Chers Lectrices et Lecteurs,
Nous avons le plaisir de vous adresser la 104ème dVNews (13-2024) et sa sélection d’articles et liens. Vous nous avez manqué… mais nous avions aussi besoin de vacances et les JO de Paris nous ont beaucoup occupés.
La tech sera un des enjeux majeurs de l’élection américaine, avec des intérêts divergents, entre une tendance régulatrice du côté des Démocrates et libérale chez les Républicains. Trop réguler ou peu réguler, telle est la question ! Depuis sa création, digiVolution ne cesse d’attirer l’attention sur les conséquences des cyberpannes potentiellement systémiques. Qu’elles soient intentionnelles ou pas n’est pas le plus important. Le BSoD (Blue Screen of Death) provoqué par la mise à jour ratée de CrowdStrike le 19 juillet et la panne du 30 juillet lorsque Microsoft s’est loupé dans la défense contre une attaque DDoS doivent nous interpeller.
Comment peut-on tolérer une situation où, à l’échelle mondiale, un petit bout de code et un processus de développement mal gérés interrompent des services bancaires, cloue au sol près de 6’000 vols, met hors ligne un nombre incalculable de services d’information, rende inopérants des centres d’appels d’urgences pour ne nommer que quelques conséquences. Les 8.5 millions de systèmes considérés comme touchés ne sont que ceux qui ont annoncé une panne à Microsoft. Combien ne l’ont pas fait et ainsi quel est le véritable impact de cette crise ? Un producteur de software peut-il se cacher derrière un article dans des conditions générales (ont-elles été lues ?) disant « ne doit pas être engagé dans des processus critiques » ? Une entreprise / infrastructure critique peut-elle être tenue responsable d’avoir mis des personnes / des intérêts / provoqué des pertes et des dégâts divers pour n’avoir pas tenu compte de cette condition ? Peut-on accepter que des services essentiels intègrent en leur cœur des processus automatisés qui, en cas de panne, peuvent les mettre à terre ? Pourquoi tout ça ? Parce que l’on continue à économiser sur le dos de la sécurité. Quelle catastrophe faudra-t-il pour qu’enfin les standards de sécurité soient effectivement et intelligemment mis en œuvre ? Il y a un moment où le libéralisme doit s’effacer et où l’irresponsabilité et la négligence doivent être sanctionnées, comme l’exigence le code pénal (art. 12 al. 3 CP).
Au-delà de l’indisponibilité des services et de l’opportunité pour certains criminels de profiter de l’aubaine, il faut maintenant aussi considérer cette situation comme le révélateur d’une violation ou d’un abandon grave de la souveraineté des acteurs touchés. Ont-ils connaissance de leur dépendance réelle par rapport à leurs fournisseurs IT ? À l’évidence, non. Conséquences ?
Le coup de semonce doit être entendu et une analyse de cette situation est IMPERATIVE en fonction de la criticité du service délivré. Espérons que le Parlement passera dès que possible une motion pour imposer une analyse nationale de ce risque et qu’il en découle des responsabilités et obligations claires à l’adresse de l’ensemble des acteurs de la chaîne de valeur / d’approvisionnement.
Merci de penser à soutenir notre travail.
BOOKS & REPORTS
Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.
ACTUALITES
► PQC ou Post Quantum Cryptography – Depuis la création de digiVolution, nous ne cessons d’alarmer sur l’avènement des ordinateurs quantiques qui disposeront prochainement (2, 4, 10 ans ? les experts ne sont pas d’accord) d’une telle capacité de calcul, qu’ils pourront casser tous les algorithmes de chiffrage actuellement utilisés. Sont menacés non seulement les contenus / fichiers (y.c. ceux volés hier et aujourd’hui), mais également les réseaux, notamment le petit « s » du « https ». Quiconque disposera d’un ordinateur quantique pourra se balader librement et faire des dégâts dans toute infrastructure IT non protégée avec un PQC (ou plutôt une QRC – quantum resistant cryptography). Aux USA, le National Institute of Standards and Technology (NIST) vient de publier trois normes de chiffrement post-quantique. Le 21 décembre 2022, le Président Biden a promulgué la Loi sur la préparation à la cybersécurité de l’informatique quantique. Aux USA la migration démarre. Et en Suisse ? Avons-nous au moins une analyse des risques ? Et qui sait que nous avons une entreprise à la pointe et dont les solutions opérationnelles vont au-delà des exigences du NIST sans impacter les performances ?
► Désinformation – Dans notre société de la data et de la communication, la tentative d’assassinat contre Donald Trump a produit cette image désormais iconique, déjà comparée à celle d’Ivo Jima lors de la Guerre du Pacifique.
Quasiment annoncé comme facile vainqueur en novembre prochain, un mois plus tard, le candidat Trump mesure certainement déjà amèrement les effets de la campagne des Démocrates sur le thème « weird ». Quelles leçons tirer ? La volatilité des opinions qui reposent sur des bases toujours plus émotionnelles et simplistes et plus élevée que jamais. La course à l’élection risque fort d’être tumultueuse et marquée par de nombreux dérapages qu’attisent déjà certains acteurs étrangers. Et comme on vient de le voir avec les émeutes en Grande-Bretagne, manipuler les foules déjà chauffées à blanc par des années de frustration est facile.
► Budget 2025 de l’OFCS – Avec son budget de 16.1 Mio CHF (1.5 Mio de plus qu’en 2024), l’Office fédéral de la cybersécurité pèsera… 18 fois moins que le sport et ses 303 mio CHF. On parle pourtant ici de la sécurité du pays et de toutes nos activités totalement dépendantes du numérique ! Comment sont établies les priorités ?
► NIS2 – Network and Information Security – Le 25 juin, nous avons eu le privilège de participer à Vienne chez Die Presse, l’équivalent autrichien de notre NZZ, à un débat autour de la nouvelle loi européenne sur la sécurité des systèmes d’information. En résumé : maintenant on ne rigole plus et il est plus que l’heure pour les entreprises suisses, que cela plaise ou non, de prendre connaissance de ces nouvelles règles qui les concernent aussi dès lors qu’elles interagissent avec des partenaires et clients européens.
La prochaine fois, nous vous parlerons des JO de Paris auxquels nous avons contribué. Sans trahir de secrets d’affaires, il s’agira de tirer les enseignements de cette méga-manifestation. Nous aurions pu le faire à chaud, mais voulons rester au niveau stratégique sans nous laisser influencer par les manchettes de la presse. Prenons le recul nécessaire.
Voilà pour cette 104ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré et vous souhaitons aussi une enrichissante découverte des articles et liens sélectionnés.
Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.