Voici les dV-News 02-2023 et leur sélection d’articles et de liens, une édition qui s’intéresse au domaine de l’OPSEC, ou operations security avec, comme d’habitude, un point sur quelques aspects saillants de la cyberactualité et la rubrique «Books & Reports».
OPSEC
De quoi sera faite 2023? Sur le plan conflictuel, cela ne s’annonce d’ores et déjà pas bien et c’est dans cet environnement très disputé que la protection de l’information est plus importante que jamais.
Et si nous , utilisateurs, apprenions à réfléchir à nos actes? Traverserions-nous, les yeux bandés, une artère principale au moment du rush? Sortirions-nous en pleine tempête de neige vêtus d’un simple T-shirt? Il se trouvera bien sûr toujours des personnes à l’intelligence et à la responsabilité limitées pour le faire, mais l’écrasante majorité des gens fait juste.
Pourtant, s’agissant de nos smartphones, il semble que nous ayons quelques progrès à faire. Nous les utilisons, semble-t-il, sans trop nous poser de questions quant aux risques. Interrogés, la plupart diront être très prudents, mais les faits racontent une autre histoire.
Il y a eu ces artilleurs ukrainiens dont la position a été révélée par une application de calcul des éléments de tir de leurs canons. Seulement, le groupe russe Fancy Bear l’avait modifiée à leur insu… Ensuite il y a eu ces soldats américains utilisant Strava pour leur footing et qui ainsi trahissaient l’emplacement et la disposition de bases militaires confidentielles. On mentionnera ces 800 criminels arrêtés dans le monde entier après une opération sans précédent grâce à une faille dans l’application de messagerie «sécurisée» qu’ils utilisaient ou ces policiers californiens dont l’application pour la conduite des opérations diffusait des informations sur leurs activités et sur les suspects qu’ils traquaient. Et on se souviendra aussi du comportement irresponsable de la Première ministre britannique. À MakiÏvka, dans l’est de l’Ukraine, au soir du Nouvel An, plus de 100 jeunes Russes sont morts pour n’avoir pas appliqué les consignes. Repérée à cause de leurs portables, leur caserne a été rasée par l’artillerie ukrainienne. Combien de fois faudra-t-il le dire: les smartphones sont des mouchards! Oubliée l’affaire de NSO Group et de Pegasus?
Dans tous ces exemples, les règles de base de l’OPSEC, la sécurité opérationnelle, ont été bafouées. Nous serions tous bien avisés de réfléchir avant de nous exposer et d’exposer autrui en raison de notre manque de discipline informationnelle. Les règles sont pourtant simples et disponibles partout en ligne.
Et dans les entreprises, combien prennent leur portable lors de discussions stratégiques? L’argument du « c’est trop cher », cela s’écarte aussi parfois avec un simple bocal à confiture comme illustré ci-dessous. La sécurité est d’abord une affaire de volonté.
Cyberactualité
Bien que la dernière quinzaine ait été plutôt calme, deux éléments ont particulièrement retenu notre attention.
- Guerre en Ukraine – Lors de son audition par la Commission de la défense nationale et des forces armées, le général Bonnemaison, commandant cyber des armées françaises, COMCYBER, a fait un point sur la situation cyber du conflit. Comme beaucoup d’analystes militaires qui ne se laissent pas submerger par l’émotion ambiante, il reste prudent quant à l’importance du cyber, ne la sur- ou sous-estime pas, tout en rappelant que le conflit a commencé avant 2014. Une analyse simple et efficace. Et pour ceux qui auraient besoin d’un état des lieux détaillés, nous recommandons la chronologie de la National Security Archive.
- Cyberassurance – Nous en discutions l’été passé et le mentionnions dans notre 64ème billet en novembre dernier, les cyberrisques pourraient bien devenir inassurables. Le CEO de Zurich Assurance est on ne peut plus clair. Cette évolution doit alarmer chaque décideur, car elle signifie que les victimes vont se retrouver seules. Et pour une entreprise, une cyberattaque sévère signifiera la faillite pure et simple. Et si d’aventure des assureurs continuent à offrir ce type de prestation, ce sera de toute manière lié à des conditions drastiques. Donc oui, la cybersécurité n’est depuis longtemps plus une option et va commencer à coûter aussi pour ceux qui se sont défilés jusqu’ici, pensant que cela n’arrive qu’aux autres. Voilà donc une évolution à prendre au sérieux et sans tarder, car les choses pourraient bien changer rapidement du côté des assureurs, alors que les risques ne font que croître, comme le rappelle à nouveau le WEF cette année et que Comparitech qualifie les conséquences à venir de terrifiantes.
BOOKS & REPORTS
Voici les livres et publications d’intérêts découverts durant nos recherches de cette quinzaine. Nous recommandons en particulier le livre de Solange Ghernaouti, OFF !
Et chez digiVolution? – En plus de l’organisation de notre événement phare Swisscyberhub, nous travaillons à plein régime pour lancer dV-Net. Ce sera le 24 janvier que notre outil passera du stade «essai pilote» à «opérationnel». Un pas essentiel après 18 mois d’investissement et un bel avenir au service des décideurs.
Où va le monde? – Nous vous invitons à ne pas manquer le prochain Bulletin of the Atomics Scientists du 24 janvier. On verra alors si les prévisions de l’horloge de l’apocalypse se sont encore dégradées…!
Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.
