Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

BYOD, Cloud, Entreprise, Fuite de données

Risques de violation de données liés à la sécurité d’impression

Dans l’environnement commercial actuel, les entreprises ont plus tendance à subir les dangers de faiblesses subtiles et dissimulées que ceux de menaces puissantes et évidentes.

Avec l’évolution de la technologie, les entreprises modernes se développent constamment pour répondre aux besoins du monde du travail. Malheureusement, la conséquence de cette évolution peut être que des fonctions de sécurité d’impression peuvent passer inaperçues. Ce problème n’est pas forcément majeur, mais une étude réalisée par Ponemon en 2013 indique que les violations de données peuvent coûter jusqu’à 5 millions de US$ par an dans certains pays. L’étude révèle aussi qu’un pourcentage important de ce chiffre était dû à un manque de solutions d’impression sécurisée pour protéger les entreprises des violations de données.

Découvrir les risques

On estime qu’il existe trois types principaux de violations de données en raison d’une sécurité d’impression inadéquate. La plus courante est la violation de données avec intention de nuire. Quand les données privées et sensibles sont imprimées régulièrement, si elles tombent entre de mauvaises mains, les conséquences peuvent être coûteuses pour l’entreprise. Les violations de données sont devenues plus courantes au fur et à mesure que les entreprises utilisent le Cloud dans leur travail. Les informations sont maintenant plus faciles à extraire car elles peuvent être interceptées de façon virtuelle au lieu de les récupérer sur place. Le risque de vol interne existe toujours.

L’erreur humaine peut aussi être un facteur entraînant des violations de données. Choisir accidentellement la mauvaise imprimante de bureauet envoyer un document sensible sur le mauvais réseau peuvent avoir des conséquences graves pour l’entreprise. Éliminer l’élément humain de ce processus n’éliminera pas nécessairement le problème. Si un réseau d’impression est connecté de façon incorrecte au Cloud, les documents peuvent se perdre. L’erreur humaine n’a donc rien à voir dans ce cas.

Éviter les risques

Les entreprises qui traitent de données sensibles ont des mesures de sécurité leur permettant de protéger leur propriété intellectuelle. Appliquer ces mesures de sécurité aux réseaux d’impression contribue à réduire le nombre de violations de données. La première mesure à prendre pour protéger la sécurité des réseaux d’impression est d’introduire des contrôles des privilèges d’impression des collaborateurs. Il est possible de réduire le nombre de vols internes en réduisant le nombre de collaborateurs ayant accès et pouvant imprimer des données sensibles. Il est toujours possible de contourner un système de sécurité et donc de réduire l’erreur humaine. Les données peuvent toujours être violées.

Quand vous mettez en place un réseau d’impression sécurisé, il est important de faire appel à un spécialiste informatique car les erreurs de programmation et de mise en réseau peuvent affecter la précision des réseaux et donc être plus coûteux au long terme. Si le réseau est mis en place correctement, la fonction de mode d’impression sécurisé, courante sur la plupart des appareils compatibles avec le Cloud, peut réduire considérablement le nombre de violations de données provoquées par des défaillances informatiques. Bien entendu, ceci dépend de la précision d’installation du réseau de sécurité

Si la gestion de la sécurité d’impression est bien planifiée et mise en place, la protection de la propriété intellectuelle d’une entreprise sera simple et les violations seront réduites de façon considérable.

Banque, Biométrie, Chiffrement, cryptage, Cybersécurité

Paiement par reconnaissance d’empreinte digitale

L’empreinte digitale comme alternative possible au code confidentiel / Le premier prestataire européen de paiement multicanal se donne pour objectif d’améliorer continuellement l’expérience de ses utilisateurs.

Avec pour objectif d’améliorer en permanence l’expérience des utilisateurs grâce à des innovations ingénieuses, Yapital, premier prestataire européen de paiement multicanal, teste actuellement le paiement par reconnaissance d’empreinte digitale. Cette technologie pourrait être amenée à remplacer la saisie d’un code confidentiel lors du paiement par smartphone.

Pour Oliver Kress, premier vice-président de Yapital chargé de l’innovation, le groupe « revendique sa capacité à pouvoir rendre très rapidement opérationnel tout nouveau procédé technique susceptible d’améliorer l’expérience des utilisateurs. Dès que les principaux fabricants de smartphones ont intégré à leurs produits des dispositifs de reconnaissance d’empreinte digitale, nous avons aussitôt lancé les expérimentations.  » Le but étant de déterminer si ces nouvelles technologies satisfont aux exigences de Yapital en termes d’ergonomie et de sécurité. » Le dispositif doit être simple, sûr et intuitif pour le consommateur. Si c’est le cas, alors nous le proposerons « , dit Oliver Kress.

Le paiement par reconnaissance d’empreinte digitale constituerait la troisième innovation d’importance du prestataire de paiement multicanal au cours de cette seule année : en 2014, Yapital a en effet déjà présenté l’intégration du Bluetooth Low Energy (BLE) et l’achat par flash du code QR directement depuis un support publicitaire, une affiche ou à travers une vitrine.

Entreprise, Logiciels, Propriété Industrielle

Prim’X annonce la certification EAL3+ de ZonePoint sa solution de chiffrement des bibliothèques SharePoint

Décernée par l’ANSSI, ce haut niveau de certification de ZonePoint permettra d’utiliser la solution de Prim’X afin de protéger des informations sensibles telles que celles classifiées par l’OTAN au niveau Diffusion Restreinte.

Prim’X, éditeur de solutions de chiffrement pour la sécurité des données, annonce la certification Critères Communs EAL3+ et la qualification par l’ANSSI de ZonePoint, sa solution permettant de sécuriser le partage de documents en entreprise et donc les espaces de travail collaboratif sous Microsoft SharePoint.

ZonePoint apporte la confidentialité des documents dans les bibliothèques MS SharePoint en assurant le cloisonnement cryptographique des documents entre utilisateurs, groupes de travail ou catégories de personnel. Les documents sont chiffrés en permanence sur les serveurs SharePoint. A aucun moment, il n’y a de passage des données en clair sur les serveurs. Les documents sont chiffrés/déchiffrés localement sur les postes de travail avec la clé de l’utilisateur.

« C’est grande satisfaction pour nous de recevoir cette nouvelle certification Critères Communs de la part de l’ANSSI », déclare Michel Souque, Président et co-fondateur de Prim’X. « Le développement des plateformes de synchronisation de contenus (ECM), des services Cloud et la croissance du volume des données entrainent des problématiques de sécurité liées au partage de documents en entreprise. Grâce à cette certification, les entreprises cherchant une solution fiable et éprouvée pour partager des données et des documents chiffrés, via des plateformes de synchronisation de contenus dans le Cloud, et plus particulièrement SharePoint peuvent désormais s’appuyer en toute confiance sur ZonePoint. »

« Cette certifications souligne une nouvelle fois notre engagement d’excellence dans la durée, tant en terme de qualité du processus de développement, qu’en terme de maîtrise des techniques cryptographiques et des recommandations de l’ANSSI » complète José Lavancier, Directeur des projets de Certification de Prim’X. « Elles apportent à nos clients la confiance dans toute la gamme de nos produits  et leur garantissent une maitrise continue du processus d’évaluation. »

Cette certification de ZonePoint de Prim’X permet désormais d’utiliser la solution afin de protéger des informations sensibles telles que celles classifiées par l’OTAN au niveau Diffusion Restreinte.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données

Le corsaire Jean-Bart sécurise ses terminaux mobiles

La Communauté Urbaine de Dunkerque, avec 18 communes et 200.000 habitants sous sa coupe, a choisi Good Technology pour sécuriser ses terminaux mobiles tout en garantissant la séparation des données privée et données professionnelles. La communauté urbaine  a été une des premières collectivités territoriales françaises à se soucier de la protection des données professionnelles et personnelles de ses cadres et dirigeants en situation de mobilité.

Ce qui a soulevé la question ? La sortie de l’Iphone 3GS sur le marché français, en 2009. « Tout à coup, les téléphones BlackBerry – dont étaient équipés le Directeur général, le Directeur général adjoint et  quelques proches collaborateurs – ont semblé dépassés » se souvient Alain Vanlichtervelde, en charge de l’intégration et de la gestion des plates formes informatiques pour la Communauté urbaine. La réponse la plus rapide aurait alors été de renouveler les terminaux, tout simplement. Sauf que les insuffisances et risques de cette option sont immédiatement apparus aux yeux du Directeur général adjoint et d’Alain Vanlichtervelde. « L’Iphone étant très ouvert, avec des usages très larges, nous avons vite compris que nous devions trouver une solution pour sécuriser les données professionnelles, explique ce dernier. Il fallait notamment que nous puissions les effacer à distance en cas de perte ou de vol de l’appareil ».

Après une analyse des offres disponibles sur le marché, c’est finalement la solution Good For Enterprise qui a été retenue, pour deux raisons majeures. Sa fiabilité bien sûr. « La technologie du container est clairement apparue comme la plus sûre de toutes celles que nous avons examinées », confirme Alain Vanlichtervelde. Seconde raison : elle seule permettrait une stricte séparation entre les données personnelles et professionnelles sur les appareils. « Un critère clef, car certains cadres ont rapidement exprimé le souhait de consulter leur messagerie professionnelle sur leur téléphone personnel » explique le Directeur des systèmes d’information de la CUD. A l’époque, on ne donnait pas encore de nom à ce phénomène aujourd’hui très répandu, le « Bring Your Own Device »…

Certes, une légère dose de pédagogie a été ensuite nécessaire pour que les cadres et dirigeants concernés s’approprient la solution de Good Technology. « Certains avaient précédemment testé un logiciel de messagerie de push qui s’intégrait très bien avec l’Iphone, et ils en étaient satisfaits » explique en effet Alain Vanlichtervelde. Mais cette solution ne comportait pas la technologie du conteneur, et l’impératif de sécurité a primé. « François VILAIN Directeur général adjoint, Pierre MELEROWICZ DSI et moi-même avons insisté – en entretien individuel parfois – sur la nécessité première de garantir la confidentialité des données, et du carnet d’adresses en particulier, se souvient ce dernier. Finalement le message a été compris et la solution a été bien adoptée ». Seul petit souci : certains appareils de quelques cadres se sont révélés poser quelques problèmes avec la solution de Good Technology, « du fait du manque de mémoire disponible dû en partie à la surcouche de l’opérateur de téléphonie,» explique Alain Vanlichtervelde.

Début 2014, 70 cadres et dirigeants de la Communauté Urbaine de Dunkerque étaient ainsi équipés avec la solution Good For Enterprise – à la fois sur tablette et smartphone pour les seconds. Principales fonctionnalités utilisées ? « Avant tout l’accès à la messagerie professionnelle en situation de mobilité, puis la lecture de documents », répond Alain Vanlichtervelde. Ce dernier peut en effet consulter à tout moment les statistiques d’utilisation…  et s’assurer ainsi que les services mis à disposition ont un réel intérêt.

Parmi ses nombreux projets, le Directeur des Systèmes d’Information de la Communauté urbaine évoque un renforcement de la collaboration avec la ville de Dunkerque, les deux collectivités étant de taille comparables. Nul doute que la sécurité des données professionnelles sera un des sujets de discussion…

Argent, Banque, Cybersécurité, Fuite de données, Paiement en ligne, Twitter, Vie privée

Quand Twitter diffuse des cartes de crédit

3 commentaires
Extrait de la page du bot sur Twitter

Etonnant jeu que celui effectué par des centaines d’internautes, sur Twitter. Ces amateurs pas comme les autres du portail de micro blogging américain sont tellement content de posséder une carte bancaire (credit card, debit card, …) qu’ils en diffusent des photographies, dans l’espace du petit oiseau.

Totalement idiot, surtout que certains diffuseurs placent les informations sensibles (les 16 chiffres, la date de validité, certains même le CVV) à la portée du premier surfeur qui passerait par là.

Plus dingue encore, un bot, un robot Twitter baptisée « besoin d’une carte de crédit« , intercepte les messages et les répertories dans un compte Twitter dédié. Bilan, plusieurs centaines de photos, une cinquantaine de vidéos. Depuis 2012, Twitter laisse faire.

Pour l’américain, les Twitteriens sont responsables de ce qu’ils diffusent ! Bilan, faut pas pleurer si votre CB se retrouve sur Need a Debit Card.

 

Chiffrement, cryptage, Entreprise, Fuite de données, Propriété Industrielle

3 entreprises sur 4 stockent leurs clés de chiffrement dans leurs applications

Un commentaire

Personne n’est à l’abri d’une faille de sécurité.

Les révélations récentes de chercheurs de l’université de Columbia Engineering concernant la possibilité de récupérer des clés secrètes Facebook, Amazon ou Linkedin dans Google Play, l’App Store d’Android, ne sont qu’un exemple de plus qui doit contribuer à alerter les entreprises qui continuent de stocker les clés de chiffrement dans leurs applications. Les données sensibles et la propriété intellectuelle ne sont en sécurité que si les clés utilisées pour les chiffrer le sont. Quand ces clés sont stockées dans des serveurs qui stockent également les logiciels elles sont susceptibles d’être compromises ou perdues.

Pourtant, d’après une étude SafeNet récente, 74% des organisations stockent leurs clés de chiffrement dans leur logiciel. Pour des spécialistes en sécurité IT cette stratégie est comparable à laisser les clés de sa maison sous le paillasson. Il est plutôt conseillé de faire appel à des plateformes spécifiquement dédiées à la gestion de clés et qui permettent de stocker et gérer les clés dans un équipement matériel où elles seront protégées et contrôlées (des boîtiers HSM, pour « Hardware Security Module ». Une technologie qui n’est pas réservée aux grandes entreprises puisque ces boitiers peuvent être achetés par l’entreprise ou utilisés en paiement à la consommation, dans le cloud en mode SaaS). Seules les sociétés qui chiffrent leurs données sensibles et mettent en œuvre ce type de moyens de contrôle robustes et résistants aux attaques peuvent avoir la certitude que leurs données seront protégées même si une faille de sécurité survient.

L’approche la plus réaliste est en effet de considérer qu’une faille de sécurité surviendra (953 millions de fichiers compromis depuis 2013, comptabilisés sur Breachlevelindex.com), et de sécuriser la donnée elle-même par du chiffrement, pour que si elle tombait entre de mauvaises mains elle soit inexploitable. (Julien Champagne, Directeur Commercial France de SafeNet)

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Leak, Vie privée

14 millions de patients médicaux touchés par une fuite de données

Un commentaire

La rédaction de Data Security Breach a reçu le rapport Annuel du HHS, l’US Departement of Health et Human Services, bref, le Ministére de la santé de l’Oncle Sam.

Ce rapport annuel, baptisé « Annual Report to Congress on Breaches of Unsecured Protected Health Information » revient sur les années 2011 et 2012. Cette étude égraine les violations de données en 2011 et 2012. Entre 2011 et 2012, le HHS a reçu 458 rapports de violations de données qui touchent plus de 500 personnes. Au total, c’est environ 14.690.000 de patients, d’employés… à avoir été touchés par des violations de leurs données personnelles, et donc sensibles.

Le nombre de violations de données qui affectent plus de 500 personnes sur cette période compte pour 64,5% de toutes les violations de données depuis le premier rapport, diffusé en septembre 2009. Le vol était la cause la plus commune de ces violations, soit 53% des cas, suivie par l’accès ou la divulgation non autorisée (18%).

En 2012, 68% des infractions touchaient des fournisseurs de soins de santé. 27% des fuites étaient dues à des ordinateurs portables compromis (vol, piratage, …). 23% des informations étaient diffusées en mode « papier » ; 13% via un serveur. En 2012, il y a eu 21.194 infractions signalées affectant moins de 500 personnes. Des violations de données qui ont affecté 165.135 personnes.

Le HHS, suite aux plaintes, a pu récolter 8 millions de dollars d’amende. Bref, le piratage et les fuites de données rapportent aux pirates, comme au gouvernement.

Entreprise, Justice, Propriété Industrielle

L’Union européenne doit bloquer les sites « .vin » et « .wine », illégaux sur Internet

L’autorité américaine ICANN, qui gère au niveau mondial l’ensemble des noms de domaine sur Internet, vient de prendre la décision de ne pas suspendre sa décision d’accorder des délégations dans le secteur du vin. L’attribution de ces nouveaux domaines, tels que « wine » et « vin », ouvre la porte à des violations potentielles de la législation internationale sur la protection des appellations géographiques.
Eric Andrieu dénonce ainsi l’attitude proaméricaine de cet organisme. « Cette décision est absolument inacceptable : d’un côté les producteurs risquent d’être rackettés et, de l’autre, les consommateurs trompés. Des personnes pourront, sans être inquiétées, s’approprier des noms de domaine, comme « languedoc.wine », en mettant à la vente sur Internet des produits qui n’ont rien à voir avec cette région de production ».
Comme l’a exprimé le gouvernement français, l’eurodéputé considère que l’Union et ses Etats membres doivent renoncer à participer à la réforme de l’ICANN qui a montré les limites de son fonctionnement. Cette décision devra, par ailleurs, être prise en compte dans le cadre des négociations actuelles sur le Traité transatlantique entre les Etats-Unis et l’Union européenne.
La délégation socialiste et radicale française soutient l’ensemble des vignerons européens et du monde entier attachés à la défense de vins de qualité, dans leur campagne de boycott de vente de vins sur Internet. Demain, cette question se posera avec d’autres produits alimentaires, bénéficiant d’appellations de qualité et pouvant être mis en vente sur la toile. Ce n’est pas à l’ICANN, société de droit américain et qui sert les intérêts de quelques entreprises, de régenter la vente sur Internet de produits alimentaires de qualité. Aujourd’hui, il y a donc un besoin urgent d’action au niveau de l’Union européenne, une action forte et unie, capable de contribuer, par le droit international, à l’amélioration de la gouvernance mondiale en matière de gestion de l’Internet.
Entreprise, Fuite de données, Propriété Industrielle

L’avènement de la Security Intelligence

Selon une étude récente du cabinet d’analyse IDC, les entreprises françaises sont de plus en plus préoccupées par les menaces de sécurité et comptent bien investir dans ce sens au cours des prochaines années.

Les attaques récentes portées à l’encontre de grandes entreprises telles qu’Orange ou Domino’s Pizza ne font qu’accentuer la prise en considération des risques liés au vol de données personnelles : non seulement d’un point de vue financier, mais aussi en raison de l’impact sur la réputation de l’entreprise.

Cette étude indique toutefois un certain décalage entre les craintes des RSSI et les politiques de sécurité appliquées. Si la mobilité représente un risque pour 91% des entreprises interrogées, seules 75% disposent d’une solution de sécurité dédiée. En ce qui concerne les nouvelles tendances liées aux réseaux sociaux par exemple, d’autres contradictions apparaissent : 72% des entreprises considèrent toujours les réseaux sociaux comme risqués, mais seulement 60% d’entre elles disposent d’outils de filtrage et 34% dispensent des formations de sensibilisation auprès des employés.

Pour répondre à des besoins précis de sécurité en matière de mobilité, d’accès aux réseaux, de transfert de données, etc., les organisations disposent de nombreuses solutions dédiées. Cependant, dans un contexte où les cyber-attaques deviennent plus sophistiquées et les hackers plus expérimentés, c’est une stratégie globale consacrée à la sécurité des données qui doit impérativement être mise en place au sein de chaque organisation.

Mais chaque entreprise est différente et ses besoins en matière de sécurité varient en fonction des infrastructures, voire de l’activité même de l’entreprise. D’après IDC, une nouvelle alternative en matière de protection de données se présente : le Big Data et l’analytique. «  Les entreprises savent aujourd’hui détecter et empêcher les attaques les plus basiques, cependant, les hackers font preuve d’autant de dynamisme pour s’introduire par tous les moyens sur les réseaux d’entreprise, que les éditeurs pour détecter et parer ces attaques.  explique Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm,Nous savons que la question n’est plus de savoir « si » une menace pourra passer outre les systèmes de sécurité, mais « quand ». Et c’est à ce moment que l’analytique entre en jeu« .

Si les méthodes de détection traditionnelles ont prouvé leurs limites, la combinaison des rapports d’analyses de l’ensemble des données de l’entreprise permet une visibilité accrue de l’activité sur les réseaux. En termes de solution, le SIEM – qui collecte la totalité des logs et journaux d’activités du système d’information – apporte une réponse concrète aux problématiques globales de sécurité : grâce à la collecte des logs en temps réel, aux analyses comportementales et à la corrélation des données, toute anomalie est repérée afin d’être aussitôt contrôlée. Ainsi, chaque incident peut-être vérifié en temps réel et permettre une réponse immédiate en cas de véritable menace.

Cette méthode de détection automatisée et en temps réel peut être définie comme de la Security Intelligence, un concept qui tend vers des solutions dotée d’intelligence artificielle, basé sur les solutions SIEM de nouvelle génération. Grâce aux évolutions constantes dans ce domaine, notamment en termes de fonctionnalités et de facultés d’analyse automatique, nous pouvons espérer que les entreprises puissent enfin être à l’abri des cyber-attaques les plus avancées. (Par Jean-Pierre Carlin, LogRhythm)

Cybersécurité, Fuite de données, Mise à jour, Patch

OPEN SSL : 49% des serveurs vulnérables et 14% exploitables

OpenSSL a publié un avis consultatif détaillant un certain nombre de difficultés sérieuses.

La vulnérabilité CVE-2014-0224 sera la plus problématique pour la plupart des déploiements car elle peut être exploitée par l’intermédiaire d’une attaque réseau active de type « Man the Middle ». Cette vulnérabilité permet à un attaquant actif sur un réseau d’injecter des messages ChangeCipherSpec (CCS) des deux côtés d’une connexion et de forcer les deux parties à se mettre d’accord sur les clés à utiliser avant que tous les éléments relatifs à la clé ne soient disponibles. Ce qui entraîne la négociation de clés faibles. (Pour en savoir plus sur le sujet, voir l’analyse technique pertinente d’Adam Langley).

Bien que pratiquement toutes les versions d’OpenSSL soient vulnérables, ce problème est exploitable seulement si les deux parties utilisent OpenSSL et (2) si le serveur utilise une version vulnérable d’OpenSSL de la branche 1.0.1. La bonne nouvelle est que la plupart des navigateurs ne s’appuient pas sur OpenSSL, ce qui signifie que la plupart des internautes ne seront pas affectés. Cependant, les navigateurs Android utilisent OpenSSL et sont donc vulnérables à cette attaque. De plus, de nombreux outils en mode ligne de commande et assimilés utilisent OpenSSL. En outre, les produits pour réseaux VPN seront une cible particulièrement intéressante s’ils reposent sur OpenSSL comme c’est le cas pour OpenVPN.

Qualys teste une vérification à distance pour CVE-2014-0224 via SSL Labs. Suite au test qui a permis d’identifier correctement les serveurs vulnérables, Qualys a lancé une analyse sur l’ensemble des données du tableau de bord SSL Pulse. Les résultats indiquent que près de 49% des serveurs sont vulnérables. Environ 14% (de l’ensemble des serveurs) peuvent être victimes d’un exploit parce qu’ils exécutent une version plus récente d’OpenSSL. Les autres systèmes ne sont probablement pas exploitables, mais leur mise à niveau s’impose car il existe probablement d’autres moyens d’exploiter cette vulnérabilité.

Si vous souhaitez tester vos serveurs, la toute dernière version de SSL Labs propose un test de vérification pour la vulnérabilité CVE-2014-0224.