Souvenez-vous, c’était il n’y a pas si longtemps. Il n’y a pas si longtemps, la dernière mode hype était d’ouvrir le réseau de son entreprise aux équipements non-maîtrisés, la plupart du temps achetés par les employés eux-mêmes, et on appelait cela le BYOD : Bring Your Own Device (« Apportez Votre Equipement personnel de Communication » ou AVEC au pays du fromage).

C’est une totale hérésie sur le plan de la cyber, et nul besoin d’avoir un BAC + 18 pour comprendre cela : que l’on soit dans le domaine de la virologie, du militaire ou de l’informatique, il faut connaître son environnement et ses actifs (et c’est Sun Tzu qui le dit) et éviter à tout prix l’introduction dans un système organisé de corps étrangers non maîtrisés. Dans les années 2010, les offres de gestion de parcs BYOD pullulaient et j’ai en mémoire des discussions lunaires avec des fournisseurs de quincaillerie qui m’expliquaient doctement l’index en l’air que c’était un signe d’ouverture de l’entreprise. Ben voyons.

Heureusement, Zorro est passé par là et les choses sont revenues à peu près à la normale. Enfin quand je dis « Zorro » je devrais plutôt dire « Zorros » car ils ont été plusieurs : le RGPD (2018) qui a juste très légèrement mis l’accent sur le risque de fuite de données, et surtout les ransomwares. Merci Père Noël !

Vous croyez être tirés d’affaire ? Que nenni braves collègues / confrères / compagnons de cyber-infortune : s’il est une chose dont l’écosystème IT ne manque pas, en plus des consultants encravatés sortis d’école il y a 3 mois et qui prétendent vous expliquer la vie, ce sont les idées / techno moisies oui qui sentent l’oignon.

On commence par la base : les photocopieurs multifonctions. Vous en connaissez, vous, des équipements jamais patchés, avec un PC à l’intérieur, des comptes admin avec des mots de passe sur 4 caractères (quand il y a un mot de passe) qui sont connectés sur 3 réseaux à la fois y compris celui de l’établissement (LAN, GSM et téléphonique) ?

On continue avec le SaaS, ou Cloud, ou Fog c’est selon. Si vous voulez exfiltrer de la donnée, sensible tant qu’à faire, auprès de prestataires qui vous sortent les beaux powerpoint expliquant avec de belles photos que leur datacenter est sécurisé (comme le disait Ovh avant l’incendie), avec des certifications en-veux-tu en-voilà (mais que le client n’audite jamais trop cher), et que les lois extraterritoriales ne s’appliquent pas (comme le disent les GAFAM avant de filer vos données à Doland), vous êtes au bon endroit. Et encore on est dans le haut du panier : je vous passe les prestataires qui connectent en direct votre LAN sur le leur (authentique), ceux qui vous expliquent que c’est leur firewall qui va protéger votre réseau à distance (mais vous n’avez pas la main dessus bien sûr, authentique encore), ceux qui pensent que l’on fait transiter un port DB non chiffré sur Internet, ceux qui pensent que le MFA c’est pour les geek, bon j’arrête là mon clavier a mal.

Et là vous vous dites à ce moment précis : on est au fond du fond. Mais non voyons, j’ai encore des cartouches ! Voyez plutôt.

Ce qui est cool avec l’IoT, c’est qu’il n’y a aucune définition précise. Objets connectés ? Cela recouvre des équipements très disparates telles les caméra IP, les objets de self-quantifying, les AirTag, les pompes à insulines connectées, les pacemakers, la domotique, les systèmes de gestion de bâtiment (que certains classent plutôt dans la catégorie SCADA), etc. Et dans la majorité des cas, côté cyber, nada bernique et peau de balle : pas de patch, pas de security by design, pas de cartographie des flux ni de gestion basique des comptes, on est au degré zéro.

On pourrait penser qu’à la limite cela va s’arrêter là. Mais non, car un changement majeur de paradigme nous pend au nez : l’IA. Et si vous pensez que les LLM type ChatGPT vont juste être une évolution dans l’éternelle lutte entre le glaive et le bouclier, lisez un peu ce que l’écosystème cyber écrit et pense de Mythos et de son arrivée dans le monde de la cyber. La, on ne parle plus d’évolution, mais de changement brutal et rapide de paradigme, et ce n’est pas pour rien si dans son édition du 16 avril dernier The Economist signale que le gouvernement Trump, pourtant partisan du laisser-faire qui stimule la concurrence entre les acteurs, a convoqué les grands acteurs du secteur pour « discuter rapidement de la question ». Traduction : cela ne sent pas bon.

La cyber, ce monde merveilleux où vous croyez avoir verrouillé la petite lucarne au fond du jardin et où vous vous apercevez que la baie vitrée du salon est grande ouverte. Ce monde merveilleux où l’écosystème n’apprend jamais, commet âneries après âneries avant que les experts suent sang et eau pour boucher les trous de systèmes pourris qui n’ont pas été conçus autrement que pour fonctionner n’importe comment et en dépit du bon sens.

Au pays de l’IT, comme dans tous les pays, on s’amuse on pleure on rit, il y a beaucoup plus de méchants que de gentils. C’est bon vous avez la ref ?

cedric@cartau.net

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.