Share this page!

aeris 🏳️‍🌈 Profile picture
Twitter logo
27 Oct, 25 tweets, 6 min read
En discutant du problème aujourd’hui, je me rend compte que toutes les solutions « souveraines » souffrent d’un énorme biais sur les analyses de risque…
Les gens sont complètement focalisés sur le « business sale » des GAFAM & cie et comptent échapper à ça en relocalisant tout ça et en (cherchant à) évitant ce morceau.
Mais les risques conventionnels que les GAFAM vont eux chercher à résoudre, et souvent vachement efficacement même si forcément c’est pas parfait ? Ça passe COMPLÈTEMENT à la trappe…
Votre business modèle est (peut-être) vertueux. Mais un employé verreux qui se barre avec les données ? Comment vous le détecter plus ou moins préventivement ?
Vous avez des IDS/IPS sur votre réseau ?
Un APT qui a vu que vous aviez un poil trop de données sensibles et vous colle une grosse cible sur la tête ? Vous l’encaissez comment ?
Vous détectez comment que vous avez une base de données qui est exposé dans la nature et que quelqu’un vient de la télécharger ? Vous avez réellement des sondes réseaux pour détecter cette intrusion et pas juste au moment où les données sont au marché noir ?
Si votre modèle de menace se résume à « n’importe quoi sauf GAFAM », ben vous aurez… surtout n’importe quoi…
Typiquement, Google a peut-être un business modèle crade, mais ils ont aussi des procédures et outils de détection en interne pour identifier les employés malicieux et les licencier.
phonandroid.com/google-licenci…
Vous avez ça dans votre solution FR ?
Encore un exemple ? Facebook détecte les détournements de finalité internes et idem, licencie les employés en cause.
businessinsider.fr/us/facebook-fi…
Vous avez ça aussi ?
Je n’ai pas d’exemple dans la presse, mais vous pensez bien que les GAFAM sont en veille permanente sur les forums underground pour détecter les ventes de données en provenance potentielle de leur système.
Vous faites aussi ce type de veille ?
Les GAFAM, c’est un modèle de menace qui couvre un spectre EXTRÊMEMENT vaste, qui est du coup financé et existant, vu le fric engrangé.
Les solutions « souveraines » troquent trop souvent un modèle de menace très complet avec effectivement un business modèle pourri contre un
modèle de menace quasi inexistant et un business modèle souvent bancal…
Tient, ça vient de tomber et ça rentre tout pile dans la ligne directe de ce que je disais juste avant !
blog.twitter.com/engineering/en…
Et du coup le post de 2020 qui résume aussi vachement bien les choses : blog.twitter.com/en_us/topics/c…
Faites la liste de tout ça. Mettez des coches en face de ce que les solutions « souveraines » font en pratique.
Et pleurez…
On vient de me filer ça aussi tient : support.google.com/a/answer/92309…
Vous avez ça aussi dans vos solutions ?
Toujours chez Google, leur gestion du support/maintenance.
Vous cochez combien de case ? Pas trop en PLS ?
On peut aussi parler en fonctionnalité produit pure. Exemple chez Microsoft : docs.microsoft.com/fr-fr/microsof…
Ou chez AWS : aws.amazon.com/fr/about-aws/w…
Je continue sur le sujet vu que la discussion continue aussi en privé :D
L’origine du truc est aussi à mettre au crédit des préconisations #SecNumCloud de l’@ANSSI_FR
Certaines exigences en ont littéralement effrayés certains…
Je vous le fais en TLDR, mais ça ressemblait à « mais comment qu’on peut être conforme avec un business model viable avec autant d’exigence à la con ».
Je vous liste certaines des exigences en question. J’ai surligné ce qui pose problème…
C’est le genre d’exigences qui devraient pourtant aller de soi là comme ça. Leur intégration dans le produit final est pourtant souvent hautement complexe et voit les coûts exploser, ou en tout cas dépasser largement le maximum admissible pour une offre « vendable ».
Ou des trucs plus bassement terre à terre. Oups, comment ça on ne peut plus utiliser de dédié/mutu/PaaS/IaaS pour notre propre offre SaaS ? 🤔
Vous voulez dire qu’il faut a minima tout gérer en housing ? Ou être suffisamment gros pour des accords/offres VIP avec les
sous-traitants type OVH ou Scaleway ?

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with aeris 🏳️‍🌈

aeris 🏳️‍🌈 Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @aeris22

aeris 🏳️‍🌈 Profile picture
26 Oct
Help les gens, je tourne chèvre…
Je tente de faire un mitm sur un émulateur android…
J’ai bien déployé le certificat dans le trust store, mais juste absolument impossible de le faire reconnaître par le système… ImageImageImage
Même problème avec Firefox, et impossible de voir le détail des certificats, le truc est complètement fucked sous mobile… 😑 #LaSecuritay #LeDesign Image
Je n’arrive pas à comprendre le truc, ça fonctionne nickel dans un browser standard… Et habituellement sous mobile, mais là plus rien… Je ne comprend pas le truc… On a des commandes « bas niveau » via ADB & cie pour voir le contenu des trusted stores système ? 🤔
Read 4 tweets
aeris 🏳️‍🌈 Profile picture
19 Apr
Petit pense-bête sécu. Grosso-modo on peut classer les vulnérabilités en catégories :
- les trucs intrinsèquement sûrs, généralement inimplémentable correctement : one time pad
- les trucs connus pour être possibles en théorie mais impossible physiquement : bruteforcer une clef
AES de 256 bits
- les trucs pétés sur le papier mais sans implem efficaces connues : factoriser une clef RSA
- les trucs pétés avec une implem connue mais pas exploité massivement dans la nature : poodle
- les trucs pétés et exploités : samba
Read 6 tweets
aeris 🏳️‍🌈 Profile picture
14 Apr
Petite anecdote marrante mais pas tant que ça. Qui montre aussi le problème UI/UX versus former les utilisateurs versus le back versus trop de choses. […]
On a une contrainte au niveau bdd dans une base sur un champ, qui est de ne pouvoir contenir que des valeurs correspondants à /^[a-z][a-z0-9]{0,29}$/

Niveau back, l’ORM fait donc sa vérif normalement avec cet regex.

SLUG_FORMAT =
/\A[a-z][a-z0-9]{0,29}\z/.freeze
validates_format_of :slug, with: SLUG_FORMAT

C’est tout niquel. Parfait. […]
Read 21 tweets
aeris 🏳️‍🌈 Profile picture
16 Oct 20
Coucou @CNIL !
Peut-être serait-il intéressant d’expliquer/expliciter les modes de fonctionnement du traitement des plaintes reçues, parce que ça déprime quand même un peu ce type de réponse 😭
Là, j’ai plus l’impression de pisser dans un violon à faire des demandes d’accès et des plaintes. On n’arrive juste à rien, j’ai 0 ou presque dossier complet après 2 ans de démarches.
Je comprend d’autant moins que le RGPD ne suppose pas l’établissement de lignes directrices de votre part pour être applicable. C’est DÉJÀ un règlement contraignant et applicable.
Read 5 tweets
aeris 🏳️‍🌈 Profile picture
15 Oct 20
Bon, petit appel à la @CNIL pour connaître l’état d’avancement de mes plaintes 🤣
« En raison d’un trop grand nombre d’appels nous ne pouvons donner suite à votre demande » 😑
C’est à partir de combien de plaintes qu’on a le droit au statut VIP déjà ? 🤣
Read 17 tweets
aeris 🏳️‍🌈 Profile picture
29 Jun 20
@JeromeColombain Oui, parce que le vote suppose la résistance à la coercition, qui n’est pas réalisable en version dématéralisée. Tous les exemples que vous citez ne la nécessite pas.
@JeromeColombain Le vote à l’isoloir permet de s’assurer que le vote est fait sans contrainte aucune, passée, actuelle et future. La personne peut voter en toute sécurité, même menacée par exemple par son employeur.
@JeromeColombain Le vote à l’isoloir permet aussi *à n’importe qui* de s’assurer de la licéité du scrutin. Et de s’assurer que son vote personnel est parfaitement pris en compte dans toute la chaîne de vérification.
Read 14 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @aeris22 has new unrolls!

Check out other threads from @aeris22!

Read all threads by @aeris22

:(