Internet : Participation Africaine Au Développement Technique, Cas de l’IETF !

Dans mon dernier article il était question de la participation des pays Africains en général aux différent forums pour le de l’Internet (ICANN, IETF, IGF, IANAISOC… ). A cet effet, l’avis d’un membre actif de la communauté Camerounaise de l’Internet et Expert du domaine, Victor Ndonnang, a été recueilli. Il nous donne ici ses réponses à nos deux questions.

V: A votre avis, quelles peuvent êtres les causes de ce faible taux de participation des nations Africaines en général et du Cameroun en particulier à ce genre de rencontre technique Internationale ?

Victor N.: Avant de répondre à votre question, permettez-moi de présenter brièvement l’Internet Engineering Task Force (IETF) à vos lecteurs.

L’IETF est la plus large communauté internationale de techniciens volontaires qui s’occupe du développement technique de l’Internet. C’est la où les standards et protocoles Internet sont initiés, développés, améliorés, validés et publiés pour implémentation volontaire (l’utilisation des standards et protocoles produits par l’IETF n’est pas obligatoire). Les volontaires de l’IETF sont organisés autour des groupes de travail thématiques et le plus grand de leur travail (+75%) se fait en ligne à travers des listes de diffusion. L’IETF tient également trois réunions physiques par an pour permettre aux membres des groupes de travail de se rencontrer et aussi présenter leurs travaux aux observateurs. C’est aussi l’occasion de susciter la passion et l’envie de participer chez de nouveaux volontaires.

La participation aux groupes de travail, listes de diffusion et réunions physiques de l’IETF est ouverte à tous sans discrimination. Mais pour comprendre de quoi on parle et participer effectivement, il faut être un technicien chevronné, développeur ou passionné du développement technique de l’Internet. L’IETF est « légalement » représenté par l’Internet Society, organisation internationale qui s’occupe de développement ouvert de l’Internet. Les travaux et réunions de l’IETF sont sponsorisés par les grands équipementiers (Cisco, Huawei, Alcatel-Lucent…), fournisseurs de connectivité (Comcast, Seacom…) et de contenus Internet (Google, Microsoft…).

Pour revenir à votre question, je pense que la faible participation des ingénieurs Africains en général et Camerounais en particuliers est due à plusieurs facteurs :

  • La méconnaissance de l’existence de l’IETF ; Absence des programmes recherche et développement dans le secteur de l’Internet ;

  • La rareté ou presque inexistence des constructeurs d’équipements Internet et gros intermédiaires Internet 100% Africains. L’Afrique et le Cameroun sont beaucoup plus consommateurs des équipements et contenus Internet. Nous ne produisons pas d’équipements Internet et produisons très peu de contenus Internet ;

  • La non-tenue d’une réunion physique de l’IETF (1) en terre Africaine depuis sa création en 1986. Ceci se justifie par le facteur précédent. C’est tout à fait naturel que la réunion de l’IETF se tienne là où il y’a plus de sponsors et de contributeurs des groupes de travail en ligne (USA, Europe, Canada, Australie, Japon, Corée du Sud, Chine, Taiwan…) ;

  • La non-appropriation de la notion de « communauté virtuelle » (Virtual Community) par les étudiants, ingénieurs et techniciens réseaux Africains ; Internet permet la création des communautés virtuelles qui rend plus aisée la collaboration, le partage d’idées et d’informations. L’IETF est une communauté semi-virtuelle ;

  • La non-appropriation de la notion de documentation des idées et des procédures à des fins d’utilisation et d’amélioration par les générations futures. Les ingénieurs Africains n’aiment pas trop écrire…Participer à l’IETF c’est aussi présenter, défendre son idée à distance à travers les mailing lists ; donc écrire beaucoup !

  • La barrière linguistique : Qu’on le veuille ou pas, l’anglais est la langue de l’Internet et la langue de travail de l’IETF. Qui veut participer efficacement (se faire comprendre et comprendre les autres) à l’IETF doit faire des efforts pour améliorer son niveau en langue anglaise ;

  • Et enfin le dernier facteur et pas le moins important : Le manque des moyens financiers pour soutenir la participation des ingénieurs et enthousiastes de l’Internet Africains. Quelques programmes de bourses IETF (2) existent comme celui offert par L’internet Society ; mais très peu d’Africains avec un profil adéquat postulent.

internet-development

V: Auriez-vous des voies de solutions à proposer afin de faire changer les choses au niveau local (Afrique, Cameroun) ?

Victor N. : Pour mieux combattre une maladie, il faut combattre ses causes. Je crois que les solutions aux facteurs de causalité que je viens de citer permettront naturellement une augmentation et une amélioration de la participation Africaine à l’IETFJe pense qu’il faut commencer par la base si l’on veut avoir des résultats durables. Pour cela, je propose les pistes suivantes :

  • Amélioration du niveau d’anglais chez les ingénieurs et enthousiastes de l’Internet Africains ;

  • L’appropriation de la notion de communauté virtuelle par les étudiants et ingénieurs Africains ou Camerounais. Il faut apprendre aux étudiants Africains en général et Camerounais en particulier comment utiliser efficacement les listes de diffusion (mailing lists) pour travailler et collaborer. Certains pensent que c’est facile mais ça s’apprend ;

  • L’intégration de la participation à l’IETF dans la « job description » des ingénieurs, administrateurs réseaux et étudiants chercheurs africains dans les domaines Informatique et Internet. Pour se faire, il vaut mieux expliquer la plus-value pour l’entreprise ou l’université de financer la participation de ses ingénieurs;

  • L’intégration de la notion de budget « recherche développement » dans le plan de développement des entreprises africaines qui travaillent dans un secteur en constante innovation comme l’Internet. Rappelez-vous, j’ai dit plus haut que les réunions et travaux de l’IETF sont sponsorisés par les grandes entreprises Internet comme CISCO, Google…Pourquoi ? Parce que les résultats des travaux des ingénieurs volontaires de l’IETF leur permettent de produire des équipements et solutions toujours plus innovantes et d’être toujours en avant-garde sur le secteur de l’Internet. Par exemple, le protocole IPv6 qui va permettre de connecter le prochain milliard d’internautes et sans doute toute la planète, émane de l’amélioration du protocole IPv4 (conçu initialement pour connecter seulement 4 milliards d’ordinateurs) par les volontaires de l’IETF. Le protocole SIP qui a révolutionné le secteur de la Voix par Internet (VoIP) et des télécommunications en général est aussi le résultat des travaux de l’IETF.

  • Et enfin je pense qu’il faut trouver de l’argent pour financer les participations des africains et Camerounais a l’IETF. Comment ? Je pense qu’en addition aux efforts fournis par les organisations de développement de l’Internet (ISOC,…), les gouvernements des pays en développement en général ont un rôle très important. Ils ne doivent pas seulement investir dans la sante, l’agriculture mais aussi dans les Technologies et de l’Information et de la Communication (TICs) en général et l’Internet en particulier. Souvenez-vous l’Internet qui est un bien public aujourd’hui et catalyseur du développement socio-économique émane d’un programme de recherche (DARPA) financée par le gouvernement Américain. Les gouvernements Africains doivent financer la recherche et particulièrement la recherche dans le secteur de l’Internet. Cela pourrait résoudre les problèmes d’emploi et accélérer le développement économique.

Le développement effectif de l’Internet en Afrique passe par une participation massive des jeunes ingénieurs africains aux structures clé du développement technique de l’Internet comme l’IETF, le W3C… ; afin que l’Afrique ne soit plus seulement un consommateur de l’Internet mais un producteur des équipements et contenus Internet.

Je vous remercie.

V : Tout le plaisir est pour nous, merci encore de votre disponibilité.

Notons ici que les causes et voies de solution énoncées dans cet article ne se restreignent pas juste au cadre de l’IETF mais peuvent s’appliquer aussi pour d’autres Organismes Internationaux.

(*) A propos de Victor Ndonnang

Depuis 2008, Victor Ndonnang est consultant en TIC, spécialiste des questions de Gouvernance de l’Internet et s’intéresse principalement développement technique de l’Internet et à la gestion des ressources Internet essentielles (Adresses Internet (IP) et noms de domaine). Il en maîtrise l’ensemble des enjeux transversaux : technique, juridique, marketing, communication, référencement et administratif du nommage Internet. Il conseille les petites organisations et entreprises dans la stratégie de nommage et de gestion de la présence sur Internet. Il est lauréat du Programme Internet Society Next Generation Leaders (3) et Fellow de l’ICANN. Il est membre fondateur de la branche Camerounaise de l’Internet Society (Internet Society Cameroon Chapter)qui œuvre pour le développement ouvert de l’Internet au Cameroun (IXP, IPv6, Safer Internet…) et encourage la participation des Camerounais aux structures de développement technique et de gouvernance de l’Internet (ISOC1, IGF2, ICANN3, 1Net4…).

 

Publicités

Réseaux Sociaux et Sécurité avec les étudiants de la FGI, Douala

Dans le cadre de ses activités de sensibilisation du public sur l’usage de manière sécurisée des Technologies de l’information et de la Communication, il s’est tenu le 10 Mai dernier dans l’enceinte de la Faculté de Génie Industriel (FGI) raccordée à l’Université de Douala un atelier de 2 heures et demi sur le thème « Réseaux Sociaux et Sécurité ». Cet atelier est le fruit d’un concours d’efforts volontaires ayant vu la participation du Club Informatique de la FGI dans la planification et la coordination ainsi que l’Administration de l’Université de Douala pour avoir permis que cette rencontre ait lieu dans son enceinte.

Vous trouverez ci-dessous la présentation passée ce jour. Lors de l’atelier, une question posée était de savoir comment protéger sa boite mail, comment savoir si quelqu’un d’autre a eu accès à sa boite et que faire en cas de piratage de son compte, le lien suivant est un précédent billet assez détaillé sur le sujet : Et si on parlait de nos boites mails?

Il est à noter que ce genre de rencontres vont s’étendre dans les établissements scolaires avec le temps et nous appelons ainsi les différents Clubs Informatique/Sécurité des dits établissements à bien vouloir rentrer en contact avec nous pour planification, ceci par mail (contact@camcybersec.cm) ou tout simplement en utilisant le formulaire de contact présent sur le site de l’Association : http://www.camcybersec.cm/contact/

La presentation est disponible en téléchargement direct par ici :  CamCyberSec_FGI_reseaux_sociaux_et_securite_version_1.1

et directement consultable en ligne par ici sur mon espace Slideshare.

Valdes T. Nzalli

CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 2 : CIIP

Suite à la première partie de ce retour sur le 3rd CTO Cybersecurity Forum, (qui est disponible par ici) dans l’après midi du Jeudi 25 Avril, il y’a eu deux tracks au choix et le nôtre fut de participer au workshop sur la Protection des Infrastructures d’Information Critiques (CIIP – Critical Information Infrastructure Protection) mené par David POLLINGTON de Microsoft Security en partenariat avec le FIRST (Forum for Incident Response and Security Teams).

D’entrée de jeu, le maître de séance à tenu à préciser que certes il représente Microsoft, mais au cours de l’atelier il ne s’agira nullement de vendre un quelconque produit de la firme qui l’emploi, mais plutôt de partager sur l’état de l’art et les bonnes pratiques pour la CIIP et de ce qui est fait chez Microsoft pour y parvenir.

Cet Atelier était divisé en deux parties :

  • Critical Infrastructure Protection : Concept and Continuum : portant sur la définition et les contours du concept d’Infrastructures Critiques (CI Critical Infrastructures)
  • A Framework for Critical Information Infrastructure Risk Management qui nous proposait un ensemble de processus dédiés à l’identification et la gestion des risques dans nos CIIs (Critical Information Infrastructures).

A cet effet, deux manuels nous ont été remis, chacun portant sur un partie du workshop.

Lorsqu’on parle de CIIP, il faudrait déjà pouvoir différencier ce qui est Critique de ce qui ne l’est pas. La notion de criticité étant variable d’un État à un autre, il n’existe pas de modèles figés là dessus. Toutefois, certains domaines figurent dans plusieurs modèles/Catalogues d’Infrastructures Critiques à l’exemple de l’Energie, les Finances, l’Eau, les Transports, l’Alimentation, la sécurité publique, … La figure suivante représente un aperçu des secteurs jugés critiques dans quelques pays.CII_Sectors_By_Countries

De nos jours, avec les systèmes presque tous automatisés et interconnectés, nos Infrastructures critiques ou non dépendent de plus en plus de l’IT. Toutefois, lorsqu’on parle de CIIP, il ne s’agit pas seulement d’une protection contre les fléaux dont l’IT serait le vecteur, notamment les cyberattaques, mais de tout type de facteurs pouvant mettre à mal nos infrastructures quelle qu’en soit l’origine à l’exemple des Attaques Terroristes, les Catastrophes Naturelles, les Guerres, et bien d’autres situations chaotiques du genre.

La protection des Infrastructures Critiques est intimement liée à 4 points stratégiques à mettre en œuvre :

  •  Des Politiques et Plans de Confiance :

Ce besoin d’un climat de Confiance devra remplir les trois critères suivants:
– Construire et renforcer des partenariats de coopération forte entre les parties prenantes,
– Etre adaptable et évolutif, répondant aux changements en cours dans les profils des menaces
– Contenir des jalons et paramètres qui permettrons de suivent le déroulement du programme de Protection des Infrastructures Critiques.

  •  Des Opérations Résilientes

la Résilience dans ce cas est la capacité à pouvoir anticiper ou se protéger contre les risques/attaques significatives et de réduire au minimum la durée et l’impact de l’incident subit. La Résilience des Infrastructures Critiques permet donc non seulement de se protéger des risques éventuels, mais aussi, et surtout de pouvoir les gérer de façon optimale pour un retour à la normale dans les plus brefs délais. Cela ne peut se faire sans les habitués des exercices périodiques afin de tester les capacités de réaction aux incidents, impliquant ainsi les gouvernements, les fournisseurs et les entreprises travaillent ensemble pour permettre d’évaluer de manière appropriée, d’atténuer et de retourner à la normale après des attaques.

  • L’apport d’Investissements et de l’Innovation

Le plan de Protection des Infrastructures Critique doit être constamment à jours des dernières menaces et tendances du domaine de la sécurité. Raison pour laquelle les Personnes, Processus et Technologies doivent être mis en exergue lors de la définition des activités, programmes, formations et travaux de recherche et le développement lié à la CIP. Il est important de faire des investissement sur le long terme dans les recherches en Sécurité afin de pourvoir répondre au besoin sans cesse croissants des Infrastructures Critiques dans un monde interconnecté.

  • Le Partage d’Informations et une Collaboration franche :

Les 3 premiers Critères cité plus haut, sont mis ensemble grâce à une bonne collaboration et un partage d’informations entre les différentes parties prenantes (partenaires). Ces Echanges et Partages font appels à plusieurs acteurs parmi lesquels les organisation gouvernementales et non-gouvernementales, les acteurs privés et aussi les entités étrangères(InterPol, ITU, CTO, FIRST,… )

la figure ci dessous représente la structure éclatée des 4 étapes clés citées plus haut ainsi que leurs sous-ensembles

CIP_Continium

Suite à ces axes stratégiques pour la Protection des Infrastructures Critiques (Critical Infrastructures Protection – CIP) Microsoft a mis sur pied un framework permettant une gestion intégrale des Risque liés à ces actifs. Ce framework se divise en 5 étapes consécutives définies tel que suit :

1- Déterminer l’étendue de la Gestion des Risques

Cette phase permettra de définir la portée appropriée ainsi que la les objectifs et les activités pour la gestion des risques. Elle se subdivisera en 3 sous-étapes :
– Trouver un consensus avec les parties prenantes sur la vision et la mission de l’étude, ceci en déterminant ce qui doit être protégé et pourquoi.
– Enoncer les buts spécifiques de sécurité et de résilience, ainsi que les objectifs et assurances
– Identifier les services essentiels

Relation_Between_CII_And_Cybersecurity

2- Identifier les fonctions des Infrastructures d’Information Critiques

La détermination des fonctions des Infrastructures d’Information Critiques est la seconde étape du plan de gestion des risques des CIIs. Il est question ici pour les parties prenantes d’avoir un dialogue ouvert sur la criticité des actifs et ainsi, conjointement, définir quels éléments d’Infrastructures d’Information, quelles fonctions critiques et quelles ressources clés sont nécessaires pour le maintien des services vitaux du Gouvernement, de l’économie et ainsi que pour assurer la sécurité publique.

3- Analyser la chaîne des valeurs des fonctions critiques ainsi que les interdépendances

Les services, processus et fonctions essentielles n’étant pas des entités cloisonnées, mais plutôt composées de plusieurs sous-ensembles étroitement liés, comprendre cette complexité et ces chaînes de liaisons interdépendantes ne sert pas juste à analyser les menaces, les vulnérabilités et leurs conséquences, mais aussi et surtout, permet d’identifier les parties prenantes et les fournisseurs stratégiques des chaînes de valeurs concernées. A titre indicatif, la figure suivante représente un aperçu de ce à quoi cette étape peut ramener :
CII_Value_Chain

4- Évaluer les risques des fonctions critiques

Cette étape se concentre spécifiquement sur les menaces et vulnérabilités des fonctions critiques. En matière de CII, le Risque est fonction de la menace, de la vulnérabilité et de leur conséquence. Ceci se traduit par l’équation : Risk = ƒ(Menace, Vulnerabilité, Consequence)
Dans cette équation :
– Menace fait allusion à tout facteur naturel ou Humain
– Vulnérabilité signifie ici une faille ou manquement qui peut être exploitée par une menace
– Conséquence encore appelé « Impact » fait référence aux coûts, pertes ou résultats provenant de l’exploitation réussie d’une vulnérabilité par une menace.

5- Hiérarchiser et traiter les risques des fonctions

Prioriser et traiter de façon continuelle et permanente les risques liés aux fonctions critiques de nos infrastructures débouche sur 4 éventualités :
– L’atténuation de l’impact/effet du risque
– La Prévention du risque
– Le Transfert du risque (en cas d’assurance par exemple)
– L’acceptation ou Rétention du risque consistant à valider l’éventualité et l’impact d’un risque sans rien faire pour le contrer.

En note de fin, le formateur rappelle que la Gestion des Risques des CIIs n’est pas un état statique, mais un Processus Continu appuyé par la culture de l’activité de gestion des risques en cours tout au long de chacune des étapes du CIP Continuum. C’est sur cette note que prit fin cet atelier très instructif sur la Protection des Infrastructures d’Information Critiques.

Après cela, il nous vient à l’esprit quelques questions notamment savoir Combien de pays Africains ont déjà mis en œuvre ce type processus de Gestion des Risques sur leurs Infrastructures d’Information Critiques? bien plus, combien d’entre eux ont seulement terminé avec la première étape de ce type de framework? Qu’en est-il du Cameroun, sommes-nous conscients à ce sujet? Beaucoup de travail doit être fait, mais il n’est pas trop tard!

P.S. : Cet Article est Disponble en langue Anlaise par ICI

Sources :

1- Microsoft Trustworthy Computing : Critical Infrastructure Protection : Concepts and ContinuumGlobal Security Strategy and Diplomacy
2- Microsoft Trustworthy Computing : A Framework for Critical Information Infrastructure Risk ManagementGlobal Security Strategy and Diplomacy

Sécurité des Données au Cameroun : une affaire d’Hommes!

Il y’a une dizaine d’années il a été annoncé via décret présidentiel la création de l’ANTIC [1] (Agence Nationale des Technologies de l’Information et de la Communication). Techniquement ce fut une avancée dans le bon sens. La dite agence avait dès sa création un cahier de charges sous forme d’attributs qui lui ont été affectés ; Et justement parmi ces attributs il est stipulé qu’elle est en charge de la Sécurité des Systèmes d’Information des Administration publiques et des Infrastructures critiques de la Nation.

Mais voilà, je me demande, combien de Systèmes d’Information Ministériels jusqu’à ce jours ont-ils été validés par l’ANTIC ?! Très peu surement, en espérant qu’il y’en ai un. Combien de sites web de représentations étatiques sont-ils contrôlés par l’ANTIC ?! Combien d’Infrastructures de fournisseurs d’Accès Internet ont-elles fait l’objet d’Audit de Conformité et de Sécurité de la part de l’ANTIC ?! Faire des lois c’est bien, les appliquer c’est primordial.

Il suffit de faire un tour dans nos administrations pour avoir un aperçu du niveau d’Insécurité des informations qui y sont traitées. Et les cœurs d’Infrastructure, c’est encore plus de désordre avec chaque prestataire venant faire ses installations sans pour autant avoir état des configurations présentes faites par d’autres consultants/prestataires ! Un désordre total où le mot traçabilité n’est pas le bienvenu.

Avec ce genre de choses comment peut-on aspirer à se protéger des menaces réelles et « orientées » ? Comment peut-on être en train de parler de Sécurité de notre Cyber espace quand nous n’avons pas la maîtrise de nos propres Intranets ?! Tout commence par-là, à savoir comment sont gérés nos réseaux Internes, car vu l’état actuel des choses, le risque d’une menace de l’intérieur est plus grand que celui d’une menace externe. !

Il y’a quelques temps encore on nous annonçait sous grandes pompes l’acquisition d’une solution pour la mise en œuvre de notre propre Infrastructure à Clé Publique (PKI)[2]. Selon le tapage médiatique qui en découle cette PKI ouvre une « nouvelle ère de sécurité des échanges électroniques et du cyberespaces Camerounais ». Mais je m’interroge, certes il est bien d’assurer l’authenticité des intervenants dans nos transactions électroniques, mais n’est-il pas plus opportun de savoir déjà s’en servir ?! Comment comptons-nous garantir la sécurité des échanges et l’authenticité des parties prenantes quand l’autorité en charge de la chose n’arrive pas à gérer ses propres certificats de sécurité ?! [3]

Je vois là une fois de plus un problème Humain. C’est bien beau d’avoir toutes les avancées technologiques, mais ce serait plus utile de savoir les exploiter. Les autorités en charges de ce genre de projets disposent-elles des ressources humaines compétentes et en quantité pour assurer leur suivi ?! Pour l’instant ce n’est pas encore le cas. Et là on se retrouve dans la position de celui achète une voiture avant de réfléchir sur comment aller à l’auto-école pour apprendre à s’en servir !

Depuis plus d’une semaine le site web du Ministère des Poste et Télécommunication [4] ainsi que plusieurs autres dépendant du « .gov.cm » sont inaccessibles.minpostel_gov_cm_dow

Ce qui est encore plus grave c’est le manque de process pour les remontées d’incidents. Une infrastructure est down et il n’y a personne à qui remonter l’information !  remonte_incident_gov_cm

Et quand bien même une personne serait avertie, quel est le temps mis pour réagir ? N’est-ce pas ironique et triste ça ?! La Sécurité de l’Information c’est aussi de garantir la disponibilité de nos données et là, nous avons (une fois de plus) failli.

En 2013 il est inconcevable que nous nous retrouvions encore dans ce genre d’anarchie. Rappelons-le, la Sécurité des Systèmes d’Information est une démarche et non un produit ! Si nous prenons le temps de poser les bonnes bases cela sera plus productif que d’acquérir tous les jours des « produits » (à des coûts exorbitants, et là c’est un tout autre sujet) qui ne nous apportent que très peu sinon aucune valeur ajoutée, à cause du fait que les conditions minimales requises ne sont pas réunies pour une exploitation judicieuse des dits « produits ». Par bonnes base j’entends là :

  • La formation/Recyclage des ressources humaines affectées à ces programmes/Infrastructures
  • Le renforcement des effectifs car jusqu’à présent ils sont assez réduits
  • L’établissement et le respect de procédures de fonctionnement qui sont indépendantes des personnes affectées afin d’éviter les Single Point of Failure (Remontée d’Incident, gestion de crises, continuité d’activité,…)
  • L’application effectives des mesures et décrets publiés solennellement ; que chaque organisme en charge assure effectivement ce qui lui est attribué comme objectifs.
  • Une sensibilisation du personnel non technique de nos administrations
  •  …

Comme on fait son lit, on se couche dixit un sage. La balle est dans notre camp.

Reférences :

[1] Site ANTIC

[2] PKI : Le Cameroun Sécurise ses transactions Electroniques

[3] SSL_Server_Test _ antic

[4] MINPOSTEL Cameroun

Valdes T. Nzalli

3rd Commonwealth Cybersecurity Forum

Du 22 au 26 Avril prochain, la capitale politique du Cameroun, Yaoundé, abritera la Conférence annuelle  sur la Cyber Sécurité dans les états membres du Commonwealth. Cet évènement se tiendra au Palais des Congrès de Yaoundé sis au quartier Tsinga.

Les sessions de cette conférence porteront principalement sur les sujets suivants :

  • Protection des Infrastructures Critiques
  • La Sécurité en ligne pour les plus jeunes, qui par ailleurs fera l’objet d’un atelier en préliminaire.
  • Garantir la Sécurité tout en préservant la vie privée et les libertés individuelles
  • Les implications des vols d’identité en ligne
  • Mise en Œuvre de normes communes grâce  à des partenariats avec diverses parties prenantes.

En prélude à la conférence proprement dite qui débutera le 25 Avril, un atelier sera organisés du 22 au 24 Avril et portera sur la Protection des Enfant en ligne et son Programme Pilote d’implémentation dans 6 pays membres à savoir le Cameroun, la Gambie, le Nigeria, le Ghana, la Sierra Leone et la Mauritanie.

Résumé :

  1. Thème  : « Bringing Safety, Resilience and Security in Cyberspace »
  2. Date : du 22 au 26 Avril 2013
  3. Lieu : Yaoundé, Palais des Congrès
  4. Programme : http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-programme/
  5. Modalités pratiques : http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-venue/
  6. Plus d’informations :  http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-more-information/

Source http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/

Entreprise Security : La Dépérimétrisation Partie II

Dans mon précédent billet, il fut question d’introduire et de présenter le concept de dépérimétrisation en matière de sécurité du Système d’Information de l’entreprise. A titre de rappel, la dépérimétrisation est la tendance technologique qui veut que les principaux Intervenant sur le Système d’Information de l’entreprise ne soit plus tous lotis dans le périmètre de sécurité (généralement physique) prédéfini ; il devient alors nécessaire de pourvoir assurer la disponibilité, la confidentialité et l’intégrité de ses informations en cours transit dans différents terminaux et infrastructures dont l’entreprise ne possède pas généralement la maîtrise complète.

Ce Second billet sera principalement basé sur les 11 Commandements définis par le groupe de travail JERICHO FORUM qui ouvre essentiellement pour la mise en place d’un Framework de principes pour accompagner les entreprises dans leur projet de dépérimétrisation. Ces 11 directives, ainsi qu’une brève explication de chacune d’elle, sont définies plus bas.

1- L’étendu et le niveau de protection doit être proportionnel au risque que représente l’actif.

Pour l’Entreprise, la Sécurité doit prendre en compte l’agilité de ses différents Métiers et être aussi rentable. Par ailleurs les pare feu et autres IDS/IPS doivent continuer à assurer la protection du réseau de l’entreprise car bien que parfois limités, ils permettent tout même de contenir certains types d’attaques. De plus, les Systèmes isolés ainsi que les données  doivent intégrer des mécanismes de protection inhérents de façon à pouvoir s’autogérer bien qu’étant coupé du reste du réseau.

2- Les mécanismes de sécurité doivent être omniprésents, simples, évolutifs et faciles à gérer.

Les complexités superflues pouvant finir par être des obstacles à l’adoption et la mise en œuvre des procédures de sécurité, il convient de s’en abstenir tant que possible. De plus, la stratégie de sécurité mise en place doit pouvoir épouser et se fondre dans les différents tiers de l’architecture du Système d’Information de l’Entreprise. Il en est de même que ces mesures doivent être suffisamment granulaires et évolutives afin de prendre en compte les besoins actuels et futurs de chaque couche de protection tout en restant uniforme.

3- Prendre en compte le contexte à vos risques et périls.

Les Polices et Solutions de sécurité conçues pour un environnement donné ne sont pas nécessairement applicables dans un autre environnement et ceci pour une variété de raisons qui peuvent  être d’ordre géographique, juridique, technique, acceptabilité du risque, etc. Ainsi, il est important de comprendre les limites et conditions d’usage de toute mesure de sécurité avant de l’adopter dans chaque environnement.

4- Les équipements et les applications doivent communiquer en utilisant des protocoles ouverts et sécurisés.

La sécurité par l’obscurité a suffisamment montré ses limites – des protocoles sécurisés et  ouverts permettrons un examen par les pairs afin de fournir une évaluation robuste et une plus large acceptation et utilisation. Les exigences de sécurité de la confidentialité, de l’intégrité et de la disponibilité doivent être évalué et intégré à des protocoles au besoin et non simplement ajoutés sous forme de surcouche logicielle.

5- Tous les appareils doivent être capables de maintenir leur politique de sécurité sur un réseau de  « non-confiance ».

Les règles de sécurité doivent être respectée et applicables quel que soit le contexte où se trouve l’équipement à un moment donné.

6- Toute personne, processus et technologie doit  avoir un niveau d’approbation déclaré et transparent avant que toute transaction puisse avoir lieu.

L’Approbation dans ce contexte est établie par la compréhension entre les parties prenantes à la transaction et la satisfaction de chacune aux obligations qui lui incombent.  Les modèles d’approbations doivent comprendre les personnes et organisations ainsi que les périphérique et l’Infrastructure.  Bien entendu, le Niveau d’approbation peut varier selon l’emplacement, le type de transaction, le rôle de l’utilisateur, et le risque transactionnel.

7- L’assurance d’un niveau d’Approbation mutuel doit être identifiable.

Les utilisateurs et les périphériques doivent être capables de satisfaire de façon mutuelle au niveau d’exigence d’authentification pour avoir accès aux Systèmes ainsi qu’aux données de l’Entreprise.

8- Authentification, l’Autorisation et la Responsabilité doivent inter opérer / échanger en dehors de votre zone de contrôle.

Les personnes et systèmes doivent être en mesure de gérer les permissions sur les ressources et les droits des utilisateurs qu’ils ne contrôlent pas.  L’ensemble doit  permettre l’établissement d’une relation d’approbation avec une organisation, pouvant ainsi authentifier les utilisateurs ou groupes sans pour autant nécessiter la création d’identités distinctes. Les systèmes doivent être en mesure de transmettre les informations d’identification de sécurité.

9- L’accès aux données doit être contrôlé par des attributs de sécurité intégrés dans les données elles-mêmes.

Les attributs peuvent être intégrés dans les données (DRM / métadonnées) ou pourraient être un système séparé à part entière. La sécurité peut être implémentée à ce niveau via un chiffrage. Les accès ainsi que les privilèges d’accès doivent intégrer une composante temporelle, ceci afin de palier à certains cas de vols de session et d’identité.

10- Les DOnnées Confidentielles (et la protection d’un actif de valeur suffisamment élevée) nécessitent une la séparation des tâches et privilèges.

Les Autorisations, les clés de chiffrement, les privilèges d’accès, etc doivent être sous un contrôle indépendant, sinon on court le risque d’avoir un maillon faible dans la partie supérieure de la chaîne de confiance (ce qui est, malheureusement, très souvent le cas). Les accès administrateurs ne sont pas exempts de ces contrôles

11- Par défaut, les données doivent être bien protégées lorsqu’elles sont stockées, en transit, et en cours d’utilisation.

La modification de ce standard par défaut est réservée pour ceux qui savent ce qu’ils font. Un niveau de sécurité accru ne doit pas être appliqué à tout, il est important de jauger le niveau de risque avant d’y adapter un niveau de sécurité, et partant de ce principe on peut aussi bien se retrouver avec des données pas du tout sécurisées !

Notons que tout ce qui est défini plus haut ne se réalisera pas du jour au lendemain. Ces Commandements sont une feuilles de route à suivre pas à pas afin d’arriver à un Système d’Information Sécurisé et capable de survivre aux différents changements et évolutions que nous réserve le temps, et dont certains sont même déjà en cours au sein de nos Entreprises.

Vous trouverez la version originale des commandement du Jericho Forum sur la dépérimétrisation ici (en Anglais).

Valdes T. Nzalli

Site Web Jericho Forum 

Entreprise Security : La dépérimétrisation Partie I

La tendance générale actuelle nous sied à une externalisation de plus en plus accru des services de l’entreprise. Grace aux facilités que nous offre la technologie notamment avec le déploiement des réseaux et des terminaux de plus en plus innovants, il devient assez pratique pour plusieurs de se connecter au Système d’Informations de l’entreprise non plus avec le conventionnel poste de travail situé dans les locaux de la dite firme, mais plutôt avec  un périphérique mobile (Tablette, Smartphone, …) ou depuis un réseau distant ne remplissant pas forcement les mêmes standards de sécurité que ceux de l’entreprise. Il en est de même lorsque l’entreprise fait appel à des consultants ou à une tierce partie prenante à qui elle ouvre l’accès à son Système d’Information.

Il est donc clair que l’entreprise, d’une façon ou d’une autre, est amenée à ouvrir son Système d’Informations au monde extérieur ; et à ce niveau, les principes de sécurité périmétrique longtemps utilisés trouvent leurs limites. C’est là qu’intervient la dépérimétrisation de la Sécurité du Système d’Information de l’Entreprise. Essentiellement, la dépérimétrisation désigne l’extension de l’entreprise hors de sa « zone de contrôle » dont les limites sont plutôt fixes et définies, donc certaines, vers des terrains où l’entreprise n’a plus totalement la matrise de son patrimoine Informationnel, et donc de ses données. Parmi ses représentations les plus visibles nous avons la migration vers l’Informatique dans le nuage (Cloud Computing) et le phénomène de Bring Your Own Device (BYOD).

Face à ces changement comportementaux et environnementaux au sein de l’entreprise, les mesures de sécurité ayant fait leurs preuves autres fois se trouvent vite dépassées! En effet il ne suffit plus seulement d’ériger des rampars avec les meilleurs Pare-feu et Contrôleurs d’Accès visant à bloquer toute tentative d’entrée dans le réseau depuis « l’extérieur » (pouvant ici être Internet, un device non reconnu, un autres réseaux non-autorisé,… ) car à un moment ou l’autre il faudra ouvrir un accès à tel service du Cloud, à telle Application hébergée en SaaS, à un tel Travailleur en déplacement via un VPN, et ainsi de suite.  Les mesures de Sécurité doivent être adaptées au nouveau contexte d’où la Dépérimétrisation de la Sécurité du Système d’Informations de l’Entreprise.

L’objectif grâce à ceci est de fournir un traitement sécurisé des données de l’entreprise quelque soit le lieu ou le terminal depuis lequel ces données transitent. Cela passe par des mécanismes de cryptage automatique des données traitées, l’usage de protocoles de Sécurité intégrant une forme d’intelligence artificielle embarquée en natif, la possibilité pour les données en cours de traitement de pouvoir authentifier leur détenteur sans pour autant avoir besoin de se connecter sur les serveurs d’authentification situés dans le réseau périmétrique de l’Entreprise.

le groupe de travail ouvert sur la thématique de Sécurité de l’Information nommé Jericho Forum ayant grandement oeuvre pour son intégration à mis sur pieds une série de recommandations, sous forme de commandements, nécessaires à l’implémentation de cette stratégie au sein des Entreprises et ceci fera l’objet d’un futur article.

Valdes T. Nzalli