Archives de catégorie : Propriété Industrielle

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle

Le patron sourd aux attaques informatiques ?

Si les RSSI en Europe tiennent la forme au plan de la cybersécurité, les échanges avec leurs directions s’avèrent tendus s’agissant de la notification des attaques. L’étude commandée par Palo Alto Networks établit également que les responsables de la sécurité informatique accueillent favorablement la législation de l’UE, mais redoutent les coûts et contraintes opérationnelles.

Une idée reçue veut que les professionnels de la sécurité informatique en Europe soient sous la coupe de leurs adversaires en matière de cybersécurité. Pourtant, une nouvelle étude approfondie sur les mentalités actuelles, réalisée pour Palo Alto Networks par un cabinet indépendant, met en évidence une profession plus déterminée et sûre d’elle qu’on ne pourrait le croire.

Les véritables tensions ressenties par les responsables de la sécurité informatique dans leur vie professionnelle ont trait aux échanges difficiles qu’ils ont immanquablement avec leurs supérieurs hiérarchiques au sujet des conséquences de ces attaques. Le rapport met également en évidence la nécessité de muscler les systèmes et processus, dans la perspective de notification des failles de sécurité exigée par le Règlement général de l’Union européenne sur la protection des données (RGPD) et la Directive NIS sur la sécurité des réseaux et des systèmes d’information.

Par ailleurs, plusieurs années de cyberattaques n’ont pas fait chanceler les professionnels de la sécurité informatique, au contraire : ils sont encore plus expérimentés et résolus à les contrer. Interrogés sur la manière dont ils réagiraient face à un cyberincident, ils avouent, pour la majorité (60 %), qu’ils y verraient là l’occasion de tirer les leçons de cette expérience et de rebondir ; 9 % seulement songeraient à donner leur démission. En Europe, la stratégie dominante consiste à tout miser sur la prévention puisque, en moyenne, 65 % du budget de la sécurité informatique lui est consacrée.

Là où les professionnels de la sécurité informatique sont moins à l’aise, c’est dans leurs relations avec la direction de l’entreprise :

·    Perplexité des hauts responsables sur les questions de sécurité – Après une faille de sécurité, près du tiers (32 %) des professionnels de la sécurité informatique constatent le désarroi de leurs supérieurs hiérarchiques, totalement perplexes sur les causes réelles de cet incident ; si, pour près d’un professionnel interrogé sur cinq, la direction rejette la responsabilité sur l’équipe en charge de la sécurité informatique, elle adresse personnellement des reproches à un professionnel sur dix.

·    La sécurité est un sujet de conversation délicat – Si la moitié des professionnels de la sécurité informatique (51 %) ont bien du mal à attirer l’attention de leur direction sur les déficiences éventuelles des systèmes de sécurité, le reste (49 %) a davantage de difficultés à admettre que quelque chose n’a pas fonctionné et qu’une faille s’est produite. Le dialogue devient extrêmement compliqué lorsque l’erreur humaine est en cause (28 %), que la faute est imputable à un fournisseur (23 %) et que davantage d’investissements sont nécessaires pour limiter les risques à l’avenir (21 %).

·    Impliquer la direction risque de se retourner contre eux – Le tiers des professionnels de l’informatique estime qu’en associant la direction, ils ne font que compliquer les choses. À noter que la troisième raison la plus couramment avancée pour ne pas signaler un incident tient au fait que la personne à l’origine de celui-ci faisait partie de l’équipe dirigeante.

·    La législation européenne ne fait qu’accroître les tensions managériales en interne – Près de la moitié des professionnels de l’informatique (47 %) s’attendent à des échanges « corsés » avec leur direction concernant ces nouvelles exigences de notification en matière de failles de sécurité. Même si la majorité (63 %) voit d’un bon œil l’impact de cette législation, les participants à l’étude s’inquiètent des coûts et complications supplémentaires induits ainsi que des contraintes opérationnelles que les nouveaux textes risquent d’entraîner (56 %). Si la principale raison avancée aujourd’hui pour ne pas faire état d’une faille de sécurité a trait au caractère insignifiant de celle-ci (30 % des cas) ou au manque de temps du professionnel de l’informatique (27 %), il est évident que d’immense défis restent à relever.

« Tensions et méconnaissance sont manifestes, au vu de cette étude. Dans mes échanges avec les acteurs en région EMEA, je consacre énormément de temps à les aider à déterminer dans quelle mesure les professionnels de la sécurité informatique et le reste des équipes dirigeantes peuvent se rapprocher sur des questions de cybersécurité aussi complexes et stratégiques. La technologie peut contribuer à simplifier les processus en jeu, en prévenant les incidents et en automatisant les réponses à apporter. Mais, à l’évidence, un dialogue plus ouvert s’impose au sein même de l’équipe dirigeante afin de mettre en œuvre et perfectionner perpétuellement les stratégies de prévention des cyberattaques »,  Greg Day, vice-président et directeur régional de la sécurité EMEA, Palo Alto Networks

Réussir à parler un même langage : Nombre de hauts responsables ont des difficultés à appréhender le cyber-risque. Faites en sorte qu’ils parviennent à le maîtriser en définissant des indicateurs clairs en matière de cybersécurité :

·    Dans le cadre de votre stratégie de prévention, associez ces dirigeants à un exercice de préparation destiné à tester les processus de cybersécurité ; ils pourront ainsi mesurer pleinement les problématiques et les risques.

·    Insistez sur le fait qu’avec les nouvelles réglementations, comme le RGPD et la Directive NIS, les responsabilités de l’entreprise sont accrues. Même si la nécessité d’une cybersécurité de pointe n’a jamais été aussi forte, gardez à l’esprit que le parcours de l’équipe de direction n’a rien d’un long fleuve tranquille.

Les incidents sont inévitables, alors préparez-vous à les affronter. Sachez néanmoins que vous pouvez éviter nombre d’entre eux en vous recentrant sur certains principes clés, en tirant parti de l’automatisation, en misant sur la formation et en privilégiant la prévention.

Argent, Arnaque, Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, escroquerie, ID, Identité numérique, Paiement en ligne, Particuliers, Phishing, Propriété Industrielle, Social engineering

Près de la moitié des français n’achèterait pas à une entreprise piratée

78 % des français souhaitent plus de condamnations et des sanctions plus sévères envers les cyber criminels qui volent les données personnelles.

F5 Networks a présenté dernièrement les résultats d’une étude sur les attitudes des français face au piratage. L’étude révèle que les français prennent conscience des problèmes liés au piratage – avec 47 % qui affirment qu’ils n’ouvriraient pas de compte, ne partageraient pas de données ou n’achèteraient pas à une entreprise déjà piratée par le passé (50 % en UK – 51 % en Allemagne).

Même si 49 % des français changent parfois ou à chaque fois leur mot de passe si une entreprise dans laquelle ils possèdent un compte a été piratée, nous sommes encore 17 % à ne jamais changer nos mots de passe après le piratage d’une entreprise dans laquelle nous possédons un compte (8 % en UK – 9 % en Allemagne).

https://twitter.com/zataz/status/783060182205161472

Les motivations des pirates
Selon les français, les pirates sont principalement motivés par le fait de gagner de l’argent grâce au vol de données personnelles (60 %), suivi par la possibilité de souligner des failles dans l’entreprise et les solutions de sécurité (9 %) puis de dérober des secrets d’affaires (8 %). Nous sommes également près de 60 % à penser que les pirates deviennent plus professionnels (72 % en UK – 64 % en Allemagne) et 22 % à penser que les employés ne reçoivent pas des formations appropriées en matière de cybersécurité.

A qui la faute ?
Les français sont partagés : 39 % d’entre eux pensent que la responsabilité doit être attribuée aux solutions de sécurité elles-mêmes, alors que 37 % pensent que l’équipe IT et sécurité est responsable, si l’entreprise est victime d’une cyber attaque. Alors que les britanniques et les allemands sont plus tranchés : ils sont respectivement 52 % et 53 % à penser que la responsabilité doit être attribuée à l’équipe IT et sécurité. 49 % des français estiment également que les entreprises ne prennent pas assez de mesures pour elles-mêmes et leurs clients afin de se protéger contre les cyber criminels, comparativement à 61 % en Angleterre et 46 % en Allemagne. « Les individus pensent de plus en plus qu’il est de la responsabilité des entreprises de mener la lutte contre les cyber criminels et de s’assurer qu’elles protègent les données de leurs clients. Alors que les consommateurs doivent améliorer leur comportement en ligne en pensant à la sécurité, la protection des données reste la responsabilité de l’entreprise », pense Gad Elkin, directeur de la sécurité EMEA chez F5 Networks.

Que faire ?
Lorsque l’on demande aux consommateurs comment les entreprises doivent-elles améliorer leur façon de se protéger contre les hackers, “Investir dans les technologies de sécurité” arrive en première position dans les trois pays (61 %), suivi par “une meilleure éducation des consommateurs sur la menace” et ”partager leurs (les entreprises) connaissances sur la menace” en troisième position.

Et si les français pouvaient tous pirater…
Si l’étude a également permis de révéler que près d’un français sur 5 place les hackers du côté « des bons » (contre seulement 1 britannique sur 10), ils sont 37 % à citer les banques et 22 % le secteur public, parmi leurs victimes – s’ils pouvaient pirater pour une raison ou une autre (voler des données, découvrir des secrets d’affaires ou gagner de l’argent) sans aucune conséquence.

« Les chiffres de l’étude montrent que l’ensemble des consommateurs à travers l’Europe sont disposés à quitter un prestataire pour choisir un concurrent non piraté. La cyber sécurité devient donc un avantage concurrentiel pour les entreprises et non plus seulement un centre de coûts – et celles-ci doivent trouver comment améliorer leurs propres défenses d’une part, et comment éduquer les consommateurs sur les risques informatiques d’autre part. »

Base de données, Chiffrement, Contrefaçon, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Check Point Security Report 2016

Security Report : Un employé télécharge un logiciel malveillant toutes les 4 secondes et 1 employé sur 5 est à l’origine d’une faille de sécurité.

Security Report – Le volume des attaques de phishing continue d’augmenter et touche 80% des entreprises interrogées, les pirates préférant des méthodes reposant sur la messagerie et l’ingénierie sociale pour mener leurs attaques. La société Check Point Software Technologies Ltd. vient de publier les résultats de son Security Report annuel et de l’enquête SANS : Exploits at the Endpoint: SANS 2016 Threat Landscape Study. Ces deux études mettent en exergue les challenges majeurs auxquels sont confrontées les entreprises, et délivrent des recommandations aux responsables informatiques, à mesure que les entreprises continuent de se doter de protections contre les cybermenaces évolutives.

Pour la quatrième édition de leur Security Report, les chercheurs ont analysé l’activité de plus de 31 000 gateways Check Point dans le monde entier, révélant ainsi des détails sur les logiciels malveillants connus et inconnus que rencontrent les entreprises, les tendances d’attaque, et l’impact des appareils mobiles dans l’entreprise. Les chercheurs ont également pu mesurer l’impact des failles de sécurité sur les entreprises, et les dépenses supplémentaires engendrées, au-delà des coûts de désinfection.

Dans l’enquête Exploits at the Endpoint: SANS 2016 Threat Landscape Study, réalisée en partenariat avec le SANS Institute, un organisme de recherche et de formation sur la sécurité, les chercheurs ont interrogé plus de 300 professionnels de l’informatique et de la sécurité à travers le monde pour déterminer les menaces que les entreprises doivent affronter, quand et comment ces menaces deviennent des incidents, les types de menaces qui ont le plus d’impact, et les défis que les entreprises rencontrent pour se protéger.

« Avec des milliards de nouvelles connexions chaque minute, le monde est plus interconnecté que jamais auparavant. Les innovations telles que le Cloud, la mobilité et l’Internet des objets, sont en train de transformer la manière dont nous déployons, consommons et protégeons la technologie, » déclare Amnon Bar-Lev, président de Check Point. « De plus en plus de logiciels malveillants sont introduits dans notre écosystème. Les techniques traditionnelles de sécurité sont incapables de les stopper. Pour s’en prémunir, il faut conserver de l’avance sur les choses que nous ne pouvons pas voir, connaître ou contrôler, et empêcher les attaques avant qu’elles ne se produisent. »

Ces deux études présentent une vision globale du paysage des menaces, des réseaux jusqu’aux postes de travail, et offrent leurs conclusions :

Les logiciels malveillants inconnus poursuivent leur croissance exponentielle et évolutive.
Les chercheurs ont constaté une multiplication par 9 de la quantité de logiciels malveillants inconnus qui empoisonnent les entreprises, notamment en raison des employés qui téléchargent un nouveau logiciel malveillant inconnu toutes les quatre secondes. Au total, près de 12 millions de nouvelles variantes de logiciels malveillants sont découvertes chaque mois. Plus de nouveaux logiciels malveillants ont été découverts au cours des deux dernières années que durant la décennie précédente.

La sécurité a pris du retard sur la mobilité
Les smartphones et les tablettes représentent aujourd’hui 60 pour cent du temps de consultation des médias numériques. Les appareils mobiles en entreprise sont à la fois une malédiction en termes de sécurité et une bénédiction en termes de productivité. Bien que les employés ne souhaitent pas être la cause d’une faille de sécurité, 1 employé sur 5 sera toutefois à l’origine d’une faille en raison de logiciels malveillants mobiles ou de connexions Wi-Fi malveillantes.

Les postes de travail sont le point de départ de la plupart des menaces
Parmi les entreprises interrogées, les postes sont à l’origine de la plupart des failles de sécurité et sont l’élément le plus critique de la cybersécurité. Les agresseurs préfèrent attaquer via la messagerie dans 75% des cas, et 39% des attaques menées contre les postes parviennent à contourner les gateways de sécurité réseau. Les recherches précisent que 85% des menaces sont découvertes une fois qu’elles ont réussi à se glisser dans l’entreprise.

Les deux rapports concluent que les entreprises devraient se doter de la meilleure architecture de sécurité prévoyante possible afin de pouvoir faire face aux complexités actuelles et futures en matière de sécurité informatique. Cette architecture devrait intégrer des composants critiques pour l’entreprise moderne : prévention avancée des menaces, protection des appareils mobiles, et segmentation du réseau pour une supervision approfondie.

Pour consulter le Rapport Sécurité 2016 de Check Point, rendez-vous sur http://www.checkpoint.com/securityreport/.

Cybersécurité, Entreprise, Fuite de données, IOT, Propriété Industrielle

Internet des Objets et sécurité

Les objets connectés et l’IoT (Internet des Objets) ont changé notre quotidien, aussi bien d’un point de vue personnel que professionnel. Mais les utilisateurs doivent cependant rester prudents face à ces technologies et leur impact sur la vie privée.

Internet des Objets et sécurité – Selon une récente étude iab France et Médiametrie, 53% des français pensent que les objets connectés représentent l’avenir. Toutefois, pour 56% de la population, la confidentialité des données personnelles représente le risque principal des objets connectés. Pour cause, l’IoT permet aux entreprises de créer de nouveaux produits et services – et cela implique de fait la collecte d’informations privées sur l’usage de ces produits. Les objets connectés nous forcent donc à repenser le concept et l’expérience de la confidentialité – ce qui représente un défi majeur pour les usagers, les administrations juridiques et les entreprises.

Le premier risque provient donc du flou juridique qui est, pour le moment, en vigueur. Il est aujourd’hui facile, notamment grâce à la CNIL, d’avoir le contrôle des informations fournies aux sites Internet. Mais celles récupérées par les objets connectés représentent un plus grand challenge. Il est important qu’un cadre légal et réglementaire clair soit mis en place.

Cependant, au delà de l’aspect juridique et de la confidentialité, il est important de réfléchir à la sécurité même de ces données. L’IoT est une technologie en mouvement, et comme toute technologie récente, elle fait encore face à des failles de sécurité. Ces dernières permettent aux hackers de potentiellement prendre le contrôle de l’objet en lui-même, d’attaquer les terminaux ou réseaux informatiques y étant connectés, mais aussi de récupérer les données qui y sont liées.

Internet des Objets

Pour minimiser les risques inhérents aux objets connectés, il faut donc que trois règles soient respectées :

L’intégrité et la sécurité physique : l’objet, quel qu’il soit, doit être pensé dès sa conception pour minimiser les failles et pouvoir être neutralisé en cas de corruption via, notamment, la suppression des données. Des systèmes de mot de passe ou d’identification peuvent également être au besoin mis en place.

La sécurisation des données en transit : les données recueillies par les objets connectés sont ensuite envoyées afin d’être analysées, consultées ou traitées. Elles sont donc également vulnérables lors de ce transfert et des cryptages performants doivent être mis en place pour les protéger.

La sécurité des serveurs : les objets connectés permettent aux entreprises d’avoir en leur possession un grand nombre de données personnelles sur les utilisateurs et leurs usages. Ces données sont stockées sur les serveurs de l’entreprise – qu’ils soient physiques ou basés sur le Cloud. La confidentialité et l’intégrité des données personnelles passent donc également par la capacité des entreprises et prestataires à sécuriser leur infrastructure.

Pour sécuriser l’IoT, il est donc primordial de ne pas oublier que les objets connectés sont un terminal informatique comme un autre – ils ne doivent pas être considérés comme de simples gadgets. Par conséquent, les règles fondamentales de la sécurité informatique doivent être respectées. (Par Stéphane Castagné, Responsable Commercial France chez Barracuda Networks)

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Propriété Industrielle, Social engineering

Filtre anti espion sur les prochains Hewlett-Packard

Le géant de l’informatique Hewlett-Packard s’associe avec 3M pour préinstaller sur ses prochains ordinateurs portables professionnels un filtre anti espion.

Filtre anti espion – Quoi de plus courant que de croiser à la terrasse d’un café, dans le train ou dans un aéroport ces fiers commerciaux pressés de travailler, même dans un lieu non sécurisé. Autant dire que collecter des données privées, sensibles, en regardant juste l’écran de ces professionnels du « c’est quoi la sécurité informatique ? » est un jeu d’enfant.

Hewlett-Packard (HP), en partenariat avec 3M, se prépare à commercialiser des ordinateurs portables (Elitebook 1040 et Elitebook 840) dont les écrans seront équipés d’un filtre anti voyeur. Un filtre intégré directement dans la machine. Plus besoin d’utiliser une protection extérieure.

Une sécurité supplémentaire pour les utilisateurs, et un argument de vente loin d’être négligeable pour le constructeur. Selon Mike Nash, ancien chef de la division de sécurité de Microsoft et actuellement vice-président de Hewlett-Packard, il est possible de croiser, partout, des utilisateurs d’ordinateurs portables sans aucune protection écran. Bilan, les informations affichés à l’écran peuvent être lues, filmées, photographiées.

Le filtre pourra être activé et désactivé à loisir.

Cybersécurité, Entreprise, Propriété Industrielle, Rendez-Vous

Les nouvelles technologies placent la sécurité au cœur du FIC 2017

Le FIC 2017, qui réunira l’ensemble des acteurs publics et privés, les 24 et 25 janvier prochains à Lille, permettra d’échanger autour des défis d’un monde toujours plus connecté et de participer à la construction d’un espace numérique sécurisé.

FIC 2017 – Organisé conjointement par la Gendarmerie Nationale, CEIS et EuraTechnologies, et co-financé par la Région Hauts-de-France, la 9è édition du Forum International de la Cybersécurité sera consacrée à la sécurité de demain et aux nouveaux usages.

« Les usages pour le meilleur sont parfois au service du pire. Les prédateurs l’ont bien compris. Ils viennent dans l’espace numérique qui leur offre le meilleur rapport gain/risque pénal. La cybercriminalité est la criminalité du XXIe siècle, comme nous l’écrivions lors de la fondation du FIC, en 2007. Il est désormais urgent de mobiliser tous les acteurs publics et privés, car l’enjeu est bien la nature de la « nouvelle société » qui sera la nôtre dans une quinzaine d’année » explique le Général Marc Watin-Augouard, fondateur du FIC.

Dans un contexte de loi pour une République numérique sur le plan national, et d’une Europe de la cybersécurité plus que jamais en marche, l’événement européen de référence réunissant tous les acteurs de la confiance numérique rassemblera représentants de la société civile, offreurs de services et de solutions de sécurité de confiance, utilisateurs finaux, monde public et sphère académique.

Des interrogations stratégiques à l’échelle européenne

La directive NIS met déjà en place un groupe de coordination, ainsi qu’un réseau réunissant les CERT. Mais la Commission souhaite aller plus loin et proposera début 2017 un schéma directeur prévoyant un plan de coordination en cas de cyber attaque de grande ampleur avec la participation de l’ENISA, des CERTs et d’EC3 (Europol).

Placé au cœur de l’actualité, le FIC 2017 sera l’occasion d’avancer des pistes de réflexion dans la gestion des crises cyber à l’échelle européenne et, après l’adoption du « Privacy Shield », d’échanger sur les ambitions numériques de l’Europe.

Le partage d’expérience : une piste d’amélioration pour la filière cybersécurité
Les 3 premiers arrêtés pris à la suite de la Loi de programmation militaire (LPM) ont été publiés récemment (produits de santé, gestion de l’eau, alimentation). Le FIC 2017 permettra d’assister à des retours d’expérience d’infrastructures critiques de nos voisins européens.

FIC 2017 – L’humain, clé de la réussite d’une stratégie de cybersécurité

La formation, la sensibilisation, la mobilisation des métiers autour des enjeux de cybersécurité, la recomposition du paysage des fonctions IT… Ces sujets, traités lors de la prochaine édition du Forum International de la Cybersécurité, place l’homme au cœur des débats. Quels sont les nouveaux outils de la sensibilisation ?  Comment associer les métiers aux démarches de sécurité ? Quelle place donner à la sécurité dans l’entreprise ? Autant de questions auxquelles tenteront de répondre les experts en cybersécurité et les directeurs métiers, des secteurs publics et privés.

Répartis sous 7 thèmes : Enjeux internationaux – La filière cybersécurité – La sécurité en entreprise – Lutte anti-cybercriminalité – Nouvelles technologies – Questions de société – et Technologies de sécurité, les plénières, conférences et ateliers du FIC permettront de couvrir les sujets selon un enjeu stratégique, juridique, industriel ou technologique.

Parmi les  sujets phares de cette 9è édition du Forum International de la Cybersécurité figurent également :
– Bug bounty, mode d’emploi
– Le développement du Shadow-IT : risque ou opportunité ?
– Le ransomware : quelles solutions pour ces nouvelles menaces multiformes ?
– Droit et cybercriminalité : quelles évolutions pour une législation plus efficace ?
– Le véhicule autonome : comment sécuriser la conduite en toute sécurité
–  La blockchain : quelles applications concrètes pour une technologie prometteuse ?
– Smart City : big mother en puissance ?
–   La santé peut-elle être connectée en toute sécurité ?
– La maitrise de la sphère numérique individuelle, un nouveau défi pour les utilisateurs connectés
– Monde virtuel, monde réel, liaisons dangereuses ?
– Cyberdéfense : l’automatisation est-elle synonyme d’intelligence ?

FIC 2017 – Ouverture des inscriptions pour le prix de la PME innovante

En janvier dernier, 40 PME avaient concourues au Prix de la PME innovante qui vise à la fois à encourager la recherche et l’innovation dans le secteur de la cybersécurité et à valoriser les PME. Lors du FIC 2016, le Prix de la PME innovante avait été attribué à Cyber Test Systems et le Prix spécial du jury à TrustinSoft. Les inscriptions pour le Prix de la PME 2017, parrainé par Airbus Defence and Space sont ouvertes.

Base de données, Cybersécurité, Entreprise, IOT, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Le lancement du jeu The Division a poussé l’analytique jusqu’à la limite

Pour ceux qui vivent sur une île déserte, en mars dernier, Ubisoft a lancé Tom Clancy’s The Division, son jeu de tir à la troisième personne en monde ouvert très attendu et disponible en ligne uniquement, sur plusieurs plateformes. Le jeu a battu les records de l’entreprise, dont le plus grand nombre de ventes durant le premier jour de commercialisation, recueillant non seulement d’excellentes critiques générales mais renforçant ainsi les bénéfices de l’entreprise pour l’exercice 2015-16. En préparation du lancement, les personnes impliquées dans les analyses de données du jeu étaient bien conscientes que la pression serait immense.

La sortie de The Division marque le plus grand lancement de l’histoire d’Ubisoft. Il a fallu environ six mois avant le lancement pour que tout le monde soit sur la même longueur d’onde quant au travail d’analyse mais cela s’est tout de même avéré être un défi de taille « tout particulièrement pour notre infrastructure de suivi. Lors du lancement, notre capacité a lentement atteint sa limite, nous avons donc dû prendre de nombreuses décisions à la volée afin de maintenir notre flux analytique. Cela a demandé énormément de travail, mais nous l’avons fait« , déclare Alzbeta Kovacova, responsable analytique chez Massive Entertainment.

Presque toutes les entreprises en jeu emploient des données de nos jours, même s’il est simplement question d’indicateurs de performance ordinaires. De plus en plus de directeurs et de responsables saisissent le besoin de l’analytique et souhaitent en faire usage. L’analytique permet d’améliorer les jeux pour tous les joueurs, d’informer les équipes de développement durant la conception de nouveaux jeux améliorés et de rendre les efforts de marketing bien plus efficaces. »

Mme Kovacova insiste sur le fait que ce qui fait la principale différence entre une réussite et un échec pour un jeu de cet ampleur, et au sein du monde de l’analytique de jeu en général, ce sont les gens. Toutefois, bien que l’importance des données augmente pour tous les produits commerciaux, les gens peuvent aussi représenter un obstacle.

Lors de son effort annuel visant à rassembler les personnes impliquées dans ce domaine et à partager leurs leçons et expériences, le Game Analytics and Business Intelligence Forum se rendra à Londres en septembre (du 20 au 22) pour offrir des séminaires présentés par des acteurs tels que Rovio, Spotify, King et Miniclip.

Lors d’une présentation exclusive, Mme Kovacova parlera également plus en détail du lancement de The Division chez Massive entertainment lors de ce forum.

« J’espère que le secteur pourra tirer quelque chose de ma présentation, dit-elle. Mais je me réjouis aussi d’en apprendre davantage au sujet des différents défis et des solutions développées par les autres intervenants du panel. »

Chiffrement, Cybersécurité, Entreprise, Mise à jour, Propriété Industrielle

Une erreur d’inattention : jusqu’à 15 millions de dollars

Erreur d’inattention – On peut perdre de l’argent à cause des fluctuations du marché ou d’un secteur d’activité. Mais lorsque l’on oublie de renouveler ses certificats SSL, les conséquences financières peuvent être catastrophiques pour l’entreprise – notamment en termes d’image de marque et de fiabilité auprès de vos prospects et clients.

D’après une étude, près des deux tiers des entreprises reconnaissent avoir déjà perdu des clients au cours des deux dernières années parce qu’elles avaient omis de sécuriser leur site Web avec les certificats appropriés. Une erreur d’inattention qui coûte ! Dès qu’un client perd confiance dans votre site Web – et par analogie, dans votre entreprise –, il risque d’aller voir ailleurs par crainte pour la sécurité de ses données. Si un site Web n’est pas sécurisé, l’entreprise expose ses données à des risques de violation dont les conséquences financières peuvent se chiffrer en millions d’euros. Un simple oubli à la date de renouvellement de ses certificats suffit à déclencher une avalanche de frais : interventions en cas d’incident, dommages et intérêts, frais de justice, sanctions financières et relations publiques…

D’après un rapport Ponemon de 2015, l’entreprise « moyenne » a déjà connu plus de deux défaillances système ces deux dernières années à cause de « pannes en rapport avec des certificats ».  Pour une panne non programmée liée aux certificats, le coût moyen avoisine 15 millions de dollars (USD).

Étude de cas Microsoft Azure
En 2013, la plate-forme cloud Azure de Microsoft a connu une panne mondiale à cause d’un certificat SSL expiré. L’incident s’est produit au moment même où l’on signalait des problèmes sur les services Xbox Music et Xbox Video de Microsoft. L’annonce est survenue le jour où Microsoft reconnaissait avoir été victime de la même cyberattaque qu’Apple et Facebook. Comme l’on peut l’imaginer, ses nombreux clients ont dû être informés, son service des relations presse a dû gérer la communication autour de la situation et Microsoft a enregistré un important manque à gagner pendant l’attaque.

Comment s’assurer que son site est protégé ?
Face au risque croissant des cyberattaques, les sociétés d’audit traquent les normes et les réglementations auxquelles les entreprises devront se conformer pour démontrer l’absence de risques pour leurs clients ou leurs données. Pour savoir quelles sont les mesures de mise en conformité à prendre, on peut se rendre sur le site IT Governance pour consulter les pages consacrées aux normes publiées.

Depuis que des sociétés comme Google notent mieux les entreprises dont les sites sont sécurisés, le sujet est d’actualité dans les entreprises et les départements responsables de la sécurité des systèmes d’information.

Faire un audit interne
Commencer par rassembler l’ensemble de ses certificats actuels et de ses clés pour identifier les éventuelles failles.

L’entreprise peut d’ores et déjà utiliser l’outil gratuit mis à disposition par GlobalSign pour vérifier ses serveurs Web. Si l’on est client de GlobalSign, on peut également utiliser l’outil d’inventaire de certificats pour vérifier gratuitement l’emplacement de ses certificats et leur date de renouvellement.

Répertorier les dates d’expiration pour chaque certificat et les consigner dans un endroit facile à mémoriser. Pour se faciliter la tâche, la personne chargée de la sécurité des systèmes d’information peut éventuellement programmer un rappel dans son calendrier avant la date d’expiration de chacun de ses certificats pour effectuer les mises à jour dans les délais et éviter que le site de son entreprise ne se retrouve en situation de vulnérabilité. L’on peut également envisager une solution Managed SSL pour contrôler ses certificats via une plate-forme en ligne et être prévenu lorsqu’un certificat doit être renouvelé.

Faites appliquer les règles en interne
Après avoir pris connaissance des normes ISO, GlobalSign recommande de mettre en place les processus adéquats dans son entreprise et de les documenter pour que chacun soit, dans la mesure du possible, informé des mesures prises, des raisons sous-jacentes et de son rôle.

Des formations doivent également être mises en place à l’échelle de l’entreprise pour expliquer à ses collaborateurs les changements entrepris. Autre objectif de ces formations : éviter que les collaborateurs ne soient victimes d’arnaques de type phishing (hameçonnage) ou qu’ils exposent inutilement des données sensibles avec le risque de compromettre les données de l’entreprise.

Voici un exemple de procédures à mettre en œuvre pour assurer la protection interne et externe d’une entreprise au niveau physique et en ligne :
Carte magnétique/Badge permettant d’accéder aux bâtiments, bureaux et salles avec des niveaux d’autorisation différents en fonction des collaborateurs
Règlement intérieur prévoyant des formations régulières pour les collaborateurs sur les bonnes pratiques et les moyens de détecter et de signaler d’éventuelles menaces et problèmes de sécurité. Authentification à deux facteurs pour l’accès des collaborateurs aux machines, terminaux, réseaux et portails en ligne. Signature numérique des e-mails permettant de garantir l’authenticité de l’auteur des messages, d’éviter toute modification non autorisée des messages et de chiffrer les messages contenant des données et des informations sensibles. (GlobalSign)

Cybersécurité, Emploi, Entreprise, loi, Propriété Industrielle

Sécurité, conception et outils collaboratifs

Une étude européenne révèle que les décideurs informatiques mettent en priorité la sécurité de leurs équipements. La conception et les outils collaboratifs représentent également une préoccupation grandissante.

Une nouvelle étude révèle que, tandis qu’un quart des entreprises à travers l’Europe affirment avoir subi un incident de sécurité sur leurs équipements au cours des 12 derniers mois, moins d’un tiers d’entre elles (32 %) font entièrement confiance au niveau de sécurité de leur parc informatique. L’étude commandée par HP a été réalisée par Redshift Research dans sept pays européens auprès de 1016 décideurs informatiques, dont 205 en France. Ils ont été interrogés sur l’utilisation des équipements dans leur entreprise et les résultats font apparaître une inquiétude au sujet des technologies actuelles ; 90 % des participants étant particulièrement préoccupés par la sécurité des équipements.

Cependant, si les décideurs informatiques soulignent l’importance de la sécurité des équipements, ils reconnaissent que la conception est également un critère essentiel pour eux. Elle favorise la flexibilité au travail et contribue à la satisfaction des collaborateurs. Plus de deux tiers (69 %) des responsables interrogés estiment que la conception d’un PC est cruciale pour une mobilité optimale, tandis que plus des trois quarts (77 %) pensent qu’un PC bien conçu améliore la satisfaction au travail. Près de la moitié des décideurs informatiques (44 % – 47 % pour la France) admettent l’absence d’une politique de BYOD dans leur entreprise. Les équipements fournis par leur service informatique jouent de ce fait un rôle d’autant plus important pour les collaborateurs, surtout que la génération Y représente une proportion croissante du personnel.

« L’utilisation des équipements professionnels par nos clients ne cesse d’évoluer, se traduisant notamment par une collaboration, une mobilité et une productivité accrues pour les utilisateurs », commente Philippe Chaventré, Directeur de la Catégorie PC pour HP France. « Ces nouvelles méthodes de travail représentent également un véritable défi pour les décideurs informatiques. Ils doivent veiller à préserver la sécurité de leurs équipements tout en fournissant des produits modernes et bien pensés qui répondent aux exigences de leurs collaborateurs en matière de productivité et de design ».

Parmi les motifs les plus courants d’insatisfaction par rapport aux PC professionnels, les décideurs informatiques citent le design peu attrayant (32 %) et la faible autonomie de batterie (25 %). Grâce aux smartphones, les utilisateurs peuvent désormais travailler où et quand ils le souhaitent, à domicile, au bureau ou en déplacement, mais aussi se servir de leur équipement professionnel à des fins personnelles, notamment sur les réseaux sociaux. Cette tendance se reflète dans l’évolution de l’attitude des décideurs informatiques: plus d’un tiers (37 %) d’entre eux déclarent que leur entreprise ne surveille pas les activités extraprofessionnelles sur les PC professionnels. Ils indiquent également que leurs employés deviennent de plus en plus mobiles : 43 % précisent que leurs collaborateurs passent moins de 35 heures par semaine dans un bureau et, en moyenne, 9 heures hebdomadaires dans des réunions en face-à-face et à distance.

Avec un personnel toujours plus mobile, la demande d’outils collaboratifs en entreprise se fait plus pressante. La messagerie instantanée est l’outil collaboratif le plus couramment utilisé : plus de 50 % des personnes interrogées disent l’utiliser chaque jour (cela atteint même 60 % en France). La moitié des décideurs informatiques indiquent que leurs collaborateurs se servent d’outils de vidéoconférence sur leur PC au moins deux fois par semaine (25 % pour la France). Cependant, la connectivité des équipements demeure un défi, et même le principal frein technologique au travail collaboratif pour 29 % des participants à l’enquête. 25 % s’estiment par ailleurs bridés par les logiciels (20 % pour la France).

Les outils collaboratifs : expériences différentes à travers l’Europe
Les résultats de l’enquête mettent également en lumière des différences dans l’utilisation des équipements en entreprise à travers l’Europe. En Allemagne, les décideurs informatiques sont très nombreux à fournir des outils de vidéoconférence à leurs collaborateurs (seuls 7 % ne le font pas), alors qu’au Royaume-Uni ils sont plus d’un quart (27 %) à ne pas offrir cet équipement. De même, l’usage de la messagerie instantanée varie suivant les pays : 84 % des responsables interrogés en Espagne indiquent que leurs collaborateurs l’emploient quotidiennement, contre seulement 27 % en Suisse.

En France, 78 % des décideurs informatiques inscrivent la sécurité des équipements au cœur de leurs préoccupations, contre moins de la moitié de leurs homologues britanniques (49 %). Par ailleurs, en Espagne, plus de trois quarts (78 %) des participants à l’enquête ont subi un incident de sécurité sur les équipements de leur entreprise, contre à peine plus de la moitié (51 %) outre-Manche.

« En France, les décideurs informatiques s’inquiètent encore plus que leurs homologues européens de la sécurité de leurs équipements, dans la mesure où plus de trois quarts (78 %) en font une préoccupation majeure », précise Philippe Chaventré, Directeur de la Division PC pour HP France. « Cela n’est pas surprenant compte tenu de la vague récente de cyberattaques de grande ampleur lancées contre des entreprises françaises au cours des six derniers mois. Chaque responsable informatique a cela en tête et souhaite éviter à tout prix que son entreprise soit la prochaine sur la liste. Cependant, 84 % d’entre eux déclarent avoir confiance dans les solutions ou services de sécurité équipant les outils informatiques ».

Par contre, les décideurs informatiques ne font pas ressortir de différences significatives d’un pays à l’autre pour ce qui est de la satisfaction de leur personnel face à la conception des équipements.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

96 % des DSI Français s’attendent à être la cible d’attaques

Les DSI français admettent investir des millions à fonds perdus dans une cybersécurité qui se révèle inopérante sur la moitié des attaques. Une nouvelle étude  indique que 96 % des DSI, en France, s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces.

Une étude, menée par Vanson Bourne auprès de 100 DSI en France, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que les Directeurs des Services Informatiques s’attendent à être la cible d’attaques. Ces décideurs informatiques sont unanimes : ils estiment que les fondements de la cybersécurité – clés cryptographiques et certificats numériques – n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre.

Les DSI, en France, reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats – et se révèlent incapables de différencier ceux dignes de confiance des autres. Si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI français admettent que ce chaos met en péril leurs projets des plus stratégiques, à savoir ériger des structures informatiques agiles autour du concept DevOps.

Etre la cible d’attaques

  • 90 % des DSI, en France, sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques.
  • 96 % des DSI, en France, ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté.
  • 91 % des DSI, en France, estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates.
  • 79 % des DSI, en France, conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger car leurs initiatives introduisent des vulnérabilités nouvelles.

Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Sauf que des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.

Les technologies déployées – protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP) – sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Résultat, ces outils se révèlent incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité : ils se servent de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.

« Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés », commente Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi. « Si la France dispose de l’une des approches les plus évoluées au monde en matière de cybersécurité, elle se classe également parmi les 10 pays où la cybercriminalité fait rage : les entreprises françaises courent donc davantage de risques. Dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés, les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles. »

« Progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI, en France, sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »

« Et les marchés expriment clairement leur manque de confiance dans la cybersécurité. Ce n’est pas une coïncidence si 96 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en-deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. »

Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. Les DSI craignent que la multiplication des clés et certificats à l’appui des nouvelles initiatives informatiques n’aggrave encore la situation.

La cible d’attaques : trop de clés et certificats

À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI français (97 %) se disent préoccupés par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage. Car à mesure que l’informatique s’accélèrera – via l’activation et la désactivation de services en fonction de l’élasticité des besoins – le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI, en France, affirment à 79 % que c’est le cas.

« Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité », poursuit Kevin Bocek. « Pourtant, le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique. Dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas. »

« Raison pour laquelle il nous faut un système immunitaire pour Internet », conclut Kevin Bocek. « Comme chez l’homme, ce système donne aux entreprises les moyens de détecter instantanément les clés et certificats dignes de confiance des autres. Et, à partir du moment où la confiance en ces clés et certificats renaît, la valeur accordée aux autres investissements réalisés par l’entreprise dans le domaine de la sécurité augmente. »

Cette étude a été réalisée par le cabinet d’études de marché indépendant Vanson Bourne qui a interrogé 100 DSI au total, en poste dans de grandes entreprises en France.