jeudi 15 décembre 2016

Si seulement il neigeait... Tu nous manques

Couleurs sombres, peu de clair... Si seulement il neigeait...
Tu nous quittais hier, et nous sommes aujourd'hui,
malgré le froid, l'hiver, qui malmènent nos cœurs
réunis frères et sœurs, ta famille, tes amis.

Rien ne va aujourd'hui... Si seulement il neigeait...
Sont-ce mes larmes, est-ce la pluie, qui ruisselle et m'offense ?
Malgré les mots gentils, chuchotés bruyamment,
figeant nos sentiments dans un morne silence.

Quelle funeste pénombre... Si seulement il neigeait...
Comme ces temps nous furent sombres, vides d'espoir, vacillants.
Tant de fantômes, tant d'ombres, t'accompagnent en ce jour
comme autant de cris sourds et d'échos lancinants.

Quand le froid de mon cœur, le dispute à l'hiver,
pour tes filles et tes sœurs, quand reviennent les flocons,
quand un an de bonheur, de l'avent me rapproche
je souligne dans la roche, ni oubli ni pardon.


Jess - la vie est poésie

lundi 6 juin 2016

FullStack Infosec practitionner

En écho au contrat de genération CyberSécurité animé par @ISSA_France autour du Cyber Security Career Lifecycle (#CSCL) et aux articles #InfoSec challenges de @helpacsoout que j'avais eu plaisir à lire, voici un petit florilège actualisé que ma <3 @NathPlanteur <3 et moi avons eu le plaisir de vous compulser, enjoy!


1. Avez-vous déjà passé une certification sécurité ?
  • sur un sujet qui ne vous intéresse pas ?
  • sur un sujet "juste pour le fun" ?
  • que vous recommandez (#askingforafriend) ?

2. Avez-vous déjà contribué à la formalisation d'un schéma directeur sécurité ?
  • ou rédigé un schéma directeur sécurité vous-même ?
  • avec un budget ?
    • relatif à l'amélioration des 10% restant ?
  • et présenté ce schéma directeur sécurité au Board ?
    • et arbitré vos mesures après présentation au Board ?

3. Avez-vous déjà contribué à la rédaction une analyse de risques ou d'une politique de sécurité ?
  • ou rédigé vous même une analyse de risques ou une politique de sécurité. Ou les deux ?
  • ou validé une analyse de risques ou une politique de sécurité rédigée(s) par un autre ?
  • et présenté les conclusions au Board ?
  • et argumenté avec un auditeur externe sur la pertinence de vos documents ?

4. Avez-vous déjà dirigé le processus de certification de votre organisation (27x, pcidss, passi, etc) ?
  • et pris la responsabilité d'un retard de conformité ?
    • limitant de fait les capacités opérationnelles de vos métiers ?
  • et changé d'auditeur en cours d'audit pour une raison quelconque ?

5. Avez-vous déjà conçu un support de sensibilisation pour les utilisateurs de votre Système d'Information ?
  • pour des utilisateurs techniques et non techniques ?
  • et animé une "première" séance de sensibilisation ?
  • et animé une séance de sensibilisation pendant laquelle les utilisateurs sont demeurés intéressés du début à la fin ?
    • alors que cette séance est la n-ième à laquelle ils participent ?

6. Avez-vous déjà été confronté à la gestion d'un incident de sécurité ?
  • dans un cadre dépourvu de toute organisation ou procédure adaptée ?
  • pour un environnement sur lequel vous étiez responsables des contrôles ?
  • avec une compromission totale de votre SI (technique ou métier) ?
  • un vendredi 14 juillet ?
  • monté en épingles sur les réseaux sociaux ?
  • que vous apprenez par email de la part d'un tiers ?
  • que vous êtes obligés de notifier à un ou des tiers ?
  • impactant les Systèmes d'Information de tiers ?
    • et déclenché les garanties de votre couverture en responsabilité civile ?
      • et essuyé un refus de couverture par votre assureur ?

7. Avez-vous déjà accompagné votre Direction dans la rédaction d'un plan de continuité d'activité ?
  • et dirigé les opérations dans le cadre d'un plan de reprise d'activité ?
    • et "planté" la bascule en mode dégradé pour une raison quelconque ?
      • pour une raison connue de tous pour laquelle vous étiez jusqu'à présent l'oiseau de mauvais augure ?
  • et dirigé les opérations dans le cadre d'un plan de relocalisation des fonctions essentielles ?
    • et déplacé vos x fonctions sensibles sur un site de répli ne disposant que de x/2 positions ?
  • et dirigé un exercice de gestion de crise ?
    • pour lequel vous "tuez" le directeur de crise dans les 5 premières minutes de l'exercice
    • pour lequel 1/4 de la cellule de crise est toxique sans que les autres participants en soient informés ?

8. Avez-vous déjà dirigé un audit fonctionnel ?
  • que vous avez réalisé vous-même ?
  • sans possibilité d'entretien (questionnaires uniquement) ?
  • sans possibilité de questionnaire (entretiens uniquement) ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

9. Avez-vous déjà dirigé un audit technique ?
  • que vous avez réalisé vous-même ?
  • sur la base de preuves d'audits fournies par un tier (mais vos scripts) ?
    • pour lesquelles vous avez-vous même développé les scripts d'audit ?
  • sur une base exclusivement documentaire (spécifications) ?
  • et interrompu l'audit suite à l'identification d'un point de compromission ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

10. Avez-vous déjà dirigé des tests d'intrusion ?
  • que vous avez réalisés vous-même ?
  • sur un axe de travail "red team" (pas de contrainte de temps ou de périmètre) ?
  • sur un axe de travail "ingénierie sociale" ?
  • avec validation d'un scénario impactant la disponibilité de composants essentiels ?
    • entrainant une indisponibilité effective des composants cibles ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

11. Avez-vous déjà piloté une organisation de veille opérationnelle en vulnérabilités ?
  • et réalisé la veille vous-même ?
  • lors de la publication d'une vulnérabilité écarlate ?
    • un vendredi 14 juillet ?
  • et arbitré un report de correction d'une vulnérabilité écarlate pour des contraintes métier ?
    • et déclenché votre gestion de crise suite à l'exploitation "malvenue" de ladite vulnérabilité ?
  • et forcé l'application ASAP de correctifs de sécurité ?
    • avec effets de bord et retour arrière ?

12. Avez-vous déjà administré toute ou partie d'un Système d'Information ?
  • dans un environnement professionnel ?
  • avec une DSI de x/2 collaborateurs avec x nécessaires aux opérations quotidiennes ?
  • composé d'éléments non maintenus ou obsolètes ?
  • en préparation de fusion avec le Système d'Information d'un tiers suite à un rachat ou une fusion ?

13. Avez-vous déjà développé un logiciel ?
  • dans un environnement professionnel ?
  • pour lequel vous avez au préalable formalisé les spécifications et le cahier de recette ? 
    • auxquels vous avez adjoint un cahier de recette sécurité ?
  • pour lequel vous avez assuré seul le développement ?
  • pour lequel vous avez travaillé en équipe ?
  • que vous avez publié en open source ?
  • avec un processus de V&V intégrant suivi des vulnérabilités et des correctifs ?

14. Avez-vous déjà publié articles et/ou livres ?
  • et présenté vos travaux lors d'une conférence ?
    • sans connaitre les organisateurs ?
  • sur un sujet que peu maitrisent ?
  • sur un sujet que beaucoup maitrisent ?

Question bonus : pouvez-vous réaliser demain (seul ou accompagné) toutes les réponses précédentes auxquelles vous avez répondu oui ? :-)

PS : Merci @helpacsoout, @helkhoury et @philoupas !

Jess - @JessicaGallante






lundi 1 février 2016

J'aime tant comme elle écrit

J'aime tant comme elle écrit, elle s'applique, elle répète
Dodeline de la tête, tellement passionnée
Par ces lettres à tracer, à l'encre ou au crayon
Son nom ou son prénom, parfois les miens aussi.

J'aime tant quand elle me lance, "Comment s'écrit ce mot ?"
Pour écrire aussitôt, toute seule toute sage
Sur d’innombrables pages, avec tant d'attention
Cette image d'un son, qui pour elle fait sens.

Assise à ses côtés, je profite en silence
De ces joies de l'enfance, instants d'éternité.

Jess - la vie est poésie