Lateo.net - Flux RSS en pagaille (pour en ajouter : @ moi)

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierAnalyses, perspectives

Cyber : retour sur 2020

Du point de vue cyber, que penser de 2020 ? Je traite la question un peu tard (février) mais cela a l'avantage d'avoir laissé la poussière retomber et de mieux distinguer les éléments structurants.

Viering van 2020 met futuristische technologische achtergrond van cyber Premium Vector

 

1/ Evidemment, l'élément principal est la pandémie qui a entraîné deux choses : D'une part, une prise de conscience de l'intrication des chaînes d'approvisionnement. Nous y reviendrons quand nous évoquerons ci-après la "supply chain"; D'autre part, avec les confinements et restrictions de mouvements, la généralisation du télétravail, mise en place en urgence, sans préparation et avec donc d'énormes failles  : au niveau des matériels, des processus, sans même parler de la protection des échanges. Ainsi, la pandémie a été l'élément déclencheur de la transformation numérique de la plupart des organisations, ce que l'ancien CDO que je suis a observé avec gourmandise. Aussi ne faut-il pas être surpris de voir que les grandes sociétés informatiques ont tiré d'énormes profits de cette nouvelle situation.

2/ Il s'en est suivi une augmentation massive des cyberagressions. Le premier facteur tient bien sûr à ce que le nombre de cibles faciles s'est considérablement accru. Parallèlement, la technique des rançonnages (ransomware) s'est démocratisée et industrialisée (pour mémoire, il s'agit de chiffrer toutes les données et de demander une rançon à l'organisation piratée pour obtenir la clef de déchiffrement). Les outils sont facilement accessibles à des pirates qui n'ont pas besoin de grandes compétences techniques. Et le rançonnage a une grande utilité : à la différence d'autres techniques de vol de données, il s'agit ici simplement de les chiffrer sans avoir besoin de les revendre : ou plus exactement, l'agresseur ne les revend pas à un acheteur tiers mais au possesseur originel qui veut récupérer ses données. Bref, nul besoin d'organiser un circuit de revente... Dès lors, nulle cible n'est trop petite, toutes suscitent l'intérêt. L'argument "je suis trop petit pour être attaqué" ne tient plus.

3/ Ainsi a-t-on vu la  massification des agressions contre des "petits" acteurs : nous pensons aux hôpitaux (d'autant plus aisés à attaquer qu'ils étaient déjà sous le stress de la gestion de la pandémie) mais aussi aux collectivités territoriales (tendance entamée dès 2018 mais qui a explosé en 2020). La tendance se poursuivra forcément vers l'agression de cibles encore plus petites : TPE, indépendants, notamment les professionnels ayant des données de confiance (médecins, notaires, avocats, experts-comptables, ...). La nécessité de sensibiliser tous  ces échelons devient de plus en plus brûlante.

4/ A l'inverse, la fin de 2020 a été aussi l'année de Solarwinds, en décembre. Alors que nous avions des agressions indsutrialisées, nous voici en présence d'une attaque extrêmement sophistiquée, de l'artisanat de haute couture.... Solarwinds est en effet une société américaine qui développe des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l'infrastructure informatique. Un de ses produits, Orion, utilisé par des diaines de milliers de clients, a en effet été infiltré de façon particulièrement habile, ce qui a permis d'entrer "par rebond" chez "beaucoup" (nombre encore indéfini) de ses clients. Ainsi, les agresseurs ont pu observer de l'intérieur leurs réseaux dans une vaste opération d'espionnage. La qualité de l'intrusion fait penser à une instance étatique et les regards se sont tournés vers la Russie.

5/ Beaucoup de débats ont eu lieu sur cette "supply chain informatique" qui rend compte de la complexité actuelle des dispositifs. En effet, les grandes organisations externalisent beaucoup de leurs sytèmes avec des produits fournis par des partenaires. A défaut d'attaquer directement ces grands comptes, il est plus futé de passer par leurs fournisseurs qui sont parfois moins bien défendus que les cibles principales : d'où la notion d'attaque par rebond. Cela a plusieurs conséquences : D'une part, comment maîtriser la sécurité des partenaires informatiques ? D'autre part, comme souvent, cette attaque sophistiquée s'est diffusée et des pirates essaieront de la réutiliser contre d'autres cibles, dans d'autres circonstances, avec un phénomène de contagion.

6/ La tendance est alors complémentaire de celle que nous observions avec les rançonnages : celle d'une professionnalisaiton et donc d'une montée en gamme technique des agresseurs. Ceux-ci ne sont pas seulement plus nombreux, ils n'ont pas seulement plus de cibles, ils montent également en compétence ce qui entraîne de devoir augmenter le niveau des défenses. La dialectique du glaive et du bouclier appliquée au cyberspace, dans une course aux armements sans fin, est d'actualité.

7/ Mentionnons enfin la généralisation du cloud. Le dernier baromètre du CESIN, récemment paru (ici), montre que les entreprises ont massivemnt adopté des systèmes d'infonuagiques. Du coup, la question de la maîtrise des sous-traitants et le développement du concept "zéro trust" se pose durablement.

8/ Il faudra suivre enfin les mises en place de technologies qui arrivent à maturité et semblent pouvoir entrer dans des phase d'industrialsiation : IA bien sûr, mais aussi fabrication additive et blockchain.

Olivier Kempf

Source image : : https://nl.freepik.com/premium-vector/viering-van-2020-met-futuristische-technologische-achtergrond-van-cyber_6331677.htm

 

 

Pourquoi passer sur Olvid ?

Beaucoup d'utilisateurs de la messagerie instantanée Whastapp ont décidé de la quitter à la suite d'un récent message d'actualisation des Conditions générales d'utilisation (CGU) qui annonçait un fusionnement des données avec celles de Facebook. Certes, cela ne concernait que les clients américains et professionnels, mais le mal était fait : chacun s'est aperçu que quand un service est gratuit, nous sommes le produit et que décidément les GAFAM sont bien menaçants pour nos libertés publiques. L'important n'est pas la nouveauté de cette annonce mais que la prise de conscience soit générale et entraîne la migration d'utilisateurs vers d'autres plateformes : réjouissons-nous donc.

https://upload.wikimedia.org/wikipedia/fr/thumb/f/f4/Olvid01.png/220px-Olvid01.png

Mais où aller ? Je recommande Olvid : voici pourquoi

 

1/ Evoquons déjà les applications de messagerie disponibles.

Telegram est une application fondée par deux opposants russes à Poutine. Elle est basée à Dubaï et fonctionne selon un logiciel en opensource. Cependant, le protocole de chiffrement (bout en bout) est fermé et propriétaire. (page Wikipedia [ici|https://fr.wikipedia.org/wiki/Telegram_(application)])

Signal est animé par une société, Signal Messenger (peu de données) appuyée par la Signal Foundation, organisation non lucrative américaine. Elle est distribuée comme un logiciel libre, sur une solution opensource avec une architecture centralisée de serveurs.

Pointons les avantages : des solutions opensource, une dimension éthique qui préside à la fondation des deux organisations, de nombreux utilisateurs. Les défauts résident dans une architecture centralisée de serveurs et une nationalité non européenne, donc peu protectrice. Signal stocke désormais des données personnelles chiffrées... Par aileurs, la question des métadonnées se pose. Pour citer Wikipedia ([ici|https://fr.wikipedia.org/wiki/Signal_(application)]) : " Différentes lois permettent aux services de renseignements américains de contraindre l’organisation à communiquer ces métadonnées sans en parler. Les services de renseignement américains peuvent donc potentiellement s’emparer des métadonnées, à savoir avec qui et quand les utilisateurs de Signal communiquent". Rappelons que la CJUE a cassé l'été dernier l'accord Privacy shield qui régissait les échanges de données entre l'UE et les Etats-Unis. Nous sommes donc dans le flou juridique concernant notre protection ultime...

Voici donc la principale difficulté : ces applications reposent sur le fait de faire confiance à des organisations de confiance et à leurs architectures. Elles stockent des données, directes (données personnelles) ou indirectes (métadonnées associés à vos messages). Enfin, elles sont installées dans des pays qui n'assurent pas la protection des citoyens européens.

Accessoirement, la question pose un problème de souveraineté numérique : alors que tout le modne déplore la puissance des GAFAM, pourquoi aller renforcer d'autres plateformes américaines ou non-européennes ? Nous avons chacun une responsbailtié individuelle en la matière. C'est donc la raison qui m'a poussé à choisir Olvid, pour ma messagerie sécurisée sur ordiphone (je précise que d'autres services existent, come Citadel de Thalès qui offre tout un tas d'options supplémentaires mais n'est accessible qu'à des comptes professionnels, quand Olvid est accessible à tout public).

2/ Olvid, qu'est-ce ?

Olvid (page wikipedia [ici|https://fr.wikipedia.org/wiki/Olvid]) est donc un société française, start-up de cybersécurité, qui repose sur un autre principe : aucun message ne passe par ses serveurs et tous les protocoles de chiffrement se font directement entre les deux utilisateurs, qui doivent s'échanger des codes au lancement du contact. C'est donc un soupçon plus laborieux au départ (puisqu'il faut contacter ses correspondants et échanger avec eux son code, idéalement par téléphone) mais une fois ceci fait, tout est ensuite aussi facile que sur Whatsapp ou Signal : chat, mise en place de groupes de discussion, appels vocaux : je parle ici des services gratuits. Les services supplémentaires (appel vidéo notamment) sont payants. Mais pour la plupart des usagers dont moi, cela suffit. Olvid répond évidemment au droit français donc au droit européen, respecte ainsi par construction le RGPD.

Olvid est tellement respectueux que vous devez prendre l'initiative. Sur Signal, j'ai noté qu'on me proposait des contacts qui sont eux-mêmes sur Signal, : est-ce une coïncidence ou une fonction du logiciel qui a donc accès à mon annuaire ?  Je ne sais... Mais sur Olvid, il faut vraiment faire la démarche d'inviter ses contacts (par SMS, message Whatsapp ou autre, mail...). On maîtrise donc les choses. Par exemple, vous devez accepter de rejoindre un groupe auquel vous êtes invité, quand cette disposition n'est pas possible sur Whatsapp (vous êtes invité et vous devez quitter volontairement le groupe si vous ne voulez pas en faire partie).

[ajout 1] : suite à une rafale de commentaires sur mon fil Twitter, je précise que si Olvd a un serveur (pour faire tourner l'application), celui-ci aide uniquement à l'établissement des sessions mais ne voit pas passer les messages qui s'échangent directement entre les ordiphones. Vous trouverez le débat technique entre spécialistes  sous ce fil ici : https://twitter.com/egea_blog/status/1351153946975477763

3/ Objection votre honneur...

Oui mais la popularité de Whatsapp ou Signal  : ce qu'on appelle la loi de Metcalfe affirme que j'ai d'autant plus intérêt à aller sur un réseau que d'autres y sont. Cela peut-être vrai d'un réseau d'information (genre Twitter), ou d'un système dont la performance dépend de la fréquentation (Wikipedia voire Waze). Mais pour une messagerie, cet effet ne joue pas vraiment : je me fiche des 500 Millions, si les 50 personnes avec qui j'échange régulirèemetn y sont. Or, comme je les connais, cela dépend de moi. Donc exit la loi de Metcalfe.

Encore une application ? Certes, cela impose d'avoir un peu de place disponible dans votre ordiphone. Mais si justement cela vous incitait à faire un peu le ménage , à supprimer plein de photos et vidéos débiles ? Avez vous vraiment besoin de Snapchat et d'Instragam ? Car nous sommes d'accord : cette affaire de Whatsapp nous force à nous interroger sur nos usages numériques et sur notre rapport (constant) à notre ordiphone qui occupe tant de place dans nos vies. Un peu de prise de conscience, quoi.... de conscience, au fond...

Vous êtes paranoïaque, Olivier Kempf. Peut-être. Mais se préoccuper de sa sécurité alors que personne ne doute de la nécessiteé de fermer sa voiture ou sa maison à clef ou de protéger les mots de passe de son compte bancaire, est-ce de la paranoïa ? Ce qui est vrai pour vos objets numériques ne l'est-il pas pour vos applications ? D'ailleurs, vous avez bien installé un système d'identification, quand vous ouvrez votre téléphone (code pin, reconnaissance faciale, empreinte digitale) ? c'est proposé en série par votre ordiphone, quelle que soit sa marque. Vous vous y pliez : toujours pas parano ou êtes-vous juste prudent ? Ce qui est vrai pour ça ne le serait pas pour vos messageries ? Bref, soyez prudents...

Je n'ai rien à cacher. Ben si. Vos sentiments, vos préférences sexuelles, vos désirs de voyage ou d'achat compulsif,  vos opinions politiques, et même quelques secrets ou pudeurs que vous ne voulez pas étaler partout dans le monde. Oui mais ce n'est pas partout, je ne suis rien, pas important. Mais si vous êtes important. Dites vous que si c'est gratuit (et Olvid est gratuit pour les services de base, c'est payant ensuite pour les services supplémentaires, ce qui est paradoxalement rassurant), c'est que c'est vous le produit. En analysant vos données et métadonnées, les annonceurs peuvent vous cibler : vous postez un truc sur un réseau social et à votre prochaine recherche, vous voyez une pub pile sur le truc dont vous avez parlé... Car vos données servent à définir votre profil et donc à vous envoyer des publicités ciblées... Nous ne parlons là d'une société libre mais imaginez une société où les libertés publiques sont menacées... Bref, en ce domaine-là aussi, la prudence s'impose.

4/ En conclusion

Je précise que je n'ai aucun intéressement à Olvid (ni en capital ni en mission de promotion ou autre), que je ne connais personne chez eux ni qui y serait directement intéressé. Bref, cet article est du pur militantisme...

Il s'appuie enfin sur une bonne donne de "citoyenneté numérique", si le lecteur me pardonne cette expression : alors qu'on ne cesse de parler de souveraineté numérique menacée par les GAFA (et autres NATU et BATX), alors quo'n ne cesse de dire "en Europe nous n'avons pas de champion du numérique", voici une bonne action à faire : apporter chacun sa petite pierre à l'édifice pour renforcer des acteurs français/ européens à la place des concurrents américains ou asiatiques...

Vous avez les raisons qui me poussent à agir et à soutenir. Voici pourquoi je me suis lancé dans une grande campagne d'évangélisation : cela fonctionne, les gens me suivent... Car enplus, un peu de conviction et les gens suivent. J'ai déjà transféré la plupart de mes contacts et recréé la plupart de mes groupes de discussion. Faites pareil....

Olivier Kempf

A propos de souveraineté numérique

Le propos qui suit s'intéresse à ce que peut faire un décideur public pour favoriser une souveraineté numérique. En réfléchissant à la notion de géopolitique du numérique et de ses conséquences sur la France, un des mots clefs paraît être celui de souveraineté. Or, il est intéressant que ce substantif qui, dans une conception classique, était absolu (la souveraineté) s’est vu ajouter des adjectifs : celui de souveraineté numérique (à la suite d’un débat lancé au début des années 2010 par Pierre Bellanger et devenu aujourd’hui commun) mais aussi celui de souveraineté économique, lui aussi ancien : cependant, il était réservé à une certaine partie de l’échiquier politique et il a vu son emploi élargi à la suite de la pandémie de Covid 19, quand  l’opinion s’est rendu compte de la dépendance industrielle de l’Europe envers la Chine.

https://www.rudebaguette.com/wp-content/uploads/thumbs/souverainete-numerique-france-croisee-chemins-Rude-Baguette-38b3v8k8hsnl4b63luncao.jpg

Source

Quelques rappels sur la souveraineté

A l’origine, la souveraineté est un mot issu de la philosophie politique classique. Le terme a traversé les siècles pour reprendre en France un nouveau relief au cours de la seconde partie du XXe siècle. En effet, il est très lié à la puissance et le débat autour de cette notion de souveraineté est typiquement français et continue de contribuer à l’exception française. Entre la France première puissance militaire à la sortie de la 1GM (regardons ici le défilé de la victoire en 1919) et le désastre de 1940, la France a connu les extrêmes de la puissance. Ce traumatisme traverse le XXe siècle, d’autant qu’il a été renforcé par les échecs des guerres de décolonisation et de l’intervention de Suez en 1956.

Aussi le discours sur la souveraineté croise-t-il deux autres thèmes : celui de l’indépendance (qui est très proche de la souveraineté) et celui de la puissance. Ces trois mots font partie de l’ADN des armées dont c’est au fond une mission principale. Le général de Gaulle a réussi à construire un discours sur l’indépendance qui a convaincu une majorité de Français (souvenons-nos toutefois qu’il était très controversé en son temps et que l’unanimité que son nom rencontre aujourd’hui est largement posthume). L’indépendance a été assurée par une autre décision, celle de devenir une puissance nucléaire (décision prise, toutefois, sous la fin de la IVe République), mise en œuvre par l’armée. Au fond, l’armée nouvelle voulue par De Gaulle est celle qui permet d’assurer militairement l’indépendance du pays. Le consensus bâti autour du nucléaire en résulte.

Mais l’indépendance, sous le mot de souveraineté, a aussi été soulignée dans les institutions. Sans parler de la coutume constitutionnelle qui attribue un domaine réservé au Président de la République, observons que le mot de souveraineté est régulièrement employé dans la Constitution : tout d’abord, la souveraineté émane du peuple et c’est sur cette souveraineté populaire qu’est fondée notre démocratie. Mais la souveraineté est aussi la souveraineté extérieure (l’autre face de la souveraineté populaire) et rejoint en ce sens l’indépendance.

Insistons : dans cette conception originelle, la souveraineté est donc d’abord politique et repose sur des moyens militaires pour être garantie. Et puisque nous nous intéressons au numérique en général et au cyber en particulier, examinons plus précisément la question de la souveraineté numérique.

Critères de décision de la souveraineté numérique

A la différence de l’espace physique sur lequel repose la conception traditionnelle de la souveraineté (qui s’entend sur un territoire, celui-ci étant un espace occupé par ses habitants qui en revendiquent l’occupation), le cyberespace n’a pas de limites physiques évidentes. Cela ne signifie pas qu’il n’a pas de limites physiques, simplement qu’elles sont difficiles à appréhender. Aussi, pour les besoins de l’analyse, il nous semble qu’il faille considérer la souveraineté selon les trois couches du cyberespace : couche physique, couche logique, couche sémantique.

De même, il convient de s’interroger sur l’échelle pertinente : s’agit-il de l’échelle française ? de l’échelle européenne ? d’une éventuelle échelle occidentale ? Autrement dit encore, quel niveau d’interdépendance est -on prêt à accepter ? Or, le cyberespace ne bénéficie pas de l’arme ultime (la silver bullet) qui marche à tout coups et assure à son détenteur un pouvoir de destruction imparable sur son adversaire. C’est bien pour cela que tous les discours sur la cyberdissuasion nous paraissent reposer sur une compréhension erronée tant de la dissuasion nucléaire que de la nature du cyberespace et de la conflictualité qui s’y déroule. Dans le monde classique, celui de la souveraineté, l’arme nucléaire a apporté à la France ce qu’elle avait perdu : l’assurance de pouvoir éviter le désastre de 1940, ce qu’elle avait vainement essayer de chercher entre les deux guerres avec la ligne Maginot.

Cela signifie que dans le cyberespace, une sécurité absolue paraît impossible. Ce qui semble invalider la possibilité d’une action seulement solitaire : plus exactement, le traitement de la souveraineté cyber suppose de savoir étager ce qui reste de la responsabilité absolue de l‘échelon national. Cela ne peut être qu’un domaine réduit en volume (peu d’informations à protéger) aussi à cause des moyens nécessaire à mettre en œuvre pour assurer cette protection maximale. Nous sommes alors au cœur de souveraineté et la souveraineté militaire doit obtenir tous les moyens pour l’atteindre. Hormis ce petit échelon national, la question se pose alors de ce que l’on doit protéger en plus (quel périmètre) donc de ce qu’on doit partager relativement (quels moyens).

A titre d’exemple : faut-il conserver en France, en Europe, en Occident, une capacité de fabrication de semi-conducteurs les plus avancés ? si oui, quel en est le modèle économique ? S’il s’agit (c’est probable) d’un bien dual, comment s’assurer que ledit produit rencontre la faveur du public tout en étant rentable ? L’exemple choisi appartient à la couche physique mais on pourrait à l’envi reproduire le raisonnement sur les autres couches, en articulant le besoin, l’échelon géographique pertinent et l’équilibre économique. Il faut ici se méfier de nos visions colbertistes qui ont quand même, en matière de technologie, produits assez d’échecs pour que nous nous méfions de nous-mêmes. Mais l’on voit bien que ces questions sortent du champ de responsabilité du décideur militaire qui peut difficilement les influencer.

Enfin, une troisième série de facteurs vient compliquer l’analyse, il s’agit des évolutions technologiques. Une culture d’ingénieur aurait tendance à ne voir ici que de la science. Or, dans le numérique, ne considérer que les aspects techniques risque souvent d’aboutir à l’échec. Le minitel fut une belle aventure rencontrant un vrai succès populaire, mais sa conception centralisée ne résista pas à l’architecture décentralisée proposée par les Américains. Or, nous avions les ingénieurs (je pense à Louis Pouzin) qui avaient proposé et mis au point cette architecture décentralisée. Ainsi donc, l’innovation est aussi, forcément, une innovation d’usage. On peut mentionner les beaux mots de 5G, de quantique, d’IA, de blockchain, si on n’anticipe pas les usages on court à l’échec. La veille ne doit donc pas être seulement technologique, elle doit s’intéresser aux usages….

L’équation est donc extrêmement difficile. Plus exactement, une fois qu’on a défini le périmètre à défendre absolument, (le cœur de souveraineté que j’évoquais à l’instant), il va falloir travailler pour la sécurité du reste avec un oxymore : une souveraineté relative. Les politistes ont choisi des mots compliqués pour essayer de rendre ce paradoxe : interdépendance, autonomie stratégique, etc… Ce n’est pas très convaincant, d’autant que le décideur en dernier ressort fixera peu de directions claires.

Ici, il me semble qu’une boucle OODA est appropriée. Attention toutefois à ne pas vouloir l’accélérer car la vitesse ne nous semble pas le critère le plus pertinent. Mais il s’agit bien d’organiser une veille (orientation et observation) qui permette d’identifier (dans les trois couches) les points sensibles. Quel serait le critère de la sensibilité ?

  • Cette innovation affecte-t-elle le cœur de souveraineté ?
  • Si oui, comment y suppléé-je ?
  • Sinon, est-elle suffisamment sensible pour que j’envisage de nouer des partenariats plus ou moins approfondis avec tel ou tel acteur ?

Nous voici ici au D de décider. La veille pour la veille n’est pas utile, la veille doit être effectuée aux fins d’action. Le chef doit exiger des comptes-rendus réguliers de la veille mais aussi des propositions de décision associées. C’est d’ailleurs pour cela aussi qu’il ne faut pas accélérer le rythme de la boucle OODA (contrairement à l’intuition de John Boyd). Ce processus est récurrent (à la différence de la bataille qui est temporaire) et il faut suivre le temps du chef (et donc ses disponibilités). La boucle OODA doit ici être lente.

L’action vient ensuite (là encore, la nécessité de l’action signifie que les points de veille ne doivent pas être trop rapprochés). Elle doit être suivie et surtout évaluée, car de ses résultats dépendent l’orientation du cycle suivant. Il faut donc des critères d’évaluation associés à chaque décision. Ces critères permettront de relancer la boucle sur le prochain cycle.

En conclusion, la souveraineté numérique semble impossible à atteindre (sauf pour un cœur très limité de cybersouveraineté nationale). On doit donc décider d’une souveraineté relative, tout paradoxale que soit l’expression. Cela suppose un dispositif de veille mais qui soit articulé sur des décisions, notamment de partage avec des alliés, dûment choisis et évalués.

O. Kempf

Le nouvel équilibre des DSI face à la transformation digitale

Victor Fèvre est un jeune professionnel du secteur de la cybersécurité mais aussi de la transformation digitale. Je suis heureux de l'accueillir. OK

La transformation digitale a révélé que toutes les organisations - publiques ou privées, peu importe leur cœur de métier ou leur business model - étaient concernées par le numérique : paradoxalement, cela a été souvent mal vécu par les directions des systèmes d'informations.

L'irruption des métiers dans ce qui était considéré comme le "pré carré" et le monopole des DSI a rarement été vue d'un bon œil et a plutôt eu tendance à déclencher des réflexes de repli sur soi et de rejet.

La transformation digitale était parfois stigmatisée comme mode, sans chercher à comprendre les mécanismes profonds de cette transformation (le mot digital est accessoire) et la formidable opportunité qu'elle pouvait représenter grâce à une nouvelle approche du numérique.

En effet, le cycle court des métiers en front-office, en prise directe avec les clients et mettant au cœur de la démarche la convivialité de l'expérience utilisateur, n'est pas aisément compatible avec la temporalité plus longue des experts techniques des projets informatiques.

Pourtant, il s'agit bien là de la clé du succès d'une organisation conduisant sa transformation digitale. C'est là où la posture des DSI est en pleine évolution par rapport à la situation d'il y a 2 ou 3 ans.

Aujourd'hui, les DSI se sont réinventées un rôle dans le nouvel équilibre économique et restent régaliennes pour la cybersécurité de leur organisation. La sécurité des systèmes d'information commence de plus en plus à être vécue non plus comme une contrainte, mais bien comme une opportunité "au profit" des organisations.

La vague des rançongiciels de 2017 a marqué les esprits et les PME se sont réellement rendues compte que les cybermenaces n'étaient pas l'apanage de services de renseignement, des militaires ou des OIV. Une cyberagression peut être mesurable et avoir un impact monétaire immédiat.

Ainsi, les DSI peuvent maintenant se positionner en tant que garants d'une cybersécurité considérée comme facteur de réussite et parfaitement indissociable de la transformation numérique de leur organisation. Mieux, elles gagnent en visibilité, en reconnaissance et en importance: ce n'est pas le bastion d'ingénieurs ou d'informaticiens "dans leur monde", mais leur travail est l'affaire de tous. Les DSI deviennent vraiment un acteur incontournable.

La maturité des DSI sur les nouveaux modèles économiques (SaaS, Cloud) augmente notablement et nous pouvons espérer que les entreprises ne s'y précipiteront pas à l'aveugle, mais en ayant bien réfléchi aux avantages qu'un système ou un modèle pouvait apporter à leur SI ou leur produit, tout en prenant les mesures adéquates pour limiter les risques associés.

V. Fèvre

Réalité diminuée et médias

L'autre jour, je regarde 28mn, émission intelligente sur Arte : Ce soir là (ici), débat sur les migrations à propos de l'Aquarius. On y houspille Renaud Girard qui dit qu'il y a des différences culturelles entre les pays d'origine et les pays d'arrivée (36'55 : "les êtres sont des êtres culturels"). Visiblement, l'assistance (outre Elisabeth Quin, deux journalistes plus deux autres invités) le regardent avec dépit.

source

Trois minutes plus tard, changement de séquence, les deux journalistes écoutent (à partir de 39'05) le sympathique Xavier Mauduit disserter avec talent sur Matteo Rici au XVIe siècle en Chine et la subtilité des jésuites qui savaient adapter la religion au substrat culturel des régions qu'ils évangélisaient ("Matteo Ricci a compris quelque chose de fondamental, qu'il faut adapter le christianisme à la culture et à l’environnement", 41'13) même s'il constate que la méthode jésuite n'a pas marché : peu de Chinois se sont convertis. Là, on devine de la part de l'auditoire une approbation sur le différentialisme qui permet d'accepter l'autre tel qu'il est.

Suis-je le seul à avoir aperçu que les deux disaient la même chose, ou plus exactement partaient du même constat de la différence mais qu'à l'un on distribuait des mauvais points, à l'autre des bons ?

Bref, le discours que l'on entend sur les réseaux sociaux ou les médias est toujours augmenté de la perception "morale" de ce qui est dit. Je mets morale entre guillemets car il ne s'agit pas d'une vraie morale, mais d'une moralette ou moraline, d'une sous morale superficielle mais qui ressort de l'arc réflexe, sans contrôle de la raison.

Remarquons d'ailleurs que ce biais est partagé par tous ceux qui s'expriment, comploteurs ou sermonneurs, de quelque camp qu'ils soient.

Mais que du coup, cela obscurcit sacrément la compréhension de la réalité. Au fond, la scène médiatique actuelle est celle d'une réalité diminuée par ces filtres qui opacifient le monde.

O. Kempf

❌