L’entreprise S3NS, filiale française de Thales associée à Google Cloud, vient de décrocher la prestigieuse qualification SecNumCloud 3.2 de l’ANSSI. Une certification qui fait rentrer l’entreprise dans un cercle très fermé.
Et alors ?
J’ai lu hier que le Ministère de l’intérieur a été hacké mais aussi la CPAM !
Tous les jours, les sites d’acteurs majeurs sont hackés alors mettre en avant cette société de cybersécurité aurait un sens si , enfin, on arrêtait de lire quotidiennement que Pierre, Paul, Jacques ont été hackés . On ne parle jamais des responsables des ces entreprises hachées, c’est jamais la faute à personne ?
Je n’y connais pas grand chose mais j’imagine qu’un hacker cherche des failles, les trouve et les exploite quand il vise un site , non ?
Les DSI des sociétés, organismes ou leurs prestataires ESN n’ont pas les compétences et connaissances pour faire le même travail sur leur propre site et le protéger ?
On dirait que les gens compétents sont du côté obscur et utilisent les failles des sites, programmes élaborés par ceux dont c’est le métier du bon coté de la Force .
C’est troublant que lex propriétaires / utilisateurs de sites ne trouvent pas les failles de ce qu’ils gèrent et que des quidam cachés à distance y parvienne ???
1 « J'aime »
Pour le piratage du ministère de l’intérieur, j’ai cru comprendre que des agents avaient échangés des informations de connexion par une messagerie non protégée…
Donc c’est une grave négligence humaine.
Pour la CPAM, je ne sais pas mais je n’arrive pas à comprendre pourquoi il n’y a pas des pentests / préconisations sur le terrain de l’ANSSI pour protéger les infrastructures de l’état
Oui, mais il y a clairement aussi un problème IT, notamment l’absence de 2FA, de processus (il ne devrait y avoir aucune raison pour que deux agents aient à échanger des données de connexion) et de formation.
Mais après ça reste à l’initiative des tiers de demander cette certification à l’ANSSI, c’est probablement à ce niveau que ça coince… Parce que tout ça ça a un coup, et en période de restriction budgétaire, aussi bien dans le public que dans le privé, la sécurité fait bien trop souvent partie des premiers trucs dans lesquels on va aller chercher des économies, parce que ça n’a pas de bénéfice quantifiable immédiatement…
Il y a des gens très compétents des deux côtés. Mais les moyens ne sont par contre pas du tout les mêmes, il y a beaucoup d’argent à se faire du côté obscur, surtout quand en plus t’es soutenu financièrement par des puissances ennemies pour foutre le bordel… Donc forcément, tous les gens compétents mais avec des valeurs morales au raz des pâquerettes, ils vont choisir le mauvais côté.
Et comme en plus on est dans une période où l’individualisme est de plus en plus exacerbé, ça va pas aller en s’arrangeant.
Non heureusement. Mais il y en a. Le soucis c’est que la surface d’attaque est souvent énorme.
Les pratiques de sécurité de beaucoup de boîtes / institutions sont catastrophiques. La faute à un manque de budget alloué mais aussi à un manque de régulation / standardisation sur le sujet. Il y a aussi un problème de culture de la sécurité. Tu imagine pas ce que ça peut être courant les credentials par voie non sécurisé. J’ai déjà vu des banques m’envoyer des fichiers clients en le déposant sur un serveur accessible et non chiffré.
C’est ça qui est compliqué. Tu as besoin d’une négligence pour mettre par terre la sécurité.
D’où le notrust, normalement « by design » la majorité des failles sont inexploitables ou ne te donne accès qu’à une toute petite partie. Sauf que ça coute cher, que les boîtes qui sous traitnt connaissent mal, que les principes derrières sont violés durant la maintenance, et que beaucoup de nos logiciels sont vieux et n’ont pas intégré ces notions « by design ».
LA cyber sécurité (et là je sais de quoi je parle) n’est pas un sport d’équipe et ne l’a jamais été.
Vous pouvez avoir les meilleures équipes et les protections les plus en avance, il suffit d’une seule personne faisant une seule erreur pour mettre tout le monde en danger immédiat.
L’année dernière 80 % des hack d’entreprise on pris leur origine entre la chaise et le clavier d’un inconscient qui « savait tout » et qui a fait exactement le contraire de ce qu’on lui serine depuis des années.
Et effectivement vous n’y connaissez pas grand chose en ce qui concerne la sécurité informatique.
1 « J'aime »