C.A. : sortez couvert

Le préservatif masculin offre une excellente protection contre les infections sexuellement transmissibles, y compris l’infection par le virus du sida. Celle-ci n'est toutefois pas absolue … et certains hommes sont gênés par la pose ou le port du préservatif masculin dans leurs sensations (diminution de sensibilité) ou leur perception érotique du rapport sexuel. (source Le Figaro Santé).

Le saviez-vous et adhérez-vous à ce message ? Bien sûr et vous vivez avec cette information depuis les années 90. D’ailleurs, vous passez tant bien que mal cette information à vos rejetons qui sortent du nid. Cool !

La sécurité informatique offre une excellente protection contre les infections transmissibles, y compris l’infection par les virus. Celle-ci n'est toutefois pas absolue … et certains Hommes sont gênés par la pose ou le port d’une sécurité élémentaire dans leurs échanges (source de fuite).

Cette introduction volontairement piquante, pour vous rappeler que cela vous concerne si vous êtes « Board member ». Vous ne l’avez à priori pas encore intégré dans vos habitudes informatiques journalières ! Pour preuve, le dernier rapport « 2013 Thomson Reuters Board Governance Survey »  qui mentionne que 79% des organisations utilisent des comptes de messagerie personnels hackables et hackés, tels que Gmail et Hotmail, pour distribuer les documents de Conseil d’Administration. Le rapport précise aussi que près de la moitié n’utilisent aucun moyen de cryptage des communications du conseil d'administration et que seuls quelques 13% des membres ne vont pas le reprendre sur un laptop privé ou une tablette personnelle.

PwC ajoute dans un rapport (source : Key considerations for board and audit committee members - December 2013) qu’avec le nombre et la fréquence des attaques croissantes, la cybersécurité est devenue aujourd'hui une question prioritaire pour les conseils d’Administration.

Pour établir ce constat, il suffit de comprendre que vous êtes le candidat parfait pour le prochain viol cyber sécuritaire. En effet, le patrimoine informationnel de l’entreprise est à portée de main. Vous êtes souvent une personne externe à l’entreprise (inconnue du réseau local sécurisé par l’informatique professionnelle) avec laquelle il y aura un grande quantité d’échanges hautement confidentiels.

Membre d’un CA, membre de plusieurs autres, vos entrées multiples attirent les convoitises et la visibilité. De facto, vous disposez d’une kyrielle de mots de passe (comptez-les, vous dépasserez les 30) alors ils sont simples ou faibles ou identiques pour pouvoir les retenir … votre mémoire a des limites… ou alors est-ce la taille du post-it sur lequel vous les recensez (sic !). D’ailleurs, pour vos échanges sensibles, vous utilisez des systèmes qui ne sont pas dotés d’authentification forte… quelle contrainte ! Vous avouez que le cloud Dropbox ou Gmail vous a séduit par sa simplicité, vous n’imaginiez pas qu’on regarde vos données à votre insu avant le scandale NSA-Snowden. Finalement, votre exposition au risque est accrue par des voyages à l’étranger, les réseaux sur lesquels votre iPad se connecte sont multiples et non fiables.

Accablant…oui !

Et de comprendre que le profil d’un conseil d'administration moderne représente un défi complexe. De nombreuses entreprises ont des membres de leur CA siégeant sur plusieurs conseils à travers le monde. Avec des réunions mensuelles ou trimestrielles, cela crée un besoin d’échanges d'un énorme volume de documents à l'appui de CA.  Et en cas de fuite, au-delà de la sphère juridique, les risques seront considérables et iront jusqu’à l'interruption d'activité, la fermeture de services, des pertes financières si l'information est compromettante, une atteinte à la réputation qui peut mener à la perte de confiance des clients. Bref, des conséquences qui sont majeures et qui peuvent être de durée beaucoup plus longue que la violation réelle.

Simple constat pourtant, jamais le sujet de la confidentialité n’a été à ce point discuté et débattu, et pour causes. L’asymétrie de l’information est totale : chacun profite des services gratuits offerts par l’électronique et l’informatique moderne. Elle est gratuite sur Google, LinkedIn, Dropbox et ces derniers savent très bien que nos informations collectées sont à la source de leur création de richesse. Le quidam non averti n’a aucune idée des informations qu’il livre, il ne sait pas quand il les donne, qui les collecte, pour combien de temps, pour quel profit, quel but… nul ne sait ce que nous prépare l’accumulation de données (souvent personnelles) sans aucun précédent.

Alors il est temps de se reprendre et de considérer qu’en 2014, les questions de confidentialité numérique doivent être considérées comme une question majeure d’évaluation des risques dans la gestion des conseils d'administration. J’ai bien dit confidentialité…pas sécurité. La confidentialité est le caractère de ce qui est dit ou écrit en secret, elle peut être vue comme une pierre angulaire de la sécurité.

Si cette nuance n’est pas évidente (différence entre sécurité et confidentialité), méditez sur l’exemple récent qui a fait grand bruit chez nos voisins. Un président français normal est toujours en sécurité, suivi par des gardes du corps. Par contre, l’actualité démontre que sa confidentialité est médiocre depuis les photos de la rue du Cirque… et c’est la presse à scandales qui le dévoile.

Mais revenons à notre Conseil. Ce n’est pas seulement le point de vue informatique, la mise en place du bunker sécuritaire (une absence de danger de l’extérieur), qui va vous permettre d’être on the SAFE side.

Safe… Tiens, parlons-en des coffres. Plus précisément des coffre-forts numériques. C’est une richesse méconnue de notre pays. La législation luxembourgeoise sur la confidentialité des données n’impose pas de limite quant au niveau de cryptage des données (« L’usage des techniques de cryptographie est libre »). C’est exceptionnel au monde, il faut le souligner !

Et de constater que la notion de secret et les espaces de réelle confidentialité sont peu développés dans un monde où, vu de l’étranger, le secret luxembourgeois est vite associé à la fraude ou a quelque chose de menaçant. Depuis le choc du 11 septembre, on nous formate à considérer le secret comme une menace, on nous « Patrioct Actise ». Et de rappeler que le secret est une stratégie de protection porteuse d’égalité. Je prendrai pour exemple la notion de vote. Le vote est secret… il est dès lors l’ennemi des totalitarismes. Rappelons également que la Déclaration universelle des droits de l’Homme précise dans son article 12 : « Nul ne sera l'objet d'immixtions arbitraires dans (…) sa correspondance(…). Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. ».

Dans le cadre professionnel, le partage de documents secrets de manière sécurisé est la prérogative du coffre-fort virtuel^® luxembourgeois.

L’adoption et l’efficacité se feront par la personnalisation du coffre-fort virtuel^® en fonction des besoins de l’organisation ou encore la possibilité de déposer de l’information confidentielle dans un grand nombre de coffres de manière automatique. 

Les applications d’un coffre-fort virtuel^® sont innombrables et celles qui garantissent la confidentialité au sein de conseils d’administration en sont un exemple, comme le dépôt sécurisé de fiches de salaire numériques pour des dirigeants. Par ailleurs, le particulier s’y retrouve car il a l’opportunité d’utiliser ce coffre-fort à des fins personnelles.

Ce type de service innovateur permet de porter un nouveau regard par rapport à la problématique de la confidentialité des données secrètes et d’offrir une solution pragmatique répondant parfaitement aux besoins des acteurs économiques.

La réelle confidentialité des informations n’est donc pas une utopie, il suffit de sortir couvert…d’être on the SAFE side !

Petit tour de mot de passe-passe

Il ne se passe plus une semaine sans que l'on entende parler de mots de passe usurpés. Rien de plus normal dans une société qui place ces verrous numériques comme principal rempart pour protéger notre entreprise, notre argent, notre identité, nos données privées de façon générale.

Certains analystes y voient carrément un jeu de guerre qui touche la population civile depuis l'avènement du numérique. Ce n'est sans doute pas sans oublier qu'à l'origine le terme « mot de passe » vient de l'armée. Dans une approche militaire, vous lancez le « mot de sommation », c'est-à-dire la question convenue, et le « mot de passe » doit venir en relation avec la réponse correspondante.

A bien observer la problématique des attaques, on constatera que trois aspects reviennent de façon récurrente sur le tapis: la vulnérabilité intrinsèque du mot de passe, la protection de l'endroit où ils sont mémorisés et la multiplication des couples login/password.

Les mots de passe que nous choisissons pour notre quotidien ont tendance à être faciles à retenir. Cette facilité, si humaine et si pratique, est en réalité une véritable faille de sécurité. Deloitte Canada, dans son rapport TMT 2013, nous confirme que 90% des mots de passe utilisés sont trop faciles à faire sauter et ne protègent en réalité rien du tout. Et un site du gouvernement français nous rappelle que si un mot de passe utilise minuscules, majuscules et chiffres (càd 62 caractères différents), rajouter un caractère au mot de passe multiplie le temps de calcul par 62. L'initiative est donc rapidement très efficace. Mais compliquer n'est ni une garantie de sécurité absolue ni une simplification de votre condition humaine. Eh oui, le problème c'est avant tout nous, nous qui avons une mémoire volatile et qui naturellement utilisons des trucs pour retenir et ne pas oublier. Car un mot de passe aléatoire s'oublie...très facilement. Et chacun d'entre nous a déjà vécu un moment de solitude face à l'écran qui réclame le précieux sésame. Bien entendu, vous avez tenté le coup quand même, et là, catastrophe: accès coupé. Galère momentanée, ras-le-bol de la technologie, contact du helpdesk, tout y passera.

Mais n'est-ce pas mieux que d'avoir un sentiment de viol tel que celui qu'éprouvent les personnes qui découvrent qu'un imposteur a utilisé les "credentials" d'une application? Car un délinquant – pour utiliser un mot modéré – qui parvient à s'introduire dans votre messagerie va certainement chercher des messages pouvant contenir des mots de passe de votre vie numérique.

En cas d'usurpation, une personne intègre et honnête qui estime ne pas avoir commis d'impair remettra en cause, à juste titre, la sécurité du système qui attend, et donc héberge, le mot de passe. En effet, chacun utilise des solutions ou accède à des sites qui demandent une authentification faible. Par exemple le mot de passe n'est pas crypté ou on autorise des mots de passe très faibles (123456 ou password ou encore qwertzu restent au hit parade) sans autre mesure.

Alors une première leçon à tirer est d'identifier ces solutions, de les éviter ou de les remplacer dans la mesure du possible, et de n'y utiliser que des mots de passe uniques sur votre trousseau. Parlons-en de ce trousseau. Vous ne vous inquiéterez qu'avec modération quand votre navigateur a enregistré ce mot de passe sur votre ordinateur personnel (évitez d'accepter un enregistrement sur un poste qui ne vous appartient pas), mais vous allez vite vous rendre compte que les autres se multiplient comme des petits pains. Il est courant d'en avoir plus de 30. Cela commence avec Facebook, puis avec votre messagerie, le code PIN de votre GSM, l'alarme du domicile, les PIN de vos cartes, le récent mais oh combien pénible 3DSecure...et c'est au travail que les choses se compliquent car on va vous demander parfois plusieurs mots de passe forts (comprenant au moins 10 caractères et mêlant des lettres, des chiffres et des symboles). Et l'informaticien vicieux qui pourrit votre vie a mis une règle qui impose un renouvellement tous les mois, qui se souvient des anciens mots et qui rejette les incrémentations. C'est là que la majorité des gens commettent la faute magistrale, le post-it ou le calepin des secrets cachés. Laissez les trainer par inadvertance et vos ennemis, vos mauvais collègues, vos enfants vous dirons MERCI, pour certains ce sera la presse!

Pour rappeler les bases de la sécurité informatique, rappelons la métaphore brillante rédigée par une très sérieuse université du Wyoming: les mots de passe, c’est comme des sous-vêtements, il faut les changer souvent, il faut garder le mystère, il ne faut pas les partager avec ses amis, il ne faut pas les laisser trainer partout et plus ils sont longs, mieux ils protègent.

Est-ce la panacée? Non, nous venons de le voir. Pour y remédier, les solutions qui proposent de l'authentification multifactorielle apportent le premier pilier de la réponse efficace. Elles permettent à l'individu de diminuer la force de son mot de passe en combinant les preuves qui vous identifient avec forte présomption. Les solutions les plus connues au Luxembourg sont bien entendu celles proposées par LuxTrust néanmoins une pléthore de moyens basés sur le son, l'image, des images personnelles, de la biométrie ont vu le jour au cours des 10 dernières années. Le deuxième pilier est certainement la surveillance et la capacité à intervenir dès qu'une suspicion de piratage fait surface. Des professionnels doivent être à même d'assurer un monitoring quasi constant. Le troisième pilier sera de mettre en place pour soi-même, si votre organisation ne vous y engage pas, une politique de sécurité des mots de passe. Pour les particuliers, le Luxembourg n'est pas en reste en vous proposant de nombreux conseils sur le site beesecure.lu.

Et quand vous aurez, comme moi, plus de 60 mots de passe, un réceptacle blindé pourra accueillir ce que votre mémoire défaillante ne peut soutenir. Je ne parle pas d’un produit Google ou d’un DropBox dont la sécurité est reconnue faible, encore moins d’un cloud tel Megaupload qui a défrayé l’actualité, pensez-donc à une solution de coffre-fort virtuel hébergée Luxembourg, un pays qui permet de réellement protéger vos données sensibles. Vous aurez certes un nouveau sésame et l'obligation d'utiliser une authentification forte comme un token mais vous pourrez y écrire en totale confidentialité les autres mots de passe oubliables que vous auriez mis dans votre calepin des secrets.

Article publié dans le journal AGEFI (www.agefi.lu) - Mensuel de février 2013

Paresseux, tous à vos claviers !

Publication PaperJam édition juillet aout 2011

Diane Baertz-Kauffmann, VP Human Resources, pose la question suivante «Comment inciter les collaborateurs/trices à s’approprier les solutions et logiciels RH mis à leur disposition (self-service, intranet,…) plutôt que de continuer à solliciter les responsables des ressources humaines en face-à-face ? Comment réussir au mieux cette phase de transition sans perdre les échanges directs avec les collaborateurs/trices ? »

La paresse est souvent un réel moteur du labeur, la source de beaucoup de motivations. Comme disait Rousseau, « c'est pour parvenir au repos que chacun travaille ». Et si l’on parle de motivation avec un scientifique, après la satisfaction de besoins biologiques, les premiers plaisirs trouveraient leur source dans des conduites par lesquelles un individu gagne de l’autonomie.

Alors, comment limiter les petites promenades touristiques au RH ? Car le face à face est un luxe, vous souhaitez que l’on se plie aux SUPER outils à disposition. Ce n’est pas faute de rappeler le précepte Darwiniste: ceux qui survivent (à la crise) ne sont pas les plus forts, ni les plus intelligents, mais ceux qui s'adaptent le mieux aux changements.

Observons les ados. Qu’est-ce qui les motive à user et abuser des outils modernes dont la vertu se trouve dans l'amélioration de la diffusion de l'information ? Car ils jonglent avec et participent à la mise en place de nouveaux mécanismes de circulation de l'info, naturellement, sans notion d’effort et en prenant plaisir. Réussir à reproduire cela au sein de l'entreprise, en ciblant le travail, avec un cadre formel et sécuritaire, c’est bingo !

Loin de s'effacer, les RH doivent accompagner et faciliter cette nouvelle donne. Cette transition est non seulement nécessaire mais elle constitue une nouvelle source de légitimité. Votre collaborateur doit percevoir l’enjeu, découvrir la valeur ajoutée, l’efficacité qu’il atteint, les avantages personnels, bref il sera convaincu d’être gagnant. Et il faudra suivre ce déploiement, lever les équivoques, dissiper des inquiétudes inhérentes à toute nouveauté. Viendra le plaisir, l'appropriation, l’autonomie tant attendue.

Et de donner le coup de grâce aux anciennes pratiques, les rendre complexes ou lourdes.

Ah, j’oubliais de préciser : votre SUPER outil doit avoir de réels SUPER atouts, les collaborateurs ne s’y trompent pas !

La sécurité : un paradoxe qui mène à l’apocalypse ?

La quête de sécurité est intemporelle. L’Homme s’est toujours mis en recherche de rassurantes certitudes qui contrastent avec le mystère de la vie. En assurant sa sécurité l’individu cherche la situation présentant le minimum de risques ou de dangers pour y trouver la quiétude et l’état de confiance.
Ce sentiment n’est pas toujours bien fondé, car chacun véhicule avec soi ses angoisses les plus profondes, ses mauvaises habitudes et tout un vécu qui relativise la notion de sécurité.
A la recherche de la sécurité ultime dans tous les domaines, nous tentons de protéger nos avoirs derrière des forteresses. Ces dernières étaient de pierre il y a encore quelques centaines d’années, elles sont devenues métalliques à l’ère industrielle et sont aujourd’hui numériques à l’heure du tout internet. Le rempart s’est donc sophistiqué, est devenu de plus en plus complexe. Mais nos secrets sont-ils pour autant plus en sécurité ?
Cette question est d’autant plus pertinente que naissent vite des syllogismes du type :
Plus il y a de sécurité, plus il y a de failles.
Or plus il y a de failles, moins il y a de sécurité.
Donc plus il y a de sécurité, moins il y a de sécurité !
Ce raisonnement simpliste met en lumière un paradoxe de l’évolution : les données à caractère personnel d’une personne physique ou morale n’ont jamais été aussi vulnérables. Et si certains ont décidé de répandre leur vie sur Facebook, d’autres souhaitent maîtriser leur image et leurs informations personnelles, protéger les renseignements qui ne regardent pas tout le monde. Ce n’est pas tant l’évolution de la nature des informations que la capacité de la rechercher (et de la trouver indûment) qui pose le problème du Big Brother. Et cela prend encore une autre dimension dans un régime de type totalitaire, là où la liberté d'expression en tant que telle n’existe plus.
Alors…risquons-nous l’apocalypse de tous nos secrets? Car faut-il le rappeler apocalypse vient étymologiquement du verbe grec καλύπτω, kalúptô (« cacher »), précédé de la négation ἀπό ápó. Littéralement donc l’apocalypse c’est « dé-cacher », et donc par extrapolation, « dévoiler au yeux ».
Le passé nous a démontré qu’il n’y a pas de construction humaine qui reste impénétrable à l’intrusion d’autres hommes. Il « suffit » de laisser faire le temps !
Comme en convient Laurent Joffrin (Libération), dans son ouvrage sur la grande histoire des codes secrets, « la vérité n’est pas hors d’atteinte et une patiente réflexion y conduira ». La quête de la sécurité de l’information est donc une quête de longueur d’avance par rapport aux autres, induisant la notion temporelle mais aussi la notion de technique et de bonnes pratiques. C’est un service que proposent les coffres-forts virtuels dignes de ce nom, ceux qui garantissent l’inviolabilité du contenu et non un vague concept d’opacité.
Votre forteresse digitale est réputée inviolable, parfait ! Mais comme me le rappelait un auditeur en sécurité qui avait tout compris: le risque est l’exploitation d’une vulnérabilité par une menace.
Concluons donc qu’il est certes bon de renforcer les maillons de votre chaîne de confiance numérique mais il est essentiel de penser aux menaces. Car vos bastions numériques modernes n’éprouveront le temps que si les niveaux de discrétion qu’ils peuvent vous offrir sont forts !

Texte publié dans le journal AGEFI Janvier 2011

5 week-ends

"Profitez bien des Week-ends d’octobre: 5 vendredis, samedis et dimanches ce mois ci"

C'est effectivement rare et cela vaut la peine d'être souligné. Néanmoins ne digérez pas cette rumeur qui circule sur le net (mail, facebook, ...) qui mentionne que "cela n’arrive que tous les 823 ans"

Un grand nombre d'années répondent à ce critère de cinq week-ends (comprenant un vendredi, un samedi et un dimanche).
Jetez un coup d'œil sur les calendriers de 1999, 2004, 2010, 2021, 2027, 2032,…

Couleurs de la Medina

Au cœur des ruelles pittoresques de la Medina de Marrakech, lorsque vous quittez l'ambiance parfumée des souks inondés de couleurs, se trouve un petit bijou. Nous avons apprécié le Riad Dar Vima, havre de repos et de bien-être.
Loin de l'agitation touristique de la fameuse place Jemaa El Fna, ce havre de paix est à recommander à ceux qui souhaitent profiter de quelques jours d'authenticité ou de repos tout en trouvant les services attentionnés d'une hôtesse de maison charmante, la douce Najad.

SeeZam ouvre toi!