation de correctifs ou de mises à jour régulières de sécurité en fournissant les meilleurs exemples. – Déni de services (DoS) DoS est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources. L’idée, pour le pirate, est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services. Ce qui résulte des coupures de services, ainsi que l’attaquant qui consomme des cycles de calcul. Et pourtant, ce sont les utilisateurs paient la facture ! Il faut mettre en place des plans de continuité et reprises de services afin d’être mieux équipé pour pouvoir atténuer les attaques DoS. Le phénomène du Cloud Computing est inéluctable. Beaucoup de responsables informatiques se méfient de la gestion de la sécurité nécessaire pour le Cloud Computing. Toutefois, ces risques sont éttouffés par les avantages apportés par cette infrastructure. Les économies de coûts est l’argument favorisée par les PDG et directeurs financiers. Le responsable sécurité n’a plus qu’à résoudre les différents risques de sécurité du Cloud Computing ! Le Cloud n’est pas une technologie nouvelle, mais une nouvelle façon de faire les choses en matière de technologie de l’information. Résister au changement est toujours difficile. Des spécialistes de la sécurité de l’information doivent accompagner le développement du Cloud en matière de sécurité, afin de permettre à ses usagers de bénéficier des avantages qu’offre ce dernier, et pour éviter que les gains potentiels de la migration vers un service cloud ne soient ternis par une menace de sécurité. Loubna

Après tout ce que vous avez entendu sur Google, son espionnage quant à votre vie privée et la vente de vos données personnelles auprès des agences publicitaires ou du Gouvernement, il est nécessaire de rester vigilant voire méfiant. Petit exemple concret : Avez-vous connaissance de la page suivante : https://myactivity.google.com A partir du moment où vous utilisez une solution Google, tout peut être retracé sur cette page, soit : • L’historique de vos positions (GoogleMaps) ; • L’historique de l’ouverture de vos applications Android (si votre compte Google est lié) ; • L’historique de votre navigation internet ; • L’historique des vidéos YouTube regardées ; • L’historique de vos “voix” pour soi-disant améliorer la reconnaissance vocale du célèbre « Ok Google » … • L’historique de vos recherches Google. Autre exemple concret pour les utilisateurs de Gmail. Lorsque vous achetez des billets d’avion en ayant renseigné votre adresse gmail, vos dates de vol seront automatiquement affichées dans le Google Calendar. Magie ! N’oublions pas non plus le produit phare de Google, le Google Home (Le top du top en matière d’espionnage). Ce petit appareil écoute tout ce qu’il se passe dans votre maison et l’envoie sur les serveurs Google pour traitements. Magie ! Bref vous l’aurez compris, votre vie peut être entièrement retracée. Le respect, c’est maintenant ! Je vais maintenant vous présenter quelques alternatives aux solutions Google (et autres) ayant comme priorité le respect de la vie privée de l’utilisateur et non pas un modèle économique basé sur la publicité ciblée. Moteur de recherche 1 : DuckDuckGo DuckDuckGo est un moteur de recherche qui permet de bloquer les trackers, de garder votre historique de recherches privé et de garder le contrôle de vos données personnelles. Il faut savoir que DuckDuckGo ne peut pas affiner les recherches de ses utilisateurs en fonction de leurs requêtes précédentes, ni en fonction des centres d’intérêt connus, comme le fait Google. Les résultats peuvent donc s’avérer moins précis. C’est comme de passer de Paint à Photoshop, il faut un petit temps d’adaptation. 😊 Site officiel : https://duckduckgo.com/ Moteur de recherche 2 : Qwant Qwant est un moteur de recherche français ! Tout comme son homologue DuckDuckGO, Qwant mise tout sur le respect de la vie privée des utilisateurs. Qwant essaye depuis quelques années de se diversifier en lançant de nouveaux services (Qwant Junior pour les enfants, Qwant mail, Qwant maps et j’en passe !). Site officiel : https://www.qwant.com/ Navigateur internet : Brave Brave est un navigateur web basé sur Chromium (à ne pas confondre avec Chrome) qui respecte la vie privée des utilisateurs en intégrant des fonctions telles que le blocage des pubs, le blocage des trackers et le plugin « HTTPS Everywhere ». Le moteur de recherche installé par défaut est Qwant. Un des nombreux avantages de Brave est sa fluidité, en bloquant les scripts et les trackers permettant ainsi un chargement de page plus rapide. Site officiel : https://brave.com/ Email : ProtonMail Protonmail est un service de messagerie gratuit qui chiffre les données de bout en bout. C’est-à-dire que tous les mails sont chiffrés depuis le poste de l’émetteur jusqu’au destinataire. L’accès se fait évidemment via une authentification login/pass. Il est possible d’ajouter une authentification forte (2FA) et de chiffrer sa boite email avec un second mot de passe. Bref, niveau sécurité on ne rigole pas et c’est pour ça qu’on l’aime ! Site officiel : https://protonmail.com/ VPN : ProtonVPN Tout comme Protonmail, ProtonVPN met l’accent sur la sécurité et le respect de la vie privée des utilisateurs. ProtonVPN, est une création suisse, un pays en dehors de la juridiction de l’Union Européenne et dont les lois sur la confidentialité sont plus strictes qu’aux États-Unis. Le service n’enregistre aucune activité internet de l’utilisateur lors de sa navigation. Ainsi, aucune donnée ne peut être partagée avec des tiers. Site officiel : https://protonvpn.com/ Pour toutes les autres applications que vous utilisez au quotidien, je vous propose de vous rendre sur le site https://framasoft.org qui référencie de nombreuses alternatives gratuites. Le slogan du site parle de lui-même : « Dégooglisons Internet ! ». Yoann

Les technologies sans fils n’ont cessé de prendre de l’ampleur à partir des années 2000. Elles occupent désormais une place incontournable dans notre quotidien. Cependant qu’en est-il de l’aspect sécurité ? Nous allons nous focaliser sur une technologie en particulier qui est très répandue et devenue centrale dans le milieu du paiement depuis environ 10 ans : la technologie NFC. Le principal intérêt de la technologie NFC réside dans le fait de transmettre des informations sans effectuer d’actions de vérification. Parmi les usages les plus connus se trouve le paiement sans contact, l’autorisation d’accès dans les transports publics via une carte d’abonnement (métro, bus, etc..). Cela tombe bien car nous allons en parler dans l’exemple suivant. La SNCF souhaite lancer dès 2019 une application permettant de réserver, payer et valider plusieurs moyens de transport comme les VTC, Taxi, Train, Métro, etc.. Le principe est simple : l’utilisateur entre un itinéraire dans l’application, celle-ci calcule le temps de trajet pour différents transports. Une fois le moyen de transport choisi, l’utilisateur accède à la réservation puis obtient un ticket pour le transport désiré. Cette application se base sur la technologie NFC pour dématérialiser les titres de transports et ainsi, gagner du temps lors de la vérification du titre de transport qui seront tous stockés dans le smartphone. Peut-on s’attendre au fait que la technologie NFC soit présente dans tous les aspects de notre quotidien ? Comment sont échangées les données entre deux appareils ? La technologie NFC intègre la RFID (Radio-Identification) utilisée pour mémoriser et capter des données à distances à l’aide de marqueurs spéciaux : les tags RFID. Ce sont des étiquettes composées de puces magnétiques intégrées dans divers objets. NFC est un ensemble de protocoles de communication permettant à deux appareils de communiquer entre eux en les rapprochant d’une distance d’au minimum 4cm. Evidemment, les données ne doivent pas être transmises en clair sinon cela serait extrêmement nuisible à la confidentialité des données. Les données sont donc chiffrées avant d’être envoyées. Mais à quel prix ? Cette technologie présente néanmoins quelques failles. Etant donné qu’elle se propage dans l’air, si un pirate se trouve proche, par exemple dans le métro, et qu’il possède un smartphone Android, il peut valider une transaction en utilisant une faille du protocole EMV (Europay Mastercard Visa) qui est la norme en vigueur pour toutes les cartes de paiement. Cette faille a été trouvée par cinq chercheurs en sécurité de l’université de Newcastle. Depuis cette découverte, la faille a été réparée, néanmoins de nouvelles failles sont découvertes chaque année. Par ailleurs, tous les commerçants ne sont pas dotés de terminaux NFC pour le paiement sans contact. En France, on en dénombrait 600 000 en 2017. Les utilisations de cette technologie peuvent également être menaçantes pour notre santé, tel que l’implant sous cutanée d’une puce NFC. L’intention de départ est louable puisqu’il s’agit de faciliter les interventions médicales en ayant un descriptif médical du patient (allergies, antécédents, traitement en cours) cependant elle est sujette à de nombreux problèmes. En effet, elle peut causer des problèmes de santé (cancers, brulure) mais aussi des risques de sécurité étant donné que la majorité des puces ne sont pas cryptées. Quel avenir pour cette technologie ? Bien qu’elle fût controversée à ses débuts, la technologie NFC est au cœur de nombreuses transactions. L’année dernière, le cap du milliard d’euros de transaction réalisé par le paiement sans contact a été franchi. Les avantages étant plus nombreux que les inconvénients dans le secteur bancaire, un taux de défaillance de 0,02%* ayant été relevé, les transactions ne vont cesser de se multiplier au cours des années à venir et il faut savoir que les taux de défaillance du NFC sont plus bas que ceux dénombrés pour les transactions en ligne (0,23%*). De plus en plus d’applications vont transmettre des données personnelles via cette technologie mais il faut avant tout veiller à ce que la santé de l’être humain soit préservée. * : D’après le rapport annuel de l’Observatoire de la sécurité des moyens de paiement Ismail

Le 4 octobre, le Pentagone découvre que les historiques de voyage de plus de 30 000 employés militaires et civils américains ont été divulgués par l’intermédiaire d’un fournisseur commercial qui gère les voyages de ses collaborateurs. Nombreuses sont les entreprises victimes de failles de sécurité impliquant des parties externes. En France, on se souvient notamment de l’attaque de TV5 Monde, mais le signal d’Alarme (avec un grand « A ») a été lancé chez Universal Music Group (UMG) quand leur prestataire de cloud n’a pas pu protéger un de ses serveurs Apache Airflow exposant les informations d’identification du protocole de transfert de fichier (FTP) interne, les clés secrètes AWS et les mots de passe, ainsi que le mot de passe « root » interne et SQL. Il n’est donc pas surprenant que ces violations constituent désormais les incidents les plus coûteux pour les entreprises et les PME. Ainsi, en 2018, l’impact moyen d’une faille de sécurité atteint 1,23M$ pour les grandes structures et 120K$ pour les PME, soit 36% de plus qu’en 2017 (88K$). Comment s’en protéger ? D’après une étude des Echos, 32% des menaces « internes » sont le fait de fournisseurs (contre 30% le fait d’employés). Bien sûr, cela ne signifie pas qu’ils sont à l’origine de la cyberattaque, mais plutôt qu’ils en sont les vecteurs. Or le développement des entreprises les oriente de plus en plus vers des fournisseurs spécialisés, proposant des services adaptés aux besoins de leurs Métiers. Pour se protéger de ce type de failles, les Acheteurs ont bien sûr un rôle à jouer et devraient se rapprocher du RSSI pour s’assurer de la fiabilité de leurs fournisseurs. Par ailleurs, l’ANSSI prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Fournisseurs de service numérique (directive NIS). Ainsi, les Fournisseurs de service numérique devront : Analyser les risques sur ses systèmes d’information Prendre des mesures techniques et organisationnelles dans chacun des domaines suivants : La sécurité des systèmes et des installations ; La gestion des incidents ; La gestion de la continuité des activités ; Le suivi, l’audit et le contrôle ; Le respect des normes internationales. Déclarer tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. Être soumis à des contrôles de sécurité. Bien que cette règlementation ne concerne pas l’ensemble de vos sous-traitants (place de marché en ligne, moteurs de recherche, cloud), il est possible de s’en inspirer pour intégrer la sécurité dans le choix d’un fournisseur. Il vous est également possible de vous renseigner en demandant, par exemple, des référents ou des retours d’expériences de la part des clients ayant bénéficié de leurs services. Loubna

Popularisé dans les années 2000 avec l’explosion des nouvelles technologies, le terme de Big Data est maintenant connu par tous. Cependant, savons-nous réellement ce que c’est ? Le Big Data, C’est quoi ? En français, Big Data signifie « mégadonnées » ou « données massives ». Pourtant, le Big Data répond à plusieurs critères au-delà du Volume, notamment : Variété : Les données proviennent de différentes sources Vélocité : Les données sont créées, collectées et partagées de manière fréquente et permanente Ces données peuvent être de tout type (textes, chiffres, géolocalisation, reconnaissance vocale ou faciale, vidéo, audio, etc.) et proviennent de différentes sources (capteurs, ordinateurs, smartphones, tablettes, objets connectés, etc.). Disposer de ces données est un véritable atout, mais stocker une grande quantité de données sans les analyser ne sert, à proprement parlé, à rien. Ce qui est important, c’est de les analyser pour en ressortir une vision globale et réelle, c’est-à-dire, en extraire de la valeur (qualitative, monétaire, éthique, etc.). Pour cela, on applique à ces données des algorithmes, des modèles statistiques. L’intelligence artificielle, la machine Learning et le Deep Learning sont ainsi de plus en plus utilisés dans l’analyse et l’interprétation des données. En entreprise, le Big Data est surtout utilisé pour : Analyser le comportement de leurs clients et prospects afin de leurs proposer des services ou produits qu’ils seraient susceptibles d’acheter Réaliser des prédictions permettant de rationnaliser les centres de coût. Par exemple, il est possible de prédire le stock que doivent contenir des entrepôts, de prédire les pannes du matériel industriel, etc. Il s’agit de projets « en vue », fortement intégrés à la stratégie de l’entreprise. Pourtant, le Big Data peut être utilisé dans de nombreux domaines : La recherche médicale : Les maladies sont mieux connues et les médecins peuvent en trouver plus facilement des traitement grâce à l’analyse de données (nombre de personnes touchées, résultats d’analyse, etc.). La lutte contre la criminalité : Le gouvernement et les services de sécurité ont recours au Big Data pour cerner les criminels (utilisation de CB, recherches web, etc.). Si c’est si génial, pourquoi tout le monde n’utilise pas le Big Data ? Le principal souci du Big Data est son coût de mise en place. En effet, le Big Data nécessite l’utilisation de technologie généralement coûteuse. De plus, pour lancer un projet Big Data, il ne suffit pas de lancer un logiciel. Il faut mener une étude préalable : Quel est l’objectif du projet ? De quelles données vais-je avoir besoin ? Où puis-je le trouver ? Un projet Big Data repose essentiellement sur une bonne maitrise du patrimoine informationnel ! C’est pour cela que ce sont essentiellement les grosses entreprises telles que Facebook, Google, Netflix ou Amazon qui utilisent cette technologie. Et la sécurité alors ? Le principal risque engendré par le Big Data concerne la protection de la Vie Privée des personnes. En effet, en complément des risques perte de confidentialité des données confiées (vente, fuite de données), le Big Data permet la création de nouvelles informations sur une personne. Alors, je me lance ? Avant de se lancer dans le Big Data, il faut s’assurer de deux choses : La maitrise de votre patrimoine informationnel. Et pour vous aider à maitriser ce patrimoine, rien ne vaut une cartographie de vos données. La définition d’un objectif clair, en adéquation avec les besoins de vos Métiers. A vous de jouer ! Manon

Moteur d’innovation pour les collaborateurs, source de vulnérabilités pour les DSI, le Shadow IT n’en finit plus de se diviser au sein des entreprises. Cette pratique s’accompagne de risques réels pour le SI des entreprises et la multiplication des services cloud facilement accessibles n’est pas pour endiguer ce phénomène, bien au contraire. Que faire face au Shadow IT, dans ce cas ? Aux racines du Shadow IT Shadow IT est un terme désignant tous les systèmes d’information, de communication ou les logiciels exploités au sein d’une organisation sans l’approbation de la DSI, d’où son autre appellation, plus rare, Rogue IT. Le Shadow IT peut donc désigner un document Excel exploitant des macros, des solutions cloud de type Dropbox, Google Drive ou WeTransfer, des recours à son ordinateur personnel pour effectuer des tâches de travail, et la liste est encore longue. L’essor des solutions cloud et la pratique de plus en plus présente du BYOD (Bring Your Own Device) sont des raisons qui ont fait croître la pratique du Shadow IT dans les entreprises. Le Shadow IT : un dispositif risqué Et oui ! Le Shadow IT expose les entreprises à plus de risques car la multiplication des canaux de communications et des dispositifs utilisés fait qu’il est plus difficile de sécuriser le tout, et c’est d’autant plus compliqué quand on ne connait pas l’existence du dispositif mis en œuvre. Les risques sont nombreux avec un impact plus ou moins sévère, parmi lesquels on peut citer : La fuite de données : En hébergeant des données sur des services cloud publics, on s’expose forcément à un plus grand risque de fuite de données, sachant que ces plateformes sont souvent prises pour cible par les hackers. Dropbox, notamment, s’est fait dérober les identifiants de 68 millions de comptes en 2016. La perte de contrôle sur la gestion des attaques : Une bonne gestion des attaques nécessite une bonne connaissance de son réseau et de ses vulnérabilités. Le recours au Shadow IT fait que l’entreprise perd le contrôle de l’infrastructure employée. En effet, rien ne dit qu’un laptop personnel sera efficacement protégé contre des malwares ou si les services Cloud utilisés sont suffisamment protégés contre les attaques externes. La malveillance interne : Un ancien employé en quête de vengeance peut télécharger des données confidentielles sur leur espace cloud personnel et continuer à y avoir accès, même après l’interruption de leur contrat de travail, et l’entreprise n’a, bien évidemment, aucun moyen d’effacer ces données. Les problématiques de conformité : Utiliser des sources détournées pour générer des données ou les héberger sur un cloud public peut poser un problème d’un point de vue de conformité légale et aux standards en vigueur. Au moment où le RGPD est au cœur de toutes les attentions, il est très important de savoir où se trouvent les données et quels sont les traitements qui les exploitent. Que faire face au fantôme du Shadow IT ? Malgré les risques que nous venons d’évoquer, le Shadow IT connait un beau succès, et pour cause ; les métiers ne pensent pas avoir les bons outils à leur disposition. Par ailleurs, il leur parait fastidieux de suivre des procédures qui peuvent, dans certains cas, être particulièrement rigides. Le recours à des moyens « détournés » est donc une manière d’augmenter leur efficacité au travail. C’est là que réside tout le paradoxe du Shadow IT. Difficile à combattre, véritable concentré de risques mais un atout lorsqu’on l’utilise à bon escient. On aurait tendance à dire que le mieux serait de le bannir, étant donné que le risque 0 est une douce utopie, la meilleure alternative serait d’encadrer cette pratique, les mesures suivantes pouvant être un premier pas dans cette direction : Contrôler son réseau : une première mesure serait d’analyser les logs des firewalls et d’identifier les flux sortant les plus critiques. Ainsi, les échanges d’information sont filtrés en fonction de leur criticité Gérer les accès : La mise en place de services de gestion des accès et des droits pour les données et fichiers peut réduire le recours abusif aux services de cloud publics. De plus en plus de services offrent la possibilité de gérer les droits d’accès aux données en se basant sur l’Active Directory. Ces services permettent de gérer finement les droits d’accès, mais aussi de chiffrer les données, voire d’empêcher leur copie vers des supports externes Ecouter : Si les métiers ont autant recours au Shadow IT c’est qu’il y a anguille sous roche. Il est fort possible que les besoins des collaborateurs soient éloignés de ce que propose la DSI. Une manière de faire serait de se rapprocher d’eux afin d’avoir une meilleure compréhension de leur besoin et donc une meilleure appréhension des outils qui leur sont nécessaires. Sensibiliser : Il est important que les collaborateurs soient conscients des risques qu’engendre cette pratique du Shadow IT. Il n’est pas réaliste d’avoir des chargés de sécurité surveillant les utilisateurs à tout instant. Il est, de fait, important de sensibiliser les métiers aux bonnes pratiques et leur offrir les moyens de discerner les utilisations risquées du Shadow IT de celles qui ne le sont moins. Les CASB (Cloud Access Security Broker) : Un CASB est un logiciel qui s’insère entre l’infrastructure de l’entreprise et l’infrastructure Cloud. Il permet d’appliquer les politiques de sécurité en vigueur au sein de son organisation aux services Cloud. Tous les flux transitant par un CASB doivent donc se conformer aux règles et politiques de sécurité en vigueur. Par conséquent, il s’agit d’un moyen de s’assurer que les données de l’entreprise sont chiffrées de bout en bout. Ainsi, il s’agit d’une manière de s’assurer que les données sur les applications SaaS sont bien protégées conformément à votre politique de sécurité Véritable cauchemar à son émergence, le Shadow IT est mieux encadré aujourd’hui du fait de la multiplication des outils permettant de contrôler ses données plus efficacement. Il reste, cependant, nécessaire de faire preuve de vigilance et de bien connaître les risques de cette pratique pour que le Shadow IT soit un rayon de soleil plutôt qu’une ombre menaçante. Mehdi

Lors des assises de la sécurité organisées du 10 au 13 Octobre à Monaco, L’ANSSI a annoncé le lancement de la nouvelle version de sa méthodologie d’analyse de risques : EBIOS Risk Manager. L’ambition de cette nouvelle version est de mettre au goût du jour cette méthodologie, qui a plus de 20 ans maintenant, et qui a été revue la dernière fois en 2010. Mais quelles sont alors les nouvelles tendances de cette méthodologie ? Travailler sur les basiques A première vue, on reste sur les fondamentaux de la méthodologie : on part toujours du contexte, qui s’appelle maintenant « socle de sécurité », pour identifier les évènements redoutés et les scénarios de menace afin d’aboutir à une appréciation des risques et une identification des mesures de traitement des risques. On retrouve aussi le souci de convergence avec les méthodologies et normes internationales, avec des références aux normes ISO27001/2/5- Management de la sécurité de l‘information et ISO31000 – Management du risque. Alléger l’approche et responsabiliser tout le monde Mais là où la méthodologie proposait une approche exhaustive et complète, quitte à être perçue comme lourde et technicienne, cette nouvelle version s’affranchit de ce cadre pour miser sur une approche collaborative en ateliers. Le Responsable de la Sécurité n’est plus dans sa tour d’ivoire à apprécier des risques que lui seul – et son cercle d’initiés – peut comprendre. Maintenant, l’approche se base sur l’implication, dès le début de la démarche, des Dirigeants et des Directions Métiers. L’objectif est de démystifier le sujet et de le rapprocher des problématiques stratégiques et opérationnelles en s’appuyant sur une approche par les processus et par la valeur Métier. Nous voyons aussi ce changement de paradigme dans l’approche par des scénarios de risques stratégiques qui sont décomposés par la suite en risques opérationnels. Par exemple : Scénario de risque stratégique : un concurrent qui pourrait voler des informations en espionnant les travaux de R&D en vue d’obtenir un avantage concurrentiel. Mode opératoire opérationnel : l’attaquant s’introduit dans le système d’information par une attaque ciblée sur la messagerie, qui lui permet de rebondir sur les réseaux internes. Cette dualité permet de rapprocher les risques numériques des enjeux Métiers et en même temps d’apprécier les risques opérationnels et de proposer des mesures techniques et fonctionnelles pour y remédier. Est-ce que ça va marcher ? Cette version en est à ses débuts et elle devra faire ses preuves et s’améliorer dans le temps, mais ce qui est sûr c’est qu’elle embarque des enjeux que nous rencontrons déjà depuis quelques années chez nos clients ; les principales sont : Comment intéresser mes dirigeants à ces risques (mais les ransomwares Wannacry et NotPetya, entre autres, s’en sont aussi chargés au passage) ? Comment expliquer clairement ces risques aux Métiers ? Nous voyons aussi l’émergence des notions de conformité, de plus en plus reliées à la sécurité numérique, que ce soit par le RGPD ou la Loi de Programmation Militaire (LPM). Je pense d’ailleurs que la notion de conformité a été introduite et renforcée dans cette version d’EBIOS pour répondre aux attentes des Opérateurs d’Importance Vitale (OIV), qui sont les premiers « clients » de l’ANSSI et ceux qui appliquent ses méthodes et référentiels. Une vision plus haut niveau des risques, une implication plus forte des métiers et un allègement de la démarche, tels sont les ingrédients sur lesquels mise l’ANSSI pour faire adopter sa nouvelle version de la démarche. L’intention est louable et s’inscrit à mon avis dans l’évolution du Métier de la Sécurité, mais c’est peut-être l’allègement de la démarche qui pourrait poser problème à ceux qui souhaitent appliquer l’approche. Certains regretteront donc le cadre exhaustif de l’ancienne version. En effet, l’allègement de la démarche exige une prise de hauteur par rapport au métier de la sécurité. Alors, on s’y met tous, et au régime, EBIOS ! Nidhal