Foll Cédric

Ayant commencé ma carrière comme pentester avant de devenir RSSI puis DSI, la lecture de ce Tweet [1] m’a rappelé quelques souvenirs vécus d’un côté ou de l’autre de la force.

Il faut reconnaître que certaines équipes de production ont encore une compréhension très limitée des menaces et des faiblesses de leur SI. Beaucoup de RSSI ont croisé des collègues réfractaires à tout ce qui risquait de leur compliquer la vie quand bien même les préconisations étaient la base de l’hygiène informatique. Qui ne s’est pas vu un jour ou l’autre répondre après avoir demandé le déploiement de règles de filtrages sur les réseaux internes ou la nécessité d’un audit de sécurité avant mise en production d’une application sensible : « on a toujours fait comme ça et on n’a jamais eu de problèmes » ?

Si beaucoup de technologies que nous utilisions il y a vingt ans sont toujours présentes, la typologie des menaces de même que leur perception par les utilisateurs et le grand public se sont profondément transformées.

Ce n’est pas une révolution technologique qui vient de précipiter un changement majeur dans l’organisation du travail des équipes IT et des architectures de sécurité, mais un virus même pas informatique.

Plutôt que de sombrer dans le french bashing et la supposée incapacité de l’État à conduire des projets informatiques, il est intéressant de prendre quelques minutes pour revenir sur l’échec de StopCovid et tenter d’en tirer quelques enseignements.

La période de pandémie a été l’occasion pour certains de se découvrir des compétences inattendues en infectiologie et virologie, ce fut également un beau terrain de jeux pour les aspirants ingénieurs en infrastructures numériques.

L’épisode du confinement a été un véritable défi technique pour toutes les équipes informatiques. Il nous a fallu en effet réussir à mettre en œuvre dans l’urgence les outils pour assurer la continuité du fonctionnement de nos organisations avec des briques applicatives ne s’y prêtant pas forcément.

Si pour le domaine de la sécurité, la décennie 2010 a été marquée par la prise de conscience par le grand public de la surveillance de masse au niveau étatique, le début de la nouvelle décennie semble être celle du développement exponentiel des capacités offensives aux mains d’acteurs étatiques, privés, voire mafieux.

L'actualité de la SSI a été riche ces dernières semaines avec une nouvelle vague de rançongiciels ayant touché plusieurs structures et tout particulièrement le CHU de Rouen [1]. Cette attaque a été très médiatisée du fait de l’impact particulièrement tangible et compréhensible même pour la partie de la population la plus hermétique aux enjeux du numérique.

Lorsque l’on voulait débuter la sécurité il y a une vingtaine d’années, que ce soit sous l’angle offensif ou défensif, il était bien difficile d’expérimenter ses connaissances sauf à réaliser des pentests sauvages. La possibilité de disposer anonymement de connectivité réseau dans les chaînes de fastfood était de la science-fiction et c’est le plus souvent sur les bancs des écoles ou des universités que beaucoup ont fait leurs armes.