Publicité en cours de chargement...
En direct de l’APSSIS – le risque comparé aéro versus IT
Malgré la courbe de croissance exponentielle du nombre de passagers, le moyen de transport le plus sûr au monde, c'est l'avion. A l'opposé, le cyberespace reste le moyen le moins sur pour le transport de nos données avec une explosion du nombre d'attaques. Pour expliquer cette différence, Cédric nous détail la différence entre une activité dangereuse et une activité risquée. Dans le premier cas les risques ne sont pas identifés et ne sont donc pas réductibles. En résumé, une activté risquée est une activité assurable. Hors, le cyberespace devient de plus en plus une activité dangereuse.
L'un des éléments différenciant entre l'avion et le cyberespace est la formation. Les compétences et la licence d'un pilote sont remis en cause tous les ans ou lorque il change de type d'appareil. Imaginez le niveau d'habilitation d'un administrateur système remis en cause après 3 ou 4 mois d'absence de pratique ou lors du passge d'un Windows 2012 server à un Red Hat Enterprise!
Un autre élément réside dans la conception de l'avion. Cette dernière est réellement secure by design. Ce qui relève du fantasme en informatique est pleinement normalisé et fonctionnel en avionique: implémentation des tests en même temps que le build, culture de la panne sur toute la chaîne de développement, débriefing et déclaration systématique de tous les incidents...
Enfin le critère différenciant majeur entre l'aéro et l'IT est la prise en compte du facteur humain, sans différentiation de traitement entre le pilote chevronné et le débutant. Ainsi, toutes les vulnérabilités de la nature humaine sont étudiées et prises en compte: fonctionnement des biais de l'attention et intégration de tryptique temps, complexité, ressources.
Au final, la technologie seule n'est pas une réponse fiable au risque IT et il faut passer de comment prendre en compte la cybersécurité dans les projets IT à comment prendre en compte les fonctions métiers dans la cybersécurité.
Avez-vous apprécié ce contenu ?
A lire également.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...