Passer du temps sur Klout augmente votre score Klout!

Constat : plus je passe de temps sur Klout, plus mon score augmente.

Pas de recette miracle : ce n'est pas parce que je passe du temps sur Klout que mon score augmente, cependant le constat est vrai. Plus je passe de temps sur Klout plus mon score augmente, ce pour deux raisons qui valent aussi bien pour tous les réseaux sociaux (informatiques ou non, d'ailleurs) :

1. Si je m'y intéresse, si j'y investis mon temps, l'investissement finit par payer. A force de fréquenter le réseau, je vais finir par comprendre ce qui y fonctionne bien. Dit autrement, le réseau est un investissement, on ne peut pas espérer un bénéfice sans fournir un apport. (Correlation does not imply causation, yet it does mean correlation.)
2. Pour Klout comme pour les autres réseaux sociaux, il faut mettre en place une discipline. Un petit investissement de temps chaque semaine rapporte plus qu'un grand évènement ponctuel. De la même façon, le score Klout augmente plus en investissant progressivement plutôt que par actions d'éclat.

Indicateurs du début de la fin en DSI 2

Suite au succès du premier article, j'en poste un second sur le même thème : ces signaux faibles qu'un DSI devrait apprendre à reconnaître pour éviter le naufrage ou, souvent, l'accumulation d'inertie qui mène au naufrage.
Aujourd'hui, deux petits nouveaux.

Iceberg n°1 : Le ratage d'un tournant métier. Votre entreprise développe une nouvelle activité, c'est une petite branche de l'activité et représentait à peine un pourcent du chiffre d'affaires hier. Vous n'y avez accordé que peu d'attention. Seulement, aujourd'hui, le marché a changé et cette activité représente 35% du chiffre, plus à venir.
Comme vous n'aviez pas donné suffisamment d'attention à cette activité, les relations avec son directeur sont au plus bas et il demande des changements radicaux. Changement de têtes ou... fournisseur externe.

Icerberg n°2 : La gestion des assets (des actifs). Mettre en place une gestion des actifs sur une flotte donnée (PC, smartphones, imprimantes, voitures, bornes WiFi) permet d'en diminuer le coût de 30% très rapidement, et plus avec le temps. Malheureusement, si la gestion des assets s'encroûte, si elle ne suit plus les évolutions récentes et finit par n'avoir que quelques dizaines de pourcents de données à jour, on va droit à l'échec, là encore.
Les projets de gestion des assets ne sont pas des silos applicatifs mais des projets structurants transversaux et doivent faire l'objet d'une attention extrême à leur démarrage. Il s'agit d'un véritable investissement. Investissez sur une gestion opensource, évolutive, avec le personnel correspondant ou bien sur une solution propriétaire mais de fonctionnalités très largement supérieures à vos besoins. Par contre, ne vous lancez pas dans l'utilisation de solutions intermédiaires propriétaires qui vous empêcheront *absolument* de faire évoluer votre gestion des assets.

Security ROFL 10

10th article of this successful series.

From Kevin Mitnick's Twitter status, this one really made me roll on the floor :

Old Dilbert still applicable in many SMBs security ;-)

A tweet from ISSA_France:
— Gargamel, how did you find our village?
— Google Maps.

Comparing Salaries: USA vs. France

When you're looking for a job worlwide, it's not easy to compare salaries, taxes and social benefits from one place to the other. However, it's a good time investment to do so, there can be quite surprising results. Herebelow, a comparison of income for the same job advertised for $100,000 in France and in the USA. Although the net salary is lower in France, the whole of salary + benefits is far higher in France than in the US with the same advertised job.
(calculations are for a single, no children, with a sample state tax of 10%, and may not be perfectly accurate, they're made to give a comprehensive view)

USA	Amount	France	France in €
6,200 $	employer contribution to social benefits	63,139 $	47,338 €
100,000 $	advertised job salary	100,000 $	74,973 €
17,250 $	federal income tax as a single	13,365 $	10,020 €
10,000 $	typical state tax as a single	0 $	0 €
7,650 $	social benefits	23,001 $	17,244 €
13,850 $	TOTAL social benefits	86,140 $	64,582 €
75,100 $	TOTAL net take home salary	63,634 $	47,709 €
88,950 $	TOTAL salary + benefits	149,774 $	112,291 €

Short CV, Long CV or LinkedIn?

I've been following Jeff Snyder's Security Recruiter Blog for years now. Jeff is a professional recruiter in the security world, both general corporate security and IT security. He also has a professional security résumé writing service and a job coaching service for security professionals.
We've been talking multiple times about the proper length of a résumé and he recently published an article about it. At the same time, the HBR Network blog also suggested that the CV might be obsolete in a LinkedIn world.

Well, I do think you need both a CV and a LinkedIn profile. I even think you should have two CVs and a LinkedIn profile. I found that arsenal quite useful during my last series of job interviews.

 
The LinkedIn profile is here to attract unsolicited recruiters. It should be full of keywords and a short description of each job you had. It is public and should not contain anything not to be displayed on the public place. If you display too much about your previous employers, your potential future employers might dislike it.
As it will also be consulted by solicited recruiters, it should, if possible, include credibility items, such as recommendations or links to publications that will support your application.

The Short CV is  here to survive traversal of HR services or external non-specialized recruiters. That's the one that should be fashionable enough, give details about your education, training, availability, etc. The professional experience part can be short enough, it should only detail your last job, in terms of responsibilities. This CV must be short, like one or two pages.
As I recently told Jeff, I can confirm this shortness is indispensable if you're applying in Latin European countries (France, Italy, Spain, Portugal, Romania and, to some extent, Belgium and Switzerland). For cultural reasons, the résumé can be a little longer in Germanic countries such as Germany, Denmark, the Netherlands or Luxemburg. Yet not too long.

The Long CV is here to help convince your potential future boss. Bring it during the (first) job interview. An interview is often a short period of time of which little remains but a global feeling. During the interview, you can give that Long CV as a new token, full of details, that will help your potential future boss remember you.
This CV should detail your past accomplishments in every relevant past job, with figures if possible. It can go in the less public areas of what you did to address real-life problems at your previous employers. It's the place to convince your potential future boss you'd be a profitable asset. As your potential future boss will invest time in its reading, he/she will be more keen on putting your CV on top of the pile because of the investment already made on it.

I'm not looking for a job anymore right now but I'd advise any job searcher to try that strategy.

Indicateurs du début de la fin en DSI

Il y a de ces signes qui ne trompent pas, le navire DSI va droit à l'iceberg. Avec le temps, on apprend à en connaître certains. On devrait pourtant les partager davantage. Ci-dessous un petit florilège.

Il y a cet outil réseau, made in DSI, que j'appelle les SOCKS-étoile-étoile. Les SOCKS ou, dans leur implémentation Microsoft, les Winsocks, ont été développés pour permettre d'offrir un traitement de type "proxy" aux protocoles qui n'ont pas été développés pour être proxyfiés. Très belle attention.
Dans la pratique, une DSI a souvent un proxy pour le web et un firewall pour le reste. Le firewall étant lourd à configurer, on n'y rajoute pas souvent des règles et la DSI "installe les SOCKS" à un utilisateur qui a des besoins réseaux inhabituels. N'ayant pas le temps de les configurer, la DSI établit une configuration de base qui autorise tous les protocoles réseau, vers toutes les destinations (ce que j'appelle étoile-étoile ou *:*), avec la promesse que ce ne sera que temporaire. Sauf que le temporaire devient permanent et que les utilisateurs SOCKS-ifiés se multiplient. A ce rythme, en un rien de temps, le proxy et le firewall sont devenus inutiles et les terminaux des vrais nids à virus.

Il y a ceux dont le nom seul évoque l'échec d'une DSI, comme Microsoft Access. Partant d'une très bonne intention, complémenter le service informatique pour les petits problèmes locaux, les utilisateurs développent des "bases" en Access.
Elles sont développées sans les compétences en développement => Elles deviennent in-maintenables, du vrai Write-Only. Elles sont développées loin des cadres de l'informatique de l'entreprise => Elles ne s'intègrent pas aux processus de la DSI, telles la sauvegarde ou la documentation. Dans le meilleur des cas, elles occasionnent des coûts imprévus gigantesques lorsqu'il faut les intégrer dans un cadre plus sérieux, c'est-à-dire les re-développer depuis zéro. Dans le pire des cas, les services en deviennent dépendants et, quand elles craquent car mal développées et non sauvegardées, elles occasionnent des arrêts de travail de ces services.
Certaines grandes entreprises ont même pris l'initiative d'interdire Access dans toute l'entreprise.

Menace plus insidieuse qu'Access, il y a les outils équivalents à Access. Un exemple : FileMaker Pro. On ne s'en méfie pas car il est cher. On se dit donc que ceux qui l'achètent en feront un usage raisonnable. Point du tout : soit il est utilisé à la DSI et il devient un outil comme un autre, soit il est utilisé par des utilisateurs finaux bien-intentionnés et c'est la rebelote d'Access. Pire encore, devrais-je dire, car les vraies compétences sur pareils logiciels sont plus rares et plus chères que celles sur Access.

Un autre outil vicieux est le tableau croisé dynamique d'Excel. Quelle belle fonctionnalité ! Cet outil permet de faire des calculs, des comptes, des sommes sur des tableaux de données. On lui donne les données, on lui dit quels champs compter, sommer, et il se débrouille... en théorie. C'est un outil magnifique pour la recherche, pour l'analyse ponctuelle de données, mais en aucun cas pour la fabrication de chiffres en production. Il est trop complexe, trop lié à sa représentation à l'écran dans Excel, difficile à manipuler. Résultat, trop souvent on obtient un résultat sans être absolument certain que ce soit le bon. « J'obtiens tel nombre d'occurrences du problème X, mais est-ce en comptant les doublons sur les deux tableaux ou sans les compter ? » Un bon outil théorique mais pas pour la prod.

Sur le plan managérial, il y a un indicateur net d'iceberg droit devant : l'externalisation d'un silo applicatif (cloud ou non). Si c'est un petit silo, ce n'est pas très grave, mais s'il est grand et qu'il est vraiment silo, c'est-à-dire que tant l'application que son infrastructure, sa maintenance et ses évolutions sont externalisés, alors il y a vraiment du souci à se faire : la DSI a un concurrent au sein de l'entreprise.

Un autre indice qui devrait mettre la puce à l'oreille quant à un possible iceberg est l'accumulation de tickets non traités concernant une application donnée. Ces tickets peuvent être minimes, bénins voire obsolètes mais ils renvoient une image négative et leurs auteurs s'impatientent, voire se désespèrent. C'est ce genre d'accumulation qui mène une direction à jeter le bébé avec l'eau du bain concernant un système qui marchait, dans l'ensemble, plutôt bien.

Et puis il y a le manque de plan de continuité. Le principal indice, c'est quand tout le monde parle du PCA mais que personne ne sait par où commencer, que chacun prend ses petites initiatives de son côté mais que personne ne sait qui en est responsable.

C'est un tout petit extrait et j'en rajouterai sans doute.

We're Out of DocCheck!

Did you know we're out of DocCheck doclet? There's no more way to get it. I'm appalled.

When you write Java code, you write inline documentation of your code, that's called Javadoc. It's been found so useful over years that people even went looking after missing Javadoc throughout their code. (If appropriate time was given to write it, it must have been documented correctly, and it will be maintainable in the future. That's the whole point.)
So, when you're documenting 1,000 classes that each have 10 methods and 10 variables to be documented, you might forget some. You might also forget to document parts of the methods, like the parameters.
...People went looking for missing Javadoc throughout their code and that's a daunting task. That's where the DocCheck doclet helps a lot. It's a doclet (you can think of it as a plugin for Javadoc) that produces documentation about the documentation. Especially, it provides the user with an analysis of missing Javadoc, poorly syntaxed Javadoc, and may even output all that as statistics. When you're doing development, that's a major quality tool.

And, yet as I said, we're out of DocCheck. DocCheck hasn't evolved since the mid-2000's. It's been put aside as more emphasis was put on freeing Java, producing Java 6 and, soon, Java 7. Now, it's obsolete.
If you still do want to download an old version, in order to try and adapt it to today's needs, you won't even find the right place to download it nor instructions to install it. Oracle bought Sun since then, and they broke a lot of download links. They've been told about that and they didn't react, so it seems DocCheck isn't in their priorities.
Besides, DocCheck's been put aside of the current Java 7 specifications. We might only see a new version for Java 8, possibly in five years...

There are others tools to do the same. The great advantage of DocCheck was that it integrated seamlessly into the ubiquitous Javadoc tool.

What I'd Like From My Next Samsung Phone

I purchased a Samsung Galaxy Note II some months ago and, so far, I must say it's been a pretty good surprise. It's been handy, comfortable both for text and video, and the S Pen is just great. I keep using it every time I've got a long text to write.
And about the size of the smartphone, while I've often heard it was too big and didn't "look like a phone", I've found it quite addictive. When I look down at an iPhone, I now find it so small and feel sorry for its owner.

However, some improvements could be made. I'll list 5 of them, 1 of which is Android-related, not Samsung-related.

1. When you use the S Pen, you have to put it down to use the three buttons below the screen (namely, the "contextual menu", the "main menu" and the "cancel" buttons). They're not part of the screen, which is fine when you're using your fingers but is not when you're using the S Pen. Of course, you can still use your pinkie, but it's neither very handy nor fashionable ;-)
   
   
2. The left and right buttons below the screen (namely, the "contextual menu" and the "cancel" buttons) are no more visible since one short second after the last time they were used. Said otherwise, they're not lighted most of the time. That's perfectly sensible for the smartphone's owner, or someone used to this model. However, when you're handing the phone over to someone else so that he/she may read a piece of news or watch a video, he/she just doesn't see these buttons and ends up pushing the "cancel" button. You've got to warn "don't put your fingers at the bottom of the screen!" beforehand, every single time. Pretty frustrating.
   
   
3. The touchscreen works great. I guess Samsung's got good technology about it. However, when I keep my fingers close to the screen but not touching the screen, the phone sometimes reacts as if I actually clicked. On the same note, the touchscreen sometimes gets confused if there are only a few droplets of rain on the screen. I can't blame Samsung for that, I guess they didn't intend their phones to be used under the rain.
   
   
4. The side buttons, namely the "volume" and the "on/off" buttons are too much on the vertical middle of the phone. When you're holding the phone, you sometimes push the "on/off" button inadvertently. That's even more common if you're handing the phone to someone else, just as for problem number 2.
   
   
5. Android-related : In this world of too many applications, I'd like that the removal of an icon from the main screens also proposed the removal of the application itself.

Managers Running Out of Time to Improve Their Time Management

Yesterday, John F. Dini RT'ed his own, one-year-old, post about managers setting themselves new year resolutions to save more time for long-term action. Go read it, as it is a real-life account of a manager's successful attempt to reduce his own involvment in a company while at the same time improving results.

I take the opportunity to highlight this obvious truth, which one easily forgets when monopolyzed by work at a company:
" Top managers aren't supposed to run the business. They're supposed to enhance the business. They're supposed to run the future of the business. "

and the corollary:
" If you're a top manager and running out of time because of your daily involvment in the running of the day-to-day business, then you should change the way things work at your company. "

Guest Post: Wordiz, trouvez le rédacteur parfait pour votre business !

Ce billet est écrit par Jice.

Pour faire face à l'émergence et à la multiplication des plates-formes de contenu à bas prix où la qualité moyenne des textes n'aide pas forcément à assurer référencement et notoriété, un nouveau service français voit le jour, Wordiz: http://www.wordiz.it.

Entreprises ou particuliers en quête de rédacteurs experts dont la réputation est établie sur Google et les réseaux sociaux, Wordiz propose une mise en relation directe avec des auteurs sélectionnés en fonction du projet à mener à bien : rédaction d'articles, guestblogging. Le service s'inspire du classement d'auteurs mis en place par Google et connu sous le terme de "author rank".

Du rédacteur au prescripteur : des professionnels

Le service joue la carte de la transparence, pas d'amateurisme.
Les rédacteurs inscrits sur Wordiz affichent le nombre de leurs publications, leurs thématiques de prédilection, le nombre de followers dont ils vont pouvoir faire profiter leurs partenaires. A partir de ces informations, un score est calculé pour chaque auteur dans ses domaines d'expertise. Les auteurs sont hautement spécialisés ou plus polyvalents. Très connus ou plus débutants. Leurs services se monnaient donc selon tous ces paramètres.
Pour les prescripteurs, le processus est aisé. Ils entrent les mots clés ou l'adresse de leur site et Wordiz affiche une liste d'auteurs potentiels, spécialistes du sujet à traiter, ainsi que toutes les informations les caractérisant. Des liens sont inclus vers les articles déjà produits, ainsi directement consultables.
Un choix va s'effectuer en quelques clics seulement grâce à une interface pratique d'utilisation. Le commanditaire sera en relation avec son nouveau partenaire pour négocier les détails pratiques de l'opération.

Wordiz : gain de temps, efficacité, flexibilité

Le gain de temps d'abord est considérable : chercher soi-même un écrivain est chronophage, rédiger soi-même aussi, enfin seul un expert est capable de créer un contenu pertinent en peu de temps. Il connaît son sujet.
Le deuxième atout est l'assurance d'une qualité irréprochable dans le travail attendu, parfaitement en adéquation avec la demande. Un rédacteur spécialisé en neurosciences saura être informatif dans son article de blog pour un lectorat de spécialistes.
Un autre point positif tient à l'extrême diversité des domaines de compétences des auteurs de Wordiz : toutes les thématiques sont couvertes, de l'article de blog généraliste à rédiger sur un site de cuisine, à du content marketing, des newsletters annonçant la création d'un site de photo...
Chaque projet propose le rédacteur adéquat, professionnel, capable de répondre à toutes les contraintes fixées.
Le contenu est roi et joue un rôle essentiel dans le positionnement et la stratégie de marketing, c'est le leitmotiv du webmarketing et du référencement (SEO en anglais) actuellement. Mais on n'oublie pas non plus que SEO rime aussi avec SMO (Social Media Optimization – management de la présence  sur les réseaux sociaux), d'où l'importance de la notoriété des auteurs. Sur WordiZ les auteurs sont  rois.

Contact

Jean-Christophe Lavocat
jice@wordiz.it
0033 484 258 117
http://www.wordiz.it

What's Next? I've done a lot already...

I'm now looking for a new job, you can find my CV on most dedicated sites.
So what's next? Looking back, I've done a lot of things so far. In an approximative chronological order:

• Cattle dealer (sheep)
• Math teacher
• Sheep grower
• Assembly and reverse-engineering teacher
• Cybercafé technician
• Chemist
• Secondhand bookseller
• Snack manager
• Blue-collar factory worker
• IT association leader
• Web developer and administrator
• Military HCI developer
• English teacher
• CISO for two companies
• Company cofounder

More transversal:

• Driven 1500km a week for two years: check
• Being a good boyfriend: check
• Worked in a 3-language environment: check
• Bringing directors together to discuss IT security: check
• Worked abroad: check
• Held relations with public and private interest groups: check
• Managing wide and complex projects: check
• Self-learning technologies from scratch: check
• Motivating a team: check
• Decision making and responsibility bearing: check...

Getting rid of Comic Sans in Firefox

Test page: the Microsoft Comic Sans Café.
Original look:

How to get rid of Comic Sans for Mozilla Firefox

1. Look for the following folder: %userprofile%\Application Data\Mozilla\Firefox\Profiles\chrome under Windows or the equivalent under your OS.
2. Create a file named userContent.css in it. If it already exists, you can simply append the following at the end of it.
3. Copy-paste the following line into it: @font-face { font-family: 'Comic Sans MS'; src: local('Lucida Sans Unicode'); }
4. Lucida Sans Unicode is a good choice because it has approximately the same height and weight as Comic Sans MS, but you can replace it with any other font, such as Arial, Deja Vu Sans or Century Gothic.
5. Save the file and restart Firefox.

Resulting look:

I'm a Google Orphan – Epiphany

Sigh... I'm a Google orphan, that's the sad epiphany I had the other day.

• Google Reader is closing and no online application seemingly reaches the level. If you cross one, please let me know.
• With the fall of Google Reader, I'm really worried for the future of RSS feeds, which were a founding pillar of free communication on the internet.
• The need to share and sync files from anywhere made me try Google Drive. I clearly find that Drive is made to satisfy an all-Google user's need but not that of someone else. If all you want to use is Google applications and phones, then it's fine. But I'm not buying into that. Dropbox is far superior and even easier to use.
• Google Search isn't anymore a powerful tool. It finds the same results as other engines and I sometimes miss the old days of Altavista, where you could simply type the precise words you wanted and there was no kind of "intelligent" understanding of requests. Between the multiplying intrusions of states, copyright holders and commercial customers of Google services, the Google Search engine is really going into garbage and the user is the looser. And the "intelligent" handling of requests is frustrating me: I know what I want better than machines, stop correcting my orthograph, using synonyms, etc.!
• I'm satisfied with my Android phone as a tool for mobility. E-mail, SMS, web have never been so easy. But I'm appalled when I see the new ads they broadcast on every major TV channel: they show it as something funky, graphical, fashionable... it's not! and I don't want it to be.

So I'm a Google orphan.
Google – as I saw it – is dead. Or, at least, an era is over... and Google now resembles Microsoft 10 years ago.

On ne peut pas faire de Sécurité du SI sans compter

Un discours que j'ai tenu plusieurs fois, autant le mettre par écrit, sur la gestion des risques et le besoin pour un RSSI de s'appuyer sur des données chiffrées.

En matière de sécurité, on peut faire tout, rien, n'importe quoi ou quelque chose.


Si l'on fait rien, on est en position suboptimale. En effet, si rien était une situation satisfaisante, on n'aurait jamais entendu parler de Sécurité du SI et encore moins de RSSI.


Si l'on fait tout, on a besoin de plus de moyens que l'activité-même que l'on tente de sécuriser. Ce n'est pas toujours évident pour les gens qui ne travaillent pas dans la sécurité. De façon abstraite, on peut l'expliquer en disant que sécuriser une activité signifie maîtriser ce qui n'est pas dans le fonctionnement normal de l'activité, c-à-d avec des acteurs imprévus, des conditions extérieures imprévues, des pannes imprévues, etc. Le périmètre à sécuriser est bien plus grand que celui de l'activité elle-même.
Un exemple du SI : pour sécuriser tout en matière de site web, il faut maîtriser les attaquants extérieurs, ainsi que les fournisseurs de logiciels. Aucune entreprise, petite ou grande, aucun gouvernement, ne peut se targuer de sécuriser ainsi totalement un site web.
Un exemple hors-SI : pour sécuriser totalement une flotte de voitures, il faudrait maîtriser entièrement l'état des routes, les autres véhicules utilisant la chaussée, le niveau d'aptitude et de concentration des chauffeurs. Là encore, aucune entreprise ni aucun gouvernement ne peut s'en targuer.
Il n'est donc pas possible de faire tout, en sécurité. Ce que l'on résume souvent par la formule journalistique galvaudée « le risque zéro n'existe pas ».


Si l'on ne fait ni rien, ni tout, on peut éventuellement faire quelque chose mais, à défaut d'une bonne façon de donner des priorités et des coefficients aux actions de sécurité, ainsi que d'une bonne façon de corréler ces actions de sécurité en un ensemble cohérent, ce quelque chose devient vite n'importe quoi. C'est ce que tendent à faire les entreprises qui commencent dans le domaine de la sécurité du SI.
Exemple SI : Sécuriser les bases de données.
Traduction hors-SI : Sécuriser les moteurs des voitures. Ça n'empêchera que très peu d'accidents.
Exemple SI : Définir un périmètre réseau de l'entreprise et filtrer l'entrée.
Traduction hors-SI : Empêcher les véhicules en mauvais état ou hors-gabarit de prendre l'autoroute. Ça empêchera certains accidents mais ça ne rendra pas les accidents sur l'autoroute moins graves, ça laissera passer les conducteurs ivres et ça ne protègera rien hors de l'autoroute.
L'ensemble des actions de sécurité qui se fondent sur une analyse purement technique du SI et des menaces qui pèsent sur lui souffrent de ce même défaut : elles ne peuvent distinguer ce qui est important de ce qui est anodin, faute d'un critère de comparaison.


Pour faire quelque chose qui ne soit pas n'importe quoi, le choix d'une stratégie s'impose. Or, qui dit stratégie dit objectifs. Qui dit objectifs dit « savoir ce que l'on veut protéger ».
Exemple hors-SI : essayer de diminuer le nombre d'accidents, ou le nombre d'accidents mortels, ou les embouteillages, ou le nombre de délits de fuite...
Exemple SI : essayer de diminuer les vols de données, ou les interruptions du travail liées au SI, ou les pertes de données, ou d'augmenter la traçabilité pour se mettre en conformité avec la loi...


Comment choisir parmi ces objectifs ? Ou, si l'on veut n'en négliger aucun, comment ventiler les actions et les moyens disponibles ? Pour ce faire, il faut être capable de positionner des valeurs, comparables entre elles, sur chacun de ces objectifs. C'est ce que l'on nomme la gestion des risques et qui est développé dans de nombreux standards tel ISO27005, EBIOS étant sans doute le plus mature. Les données nécessaires au RSSI devenu gestionnaire de risques pour pouvoir réaliser une sécurisation rationnelle du SI sont les mêmes que celles nécessaires à d'autres managers de l'activité : budgets, KPI, stratégie de l'entreprise, liste des projets en cours... Ces données permettant au RSSI de s'inscrire dans une logique globale de l'entreprise ainsi que de justifier les actions entreprises en utilisant un vocabulaire commun au reste des décideurs internes.

On ne peut pas faire de Sécurité du SI sans compter. Le RSSI doit donc disposer des moyens nécessaires et les utiliser.

De la culture du commandement à la culture de la décision

Je discute avec des élèves-ingénieurs et je vois passer de ces commentaires qui me font sourire. Leurs premières réactions à la vie en entreprise... ;-)
« Moi qui croyais qu'une réunion, c'était pour prendre des décisions ! »

Alors je reviens sur ce sujet qui me tient à cœur et qui fonde mon style de management, l'empowerment des collaborateurs.

En France, comme dans la majeure partie du monde latin, notre culture du management est une culture du commandement. On ne cherche pas quelle est la meilleure solution mais qui est le chef pour en décider. Cela a encore été renforcé par la centralisation, l'administration bonapartiste, le jacobinisme, etc. Le chef demande des informations et on les lui apporte, puis donne ses ordres. Point. Les collaborateurs s'exécutent et gare à celui qui remet les ordres en cause !

C'est un modèle largement suboptimal. Le chef n'explique pas les raisons des ordres, coupant ses collaborateurs de leurs capacités d'initiative et d'alignement. L'ordre est sujet à interprétation et l'interprétation la plus simple et la plus évidente est toujours celle choisie car on ne peut contrevenir à un ordre direct ; les collaborateurs sont donc coupés de leur volonté d'initiative. Le tout est égal au minimum des parties.

Un meilleur modèle est le management par la décision. Si l'on ne donne plus des ordres mais des directives, s'il n'y a plus un chef qui décide mais un cheminement connu de l'ensemble des collaborateurs vers une décision, alors on arrive à rentabiliser les capacités des différents acteurs. Et le tout se rapproche de la somme des parties.

Ce n'est pas chose facile, il faut se couper de certaines habitudes de secret (dans l'absolu, une équipe travaille pour son chef, il est donc raisonnable de lui faire confiance sur une grande majorité de sujets). Et il faut beaucoup de cohérence et de probité. Car si l'équipe connaît les raisons d'une décision, elle peut les contester et il faut reconnaître que, certaines fois, elle aura raison de le faire ! Il faut permettre aux collaborateurs de comprendre les objectifs à atteindre et leur montrer en quoi les décisions prises concourent à la satisfaction de ces objectifs. À ce prix seulement, les collaborateurs prendront l'habitude de l'initiative adjuvante et apporteront régulièrement à leurs chefs les rapports de bonnes idées qu'ils ont eues et exploitées.

Revenons aux réunions : « Moi qui croyais qu'une réunion, c'était pour prendre des décisions ! » Une réunion peut très bien être un lieu de prise de décision, à condition que les objectifs et les critères de décision ne soient pas secrets mais partagés. Enlevons les œillères ! Si dans certaines réunions, les chefs ne prennent pas de décisions et les collaborateurs s'abstiennent de contribuer, c'est tout simplement parce que les critères de décision sont l'apanage du chef, qu'ils deviendraient apparents si une décision était prise en direct par celui-ci et que les collaborateurs craignent de trahir le peu qu'ils en savent (et donc de trahir leur chef) en dévoilant leurs idées contribuant aux objectifs. De plus, les collaborateurs craignent souvent de se voir opposer un refus non-justifié, qui les frustre et les convainc un peu plus que, vraiment, ils n'ont pas à participer à la prise de décisions.

Dans une réunion productive, comme j'en ai vu, le chef n'explique pas seulement les objectifs à court-terme avant de recueillir les contributions de ses collaborateurs, il explique ses objectifs à moyen- ou long-terme et listes ses contraintes, avec un ordre de priorité qui permet aux collaborateurs de comprendre les critères de décision finaux et d'adhérer à la décision.

A Suggestion for MediaWiki

A Suggestion for MediaWiki, useful for multi-language wikis, based on my experience from Wikipedia.

The idea is to add multi-language search (exact) matches on the left panel of pages showing search results. Though this may not be feasible with the current data architecture within MediaWiki, there's no reason why it should be impossible to implement.

That would ease the look for information for people who can speak several languages. That would also stimulate the creation of articles by translation of articles from other languages. As a reminder, a big part of mankind speaks two or more languages, I'd say more than half of it.

Let's see an illustration. Figure 1: what you get when you search for "xades" on the English Wikipedia.

Figure 2: what you get when you search for "xades" on the French Wikipedia, no direct results.

Figure 3: What I suggest adding onto the search page (the French one, in this case).

On Client-Side Model Data Validation

Reversing an online Flash application is sometimes not needed if you can access the data inside the model directly.

When you're developing an online application that's running client-side with data server-side, you're faced with the localization of data. For clarity, let's assume you're developing it in a MVC design pattern. Basically, you'd want to put most of data on the server and only give the client a controller on it. The problem starts when you need high transfer rates and reactivity: you just can't go to the server and back for every tiny piece of data. That's when you need to have the model split between the server and the client. Either split or duplicated.

What I'm going to say may come as an obviousness for people used to security, but it may as well come as a shock for casual application developers: if some part of your data model is located on the client, you need not only do user input validation on the inputs from the controller but also on the inputs from the client-side model.

You can't trust the client's terminal to keep data stored in the model safe. So you need to protect it either through integrity or through server-side re-validation.

I just hacked into putting whatever score I wish for myself onto an online gaming platform, which inspired me to write this article. The same could be applicable for more critical applications.

Security ROFL 9

French communication through SSID labels (from Guillaume Germain's Twitter):
— The girl next door is so sexy!
— The girl next door is not interested.

Traffic sign jacking (from the blog Si vis pacem para bellum):

The complexity of using PGP. The bad guys don't use that tool anymore ^^ The good neither. (From XKCD)

A sorry but so plausible story of an engineer outsourcing his own job to China by himself. And comments about logging systems. (From Aaron Weiss @ eSecurity Planet)

A U.S. software programmer made headlines when he outsourced his own job to China. He probably never would have gotten away with it if his employer had been paying attention to its log files.

The pretty naughty story of what happens when you post a job offer through unprofessional people...

 

French swindler promising to fix any PC, including defective hard drives, through voodoo :-D

À propos du ROI du BYOD

À propos du ROI du BYOD, j'ai lu cela dans Les Échos :

La généralisation du Byod (« Bring your own device », littéralement, « Apportez votre propre matériel ») impose d'établir une ligne de conduite. Enjeu de réduction des frais pour l'entreprise - supprimer un poste informatique génère un gain de 1.500 euros par an et par salarié - l'introduction dans l'entreprise de l'équipement personnel du salarié pose la question de la confidentialité des données véhiculées et de la protection des serveurs contre les cyberdélinquants.

Et là je dis attention ! Si l'on considère généralement que le coût d'un poste informatique est de l'ordre de 1 500 €, voire plus, c'est que l'on inclut dans ce coût total bien autre chose que le matériel. Le coût d'un poste informatique est composé de l'achat du matériel, qui peut être aussi bas que 300 € dans certains cas, de l'infrastructure centrale (serveurs, stockages, licences...), de l'infrastructure de distribution (réseaux internes, WiFi, accès Internet), des salaires du personnel et d'autres éléments, tels que les prestations de sociétés de services, qui peuvent représenter davantage de quantité de travail au sein d'une DSI que celle des employés à proprement parler.

Or, c'est en supposant qu'un poste traditionnel a le même coût d'entretien qu'un poste BYOD qu'on introduit une bonne dose d'erreur dans les prévisions de réduction de frais.

En effet, qui dit BYOD dit aussi :

• Nouveaux accès réseaux : extension du WiFi, mise en place systématique de VPNs...
• Mise en place d'infrastructures centrales : logiciels de gestion spécifiques aux smartphones, app stores internes, web-isation d'anciennes applications métier...
• Augmentation de l'hétérogénéité des terminaux du SI, entraînant une surcharge de travail dans l'administration, la maintenance, le help desk... Là où on avait une hyper-majorité de Windows, on obtient très vite : Windows (XP, Seven, Phone), Android, iOS (iPhones et iPads). Plus le Mac OSX d'un directeur qui y tient et les restants de BlackBerry d'il y a quelques années !
• Nouvelles compétences d'administration à acquérir. Si on a une charge de travail, il faut avoir les compétences nécessaires pour s'en acquitter. Et là où il est très facile de recruter des gens connaissant Windows et Linux, on trouve peu de monde pour les autres OS.
• Nouvelles compétences de développement à acquérir. Ce point est souvent complètement oublié par les décideurs. Tant pour l'administration que pour l'exploitation, de nombreux petits logiciels sont souvent développés par une DSI. Il va falloir acquérir les compétences sur le tas ou recourir à des formations rares ou à des prestations coûteuses.

En conclusion, je dirais que, comme le BYOD est de toutes façons inévitable,  les décideurs devraient tout particulièrement bien peser le poids financier d'une bonne uniformisation des flottes de mobiles. Le coût d'achat étant mineur dans le coût total de possession d'un terminal, l'incitation, même financière, des employés à se munir d'un modèle ou d'une marque données me semble très rentable.

EU Citizens Warned Not To Use US Cloud Services Over Spying Fears

This Slashdot piece of news was referred to me. The funniest part is the comments. Go check.

Strangely, people tend to read this piece of news as just "Oh, the US is doing some privacy-breaking spying." whereas I read it as "Oh, Europe is going to rebel. Will be funny."

Modifier simplement des instances multiples d'un même texte avec LibreOffice

Supposons que l'on veuille écrire un ensemble de textes de conférences. On commence par poser le template. On a écrit deux fois « Penser à reprendre le PC portable aussitôt ».

Si maintenant on veut modifier ce texte, on est obligés de le modifier deux fois... Mais on peut faire mieux. Cliquer sur Insertion → Champs → Autres.

Choisir Champ d'utilisateur et Texte. Saisir un nom pour le texte, le texte lui-même, puis cliquer sur la coche « Appliquer ».

 

Le nouveau « champ utilisateur » apparaît dans la colonne du milieu. Le sélectionner, puis cliquer sur Insérer.

L'insérer de cette façon à tous les endroits du document où il y en a besoin et supprimer l'ancien texte.

On peut maintenant modifier en un seul endroit toutes les instances de ce bout de texte. Exemple : on ajoute « et tous les câbles » au texte.

Et on voit bien que la modification est immédiatement reportée dans toutes les instances de ce texte.

Publication du Guide d'Hygiène Informatique par l'ANSSI

Suite à mon envoi de commentaires en décembre, j'ai reçu ce petit courriel de l'ANSSI :

de Communication (SSI)
à Moi

Bonjour,
L’ANSSI vient de publier le guide d’hygiène informatique.
Vous pourrez le trouver sur le site Internet de l’ANSSI : www.ssi.gouv.fr/hygiene-informatique  
N’hésitez pas à nous contacter si vous désirez recevoir le guide au format papier.
Nous vous remercions encore pour votre contribution à l'amélioration de ce guide.

Cordialement,

Le bureau communication de l’ANSSI

Alors comme ça, le guide est paru ? Histoire de mener chaque chose à son terme, je me décide à vérifier quelles remarques parmi les miennes ont été prises en compte. Il y a 28 points concrets dans mes commentaires. Résultat du parcours du nouveau guide :

64% des remarques que j'ai formulées ont été prises en compte sous une forme ou sous une autre. Il faut nuancer les 36% restants. En effet, certaines remarques s'entendent dans un contexte qui serait long à expliquer dans un tel guide. L'ANSSI doit faire des choix, aussi tout ne peut pas être retenu.

J'apprécie extrêmement le professionnalisme de certaines agences gouvernementales, notamment la CNIL et désormais l'ANSSI :

1. Publier un draft.
2. Appeler à commentaire.
3. Publier une version corrigée.
4. Remercier les personnes qui ont commenté et les inviter à télécharger le document.

Ça, c'est une façon de travailler.