bonjour
la question de fond n'est pas celle du "qui croire", encore moins du niveau de connaissance que l'on doit maîtriser pour se forger une opinion, mais du traitement de l'information et du choix des médias que chacun fait. Bref, la source, encore la source, toujours la source.
Si je lis Libé, ne j'aurais pas nécessairement l'éclairage du Fig. Et si je cherche une information sur la dernière Xantia (véhicule préféré de Jean Luc Convenant, premier vendeur chez Geugène Electro Stim), c'est moins dans la Veillée des Chaumière que dans Auto-Journal que je dénicherais les tuyaux les plus pertinents.
La presse technique telle que celle produite par IDG est "généraliste" (bis repetita, j'y ai bossé une décennie, j'en sais quelque chose). Or, ce qui touche à la crypto est un domaine très technique et très vertical... et pas franchement un sujet qui fera la première page, car "C'est trop professeur Nimbus, Coco... tu me refais le papier pour que je puisse le comprendre, et je le colle en page 3 verso". (car IDG, tout comme le groupe Tests, a eu à sa tête des prétendus patrons de presse qui n'ont jamais tenu un porte-plume de leur vie et qui croient qu'ils sont semblables aux lecteurs des magazines qu'ils vendent... ce qu'ils ne pigent pas, le lecteur ne peut pas le piger)
Il est préférable, dans ce cas, de se rabattre sur des vecteurs d'informations plus orientés sécurité, quitte même à se vautrer dans la littérature de notre chère Agence Nationale de la Sécurité des Systèmes d'Information
https://www.ssi.gouv.fr/, du Clusif
https://clusif.fr/ voir des textes explicatifs rédigés par des gens comme News0ft, comme Jean Philippe Aumasson, comme le déjà cité Renaud Lifchitz, ou plus simplement engager la conversation avec nos petits copains du HZV qui, une fois par mois, se réunissent dans les locaux de l'Electrolab (expliqués par eux, les écrits d'Adi Shamir, le "S" de RSA, semblent bien plus clairs). Nos mondes se côtoient, autant en profiter.
La représentation féminine est généralement évitée précisément en raison de l'iconification de quelques grande spécialistes de la crypto, à commencer par Edy Lamarr que l'on nous ressert à toutes les sauces (quand bien même son parcours est impressionnant
https://fr.wikipedia.org/wiki/Hedy_Lamarr).
Mais j'aurais pu citer Katy Moussouri (doublement "minoritaire" car en même temps femme et ethniquement non "white-american-protestant"), cryptoWoman, Tess Rinearson, Maria Gomez, Window Snyder, Angela Tran Kingyens, Cryptax... sans parler de toutes celles dont je ne connais que le "handle" ou l'alias twitter. Plusieurs femmes publient régulièrement dans le domaine de la crypto. Plusieurs hommes également, mais le sujet est tellement ardu et difficile à vulgariser, et la population crypto tellement susceptible dès qu'un mot n'est pas exactement défini que très peu d'articles sérieux sont publiés dans des revues accessibles au public. Dans ce cas précis, qui est celui de la recherche mathématique appliquée, même si l'on rencontre une forte proportion d'homme, le nombre de femmes est heureusement plus important que dans d'autres secteurs de la sécurité informatique. En revanche, il faut admettre qu'il y a plus d'hommes dans le domaine de la crypto qui ont un sens de la vulgarisation et des contacts média... lorsqu'un cryptanalyste comme Bruce Schneier ou Adi Shamir cause sur une scène, on a à la fois un sacré spectacle et un enseignement de qualité. Plus rares sont les filles qui "aiment se produire en public". Et là, c'est effectivement bien une question de testostérones, d'égotisme masculin... et tout ce que l'on peut imaginer dans ce registre. Et c'est effectivement vraiment dommage. Ce n'est, imho, pas une question de compétence ou de représentativité, mais d'exhibitionnisme.
Vient enfin la question de "l'investissement dans les bouzins". IL N'Y A PAS DE "SOLUTION SECURITE". Trop de responsables d'entreprises, qui n'ont prétendument pas le temps de s'intéresser au "cambouis" de l'infosec, cherchent à résoudre la question avec des machins "qui font tout". Or, ces outils n'existent pas. Tout au plus peuvent-ils garantir une conformité aux normes de sécurité, ce qui minimise les amendes en cas de non respect d'une réglementation. Mais aucune norme, aucun firewall, aucun IDS, aucune "solution cloud" n'éliminera la probabilité d'une faille, d'une fuite, d''un sinistre. Ce mépris souvent observé par des dirigeants d'entreprise fait la joie des vendeurs de soupe... lesquels adaptent leur langage à ce que souhaitent entendre lesdits dirigeants, avec un vocabulaire limité aux 300 mots maîtrisés par un HEC (oui, elle est facile... )
C'était notamment l'attitude du patron d'Orange avant qu'il ne reçoive un coup de fil de l'Elysée, lui expliquant que si l'on entendait une fois de plus le mot "orange" durant le 20H de TF1, il risquait de devoir s'inscrire aux Assedic. Il en faut peu pour faire naître une culture Infosec... à peine 20 secondes de conversation.
La sécurité est un processus, pas un produit (premier axiome). Et de toute manière, la sécurité est un échec permanent (second axiome). Tout au plus peut-on pratiquer une politique du "best effort" pour une échéance donnée, mais un "best effort" dicté par une approche saine et logique des risques, et non la lecture attentive des documents commerciaux des vendeurs d'antivirus (et leurs proches cousins).
c'est un vaste sujet, on peut en parler à loisir, voir organiser une causerie avec les membres du HZV présents ou passés et autres "sérieux" de la sécu (freeman, hackira, nono, goldo etc) sur le thème "qu'est-ce que le chiffrement, qu'est-ce que l'infosec. Je suis persuadé que quelques mythes pourraient être soluble dans l'échange.
Marc