Archives par mot-clé : backup

Cybersécurité, double authentification

Google Authenticator prend en charge la sauvegarde

L’application d’authentification à deux facteurs Google Authenticator synchronise désormais les codes à usage unique 2FA qu’elle génère avec les comptes d’utilisateurs Google.

Auparavant, les codes à usage unique Authenticator étaient stockés localement sur un seul appareil, et leur perte pouvait empêcher de se connecter à n’importe quel service configuré avec Authenticator.

Pour bénéficier de la nouvelle fonctionnalité de synchronisation, vous devez mettre à jour votre application. Lorsque vous vous connectez à votre compte Google sur Google Authenticator, les codes sont automatiquement enregistrés et restaurés sur tout nouvel appareil. Ils peuvent également être transférés manuellement vers un autre appareil. Comment vous allez vous en rendre compte ? D’abord le logo d’authenticator a changé.

Ensuite, un petit nuage rouge et une virgule apparaissent dans l’application, à côté de votre compte Google.

Le géant américain affirme que cette mesure ne compromet pas la sécurité. « Nous avons lancé Google Authenticator en 2010 comme moyen gratuit et facile pour les sites d’ajouter des 2FA (Double authentification, ce qui améliore la sécurité de l’utilisateur lors de la connexion. Dans cette mise à jour, nous apportons une solution à ce problème, en rendant les codes à usage unique plus sûrs en les stockant en toute sécurité dans les comptes des utilisateurs de Google« .

L’application Authenticator était à l’origine un projet open-source, mais le code a été fermé par la suite, et les forks open-source officielles des applications Android, iOS et BlackBerry n’ont pas été mises à jour depuis des années. Il existe des alternatives à Authenticator, comme Authy et Duo.

En 2022, Google a annoncé l’introduction d’un support de connexion sans mot de passe avec Passkeys pour Android et Chrome. Les développeurs Android pourront mettre en œuvre la prise en charge de l’accès sans mot de passe à l’aide de l’API WebAuthn et la tester dans le navigateur Chrome Canary ou dans le programme bêta Google Play Sequence.

Sauvegarde

Sauvegarde : 39 % des Français n’en font pas !

Plus d’un tiers des Français ne réalisent pas de sauvegarde, et près de la moitié parce qu’ils estiment que leurs données ou leurs fichiers ne sont pas suffisamment importants.

Un éditeur d’antivirus a réalisé une enquête en ligne dans le cadre de la Journée mondiale de la sauvegarde qui s’est tenue fin mars. Les résultats de l’enquête révèlent que, selon Avats, 39 % des Français ne sauvegardent pas leurs données ou leurs fichiers, s’exposant ainsi à une perte en cas de destruction ou de suppression. Parmi les personnes qui ne sauvegardent pas leurs données, près de la moitié (46 %) affirment ne pas disposer de données ou de fichiers suffisamment importants pour être sauvegardés. 27 % ne savent pas comment sauvegarder leurs données ; 16 % veulent le faire, mais oublient ; 11 % veulent le faire, mais n’en ont pas le temps. (Enquête en ligne menée auprès de 2 020 utilisateurs des antivirus Avast et d’AVG, du 20 février au 4 mars 2020.)

Les raisons invoquées par les propriétaires d’appareils Android et iPhone pour ne pas faire de sauvegarde sont également légèrement différentes. Les propriétaires d’iPhone semblent accorder plus de valeur à leurs données que les propriétaires d’Android. 44 % des propriétaires d’iPhone ne font pas de sauvegarde parce qu’ils pensent que leurs données ne sont pas importantes, contre 38 % des propriétaires d’Android qui partagent cette opinion. Le pourcentage de propriétaires de smartphones qui ne savent pas comment sauvegarder leurs données ne varie pas beaucoup entre les propriétaires d’iPhone et d’Android, puisque 19 % et 20 % d’entre eux, respectivement, affirment ne pas savoir comment faire.

L’étude d’Avast  indique aussi que 11 % des propriétaires d’iPhone et 19 % des propriétaires d’Android oublient d’effectuer une sauvegarde. Pour ce qui est du manque de temps à consacrer aux sauvegardes, 11 % des propriétaires d’iPhone et 16 % des propriétaires d’Android ont invoqué cette raison.

Comment optimiser la sauvegarde de ses données ?

Sauvegarder à deux endroits: lorsqu’il s’agit de sauvegarder des données, on n’est jamais trop prudent. S’il arrive quelque chose à un certain type de sauvegarde, tout pourrait être perdu. Il est donc recommandé de le faire à deux endroits différents, comme dans le cloud, et un stockage physique, comme un disque dur externe.

Déconnecter: les disques durs externes devraient être déconnectés après une sauvegarde afin de les protéger contre les logiciels malveillants tels que les ransomwares, qui peuvent se propager de l’ordinateur aux périphériques connectés.

Sauvegarder automatiquement: la plupart des services de stockage dans le cloud proposent une option de sauvegarde automatique, qu’il est conseillé d’activer, afin que les données soient automatiquement sauvegardées et sécurisées.

Le partage des responsabilités est primordial à la sécurité du cloud

« Jusqu’en 2025, au moins 99 % des incidents de sécurité liés au cloud seront imputables au client. » indiquait Gartner dans un analyse. L’entité tire ainsi la sonnette d’alarme quant à l’importance du partage des responsabilités en matière de sécurité cloud. Cet avertissement sous-entend que les organisations elles-mêmes – et non pas les fournisseurs de services cloud – doivent veiller à l’exhaustivité de leur approche en matière de sécurité.

En entreprise, la question de la migration des données sur le cloud divise l’opinion. Certains estiment que la sécurité accrue des données dans le cloud constitue l’une des principales raisons en faveur d’une migration. D’autres redoutent au contraire le manque de sécurité. Les deux parties ont en réalité raison. La sécurité constitue en effet l’aspect le plus important de l’offre d’un fournisseur de services cloud : un seul incident peut provoquer des pertes financières colossales.

Aucune organisation ne peut assumer à elle seule l’entière responsabilité de la sécurité des données. Organisations, utilisateurs, professionnels de la sécurité informatique et fournisseurs de services cloud ont pour mission commune de s’assurer que toutes les parties impliquées emploient le cloud de façon sûre.

À l’ère de l’économie numérique, la mise en œuvre d’un modèle de responsabilité est synonyme de confiance client, de risques réduits, de réputation  et plus généralement de succès opérationnel pour les entreprises.

Une clarification indispensable

Une sécurité optimale du cloud requiert plusieurs niveaux de protection. Les différents acteurs doivent s’occuper de chaque composant de la « pile des responsabilités » de façon individuelle, tout en interagissant comme une structure unifiée. Sécurité des infrastructures, contrôle du réseau, vérifications applicatives, gestion des identités et des accès, protection des terminaux, classification des données, contrôle des utilisateurs/périphériques/données, contrôle de la collaboration : la liste est longue et potentiellement effrayante pour tout service informatique, quelle que soit sa taille.

La protection proposée par les fournisseurs de services cloud ne garantit malheureusement pas une parfaite sécurité des données. Microsoft, Amazon, Google et autres grands noms précisent à juste titre que la responsabilité ne leur incombe pas entièrement et que les entreprises doivent se faire à l’idée d’une responsabilité partagée. Microsoft a par exemple publié son modèle pour Azure. Amazon applique une approche similaire pour AWS.

Dans un cas comme dans l’autre, la sécurité de l’infrastructure repose sur les actions mises en œuvre par le client afin de garantir la sécurité et la conformité du système.

Les fournisseurs de services cloud divisent traditionnellement les responsabilités en deux : ils énumèrent les fonctionnalités de sécurité proposées et laissent au client le soin de s’occuper du reste. Cette division est un bon début, mais elle peut être source d’incertitudes pour les entreprises clientes : comment déterminer et répartir les aspects relevant de leur responsabilité ? Dans chaque organisation, il est aujourd’hui indispensable de clarifier les rôles et les responsabilités de chaque acteur (sécurité informatique, risque et conformité, développeurs, acheteurs de services cloud et utilisateurs).

Cloud et location de véhicule : la responsabilité partagée de la sécurité comme point commun

La location d’une voiture illustre parfaitement le partage des responsabilités. Tout d’abord, le constructeur est dans l’obligation d’assurer que le véhicule est en état de rouler à sa sortie de la chaîne de montage. Les freins, roues et airbags doivent fonctionner comme il se doit. Une fois la voiture réceptionnée par l’agence de location, cette dernière ne vérifie pas les airbags, le locataire non plus : tous deux partent du principe que ces équipements fonctionnent correctement. Quand le véhicule n’est plus tout neuf, l’agence doit entretenir le véhicule et garantir qu’il est en état de marche.

Le locataire suppose que toutes les vérifications sur les équipements soient « ok » ; malheureusement, lorsque ce n’est pas le cas, il ne le découvre qu’au moment d’un problème avec le véhicule.

Pour les ceintures de sécurité, le principe est le même. Le constructeur doit les installer, l’agence de location les entretenir, mais c’est au conducteur qu’il revient de l’attacher et de vérifier que tous les passagers ont fait de même.

La location d’un véhicule implique ainsi une répartition des responsabilités entre cinq catégories de personnes. Chacun de jouer son rôle. Ignorer un niveau de sécurité peut avoir des conséquences désastreuses.

La responsabilité associée à la gestion des risques incombe à l’entreprise

Microsoft, Amazon et les autres fournisseurs de services cloud s’efforcent d’appliquer systématiquement des modèles de partage des responsabilités, mais les utilisateurs finaux – l’organisation en elle-même, les responsables de la sécurité des données, l’équipe de sécurité informatique, les utilisateurs – doivent assumer davantage de responsabilités.

Les dirigeants et responsables informatiques ne peuvent garantir la protection des informations dans le cloud que si les modules de sécu sont compris, en fonction et correctement mises en oeuvre !

C’est ce que démontre, depuis des semaines, des violation,  conséquence d’une mauvaise configuration des règles AWS pour des serveurs accessibles au public.

De manière générale, les responsables technologiques doivent déterminer à qui incombent la vérification et la gestion des configurations cloud, des flux de données entre différents services cloud, du comportement des utilisateurs, ou encore des contrôles relatifs à la collaboration, aux accès et aux périphériques.

Responsabilité associée

En définitive, la responsabilité associée à la gestion des risques incombe à l’entreprise, car c’est avant tout elle qui se charge de la collecte et de la sécurité.

Le fournisseur de services cloud joue certes un rôle important, mais contrairement à l’organisation cliente, il n’est pas en contact direct avec le public et n’assume pas le risque à la gestion de ces informations sensibles.

Les membres de l’équipe informatique doivent jouer le rôle de gardiens de la sécurité et de la conformité pour l’entreprise. Ils doivent travailler de concert avec le RSSI et les autres dirigeants pour comprendre et définir les politiques en matière de contrôle des données, coopérer avec les différents services pour catégoriser précisément les données, assurer la conformité réglementaire, faciliter les décisions du service des achats, définir les services cloud accessibles aux utilisateurs et garantir l’exhaustivité de la formation des utilisateurs.

En l’absence de processus stricts et de responsabilités clairement définies, une décision opérationnelle comme le déploiement d’un nouveau service de cloud public peut fortement exposer une entreprise à une violation de données ou à des incidents de sécurité connexes. À l’inverse, une démarche de partage des responsabilités permet de veiller à ce que chacun accomplisse son rôle.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, RGPD, Sauvegarde, Securite informatique

Le backup, votre allié numérique

Bug informatique, perte d’informations, attaque d’un ransomware… des problèmes que l’on peut rencontrer chaque jour face à un clavier. L’une des solutions les plus efficace face à ce type de problématique, la sauvegarde. Nous avons testé la solution EaseUS qui vient de fêter ses 14 ans.

La sauvegarde, le backup … la protection de vos données personnelles, d’entreprises par le clonage sécurisé de ces dernières. Le réflexe indispensable pour une continuité d’exploitation. Pour cela, il existe de nombreuses solutions gratuites et payantes. Nous nous sommes penchés sur le cas de « Todo Backup Home » de l’éditeur EaseUS. L’entreprise vient de sortir la version 11.5 de son outil de sauvegarde. D’abord parce que nous utilisons une de leur solution (la récupération de données perdues) et ensuite parce que cette société vient de fêter ses 14 ans d’existence.

EaseUS Todo Backup Home

S’il fallait définir cet outil, nous pourrions le faire ainsi : une sauvegarde simple. En quelque clic votre machine, votre disque dur ou toutes données sélectionnées seront protégées par le backup.

Le fonctionnement est d’une simplicité enfantine. Plus d’excuse pour dire « C’est long, compliqué« . A près avoir installé l’outil (237 Mo), une administration claire et détaillée s’offre à vous. Plusieurs onglets, sans fioriture pour plus d’efficacité. Le premier, la sauvegarde de disque dur. Vous choisissez le HD a sauvegardé et vous cliquez après avoir sélectionnez la destination.

 

Bien évidement, cette destination ne doit pas être le même disque dur et sur le même ordinateur. Je vous conseille fortement un disque dur externe que vous pourrez déconnecter par la suite du poste sauvegardé.

Pensez aussi à chiffrer cette sauvegarde. Chiffrement que propose Todo Backup Home. Il vous sera réclamé un mot de passe afin de sécuriser l’ensemble. Un conseil, ne perdez pas ce password, la récupération sera impossible dans le cas contraire. Petit défaut, l’outil n’indique pas le type de chiffrement employé !

Une fois la sauvegarde effectuée, il est possible de recevoir un courriel indiquant la fin de l’action. Une option intéressante lors de l’automatisation de vos backups.

Pour ne pas surcharger vos sauvegardes de fichiers inutiles Todo Backup Home propose aussi d’exclure les contenus inutiles, consommateurs de Mo. Ici aussi, vous sélectionnez l’onglet adéquate et cochez les fichiers à exclure. Parmi les autres possibilités: la sauvegarde du système avec la possibilité de le transférer sur un nouveau poste, la copie de vos mails (ne fonctionne pour le moment que sous Microsoft Outlook).

Pour conclure, l’option « Stratégie de réserve d’images » vous permettra de ne pas saturer vos espaces de stockages de backup. Vous pourrez sélectionner, par exemple, la durée de conservation. Un détail loin d’être négligeable, aussi, avec le Règlement Général des Données Personnelles qui impose des durées/moyens/sécurisation des informations sauvegardées.

Bref, EaseUS Todo Backup Home fait le travail qu’on lui demande et il le fait vite et bien !

Il existe deux versions de ce logiciel. Une version gratuite et une version plus poussée, commercialisée 27€.

La première sera parfaite pour la maison, la famille.

La seconde est plus poussée, plus pointue avec des options beaucoup plus professionnelles. Je vais être honnête avec vous, j’ai tenté de vous faire gagner des licences ! En lieu est place, j’ai réussi à vous dégoter un -50% sur la licence professionnelle qui vous coûtera donc que 13,5€. (La promo est utilisable jusqu’au 20 juin 2020).

A vous de tester ! N’hésitez pas à faire un report de vos expériences ci-dessous.