Sureté d’aéroport pour parc d’attractions : le ratage de « La Ronde » à Montréal

TerrorismeLes nouvelles mesures de sureté à l’entrée du parc d’attractions La Ronde de Montréal sont une parfaite illustration du concept de poudre aux yeux sécuritaire. Totalement inefficiente, cette parodie de réponse antiterroriste conduit à se demander si l’on n’a pas rogné sur des budgets autrement plus importants pour la sécurité des clients (entretien des manèges, protection contre les incendies, formation au secourisme,…).

Cette fin de semaine, plein soleil et températures estivales obligent, c’est en famille que nous avons débarqué sur l’Ile-Ste-Hélène, pour profiter de l’ouverture de la saison 2016 à La Ronde, le grand parc d’attractions de Montréal.

LaRonde

Mais à notre arrivée, une file d’attente serpentine s’étendait sur environ 400 mètres. Pourquoi un achalandage aussi massif, tel que je n’en avais jamais constaté (en tant que père de famille, je suis un habitué des lieux) ? La réponse m’est rapidement apparue dans toute son évidence et son horreur : sous le grand porche d’accès au parc, j’ai repéré la silhouette bien connue des portiques détecteurs de métaux !

Continuer la lecture de « Sureté d’aéroport pour parc d’attractions : le ratage de « La Ronde » à Montréal »

Konformität über alles

infosecLa conformité aux normes, plus sécuritaire que la sécurité elle-même… Simple lapsus ou regrettable inflexion des concepts en sécurité de l’information ?

Le site HealthCare IT Security a publié la semaine dernière un article consacré à la sécurité moderne des entrepôts de données dans le secteur de la santé. Son auteur, Bill Kleyman, spécialiste des datacenters, y évoque les trois niveaux de sécurité essentiels en la matière :

  1. la sécurité physique, c’est à dire la protection des locaux qui abritent les serveurs et autres supports physiques d’information contre des attaques matérielles ;
  2. la sécurité logique, autrement dit la protection des informations et des systèmes d’information contre des attaques immatérielles ;
    Et il ajoute :
  3. la conformité aux standards, qu’il justifie de la façon suivante (je souligne) :

guillemetHaving the most secure platform out there still may not make you compliant. This is why it’s critical to work with a data center partner that can offer the full trifecta of physical, logical, and compliance-drive security.

Et de citer divers standards internationaux en sécurité de l’information : PCI, HIPAA/HITECH, SOC 1, SOC 2, Safe Harbor.

Et là, je tique.

Continuer la lecture de « Konformität über alles »

Une évaluation des risques… sans risque

TerrorismeLe risque est l’éventualité qu’un évènement nuisible se produise dans le futur. Une évaluation du risque terroriste qui s’ajuste principalement en fonction d’évènements passés ne présente aucune pertinence.

Vendredi dernier, le cabinet international Aon, spécialisé dans les assurances et la gestion de risque, a publié son rapport annuel Terrorism and Political Violence Risk Map 2016.

Comme le mentionne le quotidien Les Échos, on est confronté, selon Aon, à une augmentation du risque terroriste global – la première depuis 2013.

Ce constat ne surprendra personne. Mais le problème est ailleurs.

Continuer la lecture de « Une évaluation des risques… sans risque »

Hôpital, rançongiciel et cyberperturbation

infosecUn rançongiciel a pour but de prendre en otage les informations essentielles de l’organisation ciblée, lui faisant ainsi craindre pour sa survie.

Mais si ses informations critiques ne sont pas menacées, accepter de payer la rançon simplement pour reprendre au plus vite ses activités normales, c’est encourager le changement de nature de ce type de cyberattaque. Le ransomware devient une arme de cyberperturbation…

Le 5 février dernier, le Hollywood Presbyterian Medical Center (Californie) essuyait une cyberattaque via un rançongiciel (ransomware). Ce programme malveillant a apparemment pénétré le réseau informatique de l’hôpital par l’entremise d’un courriel de hameçonnage. Se répandant rapidement dans les systèmes, il s’est mis à chiffrer tous les fichiers informatiques qu’il rencontrait.

Il n’a pas fallu attendre longtemps pour que le fonctionnement de l’hôpital soit largement perturbé : dossiers-patient inaccessibles, systèmes de rendez-vous, de laboratoire et de pharmacie inopérants, communications par courriel impossibles,… Avec en bout de ligne un allongement des files d’attente et une réorientation de plusieurs patients des urgences vers d’autres hôpitaux.

Continuer la lecture de « Hôpital, rançongiciel et cyberperturbation »

Un « bris de sureté » n’est pas nécessairement… un bris de sureté.

Aviation civileCette fin de semaine, l’Australie a été une fois encore le théâtre d’un incident révélateur d’une bien piètre gestion du risque de sûreté aéroportuaire.

Cette fois, l’incident s’est déroulé à l’aéroport de Sydney, dans le terminal 3 – réservé aux vols intérieurs de la compagnie Qantas. Un passager descendant d’un vol domestique, tout occupé à consulter son iPad, est sorti de la zone réglementée. Se rendant compte rapidement de son erreur, il a fait demi-tour sur-le-champ et est retourné dans ladite zone réglementée pour aller prendre sa correspondance.

C’est ce que les règlements et les standards internationaux de l’aviation civile aérienne appellent – mal à propos – un « security breach » (bris de sureté).

Continuer la lecture de « Un « bris de sureté » n’est pas nécessairement… un bris de sureté. »

‘iPad Bombs’: Batteries not included (3/4)

3ème partie – Combien faut-il d’iPhones pour faire exploser un avion de ligne ?

Introduction et sommaire de cette série d’articles

Aviation civileAdmettons qu’un terroriste puisse embarquer une coque de tablette ou de téléphone intelligent remplie d’explosif sans qu’elle soit détectée par le scanneur à bagage de cabine.

Mais cette coque peut-elle contenir une charge suffisante pour endommager l’aéronef au point d’entrainer sa destruction ?

Continuer la lecture de « ‘iPad Bombs’: Batteries not included (3/4) »

« Des p’tits trous, des p’tits trous, encore des p’tits trous…»

ou
La TSA et le complexe du poinçonneur des Lilas.

Aviation civileIl y a quelques jours, on apprenait que la Transportation Security Administration (TSA) allait supprimer tous les agents de profilage comportemental (Behavior Detection Officers – BDO) à temps plein dans 35 aéroports américains, soit 246 postes.

L’administration a justifié ces coupes par des restrictions budgétaires, mais aussi par des considérations de gestion du risque. Comprenne qui pourra…

 L’AFGE – le syndicat représentant les agents de contrôle de la TSA – a aussitôt dénoncé cette décision :

guillemet_AFGE once again argued its position that, particularly in light of the LAX shooting incident, the union believes there is a need for more BDOs, not less.

On ne saurait mieux dire.

Continuer la lecture de « « Des p’tits trous, des p’tits trous, encore des p’tits trous…» »

« Mon travail est tellement secret que je ne sais pas ce que je fais.»

Coup de gueule contre une certaine communauté fédérale canadienne du renseignement

Dans les articles de Kristan Wheaton que je traduis et publie sur ce blogue, l’un des thèmes récurrents est que bien des membres de la communauté du renseignement ne savent pas ce qu’est le renseignement. C’est une affirmation à laquelle je souscris entièrement, pour l’avoir moi-même constaté bien souvent au cours de ma carrière, notamment en France.

J’avais également pu faire des constats similaires au Canada, au plan local. Mais la réalité fédérale m’est récemment apparue dans toute son horreur. Ainsi, la semaine dernière, dans la capitale, j’ai assisté à une journée de conférences organisée par une administration canadienne dont – par bonté d’âme – je tairai le nom.

Continuer la lecture de « « Mon travail est tellement secret que je ne sais pas ce que je fais.» »