Discussion :

[Hinault Romaric]

Cisco prédit une pénurie de spécialistes de la sécurité informatique en 2014
Java demeure le langage le plus fréquemment visé par les criminels

Cisco vient de publier son rapport annuel sur la sécurité pour 2014, qui révèle que le nombre total de vulnérabilités et de menaces a atteint un niveau record depuis le début de leur recensement en mai 2000. En octobre 2013, le nombre total d'alertes cumulées a augmenté de 14 % en glissement annuel par rapport à 2012.

Le rapport de Cisco note de multiples méthodes assez sophistiquées (ingénierie sociale, infiltrations, etc.) utilisées par les cybercriminels. Les entreprises, qui ne sont pas assez parées pour assurer leur sécurité, feront en plus face à un manque de professionnels en sécurité. Cisco souligne que l’année 2014 sera marquée par une pénurie de plus d'un million de professionnels spécialisés dans le domaine de la sécurité.

« Du fait de leur sophistication, les technologies et tactiques employées par les criminels en ligne – et leurs tentatives incessantes d’infiltration dans les réseaux et de vol de données – ont désormais pris de vitesse les professionnels de l'informatique et de la sécurité. La plupart des entreprises ne bénéficient pas de personnel ou de systèmes dédiés en permanence à la surveillance des réseaux étendus et à la détection des menaces. », note le rapport de Cisco.

La plateforme Java est celle la plus fréquemment visée par les cybercriminels. D'après les données fournies par Sourcefire (société détenue par Cisco), les exploits Java constituent la vaste majorité (91 %) des corruptions recensées par les indicateurs IOC (Indicators Of Compromise).

Le paysage d’Internet a enregistré une recrudescence des attaques par déni de service (DDOS), qui ont perturbé le trafic et ont même paralysé certains FAI. Les attaques DDOS ont progressé à la fois en termes de volume et de gravité. « Certaines attaques DDoS ont pour objectif de dissimuler d'autres activités néfastes, telles que des fraudes électroniques perpétrées avant, pendant ou après une campagne DDoS, volontairement déstabilisantes et retentissantes. », note le rapport.


En ce qui concerne les logiciels malveillants, les chevaux de Troie multi-cibles ont été les plus fréquemment repérés. Les attaques des chevaux de Troie multi-cibles représentent 27 % de l’ensemble des attaques enregistrées en 2013. Les scripts malicieux, notamment les exploits ou les iframes malveillants, constituent la deuxième catégorie d'attaques les plus courantes, avec 23 %.


Source : le rapport de Cisco


Et vous ?

Qu'en pensez-vous ? La sécurité est-elle un secteur qui attire peu ?

[bytecode]

on le sait tous mettre la poussière sous le tapis c'est pas la solution...

Plus de dev et moins de juriste pour Oracle serais déjà une avancé mental forte
un plus pour l'image pour des utilisateurs avertis...
Mais combien de développeurs font leurs choix de langage en se servant de ce style de critères... donc plus de bruit plus de sécurité non ?

[IsiTech]

Qu'en pensez-vous ? La sécurité est-elle un secteur qui attire peu ?

J'ai eu cette année une conférence d'un grand groupe français spécialisé dans l'informatique professionnelle et la sécurité. Ils proposent des stages... mais n'embauchent pas après. C'est qu'un exemple isolé mais je ne pense pas que les candidats manquent.

[benjani13]

Il faudrait peut être que les métiers de la sécurité informatique sorte de l'ombre (bon là je parle pour la France, je ne sais pas ce qu'il en est aux États Unis).

Je suis étudiant (3ème année de cursus en informatique) et en 3 ans on ne m'a parlé qu'une seule fois de sécurité. Il s'agissait d'un module de quelques heures seulement, portant sur l'évaluation des risques. Quelques heures en 3 ans donc, et probablement en 5. De plus, on ne m'a jamais montré le moindre semblant de poursuite d'étude qui pourrait déboucher sur les métiers de la sécurité.

A partir de là on comprend pourquoi le manque de professionnels est là. Après, est-ce que le constat est le même en France? Car d'un autre côté je me dit que si les entreprises de sécurité ne se manifestent pas auprès des étudiants c'est qu'ils ne cherchent pas à embaucher.

[PapsOu]

Et aller, Java en prend encore plein la tronche.....

Vu en entreprise : JRE 1.5 utilisé alors que le 1.7 était sorti depuis plus d'un an. Et bien sûr, aucune possibilité d'upgrader quoique se soit sur les postes, vu qu'ils étaient bridés à mort (Windows XP). Donc, un service informatique complètement à la ramasse forçant à utiliser des technologies dépassées... Et après on met la faute sur les développeurs ?

Arrêtons de tout mettre sur le dos des développeurs, car la plupart des trous de sécurité persistent à cause des « politiques » SI imposés par des gens complètement incompétent qui préfèrent rester sur des vieilles versions de logiciels plutôt que de favoriser les mises à jour des applications trop dépendantes de ces versions obsolètes.

Il faudrait peut être apprendre aux DSI à se mettre rapidement à la page et à considérer qu'investir des fonds dans le maintien à jour du parc applicatif n'est pas de l'argent perdu pour rien.

[bruneltouopi]

Est ce que les développeurs d'Oracle sont incompétents?
Ou alors la sécurité Java n'est pas la priorité de Oracle.
Je me pose la question s'il y'avait des failles de sécurité aussi criardes depuis dans le SGBD oracle cela aurait été longtemps résolu.
Voilà Mysql qui est devenu une boite noire detenu par Oracle alors les entreprises vont de plus en plus vers MariaDb.
Ensuite Abandon de support de l'Open Glassfish.
Vraiment je ne comprend pas la politique d'Oracle.C'est du capitalisme pur en tuant des produits qui évoluaient très bien avant eux.

[n5Rzn1D9dC]

Bah disons que c'est le bon plan pour les concepteurs de malware.
Ca leur permet de faire un code qui fonctionnera sur énormément de platforme.
Idem si il s'agit d'une faille.

Du coup c'est peut être simplement la faute à l'air du temps.
C'est la bonne platforme au bon moment pour les pirates informatique.

[Reward]

Il y a 10 ans, quand j'étais encore dans les études, c'était quasi inexistant, et ceux dans toutes les formations bac+4/bac+5 que j'avais regardé.

La suite, c'est un cercle vicieux: dans à peu près n'importe quel poste de sécurité, on te demande pas loin de 10 ans d'expérience...

Comment faire quand tu n'as jamais pu commencé ? J'ai du tiré un trait sur ce sujet alors que cela me passionnait.

[n5Rzn1D9dC]

C'est ridicule de ne prendre que des gens avec une certaine expérience pour la sécurité.
Et même pour la plupart des jobs.
Comment je galérais quand j'étais jeune pour trouver un job, juste à cause de ce filtrage de l'expérience.
J'ai déjà tenté de dire "vous pouvez me tester sur ce que vous voulez", mais rien à faire.
Et pourtant, une fois un mec m'a embauché avec des pincettes, et au final, je me suis rendu compte avec le temps que j'avais un niveau bien supérieur au sien. Donc mdr quoi..
Pas que je me surestime, c'est surtout lui qui se surestimait à mort du faite de son expérience de 20ans qui au final tournait toujours autour des mêmes choses, voir des mêmes erreurs répétées depuis des années.
Genre le matin "bon là aujourd'hui t'en a au moins pour 5 heures minimum".
1h30 après j'avais fini. Mais lui ça prenait 5 heures.
C'était le genre de mec "on a plus le mot de passe de ces deux pc, il faut réinstaller le systême".
Alors que le cracking par rainbow table existait déjà depuis pas mal de temps, qui pouvait craquer n'importe quel mdp winxp en moins de 5 minutes..
C'est même au point que lorsque le cd a fini de booter, le mdp est déjà affiché à l'écran..
Mais mon boss lui, il n'avait pas connaissance de ça, puisqu'il ne suivait pas les actualités car se croyait tellement supérieur grâce à sa grande expérience.

[BufferBob]

Cisco prédit une pénurie de spécialistes de la sécurité informatique en 2014
(...)
Qu'en pensez-vous ? La sécurité est-elle un secteur qui attire peu ?

"pour bien sécuriser il faut savoir pirater ", c'est presque devenu un proverbe tant il permet à tous ces ados en mal de toute-puissance de légitimer le fait qu'ils apprennent plus facilement à utiliser Metasploit qu'à corriger un code source, le problème vient peut-être en partie de là
la réalité c'est que dans les milieux "hackers" français pour le moins, on ne trouve que très peu d'information sur "comment sécuriser" et un océan de "comment trouer", que la sécurité informatique est quelque chose de difficile, pluridisciplinaire par nature et nécessite de fait d'avoir des connaissances étendues sur tous les domaines que couvre l'informatique dans ses aspects plus réguliers

ma conviction personnelle c'est que la tendance est plus à la facilité qu'à l'informatique de passionnés comme c'était le cas il y a encore quelques années, le "hacking" et la sécurité informatique qui auparavant fascinaient par les légendes urbaines et les clichés hollywoodiens qu'ils véhiculaient ont aujourd'hui été assimilés par le système, et là où il y avait possiblement un besoin un moment donné de cadors en sécu, aujourd'hui les postes sont pourvus, rendez-vous dans quelques années pour une nouvelle fournée

[gangsoleil]

Cisco a 2 mois de retard sur developpez : on en parlait en octobre de la penurie de main d'oeuvre en securite : http://www.developpez.net/forums/d13...cybersecurite/

Et les arguments avances sont chaque fois les memes, mais personne ne forme ni ne recrute en attendant.

[SurferIX]

Et aller, Java en prend encore plein la tronche.....

Vu en entreprise : JRE 1.5 utilisé alors que le 1.7 était sorti depuis plus d'un an. Et bien sûr, aucune possibilité d'upgrader quoique se soit sur les postes, vu qu'ils étaient bridés à mort (Windows XP). Donc, un service informatique complètement à la ramasse forçant à utiliser des technologies dépassées... Et après on met la faute sur les développeurs ?

Arrêtons de tout mettre sur le dos des développeurs, car la plupart des trous de sécurité persistent à cause des « politiques » SI imposés par des gens complètement incompétent qui préfèrent rester sur des vieilles versions de logiciels plutôt que de favoriser les mises à jour des applications trop dépendantes de ces versions obsolètes.

Il faudrait peut être apprendre aux DSI à se mettre rapidement à la page et à considérer qu'investir des fonds dans le maintien à jour du parc applicatif n'est pas de l'argent perdu pour rien.

Je t'ai "up" et c'est d'autant pire pour les employés dans l'administration ou les banques : ils trouvent tous les prétextes (et c'est du vécu) pour ne pas faire de travail. Discussion entendue et à peine modifiée :

"Pourquoi faire un upgrade qui nous forcerait à s'assurer que tout fonctionne, alors que si on ne fait rien, le salaire est le même à la fin du mois ? Autant convaincre la direction que ce n'est pas nécessaire, ils n'y comprennent rien !"

Donc si la direction ne change pas d'opinion ça peut aussi provenir de techniciens outrageusement fainéants qui n'hésitent pas à raconter n'importe quoi pour surfer tranquillement toute la journée.

Exemple concret et véridique : dans une grande banque pour laquelle j'ai travaillé, les techniciens avaient convaincu la direction que faire les mises à jour noyau c'était inutile, et que faire un backup en mirroring c'était bien plus compliqué et risqué que d'installer tout sur une seule machine et mettre en place un mirroring. Conclusion : dans ma société, qui était prestataire de cette banque, on s'est retrouvé à devoir comparer "à la main" deux PC : celui en production et celui de sauvegarde... parce que les fichiers n'étaient pas les même dans la sauvegarde qu'en production ! Véridique ! Et ce n'est pas tout ! Lorsque, en tant qu'expert, j'ai expliqué les risque à un supérieur, ils ont mis en place une journée "crash test" et on débranché le PC principal. Le site a été hors ligne pendant 8 heures... car le backup ne fonctionnait pas. Pire : les techniciens n'ont pas su (si si c'est aussi hallucinant que vrai) dire pourquoi ça n'avait pas fonctionné, et ont demandé à leurs supérieur de nous refourguer tout le boulot pour essayer de chercher le problème. Alors oui, les patrons n'y connaissent rien, c'est vrai, mais il y a des techniciens qui mériteraient de n'être payé qu'à leur taux de rentabilité afin qu'ils se bougent pour la première fois de leur vie le derrière.

Il faudrait peut être que les métiers de la sécurité informatique sorte de l'ombre (bon là je parle pour la France, je ne sais pas ce qu'il en est aux États Unis).

Je suis étudiant (3ème année de cursus en informatique) et en 3 ans on ne m'a parlé qu'une seule fois de sécurité. Il s'agissait d'un module de quelques heures seulement, portant sur l'évaluation des risques. Quelques heures en 3 ans donc, et probablement en 5. De plus, on ne m'a jamais montré le moindre semblant de poursuite d'étude qui pourrait déboucher sur les métiers de la sécurité.

A partir de là on comprend pourquoi le manque de professionnels est là. Après, est-ce que le constat est le même en France? Car d'un autre côté je me dit que si les entreprises de sécurité ne se manifestent pas auprès des étudiants c'est qu'ils ne cherchent pas à embaucher.

J'adore ! Du travail pour nous, les passionnés !

D'ailleurs j'ai été arnaqué par une personne qui, après m'avoir fait développer tout un site (que je ne citerai pas), l'a fait redévelopper par une autre personne parce que j'étais trop cher. Je mettais en avant la sécurité de mon système et la rapidité de mes sites, mais en tant que client, il n'a regardé que le prix. Donc pour beaucoup moins cher il a fait tout redévelopper.
Conclusion : son site a au moins 3 failles critiques dont une carrément visible dans l'URL. Mais bon il n'a pas payé cher. ...et son site gère des prestations B2B. C'est carrément grave. Je n'attend qu'une chose : que son site se fasse pirater. C'est bien, parce que plus le temps passe, plus ce qui lui arrivera sera catastrophique. Tout se paye, un jour ou l'autre.

[MacDev]

Oui, parfois la faute aux techniciens. Je consens.

Mais le problème a plusieurs aspects. Il arrive que le parton qui n'y comprend rien te dit:"Tu passe la journé à ne rien faire!!!" Parce que tu as passé la journée entrain de revoir la santé du réseau en général, les routeurs, les antennes, les quelques disfonctionnement possibles,... et lui il va croire que tu ne fait rien et que tes primes devaient être revues à la baisse. Si tu deviens malin et que tu passe toute une journée à devirusser un seul PC en l'ouvrant (ce qui n'est pas necéssaire, hahahaaa!!!), en époussetant l'intérieur,... il va dire que tu as beaucoup travaillé.

[programaniac]

Cisco a 2 mois de retard sur developpez : on en parlait en octobre de la penurie de main d'oeuvre en securite : http://www.developpez.net/forums/d13...cybersecurite/

Et les arguments avances sont chaque fois les memes, mais personne ne forme ni ne recrute en attendant.

Dans le cas du "Pour savoir sécuriser, il faut savoir pirater..", C'est tout à fait normal que les compagnies ne veuille recruter NI former ce genre de personnes, elle sont des personnes à risque qui sait ce que l'employé voudrai faire après avoir obtenu un tel pouvoir =/ il pourrai très bien aller voir la concurrence qui paye mieux une fois formé, ou alors manquerai plus que je forme quelqu'un qui risque de me tenir par ma bourse après lui avoir rendu un tel service en lui apprenant quels sont mes faiblesse =/

[gangsoleil]

Dans le cas du "Pour savoir sécuriser, il faut savoir pirater..", C'est tout à fait normal que les compagnies ne veuille recruter NI former ce genre de personnes, elle sont des personnes à risque

Toute personne qui travaille dans le domaine de la securite est une personne a risque, que ce soit le serrurier ou le crypto-analyste...

Ton serrurier sait que la porte X est bien, mais qu'elle presente un defaut au niveau de Y, qui est une faiblesse. D'ailleurs, on ne retrouve pas cette faiblesse sur la porte du concurrent. Est-ce que pour autant ce serrurier est un dangeureux potentiel cambrioleur qu'il ne faut surtout pas embaucher, ou bien au contraire est-ce quelqu'un qui connait bien son metier et qu'il est raisonnable d'embaucher, justement parce qu'il est bon ?

C'est pareil dans le domaine de la securite : si tu connais une faille, par exemple parce que tu l'as corrigee, tu sais l'exploiter. Donc tu acquiers, bien malgre toi, des competences de "pirate"...