Archives quotidiennes :

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde

Clé USB perdue pour un hôpital, 29 000 patients concernés

La fuite de bases de données peut prendre de multiples formes. La perte d’un support de stockage contenant des informations sensibles médicaux par exemple.

Ca n’arrive pas qu’aux autres – 29 000 patients de l’hôpital universitaire Arnett de l’Indianna viennent d’être alertés d’un problème concernant leurs dossiers médicaux. Le centre hospitalier a alerté la justice de l’Etat à la suite de la « perte » d’une clé USB. Dans le support de stockage de l’University Health Arnett Hospital, des informations de santé de milliers de patients. La clé n’était pas chiffrée, n’avait pas de mot de passe. Le document n’était pas protégé contre les lectures non autorisées. Plus grave encore, les données couraient de novembre 2014 à novembre 2015. Quid des autres sauvegardes et de la sécurité de ces dernières ?

A noter, qu’en France, ce mardi 11 janvier, un hébergeur Lillois a été attaqué par un pirate informatique Turc. Des cabinets dentaires, des sites d’infirmiers et infirmières Français ont été impactés par cette attaque. Impossible de savoir si des données sensibles ont été collectées par le malveillant.

BYOD, Cybersécurité, Entreprise, IOT

Les opérateurs telcos & FAI : des cibles de choix pour les pirates

Alors que le nombre de clients et d’objets connectés ne cesse de croître, les opérateurs de télécommunications et fournisseurs d’accès Internet (ISP) doivent plus que jamais assurer le service au client tout en protégeant leur système d’information des attaques informatiques. Ces entreprises doivent toujours fournir des services disponibles et très rapides à leurs clients, même lorsqu’ils sont sous une attaque de type DDoS. Cela suppose de posséder une infrastructure performante et sécurisée prenant en charge de nouvelles charges de travail et des applications comme la téléphonie mobile, le BYOD (Bring Your Own Device) et l’Internet des objets. Mais parviennent-ils à répondre à ces attentes ? Quelles sont leurs méthodes ?

On pourrait croire que les opérateurs et FAI sont les entreprises les plus averties et conscientes des enjeux liés à la sécurité de leurs serveurs DNS. Or, l’expérience montre que lors d’une attaque les systèmes de sécurité traditionnels qu’ils utilisent ne sont pas ou plus adaptés aux nouvelles menaces. L’approche traditionnelle des FAI consiste à empiler les serveurs et les équilibreurs de charge pour soutenir l’augmentation du trafic, même s’ils ne connaissent pas vraiment le profil du trafic et ignorent pourquoi il augmente. Les solutions de sécurité DNS traditionnellement utilisées fonctionnent à “l’aveugle” et ne sont pas en mesure de comprendre ce qu’est réellement le profil de trafic sur ces serveurs. Les applications actuelles sont toutes basées sur le protocole IP et si un serveur DNS ne répond pas avec la performance attendue ou si elle est trop faible, toutes les applications seront inaccessibles ! Une cyberattaque a donc un impact négatif très rapide et directe sur l’entreprise, ses utilisateurs et ses clients. Les entreprises de télécommunication et les FAI se rendent compte que la faible sécurité DNS dégrade Internet et la disponibilité mais n’ont pas la bonne visibilité pour
comprendre et gérer cette infrastructure.

Une sécurité DNS mal gérée pour les telcos
De nombreux opérateurs de télécommunications et fournisseurs de services Internet pensent que le blocage du trafic est LA solution aux problèmes de DNS. Malheureusement, les attaques sont de plus en plus sophistiquées et il est de plus en plus difficile de comprendre le modèle, la source ou la cible d’attaque. Toutefois, bloquer simplement le trafic peut conduire à bloquer celui d’un client important, d’une société ou même un pays si l’information nécessaire à la bonne prise de décison n’est pas disponible. Les récentes attaques sur Rackspace ou DNS Simple ont démontré la limite des solutions de sécurité classique et DDoS, pour protéger les services DNS. L’attaque DDoS du fournisseur de services Rackspace a paralysé ses serveurs DNS pendant 11 heures. Pour faire face à cette attaque, l’entreprise a bloqué le trafic qu’il pensait être à l’origine de l’attaque, malheureusement ils ont admis avoir bloqué aussi du trafic légitime venant de leurs clients. Le même mois, DNSimple fait face une attaque similaire et décide finalement de désactiver le mécanisme de sécurité DDoS du DNS pour retrouver un service normal de résolution de noms.

Dans les deux cas, les entreprises ont pris des mesures radicales qui prouvent que les solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les entreprises restent vulnérables.

Des attaques aux conséquences lourdes …
La sécurité du DNS est mal gérée dans de nombreuses organisations informatiques et l’écosystème de la menace est apte à lancer des attaques où le serveur DNS peut être la cible ou un vecteur pouvant entraîner :
– Échec ou lenteur de l’accès à des sites Web et des applications
– Reroutage du trafic Web vers des sites Web non-autorisés et potentiellement criminelles entraînant des vols de données, une fraude d’identité, …

Au-delà de ces dommages, les entreprises de télécommunications investissent énormément dans leur infrastructure (pare-feu, load-balancer, monitoring…) pour faire face aux cyberattaques. Or, ce genre d’administration et de dépenses peuvent paraître excessives quand ces solutions ne savent pas exactement ce qui se passe. Quand on ne peut pas voir la source d’une attaque, y répondre s’avère risqué .

… mais contournables
Un fait important : 95% du trafic se focalise sur un minimum de nom de domaines souvent demandés (Ex : google, Facebook, sites d’informations,…). Partant de ce constat, la priorité est d’être réactif pour assurer un accès à ses utilisateurs, quel que soit le cas de figure. On a pu mesurer qu’en moins de cinq minutes, un opérateur peut perdre l’accès à ces 95% de trafic ; un timing limité pour prendre conscience de l’attaque et prendre une décision pour la contrer efficacement.

Heureusement, certains fournisseurs et éditeurs de solutions de sécurité DNS ont développé des technologies pour voir l’attaque de l’intérieur, ils peuvent donc effectuer une analyse plus fine ; une analyse qui permet de proposer une sécurité adaptative ou graduelle. Dans les cas extrêmes, la solution consiste à ne plus répondre qu’avec les données en cache et refuser les requêtes inconnues. C’est 95% du trafic qui est ainsi traité, ce qui constitue une bonne alternative et permet de gagner du temps pour répondre à la menace. Serait-ce la solution miracle pour limiter l’impact d’une attaque ? Il serait alors possible de mettre à la corbeille les multitudes de pare-feu, serveurs et autres équilibreurs de charge, coûteux en terme de gestion et pesant lourd dans le budget des entreprises de télécommunication. (Par Hervé DHELIN, EfficientIP)

Argent, Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Patch

Sécurité en ligne : la méfiance des Français est-elle mère de sûreté ?

La cybercriminalité se développe aussi vite que les technologies et il n’est pas surprenant que cela rende les consommateurs méfiants lorsqu’on leur demande de saisir des données personnelles en ligne. C’est le cas pour 63% des Français selon une étude récente Dashlane menée par Opinionway. Il est plus étonnant de constater le décalage avec les Américains, qui, s’ils ne sont pas moins touchés par les piratages, sont beaucoup moins méfiants lorsqu’ils doivent saisir des informations personnelles sur internet (seulement 35%).

L’explication est bien sûr en partie culturelle. La France est un pays où, depuis Descartes, on considère que l’intelligence s’illustre par la capacité à douter. En face d’un phénomène nouveau, les consommateurs doutent donc tant qu’ils ne disposent pas des garanties permettant de lever leurs interrogations. Aux Etats-Unis, l’optimisme est une valeur. C’est lui qui permet la « poursuite du bonheur » inscrite dans la déclaration d’indépendance, et la foi en un futur meilleur, « l’American Dream ». Si la sécurité en ligne était un verre d’eau, ou de Coca Cola, les Américains auraient ainsi tendance le voir à moitié plein. Les dangers du web ne sont pas pour eux une raison de ne pas profiter des formidables innovations qu’il apporte. On n’aurait en effet pas conquis l’ouest américain si l’on s’était focalisé sur les risques. Pour les Français, le verre est souvent à moitié vide. Ils sont plus réticent à adopter un service qui risque de perturber leur quotidien, de remettre en cause leur statut…

Pour rassurer les consommateurs, les éléments à leur fournir sont également différents. Selon la même étude, c’est d’abord la réputation de la marque qui met en confiance les Américains (47%), alors que les Français sont 68% à citer le petit cadenas vert, symbole d’une connexion sécurisée, comme facteur de confiance numéro 1. Là encore, le scepticisme des Français les conduit à chercher des preuves concrètes de sécurité plutôt que de faire confiance a priori aux marques.

On serait tenté de donner raison aux Français, tant sont nombreuses les grandes marques qui connaissent des failles de sécurité sur leur site web. En s’intéressant d’abord à un élément factuel de sécurité, la connexion https et son symbole, le petit cadenas vert, les Français ne seraient-ils pas des précurseurs ? Quand ils naviguent sur le web, souris en main, ils souhaitent des signaux clairs pour les rassurer ou leur indiquer les dangers, comme lorsqu’ils sont au volant de leur voiture. Le cadenas https est pour eux la même chose qu’un panneau route prioritaire qui leur dit « C’est bon vous pouvez rouler à 90. ».

La conduite sur route est aujourd’hui énormément guidée par la signalisation (panneaux, lignes, ralentisseurs etc….) au point qu’on y prête à peine attention. Grâce aux efforts de standardisation, on s’y retrouve même lorsqu’on circule loin de chez soi à l’étranger. Mais qu’en est-il du web ? N’est-il pas nécessaire de définir, au-delà du chiffrement de la connexion (https) d’autres standards de sécurité, ou de confidentialité, qui pourraient être vérifiés par des tiers indépendants et illustrés par une signalisation uniforme ?

Au cours des deux dernières décennies, on a vu se développer les « autoroutes de l’information ». Nous sommes bien sur la « route du futur » que Bill Gates annonçait par son livre en 1997. Nous avons juste oublié de tracer les lignes blanches et de poser les panneaux. (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane)

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch

Quelles sont les nouvelles missions de la DSI à l’ère du cloud ?

Ce n’est plus une surprise aujourd’hui que le recours au cloud représente une transformation importante et stratégique pour les entreprises et va parfois de pair avec certaines inquiétudes concernant la place de la DSI. Les questions qui découlent de cette stratégie technologiques sont nombreuses : la DSI a-t-elle encore un rôle à jouer à l’ère du cloud ? Ce rôle doit-il évoluer et si oui, dans quelle(s) direction(s) ?

Dans de nombreuses entreprises, la DSI cherche avant tout à créer un socle informatique commun à l’ensemble des salariés : ce dernier doit être stable, afin d’éviter les interruptions de l’activité et permettre à chacun d’acquérir une excellente maîtrise des outils ; il doit aussi être sécurisé, afin de garantir une confidentialité optimale des données. De ces impératifs résultent des cycles informatiques longs, pouvant durer entre 3 et 5 ans avant que l’on n’envisage de changements significatifs des outils utilisés. Aujourd’hui, ce cycle long montre ses limites face à une économie toujours plus réactive où le time-to-market se réduit et où l’on recherche une plus grande agilité. Les entreprises doivent souvent faire preuve de rapidité pour répondre aux besoins du marché, une rapidité à laquelle leur infrastructure n’est pas toujours adaptée.

La DSI est donc confrontée à un paradoxe : d’un côté, offrir à l’entreprise de la stabilité afin qu’elle gagne en productivité et en sécurité ; de l’autre, s’adapter à de nouveaux usages dans un contexte où tout concorde pour que l’environnement soit instable. Un paradoxe d’autant plus présent dans les secteurs où les entreprises traditionnelles sont concurrencées par des start-up très agiles.

Mais alors, quelles craintes font naître ces évolutions ?
Tout d’abord il y a le « shadow IT ». La DSI y est confrontée de manière quasi récurrente : les salariés souhaitent décider eux-mêmes des outils les plus appropriés pour accomplir leurs missions ; il leur arrive ainsi d’en adopter certains sans l’aval des services informatiques, créant alors une véritable «informatique de l’ombre». Par conséquent, la DSI hérite souvent de la maintenance de ces dispositifs qu’elle n’a pas choisis et de la gestion des problèmes de compatibilité.

Puis vient la perte d’influence. Pendant longtemps, seule la DSI a eu le pouvoir sur les outils utilisés dans l’entreprise lui permettant de s’opposer à l’utilisation d’un logiciel si elle estimait qu’il ne répondait pas aux critères établis. Aujourd’hui, comme l’illustre la présence du shadow IT, les entreprises sont beaucoup plus ouvertes sur l’extérieur. Les directions métier, par exemple, ont accès à un large panel d’applications web qu’elles peuvent mettre en place en quelques clics. Le processus de décision est donc souvent plus rapide que la chronologie traditionnelle (évaluation des ressources techniques et budgétaires nécessaires, étude des risques, prise de décision, planification, déploiement) qui exigeait souvent plusieurs semaines voire plusieurs mois. En conséquence, la DSI peut craindre une certaine perte d’influence.

Enfin, reste l’automatisation. La plupart du temps, les logiciels basés sur le cloud hébergent les données au sein d’un datacenter extérieur à l’entreprise, dont la gestion est donc assurée par des tiers. De même, ces logiciels permettent souvent d’automatiser ou de simplifier des tâches autrefois placées sous le contrôle de la DSI : l’allocation des ressources, la configuration de chaque poste, le déploiement de nouvelles applications, etc. Ainsi, bien souvent, la DSI n’est plus la seule à impulser des décisions quant aux choix technologiques de l’entreprise. Les directions métier s’invitent aussi dans le débat, suggérant l’adoption de nouveaux outils. C’est sur ce type de projet que la DSI est la plus susceptible de ressentir une perte d’influence. Le risque est moindre lorsque les projets concernent l’entreprise dans son ensemble car la DSI conserve alors son pouvoir de prescription et de décision.

DSI, métiers, vers un juste équilibre ?
La situation actuelle entre DSI et directions métier n’est pas si préoccupante que l’on pourrait le croire. En effet, une étude menée par Verizon a démontré que seules 16% des entreprises étaient prêtes à investir dans le cloud sans l’aval de la DSI. A l’inverse, pour 43% d’entre elles, ce type de décision implique toujours une validation préalable de la DSI tandis que 39% prennent une décision collégiale associant directions métier et DSI. Le fait d’associer la DSI aux décisions ne se résume pas à valider la sécurité des choix technologiques, au contraire. La DSI permet, pour plus de la moitié des entreprises interrogées, d’optimiser les coûts et de réduire la complexité du processus. En réalité, il ne s’agit pas de créer un clivage entre DSI et directions métier mais de les réunir autour d’un objectif qui les rapproche : assurer la croissance de l’entreprise. Cela passe souvent par la mise en place de nouveaux business models permettant de développer le portefeuille clients ou de fidéliser les clients existants. Dans la poursuite de cet objectif, le cloud apporte une agilité accrue.

Le fait de solliciter l’IT offre à toute entreprise des bénéfices qui restent indéniables :
La DSI se porte garante du bon fonctionnement du système – Si le téléchargement d’un logiciel classique peut se faire à l’insu de l’IT, le cloud implique nécessairement de se pencher sur des questions comme la sécurité, la bande passante, l’interopérabilité. Sur ces sujets pointus, seule la DSI est en mesure d’intervenir afin de mettre en place de nouvelles fonctionnalités tout en préservant la cohérence du système d’information. Elle a en effet la maîtrise des questions de gouvernance : proposer de nouveaux produits et services, améliorer les processus et la fluidité des échanges…

La DSI peut apporter un accompagnement – Tout changement fait naître des inquiétudes et de manière générale, les utilisateurs n’acceptent un nouveau système que lorsque celui-ci apporte une amélioration significative de leurs conditions de travail. A l’inverse, si ce système se révèle plus complexe que le précédent, on accroît le risque de shadow IT. Il est donc primordial de faire coopérer la DSI et les métiers.

La DSI a un réel pouvoir de prescription – elle n’a pas pour seule mission de répondre à des besoins exprimés par les directions métier. Elle cherche aussi à les anticiper. Sa position la place à l’écoute des évolutions technologiques, elle est aussi gardienne de la mémoire des systèmes d’information de l’entreprise et peut donc impulser des innovations pour que l’entreprise gagne en modernité et en efficacité.

En conclusion, il ressort de ces constats que la DSI, loin d’être menacée par le développement du cloud, peut au contraire tirer profit de sa maîtrise technologique pour accompagner les directions métier et leur proposer des solutions à forte valeur ajoutée. Elle retrouve ainsi toute sa place dans la stratégie de l’entreprise. (Par Philippe Motet – Directeur Technique chez Oodrive)