Actus

En cette période de confinement,  les solutions de visio sont massivement utilisées, souvent mise en œuvre en urgence pas des DSI qui n'avaient auparavant pas toujours les ressources nécessaires.

Dans un article de ce jour, 01net met en avant l’excellente solution Jitsi (https://www.01net.com/astuces/jitsi-meet-10-astuces-pour-maitriser-le-service-de-visioconference-gratuit-comme-un-pro-1897564.html).

Il semble nécessaire de voir plus loin, en précisant que cette solution de visio , open source, peut être hébergée sur son infrastructure.

Il est également possible de la coupler à des salons riot https://about.riot.im/ (protocole matrix - https://matrix.org/ ).

Ces outils (Riot, Matrix) sont à la base de la messagerie sécurisée Tchap (http://www.tchap.fr/) mise en place par l’état, qui même si elle a connu un lancement difficile, n’en demeure pas moins une approche particulièrement intéressante.

Comme pour Jitsi, il est possible d’héberger sur son infrastructure les éléments nécessaires au bon fonctionnement Riot/Matrix, ce qui permet de disposer d’une solution de messagerie instantanée performante multi plateformes, de visio et d’échange de fichiers avec laquelle vous conservez la maîtrise de vos données.

Si la période actuelle met en évidence la nécessité de maîtriser l’outil industriel, elle ne doit pas nous faire oublier la nécessité de maîtriser ses données ...

La fondation mozilla, toujours dans le souci de protéger la vie privée des internautes, publie un site internet bien utile aux consommateurs qui s’interrogent concernant les objets connectés et le respect de la vie privée.
Nous vous invitons à le consulter sur https://foundation.mozilla.org/en/privacynotincluded/
et en profitons pour mettre en valeur un second site facilitant la lecture des clauses liées à la protection des données personnelles de certaines sociétés.
https://explore.usableprivacy.org

Pour faire suite à la nouvelle https://digikairos.xyz/fr/actualites/securite-associee-aux-developpements-de-logiciels-du-marche , l’enquête publiée par CA technologie (téléchargeable depuis le site https://www.ca.com/us/modern-software-factory/content/integrating-security-into-the-dna-of-your-software-lifecycle.thanks.html), dont une analyse intéressante est disponible sur https://www.informatiquenews.fr/la-cybersecurite-ne-fait-pas-partie-de-ladn-des-entreprises-56331 met en évidence le reste à faire concernant la sécurisation du développement des logiciels.

Si le travail déjà effectué est important, le chemin à parcourir ne l’est pas moins.

La sécurité doit être intégrée, de manière forte, à chaque niveau de la chaîne de production.

Pour ce qui concerne le choix d’un logiciel du marché (qu’il soit en « On premise » ou en mode « SAAS ») Il semble utile de rappeler aux acheteurs de prendre en compte les processus de sécurisation mis en place dans les équipes de l’éditeur dans le cadre du développement du logiciel proposé.

L’intégration de tels critères n’est malheureusement à ce jour toujours pas systématique dans les procédures d’appels d’offres.

À l'heure où chacun de nous s'interroge sur la sécurité associée au stockage et à l'exploitation de nos données, je suis étonné de rencontrer des éditeurs de logiciels reconnus sur le marché, très bien notés dans le magic quadrant du Gartner qui, il me semble, traitent la sécurité d'une manière bien singulière.

S'agissant d'un outil permettant de centraliser la gestion des données, j'interroge l'un de ces éditeurs sur les procédures mises en place afin d'assurer du niveau de sécurité des logiciels développés.

Il m'est répondu que l'éditeur n'est pas responsable de la sécurité de la solution qui sera mise en place chez ses clients. Il ajoute que ce sont lesdits clients qui mettent des données à disposition de leurs collaborateurs ou clients et que ce sont eux qui assurent l'exploitation du logiciel.

J'apprends également lors de nos échanges qu'il n'y pas eu d'audit du code source, ni de tests de vulnérabilité commandés par l'éditeur. Enfin, le RSSI n'est autre que le responsable technique de la société.

Je trouve cette approche légère. Un éditeur qui développe des outils de gestion des données "clé en main", y compris des applications mobiles permettant à ses clients l'accès aux données via des tablettes et smartphones se doit de s'assurer d'un certain niveau de sécurité de ses outils.

J’espère tout au moins que cet éditeur s’assure du niveau de compétence de ses équipes de développement et que ceux-ci ne sont pas confiés uniquement à des stagiaires qui ne seraient pas suffisamment encadrés par des professionnels expérimentés.

Publicités à la télé, elles fleurissent dans les magazines à l'approche des fêtes : les enceintes connectées font parler d'elles, un assistant vocal qui obéit au son de votre voix. Quid du respect de nos données personnelles ?

Les assistants vocaux étaient d'abord présents dans nos poches via nos smartphones pour aujourd'hui entrer dans nos maisons. Pour rappel, ceux-ci se déclenchent lorsque son propriétaire utilise une phrase type préconçue (exemple : "Ok Google"). Il peut alors poser sa question ou donner ses ordres à l'assistant qui va de suite effectuer l'opération demandée. Avec ces objets intelligents, plus besoin de chercher, il suffit de demander.

La CNIL nous met tout de même en garde et réalise actuellement des tests : les dispositifs de sauvegarde et d'enregistrement restent aujourd'hui un peu flous. Quelles sont les données collectées ? L'appareil enregistre-t-il toutes nos conversations pour pouvoir les réutiliser plus tard ? Qui y a accès ? Ces objets n'ayant pas d'écran, comment supprimer simplement ces données ?

Pour ma part, je pense qu'il y a une prise de conscience, saine, du côté un peu pervers de ces objets. Mais je ne vois pas très bien la différences entre ces enceintes, une TV connectée qu'il est possible de commander à la voix, les assistants que l'on retrouve sur les smartphones, et même sur les ordinateurs ...

L'enceinte, comme l'assistant, certains jouets, ou la TV équipée de micro est en mesure de vous écouter et d'envoyer dans le cloud les conversations enregistrées. En plus de cela, l'assistant présent sur le PC analyse vos documents, et plus globalement tout ce que vous faite sur votre poste de travail.

Il y a une approche globale des grands acteurs afin de cibler de plus en plus précisément l'intimité des consommateurs. Au mois de mai prochain, dans le cadre de la mise en place du RGPD et d'ePrivacy en Europe, la collecte et l'exploitation de nos données personnelles se verront davantage renforcées grâce à une politique à ce sujet qu'ils promettent transparente, nous l'espérons.