C’est chaque année la même chose : la torpeur s’installe et il est temps de migrer vers des cieux plus frais, plus aquatiques ou tout simplement plus calmes.

Mais il est également de bon ton de partir avec une copieuse liste de lecture, dans laquelle se retrouvent bien souvent toutes celles que l’on a raté ces derniers mois. Commence alors dans les médias la valse des rétrospectives et autres compilations.

SecurityVibes ne déroge pas à la règle et vous propose un florilège des publications marquantes et autres grandes tendances de cette première partie de l’année, telles que nous les avons observées depuis notre rédaction à 360°.

Les stars médiatiques, bien sûr, auront été le ver Conficker et l’attaque Slowloris. Au sujet du ver, tout, ou presque, aura déjà été écrit. Mais nous relevions, grâce à la pertinence de nos membres, un effet de bord dont il a peu été question au moment de l’épidémie : le problème des systèmes embarqués fonctionnants sous Windows XP. Peu simples d’accès, rarement et difficilement mis à jour et pourtant souvent critiques, de tels systèmes constituent une cible idéale pour les parasites, et Conficker n’a pas fait exception à la règle. La question était d’ailleurs de nouveau d’actualité lorsque nous avons évoqué, plus récemment, les codes malveillants destinés à infecter les distributeurs de billets sous Windows XP.

Quant à Slowloris, si l’attaque elle-même n’a rien de vraiment nouveau, sa simplicité de mise en oeuvre et son efficacité redoutable en ont fait un événement majeur du paysage sécurité récent. Et probablement aussi un moment historique dans la jeune existence de SecurityVibes : l’article écrit à de nombreuses mains, en s’appuyant sur les expériences, les avis et l’expertise de la communauté – et en temps réel s’il vous plaît – constitue probablement encore à ce jour l’article francophone le plus complet et le plus précis sur le sujet. De même, les discussions de la communauté (astuces, workaround, perspectives, règles Snort conseillées, évaluation de modules Apache et retours d’expérience) sont une mine d’information sans égale, que ce soit dans notre section de Questions / Réponses ou dans les discussions à la suite de la première brève que nous avons consacré au sujet dans l’urgence.

Autre tendance majeure de cette première partie de l’année, les soucis endémiques du format PDF, ou du moins de son lecteur officiel d’Adobe. Un train de vulnérabilités successives , toutes ou presque immédiatement exploitées pour des attaques ciblées, a vu s’effriter la côte d’amour de Adobe. Au point que l’éditeur s’est alors décidé à créer un blog dédié à la sécurité afin de centraliser les discussions et les alertes, et d’appliquer rétroactivement à ses produits des méthodes de développement sécurisé.

Du point de vue de la gouvernance, des thématiques telles le DLP et la gestion des identités et des accès (IAM) se sont imposées comme autant de questions centrales, comme nous l’observions lors de nos couvertures des Rencontres de l’Identity and Access Management d’Atheos ou du CSO Interchange à Paris.

Mais si le DLP et l’IAM ne sont plus aussi trendy qu’ils ne l’étaient, quels sont alors les sujets d’avant-garde pour les RSSI ce premier semestre ? Sans conteste le Cloud Computing et le modèle SaaS, véritables ruptures en puissance dans le quotidien du RSSI. Mais aussi, de manière plus pragmatique, l’attitude à observer vis-à-vis du web social. Facebook, LinkedIn… faut-il bloquer, autoriser ou contrôler le Web 2.0 ? Le débat fait encore rage, mais une chose semble acquise : vous savez désormais que vous n’y échapperez pas.

La crise financière internationale, bien entendu, était également sur toutes les lèvres. Mais, poste d’observation privilégié grâce à sa communauté, SecurityVibes a rapidement identifié que, contrairement à la croyance collective, les budgets sécurité ne souffraient pas franchement, voire qu’ils étaient même en augmentation. Seul changement constaté : les contrôles financiers sont désormais renforcés et les dépenses beaucoup plus encadrées. Une observation complémentaire à celle que nous livrait, face caméra et en anglais, Eric Domage, d’IDC.

Cette première partie de l’année a aussi été l’occasion d’aborder des sujets qui vous tiennent particulièrement à coeur à l’occasion des petits-déjeuners débats organisés par SecurityVibes. Ainsi, à la question « Peut-on être à la fois conforme, protégé et ouvert au business« , vous avez répondu « Impossible » ! Vous avez également étés nombreux à discuter des mérites de la gestion des événements sécurité (et surtout, de sa difficulté !) ou – lors de notre premier rendez-vous Londonien – d’une approche de la sécurité par l’analyse de risque.

Nous avons également déniché quelques pépites, de jeunes sociétés peu connues en France qui nous semblaient alors prometteuses. Vous pouvez ainsi découvrir Kalistick, le lauréat du Prix de l’Innovation 2009 des prochaines Assises de la Sécurité. Ou encore Zscaler et CommonIT, deux approches innovantes de la protection de la navigation web. Voire essayer de comprendre Symeos, start-up auvergnate dont nous n’avions initialement pas saisi grand chose à la solution d’authentification web. Le Président fondateur de cette dernière revenait d’ailleurs peu après avec SecurityVibes sur le manque de sécurité du standard OpenID, dans une interview intéressante pour qui envisage de s’ouvrir à ses partenaires via les web services.

Et puis, il y a enfin toutes ces idées parfois farfelues et ces tendances encore un peu décalées qui débarquent sur (et parfois sous !) notre radar. Des moins sérieuses (nous vous avons invité au théatre) aux mieux argumentées (l’UTM se banalise, pourra-t-on continuer à en produire en France ?). Mais il y a surtout le large spectre de l’inclassable entre les deux : disposer d’une équipe de hackers en interne ? Intercepter les identifiants Facebook et GMail de ses propres employés afin de lutter contre la fraude interne via le data mining ? Bannir tout simplement les applications grand public dans l’entreprise ? Ou encore militer en faveur d’une loi contre la consolidation des données ? Ce sont là autant de bribes de réflexions que nous avons soumis à votre sagacité.

Et puis, que penser de la très sérieuse approche de prédiction des crises internes à l’aide des seuls journaux des serveurs d’email ? Ou de ce modèle de classification des incidents conçu spécifiquement pour la fuite des données ? C’est là encore à vous de nous le dire !

Si vous nous avez accompagné jusqu’ici dans cette rétrospective, vous êtes désormais solidement équipés pour braver cette difficile période estivale, si pauvre en actualité sécurité. Et si cette liste de lecture ne devait pas vous suffire, sachez que vous pouvez retrouver[ l’intégralité de nos actualités | http://www.securityvibes.com/browse_news.php] dans nos archives en ligne. Bonne lecture !

Quant à l’équipe de SecurityVibes, elle vous retrouve dès septembre pour défricher avec vous les tendances et l’actualité de la SSI. Avec quelques surprises en prime…