L’agence française de cybersécurité voudrait disposer d’un pouvoir d’injonction quand une faille est repérée

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]

49 contributions

  1. PicNicDouille Cémoi Landouille dit :

    que nos armées commencent par balayer chez elles! je ne me souviens plus quel CEMA ou c’était peut être un amiral, c’était félicité du choix des applications de microsoft! alors que la gendarmerie avait fait le choix intelligent de passer sur des systèmes linux.

    d’ailleurs l’ANSSI à sa propre version de distrubtion linux CLIP OS. il faut imposer l’emploi d’un OS que l’on contrôle dans toute les collectivité!

    après on a rien sans rien, il faut y mettre les resources (des personnes qui travaillent et font du maintien, support, formation aux utilisateurs) pour rendre ça comprehensible, visible et utilisable par chacun!

    • PK dit :

      Le problème est que le modèle de Microsoft permet d’acheter la tranquillité des DSI (en leur offrant un parapluie), tandis que le modèle du logiciel libre leur demande de s’impliquer et donc de prendre leurs responsabilités. C’est plié quand on connaît le milieu.

      La solution viendra sans doute indirectement de l’État sous la forme de « dédommagement » aux victimes. Toute entreprise se faisant voler des données nuisant à des utilisateurs devrait dédommager financièrement chaque utilisateur touché d’une somme forfaitaire (1000 € ? 10 000 € ?) si l’entreprise ne prouve pas sa bonne foi dans l’implication de la sécurité de TOUTE sa chaîne informatique (nul n’est à l’abri d’être le premier d’un truc nouveau : on ne peut punir que sur la mauvaise foi).

      Ça obligerait tous les guignols qui s’achètent une solution informatique (à grands coups de SSII foireuses) à s’équiper d’une équipe de suivi et de maintenance (ce que ne font pas 90% des entreprises, chiffre au doigt mouillé qui est peut-être fort sous-estimé).

      Ainsi, un simple vol d’un million de mots de passe (comme ça arrive TRÈS régulièrement) pourrait coûter un milliard d’euros à un grand groupe. À ce tarif-là, l’embauche d’une équipe s’amortit très très vite.

      • PicNicDouille Cémoi Landouille dit :

        je suis d’accord, je l’ai même véccu dans une grosse compagnie dont le business n’a rien à voir avec l’IT. Ils avaient un services IT qui a en bonne parti était délocalisé chez Amazon. Cependant un de mes amis qui travail pour une compagnie qui gère la vente des servers IBM, m’a dit que ce modèle est changeant. Certaine compagnie veulent garder un certain nombre de chose dans leur murs avec leur propre équipe IT.

      • dede dit :

        La solution existe déjà et elle s’appelle RGPD…

    • AirTattoo dit :

      @PicNicDouille Cémoi Landouille Ne parle pas de ce que tu ne connais pas. Les réseaux sensibles sont très sécurisés. Parler d’un réseau bureautique c’est montrer qu’on ne connait rien a la cybersécurité. Le tout Français en IT/OT c’a n’existe pas et ça existera jamais par contre la défense en profondeur, l’isolation des systèmes critiques ça existe quelque soit l’OS, les équipements.

      • PicNicDouille Cémoi Landouille dit :

        je connais très bien le sujet, j’ai de l’xp dans le domaine militaire et dans le civil!
         » Le tout Français en IT/OT c’a n’existe pas et ça existera jamais par contre la défense en profondeur, l’isolation des systèmes critiques ça existe quelque soit l’OS, les équipements. »
        c’est bien le problème, je suis moi même dans de la R&D en amérique du nord à cause de ça!

    • VonBulot dit :

      Un OS Windows 10 auquel on applique les recommandations ANSSI et les PSSI-A serait moins sécurisé qu’une obscure distrib’ de linux sur laquelle on ne peut certainement pas faire grand chose, oui c’est possible mais reste à prouver. , je travaille avec des ingé sécu tous les jours, si on les écoute, votre système devient tellement sécurisé qu’il est inutilisable, c’est le meilleur moyen de le rendre sur. Mais confronté aux réalité du terrain, on en vient a trouver des moyens de contournement car la SSI est ingérable.
      Linux ou Microsoft?
      95% des français utilisent windows donc il n’est pas illogique de penser que cela coute moins cher de sécuriser un OS windows avec des personnels déjà formé plutôt que de sécuriser un OS linux et de former le personnel à ce nouvel OS et de redevelopper tous les outils internes tournant sur windows.
      Pour info, pour durcir un OS windows il faut grossièrement désactiver des services, un OS linux, lui se construit de A à Z en activant juste les services nécessaires.
      La SS c’est comme la vie, il faut avoir de l’hygiène, et en général quand tu fais des trucs sales ou que tu ouches à des trucs de provenance inconnue: méfiance.

      • PicNicDouille Cémoi Landouille dit :

        j’ai construit des tas d’OS linux dans ma vie pour des clients, embarqué, serveurs, et desktop. J’ai également fait de la formation en systèmes *nix pendant qq années. Un des client dont j’avais la charge était une grande métropole en amérique du nord. Il y a de la demande pour la formation, une fois formé les gens peuvent utiliser linux aussi bien,voir mieux que windows. D’ailleurs même microsoft intègre du support linux dans ces systèmes

      • AirTattoo dit :

        @VonBulot Du pareil au même concernant les OS Linux/Windows. environs 250 mesures a appliquer sur les deux pour les rendre sécurisés. Il n’y a pas de meilleur OS.

      • jo666 dit :

        tu racontes quoi? windows et linux ont les mêmes coûts de maintenance. Tous les pros connaissent C++ et C donc plus de windows, plus de licence. va faire un stage chez rapid miner, il y a moins d’exploit sur Linux que windows

      • miaou dit :

        Depuis 2 ans Microsoft vend plus de Linux que de Windows via Azure. Windows est maintenant livré avec un sous système Linux… Dans quelque dix ans ce débat sera clos. Windows sera une distribution Linux avec des paquets propriétaires. Dans le même laps de temps tout le parc de PC-tablette-smarphone-truc-qui-s-install aura été renouvelé.

        Le vrai débat c’est Android… c’est plus fermé que fesses d’une none(C’est de l’open source propriétaire on sait ce qu’il devrait y avoir dedans mais on peut pas le vérifier pour la pré-installlé), sa appartient à une entreprise américaine puritaine et c’est dans la poche de milliards de personnes…

        • didixtrax dit :

          Androïd est une surcouche java, en effet bien verrouillée, au-dessus d’un Linux épuré aux seuls composant de la plate-forme matérielle sous-jacente.

      • PK dit :

        Il parait que des milliards de mouches mangent de la merde. J’en déduis avec votre raisonnement qu’il doit s’agir d’un mets délicieux !

        Windows est structurellement défaillant. D’autre part, ne possédant pas les sources du système (et surtout le système de build à partir des sources), rien ne prouve qu’il n’est pas forgé pour espionner l’utiliser, comme l’a prouvé la découverte d’une clé interne qui était destinée… à la NSA !

        Bref, associer Windows et sécurité revient à associer socialisme et bilan comptable : c’est un désastre programmé !

      • dede dit :

        Y a pllus simple pour virer les failles du système, on vire l’utilisateur, car c’est lui l’élément faible… 🙂

        • miaou dit :

          Mème si vous dites cela comme une blague, il ne faut pas se tromper de guerre.

          Remettre de l’humain qui applique le dogme du pays/entreprise/partie/etc… est peut-être la seule solution infine qui garanti dans le temps de la sécurité. Si votre système n’adhère pas à l’idéologie qu’il est sensé soutenir alors c’est lui l’élément faible… En cas de problème le réflexe à toujours été de revenir à des technos plus primitive, toujours; la complexité technologique n’est utilisée que lorsque les solutions les plus simple atteignent leurs limites.

      • felix dit :

        Il ne faut pas résumer la question de la sécurité informatique à la question de l’OS, mais l’exemple est en effet parlant; la question de Microsoft, se pose surtout sur le fait qu’il soit payant alors qu’il y a des alternatives gratuites et libres. Si on veut du budget pour la sécurité informatique, peut-être pourrez-t-on arrêter d’acheter des logiciels verrolés.

        On peut aussi se demander d’où viennent les pb de sécurité. Quand la NSA impose des backdoor dans les logiciels de sécurité, que les algorithmes de chiffrements sont eux aussi troué (Gemplus, Crypto AG), quand ce n’est pas directement les processeurs qui comportent des failles dans la génération de clé de sécurité…

        D’une part le système de blocage des systèmes propriétaire empêche d’en connaître le niveau de sécurité réel
        D’autre part, ces systèmes contiennent des backdoors à l’usage des divers services de renseignements
        Ensuite, ces systèmes contiennent souvent des systèmes latent d’espionnage à des fins marketing (habitude d’utilisation, fréquences, horaire, langage etc…) à des fins de profilage.

        Vous retrouvez le même problème avec les applications chinoises, ou autre. La législation française sur le cryptage est intéressante, en clair le cryptage fort est interdit. donc la sécurité informatique n’est qu’un vœux pieux.

        En clair on ne peut vouloir une sécurité informatique si on fait confiance à des tiers qui sont connu pour leur espionnage systématique et que le secret de la correspondance n’est qu’une plaisanterie.

        A chaque faille introduite pour des raisons de sécurité d’état, de marketing (ou d’économie) il y a des pirates pour l’exploiter, c’est le serpent qui se mord la queue. On ne peut pas faire entrer le loup dans la bergerie et se plaindre des dégâts.
        Si on résume à grand traits, les USA créé les failles pour espionner tout le monde, et les russes (/chinois/coréens/Belges/ 😉 les utilisent dans un second temps.

        La question de la souveraineté n’est même pas abordable, c’est un tabou, alors les sparadraps obligatoires de l’ANSI, ils peuvent se les coller….

        • farragut dit :

          @felix
          Si je peux abonder dans le sens de vos remarques: tant que les processeurs pourront exécuter des « données » au lieu des « instructions » d’un code compilé (et donc tant qu’il y aura des interpréteurs type Java), le risque sera grand d’accepter que les machines (ou contrôleurs de centrifugeuses) fassent autre chose que ce qu’elles étaient sensées faire…
          Cela rejoint la problématique de la souveraineté de l’Europe vis-à-vis de la fabrication de « puces », qui a été abandonnée à TSMC (Taiwan) et à quelques fondeurs étrangers (y compris implantés à Dresde).
          Tant que l’architecture des machines ne sera pas « démontrable » comme sûre (et cela de façon indépendante), il y aura toujours un doute sur la capacité des processeurs à « être bernés » par des données introduites à l’aide d’une simple clé USB ou un téléchargement indu (via maintenance et sous-traitance mal maîtrisées) .
          Bien sûr, il a des circuits programmables (FPGA), mais en général cette utilisation est réservée au domaine aérospatial (ou embarqué, donc plutôt militaire), où le risque est pris en compte dès la conception (et l’argent -un peu- disponible). Bon, les règles ITAR « forcent » aussi un peu la main des militaires français à être (un peu) indépendants des processeurs américains « sur étagère » (heureusement pour le Rafale, les chars, les missiles, les sous-marins, la dissuasion nucléaire, etc.).
          Pour le reste de l’électronique « grand public », ce sont les « IPs » (propriété intellectuelle des descriptions de processeurs ou autres circuits, type ARM) qui sont réutilisés et implantés dans des circuits intégrés fabriqués en grande série, type smartphone. Pas vraiment contrôlables, car couverts par le secret industriel.
          Si l’Europe ou la France voulaient être vraiment indépendantes et disposer de solutions souveraines fiables et sûres, elles devraient commencer par mettre quelques dizaines de milliards d’euro dans une usine localisée dans une zone non soumise à une prochaine invasion de la Chine…
          Mais on préfère voir les constructeurs automobiles européens arrêter leurs chaînes de fabrication et pleurer des larmes de crocodile sur la pénurie de composants asiatiques à cause du COVID-19. Cela « coûte » moins cher (et puis le chômage partiel est payé par le contribuable… En France, c’est sûr, pour l’Allemagne, voir avec Angela!).
          Tout le monde de la finance -et de la politique- s’était extasié sur les bénéfices (au sens « profits ») de la mondialisation heureuse, charge aux communs des mortels d’en subir les dommages collatéraux en termes de dépendance numérique. Peut-être qu’après tout, ce sont les mêmes qui bénéficient des constellations de satellites SpaceX et câbles de communication permettant de transférer les rançons en Bitcoins (et pots de vin) dans les paradis fiscaux créés grâce à cette numérisation ? Ce qui expliquerait le manque de motivation! 😉
          Alors, problème de sécurité ou problème de gouvernance ?

    • Royal Marine dit :

      Etes vous absolument sûr que la Gendarmerie n’a jamais rencontré aucun problème de sécurité avec Linux? Moi, il me semble que si, justement…
      C’est comme les crétins qui vantaient la sécurité de l’OS d’Apple: « Pas de virus! » disaient-ils… Jusqu’au jour où…
      Si la sécurité est l’affaire de tous, aucune n’est inviolable…

      • lgbtqi+ dit :

        S’il n’est pas invulnérable, d’ailleurs qu’est-ce qui l’est ?, Linux est incontestablement plus sécurisé et plus sécurisable que Windows.

        Ceci dit, j’ai vu en brigade de gendarmerie des comportements débiles et répétitifs qui font que même le meilleur système ne garantira rien contre l’impéritie des utilisateurs … Ecran de veille non protégé par mot de passe, clefs usb qui trainent sur le bureau, poste laissé sans surveillance pendant de trèèèèèèèèèèèès longues minutes en présence de la personne mise en cause … etc.

        La sécurité est une culture, davantage qu’un système d’exploitation. Et malheureusement, certains croient que le seul fait de revêtir un uniforme leur infuse cette culture. C’est pitoyable …

    • dede dit :

      CLIP OS est juste à un POC (proof of concept) et non une solution viable pour monter des réseaux d’entreprises… Surtout que l’élément central de la sécurité vserver n’est plus trop maintenu.

      • PicNicDouille Cémoi Landouille dit :

        je suis d’accord, je ne dis pas qu; il faut utiliser du Clip OS, c’est basé sur du gentoo IIRC… quand je pointé Clip OS ct à cause du fait que ça vient de l’ANSSI.
        « Surtout que l’élément central de la sécurité vserver n’est plus trop maintenu. » eh oué … d’où le fait que je dis qu; il faut y mettre des resources…
        en france on s’ait faire, mais personne veut payer… allez voir en amérique du nord, j’ai travailler dans des boîtes où la R&D et la IT embauche beaucoup de français…

        • PicNicDouille Cémoi Landouille dit :

          dsl pour mon français mon système étant US tout les mots inconnus du dico ENG sont soulignés c l’enfer pour me relire… et je suis un peu lazzy… et on peut pas éditer!! #webmasters

  2. Nike dit :

    Ça y est on commence à prendre le taureau par les cornes, c’est jamais trop tard pour bien faire, mais c’est clair qu’on est à la rue en cyber. Perso dans ma boîte le sujet commence à bouger depuis un an, mais c’est encore trop lent.

  3. didixtrax dit :

    « bitcoins ou en d’autres cryptomonnaies, beaucoup plus difficiles à tracer que les devises classiques », au contraire ! vu que le registre des comptes et des transactions est public, on peut suivre chaque fraction de BTC depuis sa création jusqu’à son dernier portefeuille. Je préférerai des espèces en coupures usagées ou des pièces d’or, mais c’est moins pratique à livrer initialement.

    Je reste toujours surpris des l’absence de sauvegardes multiples avec relecture systématique à titre de vérification et bien sûr sous forme d’archive historiques. Réalisées à leur initiative par des serveurs indépendants de ceux assurant les services et situés géographiquement ailleurs. Ne serait-ce que pour assurer une reprise rapide de l’activité en cas d’incendie. De même des serveurs sous Windows …

    l’ANSSI fait pourtant du bon boulot, notamment ses guides de « durcissement » sont bien faits.

    • Novice dit :

      Pour le BTC c’est vrai mais pour d’autres crypto-monnaies (le Monero par exemple) le traçage est bien plus complexe voir impossible

      • Ératosthène dit :

        @didixtrax & Novice : Faux & refaux, c’est quasiment impossible de remonter après plusieurs transactions. Il y a des services de blanchiment qui proposent, moyennant une commission, de blanchir une somme de BTC en divisant, redivisant, reredivisant un nombre suffisant de fois cette somme pour la réassembler ensuite et qu’on ne puisse pas deviner d’où elle vient.

    • Matthieu dit :

      Il y a des méthodes très efficaces pour utiliser des cryptomonnaies pour le paiement des rançons.
      Ça implique certainement des tiers de confiance et une taxe, comme toute méthode de blanchiment, mais c’est efficace.

      Fondamentalement, on peut certainement faire confiance à l’ANSSI pour parler de ce qu’ils connaissent d’une part, et aux criminels pour utiliser des méthodes qui fonctionnent. On parle de criminalité bien organisée, pas de script kiddie qui s’amuse au collège.

      Quant aux sauvegardes, oui, c’est facile d’écrire tout ça sur le papier. En pratique c’est souvent plus compliqué et ça coûte très cher… et la sécurité coûte toujours trop cher jusqu’à ce qu’on se fasse attaquer.

    • AirTattoo dit :

      Ce qu’il faut a l’ANSSI, c’est les moyens de mettre en œuvre la politique de cybersécurité et les moyens de recherche et communication. Trop de guide de l’ANSSI sont obsolètes. Plus de budget, une législation coercitive, en bref les moyens de la mission.

  4. Max dit :

    La société française se confond dans l’hédonisme, le chacun pour soi . Le concept républicain de l’intérêt général se perd.
    L’erreur est de croire que les choses sont immuables. Il n’en est rien. La gueule de bois sera biblique.
    Quand les forces obscurantistes des fous de dieu lanceront leurs états dans leur guerre sainte contre la civilisation judéo-chrétienne, est-ce que la Russie de Poutine sera leur allié de circonstance en affaiblissant l’Europe ?
    Ce serait suicidaire.

  5. Carin dit :

    Je suis surpris que les entreprises et autres administration fassent appel à l’ANSSI lorsqu’ils ont un problème, mais ne suivent pas ses recommandations lorsque leur problème est réglé…
    Et encore plus surpris que l’ANSSI n’ait même pas le pouvoir d’injonction à défaut de faire payer au prix du marché (et en informatique ça douille vite) leurs interventions.
    D’ailleurs si les appelants payaient, ils suivraient les recommandations.
    Le gratuit ne fait pas sérieux.

    • dede dit :

      Il y a ceux qui sont obligés (les OIV: operateur d’importance vitale) et les autres, les PME et PMI qui s’en sortent comme ils peuvent car les coûts des licences et du materiel n’est pas négligeable dans un budget…

      Faut arrêter de croire que toutes les boites (PME / PMI) ont les moyens pour déployer des outils couteux ou d’avoir des équipes de personnels dédiés à la sécurité informatique…

    • dede dit :

      Ce n’est pas parce que c’est payant que c’est mieux, il y a beaucoup d’outils opensource qui marchent très bien…
      La priorité c’est l’efficacité, pas le paraitre…

    • dede dit :

      dommage que mes commentaires concernant les capacités financières sur le déploiements de moyens de sécurités soient supprimé par la mod&ration, je sais de quoi je parle, c’est mon métier….

    • dede dit :

      a moins que ce soit un bug d’affichage

  6. farragut dit :

    Comme je l’ai déjà mentionné, il est plus facile pour un « Groupe » d’avoir une capacité d’audit financier sur une filiale que d’avoir un audit de sécurité du système d’information de ladite filiale.
    A croire que les problèmes ne sont pris en compte que quand on perd quelques millions d’euro ou de dollars, et pas avant.
    Sans doute un biais cognitif chez les financiers et managers qui ne voient l’avenir qu’une fois le débit inscrit dans leur tableur Excel (et encore)…
    Commençons donc par faire payer en interne les décideurs sur les « économies » qu’ils font sur la sécurité des données, et le reste devrait suivre!
    Tant qu’ils seront en mode « je peux pas prouver que mon action est rentable, donc je ne fais rien, ou mieux, j’interdis de faire quoi que ce soit », l’ANSSI pourra toujours intervenir après coup, cela ne servira à rien.
    Il faudrait plutôt s’inspirer de la Législation du Travail (si Macron ne la détruit pas après le « retour des jours heureux »), en rendant le Chef d’Etablissement (ici, le financier décideur) responsable des accidents du travail (destruction des données) dans son usine ou son data center (y compris « externalisé » pour déléguer ou évacuer sa propre responsabilité)…
    Que « vaut » la « non-assistance à Entreprise en danger » dans notre Code du Travail 2021 ? 😉
    Ah oui, on a le droit de détruire des documents qui sont en format papier du moment qu’ils sont numérisés ! Gros progrès, vraiment ! 😉
    https://www.legifrance.gouv.fr/search/all?tab_selection=all&searchField=ALL&query=destruction+donn%C3%A9es&page=1&init=true
    Et on voudrait reprocher aux malveillants les conséquences de nos propres bêtises ou insuffisances ? Pas très sérieux…

  7. Matt dit :

    Les peuples de gauches ne voudront jamais mettre en cause leur idéologie de la liberté absolue mais que le web.
    Quitte à sacrifier le pays, si cela arrive ils accuseront quelqu’un d’autre…

    • Raymond75 dit :

      Ben ouais : tout le monde sait que les boites informatiques et les hackers sont des gens de gauche ! Il y a le Bien, à droite, et le Mal, à gauche. « En avant marche, une, deux, une, deux, gauche, droite ».

    • Haizkolari dit :

      Votre commentaire n’a pas de sens. Il doit manquer des mots.

    • Royal Marine dit :

      Sauf que c’est eux qui veulent absolument vacciner avec un produit expérimental, et nous doter d’un pass sanitaire, privatif de liberté… Sauf pour les migrants, bien sûr, pour lesquels c’est open bar!
      Cherchez l’erreur!

  8. Plusdepognon dit :

    Il y en a des choses à faire dans un monde où tout doit être interconnecté…
    http://informatiques-orphelines.fr/index.php/2021/03/03/ni-responsable-ni-coupable/

    Les compétences se vendent chers et la fonction publique a du mal à les attirer :
    https://www.nextinpact.com/article/45624/ce-que-revelent-offres-demploi-dgsi

    D’où une certaine mutualisation des moyens :
    https://www.nextinpact.com/article/45669/decryptage-capacites-secret-defense-dgse

    On des nouvelles concernant le ministère de la Vérité qui doit être déployé au mois de septembre prochain :
    https://www.intelligenceonline.fr/renseignement-d-etat/2021/05/31/le-service-anti-fake-news-honfleur-structure-son-etat-major,109669565-eve

    Tandis que la gigantesque panne des numéros d’urgence servirai tel un vulgaire coup d’ État malien à faire avancer quelques pions :
    https://www.lalettrea.fr/entreprises_tech-et-telecoms/2021/06/16/panne-des-numeros-d-urgence–stephane-richard-reflechit-a-une-scission-d-orange-france,109673500-eve

    À guetter donc ce qui va être réellement accouché du « Campus Cyber » :
    https://www.challenges.fr/high-tech/michel-van-den-berghe-pourquoi-je-quitte-orange-cyberdefense_762377

    Cela n’étonne plus personne qu’une multinationale du numérique puisse mettre à l’amende des États ou interdire d’expression un ex-président des USA…
    https://www.lopinion.fr/blog/secret-defense/cyberinfluence-l-armee-francaise-se-fait-prendre-main-dans-sac-232025

    https://www.lexpress.fr/actualite/monde/donald-trump-suspendu-deux-ans-par-facebook_2152220.html

  9. sepecat dit :

    Ayant passé ma carrière dans l’informatique, notamment bancaire, j’ai le souvenir d’un logiciel que j’avais conçu et pour lequel j’avais mis en place un certain nombre de sécurités. Bien entendu, le leitmotiv général, X fois entendu, est « ça ne peut pas arriver ». Bref, le jour où la sécurité s’est déclenchée bloquant à juste raison une exécution, la réponse que j’ai eue de l’encadrement est : « c’est simple, tu désactives la sécurité ». Le plus inquiétant c’est que ce genre de comportement paraît le plus naturel du monde et n’interpelle pas leur auteur. Bien entendu, je n’ai rien désactivé du tout et obligé ceux qui étaient censés nous fournir des données correctes à nettoyer un peu leurs bases. Cela ne m’étonne donc pas que 3 % seulement des entités prévenues qu’elles sont en risque aient pris la peine de répondre. Il serait par ailleurs intéressant de savoir sur ces pauvres 3 % quelle proportion a par ailleurs pris la peine d’apporter effectivement des correctifs. A mon avis, nous n’atteignons même pas la moitié de ce chiffre.

    • basta dit :

      Les convoyeurs de fonds pourraient en raconter des vertes et des pas mûres sur la sécurité dans les agences bancaires … ces endroits où l’on dépose notre argent …

      Heureusement, les employés, directeurs d’agences et prospectus sur papier glacé prétendent le contraire. Les cons adorent.

  10. Arnaud dit :

    Le fond du sujet est que nous sommes équipés avec Microsoft, qui a au mieux de failles de sécuirté, au pire de vraies backdoors…. Le reste relève du seul voeu pieux car personne n’imposera rien à MS

    • Tannenberg dit :

      Votre commentaire fleure bon la tendance complotiste, avec une bonne dose d’ignorance sur la sécurité informatique et ses conséquences quand il n’y a pas de conscience du risque informatique dans la société économique au sens general. Peu importe les supposées failles ou backdoor de tel ou tel OS, le plus gros risque informatique restera toujours celui qui se trouve entre la chaise de bureau et le clavier. Donc le vrai fond du sujet c’est l’éducation de l’utilisateur aux bonnes pratiques dans l’usage de l’outil informatique, et de conférer le droit d’injonction a l’ANSSI ne peut qu’aider a aller dans la bonne direction pour faire en sorte de réduire la vulnérabilité de notre système économique aux pertes colossales que peuvent engendrer les attaques informatiques.

  11. Max dit :

    « Mise à jour » semble être du latin pour certains… Pis quand des directeurs informatique rechignent à débourser un quelconque portefeuille budgétaire au directeur de production informatique pour un chti pare-feu !
    Ouais on en est toujours là…
    ANSSI devrait avoir ce pouvoir dès lors qu’il en va de la sécurité nationale…A moins que ce ne soit les assureurs qui montent aux créneaux avec une surenchère des primes… Là il y aura du mouvement.

    • farragut dit :

      @Max
      Bonne idée, cela rappelle le débat sur la ceinture de sécurité dans les automobiles. Tout le monde voulait être « libre », mais pas prêt à payer pour les soins des blessés ou à accepter l’augmentation continue du nombre de morts.
      Finalement, la sécurité s’est imposée par conception dans les voitures, et plus personne ne conteste le port de la ceinture de la sécurité (sauf à l’arrière…). Mais les radars flasheurs avec envoi automatisé de l’amende y ont contribué aussi!
      Espérons que cela ne mettra pas aussi longtemps, et avec moins de morts (d’entreprises) que pour la voiture. Cela dit, il n’y a pas encore de « boite noire » obligatoire dans les automobiles comme pour les avions, mais la pression monte avec « l’autonomisation » (video embarquée avec enregistrement, connectivité, appels d’urgence, etc.).

  12. Belzébuth dit :

    Vous voulez connaître le meilleur service de renseignement du monde?
    C’est Amazon.
    https://korii.slate.fr/tech/amazon-sidewalk-reseau-geant-mesh-wifi-surveillance-vie-privee-objets-connectes

  13. Belzébuth dit :

    Les données de 92 % des utilisateurs de LinkedIn ont été mises en vente sur le darkweb…
    https://www.presse-citron.net/fuite-massive-linkedin-attention-vous-etes-touche/

    Bonne journée!