e-Construction : Mon cyber-journal perso

Pour ce mois d'août 2010, j'ai apprécié et appris de ces liens ... peut-être que ça vous servira aussi :

Je reçerais hier dans mon lecteur RSS le coup de gueule de ButterflyOfFire contre un article de N'TIC Magazine qui traite de l'utilisation des navigateurs Web par les Algériens. Après, c'est au tour de Nassim d'enfoncer le clou en montrant leurs "hérésies techniques" : citer dans la même ligne les mots sécurité et WEP :)

Maintenant c'est à mon tour à faire de la pub pour eux gratuitement ... mais je vais jouer le gars gentil ... du moins j'essayerais :)

Une étude (encore une) nous apprend que la moitié des employés (au US et UK) admettent qu'ils pourraient prendre des données de la boite où ils bossent ... quand ils quitteront le navire. C'est osé. Il y a encore plus de détail, allez voir ... mais bon ça reste des intentions, non ?

A y réfléchir, je crois que non seulement c'est vrai, surtout chez nous, mais encore le pourcentage serait plus grand ! Allez, admettez ... personne ne le saura ... après un petit stage, un boulot saisonnier, une invitation un peu longue chez une boite, on prend de la doc, c'est pour apprendre ... des fichiers word et excel, ça servira comme modèle ... des logiciels, qu'on ne peut s'offrir !!

Maintenant si on est de l'autre côté de la barrière ... comprenez c'est à nous la responsabilité de la protection des données de la boite, et ben, chaque fois qu'on a écho que tel personne va quitter on va surveiller de très près ce qu'il fait : ses transferts vers le Net, ses copies CD/DVD/USB, ses impressions ... ça peut paraitre intrusif et même une atteinte à la vie privée ... mais si j'étais à votre place, je prendrais mes précautions pour ne pas basculer dans l'illégal sans pour autant laisser ce gars me faire perdre mon boulot ... au mieux me faire passer pour un incompétent !

Et si on ajoute à cela le vol d'informations délibéré, le débauchage prémédité et l'espionnage industriel ou commercial, si cher à Karim :) , là on ne se pose plus de questions : tout ce qui bouge doit apparaitre dans notre beau écran :) .... facile à dire, mais l'implémenter est une autre histoire ... peut-être qu'on la traitera (en partie) dans la série "petit voyage dans le royaume de la sécurité élémentaire".

Allez ... surveillons nous les uns les autres :)

.

Les anciens billets perdent avec le temps de visibilité au profit des nouveaux ... même moi j'ai tendance à découvrir tes trucs en les lisant :)

Alors, en Août 2009 je vous racontais ....

1- J'entamais justement ce genre de billets pour la 1ère fois .. pour couvrir les billets d'août 2008 :)

2- J'ai traité un thème cher à moi ... celui de la nécessite de spécialisation et de ne pas rester un simple "généraliste" en sécurité, et ceci mérite un Vouloir et un Pouvoir ... en passant j'ai fait une bourde en parlant de prix Nobel de Maths, heureusement que zendyani veille, en plus ce billet a généré pas mal de commentaires avec une dose de physique quantique de chez ubu :)

3- Ensuite une réflexion sur ce que représente le Ramadhan pour moi ... avec un programme / Objectif que j'essaye d'appliquer chaque année ... et encore une fois un échange de commentaires un peu chaud sur la religion :)

4- Encore un billet traitant de la spécialisation sous l'ongle de quoi lire ... pour moi c'est un des meilleurs billets que j'ai écrit ... parce que j'aime les schémas :)

5- Enfin un billet où j'entame (oui encore une entame) une série d'articles sur les liens que j'ai apprécié durant un mois ... je viens de relire, c'est intéressant :)


.

Il y a pleines de choses dans la vie qu'on fait depuis longtemps, sans se poser la question du POURQUOI !! Et quand on se la pose, on se rend compte souvent, que soit on pouvait ne pas perdre aussi de temps dans ça, soit on aurait dû les faire autrement depuis le début

En sécurité, c'est la même chose.
En entend souvent des conseils du genre : mettez un Firewall et un IDS, achetez ce type d'antivirus et pas l'autre, utilisez Linux et pas Windows ... du technique pur et dur !!

Or, tout ça n'est qu'un détail et n'est nullement la finalité ... ça doit être juste la conséquence des questions fondamentales de sécurité que tout le monde devra se poser ... avec un crayon et un bout de papier.

Pour moi, il y a 3 questions fondamentales auxquelles on devra répondre avant toute chose :

Question 1 : Je veux protéger quoi ?

Et ben c'est facile me diriez-vous : Je veux sécuriser mon réseau, mes systèmes, mes applications, mes données ... je veux sécuriser tout !!!

Avec cette réponse, vous n'irez pas loin, pire, vous allez vous faire trouer en moins d'une journée.
Pensez-y pour quelques heures et trouvez une réponse plus précise.

Dans votre réflexion, prenez le temps de revoir des choses que vous considérez comme évidentes :
- Quel est mon business ou celui de ma boite ?
- Quelles sont les choses importantes qui font marcher ce business (biens ou actifs) ?
- Est-ce que je peux donner des priorité ou une classification de l'importance de ces choses là ?
- Que ce que je vais perdre "réellement" si j'ai un problème avec une de ces choses ?

Et en fonction de votre business, posez vous la question s'il y a des lois qui vous obligent à assurer ou prendre certaines mesures, concernant un ou plusieurs des actifs trouvés avant.

Je sais, c'est chiant, mais croyez-moi, c'est la phase la plus importante dans une démarche de sécurisation d'un système d'information, même un petit cybercafé... ça vous évitera de perdre des journées dans l'installation d'une solution de sécurité complexe ... mais dont vous n'aurez jamais besoin ... et oublier en passant de mettre des trucs plus élémentaires, mais indispensable pour votre cas.

En ayant les réponses à ces questions, vous aurez le "contrôle" de vos futurs actions et choix techniques ... ce n'est plus le fournisseur ou la mode HighTech qui décidera ... mais vous ... après bien sûr le boss, le financier et leurs secrétaires :)

Question 2 : Je veux les protéger contre qui ?

C'est bien beau de mettre des protections sur toutes les choses importantes qu'on a, mais imaginez que vous vivez dans un désert ... vous le ferez toujours de la même manière ?

On doit connaître nos adversaires et ennemis ... ces méchants enfoirés débiles malsains assoiffés prétentieux malades qui veulent du mal à un gentil garçon comme nous :)

Et là aussi, prenez le temps nécessaire pour y réfléchir sérieusement.
- Sont-ils les script kiddies qui pullulent sur le Net ?
- Sont-ils des curieux qui veulent tester des trucs mais qui ne vous ciblent pas spécialement ?
- Sont-ils des geeks qui viennent de se rendre compte que la terre est ronde et veulent utiliser votre cas pour le prouver sur les forums et autres canaux IRC ?
- Sont-ils des journalistes ou investigateurs obscures ?
- Sont-ils des concurrents ?
- Sont-ils des collègues en interne, voulant se venger du Boss .. de vous l'abominable personne qui les prive de chater de 08h à 16h ?
- Si vous avez un business illégal, sont-ils les policiers et gendarmes ? ... ben quoi, même un criminel à le droit de se protéger ... et c'est au forces de l'ordre de faire leur boulot :)
- Sont-ils des organisations criminelles, des agences de renseignement étrangères ou la NSA ? si vous êtes dans ce cas de figure ... retournez vous coucher et laisser les choses se faire toutes seules :)

Vous voyez, on n'a pas le même genre de menaces ... et par conséquent, il n y aura pas les mêmes types de protections.

Globalement, vous pouvez les classer en 3 catégories : Débutants - Connaisseurs - Experts.

Ici, ça vous servira pour contrer les débutants et rendre la vie difficile à une grande partie des connaisseurs. Pour le reste ... il faut débourser un petit peu pour s'offrir les services des professionnels ... mais vous n'aurais pas à commencer de zéro.

Question 3 : A quel prix ?

Maintenant, vous devez savoir quel est votre budget, financier et en temps à consacrer.
En fait, ceci sera le résultat de votre performance en expliquant au Boss et autres managers les détails des réponses des premières questions : quoi et contre qui.


Dans le prochain billet on mettra un petit scénario pour voir concrètement ce que donne tout ce discours.
Vous pouvez laisser des commentaires ou m'envoyer directement un mail à "salahnadir" sur gmail pour proposer un cas de figure comme scénario pour la suite des billets.

.

.

En faisant une recherche sur Internet concernant des domaines DZ, je tombe sur un lien de la revue du Cerist : CERISTNEWS, un « Bulletin d'information trimestriel interne» et c'est le 1er numéro (Mars 2010).

C'est joli et bien fait … mais il faudra pensé déjà à donner un nom plus significatif au pdf :)

Mais ce qui attire vraiment mon attention c'est le dossier « DZ-CERT Sécurité des systèmes d'information ».

Pour ceux non familiers avec le concept de CERT, vous trouverez sur ce lien ou celui là des explications claires ... à l'opposé de ce que nous raconte cette publication du Cerist.

J'ai toujours dis que le Cerist, tel qu'il est actuellement n'est pas vraiment bien placé pour parler de sécurité ou donner de l'aide pour traiter des incidents de ce genre … sinon comment expliquer l'état de sécurité médiocre (pour être poli) de toute leur infrastructure (réseaux, systèmes, services) ?!

Alors, sur la page 18, on a une définition de la « Mission du CERT Algérien » :

« La mission du DZ-CERT est d'assister la communauté Algérienne dans l'amélioration de la sécurité des communications et des systèmes en vue de réduire les risques d'incidents de sécurité »

Je ne sais pas pour vous, mais moi je trouve que c'est trop vague et à la limite de l'incorrect.

- La cible de leur service ou clientèle est « la communauté Algérienne » … ça me rappel Ould Abbas :)

- Leur service est « l'amélioration de la sécurité …. » … ça dépasse de loin les missions d'un CERT ça !

- « sécurité des communications et des systèmes » … ils ne sont pas beaucoup à utiliser cette expression !! ... mais bon.

Et ils continuent avec le paragraphe suivant, toujours sous le thème de la mission de ce CERT:

«DZ-CERT peut être vu comme un regroupement logique de compétences et de ressources régi par ses propres lois et politiques et soumis à la réglementation en vigueur. Il doit respecter sa vocation intrinsèque qui est la contribution à l'évolution de la sécurité informatique en Algérie et la minimisation du risque sans oublier le besoin de coordonner avec les CERTs internationaux»

Pendre un paragraphe pareil … il faut le faire : ils ont des lois et politiques propres ?! Vocation «intrinsèque » ?! … j'espère qu'ils utiliseront une autre terminologie pour communiquer avec leur clients … je me demande d'ailleurs s'ils en ont vraiment !!

Après, ils nous présentent les «Objectifs du DZ-CERT» … des termes creux du même genre, mais là on apprend que leur service est apparemment destiné aux « institutions algériennes » et après « à toute la communauté Internet en Algérie ... ils veulent dire nous tous ?: Non merci.

Enfin, leur première création, et unique apparemment, est le site Wikayanet, «premier portail de la sécurité en Algérie»... no comment !

Tout ce que je peux leur dire, c'est nettoyer devant votre porte avant d'ouvrir votre gueule !

PS : Je n'ai aucun problème personnel avec le Cerist ou ses employés ... encore moins avec les ingénieurs qui bossent dans ce centre. Mais l'incompétence flagrante de certains responsables dans ce centre a décrédibilisé le tout ... et dans ce domaine, la crédibilité, associée à la compétence, sont le vrai capital.

.

Commençons par une petite FAQ :)
Q : De quoi s'agit-il ?

R : C'est une suite de billets consacrés à la mise en place d'une politique de sécurité de base ou élémentaire.

Q : Qui est invité ?

R : Tout administrateur ou responsable informatique (ou simple passionné) d'une moyenne entreprise, administration ou équivalent (association, réseau personnel, Cyber ...) voulant éviter d'être ridiculisé ou viré parce que personne ne peut accéder à la super application toute en couleurs que le Boss aime tant.

Q : Tu te prends pour qui ?

R : Comme je l'ai annoncé dans le billet de réouverture du blog, je voudrais transmettre ma petite expérience à ceux qui ne peuvent s'offrir les services chers payés des SSII ... même pour un petit conseil.

Maintenant, je ne dis pas que je sais tout ... je dirais sûrement des conneries, et j'espère qu'il y aura quelques uns qui interviendront pour rectifier le tir.

Q : Tu gagnes quoi toi ?

R : J'espère quelques daawi elkhir :)


.

Je reprend ici un billet qui est resté un brouillon depuis longtemps. Je sens qu'avec le Ramadhan il sera à point nommé, même si ça ne va pas plaire à beaucoup !

Salam :)

Comme le titre le dit, je reviens bloguer ... après quelques mois de gel.

Et comme le billet précédent, annonçant l'arrêt du blog, je vous dois des explications :

La première raison et strictement personnelle; C'est moi qui a besoin de ré-ouvrir ce blog et de publier à nouveau.


Vous l'aurez remarqué, j'ai changé de titre pour le blog, ça devient plus proche d'un journal personnel.

Dans ma vie réelle, je ne tiens pas de journal personnel ou intime, je trouve ça encombrant et risqué ! D'un autre côté, j'éprouve le besoin d'extérioriser, mais sans trop se livrer ... je sais, je suis un peu touché à la tête :)
Mon entourage professionnel n'est pas vraiment synchronisé avec mes pensés et idées ... c'est le dictat des offres de services à produire et des cahiers de charge à éplucher ... et les pauses ça sert à commenter l'actualité à l'Algérienne : critiquer et se comparer à l'autre rive !

Pour ceux qui n'ont pas compris, je crois qu'on a le devoir de contribuer à la reconstruction de notre civilisation, de promouvoir et aider les bonnes causes, de dénoncer et combattre El-mounkar et El-Fassad.

C'est ce genre de sujet que je voudrais discuter ... et je vais me parler à moi même sur ce blog. Vous pouvez les zapper, ou zapper tout le blog :)

La deuxième raison et justement un autre devoir : celui de partager la connaissance et l'expérience. Dans le monde des SSII, rien n'est gratuit, on ne peut pas donner à un client un truc gratuit, à part quelques conseils généraux. Je crois que c'est contraire à nos valeurs. Oui, il y a le business, mais il y a l'obligation envers le pays, la nation et El-Oumma.

C'est pour ça qu'une autre catégorie d'articles serait consacrée inchallah à des trucs techniques (sécurité et réseaux).

La dernière raison est liée à la dénonciation du Mounkar....je ne peux pas le faire par la "main", je ne suis pas les pouvoirs publics ... ce n'est pas suffisant de le faire avec le cœur ... alors je le ferais avec la parole et l'écrit.

Avant de terminer, j'aimerais précisé que j'ai hésité à reprendre le blog parce que je me disais que je remettais en quelque sorte ma parole d'arrêt du blog et ça donne une mauvaise image de ma personne ... je crois que mon vrai problème est cette tendance à ne pas rester naturel, à essayer de paraitre "parfait" .... d'ailleurs je comprends parfaitement que certains me trouvent arrogant et auto-suffisant :)

Le Ramadhan est toujours l'occasion de se remettre en cause... prendre son Shour, faire la prière du Fedjr et s'assoir une heure ou deux au balcon réfléchir à sa vie est quelque chose que je fait toujours avec un grand plaisir.

Allez Saha Shourkoum, et pour ceux qui me liserait dans la journée, Saha Ftourkoum.

.

.