Catégorie : Principes généraux

31/05/2023 Due care, due diligence
J’ai toujours eu du mal avec ces deux notions. D’origine juridique, elles s’appliquent également en sécurité informatique. En sécurité informatique, les concepts de « due care » et « due diligence » peuvent être appliqués de la manière suivante :
01/12/2020 CI/CD
Continuous ceci, continuous cela… A quoi ça rime ? Ou plutôt à quoi ça rythme ? Car l’intégration continue et le déploiement continu sont une question de rythme, oserai-je dire.
04/11/2020 Bonnes pratiques : les bases
Un article fourni (pour une fois) de ZDNet reprend un ensemble de bonnes pratiques, pour un usage personnel. Les outils proposés vont évoluer dans le temps (de nouveaux non cités vont apparaître, d’autres vont disparaître), mais les bases devraient rester stables, et cet article est donc instructif à ce titre.
18/03/2020 Logique et mathématique
Un ordinateur, c’est bien beau, mais c’est rien qu’une machine. Une machine avec des performances extraordinaires, dans son domaine, mais une machine quoi qu’on en dise : une machine répondant aux lois mathématiques (et donc à la logique mathématique).
25/02/2020 C’est sûr, l’open source ?
Puisqu’on vous dit que oui car tout le monde peut regarder dans le code que tout va bien et que de toutes façons y a pas de méchant dans les développeurs qui font de l’open source c’est bien connu.
21/01/2020 Zero trust
Ne faites confiance à personne ! Je l’ai souvent entendu dans la vie, et c’est la première chose qu’on apprend quand on fait de la sécurité informatique. Le concept (marketing ou pas) de Zero Trust a vite émergé depuis que la SSI est devenue industrielle, mais c’est quoi ?
22/03/2019 Fake News
Moi qui suit un ardent défenseur de la langue française, je cède ici car l’expression est trop répandue pour ne pas la reprendre. Et surtout le terme fausses informations n’a pas exactement la même signification ni la même connotation complotiste. Comment ça se passe Définition Commençons par tenter de définir ce que c’est. A mon […]
07/03/2019 Formations
Voici une page spéciale avec différentes sources de sensibilisation et d’information : https://secnumacademie.gouv.fr/ https://www.skillset.com/ pour évaluer ses connaissances, en vue d’une certification par exemple. https://www.skillset.com/ https://www.information-security.fr/ https://www.root-me.org/ https://podcloud.fr/podcast/comptoir-secu (podcasts) https://www.reddit.com/r/netsec https://www.zenk-security.com/ Outils http://bugtraq-team.com/ https://www.kali.org/ Sites, podcasts, etc. https://www.techrepublic.com/article/kaspersky-offers-free-cybersecurity-training-to-assist-teams-working-remotely/ Sensibilisation pour les enfants https://www.securitytuesday.com/wp-content/uploads/2018/10/ISSA.Cahier.SecNum777.pdf https://github.com/wavestone-cdt/1-2-3-Cyber RGPD https://atelier-rgpd.cnil.fr/ (MOOC de la CNIL)
18/01/2019 Biométrie
Voir aussi Le doigt dans l’œil de la biométrie (nextinpact.com). La biométrie n’est pas, selon moi, adaptée aux processus informatiques. Point final. Et je ne parle même pas des problèmes d’implémentation… Alors pourquoi ça a le vent en poupe ? Parce qu’il existe désormais des dispositifs grand public, comme sur les smartphones ; Parce que c’est confortable ; Parce que ça donne […]
05/08/2018 Darkweb
La récente salve de francisation de termes informatiques n’a pas fait que des heureux. Plusieurs voix se sont élevées contre l’institutionnalisation de fait de termes abscons, comme darkweb et deepweb dont l’existence même prête à polémique. Autant un portail de messagerie (« webmail ») est un concept clair pour tous, autant les notions d’internet clandestin (« darkweb ») ou […]
20/06/2018 Rootkit
Un rootkit (en français : « outil de dissimulation d’activité ») est un type de programme (ou d’ensemble de programmes ou d’objets exécutables) dont le but est d’obtenir et de maintenir un accès frauduleux (ou non autorisé) aux ressources d’une machine, de la manière la plus furtive et indétectable possible. Le terme peut désigner à […]
05/04/2018 Serveur FTP
Pour mettre en œuvre un serveur FTP, il faut penser à quelques éléments de sécurité. Par exemple : Cloisonner les utilisateurs Interdire les shells Contrôler la provenance des requêtes Pure-FTPd Il existe plusieurs serveurs FTP possibles. J’ai choisi pure-ftpd qui m’a l’air léger (~800 ko) et robuste. Pour créer un utilisateur sous Linux : Créer […]
24/01/2018 L’informatique, c’est physique
Je suis un des premiers à le reconnaître, mais j’avais oublié que l’informatique était un objet éminemment physique. A l’ère du tout numérique et de la dématérialisation à tout va, à une époque où on se demande où sont stockées nos données (car bien souvent on ne le sait pas), j’ai suivi une présentation très […]
12/10/2016 En cas d’incident
Difficile de donner des consignes générales en cas d’incident. Le CERT-FR a tenté l’exercice avec une infographie assez générique, plutôt destinée aux petites structures. Toutefois, dans le cas d’un ransomware, la meilleure solution est d’éteindre immédiatement la machine. En cas de découverte d’une faille, il est normalement obligatoire de le déclarer en bonne et due […]
10/11/2015 NFC
NFC est un acronyme pour Near Field Communication, dont je laisse la description aux spécialistes (ou aux amateurs, selon les points de vue) de wikipedia. Il s’agit d’une technologie radio qui peut être utilisée pour l’échange de données informatiques sans contact, à courte distance. Dans le milieu où j’évolue (la banque), on redoute les concurrents […]
25/09/2015 Botnet
Un botnet est un ensemble de bots informatiques qui sont reliés entre eux. Historiquement, ce terme s’est d’abord confondu avec des robots IRC (bien que le terme ne se limitait pas à cet usage spécifique), qui était un type de botnet particulier servant sur les canaux IRC. Usage légitime Sur IRC, leur usage est de gérer des canaux de discussions, ou de […]