Les lectures de la Toussaint

La Cybersécurité, Nicolas Arpagian, PUF, mai 2018, 128 p.
Directeur de la stratégie d’Orange Cyberdéfense, Nicolas Arpagian est bien connu du monde des RSSI et de ceux qui assistent tous les ans aux Assises de la sécurité, et que ce soit lui qui rédige le volume dédié à la cybersécurité pour la collection Que sais-je ? n’a rien d’étonnant. En 128 pages (taille habituelle des volumes de la série), l’exercice relève de la gageure, et l’auteur a dû faire des choix, notamment celui d’évacuer les aspects techniques. L’ouvrage est découpé en cinq parties : définition et histoire, les attaques sur les réseaux téléphoniques, les attaques informatiques, les parties prenantes et les modèles d’organisation des principaux grands pays. Vous trouverez abordées des notions très diverses telles que l’histoire des premières attaques, le droit afférent, le lien entre la guerre conventionnelle et la cyberguerre, les différents types d’attaques informationnelles – l’atteinte à la réputation notamment, thème assez peu souvent traité. Vous y trouverez également un florilège des organisations comme l’IETF, l’Icann, le W3C – dont on ne sait jamais laquelle sert à quoi, toujours pratique d’avoir cela sous la main – et le modèle de gouvernance de la cyber en France.
Peu technique, l’ouvrage est facile à lire et reste orienté gouvernance : ce n’est pas là que vous trouverez le descriptif du fonctionnement de Tor ni des chiffrements à clés asymétriques, mais telle n’en est pas l’ambition. Un ouvrage de fond de bibliothèque au bureau.

Cybersécurité : visualiser, comprendre, décider, Cigref, octobre 2018, 36 p. [1]
Le Cigref publie des rapports et des études à la fois nombreux et riches d’enseignements. On n’est pas, et c’est heureux, dans le genre d’études « hors sol » que produisent certaines officines dont les membres n’ont manifestement jamais mis les pieds dans la vraie vie. Le présent rapport est extrêmement intéressant par son principal aspect : les réflexions autour des tableaux de bord SSI que doit produire le RSSI, que ce soit pour son propre usage, pour celui de la DSI ou pour le Comex. Le rapport étant très dense, il est compliqué de le résumer en quelques lignes, d’autant que les pistes de réflexion doivent être adaptées au contexte de chacun, selon la taille de sa structure (entre un Ehpad et un CHU, les indicateurs vont nécessairement varier) et la typologie exacte de son activité – je serais curieux d’en tester les concepts sur une activité totalement distincte de mon milieu naturel, au hasard un cabinet d’avocats. Soyons clair : la lecture des quelques dizaines de pages qui composent le rapport est absolument indispensable pour tout RSSI.

Nomenclature des métiers du système d’information [2], Cigref encore, juillet 2018, 193 p.
Quand j’étais en prépa, un professeur de sciences physiques était capable de résoudre des problèmes sur la mécanique des fluides ou autres joyeusetés uniquement par homogénéité des unités (masse, kilogrammes, etc.) du résultat final (autant dire que 30 ans après je n’ai toujours pas compris comment il faisait). Avec le Cigref, il y a un peu de cela : si vous voulez avoir une bonne idée de l’évolution des SI et des DSI sur le long cours, vous pourriez – presque – vous contenter de lire les versions successives du répertoire des métiers. Dans la mouture 2018, on voit apparaître de nouveaux métiers autour de l’agilité, de la donnée, de la cybersécurité, etc. C’est ainsi que le « coach agile » et le « scrum master »entrent dans les effectifs. Plus prosaïquement, dans le domaine de la SSI, on voit le métier de RSSI se scinder en trois : l’expert en cybersécurité, l’auditeur et le RSSI à proprement parler.
Ce guide est à conserver sur la pile de son bureau, entre la norme ISO 27001 et la seconde édition de La Sécurité du système d’information des établissements de santé [3] de votre serviteur.

Et sinon, pour retarder Alzheimer, il paraît qu’il faut faire travailler son gingin. À ce titre, je ne saurais trop vous conseiller La Logique, un aiguillon pour la pensée de Jean-Paul Delahaye (Belin, avril 2012, 200 p.) [4]. L’auteur est un logicien qui traite assez souvent des théorèmes d’incomplétude de Gödel dans certains aspects surprenants (saviez-vous par exemple que l’indécidabilité d’un théorème est directement reliée à la taille de son énoncé ?), mais également de sujets aussi divers que la loi de Benford (qui sert aux commissaires aux comptes à détecter les fraudes), les fondements mathématiques de la pyramide de Ponzi ou les algorithmes optimaux de répartition des ressources. Chaque article de ce recueil fait environ dix pages, sur lesquelles on peut passer facilement deux heures et plus, mais c’est une révélation à chaque fois. À garder dans sa bibliothèque.

[1]  

[2]  

[3]  

[4]