De l’intérêt des mots de passe ou l’authentification faible

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

A quoi servent les mots de passe ?

Avant d’entrer dans un système d’information, l’usager doit tout d’abord s’identifier – il s’agit du nom de connexion ou login/username en anglais – puis s’authentifier.
L’acte d’authentification consister à prouver son identité. Pour se faire, il existe plusieurs façons de procéder :

  • [savoir] retenir et restituer un secret comme un mot de/phrase passe, code PIN etc.
  • [avoir] détenir un élément unique comme un badge, un toggle USB etc.
  • [être] présenter un élément biométrique comme des empreintes digitales, rétinienne etc.
  • [savoir-faire] être capable de reproduire un motif comme les captcha, le déverrouillage de certains smartphones etc.

username-password

Ainsi, en fonction des combinaisons des procédés listés ci-dessus, on classe le niveau d’authentification :

  • faible – ou standard – fait appel à un seul procédé
  • forte par une combinaison de deux procédés
  • renforcé avec l’emploi de trois procédés ou plus.

Lire la suite

Intégrer la sécurité numérique dans les projets

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Après une absence involontaire, je publie enfin un nouvel article !

Trop souvent, cette partie dans les projets de systèmes d’information est soit oubliée, soit intégrée tardivement impliquant un surcoût financier/RH et des glissements de délais.

Pour éviter cela, il existe plusieurs principes très simples à mettre en place ; mais je vais commencer par donner quelques exemples de ce qu’il ne faut pas faire :

  1. Intégrer une liste à la Prévert de règles totalement inadaptées (comme par exemple imposer un verrouillage automatique d’écran sur un poste de supervision de caméra de surveillance…)
  2. Considérer l’ensemble des composants du SI comme un seul. En reprenant l’exemple ci-dessus d’un SI de vidéosurveillance, établir les mêmes règles de sécurité pour un poste de supervision et une station permettant d’extraire les enregistrements vidéo (des comptes nominatifs pour les 2 n’est pas le plus opportun, la supervision n’ayant aucun moyen de modifier le SI, un compte fonctionnel suffit et permet une organisation plus souple).

Le facteur de clef de succès le plus important est l’intégration de la sécurité numérique à chaque phase du projet :

Lire la suite

Les systèmes d’information d’importance vitale et la sécurité numérique

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

L’arrêté du 17 juin 2016 fixe les règles de sécurité des systèmes d’information d’importance vitale (disponible sur légiférante). Cet arrêté ne concerne que le secteur d’importance vitale « Gestion de l’eau » mais plusieurs autres devraient être publiés pour couvrir l’ensemble des secteurs dits sensibles.

Ces systèmes d’information d’importance vitale (SIIV) sont les systèmes vitaux pour un opérateur d’importance vitale (OIV) comme les opérateurs énergétiques, de télécommunication, de gestion de l’eau etc.

L’annexe I de cet arrêté fournit une lite de règles à appliquer. Lire la suite

Le Responsable de la Sécurité des Systèmes d’Information (RSSI)

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Bien qu’ancienne cette vidéo me plaît toujours autant ; en effet, comme beaucoup de RSSI je pense, je m’y retrouve… en bien comme en mal car le principe de dire « NON » à toute demande semble être devenu une norme !

Heureusement, on voit qu’après avoir dit non, le RSSI adopte une attitude plus conforme à ma vision de la sécurité numérique : être présent dès le début de chaque projet numérique afin d’intégrer la sécurité le plus en amont possible.

Je reviendrai dans différents articles sur la sécurité dans les projets et le rôle de chacun dans la Sécurité Numérique.

Luttons contre les rançongiciels

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone
Crédit Camille Allin

Crédit Camille Allin

Depuis quelques temps nous assistons à une recrudescence d’attaques par rançongiciels (ransomware en anglais).

Sans prétendre détenir LA solution ultime contre ce fléau, cet article a pour but de présenter d’une part ce que sont ces fameux logiciels et d’autre part de donner quelques astuces pour se prémunir ou pour arrêter ce genre d’attaques. Ces astuces sont valables aussi bien dans un cadre professionnel (au bureau) que personnel (à la maison). Lire la suite

Présentation

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Bienvenue sur le blog de la Sécurité Numérique.

Ce blog s’adresse à toutes les personnes intéressées par la sécurité de leurs systèmes d’information. Mon but est d’être suffisamment clair et d’aborder les sujets non pas sous l’angle de la technique ou des technologies mais par une approche similaire à ce qu’on trouve lorsqu’on traite de management ou de stratégie.

Ainsi, j’ai articulé ce blog autour de deux grands thèmes :

  • des guides pour tout le monde, que se soit au bureau ou à la maison
  • des réflexions issues de mes récentes études (mastère spécialisé en management des SI et technologies) et des différents postes occupés depuis plus d’une décennie au sein du ministère de La Défense.

Pourquoi une telle approche ?

De formation universitaire en informatique générale avec une spécialisation en sécurité des systèmes d’information, je me suis intéressé très tôt aux moyens de mettre en place efficacement la sécurité numérique – pour donner une petite idée, la norme ISO27000 n’était qu’une lointaine idée !

il y a quelques années, au moment de la rédaction de ma thèse professionnelle, j’ai pris le temps d’analyser l’échec de la SSI surtout par son approche technico-technologique. Beaucoup plus récemment, en accueillant un stagiaire lycéen, je me suis rendu compte que le domaine de la sécurité numérique était encore bien obscur !

Avertissement

Je ne prétends pas détenir les solutions ultimes ni une quelconque vérité absolue – d’ailleurs je ferai une serie d’articles concernant les sacro saintes règles que tout bon RSSI se doit de faire appliquer (ironique). Ce blog est également à vous, les commentaires sont libres (mais contrôlés bien sûr).