France Cyber Security : une idée française de la sécurité française…

francecybersecurity

C’est beau comme… Comme de l’auto-certification. Comment se faire un peu de pub quand on est un groupe de sociétés françaises spécialisées dans la sécurité informatique ? Simple. Créer un énième label et certifier quelques produits. Petit plus ? Embarquer dans l’aventure des organismes d’Etat. L’arrivée dans le paysage de « France Cyber Security » (évoqué ici par ZDNet) n’est donc pas une surprise. Elle suit le précédent « label » qui ne marchait pas, Hexatrust (dans lequel on trouvait nos amis de Qosmos). Dans tous les cas, bien décorer le site Web avec de la peinture bleue, blanche et rouge, imaginer un logo qui ressemble à s’y méprendre à un écusson de force de police ou de l’armée, et se présenter comme une alternative à la méchante NSA des Etats-Unis. De la sécurité française, façon Super Dupont qui permet de faire la nique aux espions américains. Sauf que tout cela ne suffit pas à faire de la bonne sécurité.

France Cyber Security l’annonce clairement sur son site :

Les principes d’attribution s’appuient principalement sur les critères suivants :

  1. Les produits et services sont fournis et/ou délivrés par une entreprise française
  2. Les produits sont conçus et développés en France.
  3. Les services sont fournis de France et hébergés en France le cas échéant.
  4. La qualité et la performance des produits et services sont attestés par des certifications.

Du vrai produit de sécurité made in France avec du saucisson et de la baguette.

Nos oreilles ont sifflé cette semaine quand, assistant à une conférence de la DGSI visant à sensibiliser les entreprises françaises aux danger numériques, France Cyber Security a été cité comme un lieu intéressant pour choisir des produits permettant d’éviter la curiosité américaine.

Car il devait manquer quelques informations au policier, par ailleurs intéressant, de la DGSI.

Dans la liste des produits certifiés pur saucisson-baguette, il y a nos amis d’Atos, de Bull. Nos plus anciens lecteurs (début des années 2000) savent combien ces sociétés se sont illustrées au fil du temps dans le domaine de la sécurité informatique. Ne parlons même pas du fait que Bull/Amesys s‘est particulièrement distinguée en vendant du matériel de cyber surveillance à des dictatures et des Etats policiers, au point qu’une instruction vise l’entreprise pour complicité de torture… Mais il y a mieux…

Produit certifié avec teinture capillaire©

Dans la liste des certifiés, on trouve une entreprise bien française qui vend à des ministères et des banques mais qui, pour assurer un beau contrat, a vendu l’accès au code source de son produit à… Une entreprise américaine dont les liens avec le gouvernement américain ne font aucun doute. Pour tout dire, cette entreprise française était tellement fière de son contrat que l’un de ses dirigeant s’est teint les cheveux de la couleur du logo de la société américaine le jour de la signature. Pour autant, elle ne s’en est pas vantée car voyez-vous, il y a un non disclosure agreement entre elle et la société américaine qui l’en empêche. Chers ministères, chères banques, vous ne saurez donc pas à quelle sauce vous serez mangés. Une chose est sûre toutefois, vous serez mangé avec une sauce certifiée France Cyber Security.

Ce label a toutefois du mal à s’auto-certifier lui-même. Le très joli WordPress installé sur le serveur Apache qui héberge ses pages, semble avoir été mis en place sans supervision… d’un expert en sécurité (française ou pas).

wp-includes

Il ne s’agit pas d’un simple petit oubli puisque le site offre d’autres informations : il est possible de consulter les fichiers uploadés sur le site :

uploads

Piste de réflexion (cadeau Bonux) le site Hexatrust qui regroupait déjà la fine fleur de la sécurité informatique made in France, présente le même genre de problème :

hexatrust-includes.25

Moralité ? L’auto-certification ne certifie pas grand chose…

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).

14 thoughts on “France Cyber Security : une idée française de la sécurité française…”

  1. ais quelle bande de danseuse sérieusement !!
    Il faisait déjà rire au FIC2015 mais là c’est juste tellement ridicule.

    Et quand je pense qu’ils expriment à haute voix à qui veut l’entendre « c’est l’expertise et l’excellence française. Par ailleurs nous recrutons. Engagez-vous ».
    minable

  2. À noter – détail cocasse – que rien ne spécifie dans leurs conditions de certification du label que le produit doit avoir un lien avec la sécurité informatique.

    Un programme de gestion de production dans une usine de brosses à dents, pour peu qu’il soit made in France, pourrait donc bien faire l’affaire !

  3. Le site (et les trous ) ne me surprend pas.
    Je veux dire, c’est malheureusement tellement français de faire de l’à-peu près. Je dis ça, je suis français, j’ai été formé en France et je regarde rétrospectivement ce qu’on m’a appris, et c’est pas jojo. En cours on donne de vagues conseils de sécurité et de bonnes pratiques. Et puis en entreprise on constate que c’est encore autre chose, le nerf de la guerre c’est l’argent, les bonnes pratiques on s’asseoit dessus.

    Je bosse en maintenance informatique, j’espère me réorienter en Conception de système d’information, et pourtant je désespère. Je désespère d’être entouré de gars qui sont de plus en plus résignés à devoir faire de la merde pour pouvoir gagner leur croûte. Tout ça parce que « faire correctement ça coûte trop cher », « on n’a pas le temps, faites que ça marche, bricolez mais faites vite, il faut qu’on facture » !!

    Pour en revenir à l’article, je ne m’intéresserai aux labels sécurité Béret / Saucisson / Baguette le jour où ça donnera des infos concrètes plutôt que du bullshit marketing à la noix.

    « Vous voulez êtres certifiés Label ‘Saucisson Franchouillard’ ? Bien alors vous commencez déjà par mettre les réglages suivants: [s’en suit plusieurs pages de réglages conseillés par type de produit] »
    Là ça aurait de la gueule ! « Vous voulez aller plus loin? ok y a des sociétés spécialisées dedans, mais appliquez déjà ça, c’est le noyau dur ! »
    En attendant, je continue de désespérer.

    1. « Je dis ça, je suis français, j’ai été formé en France et je regarde rétrospectivement ce qu’on m’a appris, et c’est pas jojo. »

      Idem, quand j’ai fait ma formation à l’époque, je leur avais sorti un petit doc sur « bien sécuriser SSH » tellement j’en avais marre de voir mes collègues de formation le configurer en mode « login motdepasse, mais le login on s’en fout on met root! ». C’est pourtant pas dur de générer un couple de clefs RSA, désactiver l’authentification par mot de passe, et interdire le login direct en root… Pas plus tard que cette semaine j’ai audité une machine qui faisait tourner un serveur minecraft en loucedé. Pourquoi? ssh en mode login/mot de passe, login et mot de passe que je tairais par décence. Forcément, ça s’est fait péter.

    2. Effectivement,

      Tu résumes assez bien la situation:

      – L’Education nationale qui te forme sur de la théorie, théorie qui n’est pratiquement jamais mis en oeuvre en entreprise, pour des raisons de coûts, rapidité.

      – Qualité de service en baisse dans les entreprises, il suffit de voir les offres emploies ! « On recherche une personne compétente, avec ceci, cela, Bac + 8 » pour un salaire de stagiaire ! Ca ne peux pas coller !

      – Les promotions qui sont effectuées seulement sur les diplômes et non l’expérience acquise sur le terrain !

      Donc il ne faut pas se plaindre que la qualité du service de tout corps de métier part en cacahuète !

  4. Bon au moins ils sont réactifs, l’accès aux répertoire en listing a été supprimé depuis.
    Il leur resterait à écrire un template pour le site html/css digne du 21ème siècle, apporter quelques corrections à la page de connexion à l’interface d’administration, acheter un certificat (plutôt que d’emprunter celui de *.wallix.com) et activer https par défaut.

  5. Plutôt que de proposer un système de sécurité qui nécessite l’installation d’un équipement (surement coûteux), pourquoi ne pas proposer plutôt une application mobile à abonnement aux commerçants ?

    EDIT car je n’ai pas été assez clair : cette application permettrait aux commerçants d’appeler les secours en 1 « clic » sur leur smartphone. Il pourrait donc prendre la place d’un système de bouton poussoir qui nécessite du matériel à installer dans le magasin.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *