Microsoft’s Law Enforcement Requests Report 2013

Il y’a de cela quelques jours, dans sa politique de transparence avec l’utilisation des données utilisateur que l’entreprise traite, Microsoft a publié son rapport semestriel pour les six premiers mois de l’année 2013, récapitulant l’ensemble des requêtes émises par les Agences d’Etat dans le cadre de procédures judiciaires en cours contre l’un ou l’autre des abonnés des services de la firme.

Microsoft_Law_Enforcement_Request_Report

De part ce rapport il advient que 5 pays, à savoir la France, les Etats-Unis d’Amérique, la Turquie, l’Allemagne et l’Angleterre, à eux seul ont émis près de 73% de l’ensemble des requêtes reçues par les services de Microsoft.

Ce qui m’intéresse particulièrement dans ce rapport ce sont les requêtes d’informations émises depuis des pays d’Afrique. Et là le moins qu’on puisse dire c’est qu’il n’y à pas affluence. Les seuls recensés dans le rapport sont la Tanzanie et l’Afrique du Sud, sur un ensemble de plus de 60 pays ayant émis des requêtes !

Ceci me pousse à me poser des questions sur les opérations de nos services judiciaires et de sécurité ici en Afrique. Ce faible tôt de demande d’information serait-il dû  à la non intégration de ces mécanismes dans nos procédures d’enquêtes ? Que dire de nos Agences Nationales de Sécurité Numérique qui très probablement un jour ou l’autre ont eu et auront besoin d’avoir accès à certains détails sur les activités privées en ligne d’un individu (bien entendu, muni d’un mandat judiciaire) afin d’établir, ou pas, sa complicité dans un acte malveillant ou de démanteler un réseau de (cyber)criminels ?

Les détails sur le rapport en question se trouvent par ici

Valdes T. Nzalli

Free Offensive Security Course

off_sec_banner3

Dans le cadre de notre programme de vulgarisation des supports de formation dans le but de renforcer les compétences techniques du maximum de personnes sur la scène locale, nous vous proposons ce programme de formation issu de l’Université d’Etat de Floride, aux Etats Unis. Ce programme a été mis sur pied par deux éminents enseignants à savoir le Professeur Xiuwen Liu et le Professeur W. Owen Redwood. Cette formation a été dispensée au cours du printemps derniers et ses initiateurs ont promis de la mettre continuellement à jour pour une autre session dans la même Université l’année prochaine.

La formation, intitulée « Offensive Security » est disponible en langue anglaise et s’étend sur une période officielle de 15 semaines en moyenne, mais bien sûr, en fonction de vos aptitudes et affinités, rien ne vous empêche de suivre le programme complet en plus ou moins de temps que celui prévu.

Les motivations ayant poussé à la conception de ce cours, telles que données par ses auteurs sont :
“The vision of this class is to fill the common gaps left by most University level security courses, by giving students a deep technical perspective of how things are attacked and hacked. The motivation of teaching such subject material was twofold: primarily to produce skilled students geared to become penetration testers and/or incident responders; and secondarily to hopefully raise the bar for security courses (as there is a real dearth of skilled security professionals coming out of college)”

Ce qui répond grandement à notre besoin car plusieurs ici au Cameroun (et dans d’autres pays) ont eu à faire des cours à l’Université, généralement très concentrés sur les aspects théoriques de la cyber sécurité, ce qui est bien des fois insuffisant pour une insertion professionnelle réussie. Ce programme a donc en partie, pour objectif de combler ce vide et permettre de produire des Professionnels de la Cybersécurite capables de comprendre et d’appliquer les techniques de haut niveau pour résoudre des problèmes techniques potentiellement complexes.

Les supports de cours sont fournis sous forme de présentation téléchargeable au format de votre choix (PDF, PPTX, ODT,…). En plus pour chaque module de cours est disponible une vidéo d’une dure d’environ 1 heure de temps retraçant en « live » la présentation. A la fin de certains modules des exercices sont fournis afin d’évaluer les apprenants. Pour les étudiants de la dites institution, un projet de fin de cours est même disponible. Le programme détaillé de la formation est accessible par ici : Offensive Security Class Syllabus.

Course Objectives :
Upon successful completion of this course of study, the student will:

  •  Know how to identify software flaws discovered through binary and source code auditing
  • Know how to reverse engineer x86 binaries
  • Know how to exploit software flaws (such as injection flaws, buffer overflows)
  • Know how to perform network and host enumeration, as well as OS and service fingerprinting
  • Know how to perform network vulnerability analysis, penetration and post exploitation
  • Know how to effectively report and communicate all of the above flaws”

Tous les supports de formation ainsi que les exercices et les informations complémentaires sont disponibles sur le site de ses concepteurs à cette adresse : Offensive Security Class Website. Notons par ailleurs qu’il vous est possible de télécharger directement le fichier torrent contenant uniquement l’ensemble de toutes les vidéos de la formation (sans les diaporamas et les exercices)

Note : Les supports de cours étant essentiellement en anglais il est nécessaire d’avoir un certain niveau de compréhension de la langue pour pouvoir les suivre. Par ailleurs, nous vous conseillons de travailler avec ces supports en formant des groupes (amis, collègues, club Info/Sec) afin de vous motiver d’avantage et de vous entraider lors de l’apprentissage.

Valdes T. Nzalli

PRISM : Au delà du Scandale !

Dans mon dernier billet je vous parlais du « scandale » actuel occasionné par la publication de documents classés « top secret » de la NSA par un ancien employé de son sous traitant Booz Allen Hamilton dénommé Edouard Snowden. Actuellement toujours dans sa quête d’un asile politique et du moyens de jouir de l’asile qui lui est proposé en Amérique Latine, son sort reste pour le moins incertain. [1]

Loin du débat autour des raisons et frontières de l’espionnage électronique (qui n’est qu’un pan du phénomène), loin de la polémique autour de la méthode utilisée par Snowden pour divulguer l’information, loin des récupérations politiques et du tapage médiatique occasionnés par ce dossier, quelques détails semblent tout de même assez instructifs et révélateurs : le « comment » de l’exfiltration de ces données normalement gardées sous haute surveillance (électronique et physique) !

Dans le principe général de sécurité périmétrique on a plus tendance à traiter tout ce qui est hors du réseau comme élément (potentiellement) « hostile » tandis que ceux à l’intérieur jouissent facilement de plus de privilèges et d’une certaine relation confiance. Mais voilà que faire lorsque le mal se trouve plutôt à l’intérieur ?! Ce phénomène est représenté par l’appellation, en anglais,  « Insider Threat » !

Le scandale occasionné par les révélations sur l’affaire PRISM est un cas pratique d’Insider Threat. Les mesures de sécurité de nos entreprises prennent-elles suffisamment en compte la protection contre les menaces (fraude, malversation, déstabilisation,…) internes ?! Quels sont les mécanismes qui sont mis en œuvre pour prévenir, détecter et limiter leur impact ?!

Dans le même ordre d’idée la gestion des utilisateurs avec privilèges élevés pose aussi problème ; Comment s’assurer qu’un utilisateur, avec ses droits d’accès élevés, à l’exemple des Administrateurs systèmes et réseaux, n’est pas entrain d’en profiter pour bypasser certaines mesures de sécurité et mettre la main sur des données hautement sensibles tant pour l’entreprise que pour ses partenaires et même de l’Etat, comme ce fut le cas ? Et que dire de tous ces Patrons, chefs d’entreprises et autres Managers (pas toujours réputés pour savoir protéger les identifiants) qui ont généralement (du moins dans la plupart des PME) un accès total à TOUT dans l’entreprise que ce soit technique, financier ou managérial, au cas où leur credentials seraient compromis (et rassurez vous, ça arrive bien des fois ) à l’exemple de Snowden qui a cloné les accès d’une personne hiérarchiquement mieux placée pour avoir accès à ces informations, que faire face à ce type de situation ?! [2]

C’est dans ce genre de scénario qu’interviennent les solutions de gestion d’identité et d’accès (IAM = Identity and Access Management). Grosso-modo, elles permettent de gérer qui a droit à quoi ainsi que les limites d’usage de ce droit. Ce serait bien naïf de penser qu’une boite du calibre de la NSA ne possède pas de solution d’IAM. Toutefois, leur Système Informatique bien qu’étant bien outillé, hautement sécurisé et tout a quand même permis à un individu d’accéder, à plusieurs reprises, sans attirer l’attention de personne, à certains dossiers très sensibles, sous la cape d’une autre personne (ID Theft. Il a certes utilisé les accès d’un utilisateur avec privilège mais n’empêche que l’accès à toute donnée plus ou moins sensible dans un Système d’Information qui se respecte doit TOUJOURS être journalisé et les logs sauvegardés de façon non altérable. [3]

C’est assez curieux qu’une agence dont l’une des missions principales est de TOUT collecter sur TOUT pour ensuite analyser n’ait pas appliqué la même formule pour ses affaires internes, pas assez en tout cas. Il y’a quelque temps le Général Keith Alexander, patron de la NSA, à l’issu de ce scandale à annoncé qu’ils allaient mettre sur pieds un nouveau procédé nécessitant la combinaison de deux personnes (au lieu d’un seul comme c’est le cas actuellement) afin d’avoir accès à des données critiques. Comme l’ont relevé plusieurs Experts du domaine, c’est peux être bien (mieux que rien en tout cas) dans un début mais que faire en cas de complicité des deux ou de menaces (chantage et autres) du second membre du binôme ? D’où la nécessité de trouver une solution pérenne pour ce genre de problématique.

A mon avis, quelque soit la solution, elle devra prendre en compte le fait de déjà limiter le nombre d’intervenants potentiels car moins il y’a de personnes pouvant avoir accès plus le risque de fuite est réduit. A notre tour, dans nos entreprises quelles sont les personnes pouvant avoir accès aux informations sensibles ?! De quel type de privilège d’accès jouissent ces personnes ?! Pouvons nous avec exactitude savoir qui à eu accès à quoi ? quand ? depuis où ? et quel type d’accès (copy, ecriture, modification, suppression, …) est ce que la personne à eu ? Quid des dispositifs de DLP (Data Leak Prevention) ? Avons nous des moyens de monitorer toute l’activité de nos utilisateur (ou du moins celle en relation avec les données sensibles) ? Pareil pour les logs de nos applications, sont-ils eux aussi archivés et analysés ?

Quelques piste qui réduiront considérablement les risques de fuite de données interne :

  • Identifier les données sensibles ainsi que leur(s) emplacement(s)
  • Elaborer les process : c’est à dire définir qui à droit à quoi, quand et depuis quel Poste / Segment du réseau / Type de connexion / Adresse / ..
  • Implémenter une solution d’Identity and Access Management permettant d’appliquer les workflows de l’entreprise (tel que défini dans le précédent point) et une gestion plus flexibles des droits et accès.
  • Journaliser, Monitorer et Analyser (Applicatifs, Systèmes, Réseaux,…): cette étape est doublement utile, premièrement dans la détection d’un incident éventuel, et deuxièmement en cas d’enquête ou de reconstitution des faits. [4]

Nul besoin de préciser ici qu’avoir un personnel compétent et régulièrement recyclé est de rigueur. Soyons clair, ceci ne nous mettra pas à 100 % à l’abri des risques de fuite de données, mais nous épargnera d’un quantité considérable de risques potentiels ; car rappelons-le une fois de plus, la Sécurité des Systèmes d’Informations, loin d’être un produit en soi, est avant tout une démarche marquée par plusieurs jalons.

Valdes T. Nzalli

Liens utiles :

[1] Je m’appelle Edouard Snowden, j’ai voulu un monde juste !
[2] Insider Threat Sheet (PDF)
[3] Network Security Fundamentals: Monitor Everything
[4] Six tips for building a successful SIEM strategy

Souveraineté Numérique et Raison d’Etat

Vous l’aurez sans doute remarqué, le buzz depuis les semaines passées est aux récentes révélations d’actes d’espionnage et de surveillance massive orchestrés par la NSA (National Security Agency) des USA, mis au grand jour par un ancien employé de la CIA travaillant chez un sous-traitant de la NSA à Hawaï par le truchement des quotidiens britanique « The Guardian » et Américain « Whashington Post ». Ce programme baptisé « PRISM » aurait vu le jour depuis 2007 et il en ressort que les Etats Unis ne seraient pas les seuls bénéficiaires des informations collectées. Une compilation succincte d’informations au sujet du programme PRISM est disponible sur le site de Qualys [1].

soldantSuite à tout ceci la première question qui vient à l’esprit c’est de savoir si un programme comme   PRISM (car il y’en a probablement d’autres pas nécessairement connus du grand public) est-il légal ? Après les sorties du président Barack Obama et du Directeur de la NSA, il advient que jusqu’à présent ce programme est connu et approuvé par la loi… aux USA ! Du coup on se demande, Qu’en est-il du reste du monde qui n’est pas Américain/ne vivant pas aux USA et dont les informations transitent et sont traitées par les plateformes incriminées (Facebook, Microsoft, Skype, Google, Apple, …) ?

De par l’évolution des TIC, on retient que la surveillance et l’espionnage des communications est un fait avéré et répandu (à tort ou à raison) et il y’aura toujours des moyens/procédés/solutions de plus en plus subtiles pour permettre aux gouvernements de le faire. Personnellement, tout ce buzz me semble un peu surfait, mais bon, le grand public découvre que l’eau chaude chauffe ! Par contre l’une des choses qui m’a le plus marqué c’est que suite à cette déclaration selon laquelle l’administration Obama via ses services secrets n’espionnent QUE les étrangers, l’enthousiasme de plusieurs agitateurs/agités a chuté ! Comme quoi l’espionnage n’est mauvais que si et seulement si il inclue comme cible les citoyens Américains.

Il est important de noter que très peu de Gouvernements/Organisations ce sont sentis concernés par cette nouvelle, bien que quelques uns ont tout de même réagit à l’exemple de la Norvège qui, par son Secrétaire d’Etat, a tout de suite réclamé aux Officiels Américains de plus amples informations afin de savoir comment ses citoyens sont affectés par ce programme. Quelques temps après c’était au tour de l’Union Européenne, via sa Commissaire Chargée de la Justice, de monter au créneau concernant cette affaire en exigeant que la vie privée des citoyens européens soit aussi préservée comme celles des Américains au cours de ce programme[2]. Coté Africain, aucun Etat, ni l’Union Africaine ne s’est senti particulièrement concerné ! Nothing… nada… rien… jusqu’à présent vu le silence qui règne ; Faut bien croire que ça ne nous gêne pas vraiment. Et puis, c’est pas trop comme si ça date d’aujourd’hui que nos gouvernements Africains n’osent demander des comptes aux « grandes puissances » ! d’ailleurs que rien n’exclue qu’ils ne soient au courant de la chose depuis longtemps  ou qu’ils n’aient leur part de programmes similaires déjà opérationnels (après tout, ne dit-on pas « tout le monde espionne et surveille » ! Dire que ces dernières semaines nous avons eu et aurons droit à plusieurs événements d’envergure ici en Afrique portant sur Internet, son rôle dans notre développement et sa gouvernance ; J’ose croire qu’au cours de toutes ces rencontres le sujet ait été à l’ordre du jour d’un quelconque atelier !

Je vois ici une affirmation (abus?) d’une position dominante, vu que tous les opérateurs cités sont essentiellement des firmes Américaines dont plusieurs autres entreprises et individus de part le monde en dépendent. Qui pourra y faire quoi ?! Personne ! Vous comptez les boycotter ?! J’en doute en tout cas pas de ci tôt avec toutes les données qu’ils possèdent déjà et la dépendance (vitale?) par laquelle ils vous tiennent. Et si bien même quelques uns les boycottaient, le gros de leurs clientèle sera toujours intact. Quelqu’un d’autre aurait dit qu’il s’agit d’un cercle vicieux !

Tout ceci a mon avis relance en partie le débat sur la Souveraineté Numérique des Nations/Organisations régionales. Allant de la fabrication des matériels de nos Infrastructures à la production de solution logicielles pérennes sur notre sol en passant par la formation, l’encadrement et la mise en service du personnel qualifié. En Europe, ils en sont déjà déjà par exemple à affiner leur Stratégie Globale sur le Cloud [3] ainsi que leur projet de Loi sur la vie Privée devant s’appliquer dans leur espace géographique ainsi qu’à tous leurs ressortissants. Entre temps ici en Afrique qu’avons nous ?! Bah rien pour l’instant ! Une pensée générale dit : « Celui qui a l’Information a le Pouvoir » ! je trouve qu’elle cadre bien avec cette situation qui nous sied.

Nul besoin de mentionner les retours positifs que cela pourrait avoir sur l’ensemble du continent passant de la réduction du taux de chômage des jeunes à la création de la richesse via la commercialisation de nos solutions locales, l’impact sur le développement global et bien d’autres ; bref on y gagnerait sur toute la ligne.

Bien sûr, être le moins numériquement dépendant ne nous mettra pas entièrement à l’abri des grandes oreilles des Agences de Renseignement occidentales (et Asiatique), mais ce sera déjà un pas en avant car rappelons le, la protection de l’information n’est pas un produit en soit, mais tout un processus marqué par plusieurs jalons.

Note : Dans ce billet je ne me préoccupe pas de savoir comment la NSA procède pour obtenir les données de ses « fournisseurs ». De plus il n’est pas question ici du bien fondé d’une surveillance de l’Internet et encore moins de savoir si nos propres Etats ne possèdent pas de mécanismes similaires.

Liens Utiles :

[1] Que sait-on exactement sur PRISM ?
[2] Espionnage : Bruxelles tance Washington
[3] New strategy to drive European business and government productivity via cloud computing
[4] Souveraineté Numérique : Cas de l’Afrique
[
5] Comprendre le programme « Prism »

CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 2 : CIIP

Suite à la première partie de ce retour sur le 3rd CTO Cybersecurity Forum, (qui est disponible par ici) dans l’après midi du Jeudi 25 Avril, il y’a eu deux tracks au choix et le nôtre fut de participer au workshop sur la Protection des Infrastructures d’Information Critiques (CIIP – Critical Information Infrastructure Protection) mené par David POLLINGTON de Microsoft Security en partenariat avec le FIRST (Forum for Incident Response and Security Teams).

D’entrée de jeu, le maître de séance à tenu à préciser que certes il représente Microsoft, mais au cours de l’atelier il ne s’agira nullement de vendre un quelconque produit de la firme qui l’emploi, mais plutôt de partager sur l’état de l’art et les bonnes pratiques pour la CIIP et de ce qui est fait chez Microsoft pour y parvenir.

Cet Atelier était divisé en deux parties :

  • Critical Infrastructure Protection : Concept and Continuum : portant sur la définition et les contours du concept d’Infrastructures Critiques (CI Critical Infrastructures)
  • A Framework for Critical Information Infrastructure Risk Management qui nous proposait un ensemble de processus dédiés à l’identification et la gestion des risques dans nos CIIs (Critical Information Infrastructures).

A cet effet, deux manuels nous ont été remis, chacun portant sur un partie du workshop.

Lorsqu’on parle de CIIP, il faudrait déjà pouvoir différencier ce qui est Critique de ce qui ne l’est pas. La notion de criticité étant variable d’un État à un autre, il n’existe pas de modèles figés là dessus. Toutefois, certains domaines figurent dans plusieurs modèles/Catalogues d’Infrastructures Critiques à l’exemple de l’Energie, les Finances, l’Eau, les Transports, l’Alimentation, la sécurité publique, … La figure suivante représente un aperçu des secteurs jugés critiques dans quelques pays.CII_Sectors_By_Countries

De nos jours, avec les systèmes presque tous automatisés et interconnectés, nos Infrastructures critiques ou non dépendent de plus en plus de l’IT. Toutefois, lorsqu’on parle de CIIP, il ne s’agit pas seulement d’une protection contre les fléaux dont l’IT serait le vecteur, notamment les cyberattaques, mais de tout type de facteurs pouvant mettre à mal nos infrastructures quelle qu’en soit l’origine à l’exemple des Attaques Terroristes, les Catastrophes Naturelles, les Guerres, et bien d’autres situations chaotiques du genre.

La protection des Infrastructures Critiques est intimement liée à 4 points stratégiques à mettre en œuvre :

  •  Des Politiques et Plans de Confiance :

Ce besoin d’un climat de Confiance devra remplir les trois critères suivants:
– Construire et renforcer des partenariats de coopération forte entre les parties prenantes,
– Etre adaptable et évolutif, répondant aux changements en cours dans les profils des menaces
– Contenir des jalons et paramètres qui permettrons de suivent le déroulement du programme de Protection des Infrastructures Critiques.

  •  Des Opérations Résilientes

la Résilience dans ce cas est la capacité à pouvoir anticiper ou se protéger contre les risques/attaques significatives et de réduire au minimum la durée et l’impact de l’incident subit. La Résilience des Infrastructures Critiques permet donc non seulement de se protéger des risques éventuels, mais aussi, et surtout de pouvoir les gérer de façon optimale pour un retour à la normale dans les plus brefs délais. Cela ne peut se faire sans les habitués des exercices périodiques afin de tester les capacités de réaction aux incidents, impliquant ainsi les gouvernements, les fournisseurs et les entreprises travaillent ensemble pour permettre d’évaluer de manière appropriée, d’atténuer et de retourner à la normale après des attaques.

  • L’apport d’Investissements et de l’Innovation

Le plan de Protection des Infrastructures Critique doit être constamment à jours des dernières menaces et tendances du domaine de la sécurité. Raison pour laquelle les Personnes, Processus et Technologies doivent être mis en exergue lors de la définition des activités, programmes, formations et travaux de recherche et le développement lié à la CIP. Il est important de faire des investissement sur le long terme dans les recherches en Sécurité afin de pourvoir répondre au besoin sans cesse croissants des Infrastructures Critiques dans un monde interconnecté.

  • Le Partage d’Informations et une Collaboration franche :

Les 3 premiers Critères cité plus haut, sont mis ensemble grâce à une bonne collaboration et un partage d’informations entre les différentes parties prenantes (partenaires). Ces Echanges et Partages font appels à plusieurs acteurs parmi lesquels les organisation gouvernementales et non-gouvernementales, les acteurs privés et aussi les entités étrangères(InterPol, ITU, CTO, FIRST,… )

la figure ci dessous représente la structure éclatée des 4 étapes clés citées plus haut ainsi que leurs sous-ensembles

CIP_Continium

Suite à ces axes stratégiques pour la Protection des Infrastructures Critiques (Critical Infrastructures Protection – CIP) Microsoft a mis sur pied un framework permettant une gestion intégrale des Risque liés à ces actifs. Ce framework se divise en 5 étapes consécutives définies tel que suit :

1- Déterminer l’étendue de la Gestion des Risques

Cette phase permettra de définir la portée appropriée ainsi que la les objectifs et les activités pour la gestion des risques. Elle se subdivisera en 3 sous-étapes :
– Trouver un consensus avec les parties prenantes sur la vision et la mission de l’étude, ceci en déterminant ce qui doit être protégé et pourquoi.
– Enoncer les buts spécifiques de sécurité et de résilience, ainsi que les objectifs et assurances
– Identifier les services essentiels

Relation_Between_CII_And_Cybersecurity

2- Identifier les fonctions des Infrastructures d’Information Critiques

La détermination des fonctions des Infrastructures d’Information Critiques est la seconde étape du plan de gestion des risques des CIIs. Il est question ici pour les parties prenantes d’avoir un dialogue ouvert sur la criticité des actifs et ainsi, conjointement, définir quels éléments d’Infrastructures d’Information, quelles fonctions critiques et quelles ressources clés sont nécessaires pour le maintien des services vitaux du Gouvernement, de l’économie et ainsi que pour assurer la sécurité publique.

3- Analyser la chaîne des valeurs des fonctions critiques ainsi que les interdépendances

Les services, processus et fonctions essentielles n’étant pas des entités cloisonnées, mais plutôt composées de plusieurs sous-ensembles étroitement liés, comprendre cette complexité et ces chaînes de liaisons interdépendantes ne sert pas juste à analyser les menaces, les vulnérabilités et leurs conséquences, mais aussi et surtout, permet d’identifier les parties prenantes et les fournisseurs stratégiques des chaînes de valeurs concernées. A titre indicatif, la figure suivante représente un aperçu de ce à quoi cette étape peut ramener :
CII_Value_Chain

4- Évaluer les risques des fonctions critiques

Cette étape se concentre spécifiquement sur les menaces et vulnérabilités des fonctions critiques. En matière de CII, le Risque est fonction de la menace, de la vulnérabilité et de leur conséquence. Ceci se traduit par l’équation : Risk = ƒ(Menace, Vulnerabilité, Consequence)
Dans cette équation :
– Menace fait allusion à tout facteur naturel ou Humain
– Vulnérabilité signifie ici une faille ou manquement qui peut être exploitée par une menace
– Conséquence encore appelé « Impact » fait référence aux coûts, pertes ou résultats provenant de l’exploitation réussie d’une vulnérabilité par une menace.

5- Hiérarchiser et traiter les risques des fonctions

Prioriser et traiter de façon continuelle et permanente les risques liés aux fonctions critiques de nos infrastructures débouche sur 4 éventualités :
– L’atténuation de l’impact/effet du risque
– La Prévention du risque
– Le Transfert du risque (en cas d’assurance par exemple)
– L’acceptation ou Rétention du risque consistant à valider l’éventualité et l’impact d’un risque sans rien faire pour le contrer.

En note de fin, le formateur rappelle que la Gestion des Risques des CIIs n’est pas un état statique, mais un Processus Continu appuyé par la culture de l’activité de gestion des risques en cours tout au long de chacune des étapes du CIP Continuum. C’est sur cette note que prit fin cet atelier très instructif sur la Protection des Infrastructures d’Information Critiques.

Après cela, il nous vient à l’esprit quelques questions notamment savoir Combien de pays Africains ont déjà mis en œuvre ce type processus de Gestion des Risques sur leurs Infrastructures d’Information Critiques? bien plus, combien d’entre eux ont seulement terminé avec la première étape de ce type de framework? Qu’en est-il du Cameroun, sommes-nous conscients à ce sujet? Beaucoup de travail doit être fait, mais il n’est pas trop tard!

P.S. : Cet Article est Disponble en langue Anlaise par ICI

Sources :

1- Microsoft Trustworthy Computing : Critical Infrastructure Protection : Concepts and ContinuumGlobal Security Strategy and Diplomacy
2- Microsoft Trustworthy Computing : A Framework for Critical Information Infrastructure Risk ManagementGlobal Security Strategy and Diplomacy

CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 1

La semaine passée, s’est tenu au Palais des congrès de Yaoundé le 3e Forum sur la Cybersecurité organisé par le Commonwealth Telecommunications Organisation (CTO). J’ai eu l’occasion de prendre part a cet événement grâce à l’assistance du comité d’organisation du CTO Event, qui a bien voulu octroyer à l’organisation non-gouvernementale œuvrant dans les domaines de la Cybersécurité et la sensibilisation des populations au Cameroun nommée « Cameroon Cyber Security (2CS) » [1], un pass d’entrée gratuite. A titre Indicatif, rappelons que l’accès aux différents ateliers était payant, de l’ordre d’environ 130.000 FCFA et plus par personne, en fonction de l’affiliation du participant. Je tiens donc par la présente à remercier le comité d’organisation du CTO Cybersecurity Forum pour leur encouragement à notre initiative locale.

Le site de la conférence étant dépourvu de connexion Internet, ce qui est relativement curieux d’autant plus qu’Internet s’était taillé la part belle comme sujet, il nous a été impossible de livetweeter l’évènement dans son intégralité. Toutefois, il suffit de faire une recherche sur le hashtag (mot-dièse ? ) #CTOSecure sur Twitter pour avoir en substance un fil d’actualité sur les différents ateliers qui se sont tenus. ???????????????????????????????

En prélude à la conférence principale, il s’est tenu du Lundi 22 au Mercredi 24 Avril, un atelier portant sur la Protection des enfants en ligne. N’étant arrivé sur le site de la conférence que le Mercredi 24, je n’ai pas eu l’occasion de prendre part à cet atelier. Toutefois, les présentations passées lors de cette session sont accessibles en ligne sur le site du CTO [2] ; elles portaient notamment sur les mesure prises par les pays membres du Commonwealth pour la protection des enfants dans les services en lignes et un partage d’expérience sur l’implémentation de ces programmes avec des cas pratiques pour la Gambie, le Nigeria, l’Ile Maurice, le Ghana, la Serra Leone et le Cameroun.

Le Jeudi 25 marquait le début proprement dit du Forum avec les messages d’ouvertures et de bienvenue des hauts représentants des différentes instances participant à l’événement (ITU, Gouvernement du Cameroun, ART,…). Cette séquence d’ouverture s’est suivie des différents keynotes animés par plusieurs hauts profils experts dans leurs domaines, chacune passée en mode « Fastrack » de 15 minutes.

Au cours de ces différentes Keynotes, nous avons eu droit tour à tour aux interventions du Professeur Tim UNWIN, Secretaire General du CTO, sous le thème : « Cybersecurity in the Commonwealth: Setting the stage  ». Il était question là d’attirer l’attention du public et par ricochet des Etats membres du Commonwealth sur la nécessité et l’importance de la mise en œuvre dans chacun d’eux d’un programme de Cybersécurité opérationnel et efficient ceci en rappelant à tout un chacun que la Cyber Sécurité ne concerne pas que nos ordinateurs, mais s’étend à tout les terminaux des TIC (Smartphone, Tablettes, appareils mobiles, domotique,…). L’orateur a ainsi introduit l’atelier portant sur la protection des Informations des Infrastructures Critique qui allait avoir lieu dans l’après midi et qui fera l’objet de notre prochain article.

Suite a cette keynote très enrichissante, c’était au tour de Jamie SANDERS de nous entretenir sur le thème : « Cybergovernance and Growth  » , où il a été clairement démontré que la maitrise du cyberespace est étroitement lié à la croissance d’une Nation.

DAVID POLLINGTON dans sa présentation : « Critical Information Infrastructure Protection: Implications for developing countries  » nous a ainsi, entretenu sur les problématiques et perspectives liés à la protection des Informations des Infrastructures Critiques au niveau étatique pour les pays en voie en de développement. En effet, la plupart de ces pays sont devenu des plates-formes d’expansion et de pivot pour le cybercriminels, mettant ainsi en risque l’intégrité des CIIP. Cette présentation a été plus approfondie lors de l’atelier sur la protection des Information des Infrastructures Critiques, toujours animé par David Pollington en partenariat avec l’equipe du FIRST (Forum for Incidence Response and Security Team).

Les présentations de Alex SERGER sur « Cybercrime: The Cost of Crime—The Benefits of Cooperation  » et de Mario MANIEWICZ « Cyber-governance: Towards a Global Approach on Cybersecurity  » ont remis en avant un aspect majeur dans la lutte contre la Cyber Criminalité : Le partage d’Information. Il est de ce fait capital pour les différents intervenants, tant nationaux qu’internationaux et non-gouvernementaux de pouvoir établir des process de partages d’Intelligence face aux menaces et attaques présentes sur chacun de leurs réseaux respectifs, ceci afin de générer un climat de cyber prévalence global. En effet, la cyber sécurité étant un processus englobant plusieurs maillons de la chaîne, sans une vision et une adoption de mesures globales, les cyber criminels pourront toujours se faufiler entre les mailles du système, exploitant ces divergences de process et lois à leur avantage. Ces keynotes ont été l’occasion de faire un retour sur la Convention de Budapest ainsi que de son adoption au sein des différents Etats de part le monde. L’idée principale ici était « Coopération et Partage ».

Je ne saurais passer sur cette partie sans vous parler du programme AfricaCERT [3] présenté par Pierre Dandjinou sous le thème : « Promoting Cyber security in Africa  » où il était question pour lui de présenter l’évolution de cette initiative commune depuis sa genèse jusqu’à son état actuel ainsi que ses

AFRICACERT

réalisations antérieures et celles à venir. Il s’agit là d’un programme très prometteur grâce auquel l’écosystème de la Cybersécurité en Afrique à beaucoup progressé (création de CERT/CIRT nationaux, Ateliers de formation à la Détection et Gestion des Incidents de Sécurité organisés chaque année, Session d’échange de bonnes pratiques entre nos CERT locaux et des Organisations Internationales partenaires –Team Cymryu, JCERT, FIRST,… – Projet de loi sur la Cybersécurité soumis à l’Union Africaine, …).

C’est sur ces keynotes que s’achevait la première partie de cette journée. La seconde partie fera l’objet de notre prochain article et portera sur le Workshop intitulé : « A practical approach to Critical Information Infrastructure Protection  »

P.S. : Cet Article est Disponble en langue Anlaise par ICI

Source :

[1] Cameroon Cyber Security

[2] CTO Cybersecurity Forum Presentations Repository :

[3] AfricaCERT Website

Sécurité des Données au Cameroun : une affaire d’Hommes!

Il y’a une dizaine d’années il a été annoncé via décret présidentiel la création de l’ANTIC [1] (Agence Nationale des Technologies de l’Information et de la Communication). Techniquement ce fut une avancée dans le bon sens. La dite agence avait dès sa création un cahier de charges sous forme d’attributs qui lui ont été affectés ; Et justement parmi ces attributs il est stipulé qu’elle est en charge de la Sécurité des Systèmes d’Information des Administration publiques et des Infrastructures critiques de la Nation.

Mais voilà, je me demande, combien de Systèmes d’Information Ministériels jusqu’à ce jours ont-ils été validés par l’ANTIC ?! Très peu surement, en espérant qu’il y’en ai un. Combien de sites web de représentations étatiques sont-ils contrôlés par l’ANTIC ?! Combien d’Infrastructures de fournisseurs d’Accès Internet ont-elles fait l’objet d’Audit de Conformité et de Sécurité de la part de l’ANTIC ?! Faire des lois c’est bien, les appliquer c’est primordial.

Il suffit de faire un tour dans nos administrations pour avoir un aperçu du niveau d’Insécurité des informations qui y sont traitées. Et les cœurs d’Infrastructure, c’est encore plus de désordre avec chaque prestataire venant faire ses installations sans pour autant avoir état des configurations présentes faites par d’autres consultants/prestataires ! Un désordre total où le mot traçabilité n’est pas le bienvenu.

Avec ce genre de choses comment peut-on aspirer à se protéger des menaces réelles et « orientées » ? Comment peut-on être en train de parler de Sécurité de notre Cyber espace quand nous n’avons pas la maîtrise de nos propres Intranets ?! Tout commence par-là, à savoir comment sont gérés nos réseaux Internes, car vu l’état actuel des choses, le risque d’une menace de l’intérieur est plus grand que celui d’une menace externe. !

Il y’a quelques temps encore on nous annonçait sous grandes pompes l’acquisition d’une solution pour la mise en œuvre de notre propre Infrastructure à Clé Publique (PKI)[2]. Selon le tapage médiatique qui en découle cette PKI ouvre une « nouvelle ère de sécurité des échanges électroniques et du cyberespaces Camerounais ». Mais je m’interroge, certes il est bien d’assurer l’authenticité des intervenants dans nos transactions électroniques, mais n’est-il pas plus opportun de savoir déjà s’en servir ?! Comment comptons-nous garantir la sécurité des échanges et l’authenticité des parties prenantes quand l’autorité en charge de la chose n’arrive pas à gérer ses propres certificats de sécurité ?! [3]

Je vois là une fois de plus un problème Humain. C’est bien beau d’avoir toutes les avancées technologiques, mais ce serait plus utile de savoir les exploiter. Les autorités en charges de ce genre de projets disposent-elles des ressources humaines compétentes et en quantité pour assurer leur suivi ?! Pour l’instant ce n’est pas encore le cas. Et là on se retrouve dans la position de celui achète une voiture avant de réfléchir sur comment aller à l’auto-école pour apprendre à s’en servir !

Depuis plus d’une semaine le site web du Ministère des Poste et Télécommunication [4] ainsi que plusieurs autres dépendant du « .gov.cm » sont inaccessibles.minpostel_gov_cm_dow

Ce qui est encore plus grave c’est le manque de process pour les remontées d’incidents. Une infrastructure est down et il n’y a personne à qui remonter l’information !  remonte_incident_gov_cm

Et quand bien même une personne serait avertie, quel est le temps mis pour réagir ? N’est-ce pas ironique et triste ça ?! La Sécurité de l’Information c’est aussi de garantir la disponibilité de nos données et là, nous avons (une fois de plus) failli.

En 2013 il est inconcevable que nous nous retrouvions encore dans ce genre d’anarchie. Rappelons-le, la Sécurité des Systèmes d’Information est une démarche et non un produit ! Si nous prenons le temps de poser les bonnes bases cela sera plus productif que d’acquérir tous les jours des « produits » (à des coûts exorbitants, et là c’est un tout autre sujet) qui ne nous apportent que très peu sinon aucune valeur ajoutée, à cause du fait que les conditions minimales requises ne sont pas réunies pour une exploitation judicieuse des dits « produits ». Par bonnes base j’entends là :

  • La formation/Recyclage des ressources humaines affectées à ces programmes/Infrastructures
  • Le renforcement des effectifs car jusqu’à présent ils sont assez réduits
  • L’établissement et le respect de procédures de fonctionnement qui sont indépendantes des personnes affectées afin d’éviter les Single Point of Failure (Remontée d’Incident, gestion de crises, continuité d’activité,…)
  • L’application effectives des mesures et décrets publiés solennellement ; que chaque organisme en charge assure effectivement ce qui lui est attribué comme objectifs.
  • Une sensibilisation du personnel non technique de nos administrations
  •  …

Comme on fait son lit, on se couche dixit un sage. La balle est dans notre camp.

Reférences :

[1] Site ANTIC

[2] PKI : Le Cameroun Sécurise ses transactions Electroniques

[3] SSL_Server_Test _ antic

[4] MINPOSTEL Cameroun

Valdes T. Nzalli