Pour ceux qui sont nés après l'ère des mini-ordinateurs (co-terminus avec le Star Trek original), le dilithium est le carburant utilisé pour alimenter un système de propulsion à noyau de distorsion nécessaire aux voyages interstellaires.
Le dilithium est à la fois naturel et rare, et lorsqu'il fond, à cause de la surutilisation du noyau de distorsion, le vaisseau spatial est fondamentalement kaput. Cette métaphore a du sens si vous continuez à lire. J'aurais pu utiliser « The Russians Are Coming », de la même époque, mais cela aurait peut-être semblé trop sur le nez. C'est donc le Dilithium.
La Russie a récemment intensifié l'opération de piratage qui nous a amené SolarWinds et nous semblons nous saboter avec un logiciel insuffisant pour les employés pour gérer certaines des plus grandes entreprises technologiques (en parlant de vous, Amazon). Aucune de ces tendances / événements n'est bonne et elles peuvent être évitées car il existe des produits sur le marché si nous les utilisons uniquement.
Deux articles du New York Times alimentent cet article. L'un concerne la récente opération de piratage informatique russe lancée sous le nom de SolarWinds. L'autre concerne l'incapacité embarrassante d'Amazon (dans la mesure où elle peut être embarrassée) à construire les systèmes nécessaires qui l'aident à gérer le personnel.
Les espions seront des espions
Premièrement, selon Microsoft, tout semble lié à la Russie. Après avoir fait profil bas pendant un certain temps, Microsoft a déclaré que le service de sécurité russe avait lancé une nouvelle attaque contre le cyber-tout américain pour voler des données et perturber les entreprises ainsi que le gouvernement.
Mais vous ne voudrez peut-être pas rejeter tout le blâme sur les Russes. John Hultquist, vice-président de l'analyse du renseignement chez Mandiant, qui a détecté le premier piratage de SolarWinds, a simplement noté que « les espions vont espionner ».
Selon Microsoft, au cours des trois dernières années, il a détecté plus de 20 000 tentatives d'attaques provenant du reste du monde, alors qu'il a déclaré avoir récemment informé plus de 600 organisations d'environ 23 000 tentatives sur leurs systèmes à partir d'un petit nombre de pays dont la Russie.
« Les espions vont espionner » se résume à un aveu tacite que les entreprises américaines n'ont peut-être pas appris leur leçon et n'ont pas suffisamment renforcé leur cybersécurité après les derniers événements de ce genre.
Il semble que dans la fuite en avant du centre de données vers le cloud, certaines entreprises aient pu avoir l'illusion que leur sécurité était désormais sous-traitée aux fournisseurs d'infrastructure. Vous pouvez supposer que la sécurité physique est désormais la responsabilité de quelqu'un d'autre, mais il existe d'autres niveaux de sécurité qui ne sont peut-être pas aussi à l'épreuve des balles.
L'informatique doit participer
Tout le piratage se fait sans agression physique. Cela ne devrait pas être une publicité pour Oracle, mais si vous couvrez l'industrie, vous pouvez fermer les yeux et repenser aux dernières conférences OpenWorld où le CTO Larry Ellison a présenté les avantages de la base de données autonome et de Linux autonome de sa société.
Le schtick d'Ellison inclurait toujours le terrible avertissement selon lequel le service informatique moyen prend environ 13 mois pour appliquer un correctif une fois qu'une vulnérabilité est détectée et qu'un remède est mis à disposition. Vous n'avez pas besoin d'être un météorologue pour savoir dans quelle direction le vent souffle, et vous n'avez pas besoin d'opérer à une vitesse fulgurante pour pouvoir perturber des systèmes qui mettent plus d'un an à vous geler.
Les espions vont espionner et les loups vont chasser, mais les chiens de berger doivent aussi être en patrouille. L'informatique doit jouer son rôle et il semble que trop de dirigeants prennent leur temps ou même rejettent les conseils de Microsoft et d'autres pour renforcer leurs systèmes. (J'ai failli écrire vacciner leurs systèmes mais, encore une fois, peut-être trop sur le nez ?)
Pour certains, les articles que j'ai lus sur ce piratage ne disent pas un mot sur la pénétration des systèmes cloud d'Oracle, mais c'est peut-être juste un oubli. Là encore, pourquoi travailler dur pour surmonter la sécurité d'Oracle alors qu'il existe d'autres cibles plus faciles ?
Les problèmes RH d'Amazon
Pour ne pas être en reste, il semble qu'Amazon pourrait donner une aide involontaire aux méchants qui ont l'intention de perturber les affaires et la chaîne d'approvisionnement. Il semble que les systèmes internes d'Amazon, dédiés à la gestion des congés des employés, avec ou sans salaire, semblent ne pas être à la hauteur des exigences d'une main-d'œuvre dépassant largement le million et en croissance rapide.
C'est en quelque sorte la vieille histoire des enfants du cordonnier marchant pieds nus. Il existe de nombreux exemples dans la presse d'employés sous-payés ou licenciés par erreur et, ayant épuisé leurs réserves, faisant faillite, perdant des voitures et accrochant des objets de valeur, comme leurs alliances, pour garder un toit au-dessus de leur tête pendant qu'ils essaient d'arranger les choses .
Avec un effectif aussi important, vous pouvez imaginer que lorsque des systèmes comme celui-ci tombent en panne, il n'y a pas assez de personnes dans les RH pour gérer la charge de travail, ce qui entraîne des difficultés inutiles.
Dans une situation particulièrement accablante, un travailleur d'Amazon dans l'État de Washington a été licencié parce que les politiques de congé sans solde d'Amazon ne correspondaient pas aux exigences légales de son État d'origine.
J'aimerais être charitable et dire quelque chose comme tout le monde fait des erreurs ou se tromper est humain, mais ces bromures semblent grossièrement inadaptés à l'industrie et à l'époque dans laquelle nous vivons. Selon l'article, l'entreprise semble avoir consacré son attention à l'expérience utilisateur plutôt que les écrous et les boulons pour maintenir la machine en marche.
Si c'est vrai, Amazon est loin d'être unique. Les nouvelles récentes contiennent également de nombreux articles dans le Wall Street Journal et ailleurs sur Facebook qui s'efforce de préserver le statu quo qui soutient le mieux son modèle commercial plutôt que d'apporter des modifications substantielles à ses systèmes qui peuvent protéger les utilisateurs.
Dernières pensées
Nous utilisons des métaphores comme le dilithium pour expliquer des concepts difficiles et la fusion est une illustration certaine qu'un système échouera, peut-être de manière catastrophique, à moins que nous n'agissions.
La sécurité du système et la prise en charge des processus métier internes ne rapportent pas d'argent, pas directement du moins, mais ce sont les ingrédients nécessaires de la sauce secrète. Ne pas s'occuper de ceux-ci – et des échecs qui en résultent et qu'ils peuvent prévenir – est un symptôme de l'époque et de l'immaturité persistante de l'industrie.
Si l'un de ces éléments résonne, il est peut-être temps de mettre à niveau.
Les opinions exprimées dans cet article sont celles de l'auteur et ne reflètent pas nécessairement les vues d'ECT News Network.
Laisser un commentaire