Afrique et Internet : Les absents ont tort !

Deux semaines plus tôt, s’est tenue en Europe, à Londres plus précisément, la rencontre Internationale de l’Internet Engineering Task Force (IETF), communauté Technique internationale ayant pour mission de « penser » l’Internet de « demain » (ou d’aujourd’hui, selon que) afin de l’améliorer et de faire en sorte qu’il réponde le mieux aux besoins de tous.

Mon ami @OngolaBoy a posté un tweet qui a attiré mon attention :

IETF89

Le lien ( ici ) présent dans ce tweet nous montre la participation individuelle de chaque pays du globe à l’événement. Premier constat assez frappant : le taux de participation des USA ; environ 570 participants venant des Etats-Unis étaient attendus à cette rencontre ! Faut avouer que ça en fait de l’effectif, à eux seuls ils représentent l’effectif cumulé du tiers des inscrits. 🙂

A l’autre extrémité de la « ligne » c’est la très faible participation Africaine en général et Camerounaise en particulier qui a captivé mon attention.

Loin des débats sur le degré d’objectivité des ateliers tenus lors de ce type de rencontre car on peut dire ce qu’on voudra mais il y’a certainement quelque chose d’utile qui en ressort, je ne pense pas qu’il serait mauvais d’y être présent. Le futur des solutions technologiques que nous utiliserons (et dont nous utilisons déjà) est discuté dans ces rencontres internationales, y prendre part c’est aussi faire entendre sa voix, s’enrichir d’échanges fructueux avec d’autres membres de la communauté et bien plus.

Lorsqu’on regarde l’écosystème des « penseurs » de l’Internet aujourd’hui, l’Afrique n’as pas vraiment ce qu’on appellerait une place enviable. Mais à qui la faute ?

La participation à plusieurs de ces rencontres est généralement ouverte à tous ceux qui veulent bien faire le déplacement (physique ou virtuel parfois), dans certains cas même, des programmes de fellowship sont prévus. Ces programmes de fellowship permettent à des acteurs locaux n’étant pas financièrement pourvus de prendre part à ces rencontres Internationales avec un soutien pour la prise en charge de leur voyage et/ou leur hébergement une fois sur place.

De plus, la participation à la définition, l’élaboration et la mise en oeuvre des améliorations des anciens et nouveaux protocoles pour l’Internet ne se fait pas uniquement lors de ces rencontres périodiques : loin de là, c’est aussi le fruit d’échanges électroniques par mailing-lists thématiques en fonction des groupes de travail. Mais même là aussi, c’est vraiment pas l’affluence coté participation Africaine. 

Mais il se pose aussi à la base un problème d’intéressement : est-ce que nos acteurs locaux du développement de l’Internet, étatiques, privés et communautaires, s’intéressent à ce qui est fait lors de ces rencontres/ateliers ? que faut-il faire pour susciter plus d’engouement de ces derniers sur le sujet ?

Ne l’oublions jamais, la politique du siège vide ne profite qu’aux présents ! On pointera parfois le doigt sur les Etats Unis d’Amériques, à cause de leur gestion plus ou moins « privée » de certains aspects vitaux de l’Infrastructure de l’Internet mondial, mais n’oublions pas aussi qu’il peuvent se le permettre car à la base ils étaient bien là. Avec près d’un tiers de la participation globale à l’IETF89, on peut aisément imaginer à quel point leurs façons d’apprécier plusieurs des sujets débattus ont de fortes chances de se faire valoir, ne fusse que de part leurs multiples contributions techniques.

P.S : à titre indicatif, le programme d’obtention des bourses pour la participation au prochain meeting de l’IETF, baptisé IETF90, qui se tiendra du 20 au 25 Juillet prochain au Canada est déjà ouvert et accessible par ici http://www.internetsociety.org/ietf-fellows

Valdes T. Nzalli

PRISM : Au delà du Scandale !

Dans mon dernier billet je vous parlais du « scandale » actuel occasionné par la publication de documents classés « top secret » de la NSA par un ancien employé de son sous traitant Booz Allen Hamilton dénommé Edouard Snowden. Actuellement toujours dans sa quête d’un asile politique et du moyens de jouir de l’asile qui lui est proposé en Amérique Latine, son sort reste pour le moins incertain. [1]

Loin du débat autour des raisons et frontières de l’espionnage électronique (qui n’est qu’un pan du phénomène), loin de la polémique autour de la méthode utilisée par Snowden pour divulguer l’information, loin des récupérations politiques et du tapage médiatique occasionnés par ce dossier, quelques détails semblent tout de même assez instructifs et révélateurs : le « comment » de l’exfiltration de ces données normalement gardées sous haute surveillance (électronique et physique) !

Dans le principe général de sécurité périmétrique on a plus tendance à traiter tout ce qui est hors du réseau comme élément (potentiellement) « hostile » tandis que ceux à l’intérieur jouissent facilement de plus de privilèges et d’une certaine relation confiance. Mais voilà que faire lorsque le mal se trouve plutôt à l’intérieur ?! Ce phénomène est représenté par l’appellation, en anglais,  « Insider Threat » !

Le scandale occasionné par les révélations sur l’affaire PRISM est un cas pratique d’Insider Threat. Les mesures de sécurité de nos entreprises prennent-elles suffisamment en compte la protection contre les menaces (fraude, malversation, déstabilisation,…) internes ?! Quels sont les mécanismes qui sont mis en œuvre pour prévenir, détecter et limiter leur impact ?!

Dans le même ordre d’idée la gestion des utilisateurs avec privilèges élevés pose aussi problème ; Comment s’assurer qu’un utilisateur, avec ses droits d’accès élevés, à l’exemple des Administrateurs systèmes et réseaux, n’est pas entrain d’en profiter pour bypasser certaines mesures de sécurité et mettre la main sur des données hautement sensibles tant pour l’entreprise que pour ses partenaires et même de l’Etat, comme ce fut le cas ? Et que dire de tous ces Patrons, chefs d’entreprises et autres Managers (pas toujours réputés pour savoir protéger les identifiants) qui ont généralement (du moins dans la plupart des PME) un accès total à TOUT dans l’entreprise que ce soit technique, financier ou managérial, au cas où leur credentials seraient compromis (et rassurez vous, ça arrive bien des fois ) à l’exemple de Snowden qui a cloné les accès d’une personne hiérarchiquement mieux placée pour avoir accès à ces informations, que faire face à ce type de situation ?! [2]

C’est dans ce genre de scénario qu’interviennent les solutions de gestion d’identité et d’accès (IAM = Identity and Access Management). Grosso-modo, elles permettent de gérer qui a droit à quoi ainsi que les limites d’usage de ce droit. Ce serait bien naïf de penser qu’une boite du calibre de la NSA ne possède pas de solution d’IAM. Toutefois, leur Système Informatique bien qu’étant bien outillé, hautement sécurisé et tout a quand même permis à un individu d’accéder, à plusieurs reprises, sans attirer l’attention de personne, à certains dossiers très sensibles, sous la cape d’une autre personne (ID Theft. Il a certes utilisé les accès d’un utilisateur avec privilège mais n’empêche que l’accès à toute donnée plus ou moins sensible dans un Système d’Information qui se respecte doit TOUJOURS être journalisé et les logs sauvegardés de façon non altérable. [3]

C’est assez curieux qu’une agence dont l’une des missions principales est de TOUT collecter sur TOUT pour ensuite analyser n’ait pas appliqué la même formule pour ses affaires internes, pas assez en tout cas. Il y’a quelque temps le Général Keith Alexander, patron de la NSA, à l’issu de ce scandale à annoncé qu’ils allaient mettre sur pieds un nouveau procédé nécessitant la combinaison de deux personnes (au lieu d’un seul comme c’est le cas actuellement) afin d’avoir accès à des données critiques. Comme l’ont relevé plusieurs Experts du domaine, c’est peux être bien (mieux que rien en tout cas) dans un début mais que faire en cas de complicité des deux ou de menaces (chantage et autres) du second membre du binôme ? D’où la nécessité de trouver une solution pérenne pour ce genre de problématique.

A mon avis, quelque soit la solution, elle devra prendre en compte le fait de déjà limiter le nombre d’intervenants potentiels car moins il y’a de personnes pouvant avoir accès plus le risque de fuite est réduit. A notre tour, dans nos entreprises quelles sont les personnes pouvant avoir accès aux informations sensibles ?! De quel type de privilège d’accès jouissent ces personnes ?! Pouvons nous avec exactitude savoir qui à eu accès à quoi ? quand ? depuis où ? et quel type d’accès (copy, ecriture, modification, suppression, …) est ce que la personne à eu ? Quid des dispositifs de DLP (Data Leak Prevention) ? Avons nous des moyens de monitorer toute l’activité de nos utilisateur (ou du moins celle en relation avec les données sensibles) ? Pareil pour les logs de nos applications, sont-ils eux aussi archivés et analysés ?

Quelques piste qui réduiront considérablement les risques de fuite de données interne :

  • Identifier les données sensibles ainsi que leur(s) emplacement(s)
  • Elaborer les process : c’est à dire définir qui à droit à quoi, quand et depuis quel Poste / Segment du réseau / Type de connexion / Adresse / ..
  • Implémenter une solution d’Identity and Access Management permettant d’appliquer les workflows de l’entreprise (tel que défini dans le précédent point) et une gestion plus flexibles des droits et accès.
  • Journaliser, Monitorer et Analyser (Applicatifs, Systèmes, Réseaux,…): cette étape est doublement utile, premièrement dans la détection d’un incident éventuel, et deuxièmement en cas d’enquête ou de reconstitution des faits. [4]

Nul besoin de préciser ici qu’avoir un personnel compétent et régulièrement recyclé est de rigueur. Soyons clair, ceci ne nous mettra pas à 100 % à l’abri des risques de fuite de données, mais nous épargnera d’un quantité considérable de risques potentiels ; car rappelons-le une fois de plus, la Sécurité des Systèmes d’Informations, loin d’être un produit en soi, est avant tout une démarche marquée par plusieurs jalons.

Valdes T. Nzalli

Liens utiles :

[1] Je m’appelle Edouard Snowden, j’ai voulu un monde juste !
[2] Insider Threat Sheet (PDF)
[3] Network Security Fundamentals: Monitor Everything
[4] Six tips for building a successful SIEM strategy

Souveraineté Numérique et Raison d’Etat

Vous l’aurez sans doute remarqué, le buzz depuis les semaines passées est aux récentes révélations d’actes d’espionnage et de surveillance massive orchestrés par la NSA (National Security Agency) des USA, mis au grand jour par un ancien employé de la CIA travaillant chez un sous-traitant de la NSA à Hawaï par le truchement des quotidiens britanique « The Guardian » et Américain « Whashington Post ». Ce programme baptisé « PRISM » aurait vu le jour depuis 2007 et il en ressort que les Etats Unis ne seraient pas les seuls bénéficiaires des informations collectées. Une compilation succincte d’informations au sujet du programme PRISM est disponible sur le site de Qualys [1].

soldantSuite à tout ceci la première question qui vient à l’esprit c’est de savoir si un programme comme   PRISM (car il y’en a probablement d’autres pas nécessairement connus du grand public) est-il légal ? Après les sorties du président Barack Obama et du Directeur de la NSA, il advient que jusqu’à présent ce programme est connu et approuvé par la loi… aux USA ! Du coup on se demande, Qu’en est-il du reste du monde qui n’est pas Américain/ne vivant pas aux USA et dont les informations transitent et sont traitées par les plateformes incriminées (Facebook, Microsoft, Skype, Google, Apple, …) ?

De par l’évolution des TIC, on retient que la surveillance et l’espionnage des communications est un fait avéré et répandu (à tort ou à raison) et il y’aura toujours des moyens/procédés/solutions de plus en plus subtiles pour permettre aux gouvernements de le faire. Personnellement, tout ce buzz me semble un peu surfait, mais bon, le grand public découvre que l’eau chaude chauffe ! Par contre l’une des choses qui m’a le plus marqué c’est que suite à cette déclaration selon laquelle l’administration Obama via ses services secrets n’espionnent QUE les étrangers, l’enthousiasme de plusieurs agitateurs/agités a chuté ! Comme quoi l’espionnage n’est mauvais que si et seulement si il inclue comme cible les citoyens Américains.

Il est important de noter que très peu de Gouvernements/Organisations ce sont sentis concernés par cette nouvelle, bien que quelques uns ont tout de même réagit à l’exemple de la Norvège qui, par son Secrétaire d’Etat, a tout de suite réclamé aux Officiels Américains de plus amples informations afin de savoir comment ses citoyens sont affectés par ce programme. Quelques temps après c’était au tour de l’Union Européenne, via sa Commissaire Chargée de la Justice, de monter au créneau concernant cette affaire en exigeant que la vie privée des citoyens européens soit aussi préservée comme celles des Américains au cours de ce programme[2]. Coté Africain, aucun Etat, ni l’Union Africaine ne s’est senti particulièrement concerné ! Nothing… nada… rien… jusqu’à présent vu le silence qui règne ; Faut bien croire que ça ne nous gêne pas vraiment. Et puis, c’est pas trop comme si ça date d’aujourd’hui que nos gouvernements Africains n’osent demander des comptes aux « grandes puissances » ! d’ailleurs que rien n’exclue qu’ils ne soient au courant de la chose depuis longtemps  ou qu’ils n’aient leur part de programmes similaires déjà opérationnels (après tout, ne dit-on pas « tout le monde espionne et surveille » ! Dire que ces dernières semaines nous avons eu et aurons droit à plusieurs événements d’envergure ici en Afrique portant sur Internet, son rôle dans notre développement et sa gouvernance ; J’ose croire qu’au cours de toutes ces rencontres le sujet ait été à l’ordre du jour d’un quelconque atelier !

Je vois ici une affirmation (abus?) d’une position dominante, vu que tous les opérateurs cités sont essentiellement des firmes Américaines dont plusieurs autres entreprises et individus de part le monde en dépendent. Qui pourra y faire quoi ?! Personne ! Vous comptez les boycotter ?! J’en doute en tout cas pas de ci tôt avec toutes les données qu’ils possèdent déjà et la dépendance (vitale?) par laquelle ils vous tiennent. Et si bien même quelques uns les boycottaient, le gros de leurs clientèle sera toujours intact. Quelqu’un d’autre aurait dit qu’il s’agit d’un cercle vicieux !

Tout ceci a mon avis relance en partie le débat sur la Souveraineté Numérique des Nations/Organisations régionales. Allant de la fabrication des matériels de nos Infrastructures à la production de solution logicielles pérennes sur notre sol en passant par la formation, l’encadrement et la mise en service du personnel qualifié. En Europe, ils en sont déjà déjà par exemple à affiner leur Stratégie Globale sur le Cloud [3] ainsi que leur projet de Loi sur la vie Privée devant s’appliquer dans leur espace géographique ainsi qu’à tous leurs ressortissants. Entre temps ici en Afrique qu’avons nous ?! Bah rien pour l’instant ! Une pensée générale dit : « Celui qui a l’Information a le Pouvoir » ! je trouve qu’elle cadre bien avec cette situation qui nous sied.

Nul besoin de mentionner les retours positifs que cela pourrait avoir sur l’ensemble du continent passant de la réduction du taux de chômage des jeunes à la création de la richesse via la commercialisation de nos solutions locales, l’impact sur le développement global et bien d’autres ; bref on y gagnerait sur toute la ligne.

Bien sûr, être le moins numériquement dépendant ne nous mettra pas entièrement à l’abri des grandes oreilles des Agences de Renseignement occidentales (et Asiatique), mais ce sera déjà un pas en avant car rappelons le, la protection de l’information n’est pas un produit en soit, mais tout un processus marqué par plusieurs jalons.

Note : Dans ce billet je ne me préoccupe pas de savoir comment la NSA procède pour obtenir les données de ses « fournisseurs ». De plus il n’est pas question ici du bien fondé d’une surveillance de l’Internet et encore moins de savoir si nos propres Etats ne possèdent pas de mécanismes similaires.

Liens Utiles :

[1] Que sait-on exactement sur PRISM ?
[2] Espionnage : Bruxelles tance Washington
[3] New strategy to drive European business and government productivity via cloud computing
[4] Souveraineté Numérique : Cas de l’Afrique
[
5] Comprendre le programme « Prism »

CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 2 : CIIP

Suite à la première partie de ce retour sur le 3rd CTO Cybersecurity Forum, (qui est disponible par ici) dans l’après midi du Jeudi 25 Avril, il y’a eu deux tracks au choix et le nôtre fut de participer au workshop sur la Protection des Infrastructures d’Information Critiques (CIIP – Critical Information Infrastructure Protection) mené par David POLLINGTON de Microsoft Security en partenariat avec le FIRST (Forum for Incident Response and Security Teams).

D’entrée de jeu, le maître de séance à tenu à préciser que certes il représente Microsoft, mais au cours de l’atelier il ne s’agira nullement de vendre un quelconque produit de la firme qui l’emploi, mais plutôt de partager sur l’état de l’art et les bonnes pratiques pour la CIIP et de ce qui est fait chez Microsoft pour y parvenir.

Cet Atelier était divisé en deux parties :

  • Critical Infrastructure Protection : Concept and Continuum : portant sur la définition et les contours du concept d’Infrastructures Critiques (CI Critical Infrastructures)
  • A Framework for Critical Information Infrastructure Risk Management qui nous proposait un ensemble de processus dédiés à l’identification et la gestion des risques dans nos CIIs (Critical Information Infrastructures).

A cet effet, deux manuels nous ont été remis, chacun portant sur un partie du workshop.

Lorsqu’on parle de CIIP, il faudrait déjà pouvoir différencier ce qui est Critique de ce qui ne l’est pas. La notion de criticité étant variable d’un État à un autre, il n’existe pas de modèles figés là dessus. Toutefois, certains domaines figurent dans plusieurs modèles/Catalogues d’Infrastructures Critiques à l’exemple de l’Energie, les Finances, l’Eau, les Transports, l’Alimentation, la sécurité publique, … La figure suivante représente un aperçu des secteurs jugés critiques dans quelques pays.CII_Sectors_By_Countries

De nos jours, avec les systèmes presque tous automatisés et interconnectés, nos Infrastructures critiques ou non dépendent de plus en plus de l’IT. Toutefois, lorsqu’on parle de CIIP, il ne s’agit pas seulement d’une protection contre les fléaux dont l’IT serait le vecteur, notamment les cyberattaques, mais de tout type de facteurs pouvant mettre à mal nos infrastructures quelle qu’en soit l’origine à l’exemple des Attaques Terroristes, les Catastrophes Naturelles, les Guerres, et bien d’autres situations chaotiques du genre.

La protection des Infrastructures Critiques est intimement liée à 4 points stratégiques à mettre en œuvre :

  •  Des Politiques et Plans de Confiance :

Ce besoin d’un climat de Confiance devra remplir les trois critères suivants:
– Construire et renforcer des partenariats de coopération forte entre les parties prenantes,
– Etre adaptable et évolutif, répondant aux changements en cours dans les profils des menaces
– Contenir des jalons et paramètres qui permettrons de suivent le déroulement du programme de Protection des Infrastructures Critiques.

  •  Des Opérations Résilientes

la Résilience dans ce cas est la capacité à pouvoir anticiper ou se protéger contre les risques/attaques significatives et de réduire au minimum la durée et l’impact de l’incident subit. La Résilience des Infrastructures Critiques permet donc non seulement de se protéger des risques éventuels, mais aussi, et surtout de pouvoir les gérer de façon optimale pour un retour à la normale dans les plus brefs délais. Cela ne peut se faire sans les habitués des exercices périodiques afin de tester les capacités de réaction aux incidents, impliquant ainsi les gouvernements, les fournisseurs et les entreprises travaillent ensemble pour permettre d’évaluer de manière appropriée, d’atténuer et de retourner à la normale après des attaques.

  • L’apport d’Investissements et de l’Innovation

Le plan de Protection des Infrastructures Critique doit être constamment à jours des dernières menaces et tendances du domaine de la sécurité. Raison pour laquelle les Personnes, Processus et Technologies doivent être mis en exergue lors de la définition des activités, programmes, formations et travaux de recherche et le développement lié à la CIP. Il est important de faire des investissement sur le long terme dans les recherches en Sécurité afin de pourvoir répondre au besoin sans cesse croissants des Infrastructures Critiques dans un monde interconnecté.

  • Le Partage d’Informations et une Collaboration franche :

Les 3 premiers Critères cité plus haut, sont mis ensemble grâce à une bonne collaboration et un partage d’informations entre les différentes parties prenantes (partenaires). Ces Echanges et Partages font appels à plusieurs acteurs parmi lesquels les organisation gouvernementales et non-gouvernementales, les acteurs privés et aussi les entités étrangères(InterPol, ITU, CTO, FIRST,… )

la figure ci dessous représente la structure éclatée des 4 étapes clés citées plus haut ainsi que leurs sous-ensembles

CIP_Continium

Suite à ces axes stratégiques pour la Protection des Infrastructures Critiques (Critical Infrastructures Protection – CIP) Microsoft a mis sur pied un framework permettant une gestion intégrale des Risque liés à ces actifs. Ce framework se divise en 5 étapes consécutives définies tel que suit :

1- Déterminer l’étendue de la Gestion des Risques

Cette phase permettra de définir la portée appropriée ainsi que la les objectifs et les activités pour la gestion des risques. Elle se subdivisera en 3 sous-étapes :
– Trouver un consensus avec les parties prenantes sur la vision et la mission de l’étude, ceci en déterminant ce qui doit être protégé et pourquoi.
– Enoncer les buts spécifiques de sécurité et de résilience, ainsi que les objectifs et assurances
– Identifier les services essentiels

Relation_Between_CII_And_Cybersecurity

2- Identifier les fonctions des Infrastructures d’Information Critiques

La détermination des fonctions des Infrastructures d’Information Critiques est la seconde étape du plan de gestion des risques des CIIs. Il est question ici pour les parties prenantes d’avoir un dialogue ouvert sur la criticité des actifs et ainsi, conjointement, définir quels éléments d’Infrastructures d’Information, quelles fonctions critiques et quelles ressources clés sont nécessaires pour le maintien des services vitaux du Gouvernement, de l’économie et ainsi que pour assurer la sécurité publique.

3- Analyser la chaîne des valeurs des fonctions critiques ainsi que les interdépendances

Les services, processus et fonctions essentielles n’étant pas des entités cloisonnées, mais plutôt composées de plusieurs sous-ensembles étroitement liés, comprendre cette complexité et ces chaînes de liaisons interdépendantes ne sert pas juste à analyser les menaces, les vulnérabilités et leurs conséquences, mais aussi et surtout, permet d’identifier les parties prenantes et les fournisseurs stratégiques des chaînes de valeurs concernées. A titre indicatif, la figure suivante représente un aperçu de ce à quoi cette étape peut ramener :
CII_Value_Chain

4- Évaluer les risques des fonctions critiques

Cette étape se concentre spécifiquement sur les menaces et vulnérabilités des fonctions critiques. En matière de CII, le Risque est fonction de la menace, de la vulnérabilité et de leur conséquence. Ceci se traduit par l’équation : Risk = ƒ(Menace, Vulnerabilité, Consequence)
Dans cette équation :
– Menace fait allusion à tout facteur naturel ou Humain
– Vulnérabilité signifie ici une faille ou manquement qui peut être exploitée par une menace
– Conséquence encore appelé « Impact » fait référence aux coûts, pertes ou résultats provenant de l’exploitation réussie d’une vulnérabilité par une menace.

5- Hiérarchiser et traiter les risques des fonctions

Prioriser et traiter de façon continuelle et permanente les risques liés aux fonctions critiques de nos infrastructures débouche sur 4 éventualités :
– L’atténuation de l’impact/effet du risque
– La Prévention du risque
– Le Transfert du risque (en cas d’assurance par exemple)
– L’acceptation ou Rétention du risque consistant à valider l’éventualité et l’impact d’un risque sans rien faire pour le contrer.

En note de fin, le formateur rappelle que la Gestion des Risques des CIIs n’est pas un état statique, mais un Processus Continu appuyé par la culture de l’activité de gestion des risques en cours tout au long de chacune des étapes du CIP Continuum. C’est sur cette note que prit fin cet atelier très instructif sur la Protection des Infrastructures d’Information Critiques.

Après cela, il nous vient à l’esprit quelques questions notamment savoir Combien de pays Africains ont déjà mis en œuvre ce type processus de Gestion des Risques sur leurs Infrastructures d’Information Critiques? bien plus, combien d’entre eux ont seulement terminé avec la première étape de ce type de framework? Qu’en est-il du Cameroun, sommes-nous conscients à ce sujet? Beaucoup de travail doit être fait, mais il n’est pas trop tard!

P.S. : Cet Article est Disponble en langue Anlaise par ICI

Sources :

1- Microsoft Trustworthy Computing : Critical Infrastructure Protection : Concepts and ContinuumGlobal Security Strategy and Diplomacy
2- Microsoft Trustworthy Computing : A Framework for Critical Information Infrastructure Risk ManagementGlobal Security Strategy and Diplomacy

Quid de la Sécurité de nos Applications ?

Douala, Capitale économique du Cameroun, est aussi par ailleurs la ville la plus prolifique en matière de startups œuvrant dans le développement logiciel. Que ce soit des sites web, des Applications lourdes ou  mobiles. J’en dénombre un peu plus d’une cinquantaine dans la ville (évidemment il y’en a bien plus) que je connais personnellement (ainsi que leurs installations), et un truc qui m’a particulièrement intrigué c’est  le manque de soin sécuritaire apporté lors du processus de production de ces applications, pour la plupart. Même constat a Yaoundé, et c’est aussi probablement le cas à Buea qui est un autre pôle majeur de production logicielle chez nous. Bien plus, très peu travaillent avec une usine logicielle convenablement montée.

security Strategy Chart

security Strategy Chart

       Apres avoir discuté avec plusieurs de ces développeurs, Gérants de boites de Dev et même des Responsables Informatique des entreprises clientes, il en ressort que la grande majorité, sinon quasi-totalité, est très peu sensibilisée sur les bonnes pratiques et les risques de sécurité potentiels en matière d’ingénierie logicielle et de protection de l’environnement de travail. La sécurité des applications y est, pour le moins, approximative pour la majorité nonobstant les risques inhérents que cela représente pour leurs clients qui œuvrent parfois dans des secteurs aussi sensibles que les banques, l’Industrie, les Administration publiques et les Télécoms. La Sécurité d’un système d’information faisant appel à un ensemble de processus formant un tout, nous ne saurions en parler sans mentionner la celle de nos Application. Selon Wikipédia [1], la Sécurité des Applications englobe les mesures prises tout au long du cycle de vie d’une application pour éviter les exceptions aux règles de protection de la dite application ou du système sous-jacent (vulnérabilités) à travers des failles dans la conception, le développement, le déploiement, la mise à niveau ou la maintenance de l’application. De plus, cette discipline permet la mise en œuvre des moyens pour un renforcement de la qualité des logiciels produits et/ou utilisés au sein du Système d’Information. De façon générale, la Sécurité Applicative se subdivise en deux parties principales :

  • La Sécurité des Applications développées par l’entreprise

Cette branche regroupe l’ensemble des méthodes mise en œuvre au cours du processus de la production des applications, de la conception à la phase de test des versions qui seront mises sur le marché. Elle concerne principalement les entreprises et personnes œuvrant dans l’ingénierie logicielle et fera l’objet particulier de notre attention.

  • La Sécurité des Applications utilisées au sein de l’entreprise

Ici il est principalement question pour l’équipe de Sécurité de l’entreprise d’avoir un inventaire logiciel complet des softs utilisés dans leur environnement, de les classer par ordre de criticité et de définir un planning d’audit de sécurité des dit logiciels. La mission impartie est de scruter ces applications, tout du moins les plus critiques, afin de déceler toutes éventuelles failles de sécurité et de prendre les mesures nécessaires pour les colmater, ceci généralement en  étroite collaboration avec les prestataires ayant produit ces applications ; sans oublier le control pour l’application des patchs de sécurité publies de façon plus ou moins régulière par les concepteurs de produits logiciels. Il est très souvent question de retro-ingenierie dans ce cas, car le code source du produit analysé n’est pas toujours ouvert (Open Source).

Quelques raisons ayant poussé à l’adoption d’une Strategie de Securite des Applications

les pertes, les pertes et les pertes à éviter!

La figure suivante résume sommairement les pertes entraînées suite à la présence de failles de sécurité dans les produits développés par des entreprises de part le monde :

Application Program Security Motivations

Application Security Program Motivations

Cet article est le premier d’une série qui portera principalement sur le premier cas présenté plus haut, c’est à dire, la Sécurité des Applications tout au long de leur processus de développement. Nous commencerons par les bases à savoir la sécurité du poste de travail du développeur,  jusqu’à l’adoption d’un modèle de développement sécurisé suivant le standard de notre choix, en passant par le mise en œuvre de notre infrastructure de développement et les facteurs environnementaux pas nécessairement directement liés à la sécurité au sens stricte du terme mais pouvant avoir un impact sur le produit final.

Valdes T. Nzalli

[1] Application Security

Sécurité des Données au Cameroun : une affaire d’Hommes!

Il y’a une dizaine d’années il a été annoncé via décret présidentiel la création de l’ANTIC [1] (Agence Nationale des Technologies de l’Information et de la Communication). Techniquement ce fut une avancée dans le bon sens. La dite agence avait dès sa création un cahier de charges sous forme d’attributs qui lui ont été affectés ; Et justement parmi ces attributs il est stipulé qu’elle est en charge de la Sécurité des Systèmes d’Information des Administration publiques et des Infrastructures critiques de la Nation.

Mais voilà, je me demande, combien de Systèmes d’Information Ministériels jusqu’à ce jours ont-ils été validés par l’ANTIC ?! Très peu surement, en espérant qu’il y’en ai un. Combien de sites web de représentations étatiques sont-ils contrôlés par l’ANTIC ?! Combien d’Infrastructures de fournisseurs d’Accès Internet ont-elles fait l’objet d’Audit de Conformité et de Sécurité de la part de l’ANTIC ?! Faire des lois c’est bien, les appliquer c’est primordial.

Il suffit de faire un tour dans nos administrations pour avoir un aperçu du niveau d’Insécurité des informations qui y sont traitées. Et les cœurs d’Infrastructure, c’est encore plus de désordre avec chaque prestataire venant faire ses installations sans pour autant avoir état des configurations présentes faites par d’autres consultants/prestataires ! Un désordre total où le mot traçabilité n’est pas le bienvenu.

Avec ce genre de choses comment peut-on aspirer à se protéger des menaces réelles et « orientées » ? Comment peut-on être en train de parler de Sécurité de notre Cyber espace quand nous n’avons pas la maîtrise de nos propres Intranets ?! Tout commence par-là, à savoir comment sont gérés nos réseaux Internes, car vu l’état actuel des choses, le risque d’une menace de l’intérieur est plus grand que celui d’une menace externe. !

Il y’a quelques temps encore on nous annonçait sous grandes pompes l’acquisition d’une solution pour la mise en œuvre de notre propre Infrastructure à Clé Publique (PKI)[2]. Selon le tapage médiatique qui en découle cette PKI ouvre une « nouvelle ère de sécurité des échanges électroniques et du cyberespaces Camerounais ». Mais je m’interroge, certes il est bien d’assurer l’authenticité des intervenants dans nos transactions électroniques, mais n’est-il pas plus opportun de savoir déjà s’en servir ?! Comment comptons-nous garantir la sécurité des échanges et l’authenticité des parties prenantes quand l’autorité en charge de la chose n’arrive pas à gérer ses propres certificats de sécurité ?! [3]

Je vois là une fois de plus un problème Humain. C’est bien beau d’avoir toutes les avancées technologiques, mais ce serait plus utile de savoir les exploiter. Les autorités en charges de ce genre de projets disposent-elles des ressources humaines compétentes et en quantité pour assurer leur suivi ?! Pour l’instant ce n’est pas encore le cas. Et là on se retrouve dans la position de celui achète une voiture avant de réfléchir sur comment aller à l’auto-école pour apprendre à s’en servir !

Depuis plus d’une semaine le site web du Ministère des Poste et Télécommunication [4] ainsi que plusieurs autres dépendant du « .gov.cm » sont inaccessibles.minpostel_gov_cm_dow

Ce qui est encore plus grave c’est le manque de process pour les remontées d’incidents. Une infrastructure est down et il n’y a personne à qui remonter l’information !  remonte_incident_gov_cm

Et quand bien même une personne serait avertie, quel est le temps mis pour réagir ? N’est-ce pas ironique et triste ça ?! La Sécurité de l’Information c’est aussi de garantir la disponibilité de nos données et là, nous avons (une fois de plus) failli.

En 2013 il est inconcevable que nous nous retrouvions encore dans ce genre d’anarchie. Rappelons-le, la Sécurité des Systèmes d’Information est une démarche et non un produit ! Si nous prenons le temps de poser les bonnes bases cela sera plus productif que d’acquérir tous les jours des « produits » (à des coûts exorbitants, et là c’est un tout autre sujet) qui ne nous apportent que très peu sinon aucune valeur ajoutée, à cause du fait que les conditions minimales requises ne sont pas réunies pour une exploitation judicieuse des dits « produits ». Par bonnes base j’entends là :

  • La formation/Recyclage des ressources humaines affectées à ces programmes/Infrastructures
  • Le renforcement des effectifs car jusqu’à présent ils sont assez réduits
  • L’établissement et le respect de procédures de fonctionnement qui sont indépendantes des personnes affectées afin d’éviter les Single Point of Failure (Remontée d’Incident, gestion de crises, continuité d’activité,…)
  • L’application effectives des mesures et décrets publiés solennellement ; que chaque organisme en charge assure effectivement ce qui lui est attribué comme objectifs.
  • Une sensibilisation du personnel non technique de nos administrations
  •  …

Comme on fait son lit, on se couche dixit un sage. La balle est dans notre camp.

Reférences :

[1] Site ANTIC

[2] PKI : Le Cameroun Sécurise ses transactions Electroniques

[3] SSL_Server_Test _ antic

[4] MINPOSTEL Cameroun

Valdes T. Nzalli

3rd Commonwealth Cybersecurity Forum

Du 22 au 26 Avril prochain, la capitale politique du Cameroun, Yaoundé, abritera la Conférence annuelle  sur la Cyber Sécurité dans les états membres du Commonwealth. Cet évènement se tiendra au Palais des Congrès de Yaoundé sis au quartier Tsinga.

Les sessions de cette conférence porteront principalement sur les sujets suivants :

  • Protection des Infrastructures Critiques
  • La Sécurité en ligne pour les plus jeunes, qui par ailleurs fera l’objet d’un atelier en préliminaire.
  • Garantir la Sécurité tout en préservant la vie privée et les libertés individuelles
  • Les implications des vols d’identité en ligne
  • Mise en Œuvre de normes communes grâce  à des partenariats avec diverses parties prenantes.

En prélude à la conférence proprement dite qui débutera le 25 Avril, un atelier sera organisés du 22 au 24 Avril et portera sur la Protection des Enfant en ligne et son Programme Pilote d’implémentation dans 6 pays membres à savoir le Cameroun, la Gambie, le Nigeria, le Ghana, la Sierra Leone et la Mauritanie.

Résumé :

  1. Thème  : « Bringing Safety, Resilience and Security in Cyberspace »
  2. Date : du 22 au 26 Avril 2013
  3. Lieu : Yaoundé, Palais des Congrès
  4. Programme : http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-programme/
  5. Modalités pratiques : http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-venue/
  6. Plus d’informations :  http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-more-information/

Source http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/