Architecture is the important stuff, whatever that happens to be

Martin Fowler : Since the begining of agile methods, there’s always been a deep debate on what role (if any) software architecture should play on agile projects. Much of this depends on what you consider architecture should be.

Depuis le début des méthodes agiles, il y a toujours eu un débat sur le rôle (si nécessaire) que l’architecture logicielle devrait jouer sur les projets agiles. La reponse dépendra en grande partie de ce que vous considérez comme une architecture.

Architecture et sécurité, ZTA pas vraiment compris et surtout grosse perte de temps sur le périmétrique au detriment des applications.

Pourquoi la confiance accordée à la sécurité périmétrique est-elle insuffisante ?

Avec l’adoption du cloud, le travail à distance, le BYOD et la Covid-19 il exite de moins en moins de scénarios dans lesquels la sécurisation via un périmètre de sécurité réseau (par exemple, un firewall ou une liaison VPN) suffit à établir qu’une demande d’accès provient d’une adresse IP « sûre. »

Cette technique, nommée ‘backhauling’ (réacheminement ou Québec réseau d’amenée), renforce le mythe selon lequel la sécurité basée sur la défense périmètrique est efficace. Or, les nombreuses manières utilisées pour s’introduire de facon malvaillante dans des réseaux d’entreprise sont connues, en particulier le déplacement transversal qui consiste à se déplacer depuis le périmétre compromis pour voler des données ou les corrompre.

Accorder une confiance à un utilisateur qui a pu, d’une manière ou d’une autre, obtenir un accès au réseau affaiblit la posture de sécurité d’une organisation, et cela de quatre manières :

–  Non prise en compte des vols d’identifiants
Le Data breaches Investigations Report 2020 de Verizon a révélé que les attaques par ingénierie sociale (phishing, compromission demessageries professionnelles, etc.) et les erreurs humaines sont à l’origine de la majorité des compromissions de données (67% ou plus), et que 27% impliquaient l’utilisation d’identifiants volés. Des identifiants valides suffisent souvent à accéder à un réseau d’entreprise.

– Non prise compte des terminaux compromis
L’Internet Security Threat Report 2019 de Symantec a révélé qu’« un appareil sur 36 utilisés dans les organisations était classé comme à haut risque. Ceci comprend des terminaux ‘rootés’ ou ‘jailbreakés’, ainsi que les appareils infectés par un malware. » Les utilisateurs légitimes de ces terminaux compromis peuvent exposer, par accident, des ressources sensibles via leur propre accès au réseau d’entreprise.

– Non prise compte du contexte de la demande d’accès
Les adresses IP aident à établir qu’un utilisateur demande un accès à partir d’un « réseau de confiance ». Mais compter sur ces seules données a pour résultat une protection insuffisante des ressources de l’entreprise, car sont ignorées d’autres sources de risques basées sur le type d’utilisateur (service, ancienneté, privilège), sur le contexte de la demande (moment de la journée, terminal, géolocalisation), ainsi que le niveau de risque de la ressource demandée (application financière vs calendrier des vacances).

– Cela créé une impression fallacieuse de sécurité 
Le mythe de la sécurité derrière le firewall est dangereux. Faute de prendre en compte l’hypothèse que le réseau a déjà fait l’objet d’une attaque, les habituelles bonnes pratiques de sécurité sont trop souvent remises à plus tard ou ignorées car « personne ne pourra accéder à cette ressource de l’extérieur, et elle se trouve derrière le firewall. »

Le modèle Zero Trust permet de contrôler les accès des utilisateurs en répondant à des questions spécifiques. Ces questions doivent vérifier la légitimité de l’accès au terminal et à la ressource. Ces questions peuvent être par exemple :

• Au cours de l’authentification

Cet utilisateur est-il autorisé à accéder au terminal et à la ressource ? Est-il qui il prétend être ? Son terminal est-il suffisamment sécurisé pour la tâche demandée ?

• Au cours de l’opération

Cette session est-elle toujours contrôlée par le bon utilisateur ? La demande a-t-elle été vérifiée ?

• Au cours de l’accès aux données

L’utilisateur a-t-il donné son consentement pour l’accès ? Si oui, à qui ? Quelles actions a-t-il autorisées (lecture, modification, suppression, etc.) ?Ces données devraient-elles être chiffrées ?

Quels sont les avantages supplémentaires du modèle Zero Trust ?

• Cette solution permet d’uniformiser les contrôles d’accès à toutes les ressources quelle que soit la localisation et le terminal utilisé par le demandeur afin d’améliorer la productivité des employés.
• Elle est adaptable en s’appuyant indifféremment sur des data centers sur site, des clouds privés ou publics et s’adapte selon chaque catégorie de ressource. De ce fait, des économies peuvent être réalisées en optimisant les frais d’hébergement et de gestion par catégorie de ressource.
• Le Zero Trust s’appuie sur la micro-segmentation pour assigner des règles de sécurité à un niveau plus précis.

Quelles sont les clés stratégiques du modèle Zero Trust

Afin de construire une architecture Zero Trust inclusive et favoriser un accès sécurisé à une application dans un environnement cloud ou sur site, plusieurs étapes clés sont nécessaires:

• Cesser de protéger uniquement les accès au réseau de l’entreprise

Les clients peuvent accéder aux applications par exemple depuis des réseaux wifi publics. Par conséquent il n’est pas suffisant de sécuriser uniquement les accès au réseau d’entreprise. Les applications critiques doivent également être sécurisées pour tout type d’accès à distance.

• Authentifier les utilisateurs

L’authentification forte est le pilier d’une architecture Zero Trust. Ce type de solution permet d’authentifier les utilisateurs via plusieurs facteurs d’authentification (mémoriel, corporel, matériel) afin de prouver son identité. Suivant l’activité de l’utilisateur, différents niveaux d’authentification sont nécessaires.

• Authentifier et valider le terminal

Les utilisateurs légitimes peuvent être amenés à travailler sur des appareils compromis (postes de travail, téléphones, etc.). Il est par conséquent nécessaire de mettre en place une authentification du matériel (via l’émission d’un certificat par exemple).

• Authentifier la demande

Même si un utilisateur légitime se trouve sur un appareil de confiance, l’application utilisée peut être compromise. Les méthodes de validation des applications doivent être mises en place telles que le contrôle de la version du système d’exploitation ou bien la validation du client OAuth (nécessitant de nouveaux standards de sécurité plus sophistiqués comme l’utilisation de jetons).

• Autoriser l’opération

Une autorisation générale doit pouvoir juger si un utilisateur est autorisé ou non à effectuer une opération. Sans informations suffisantes, l’opération ne doit pas être acceptée. Le système peut utiliser certaines variables comme la biométrie comportementale, l’authentification continue, la localisation, l’heure, etc.

4 Outils de Test en Cyber Securité en ligne gratuits

Pour 2021 – 4 outils cyber

En septembre 2020, Gartner a publié la liste des « 9 tendances en matière de sécurité et de risque pour 2020 », l’accent est mis sur la complexité et la taille croissantes du paysage des menaces.

Le manque de visibilité des surfaces d’attaque externes a entraîné une augmentation spectaculaire des compromisions et des fuites de données personnelles en 2020, compromettant l’IIP (Personal Identifiable Information) et d’autres données sensibles de millions de personnes.Ces incidents découlent d’intrusions sophistiquées d’acteurs malveillants d’État-nation, de groupes de pirates APT (ATP signifie Advanced Persistent Threat), d’erreurs humaines et de d’erreur de configurations généralisées exposant sur Internet le stockage ou les bases dedonnées cloud avec des données confidentielles.

Les analystes du Gartner recommandent d’automatiser les tâches et les processus de sécurité laborieux, dans un contexte de pénurie persistante de compétences en cybersécurité et de s’attaquer rapidement aux risques émergents liés à la sécurité des Clouds et des conteneurs. Gartner recommande d’être très vigilant aux exigences en matière de protection de la vie privée et de réglementation afin d’éviter des amendes sévères et d’autres sanctions.

La mise en œuvre d’un modèle « Zéro Trust » (confiance zéro) au sein de tout type d’organisation, quelle que soit sa taille est le conseil avisé pour 2021. Alors que la pandémie a un impact dévastateur sur de nombreuses organisations et entreprises, la plupart d’entres ont tenté ou déplacé chaotiquement leurs processus d’affaires vers l’espace numérique moins affecté.

Paris à automne.

Toutefois, les budgets consacrés à la cybersécurité ont été malmenés compte tenu de l’effet collatéral du ralentissement économique global. La diminution des budgets a sans surprise exacerbé la transformation numérique en mode stress au mépris flagrant des composants de sécurité et de confidentialité qu’implique cette sur exposition. Les dépenses de cybersécurité vont probablement rebondir voire augmenter à nouveau en 2021, pour soulager les DSI blasés et à leurs équipes de sécurité informatique à bout. En attendant, voici quelques outils de sécurité vous pouvez vous familiariser qui, il me semble, pourraient faire une différence à tout les programmes de cybersécurité et leur planification budgétaire 2021.

Fin novembre 2020, la société de sécurité ImmuniWeb a annoncé une mise à jour majeure de son édition communautaire libre. La solution fournit 4 tests de sécurité gratuits qui couvrent les priorités en matière de sécurité et de confidentialité mentionnées par Gartner et offrent également de solides capacités pour surveiller les incidents de sécurité et les cybermenaces externes ciblant votre entreprise.

ImmuniWeb fait parti des fournisseurs de cybersécurité les plus innovants de la Conférence RSA 2020. Depuis lors, les progrès sont impressionnants dans de nombreuses directions et domaines de sécurité de l’information. Voici un tour d’horizon d’ImmuniWeb Community Edition et vous pouvez l’essayer maintenant sans hésiter.

Test de sécurité et de conformité du site Web

Pour certains une analyse de surface, en staging exposé, ce test de sécurité du site web peut précéder un scanner de vulnérabilité web commercial. Le test gratuit est non intrusif et sans danger pour la production – vous ne planterez pas accidentellement votre ancien serveur Web ou votre application Web à cause d’un débordement ou de l’exploitation d’un Bufferflow ou d’un RCE (n an RCE attack, hackers intentionally exploit a remote code execution vulnerability to run malware. RCE can have disastrous ramifications for an MSP’s network—by prompting the targeted device to perform code execution, a hacker can run their own programming in its place.).

ImmuniWeb et son module « Software Composition Analysis (SCA) » dispose d’une énorme base de données de logiciels Web diversifiés, allant de WordPress open-source et Drupal à des produits web propriétaires et commerciaux par Microsoft et Oracle. Le module SCA comprendrait plus de 300 framework CMS et Web, 160 000 plugins et extensions, et 8 900 bibliothèques JavaScript et sa base de données intégrée sur les vulnérabilités couvre plus de 12 000 vulnérabilités CVE :

En plus des vulnérabilités Web et des mises à jour logicielles manquantes, le test gratuit vérifie si la configuration du site web est conforme aux exigences spécifiques de GDPR et PCI DSS :

In one test, you simultaneously get an inclusive picture on how to harden your website security, improve web server resilience, and enhance applicable privacy and compliance requirements.

Test d’exposition au Dark Web et de détection de phishing

Il semble être un des seul outil gratuit pour les analystes de menaces et les blue team qui cherchent à accroître leur connaissance des incidents de sécurité en cours, y compris les discussions dark web et les offres de vente de données volées impliquant leur organisation ou vos principaux fournisseurs. – Les équipes qui imitent des attaquants (hackers) en utilisant leurs techniques (Red Team) et les équipes qui utilisent leurs compétences pour s’en défendre (Blue Team) –

Pour des raisons juridiques et de confidentialité, le test gratuit ne divulguera pas tous les détails des incidents, tels que les mots de passe volés ou des copies complètes des bases de données compromises. Mais cette vue d’ensemble est suffisamment détaillée et mesurable est facilement disponible pour améliorer le processus décisionnel avant d’investir dans des solutions de surveillance Dark Web :

Test de sécurité et de conformité SSL

Contrairement à de nombreux services concurrent, ce test de sécurité SSL gratuit permet de tester non seulement l’omniprésent HTTPS, mais toute implémentation du cryptage TLS, y compris les serveurs de messagerie et SSL VPN:

Pour les serveurs de messagerie, le test vérifie également les SPF, DMARC et DKIM correctement configurés qui sont de facto les meilleures pratiques les plus courantes en matière de sécurité des e-mails aujourd’hui et depuis longtemps, ne pas les implémenter est pénible.
En plus de cela, le test effectuera automatiquement une découverte automatique rapide des sous-tâches en temps opportun, rappelant à tout le monde que non seulement le principal « www » site web nécessite une attention. Le test passe méticuleusement par toutes les implémentations SSL/TLS actuellement connues ou les vulnérabilités cryptographiques, y compris Heartbleed, ROBOT, BEAST, POODLE, et une douzaine d’autres défauts qui peuvent permettre l’interception ou le décryptage de vos données en transit.

Un autre avantage important est la cartographie de votre configuration TLS aux exigences spécifiques de PCI DSS, NIST, et HIPAA, de sorte que vous pouvez vérifier si votre force de cryptage répond correctement aux exigences réglementaires pour éviter les pénalités en cas de non-conformité:

Tous les tests peuvent être actualisés et, si vous créez un compte gratuit, téléchargés sous forme de document PDF afin que vous puissiez le partager en interne ou avec vos clients prouvant que vous vous souciez de leur sécurité de données.

HTTPS correctement durci et un site Web sécurisé sont un avantage concurrentiel pouir le commerce électronique, en particulier après les piratages durant le Black Friday et les vidages récurrent et de masse des portefeuilles des acheteurs en ligne.

Test de sécurité et de confidentialité des applications mobiles

Ce test de sécurité mobile gratuit permet désormais le téléchargement d’applications mobiles directement à partir de différents App Stores publics au-dessus de Google Play, et inclut même Cydia, de sorte que les utilisateurs jailbreakés des appareils iOS peuvent également tester leurs applications mobiles pour des raisons de confidentialité et de sécurité :

Le test mobile effectue à la fois la numérisation dynamique (DAST) et statique (SAST) des applications mobiles, mettant en lumière sur un large éventail de vulnérabilités et de faiblesses mobiles. L’analyse couvre les 10 principaux risques de l’OWASP Mobile et aussi certains problèmes de sécurité spécifiques mentionnés dans le projet OWASP Mobile Security Testing Guide (MSTG) :

Une attention particulière est accordée à la confidentialité des applications mobiles :

Vous verrez une liste compléte des autorisations demandées par l’application testée et les hébergeurs et serveurs web externes où l’application mobile envoie vos données. Son module intégré d’analyse de composition logicielle (SCA) met en lumiére les bibliothèques tierces et natives utilisées dans l’application mobile.
En raison de sa nature non intrusive, le scanner mobile gratuit ne couvre pas les tests de points de terminaison mobiles tels que les API ou les services Web, qui doivent toujours être inclus dans votre programme de test de sécurité mobile.

petitepervenche

En testant ImmuniWeb Community Edition, vous allez particulièrement apprécié la réactivité de leur support technique si vous creusez.

Vous pouvez simplement leur laisser un message directement en utilisant une interface Web, devenant une partie de la communauté qui exécute maintenant plus de 100.000 tests quotidiens. Les tests gratuits immuniWeb Community Edition peuvent être consultés par API ou via l’interface Web. Pour les organisations qui cherchent à exécuter un grand nombre de tests par jour ou pour les fournisseurs de cybersécurité qui cherchent à tirer parti des capacités techniques d’ImmuniWeb Community Edition à des fins commerciales, il existe également une API haut de gamme disponible à l’achat.

L’équipe immuniWeb fait des choses cool à suivre en 2021: Leur solution est très prometteuse.

N’hésiter pas à commenter cet article et le partager.

Persistent storage in action: Understanding Red Hat OpenShift’s persistent volume framework – Red Hat Developer

Get started with Red Hat OpenShift’s persistent volume framework and deploy a MySQL database on OpenShift, with and without persistent storage.
— À lire sur developers.redhat.com/blog/2020/10/22/persistent-storage-in-action-understanding-red-hat-openshifts-persistent-volume-framework/

TousAntiCovid passe les 3 millions pas suffisant

TousAntiCovid pour participer à la lutte collective contre l’épidémie : pour informer et être informé. Installez-la vous aussi : https://bonjour.tousanticovid.gouv.fr/

Que vaut-il mieux pour nous ?

• Utiliser TousAntiCovid et contribuer à une maîtrise de la propagation
• ou faire la gueule à cause du couvre-feu, puis demain des mesures de re confinement ou de restriction ?

Quoi qui en soit, dans la mesure où vous avez un téléphone portable depuis longtemps vous avez rendu à l’espace public votre liberté de cacher vos déplacements.

 

Alors même si vous pensez que savoir où vous êtes au mètre prêt à un quelconque intérêt pour les Etats européens, s’il vous plaît lâchez prise, soyez responsables et civiques, et  activer l’appli.

Le paradis

Activer la au moins lorsque vous faites des sorties pour vous protéger et protéger vos proches.

Rebuilding le cycle … One player Shoot again. Ne résister pas soyez les faiseurs et faisseuses Aujourd’hui !

Avez-vous déjà réagi au changement organisationnel en roulant des yeux et en vous disant tranquillement: «C’est reparti»? Ou en ne disant pas si calmement aux autres: « N’avons-nous pas essayé cela avant? »

Les changements peuvent être émotionnellement intenses, ils suscitent confusion, peur, anxiété, frustration et impuissance. Des experts ont même déclaré que l’expérience du changement au travail peut imiter celle de personnes souffrant de chagrin suite à la perte d’un être cher. Parce que le changement peut être si épuisant physiquement et émotionnellement, il conduit souvent à l’épuisement professionnel et met en mouvement un cycle insidieux qui conduit à une résistance encore plus grande au changement.

Personne ne veut être un obstacle au changement, résistant instinctivement à de nouvelles initiatives ou efforts. Ce n’est pas bon pour vous, votre carrière ou votre organisation. L’amélioration de votre adaptabilité, une compétence critique en intelligence émotionnelle, est la clé pour briser ce cycle. Heureusement, c’est une compétence qui peut être apprise. En fait, dans le travail de coach, c’est souvent une priorité. La pliupart des employées sont fatigués de se sentir frustrés et en colère face aux changements au travail, et ils veulent être considérés comme adaptables plutôt que résistants.

La prochaine fois que votre organisation introduira un grand changement, envisagez ces quatre stratégies d’intelligence émotionnelle pour vous aider à adopter le changement plutôt que de vous y préparer:

Identifiez la source de votre résistance. Comprendre les raisons sous-jacentes de votre résistance nécessite un niveau élevé de conscience de soi. Par exemple, si vous résistez parce que vous craignez que le changement ne vous rende incompétent, adapter un plan d’apprentissage pour les nouvelles compétences dont vous aurez besoin pour réussir.

Photo de u00d6mer Aydu0131n sur Pexels.com

Ou, si vous craignez que le changement interfère avec votre autonomie, vous pouvez demander aux personnes qui dirigent l’effort sur la façon dont vous pouvez être impliqué dans le processus. (Bon ça sera facile le jour ou les syndicats et les big boss pouvaient se prendre en main pour inclure dès le départ les employés dans la transformation et communiquer sereinement et de façon pédagogique) Même si vous n’aimez pas la direction que prend l’organisation, votre implication dans la mise en œuvre peut vous aider à reprendre le contrôle et à réduire votre envie de résister.

Remettez en question la base de votre réponse émotionnelle. Nos réactions émotionnelles au changement reflètent souvent nos interprétations – ou «histoires» – que nous nous convaincons sont vraies. En réalité, nos histoires sont souvent inconscientes et rarement en phase avec la réalité. Demandez-vous: Quelle est ma principale émotion associée à ce changement? Est-ce la peur, la colère, la frustration? Une fois que vous avez identifié l’émotion, demandez-vous de quoi il s’agit? Qu’est-ce que je crois être vrai qui me met en colère / craintif / frustré? Ce type de questionnement permet d’éclairer les histoires qui animent nos émotions et d’influencer nos perceptions.

À titre d’exemple, un cadre supérieur a identifié sa réaction émotionnelle intense comme de la colère. Alors qu’il continuait à remettre en question le fondement de sa colère, il a découvert une histoire sous-jacente: il était impuissant et victime de l’initiative de changement imminente. Avec cette nouvelle prise de conscience, il a séparé sa réaction émotionnelle et son «histoire» des événements réels. Cela lui a permis d’identifier plusieurs options pour assumer de nouvelles responsabilités de leadership pour un aspect majeur de l’initiative de changement. Avec ces nouvelles opportunités de reprendre le pouvoir, son état d’esprit à changer devant les changements et qu’il devait se concentrer sur la façon dont il pourrait assumer un rôle de leadership en créant de nouvelles opportunités à la fois pour sa carrière et pour l’organisation.

Prenez votre part dans la situation. Il n’est pas toujours facile d’avouer le rôle que nous jouons dans la création d’une situation négative. Une personne consciente d’elle-même réfléchit à la manière dont ses attitudes et ses comportements contribuent à son expérience du changement. Par exemple, vous avez remarqué que vous devenez de plus en plus tendu à chaque fois que vous entendez parler d’un nouveau changement. Pratiquer la pleine conscience permet d’examiner vos sentiments et comment ils affectent votre attitude. Toute négativité ou pessimisme aura un impact sur votre comportement, vos performances et votre bien-être (et pas dans le bon sens).

En réfléchissant à la façon dont votre réaction initiale contribue à une chaîne d’événements négatifs, il sera plus facile d’ajuster votre attitude pour être plus ouvert à envisager de nouvelles perspectives, ce qui changera finalement la façon dont vous réagissez à tout.

Augmenter votre attitude positive: les choses peuvent sembler un peu sombres lorsque vous n’êtes pas d’accord avec un nouveau changement. Des études montrent qu’avoir une attitude positive peut nous ouvrir à de nouvelles possibilités et être plus réceptifs au changement. Vous poser quelques questions simples vous aidera à réfléchir de manière plus optimiste. Tout d’abord, demandez-vous, quelles sont les opportunités avec ce changement? Et puis, comment ces opportunités vont-elles m’aider moi et les autres?

Par exemple, travailler dur pour passer du statut de «résolveur de problèmes» à celui de «chercheur d’opportunités». Passer de «Je jouais toujours en défense, en me concentrant sur la façon de minimiser notre exposition ou nos pertes dans n’importe quelle situation. » à « se concentrer sur la façon de minimiser les pertes pour trouver des opportunités » cela peut tout changé. Passer de la défense à l’offensive, voir des opportunités auparavant invisibles.

La capacité de s’adapter rapidement et facilement au changement est souvent un avantage pour un leader. La prochaine fois que vous vous sentirez résister, utilisez les quatre approches ci-dessus pour créer une dynamique et une énergie psychologique pour vous et les autres. Faites le choix intentionnel non seulement d’accepter le changement, mais de le propulser de manière positive.

Et surtout soyez courageux, digne de confiance et honnête, bienveillant oui mais ni couard ni biniouioui, nous mourrons à petit feu de ces attitudes.

Pensez à partager cet article.

Article Inspiré de https://www.revue-rms.fr/ et l’article https://hbr.org/2018/12/how-to-embrace-change-using-emotional-intelligence

Getting Started with SRE – Stephen Thorne, Google