Compte-rendu conférence « Cyber Security Instinct » 31 Octobre 2019
Le lieu d'hébergement de la conférence ressemble à un bureau de coworking avec des canapés, des tables et un vidéo projecteur. Quelques livres du fondateur de DIDAXIS à propos de l'auto-entreprise et du travail en tant qu'indépendant sont éparpillés de ci de là sur les tables. Lorsque Dominique Bourra arrive pour effectuer un "warm up", nous sommes 1+1 = 2. Nous rejoint alors une troisième personne quelques minutes après: 2+1 = 3. Deux autres personnes arrivent et nous poursuivons la discussion toujours depuis le canapé anglais initial. "DATA is the NEW OIL". Les données sont le nouveau pétrole. 3+2=5. Trois personnes de plus se joignent au cercle.
Au lieu de passer en mode "conférencier" nous continuons naturellement la discussion autour du canapé initial. 5+3 =8. La conférence passe de sujet en sujet de manière interactive: "Si la donnée est la nouvelle richesse, il faut alors la protéger, d'où l'importance de la cyber-sécurité". Cinq nouvelles personnes arrivent. 8+5 =13. "La nouvelle économie base tous ses business model sur la donnée: Celui qui loue des trottinettes électriques à besoin de géolocaliser chaque objet et à également besoin d'une application sur smartphone simple, rapide et… sécurisée". 8 nouvelles personnes arrivent alors,ce qui fait pratiquement le plein de la salle. 13+8 = 21.
La conférence bat son plein: "Alors que jusqu'à il y a quelques années, je faisais de la sécurité informatique pour protéger les systèmes informatiques, tout à coup je me suis trouvé dans la nouvelle révolution en cours, celle qui fait que les données sont au cœur de tout le système économique et sociétal. La conséquence a été que la cyber sécurité est devenue un enjeu non seulement simplement informatique, mais carrément économique avec des composantes géo-politiques et stratégiques. Sans commenter les aspects militaires de tous ces outils de hacking ou de défense contre le hacking."
– "Mais que veut dire exactement "sécuriser les données" ?" L'analyse de risque classique examine 4 critères pour lesquels il y a des réponses nouvelles. La confidentialité des données est couverte par les dispositifs de chiffrement et d'anonymisation. Les réglementations européennes comme le RGPD contraignent les entreprises et les gouvernements à faire attention à la protection de la confidentialité des données personnelles. L'intégrité de ces mêmes données est couverte par d'autres dispositifs comme les vérifications de type "checksum" ou par le recalcul du hash de la transaction entre l’émetteur et le récepteur. Nous en venons à parler des ransomwares qui altèrent les fichiers et demandent alors une rançon et comment des hackers ont fait fortune en utilisant des business models sans compte en banque comme le bitcoin pour recevoir le paiement. La technologie sous-jacente du bitcoin a permis de parler de la blockchain comme d'un "journal de caisse non falsifiable continu", en chaînant les blocs de transaction par un calcul du hash entre la résultante du bloc précédent et le bloc suivant de manière à ce qu'une insertion ou une altération ne soit pas possible (en simplifiant au maximum). La traçabilité offerte par les technologies de blockchain a été repérée pour permettre de recréer la confiance dans des flux financier ou autres (prescriptions médicales, suite de protocoles de soins). La notion de transaction anonyme, sans organe central, à permis de créer de nouveaux paradigmes qui dans la nouvelle économie façon "Uber" permettent de créer un lien direct entre l’acheteur et le vendeur sans intermédiaires. Cette nouvelle économie "peer to peer" est sécurisée par la blockchain. Le gouvernement chinois comme beaucoup d'opérateurs économiques ont repéré et encouragé ces technologies.
La disponibilité est garantie par des mécanismes de résilience et la virtualisation des infrastructures a beaucoup contribué à cela. Tous les cycles de développement logiciel ont été réduits grâce au développement agile "devops": On développe et on met en production par itérations successives rapides à partir d'un POC (proof of concept, maquette) puis un MVP (minimum viable product). Cela à permis de parler de l'emprise des entreprises GAFAMI (on a ajouté "Israel" aux GAFAM pour me faire plaisir… et surtout pour mentionner qu'Israel -le pays- est très en pointe dans ces nouvelles technologies.
A ces critères classiques j'en ai ajouté deux moins répandus que sont le risque humain et l'environnement géo-politique. En effet, depuis que la cyber-sécurité couvre le champ des objets connectés, on peut envisager une attaque liée à la modification de paramètres vitaux ou bien une attaque sur des dispositifs industriels, notamment "grid" (électricité, eau, télécoms, navigation, secours dont hôpitaux).
Quels sont les nouveaux métiers liés à la cyber-sécurité qui sont "bankables" dans cette nouvelle économie ?
Savoir coder en Python, Go ou Ruby assurera aux jeunes un métier stable pour plusieurs décennies à condition d’accepter de devoir constamment apprendre et changer et ainsi de suite jusqu'à créer un "instinct" d'expert de leur domaine.
Naturellement, savoir hacker c'est également savoir défendre parce qu'on connait bien les attaques. Nous avons parlé à ce moment là des jobs de data analyst notamment dans le darkweb et des intelligences artificielles. Lors de l'attaque de janvier 2019 Collection #1, il y a eu piratage et collecte d'un grand nombre de crédentiels pour que ça soit fait manuellement. Si les pirates utilisent un algorithme auto-apprenant pour pirater aussi vite, Il y a lieu de lui opposer une technologie équivalente en défense. D'où les professions de "threat intel": comprendre les menaces et donner l'alerte et la remédiation en quelques secondes.
Peu à peu les participants s'en vont, après avoir bu quelques rafraîchissements, suivant la même courbe de Fibonacci de développement harmonieux que lors du démarrage de la conférence. J'ai dédicacé quelques exemplaires de mon livre "Cyber Security Instinct" (Amazon) et nous avons terminé Dominique et moi au PHO7 en face pour déguster cette magnifique spécialité Vietnamienne. 21-13-8-5-3-2-1 !
Merci à tous de votre participation passionnée. Le partage d’expériences, la bonne humeur et une pointe de peur étaient de mise en cette soirée d'Halloween…