Journal J'ai fait le MOOC de l'ANSSI

Posté par  (Mastodon) . Licence CC By‑SA.
Étiquettes :
60
28
août
2023

Salut les moule·e·s,

Introduction

Je viens de finir le MOOC de l'ANSSI.

Pour faire vite : c'est bien, mangez-en, faites-le, faites-le faire à votre entourage.

Contenu

C'est une introduction sérieuse à la cybersécurité, au travers de 5 modules :

  • Panorama de la Sécurité des Services Informatique (généralités sur les risques cyber, les différentes attaques… )
  • Les principes de l'authentification (les attaques et la gestion des mots de passe)
  • Sécurité sur Internet (précautions à prendre lors du téléchargement d'applications, utilisation d'antivirus… )
  • Sécurité du poste de travail et nomadisme (séparation des usages, chiffrement des supports de données …)

On y apprendra tout le vocabulaire de base, et même un peu plus. De la faille 0day aux attaques par force brute en passant par le chiffrement à clé symétrique ou asymétrique, ça balaye très large dans le domaine, je pense que c'est assez complet. Et même si ça parle principalement de l'entreprise, ça revient très régulièrement à l'usage personnel.

Dans l'introduction Guillaume Poupard (qui était le directeur de l'ANSSI lors de la création du MOOC) le conseille à partir de 15 ans, on est donc bien dans le tout public.

Chaque module vous prendra environ 2h, donc c'est à faire sur plusieurs jours. De plus, chaque module étant lui-même découpé en 4 ou 5 unités, on peut vraiment prendre 15mn par-ci par-là pour avancer.

Un quiz est proposé pour valider chaque unité, il comprend 10 questions, il faut répondre au moins à 8.

Le diplôme (non certifiant) final est obtenu si on a eu 80% à chaque unité, ce qui n'est pas très difficile en soi puisqu'on peut repasser le quiz à volonté.

Pourquoi je l'ai fait

Je suis développeur embarqué (expérimenté), plus ou moins spécialisé dans l'IoT industriel et dans les communications, et je suis convaincu que la cybersécurité doit être envisagée à tous les niveaux du développement d'un produit. Les connaissances de base de cybersécurité doivent me permettre de :
- pouvoir dialoguer et comprendre un expert
- comprendre le pourquoi de ses recommandations
- être capable de lever un drapeau parfois "on serait pas en train de faire de la merde là ? appelons un expert !"

Donc j'envisage de me payer des formations sur le sujet, mais en parlant autour de moi, je suis régulièrement tombé sur : commence par ce MOOC. Donc action.

Mon avis

Je commence par le "pas bien" pour finir sur une note (méritée) vraiment positive.

Pas bien

  • C'est répétitif. Voire un peu lourd parfois. Mais au moins on se dira que les concepts de base sont rentrés en force
  • Certaines questions des quiz sont foireuses, parfois difficiles à comprendre, parfois trop générales qui fait qu'on ne voit pas trop ce qu'ils veulent nous faire dire
  • La musique de fond utilisée (la même pour toutes les unités) est déprimante

Bien

  • C'est gratos
  • C'est complet
  • Globalement on te prend pas pour une buse (même si je modère un peu ce point avec la répétition)
  • Il va t'en rester quelque chose c'est certain

Conclusion

Bon c'est un peu long pour réellement le faire faire à ses gamins ou à son conjoint, mais vraiment en le faisant on ne peut s'empêcher de penser que c'est la culture que tout un chacun devrait avoir. On est noyés dans le numérique, on ne peut plus ignorer les mesures de base.

Même si je me considère comme un utilisateur avancé, je vais personnellement (et professionnellement) insister sur :

  • la généralisation des mots de passe fort sous coffre-fort (je le fais, mais pas partout)
  • une meilleure séparation entre les mondes perso et pro
  • le chiffrement systématique de mes appareils mobiles (ordi, clé USB)

Voilà donc une bonne résolution pour la rentrée : faites ce MOOC vous aussi !

Le lien : https://secnumacademie.gouv.fr/
Le programme détaillé : https://www.ssi.gouv.fr/uploads/2017/05/secnumacademie_plaquette_anssi_recto_verso.pdf

  • # Programme détaillé?

    Posté par  (site web personnel) . Évalué à 3.

    Je ne trouve pas le programme détaillé. Il faut s'inscrire pour l'avoir?

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: Programme détaillé?

      Posté par  (site web personnel) . Évalué à 10.

      Ah trouvé: https://www.ssi.gouv.fr/uploads/2017/05/secnumacademie_plaquette_anssi_recto_verso.pdf

      Ça a l'air d'être une initiation, pas forcément intéressant pour les cybersécurimoules.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Programme détaillé?

        Posté par  (Mastodon) . Évalué à 10.

        Ça a l'air d'être une initiation

        Ça l'est.

        pas forcément intéressant pour les cybersécurimoules.

        Ça dépend où tu mets le curseur. Je savais déjà tout et pourtant j'ai pas mal appris.

        Si tu travailles dans le milieu, oublie.
        Si tu lis MISC depuis le numéro un, oublie aussi.
        Si t'es sensibilisé à la chose, que t'as lu 4 trucs par-ci par-là, que tu crois savoir…. fais-le (en gros c'était mon cas)
        Si t'es un quiche et que tu le sais, fais-le aussi, ça part en effet de très bas, aucune difficulté (sauf que là tu devras réellement tout lire, et tu vas y passer sûrement plus de temps que moi).

        Toujours pareil, te dire ce que tu sais à peu près mais de manière structurée et précise, c'est un vrai apport.

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Programme détaillé?

        Posté par  (Mastodon) . Évalué à 5.

        Et merci pour le lien du programme détaillé, je l'ai ajouté dans le journal.

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Programme détaillé?

        Posté par  . Évalué à 9.

        Là où je bosse, on vend une solution de sécurité. On demande à tous les nouveaux entrants non technique de le suivre ; on le conseil aux techniques hors spécialistes de sécurité.

  • # logs du mail de confirmation pour l'inscription

    Posté par  . Évalué à 2.

    août 29 15:29:11 paglop postfix/smtpd[3224360]: NOQUEUE: reject: RCPT from ows-148-253-96-233.cloudgouv-eu-west-1.compute.outscale.com[148.253.96.233]: 554 5.7.1 Service unavailable; Client host [148.253.96.233] blocked using cbl.abuseat.org; Error: open resolver; https://www.spamhaus.org/returnc/pub/2001:41d0:a:694c::1; from=inscription@secnumacademie.phosforea.com to=anssi@foobar.com proto=ESMTP helo=

    août 29 15:29:11 paglop postfix/smtpd[3224360]: using backwards-compatible default setting smtpd_relay_before_recipient_restrictions=no to reject recipient "anssi@foobar.com" from client "ows-148-253-96-233.cloudgouv-eu-west-1.compute.outscale.com[148.253.96.233]"

    août 29 15:29:11 paglop postfix/smtpd[3224360]: disconnect from ows-148-253-96-233.cloudgouv-eu-west-1.compute.outscale.com[148.253.96.233] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6

    Ahlala…

    Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr

  • # Ici c'est obligatoire

    Posté par  (site web personnel) . Évalué à 5. Dernière modification le 31 août 2023 à 15:45.

    Dans ma boite, on a mis ça obligatoire pour les nouveaux arrivants, quel que soit le poste, technique ou non. Tout le monde y arrive, même les comptables.

    Je pense qu'un gamin en CM peut tout à fait le faire par exemple l'été en remplacement des devoirs de vacances. C'est long mais on peut mettre le temps qu'on veut. Et c'est rassurant de savoir que le personnel non technique a conscience de ses potentielles erreurs.

    Pour l'instant à ma connaissance personne n'est arrivé à péter le moodle pour avancer plus vite. La formation est assez basique. Sauf le chapitre sur le chiffrement qui est un peut hard pour les novices. Elle constitue toutefois une bonne base pour éviter de se faire pwned par un mail foireux ou une clé USB channel qui traîne dans l’ascenseur.

  • # Merci, l'ANSSI

    Posté par  (site web personnel) . Évalué à 5.

    C'est une super bonne nouvelle.

    Dans le cadre professionnel j'ai été audité par de nombreuses boîtes de conseil spécialisées en "sécu", elles m'ont toutes bien fait rire avec leur "sécurité en plastique" et leurs QCM sans fin et inadaptés. Sauf l'ANSSI (deux fois), où 1/ les rapports n'était pas une diarrhée générée par un outil automatique avec 3 bits d'info utile cachés dans 250 pages, 2/ l'auditeur était vraiment compétent et on pouvait engager une discussion pro ET améliorer ses pratiques.

    J'espère que l'ANSSI va garder le cap longtemps et qu'aucun de nos décérébrés de dirigeants politiques va l'exploser sur un coup de tête. C'est pas passé loin pour l'ASN il y a peu, et je vois pas mal de façons selon lesquelles l'ANSSI pourrait vexer des gens, si jamais ils donnaient un peu plus leur avis sur la sécurité des données des concitoyens et comment c'est (pas) géré…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.