Archives par mot-clé : sécurité

Base de données, Chiffrement, Cloud, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Les 4 piliers pour maîtriser l’environnement multi-Cloud

Il existe quelques fondamentaux à respecter pour gagner en liberté et en sécurité et permettre à l’entreprise de tirer le meilleur parti de ses applications.

Le Cloud, qu’il soit public, privé ou hybride, ne cesse de gagner du terrain. Il offre aux entreprises une formidable opportunité de se développer rapidement et de fournir des services à valeur ajoutée pour répondre à la demande croissante des clients. Selon un récent rapport d’IDC, 86 % des entreprises adopteront une stratégie multi-Cloud d’ici deux ans. Cette évolution exerce de fortes pressions sur les départements informatiques, qui se voient contraints de réduire les coûts, d’assurer la protection des données et de sécuriser les applications critiques. Pour maîtriser l’univers multi-Cloud, l’accent doit être mis sur quatre piliers fondamentaux : stratégie, marché, opérations et valeur.

Stratégie du multi-cloud

Un plan de migration stratégique vers le Cloud aide les entreprises à aller de l’avant grâce à une architecture efficace qui sécurise les applications critiques, optimise le potentiel de l’entreprise, garantit la conformité des données et préserve l’expérience utilisateur. La question que doivent se poser les responsables est de savoir si la stratégie de migration vers le Cloud fournit le socle nécessaire à l’innovation, la croissance de l’activité et l’apport de valeur ajoutée aux clients. Les entreprises ont besoin de résultats tangibles qui ont un impact positif sur l’activité. La sécurité est une composante centrale de tout projet de migration, en particulier lorsque ce dernier intègre des services Cloud natifs s’appuyant sur des règles incompatibles avec les services déployés sur site. Parallèlement, investir dans des outils avancés et du personnel qualifié renforce la maîtrise technologique et l’alignement de la stratégie globale.

Marché

Une compréhension du marché des fournisseurs de services Cloud est fondamentale pour créer de la valeur et optimiser les performances. D’après le rapport State of Applications Delivery 2017 publié par F5, une entreprise sur cinq prévoit d’héberger plus de 50 % de ses applications dans le Cloud, ce qui ne fera qu’amplifier le problème de la sécurité des applications.

D’où l’importance de choisir une solution Cloud et un fournisseur de sécurité appropriés. Il est par exemple possible de combiner services sur site, services de Cloud public/privé et services SaaS (Software-as-a-Service). Le marché offre de nombreuses possibilités. Que l’entreprise opte pour le transfert des applications existantes vers le Cloud (migration de type « lift and shift ») ou pour des applications Cloud natives, il est important d’éviter toute dépendance vis-à-vis de fournisseurs de services Cloud spécifiques. Déployer la bonne combinaison de solutions dans le ou les bons environnements accélère la mise sur le marché, atténue les menaces et assure la cohérence, quel que soit le scénario opérationnel.

Opérations

Un modèle multi-Cloud transforme le département informatique en courtier de services, aidant ainsi les entreprises à renforcer la sécurité des applications tout en optimisant le rendement de l’infrastructure existante via la normalisation. Les entreprises prospères adoptent une approche intégrée du Cloud et évitent les silos départementaux. La sécurité des applications dépend de l’ensemble de l’architecture applicative, y compris de l’infrastructure réseau. Tout l’écosystème doit protéger pleinement les données et services vitaux en constante évolution. La sécurité ne doit pas être l’affaire d’un seul individu ni d’une seule fonction de l’entreprise. Pour une transition en douceur, toutes les parties prenantes doivent se synchroniser entre elles et parfaitement saisir les objectifs commerciaux. Une collaboration plus étroite entre les équipes DevOps et NetOps est attendue. De leur côté, les architectes des nouvelles solutions et nouveaux services applicatifs doivent mieux sensibiliser les dirigeants. Avantages de la migration vers le Cloud et aux aspects à normaliser.

Valeur

Il est indispensable de mettre en place des dispositifs de mesure, de surveillance et de gestion. Un écosystème de solutions de sécurité intégrées est requis. Il doit protéger les applications vitales contre des risques majeurs, où qu’elles résident.

Recourir à des outils robustes. Appréhender le paysage des menaces. Mettre à la disposition des spécialistes de la sécurité tous les moyens nécessaires aide les entreprises à protéger les données sensibles. Il doit faciliter le contrôle des accès en vue d’une meilleure expérience client.

Une mesure et une surveillance étroites des performances d’un projet Cloud permettent d’identifier les menaces. Connatre leur impact sur le bilan de l’entreprise.

L’adoption de technologies Cloud doit également être un moyen pour les entreprises de lancer de nouveaux services et d’innover. Croissance de l’activité, accélération de la mise sur le marché, flexibilité/efficacité opérationnelles et optimisation des performances applicatives sont des facteurs essentiels. Au final, le Cloud doit être une source de fierté pour l’entreprise et renforcer la réputation de la marque.

Conclusion : maîtriser ou subir son multi-cloud

De plus en plus d’entreprises adoptent un modèle multi-Cloud. Si elles ne veulent pas être laissées pour compte dans un monde numérique en rapide mutation, elles doivent agir. Ce sont la réputation de leur marque et la confiance des clients qui sont en jeu. En l’absence de vision et de stratégie, elles se laisseront dépasser par la complexité. Elles finiront par rejoindre les rangs des victimes de la cybercriminalité. Il est temps pour elles de devenir maîtres de leur destin. (Par Laurent Pétroque, expert sécurité chez F5 Networks)

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Près de la moitié des entreprises ont subi une compromission de données en 2016

La forte progression du trafic Internet émanant de bots crée un sérieux angle mort pour la sécurité IT, et 79% des entreprises ne savent toujours pas si leur trafic web provient d’humains ou de bots selon une étude de Radware.

La publication d’une nouvelle étude intitulée Radware Research: Web Application Security in a Digitally Connected World ne laisse rien présagé de bon. Ce rapport, qui examine la façon dont les entreprises protègent leurs applications web, identifie des lacunes de sécurité au sein des actuelles pratiques DevOps, recense les principaux types et vecteurs d’attaques et identifie les principaux risques.

L’étude qui s’intéresse aux secteurs d’industrie les plus ciblés, comme la vente au détail, la santé et les services financiers, souligne la prolifération du trafic web généré par des bots et son impact sur la sécurité applicative des entreprises. En réalité, les bots sont à l’origine de plus de la moitié (52%) de tout le flux du trafic Internet. Pour certaines entreprises, les bots constituent plus de 75% du trafic total. Les résultats soulignent ainsi qu’une entreprise sur trois (33%) ne sait pas distinguer les « bons » bots des « mauvais ».

Le rapport révèle également que près de la moitié (45%) des sondés ont expérimenté une compromission de données l’année passée et que 68% ne sont pas certains de pouvoir préserver la sécurité de leurs informations internes. De plus, les entreprises protègent souvent mal leurs données sensibles. 52% n’inspectent pas le trafic échangé depuis et vers des API. 56% ne sont pas en capacité de suivre les données une fois qu’elles quittent l’entreprise.

Toute entreprise qui collecte les informations de citoyens européens va bientôt devoir se conformer aux réglementations strictes sur la confidentialité des données imposées par le nouveau règlement général sur la protection des données (GRPD) ou GDPR (General Data Protection Regulations).

Ces nouvelles obligations prendront effet en mai 2018. Toutefois, à moins d’un an de l’échéance, 68% des entreprises craignent de ne pas être prêtes à temps.

« Il est alarmant que les dirigeants d’entreprises qui recueillent les données sensibles de millions de consommateurs doutent de la sécurité des informations qu’ils détiennent », déclare Carl Herberger, vice-président des solutions de sécurité chez Radware. « Ils connaissent les risques mais des angles morts, potentiellement vecteurs de menaces, persistent. Tant que les entreprises ignoreront où se situent leurs vulnérabilités et qu’elles n’auront pas pris les bonnes mesures pour se protéger, les attaques d’ampleur et les compromissions de données continueront de faire les gros titres. » Selon le Dr Larry Ponemon, « Ce rapport montre clairement que la pression exercée à fournir des services applicatifs en continu limite la capacité des méthodes DevOps à assurer la sécurité des applications Web aux différentes étapes du cycle de vie des développements logiciels.»

La sécurité applicative est trop souvent négligée. Tout le monde veut bénéficier des avantages de l’automatisation totale et de l’agilité conférées permis par le déploiement continu. La moitié (49%) des sondés utilisent actuellement le déploiement continu des services applicatifs et 21% envisagent de l’adopter au cours des 12 à 24 mois. Toutefois, ce modèle peut aggraver les problématiques de sécurité du développement applicatif : 62% reconnaissent que la surface d’attaque s’en trouve étendue et la moitié environ déclare ne pas intégrer la sécurité au processus.

Les bots prennent le dessus. Les bots sont la dorsale du e-commerce aujourd’hui. Les e-commerçants utilisent les bots pour les sites comparateurs de prix, les programmes de fidélité électroniques, les chatbots, etc. 41% des commerçants ont même déclaré que plus de 75% de leur trafic émane de bots, alors que 40% ne font toujours pas la différence entre les bons et les mauvais bots. Les bots malveillants constituent un risque réel. Certaines attaques de web scrapping volent la propriété intellectuelle des commerçants, cassent les prix et rachètent des stocks de façon à écouler la marchandise via des canaux non autorisés en dégageant une marge. Mais les bots ne sont pas le seul problème des commerçants. Dans le secteur de la santé, où 42% du trafic émane de bots, 20% seulement des responsables de la sécurité IT étaient certains qu’ils pourraient identifier les « mauvais » bots.

La sécurité des API est souvent négligée. Quelque 60% des entreprises partagent et consomment des données via les API, y compris des informations personnelles, des identifiants et mots de passe, des détails de paiements, des dossiers médicaux, etc. Pourtant, 52% n’inspectent pas les données échangées avec leurs API, et 51% n’effectuent aucun audit de sécurité ni n’analysent les failles éventuelles des API en amont de l’intégration.

Les périodes de vacances sont à haut risque pour les commerçants. Les commerçants sont confrontés à deux menaces distinctes mais très dommageables pendant les périodes de vacances : les pannes et les compromissions de données. Des pannes d’Internet lors de la haute saison quand les commerçants dégagent le plus de bénéfices peuvent avoir des conséquences financières désastreuses. Pourtant, plus de la moitié (53%) ne sont pas certains de la disponibilité à 100% de leurs services applicatifs. Les périodes où la demande est forte comme celles du Black Friday et du Cyber Monday, exposent également les données des clients : 30% des détaillants laissent entendre qu’ils peinent à protéger correctement leurs données sensibles au cours de ces périodes.

Les données médicales des patients courent des risques également. 27% seulement des sondés dans le secteur de la santé ont confiance dans leur capacité à protéger les dossiers médicaux de leurs patients, même s’ils sont près de 80% à devoir se conformer aux réglementations d’état. Il est primordial de déployer des correctifs de sécurité pour faire face aux actuelles menaces et mieux pouvoir atténuer leur impact, mais 62% environ des sondés dans le secteur de la santé n’ont peu ou pas confiance dans la capacité de leur établissement à pouvoir adopter rapidement des correctifs de sécurité et déployer les mises à jour, sans compromettre la conduite des opérations. Plus de la moitié (55%) des établissements de santé déclarent n’avoir aucun moyen de suivre les données partagées avec une tierce partie une fois qu’elles ont quitté le réseau interne. Les organisations du secteur de la santé sont les moins enclines à rechercher des données volées sur le Darknet : 37% ont déclaré le faire contre 56% dans le secteur des services financiers et 48% dans le secteur de la vente au détail.

La multiplication des points de contact aggrave le niveau de risque. L’avènement des nouvelles technologies financières (comme celles liées aux paiements mobiles) facilite l’accès des consommateurs et leur degré d’engagement, ce qui a pour effet d’accroître le nombre des points d’accès comportant des vulnérabilités et de majorer le niveau de risque auquel sont confrontés les responsables de la sécurité. Alors que 72% des organisations de services financiers partagent les identifiants et mots de passe et que 58% partagent les détails des paiements réalisés via des API, 51% ne chiffrent pas le trafic, avec le risque d’exposer les données en transit des clients.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Securite informatique

Chiffrement : mais que se passe t-il chez nos voisins anglais ?

Suite aux récentes déclarations de madame Amber Rudd, ministre de l’Intérieur britannique, sur la question du chiffrement, Craig Stewart, VP EMEA chez Venafi, donne quelques enseignements de sécurité au gouvernement.

Le chiffrement est clairement à l’ordre du jour au Royaume Uni. Depuis quelques mois, le Ministre de l’Intérieur, Amber Rudd ne fait aucun secret sur ce qu’elle pense des entreprises technologiques comme WhatsApp, qui ne vont pas assez loin lorsqu’il s’agit d’arrêter des groupes extrémistes qui utilise la technologie à des fins néfastes. Lors d’un entretien assez controversé, Amber Rudd a prétendu qu’elle n’avait pas besoin de comprendre le chiffrement pour le combattre : une déclaration qui a choqué tous les acteurs de la sécurité.

Amber Rudd est sans aucun doute bien intentionnée. En tant que ministre de l’Intérieur, elle est responsable de la sécurité nationale et ce n’est donc pas étonnant, qu’elle agisse en pensant au devoir de préserver la sécurité publique. Cependant, ses récents propos indiquent un manque de compréhension des fondamentaux sur le chiffrement, même les plus élémentaires. Elle montre aussi un mépris inquiétant sur l’importance de la sécurité de notre économie numérique.

Obtenir des informations réalistes

Les citoyens devraient s’inquiéter par la vision d’Amber Rudd, qui semble voir le chiffrement comme une partie du problème, alors qu’il est en fait, l’un des moyens de défense incontournable dont nous disposons collectivement. Quand il est mis en place correctement, il préserve la sécurité de nos données, qu’il s’agisse de données sensibles sur « NHS Trust », où des informations sur l’enregistrement des votes (73% des sites de la police s’appuie là-dessus pour sécuriser les informations vulnérables) .

D’une façon plus générale, il est incontournable pour le succès de l’économie britannique dans le secteur bancaire, le commerce ou le e-commerce. Les logiciels de chiffrement, dans le viseur de Madame Rudd, ne sont que la partie visible de l’iceberg. Elle doit comprendre que le chiffrement ne peut pas s’appliquer ou se supprimer sur un simple coup de tête. Un chiffrement efficace exige que son infiltration soit impossible et que les portes dérobées de n’importe quel gouvernement ne puissent rendre les systèmes numériques accessibles ni aux cybercriminels ni aux gouvernements eux-mêmes. Amber Rudd a suggéré, à tort, qu’il s’agissait d’une théorie mais c’est un fait mathématique.

Etant donné le niveau de chiffrement, sur lequel le secteur public compte, pour préserver ses données publiques sensibles, il serait bon de conseiller à madame Rudd d’examiner de plus près, la fonction des entreprises technologiques, avant de tirer des conclusions trop rapides – particulièrement tant qu’il n’y a pas de preuve que l’affaiblissement du chiffrement par l’utilisation des « Backdoors » augmenterait notre sécurité.

Les citoyens face à l’accessibilité de leurs données personnelles

Dans le cadre d’un article pour The Telepgraph plus tôt dans l’année, Madame Rudd écrivait : « Qui utilise WhatsApp parce qu’il est crypté de bout en bout, plutôt que parce qu’il s’agit de la meilleure manière, la plus conviviale et bon marché, de rester en contact avec sa famille et ses amis ? », elle disait également : « Les entreprises font souvent des compromis entre sécurité et utilisation. C’est sur ce point, que nos experts croient pouvoir trouver des solutions. Les gens préfèrent souvent la facilité d’utilisation et une multitude de fonctions pour améliorer une sécurité inviolable ».

Pourtant, une étude récente la contredit. En se basant, sur les avis de plus de 1 000 citoyens britanniques, l’étude a examiné les initiatives qui accorderaient aux gouvernements plus d’accès aux données personnelles. Elle met en évidence, qu’une très large majorité d’entre eux, n’est pas d’accord sur l’utilisation de portes dérobées cryptées – avec une totale compréhension des menaces que ces portes dérobées présenteraient pour leur vie privée et leurs données personnelles-.

Dans cette étude, moins d’un quart (24%) des consommateurs britanniques croient en réalité que le gouvernement, devrait être capable d’obliger les citoyens, à communiquer leurs données personnelles. Par contre, à peine 1 sur 5 (19%), accepterait que le gouvernement puisse contraindre les entreprises technologiques à partager les données sans consentement préalable des consommateurs. La moitié des répondants, estime qu’elle serait plus en sécurité contre le terrorisme si le gouvernement avait accès aux données cryptées. Le manque total de soutien sur la position du gouvernement en matière de chiffrement, montre que le public estime clairement les avantages du cryptage, plus d’ailleurs que ne le font nos dirigeants.

Il est nécessaire d’avoir une vision globale

Malheureusement, le débat se poursuit. Madame Rudd ne sera pas la dernière à viser WhatsApp et d’autres sociétés technologiques, qui utilisent le chiffrement pour protéger la vie privée des consommateurs. Avec chaque attaque terroriste, la pression de ces sociétés va augmenter tant que nos dirigeants continueront à tirer des conclusions hâtives sans comprendre les faits.

Cela doit s’arrêter. Le chiffrement n’est pas un ennemi et le gouvernement devrait arrêter de l’encadrer comme si c’était le cas. Même si nous devions laisser de côté les priorités publiques sur cette question, la diminution du chiffrement nous rend plus vulnérables, et affaiblit notre économie, qui dépend d’une vaste gamme de transactions numériques sécurisées. Madame Rudd, de son côté, devrait bien apprendre les fondamentaux du chiffrement avant de commenter encore ce sujet.

Chiffrement, cryptage, Cybersécurité, Securite informatique

Testé pour vous la Secure-K, une clé USB sécurisée

La clé USB Secure-k couple une clé USB chiffrée, un digicode, un OS sécurisé, de quoi transporter ses données privées en toute sécurité.

Si vous êtes à la recherche d’un système d’exploitation portable chiffré et puissant qui peut être chargé sur n’importe quel ordinateur, la clé USB Secure-K de chez Mon-K que j’ai reçu début août est peut-être la réponse que vous recherchez pour chiffrer et sécuriser les données que vous souhaitez transporter.

Secure-K est intéressante sur plusieurs points. D’abord, c’est une clé USB chiffrée. Il existe de nombreuses solutions, gratuites et payantes, comme « L’intégral » CryptoDual ou encore KryptKey. La Secure-K propose aussi un système d’exploitation chiffré (environnement linux, moteur graphique gnome). Bilan, protection de l’environnement sans sacrifier la facilité d’utilisation de l’outil de sécurité.

 

Pour lancer le petit singe (Mon-k étant le nom de la société, ca donne Monkey), il faut d’abord l’activer en rentrant un code pin d’au moins 8 chiffres. Au bout de 10 essais infructueux, la clé se met en alerte et il n’est plus possible de l’utiliser. Les 8 bons chiffres fournis, vous pouvez configurer cette protection du hardware jusqu’à 15 chiffres, il suffit d’allumer l’ordinateur et lui permettre de lire une clé USB au boot. Le lancement de la clé est très rapide. Une second mot de passe est réclamé. Ici, lettres, chiffres, signes de ponctuation sont à votre convenance. Le précieux sésame va active l’OS et l’ensemble des outils proposés par la clé.

La clé est chiffrée, d’abord en mode hardware. L’environnement USB est chiffré en mode « sécurité militaire » FIPS 140-2. Le hardware est chiffré en AES 256 et en ce qui concerne l’OS et les fichiers, de l’AES 512 bits. Autant dire qu’avec une telle armure, il est déconseillé de paumer ses mots de passe.

Secure-K transporte une suite complète d’applications chiffrées : chat, vidéo, outils VOIP, TOR, et tout ce qui est indispensable pour travailler avec une suite bureautique et image. La société propose aussi, en option, de sauvegarder les données dans un cloud chiffré. Je déconseille, dans tous les cas, de sauvegarder ses informations ailleurs que dans un espace de stockage que vous contrôlez et avez sous les yeux. Le reste du fonctionnement de la Secure-K ne perturbera pas les utilisateurs, comme moi, de Tails.

Quelques points négatifs à noter, mais ils sont loin d’être éliminatoires. D’abord la taille des touches du digicode. Il est conseillé d’avoir les doigt d’un minimoys pour enfoncer les boutons rikikis. Autre point noir et vraiment casse pied. La clé permet de se mettre en mode sécurisé. Comprenez qu’il faut rentrer un mot de passe quand la Secure-K passe en mode « pause ». Sauf que si vous tapez votre mot de passe en « azerty » lors de l’installation de votre password, ce dernier passe en « qwerty » une fois la clé activée. Autant dire que mon mot de passe Qponz157!=#7awq c’est transformé en Aponw157!=#7qza.

Lors des tests, les logs des sites visités étaient incapables de cibler le point de connexion de la machine sous Secure-K. Aucune traces, non plus, dans les machines utilisées pour les tests. Seul bémol, les fichiers téléchargés sur la clé USB Secure-K ont pu être transférés sur une autre clé USB, connectée en même temps, sans que les documents ne soient chiffrés sur le nouveau support. Cela implique donc qu’il ne faut jamais quitter la machine des yeux, même quelques secondes. La clé Dunky m’a permis de copier des fichiers RTF en quelques secondes, automatiquement.

Le supplément de sécurité proposé par Secure-K devrait plaire aux voyageurs et internautes sensibles à la sécurité de leur vie numérique. Au DSI aussi. Ce type de clé répond au nouveau Règlement Général sur la sécurité des Données Personnels, le RGPD. L’article 32 sur la « Sécurité du traitement » indique que l’entreprise doit garantir la sécurité des données grâce à la mise en place d’un chiffrement des données personnelles, d’être dans la capacité d’assurer la confidentialité et l’intégrité permanentes des données, et avoir une disponibilité et une résilience du système, par une restauration rapide afin d’accéder aux données personnelles, rapidement, en cas d’accident physique ou technique.

Dernier point, la clé a été testée en zone humine (Thaïlande), elle a résisté sans problème à la mousson. Cependant, ne l’oubliez pas dans une poche de pantalon, là, elle va s’y noyer.
Plusieurs clés Secure-K sont proposées, la personnelle et l’entreprise, 8 Go, 16 Go, 32 Go et 64 Go sont disponibles d’ici peu au prix de départ de 99€.

Après le test et le mode d’emploi pour utiliser l’outil de chiffrement gratuit et open source Diskcryptor, découverte d’une autre solution de sécurité, VeraCrypt. Elle va permettre de protéger les données dans votre ordinateur, et lors du transport des précieuses informations. En savoir plus. ; La sécurisation de nos données est devenue indispensable aujourd’hui. Piratage, espionnage, malveillance, sont légions et nous sommes tous, potentiellement, des cibles. Je vais vous expliquer comment chiffrer vos supports de sauvegarde afin de les rendre illisibles sans votre accord avec le logiciel Diskcryptor. En savoir plus.

Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, IOT, Piratage, Securite informatique

IoT et sécurité : un couple encore maudit

Les objets connectés IoT sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet. Il n’y a pas de segmentation des cibles : les IoT (Internet of Things – Internet des Objets) des particuliers sont autant ciblés que ceux des professionnels.

Une fois que l’objet connecté est piraté, il agit comme un zombie et dépend des commandes reçues par l’attaquant. Les cyberattaques basées sur des armées d’IoT piratées peuvent ainsi se multiplier et perpétrer des vols de données de santé ou d’informations personnelles.

Cas pratiques : exemples d’attaques ciblées
En septembre 2016, l‘hébergeur OVH est victime d’une attaque DDoS. Près de 145 000 objets connectés sont pilotés à l’insu de leurs utilisateurs par un serveur botnet. Cette attaque massive sature les serveurs de l’hébergeur et perturbe la distribution des services auprès de ses clients. Quelques semaines plus tard, c’est au tour du serveur DNS Dyn, acteur stratégique de l’Internet aux États-Unis, d’être ciblé. Des millions de caméras de sécurité, routeurs et autres objets connectés deviennent le vecteur d’attaque (réseau botnet) d’un serveur central.

Les IoT en chiffres : estimations et constats
En 2014, IDC annonce qu’il existe à travers le monde 200 milliards d’objets capables de se connecter à Internet. 14 milliards d’entre eux (soit 7%) communiquent déjà via Internet et représentent 2% des données numériques mondiales. D’ici à 2020, IDC prévoit entre 30 et 50 milliards d’IoT, représentant à eux seuls 10% du volume total de données générées. Fin juillet 2015, les différentes études menées par HP Fortify portant sur la sécurité des IoT révèlent que les montres connectées sont une nouvelle cible pour les pirates. 100% des appareils testés présentent des vulnérabilités. Celles-ci mettent en évidence la mauvaise protection des données personnelles (authentification et chiffrement insuffisants par exemple).

Deux ans plus tard, où en sommes-nous ?
Les attaques augmentent et les techniques progressent. Le malware Mirai utilisé pour corrompre des IoT se fait doubler par Hajime, un logiciel malveillant aux mêmes fonctions, mais plus puissant. À l’échelle mondiale, 100 000 IoT seraient infectés par Hajime.

Chaque mois, de nouvelles cyberattaques DDoS apparaissent. Sur le blog d’ESET (WeLiveSecurity.com), les chercheurs relèvent qu’un botnet P2P de 2003 a été mis à jour pour s’adapter aux nouveaux agents connectés. Il semblerait que les botnets autrefois sur ordinateurs se dirigent vers les mobiles… Et prochainement sur les objets connectés.

La sécurisation des IoT : négligence des constructeurs ?
Les constructeurs d’IoT concentrent leurs efforts sur la technologie de leur appareil. Les coûts de fabrication de la plupart d’entre eux sont faibles, permettant ainsi de proposer un produit accessible au public. Administrer des systèmes de sécurité dans ces appareils est long, coûteux et compliqué. Or, les constructeurs veulent rentabiliser rapidement la commercialisation de leur IoT. La partie sécurité n’est donc généralement pas prise en compte. Heureusement, tous ne sont pas dans ce cas de figure.

D’ici 2018, IDC prévoit que 34% des dépenses en sécurité se feront sur la protection des données à caractère personnel. À cette date, chaque particulier disposera au total d’une trentaine d’objets connectés : smartphone, voiture connectée, montre, réfrigérateur, box, jouet pour enfants…

Quelles solutions pour se prémunir des attaques ciblant les IoT ?
Bien que certaines normes soient en place, aucune réglementation n’oblige les constructeurs à mettre en place des mesures de sécurité sur les IoT. En attendant, la première étape serait d’acheter des objets connectés de qualité conformes aux normes de sécurité actuelles. Les experts ESET conseillent également de mettre à jour les logiciels et de tester les appareils. Ceci permettra de détecter d’éventuelles vulnérabilités (mots de passe mis par défaut) et d’y remédier. Enfin, la sécurisation du réseau est indispensable.

Dans ce contexte, comment détecter les nombreuses menaces issues de milliards d’appareils ? Est-ce faisable en mode proactif et dès leur création ? Les gestionnaires de risque des grandes entreprises déclarent travailler en moyenne avec une cinquantaine de solutions de sécurité. Combien sont réellement adaptées aux cybermenaces que représente l’emploi de l’IoT ?

Communiqué de presse, Cyber-attaque, Leak, Piratage

Les cyber menaces basculeraient vers Linux et les Serveurs Web

Un rapport WatchGuard sur la Sécurité Internet évalue les principales menaces au cours du premier trimestre 2017. Pour ce vendeur de solution de sécurité informatique, les cyber menaces basculeraient vers Linux et les Serveurs Web.

Un nouveau rapport sur les cyber menaces ! WatchGuard Technologies, société spécialisée dans le domaine des solutions avancées de sécurité réseau, annonce les résultats de son Rapport Trimestriel sur les Menaces Internet, qui dresse le bilan des menaces de sécurité les plus récentes affectant les ordinateurs et les réseaux des petites et moyennes entreprises (PME) et des entreprises distribuées. Parmi ses principales conclusions, le rapport révèle que malgré une baisse en global du nombre de malwares détectés, les malwares sur Linux ont représenté plus de 36% des principales menaces identifiées au cours du premier trimestre 2017. Cette tendance démontre le besoin urgent de mesures de sécurité renforcées pour protéger les serveurs sous Linux et les objets connectés fonctionnant sous Linux.

Ces nouvelles données Firebox Feed nous permettent de prendre le pouls des plus récents malwares et des dernières attaques réseau afin d’identifier des schémas qui influencent un environnement de menaces en constante évolution,” a déclaré Corey Nachreiner, chief technology officer chez WatchGuard Technologies. “Les résultats du rapport du premier trimestre continuent de souligner l’importance et l’efficacité de mesures de sécurité de base, de multiples couches de défenses et d’une prévention avancée contre les malwares. Nous encourageons nos lecteurs à examiner les principales conclusions du rapport, et à les prendre en compte dans les stratégies de sécurité de leurs organisations.

Le Rapport sur les Menaces Internet de WatchGuard est conçu pour offrir des informations, des études et des recommandations en matière de sécurité pour aider ses lecteurs à mieux se protéger, eux et leurs organisations contre les nouveaux vecteurs de menaces. Les principales conclusions du rapport du premier trimestre 2017 comprennent:

  • cyber menaces : Les malwares sous Linux sont en augmentation, et représentent 36% des principaux malwares détectés au premier trimestre. La présence accrue de malwares de type Linux/Exploit, Linux/Downloader et Linux/Flooder illustrent l’intérêt toujours plus grand des attaquants pour les serveurs Linux et les objets connectés. Les utilisateurs doivent protéger leurs objets connectés et leurs serveurs sous Linux des attaques provenant d’Internet avec des défenses sur plusieurs niveaux.
  • cyber menaces : Les antivirus traditionnels continuent de manquer les nouveaux malwares – à un taux plus élevé. En fait, les solutions antivirus ont ignoré 38% de toutes les menaces identifiées par WatchGuard au premier trimestre, comparé à 30% au quatrième trimestre 2016. Le nombre croissant de malwares nouveaux ou zero day passant au travers des antivirus tradtionnels souligne les faiblesses des solutions de détection basées sur des signatures et le besoin pour des services capables de détecter et de bloquer les menaces persistantes avancées (APT).
  • Les cyber menaces basculent vers les serveurs web. Au cours du dernier trimestre, les attaques via des sites web piégés et via des navigateurs web ont prédominé. Durant cette période, 82 pour cent des principales attaques réseau ont ciblé des serveurs web (ou d’autres services web). Les utilisateurs doivent améliorer les défenses de leurs serveurs web en renforçant les contrôles d’accès, en limitant leur exposition sur le web, et en mettant à jour systématiquement leurs logiciels.
  • cyber menaces : Des attaquants exploitent toujours la faille Android StageFright. Cet exploit a commencé à se faire connaître en 2015, et prouve sa longévité en étant la première menace spécifique aux mobiles à entrer dans la liste des 10 principales attaques du WatchGuard Threat Lab cette année. Au minimum, les utilisateurs Android devraient régulièrement mettre à jour leurs systèmes pour prévenir des attaques sur mobile telles que StageFright.
  • Moins d’attaques à connotation saisonnière. Globalement, le volume des menaces détectées au premier trimestre 2017 a diminué de 52% par rapport au quatrième trimestre 2016. Nous pensons que cette baisse peut être attribuée à l’absence de campagnes d’attaques saisonnières liées aux congés du quatrième trimestre, qui ont gonflé le nombre de menaces durant cette période.

Le Rapport sur les Menaces Internet de WatchGuard est basé sur des données Firebox Feed anonymes provenant de plus de 26.500 boîtiers UTM WatchGuard en service à travers le monde, qui représentent une faible portion de la base installée totale de la société. Ces boîtiers ont bloqué plus de 7 millions de variantes de malware au premier trimestre, ce qui correspond à 266 variantes en moyenne par boîtier participant. Les boîtiers WatchGuard ont également bloqué plus de 2,5 millions d’attaques réseau au premier trimestre, ce qui correspond à 156 attaques bloquées par boîtier. Le rapport complet comprend un état détaillé des tendances du trimestre relatives aux malwares et aux attaques, une analyse des révélations Vault 7 de la CIA et des enseignements importants sur les stratégies de défense. Le rapport comprend également un nouveau projet de recherche du WatchGuard Threat Lab, consacré à une nouvelle vulnérabilité sur un appareil photo connecté largement répandu. Pour plus d’informations, le rapport complet est téléchargeable à l’adresse: www.watchguard.com/security-report

APT, Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Mise à jour, Securite informatique

Les risques, les vulnérabilités, les licences des logiciels open source

Les risques concernant la sécurité et la conformité des composants tiers atteignent des proportions incontrôlables, et menacent l’intégrité même de la chaîne d’approvisionnement de logiciels.  Il suffit de voir l’impact de la faille Heartbleed pour s’en convaincre !

Aujourd’hui, les entreprises incluent davantage de code open source que d’éléments conçus en interne ou propriétaires dans leurs produits.  Malheureusement, en profitant de ces logiciels open source (OSS) pour accélérer le développement de leurs produits, la plupart d’entre elles ne respectent pas les licences open source associées à ces composants.  Bien que les OSS soient gratuits, leurs utilisateurs ne sont pas pour autant libres de toute obligation les concernant.  Celles-ci peuvent aller de la reproduction de déclarations de droits d’auteur ou d’une copie d’un document de licence à la divulgation de l’intégralité du code source de leurs produits.  Des enquêtes récentes ont montré que la plupart des entreprises ne connaissent qu’un faible pourcentage des composants open source sur lesquels elles s’appuient, et ne sont donc pas en mesure de respecter les obligations indiquées dans les licences de ces éléments.  En outre, ces logiciels peuvent comporter des bugs ou des vulnérabilités susceptibles d’affecter votre produit.  Sans un suivi adéquat, ce dernier peut passer à côté de mises à jour ou de patches corrigeant des vulnérabilités connues. Mais malgré cela l’open source offre de précieux avantages.

Découverte, gestion et conformité en cinq étapes

Face aux problématiques de conformité ou de gestion des vulnérabilités des OSS, la première question est généralement : « Comment savoir quels composants open source nous utilisons ? » Il est possible de mieux comprendre ce que l’on fait et de mettre en place un processus pour découvrir, gérer et s’assurer de la conformité avec ces OSS en cinq étapes.

Étape 1 :  comprendre comment les OSS sont introduits dans votre entreprise

Les OSS peuvent s’introduire de différentes façons.  Cas classique : un développeur décide d’utiliser un composant open source, télécharge le code source, et l’intègre au produit.  Ce cas est encore très fréquent, mais il existe bien d’autres scénarios.  Très souvent, les développeurs utilisent ce qu’on appelle des gestionnaires de référentiels (repository manager).  Ces outils leur permettent d’indiquer les composants qu’ils veulent utiliser, puis s’occupent eux-mêmes d’en télécharger le code source ou des fichiers binaires compilés. Ces gestionnaires stockent généralement les composants open source dans un référentiel distinct, hors du système classique de gestion des codes source.  On peut notamment citer parmi eux Maven, Nuget ou npm.

Des éléments open source peuvent également être introduits dans une organisation en tant que sous-composant d’un composant open source plus important ou commercial.  Les composants de premier niveau ont très souvent plusieurs sous-composants ou dépendances open source, qui sont rarement divulgués ou gérés.

En outre, ces éléments serviront de pièces d’une infrastructure runtime, comme des serveurs Web, des systèmes d’exploitation ou des bases de données et peuvent permettre de contrer les risques.

Étape 2 :  chercher les OSS

Une fois que vous savez comment vos composants open source sont sélectionnés et utilisés, vous pouvez évaluer les risques et ceux dont vous avez besoin, et comment ils sont utilisés ou répartis.  On appelle ça dresser une nomenclature (Bill of Materials), ou une liste de divulgation.  Cette liste sert à suivre les obligations, à modifier les politiques vis-à-vis des OSS, et à réagir aux vulnérabilités rendues publiques.  Souvent, des paquets open source comporteront des termes de licence que votre organisation ne pourra pas respecter, ce qui pose automatiquement un problème de conformité.  Dans de tels cas, le composant en question devra être supprimé et la fonctionnalité remplacée, soit par un autre composant OSS, ou en écrivant une fonctionnalité équivalente.

L’examen du code base, les risques, la tenue d’entretiens et l’utilisation d’outils d’analyse de code peuvent être utiles dans le cadre de ce processus.

Étape 3 : questionner l’équipe de développement

Les projets devenant sans cesse plus vastes, complexes et distribués, il est de plus en plus difficile de découvrir l’ensemble des éléments utilisés.  Il est donc important d’avoir des échanges réguliers avec les développeurs, équipes DevOps, ainsi que l’ensemble du personnel informatique impliqué dans la création, le déploiement et la mise en œuvre du projet en question.  Posez-leur des questions ciblées, comme « Quelle base de données utilisons-nous ? », ou « Quelle bibliothèque de chiffrement utilisons-nous ? ».  Cela peut être utile pour découvrir d’autres modules potentiellement passés inaperçus la première fois.

Demander simplement « Quel code open source utilisons-nous » permet rarement de créer une liste complète pour un certain nombre de raisons, notamment à cause d’oublis ou de l’absence de registres adéquats.

Étape 4 : comprendre comment les OSS entrants sont gérés

La gestion des composants tiers et les risques doivent faire l’objet d’un processus cohérent et correctement appliqué.  Votre organisation pourra ainsi respecter ses obligations des licences open source, mais aussi faire face à de nouvelles vulnérabilités.  Il est fréquent de voir ce processus atteindre différentes étapes et niveaux de conformité.  Certaines organisations se contentent encore de suivre les composants « sollicités » par les développeurs.  Celles-ci n’ont souvent connaissance que des éléments les plus importants, ou découvrent que certains développeurs sont plus assidus que d’autres dans le cadre du respect du processus.

D’autres entreprises utilisent des outils d’analyse pour découvrir et suivre leurs OSS.  Leurs résultats varieront en fonction des solutions utilisées ou du niveau d’analyse.  Certains outils ne découvrent que les textes de licence, pas les composants open source. D’autres ne peuvent retrouver que les composants gérés par des gestionnaires de paquets.  Il est donc important de savoir quel niveau d’analyse est adopté et ce que l’on peut espérer repérer…

Étape 5 :  cherchez des preuves de conformité des OSS

Une fois toutes ces étapes franchies, il est important de confirmer la visibilité de cette conformité.  Les déclarations et autres avis légaux (droits d’auteurs) nécessaires sont-ils présents dans les produits ou leur documentation ?  Les textes des licences sont-ils visibles comme il se doit ?  Existe-t-il une offre écrite relative au code source ou ses distributions, et ciblant du contenu rendu libre que vous utilisez ?  Tous ces éléments seront les témoins visibles de l’efficacité de votre processus de gestion des composants open source.

En suivant ces cinq étapes, en sensibilisant votre personnel à l’utilisation adaptée des OSS, et en encourageant les membres de votre écosystème à en faire de même, vous pourrez créer des applications modernes et puissantes, tout en respectant les licences open source.

En outre, plus vous en savez sur les ingrédients, les éléments tiers et les vulnérabilités de votre produit, mieux ce dernier pourra être sécurisé et pris en charge ! (Par Christian Hindre – Directeur Commercial Europe de Flexera Software)

Communiqué de presse, Cybersécurité, IOT

Valeur ou vanité, quelle est vraiment la promesse de l’Internet des Objets ?

« Vanité des vanités, tout est vanité. » dit l’Ecclésiaste. Ces mots prononcés il y a des milliers d’années pourraient bien décrire les appareils connectés en ce moment, ou peut-être pas. Les brosses connectées et autres appareils du genre ont-ils réellement de la valeur ?

Les analystes ont tranché et classent ainsi les objets connectés en deux groupes essentiels : valeur ou vanité. L’appareil apporte-t-il réellement de la valeur à l’utilisateur ou ne sert-il qu’à rendre plus beau ou plus intéressant ? ; la liste ressemble donc à cela :
• Les objets connectés axés sur la valeur : les caméras, les thermostats, les appareils de sport, …
• Les objets connectés axés sur la vanité : les chaussettes intelligentes, les tétines connectées, les bagues intelligentes, …

Effectivement, c’est une liste subjective mais il faut bien commencer quelque part. Après tout, lorsque vous essayez une Lamborghini, on vous demande ce que vous ressentez au volant et non pas combien de secondes vous avez gagné sur votre trajet du matin.

Mais qui sont les acheteurs d’appareils connectés, qu’ils soient tendance ou sur le marché depuis quelques années ? Comment les gens décident-ils de ce qui finit ou non dans leur panier ? Comme pour tous les achats, de nombreux facteurs entrent en ligne de compte, mais si l’on simplifie les choses, il reste deux grands groupes d’utilisateurs :

• Les « early adopters » qui ont de grandes attentes à partir du moment où ils achètent un nouveau gadget. Une fois l’achat effectué, ils utilisent leur appareil très fréquemment mais cela ne dure pas longtemps. Puis, dès qu’un nouvel appareil fait son apparition dans le commerce et attire l’attention de l’utilisateur, l’ancien gadget finit dans le tiroir. Et retrouve les chaussettes à carreaux. Je suis sûr que les neurologues diront que ce genre d’obsession pour un objet a les mêmes effets sur le cerveau qu’une aventure amoureuse.

• Les autres utilisateurs qui réagissent moins sur le coup de l’impulsion. Ils font attention au rapport qualité/prix et se posent souvent des questions sur la sécurité. Lorsqu’ils achètent un objet connecté, ils pensent à la valeur, au long terme, et s’attendent à un retour sur investissement précis, que ça soit en matière d’économies financières ou de confort. Alors qu’un early adopter achète quelque chose parce que cela fait bien et qu’il a l’impression qu’il en a vraiment besoin (même s’il ne sait pas exactement pourquoi), l’utilisateur normal n’achète pas sur le coup de l’impulsion. Du moins pas les appareils connectés. Il évalue, lit des tests et des critiques de produit, demande peut-être même conseil à ses proches pour savoir si l’achat en vaut la peine.

Alors… quels appareils connectés valent la peine d’être achetés ?

C’est une question légitime, mais à laquelle il est difficile de répondre. Vous avez peut-être déjà entendu le proverbe : « La beauté est dans l’œil de celui qui regarde ». Il en va de même pour la valeur. Voici cinq catégories principales d’objets connectés que vous pourriez trouver intéressants ou utiles. Vous en possédez peut-être déjà un dans la liste ci-dessous ou vous ne saviez peut-être pas qu’ils existaient en version connectée !

• Les caméras connectées
Elles vous permettent de garder un œil sur votre nourrisson lorsque vous êtes dans la pièce d’à côté ou de surveiller votre domicile lorsque vous êtes en vacances. Exemples de produits : D-Link, Nestcam.
• Les thermostats
Ces thermostats sont électroniques, programmables, connectés à votre réseau WiFi et apprennent de vos habitudes. Ils permettent d’optimiser le chauffage et la climatisation de domiciles ou d’entreprises et de faire des économies d’énergie. Soyons honnêtes, qui n’en veut pas un ? Exemples de produits : Nest, Ecobee, Netatmo
• Les assistants personnels
Ils font fureur ! Ils sont capables de répondre à votre voix, de lire de la musique, de faire des listes, de programmer des réveils, de diffuser des podcasts, de lire des livres audios et de vous donner des informations en temps réel sur la météo, la circulation et les actualités. Ils peuvent même faire vos courses pour vous, même si vous ne vouliez rien au départ. Exemples de produits : Amazon Echo et Alexa, Google Home
• Les prises et interrupteurs
Allumez ou éteignez les lumières et l’électricité chez vous depuis n’importe où, que ça soit depuis l’autre bout de la maison, le jardin ou le bout du monde. Exemples de produits : WeMo, Philips Hue
• Les appareils de sport
Combien avez-vous marché ou couru ? Combien de calories avez-vous brûlées ? Qu’en est-il de votre fréquence cardiaque ? Un appareil de fitness a la réponse à toutes ces questions, peut-être même plus. Exemples de produits : Fitbit, Withings, Garmin

Tous les appareils énumérés ci-dessus sont considérés comme utiles par les utilisateurs « normaux » mais ils comportent leur lot de risques, comme lorsque Alexa s’est lancée dans une session de shopping ou quand les caméras connectées ont été utilisées pour mener des attaques DDoS d’ampleur. La question primordiale est peut-être celle-ci : la valeur l’emporte-t-elle sur les risques et savez-vous comment vous protéger ? C’est à vous de décider. (Avira)

APT, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Social engineering

Le cyberespionnage via les APT devient le pire cauchemar des entreprises

En France, plus de deux tiers (71 %) des DSI estiment que leur entreprise pourrait « certainement » être la cible de campagnes de cyberespionnage utilisant des menaces persistantes avancées (Advanced Persistent Threats – APT) selon une récente étude.

Les APT, des cyber-outils complexes conçus sur mesure pour attaquer des grandes entreprises ou organismes d’état, et collecter discrètement des données sensibles sur de longues périodes. 27 % des personnes interrogées considèrent que leur infrastructure informatique pourrait « éventuellement » être la cible d’actions de cyberespionnage de haut niveau visant à exfiltrer des informations de manière systématique.

Seule une petite minorité n’est pas préoccupée par les APT

L’année dernière, des entreprises de  grande envergure ont été confrontées à un nombre croissant d’incidents et de violations de sécurité, avec une augmentation significative des APT et des attaques ciblées visant aussi bien les entreprises que les entités gouvernementales (telles que APT-28 et, plus récemment, Netrepser). En fait, moins de 2% des DSI considèrent que les APT ne sont pas une menace réelle pour leur environnement de travail. Les inquiétudes sur la sécurité vont en se multipliant, et la question est de plus en plus souvent traitée par les conseils d’administration des entreprises. Les hauts responsables de services informatiques, tout comme les membres des conseils d’administration s’en préoccupent de plus en plus, non seulement parce qu’une violation de la sécurité peut leur coûter cher, mais aussi parce que le futur des entreprises est en jeu quand des données sensibles sont dérobées par des pirates informatiques.

Les risques ne sont pas toujours visibles, mais ils sont bien présents

Étonnamment, si 42% des DSI ont déclaré qu’il leur faudrait entre quelques semaines et un mois pour repérer une APT, 23% d’entre eux pensent qu’il leur faudrait entre deux mois et plus d’un an pour détecter les menaces modernes les plus sophistiquées. Preuve que de nombreux professionnels interrogés sont au courant et craignent ces menaces, mais qu’ils pensent ne pas être suffisamment bien protégés pour les détecter et les bloquer.

Selon Liviu Arsene, Analyste des e-menaces chez Bitdefender, « les cyberattaques peuvent passer inaperçues pendant des mois et, dans la plupart des cas, les violations proviennent de failles Zero-day ou de malwares s’attaquant au noyau du système. Ce sont précisément ces vulnérabilités que ciblent les APT, car elles leur évitent d’être détectées. Les exploits au niveau du noyau et les rootkits peuvent échapper aux solutions de sécurité traditionnelles pour endpoints et prendre le contrôle total du système d’exploitation. »

Les menaces persistantes les plus avancées ne se limitent pas aux attaques soutenues par des États : les entreprises peuvent également devenir les victimes de cybercriminels qui exploitent des vulnérabilités Zero-day pour diffuser des malwares extrêmement ciblés conçus pour les espionner et voler des éléments de propriété intellectuelle. L’enquête de Bitdefender confirme que les RSSI considèrent leurs concurrents comme les plus susceptibles d’attaquer leurs entreprises, dans le cadre d’un espionnage professionnel (66%), suivis des hackers (57%).Les cybercriminels soutenus par des Etats, les agences gouvernementales et les personnes en interne arrivent respectivement en 3ème, 4ème et 5ème position (51, 41 et 30%).

Les risques sont réels, et les entreprises doivent les limiter

76 % des responsables de services informatiques français estiment que la pire conséquence à craindre d’une attaque par une APT est d’ordre financier. En deuxième position on retrouve l’atteinte à la réputation (66%), suivie de la faillite (51%). Parmi les risques les plus sinistres, citons également la guerre ou les cyber-conflits (24%) ; et même un décès par suicide ou attaque cardiaque (14%).

Les entreprises ont surtout peur de perdre des informations relatives à leurs clients (52%), suivies des informations financières (47%), des recherches sur de nouveaux produits (37%), des informations sur certains employés (35%), des informations et de caractéristiques de produits (34%), leur propriété intellectuelle (34%) et leurs recherches sur la concurrence (20%).

Ainsi, 94 % des conseils d’administration estiment que la cybersécurité est un sujet critique dans la gestion des risques de l’entreprise, avec des conséquences sévères sur leur situation financière et leur réputation si elle est négligée. Seuls 4% ne lui accordent pas encore une telle importance. La plupart des entreprises (58%) ont un plan de réponse aux incidents et un plan de reprise après sinistre dans le cas d’une attaque par APT ou d’une violation de sécurité massive, et 40% reconnaissent qu’elles sont en train d’élaborer une stratégie en la matière. Moins de 2% n’ont adopté aucune procédure de ce type à ce jour, et n’’envisagent pas de le faire dans le futur.

Une sécurité multi-couches est la meilleure solution

64% des responsables informatiques français interrogés perçoivent la défense multi-couches, associant plusieurs politiques de sécurité et outils conçus pour combattre les menaces et intrusions modernes, comme étant la meilleure défense contre les menaces persistantes avancées. Les audits de sécurité, les solutions de nouvelle génération, la sécurité traditionnelle et la surveillance des journaux ont également été mentionnés par plus d’un tiers des sondés. (Bitdefender)

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, Paiement en ligne, Patch

Sécuriser son achat sur Internet : nouvelle version de la technologie Verified by Visa

Sécuriser son achat sur Internet ! Visa lance une nouvelle version de la technologie Verified by Visa pour sécuriser et simplifier davantage les paiements en ligne

Sécuriser son achat sur Internet ! Visa annonce l’amélioration prochaine de son service Verified by Visa, une solution globale conçue pour rendre les paiements en ligne plus sûrs en s’assurant que ces paiements soient effectivement réalisés par le titulaire du compte Visa. La nouvelle version apportera aux institutions financières et aux commerçants des données de transaction enrichies permettant une meilleure authentification des consommateurs, réduisant ainsi les cas de fraude pour les achats effectués à partir d’un navigateur Internet fixe ou mobile, d’une application ou d’un objet connecté. Dans le cadre de cette mise à jour, Visa renforce ses systèmes pour soutenir
3-D Secure 2.0, la nouvelle génération de la plateforme de sécurité créée par Visa et servant de socle technologique au service Verified bv Visa.

Grâce à la mise à jour de 3-D Secure 2.0, les émetteurs de moyen de paiement Visa et les commerçants auront plus d’options pour personnaliser le processus d’authentification et rendre l’expérience d’achat toujours plus rapide et ergonome. Bref, Sécuriser son achat sur Internet deviendra plus efficace encore. En construisant un canal de partage d’informations en temps réel et collaboratif, Visa améliore le transfert de données entre commerçants et émetteurs qui accèdent ainsi accès à une masse d’informations inédite relative aux transactions (type d’appareil, adresse de livraison…),  et peuvent vérifier en temps réel l’identité de leurs clients avec davantage d’exactitude. Les études montrent que la durée de règlement des paniers d’achat peut être réduite de 85% avec le nouveau système, et qu’il pourrait y avoir jusqu’à 70%  de diminution du taux d’abandon de panier.

Sécuriser son achat sur Internet

« Les technologies d’authentification ont énormément évolué depuis l’époque des bandes magnétiques et des signatures, tout comme notre manière de payer : d’où le besoin d’innovation pour assurer la sécurité des achats. La grande majorité des Européens utilise aujourd’hui un appareil mobile pour effectuer des paiements, mais la fraude et les problèmes de sécurité restent le frein numéro un à l’adoption, » remarque Mike Lemberger, Senior Vice President, Product Solutions Europe, Visa.

« En soutenant le développement de la plateforme 3DS 2.0, nous sommes en mesure d’offrir un service d’authentification amélioré qui rend ces paiements à la fois plus rapides et mieux sécurisés. Cela permet aux e-commerçants européens de s’attaquer à l’enjeu stratégique des abandons de paniers. Cette mise à jour apporte également tous les outils nécessaires pour se conformer aux dispositions de la Directive Service de Paiement 2 (DSP2) pour les paiements par carte : un avantage majeur qu’il ne faudrait pas sous-estimer. »

Pour donner du temps aux émetteurs de moyens de paiement Visa et aux commerçants de tester, réaliser des pilotes et déployer les solutions, les règles actuelles s’appliquant aux tests commerçants pour les transactions utilisant 3-D Secure s’étendront jusqu’à la version mise à jour début avril 2019. Les commerçants et les émetteurs travaillent déjà à la mise en place de la nouvelle version et Visa prévoit son adoption à partir du deuxième semestre 2017. Visa collaborera avec ses clients et ses partenaires dans le monde entier pour accompagner le déploiement et l’utilisation des nouvelles solutions 3-D Secure 2.0, au service de la sécurité des paiements et d’un meilleur taux d’autorisation des transactions, pour assurer une expérience fluide et intuitive du paiement digital.

Cette nouvelle version ayant la capacité de fonctionner sur de multiples appareils (mobile, app, navigateur Internet), elle aidera à renforcer la protection des consommateurs, quels que soient le lieu et le mode de paiement choisi. L’étude Digital Payments 2016 de Visa, qui a interrogé plus de 36 000 consommateurs européens, révèle que trois fois plus d’entre eux effectuent régulièrement des paiements avec un appareil mobile par rapport à 2015 (54% contre 18%). Les améliorations permettront aussi l’intégration future de technologies de paiement dans l’Internet des Objets, alors que Gartner prévoit plus de 20,8 milliards d’objets connectés d’ici 2020. L’amélioration de l’authentification basée sur le risque atténuera les points de friction en réduisant les étapes supplémentaires de vérification, tels que les mots de passe statiques ou les codes PIN, lors d’un achat quel que soit le terminal utilisé.