La 'Diverse-IT' est loin d'être une réalité
Et aussi : le probléme Log4j, une acquisition remarquée dans le jeu vidéo et le meilleur outil pour gérer ses mots de passe.
Pour construire un bon produit ou service, tout créateur qui se respecte doit connaitre sa cible.
Pour écrire une newsletter qui intéresse les décideurs IT, la question importante que je me suis posée est : qui sont les Direc-teurs/trices des Systèmes d’Information ?
🙏🏼 Et cela me conduit à explorer un sujet qui me tient beaucoup à coeur, dont je vous parle ci-dessous.
Quel est le profil démographique du DSI ?
Vous devinez ?
C’est aux US que l’on trouve le plus de données démographiques. Grâce au site Zippia , j’ai obtenu une vue assez complète du poste de DSI (CIO en anglais).
Les chiffres confirme ce qui se dit déjà : la “diverse-IT” est pour le moment un rêve lointain.
👨🏻🦲 Aux Etats-Unis, le CIO est un homme dans 77% des cas, âgé de 52.2 ans en moyenne et blanc à 82%.
👨🏻 Les statistiques sont encore plus marquées pour les CTO (Chief Technology Officer) avec respectivement 86% d’hommes, 52.2 ans et blancs dans 82.2%.
🧒🏻 Même un cran hiérarchique en-dessous, avec le titre de Director, la proportion de femmes ne dépasse pas 20%.
💯 Sources chiffrées : pour les CIO, CTO et Information systems directors.
Une uniformité tout à fait stupéfiante, mais déjà bien identifiée comme très préoccupante par les gouvernements et les organisations internationales.
Pourtant, d’après une étude conduite par LinkedIn en février 2020 pour la France, les recruteurs demandent systématiquement aux chasseurs de tête de chercher des profils féminins.
Au passage, la situation semble encore pire en France qu’aux Etats-Unis, avec seulement 7% de femmes dans leur panel de 2135 profils !
Pourquoi en est-on arrivé là et que peut-on changer ?
Qui sont les femmes (de la) DSI ?
C’est ce que j’ai très envie de découvrir.
A partir de l’édition prochaine, ITBusinessCrush va réaliser une série de portraits de femmes dans l’informatique, pour comprendre comment elles sont arrivées dans ces postes, ce qui leur plait, leurs challenges et surtout leurs recommendations pour inspirer d’autres femmes.
Pour compléter la vision, je vais interroger les recruteurs, qu’ils soient côté RH ou côté métier, pour essayer de comprendre les obstacles et les raisons pour lesquelles les femmes ne restent pas dans l’informatique.
Enfin, j’irai chercher ceux et celles qui cherchent des solutions pour remédier à cette situation.
📣 Si vous avez un contact à suggérer, ou êtes vous-même dans l’une des situations ci-dessus et avez envie de témoigner, contactez-moi sur aurelie75@itbusinesscrush.fr
Petit rappel : en quoi consiste le poste de DSI ?
Un-e directeur-trice de l'information (DSI) :
Est responsable de la gestion, de la mise en œuvre et de l'utilisation des technologies de l'information et de l'informatique,
Supervise l'infrastructure technologique d'une entreprise pour garantir des performances optimales, planifie la mise en œuvre de nouveaux systèmes,
Guide les professionnels de l'informatique et les autres membres du personnel de l'entreprise dans leurs usages des systèmes d’information,
Evalue les coûts et les risques des technologies de l'information pour conseiller la direction et recommander des actions, et veille également à la conformité des opérations informatiques de l'entreprise avec les lois locales,
Supervise la conception des systèmes technologiques pour améliorer l'expérience et la satisfaction des clients.
(Traduit de Zippia)
💡 Autre point intéressant, selon Statista, l’influence des DSI dans la stratégie de l’entreprise ne cesse d’augmenter :
De 42% en 2010, les DSI sont maintenant 62% à faire partie du Comité de Direction de leur entreprise,
71% estiment aujourd’hui avoir une influence stratégique, en augmentation constante depuis 2008 (mais moins qu’en 2005-2006, la crise de 2008 semble avoir porté un sérieux coup à leur crédibilité).
Avec Log4j, tout le monde a un souci
Si vous n’avez pas entendu de Log4j, c’est que vous ne travaillez pas dans l’informatique. C’est probablement l’une des plus grandes failles de cyber-sécurité découverte ces dix dernières années.
Qu’est ce que Log4j ?
La vulnérabilité affecte Apache Log4j, une bibliothèque de journalisation open-source largement déployée dans les services cloud et les logiciels d'entreprise. De nombreuses applications et services écrits en Java sont potentiellement vulnérables. Ce bout de code est exploité par des milliers de logiciels, y compris des logiciels de sécurité, des serveurs de jeux et des outils de gestion du réseau.
Les premières victimes déclarées en décembre dernier ont vu leurs serveurs hackés pour faire du crypto-mining pour le compte des hackers. Ensuite des attaques classiques de demande de rançon ont eu lieu, notamment avec ‘TellYouThePass’, qui peut s’attaquer à Windows et Linux, augmentant le nombre de serveurs infectés. La plateforme vietnamienne de crypto-échange ONUS s’est fait extorquer $5 million avant de patcher ses serveurs.
D’après SentinelOne, “il y a probablement encore des centaines de million d’équipements affectés par les vulnérabilités de Log4j”.
Les erreurs d’appréciation sur la vulnérabilité Log4j
Le problème est que la librairie s’installe par défaut et que beaucoup d’éditeurs sous-déclarent sa présence dans leur code.
Première erreur : seulement le serveur Apache est concerné parce que la librairie s’appelle Apache Log4j. C’est faux, Apache est une marque open-source et la librairie peut être utilisée dans toutes sortes de produits.
Deuxième erreur : “on ne fait pas de java”. Mais cela doit quand même être vérifié. Les équipes informatiques sous-estiment la présence des librairies java concernées qui sont partout, par exemple dans les clients Oracle, Sybase, SQL server et dans les ordonnanceurs. En réalité beaucoup de machines sont affectées.
Troisième erreur, commise également par des personnes spécialistes du sujet : comme l’attaque utilise un appel à un service DNS, elles pensent que si le protocole DNS est bloqué, le serveur n’est plus vulnérable. Malheureusement ce n’est pas vrai, l’attaque peut passer par n’importe quel port. Par exemple quand on fait du web classique, on passe par le port 80 (une convention technique par défaut). Le hacker pour traverser le firewall va chercher un port ouvert, n’importe lequel, pas forcément le port utilisé pour le DNS.
Pour utiliser le hack il suffit d’envoyer une requête en changeant le user agent qui déclenche la vulnérabilité. Quand on va sur internet, le user agent est Chrome ou Edge. Cela peut être changé avec un programme qui dit que le user agent est Log4Shell. Si le serveur est vulnérable, le hacker se retrouve avec une console qui lui permet d’accéder à toutes les ressources du serveur.
Les conseils d’expert pour corriger le problème Log4j en pratique
Pour faire un bon plan de remédiation, il faut faire un audit (scan) de toutes les machines. La bonne pratique est de corriger même si on ne pense pas être impacté. Chaque serveur doit être audité pour vérifier la présence d’un fichier appelé log4j.jar, une librairie java. Les éditeurs pensent parfois de bonne foi ne pas l’avoir intégré dans leur code, mais parce qu’ils utilisent un produit compagnon, comme un client Orable, le fichier a été installé.
Ensuite, la personne qui contrôle doit être indépendante de celle qui va faire les corrections, de manière à garantir une exhaustivité et éviter une rémédiation trop légère.
💡 AWS a publié des ressources pour les architectures d’IoT industrielles, également menacées.
🛡️ L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié des règles de détection pour faciliter l’identification des serveurs vulnérables.
Des amendes pour les entreprises qui ne corrigent pas la menage Log4j
Dans cet article, le Washington Post parle du bilan relativement faible du nombre de hacks résultant de la vulnérabilité de Log4j, qui peut pourtant être facilement exploitée.
L’état actuel des hacks déclarés ne doit pas faire oublier le potentiel de nuisance. “Avec des millions d'appareils vulnérables, les attaques risquent de se poursuivre tant que les hackers trouveront des appareils fonctionnant avec des logiciels non corrigés”, indique SentinelOne sur leur blog.
Plusieurs officiels de la CISA (Cybersecurity and Infrastructure Security Agency) et de la National Security Agency mettent en garde contre un relâchement des efforts pour remédier à la vulnérabilité. D’autant qu’aux Etats-Unis, la Federal Trade Commission a mis en garde les entreprises qui ne prennent pas les mesures nécessaires et pourraient être soumises à de lourdes amendes.
Acquisition remarquée dans le jeu vidéo
Je sors un peu du périmètre de la DSI, mais en tant que mère de trois garçons joueurs, je ne pouvais pas passer sous silence l’acquisition de Activision Blizzard annoncée la semaine dernière par Microsoft. Cette acquisition à plus de $68Mds est également une façon pour Microsoft de se renforcer dans le Metaverse.
📌 Dans les précédentes éditions, vous pouvez voir ce qu’est le Metaverse et les annonces récentes de Microsoft sur Teams.
Activision Blizzard édite, entre autres, les jeux Candy Crush, Halo, Call of Duty et World of Warcraft.
Photo Activision Blizzard - World of Warcraft
Le deal doit encore passer le test des lois anti-trust, mais s’agissant d’une acquisition verticale, le marché est plutôt confiant sur les chances de succès.
Pour Microsoft, cela représente toujours plus d’offres pour ses utilisateurs et pour rendre attractif son Metaverse. Ce que je trouve intéressant, c’est la proposition Xbox Cloud Gaming : comme expliqué dans cet article, “Les abonnés ayant souscrit un abonnement Ultimate peuvent les diffuser en continu via xCloud à l'aide de leurs appareils mobiles et de leurs ordinateurs portables. Le service d'abonnement devrait ainsi gagner en popularité, puisque les gens n'auront pas à investir dans une console Xbox ou un PC coûteux pour jouer à un jeu comme le dernier Call of Duty.”
Il y a déjà 25 millions d’utilisateurs payants de la Xbox Cloud Gaming. Alors, quand craquerez-vous ?
L’outil le plus sûr pour gérer 160 mots de passe et plus
Mon compte Facebook a été piraté récemment et j’ai dû de toute urgence mettre à jour mon mot de passe. Pour ne plus avoir de mauvaise surprise, j'ai ajouté l’authentification à double facteurs. Je ne suis pas sûre de la manière dont le hacker a obtenu mon mot de passe, mais sans doute via un lien dont je ne me suis pas méfiée. En tous cas la bonne pratique consiste à avoir un mot de passe différent et renforcé pour chaque site.
Entre les applications que j’utilise en privé ou à titre professionnel, que ce soit pour acheter en ligne, administrer, voyager, travailler, compter, payer, discuter, etc., je possède à ce jour 160 mots de passe. Je parle de trucs sérieux, plein de caractères spéciaux, majuscules et minuscules, et assez longs pour empêcher un hacker de dormir.
Depuis quelques années, mon coffre-fort est géré par Keepass et cela a changé ma vie !
🆓 L’app est totalement gratuite. Je fais de temps en temps don d’une bière, tellement elle m’est utile. Pour le mobile, il faut utiliser Keepass2 sur Android et KeePassium sur iOS.
🗄️ La base de données contenant tous mes mots de passe est disponible sur toutes les devices que j’utilise, par exemple via Google Drive ou One Drive. Tout est synchronisé, si je mets à jour sur mon mobile par exemple.
📁 Je peux classer mes mots de passe par onglets et groupes, ou chercher tout simplement par nom.
🤖 Autotype est une fonctionnalité super pratique : quand vous voulez vous connecter sur un site, cliquez sur “autotype” dans la fiche Keepass concernée, et l’app tape toute seule le nom d’utilisateur et le mot de passe.
🔑 Il y a un super générateur de mots de passe, qui indique aussi la force de la protection.
🛡️ Côté sécurité, c’est blindé, Keepass a reçu la Certification de Sécurité de Premier Niveau (CSPN) de l’Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI. Aucun souci donc pour recommander son utilisation dans votre entreprise.
Portez-vous bien ! Je vous retrouve mi-février pour d’autres sujets et d’autres nouvelles. Aurélie