La sécurité n'existe pas dans la nature. Aucun animal ne serait assez fou pour se sentir hors de tout danger. Nous sommes l'unique espèce connue qui pense être en mesure de trouver le bien-être à travers la technologie ! Quelle gloire...
J'ai trop souvent rencontré de ces professionnels de l'INFOSEC - adeptes forcenés de cette croyance - qui investissaient des sommes folles dans les derniers équipements INFOSEC à la mode, à la joie des équipementiers de tout bord. Il est vrai que les gourous de la prospective technologique ne connaissent aucune limite, tant la loi de Moore est ancrée dans nos mentalités.
Cependant, concernant l'INFOSEC, je suis de plus en plus agacé par cet engouement idiot de la nouveauté ! Mon opinion est que nos chers spécialistes de la prospection INFOSEC - connus en France sous la superbe appelation : Chercheur en sécurité informatique - devraient d'avantage se pencher sur l'engouement inquiétant pour les pratiques de la guerre de l'information que sur les toutes dernières technologies que sont actuellement la virtualisation (le nième retour du mainframe) et les VoIP-ToIP (la convergence ratée par le RNIS/ISDN voilà quelques années, faute d'un leader gargantuesque comme Cisco).
L'explosion des activités d'intelligence économique masque mal des comportements douteux rappelant d'avantage une Sale Guerre qu'une mission de casques bleus... La transposition des techniques guerrières à l'économie n'a malheureusement pas été suivie du code éthique qui doit les accompagner pour ne pas tomber dans une application littérale de la loi du Talion. Et ce n'est pas la lecture de Sun Tzu par nos capitaines d'industrie qui va inverser la tendance !
La guerre nous apprend que la véritable force ne réside pas dans notre capacité à accroître le degré de violence, mais dans celle de la maîtriser.. Au delà du cliché de la frappe chirurgicale, pratiquer une guerre de l'information raisonnée pourrait simplement signifier savoir répliquer en limitant au maximum notre degré de violence.
Pour ne pas être une victime, le mieux est de ne pas paraître vulnérable. C'est le vieux concept de la dissuasion. Une bonne sécurité passive est ici l'un des meilleurs moyens que je connaisse. Encore faut-il avoir mener une analyse de ses vulnérabilités et un changement drastique des mentalités.
Concernant cette dernière tâche, mon axiome préféré - appartenant à la guerre de l'information - est le suivant : "Si vous ne pouvez pas protéger vos informations, vous ne pouvez pas les partager." Il est vraiment simpliste, mais je suis intimement persuadé que s'il était vraiment mis en pratique par nos armées d'opérationnels, on compterait moins de cyniques ou de dépressifs dans les rangs des pro de l'INFOSEC...
En dernier ressort, reste la loi. Les délinquants en col blanc réflechissent à deux fois avant de vous attaquer, si vous avez fait la preuve que vous êtes en mesure de saisir la justice avec efficacité ! Et voila, je suis retombé sur les thèmes de la réponse aux incidents et le forensique - cqfd...
J'ai trop souvent rencontré de ces professionnels de l'INFOSEC - adeptes forcenés de cette croyance - qui investissaient des sommes folles dans les derniers équipements INFOSEC à la mode, à la joie des équipementiers de tout bord. Il est vrai que les gourous de la prospective technologique ne connaissent aucune limite, tant la loi de Moore est ancrée dans nos mentalités.
Cependant, concernant l'INFOSEC, je suis de plus en plus agacé par cet engouement idiot de la nouveauté ! Mon opinion est que nos chers spécialistes de la prospection INFOSEC - connus en France sous la superbe appelation : Chercheur en sécurité informatique - devraient d'avantage se pencher sur l'engouement inquiétant pour les pratiques de la guerre de l'information que sur les toutes dernières technologies que sont actuellement la virtualisation (le nième retour du mainframe) et les VoIP-ToIP (la convergence ratée par le RNIS/ISDN voilà quelques années, faute d'un leader gargantuesque comme Cisco).
L'explosion des activités d'intelligence économique masque mal des comportements douteux rappelant d'avantage une Sale Guerre qu'une mission de casques bleus... La transposition des techniques guerrières à l'économie n'a malheureusement pas été suivie du code éthique qui doit les accompagner pour ne pas tomber dans une application littérale de la loi du Talion. Et ce n'est pas la lecture de Sun Tzu par nos capitaines d'industrie qui va inverser la tendance !
La guerre nous apprend que la véritable force ne réside pas dans notre capacité à accroître le degré de violence, mais dans celle de la maîtriser.. Au delà du cliché de la frappe chirurgicale, pratiquer une guerre de l'information raisonnée pourrait simplement signifier savoir répliquer en limitant au maximum notre degré de violence.
Pour ne pas être une victime, le mieux est de ne pas paraître vulnérable. C'est le vieux concept de la dissuasion. Une bonne sécurité passive est ici l'un des meilleurs moyens que je connaisse. Encore faut-il avoir mener une analyse de ses vulnérabilités et un changement drastique des mentalités.
Concernant cette dernière tâche, mon axiome préféré - appartenant à la guerre de l'information - est le suivant : "Si vous ne pouvez pas protéger vos informations, vous ne pouvez pas les partager." Il est vraiment simpliste, mais je suis intimement persuadé que s'il était vraiment mis en pratique par nos armées d'opérationnels, on compterait moins de cyniques ou de dépressifs dans les rangs des pro de l'INFOSEC...
En dernier ressort, reste la loi. Les délinquants en col blanc réflechissent à deux fois avant de vous attaquer, si vous avez fait la preuve que vous êtes en mesure de saisir la justice avec efficacité ! Et voila, je suis retombé sur les thèmes de la réponse aux incidents et le forensique - cqfd...
Articles
Les chercheurs en sécurité informatique te saluent.
RépondreSupprimerLa guerre de l'information, c'est le cambriolage des permanences de campagne, c'est ça ?
Tu vois que moi aussi je peux lancer des trolls pour avoir des commentaires !! :-p
RépondreSupprimerhoulala, ca sent le troll.
RépondreSupprimermoi je dirais, que les "chercheurs" en sécurité informatique ils sont là pour chercher :-)
Les vrai chercheurs publies des documents et les rendent publique...