Archives de catégorie : Base de données

Base de données, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Les Services de Renseignements Danois se penchent sur la sécurité informatique

Dans son rapport baptisé « Intelligence Risk Assessment 2015 – An assessment of developments abroad impacting on Danish security« , le Danish Defense Intelligence Service, revient sur les problématiques rencontrés par les services secrets Danois.

Dans son dernier rapport en date, baptisé « Intelligence Risk Assessment 2015« , les Services de Renseignements Danois (DDIS) reviennent sur une année 2015 chargée. Le Danish Defense Intelligence Service s’inquiète de l’évolution des risques d’espionnage contre les institutions publiques et les entreprises privées danoises. « Le cybercrime constitue la plus grave des menaces au Danemark et pour les intérêts Danois » souligne le FE. « Ce type d’espionnage est principalement mené par des Etats et des groupes parrainés par des États« .

Au cours des dernières années, le cyber espionnage contre le Danemark a considérablement augmenté, et les méthodes et techniques employées par les auteurs sont devenues de plus en plus sophistiquée. « L’espionnage cybernétique contre les autorités danoises et les entreprises est très élevée » confirme DDIS. Pour le Danish Defense, il est fort probable que plusieurs États vont exploiter l’Internet à des fins offensives. DDIS cite d’ailleurs l’État islamique en Irak et le Levant (ISIL) et ses filiales régionales.

Le Service de Renseignement Danois termine son rapport sur le danger que peuvent être les prestataires de services. Un exemple, celui vécu par certains services de la police locale dont les serveurs avaient été attaqués par le biais d’un fournisseur de services. « Des dispositifs de faibles qualités constituent un risque que des acteurs malveillants savent exploiter, comme par exemple les routeurs qui sont exploités pour mener espionnage ou sabotage« .

Base de données, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, loi, Particuliers

Accord sur la protection des données personnelles : oui à la protection de nos vies privées !

Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.

Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la  protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !

Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.

Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.

Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Sauvegarde, Social engineering

Fuite de données pour le service de réseautage Vixlet

Plusieurs centaines de milliers de comptes d’utilisateurs du service de réseautage Vixle accessible en quelques clics de souris.

La société Vixlet, anciennement Divide Nine LLC, est connue pour proposer des services de réseautage. Basée à Los Angeles, cette startup américaine propose des outils pour les réseaux sociaux à des clients tels que la ligue professionnelle de basket US ou encore l’ATP (Tennis).

Une faille a été découverte dans l’outil proposé par Wixlet. Elle permettait de mettre la main sur les informations des inscrits. Dans les données, mails, mots de passe et dates de naissance. Un serveur non protégé et le tour était joué pour accéder à la base de données. Les données des clients étaient sauvegardées dans un dossier baptisé VixLet prod. Un dossier de production contenant de vraies données… normale !

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, IOT, Social engineering

L’employés, le vilain petit canard de la données sensibles

Selon une étude réalisée par Kaspersky Lab et B2B International en 2015, 73 % des entreprises auraient été touchées par des incidents internes de sécurité informatique. La principale cause de fuites de données confidentielles reste les employés (42 %).

À mesure que l’infrastructure informatique d’une entreprise s’étend, il en va de même pour le paysage des menaces : à nouveaux composants, nouvelles vulnérabilités. La situation est aggravée par le fait que les employés – en particulier ceux ne possédant pas de connaissances spécialisées – ne sont pas tous en mesure de suivre les évolutions rapides de l’environnement informatique. C’est ce que confirme une récente enquête, révélant que 21 % des entreprises touchées par des menaces internes ont perdu de précieuses données, avec à la clé des conséquences sur leur activité. Il est utile de préciser que l’étude recense les cas de fuites accidentelles (28 %) et intentionnelles (14 %).

Les incidents internes, pas toujours des accidents
En dehors des fuites de données, les menaces internes concernent principalement la perte ou le vol des équipements mobiles des employés. 19 % des responsables interrogés reconnaissent égarer au moins une fois par an un mobile contenant certaines données de leur entreprise. Un autre facteur important concerne les fraudes au sein du personnel. 15 % des participants à l’enquête se sont retrouvés face à des situations où certaines ressources de leur société, notamment financières, ont été utilisées par des employés à des fins personnelles. Si ce pourcentage paraît faible, les pertes causées par ces incidents sont supérieures aux dommages résultant des fuites de données confidentielles dans les grandes entreprises. Les PME perdent jusqu’à 40 000$ euros en moyenne en raison d’activités frauduleuses de leurs employés, tandis que ce chiffre dépasse 1,3 million de dollars pour les grandes entreprises.

« Une solution de sécurité à elle seule ne suffit pas pour protéger les données d’une entreprise. Et c’est ce que confirment les résultats de cette étude », commente à DataSecurityBreach.fr Konstantin Voronkov, responsable des produits pour les postes de travail chez Kaspersky Lab. « Les entreprises ont besoin d’une approche intégrée à plusieurs niveaux, s’appuyant sur une veille de sécurité et d’autres mesures complémentaires. Ces mesures peuvent comprendre l’utilisation de solutions spécialisées et l’instauration de règles de sécurité, portant par exemple sur une restriction des droits d’accès. »

Etude menée auprès de 5500 spécialistes dans plus de 25 pays à travers le monde.

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, IOT, Social engineering

Mieux sensibiliser le personnel pour mieux prévenir les cyberattaques

D’après les conclusions d’une enquête, un responsable européen sur sept fait courir des risques à son entreprise en connaissance de cause, malgré un budget « cybersécurité » se chiffrant en milliards.

Une nouvelle enquête vient de pointer le bout de ses chiffres sur la sécurité informatique en entreprise. Signée par Palo Alto, les conclusions sur les attitudes en matière de cybersécurité des dirigeants et des cadres des entreprises européennes pourraient inquiéter sur le comportement numérique de ces derniers. Un nombre alarmant d’employés haut placés fait sciemment courir des risques en matière de cybersécurité aux entreprises, les principales raisons invoquées étant la frustration engendrée par les politiques d’entreprise et la mauvaise compréhension des menaces en ligne.

Cette étude montre que les actions des décisionnaires mettent à mal le budget de 35,53 milliards de dollars que les entreprises européennes prévoient de consacrer à la cybersécurité à l’horizon 2019. De fait, 27 % des répondants reconnaissent avoir exposé leur entreprise à une cybermenace potentielle, sachant que 14 % déclarent en avoir eu conscience au moment des faits.

Trouver l’équilibre entre sécurité et fonctionnalité
Si, dans un cas sur quatre, les auteurs de ces actions ont affirmé ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne, la quasi-totalité des répondants (96 %) a néanmoins jugé que la cybersécurité devrait être une priorité pour leur entreprise. Le principal motif invoqué par les employés pour expliquer le non-respect des politiques d’entreprise est la nécessité de recourir à un outil ou à un service plus efficace que celui utilisé par l’entreprise, ou le fait que ces outils étaient considérés comme les meilleurs sur le marché. Cette tendance est confirmée par les 17 % de répondants indiquant que la politique de sécurité de l’entreprise est frustrante et les empêche d’accéder à des outils et à des sites qui contribueraient à accroître leurs performances professionnelles. L’éducation des employés est essentielle pour s’assurer que le raisonnement sous-tendant la politique est clair.

Non-respect des règles de sécurité par les cadres supérieurs
Les résultats de l’enquête indiquent que tout employé, quel que soit son service ou son degré d’ancienneté, est susceptible d’entreprendre des actions contestables ou de se forger une opinion erronée. Dans un cas sur dix, les répondants ont déclaré avoir été témoins du non-respect des lignes directrices de l’entreprise par un cadre ; et à cette question, un cadre supérieur sur quatre a effectivement reconnu avoir exposé son entreprise à une menace potentielle en connaissance de cause.

Responsabilité
D’après cette étude, un dirigeant sur cinq (18 %) ne considère pas avoir un rôle personnel à jouer dans les efforts de son entreprise en matière de cybersécurité ; et en cas d’attaque perpétrée avec succès, seul un sur cinq (21 %) pense que l’employé à l’origine de la faille devrait être tenu pour responsable, la majorité des répondants (40 %) estimant que la responsabilité devrait être rejetée sur le service informatique.

Les actions des employés n’ont pas forcément des répercussions visibles immédiatement, dans la mesure où les attaques se produisent souvent dans un deuxième temps. Aussi les entreprises peuvent-elles avoir du mal à en identifier l’origine. Étant donné que les deux tiers des employés n’ont pas encore conscience que chacun a un rôle à jouer dans la prévention des cyberattaques, il est évident que les entreprises doivent agir en 2016 sur le terrain de l’éducation en matière de cybersécurité.

« Ces conclusions suggèrent que les employés haut placés sont trop confiants et sont enclins à prendre des risques en partant du principe que “cela n’arrive qu’aux autres”. L’évolution des réglementations va faire la lumière sur ce qui se passe vraiment en Europe dans les prochaines années, et mettra ainsi un frein à ce type de comportement. Cela laisse également entendre que la cybersécurité est encore considérée par beaucoup comme une mesure prise pour l’entreprise, et non comme une ligne directrice qui doit être respectée par tous. », commente à DataSecurityBreach.fr Arnaud Kopp, Directeur Technique Europe du Sud, chez Palo Alto Networks

Cette enquête a été menée en ligne par Redshift Research, au mois d’octobre 2015, auprès de 765 décisionnaires travaillant dans des entreprises comptant plus de 1 000 employés au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

A noter que Data Security Breach vous propose des ateliers et formations de sensibilisation à la sécurité informatique. Elles sont dispensées par Damien Bancal, expert en la matière. Pour en a savoir plus, n’hésitez pas à le contacter.

Base de données, Cybersécurité, Entreprise, Mise à jour, Patch, santé

Kroll Ontrack présente le top 10 des pertes de données les plus insolites de l’année 2015

Kroll Ontrack, le spécialiste de la récupération de données et de la de la recherche d’informations et de preuves informatiques, vient de sortir son marronnier de Noël : les 10 pertes de données les plus insolites de l’année 2015. Une idée amusante qui permet de se rendre compte que « paumer » des informations numériques n’arrive pas qu’aux autres.

Peu importe la situation, que l’appareil ait été écrasé, brûlé, plongé dans l’eau, projeté contre un mur ou qu’il soit simplement tombé par terre, il existe toujours un espoir de récupérer des données que l’on pense perdues. Chez Kroll Ontrack on affirme être capable de récupérer des informations dans les pires des conditions. « Nous disposons de services et de logiciels propriétaires de récupération de données qui nous permettent de retrouver les précieuses données de nos clients et partenaires. » souligne à Data Security Breach Kroll Ontrack.

N° 10 : Les joies de l’été (Allemagne)
Le responsable informatique d’une petite entreprise en plein travaux de rénovation, y compris dans la salle serveur, constate un vendredi que les bâches en plastique servant à protéger cette salle n’empêchent pas la poussière de pénétrer à l’intérieur. Il décide alors de déplacer le serveur dans une autre pièce pour l’éloigner des travaux le temps du week-end. Le lundi matin au retour d’un week-end très chaud et ensoleillé, il s’aperçoit que ses collègues n’arrivent pas à se connecter. Il comprend rapidement qu’un de ses collègues avait éteint la climatisation de la pièce où il avait déplacé le serveur, qui avait considérablement surchauffé. Kroll Ontrack a pu récupérer 99 % des données.

N° 9 : PC vintage (Pologne)
Un client continue à utiliser son Amiga 600 (introduit sur le marché en 1992 !) quand un beau jour il cesse (finalement !) de fonctionner. Nul accident, nulle erreur humaine, simplement un vieil appareil arrivé en fin de vie. Son Amiga 600 était bien plus qu’une simple machine : c’était surtout un cadeau d’enfance rempli de souvenirs.

N° 8 : malchance professionnelle (Norvège)
Un particulier, victime d’une perte de données s’adresse à une entreprise locale de dépannage informatique. En pleine copie des données sur une sauvegarde pendant la nuit, processus qui peut prendre plusieurs heures, la femme de ménage de l’entreprise fait tomber accidentellement le disque par terre. Immédiatement, celui-ci émet un cliquetis très bruyant. L’entreprise de dépannage informatique ne prend pas de risque et envoie le disque. 98,8 % des données ont été récupérées en salle blanche.

N° 7 : Déjà vu (Pologne)
Un serveur RAID comportant 22 disques qui a déjà fait l’objet d’une récupération suite à une première perte de données. Le client a réutilisé les « bons » disques, remplacé les disques défectueux et a continué à utiliser le serveur. Le client n’a pas tiré de leçon de sa première perte de données : il n’avait pas mis en place de solution de sauvegarde, le serveur était tombé de nouveau en panne (et les disques ont dû de nouveau être envoyés en vue de récupérer les données). Moralité : ne jamais réutiliser un système défaillant sans mettre en place les protections nécessaires !

N° 6 : Données dissoutes (Pologne)
« J’ai renversé du solvant sur mon ordinateur portable. Je suis en route pour vos bureaux », annonce une voix au téléphone. Nous apprenons vite ce qu’il s’est passé : alors qu’il préparait une couleur de peinture personnalisée pour son épouse, ce qui nécessitait de mélanger différentes peintures avec du solvant pour obtenir la teinte souhaitée, notre client a renversé accidentellement le pot ouvert de solvant sur un ordinateur portable qui se trouvait par terre, utilisé pour diffuser de la musique. Une triste fin pour l’ordinateur, mais heureusement pas pour les données qui ont toutes été sauvées.

N° 5 : Coup de sang (États-Unis)
Passablement énervée, une cliente s’empare de son ordinateur portable et le jette de toutes ses forces contre un mur. Le disque rebondit contre le mur et tombe par terre. Malgré un lancer de 3 mètres, le choc contre le mur et la chute au sol, toutes les données ont été récupérées !

N° 4 : Un jardinage qui tourne mal (Royaume-Uni)
Un client est en train de tondre sa pelouse quand son smartphone tombe par mégarde par terre. Il s’en aperçoit trop tard après que la tondeuse soit passée dessus, broyant complètement l’appareil. Quelques minutes et un téléphone détruit plus tard, il contacte l’entreprise pour savoir s’il peut récupérer ses données.

N° 3 : iPad en vadrouille (Royaume-Uni)
Un client laisse tomber son iPad par la fenêtre d’un train en pleine campagne. Bien que miraculeusement retrouvé, l’iPad est gravement endommagé et l’accès aux données s’en trouve compromis. L’écran tactile est détruit, si bien que l’iPad ne répond plus au toucher, tandis que la seconde couche d’écran, composée du LCD (qui affiche le contenu), le châssis, la batterie et le connecteur Lightning sont tous endommagés. Les composants électroniques sont également endommagés, au point que l’iPad redémarre toutes les deux minutes, ne laissant à l’ingénieur que quelques secondes pour effectuer la récupération entre les redémarrages. Malgré ces obstacles, les experts découvrent que la carte mère est plutôt en bon état et 100 % des données sont récupérées !

N° 2 : iPhone embelli (Italie)
Alors qu’elle est en train de se démaquiller à la fin de la journée, une cliente renverse sa lotion nettoyante qui se répand sur son iPhone. Impossible alors de démarrer le téléphone. Elle contacte la société en stipulant que la lotion répandue par inadvertance est d’une marque très connue !

N° 1 : Feu + eau = solution ou problème ? (Royaume-Uni)
Quand votre ordinateur portable abritant toutes vos données se trouve dans votre appartement (sans avoir de sauvegarde) au moment d’un début d’incendie dans votre immeuble qui déclenche les extincteurs, on peut dire que ce n’est pas votre jour de chance ! Même dans ces conditions où le média a subi de lourds dégâts dus au feu et à l’eau, les techniciens réussissent à récupérer 100 % des données.

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Obligation de notification en cas de fuite de données

Les entreprises des Pays-Bas vont être obligées de notifier leurs clients en cas de fuite de données dès janvier 2016.

Alors que la France est toujours en attente d’une vraie obligation de protéger les utilisateurs d’Internet face à une fuite de données visant les entreprises hexagonales, les sociétés Néerlandaises vont être obligées d’alerter leurs clients en cas de piratage de leurs bases de données.

Les entreprises néerlandaises vont devoir, dès janvier 2016, alerter la CNIL locale, la DPA, et les personnes ciblées par une fuite de leurs données personnelles en cas de piratage, backup oublié, perte d’un ordinateur… L’absence de notification pourra conduire à des amendes allant jusqu’à 500 000 €.

Toutes les entreprises locales, ou étrangères, ayant des serveurs au Pays-Bas, sont concernées par cette loi. Bilan, si un hébergeur Français, Suisse, Belge, Américain… se fait pirater sur le sol Néerlandais, il aura obligation d’en informer les autorités.

En Europe

Depuis le 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Base de données, Cybersécurité, Entreprise, Social engineering

Un code malveillant dans un système de suivi de certification sensible

Un système de suivi de certification (Credential Manager System) infiltré par un logiciel espion. Un pirate a pu mettre la main sur des données sensibles appartenant à Cisco, F5, IBM ou encore Oracle.

La société Pearson VUE a annoncé sur son site Internet l’infiltration d’un de ses serveurs. Une machine loin d’être négligeable, elle permet de suivre les certificats de compétence produits pour des sociétés telles que F5, IBM, Cisco ou encore Oracle. Il a été cru, un temps, que Microsoft avait été concerné par cette attaque, ce qui ne semble pas être le cas.

Pearson VUE a déclaré qu’un malware avait été placé sur le serveur. Une infiltration qui a permis à des pirates d’accéder à des données sensibles stockées sur le système. Pearson VUE a également précisé que le système Credential Manager était la seule chose qui avait été exposée dans cet incident. Aucunes données bancaires n’auraient été touchées.

Banque, Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Hacking, Leak, Mise à jour, Piratage, Social engineering

Sécurité informatique : 2015, année difficile

La division sécurité d’IBM publie son rapport trimestriel IBM X-force faisant état du Top 4 des tendances liées aux cyber-menaces en 2015. Dans l’ensemble, 2015 a été une année difficile en matière de menaces internes, de logiciels malveillants, ainsi que d’attaques persistantes et évolutives touchant les entreprises.

Les pirates amateurs exposent les criminels expérimentés lors d’attaques « Onion Layered ». Alors que 80% des cyber attaques sont générées par des réseaux de criminels en ligne hautement organisés et sophistiqués, ce sont souvent des pirates inexpérimentés – « script kiddies » – qui inconsciemment poussent les entreprises à être attentives à ces pirates plus nombreux et expérimentés qui rôdent sur un réseau en ligne ou à l’intérieur d’une entreprise. Les pirates amateurs laissent des indices tels que des dossiers inhabituels ou des fichiers dans un répertoire temporaire, altèrent des pages web d’entreprises, et plus encore. Lorsque les entreprises se penchent sur ces attaques malveillantes, ils découvrent souvent des attaques beaucoup plus complexes.

Accroissement des rançongiciels (Ransomwares)
2015 était l’année des rançongiciels, se classant comme l’infection la plus fréquemment rencontrée. En fait, le FBI a signalé des attaques du rançongiciel CryptoWall qui ont permis aux pirates de collecter plus de 18 millions de dollars entre 2014 et 2015. Les chercheurs d’IBM pensent que cela restera une menace fréquente et un business rentable en 2016, migrant également vers les appareils mobiles.

La plus grande menace peut venir de l’intérieur
Le rapport (tiré de l’étude Identifying How Firms Manage Cybersecurity Investment de Tyler Moore, Scott Dynes, Frederick R. Chang, Darwin Deason de l’Institute for Cyber Security Southern Methodist University – Dallas) indique également le danger permanent des attaques malveillantes à l’intérieur même d’une entreprise. Ceci est la continuation d’une tendance observée en 2014 lorsque l’index IBM 2015 lié à la Cyber Security Intelligence révélait que 55% de toutes les attaques de 2014 avaient été réalisées en interne ou par des individus ayant eu par le passé accès au système d’informations de l’entreprise – sciemment ou par accident.

Le C-Suite Cares
En 2015, la cybersécurité est devenue une priorité au plus haut niveau de l’entreprise, avec de plus en plus de responsables qui s’interrogent sur la sécurité de leur organisation. En fait, un récent sondage questionnant les responsables de la sécurité des systèmes d’information (RSSI), réalisé par SMU et IBM, a révélé que 85% des RSSI indiquent que la gestion des problèmes informatiques a augmenté, et 88% ont déclaré que leurs budgets de sécurité se sont accrus.

Vous pouvez télécharger le rapport complet ici : http://ibm.co/1OJkd8N.

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

L’impact des clés et certificats non protégés

Un nouveau rapport de Ponemon pointe la perte de clientèle que subissent les entreprises françaises pour cause de clés et certificats non protégés.

Ponemon Institute et Venafi, éditeur de premier plan spécialisé dans la protection de nouvelle génération des infrastructures de confiance dont le slogan « The Immune System for the Internet™ » est à l’origine du concept de système immunitaire pour Internet, publient ce jour de nouvelles données sur l’incidence économique directe, pour les entreprises françaises, de la non-sécurisation des clés cryptographiques et certificats numériques dans l’étude 2015 Cost of Failed Trust Report: When Trust Online Breaks, Businesses Lose Customers.

Ces nouvelles données, tirées d’une étude menée auprès de 339 professionnels de la sécurité informatique en France, indiquent à quel point des clés et certificats non protégés et mal gérés peuvent entraîner une perte de clientèle, d’onéreuses interruptions d’activité, des défaillances d’audit et des failles de sécurité.

En début d’année, Ponemon Institute et Venafi ont publié le résultat des travaux de recherche menés sur les risques encourus par les entreprises mondiales face à des attaques basées sur des clés et certificats dans l’étude 2015 Cost of Failed Trust Report: Trust Online is at the Breaking Point. Les participants à cette enquête en France -mais aussi en Australie en Allemagne, au Royaume-Uni et aux Etats-Unis- ont unanimement admis que le système de confiance sur Internet a atteint son point de rupture. Des données inédites extraites de cette enquête sont à présent disponibles dans ce nouveau rapport qui montre à quel point les entreprises en France, et partout dans le monde, pâtissent des effets fâcheux de la non-sécurisation des clés et certificats.

En regardant les statistiques françaises

À partir du moment où la confiance en ligne est rompue, les entreprises perdent des clients – Près des deux tiers des sondés en France admettent avoir perdu des clients faute d’être parvenus à garantir la confiance en ligne instaurée par des clés et certificats, ce qui représente un coût moyen de 11 millions d’euros par interruption.

Les systèmes métiers stratégiques subissent des défaillances – En moyenne, chaque entreprise française a subi, depuis deux ans, trois arrêts intempestifs liés à des certificats. Ce nombre est nettement plus élevé que la moyenne mondiale qui est de deux arrêts intempestifs.

Les entreprises échouent aux audits – En moyenne, les entreprises françaises ont échoué à au moins deux audit SSL/TLS et à au moins deux audit SSH au cours des deux dernières années. Là encore, ce nombre est bien plus élevé que la moyenne mondiale qui elle est de un audit dans les deux cas.

« À partir du moment où les entreprises ne sécurisent ni ne gèrent correctement leurs clés et certificats, l’impact financier direct se traduit par une perte de clientèle et un manque à gagner », précise à DataSecurityBreach.fr Kevin Bocek, Vice President of Security Strategy and Threat Intelligence chez Venafi. « Dans leur activité, les entreprises sont toutes tributaires de la confiance instaurée par les clés et certificats, même si elles n’en sont pas conscientes. C’est pourquoi il est impératif que les équipes dédiées à la sécurité informatique et celles dédiées à l’opérationnel réalisent périodiquement des audits pour localiser la totalité des certificats et clés utilisés, établir les dates d’expiration, puis mettre en place des règles appropriées pour éviter le piratage de données, les arrêts intempestifs et les défaillances d’audits. ».

Depuis la banque en ligne et les applications mobiles jusqu’à l’Internet des objets, tout ce qui est basé sur IP fait appel à une clé et à un certificat pour établir une connexion digne de confiance, et cette dépendance vis-à-vis des clés et certificats ne fait que s’accentuer du fait du recours croissant au protocole SSL/TLS et des accès mobiles, WiFi et VPN. Elle accroît considérablement les risques en termes de disponibilité, de conformité et de sécurité, sachant que, dans ces domaines, l’importance des risques encourus n’est pas la même. Les risques liés à la sécurité sont presque huit fois plus importants que ceux liés à la disponibilité et à la conformité : ainsi, dans les deux ans à venir, le seul risque lié à la sécurité devrait peser 41 millions d’euros, contre 5 millions d’euros pour les risques conjugués de conformité et de disponibilité.

Interrogés sur les difficultés posées par la protection et la gestion des clés et certificats, 63 % de professionnels français de sécurité informatique affirment ignorer le nombre de clés en leur possession, l’endroit où elles se trouvent ou encore la façon dont elles sont utilisées. Encore une fois, ce chiffre est plus élevé que la moyenne mondiale établie à 54%. De même, 59% déplorent l’absence de règles et de correctifs pour les clés et certificats. Les entreprises se doivent impérativement de remédier à ces problématiques qui sous-tendent les risques de sécurité, de disponibilité et de conformité provoqués par des clés et certificats non sécurisés.

« Nous espérons que ce rapport aidera les équipes dirigeantes et celles en charge de la sécurité informatique à mesurer l’importance du risque majeur posé par des clés cryptographiques et certificats numériques non protégés et mal gérés », conclut Larry Ponemon, Chairman and Founder of The Ponemon Institute. « Les clés et certificats, largement déployés, sont essentiels à l’établissement de connexions dignes de confiance et à la sécurisation des activités. À l’évidence, les données figurant dans ce rapport sont symptomatiques d’une problématique de sécurité plus large : si vous ignorez où se trouvent vos clés et certificats, vous ne pouvez assurer leur suivi et êtes incapable d’automatiser leur cycle de vie ; en d’autres termes, vous ne parvenez tout simplement pas à les protéger. Raison pour laquelle, tôt ou tard, la confiance sur Internet est rompue. ».

Pour consulter ce rapport dans son intégralité : Venafi.com/BrokenTrust