Archives par mot-clé : sécurité

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fraude au président, Leak, Piratage, Propriété Industrielle, Social engineering

Stopper la progression des pirates au cœur des systèmes informatiques

Systèmes informatiques – Selon une étude conduite récemment par le Club des experts de la sécurité de l’information et du numérique (Cesin), 81 % des entreprises et administrations françaises déclarent avoir subi une attaque au cours des douze derniers mois et 93 % ne font pas confiance à leurs outils informatiques, leurs fournisseurs et leurs hébergeurs.

L’erreur humaine, les vulnérabilités favorisées par la montée du cloud et la généralisation du BYOD dans les entreprises sont autant de facteurs de risques qui menacent la sécurité de leurs données et fragilisent la confiance des RSSI en leur capacité à contrôler l’ensemble des points d’accès du système d’information.

La plupart des attaques avancées commencent par des e-mails de phishing envoyés aux utilisateurs d’une entreprise qui ne disposent pas d’accès aux comptes d’administrateurs dits « à privilèges ou hauts-pouvoirs » par défaut. Ces derniers, permettant d’accéder à l’ensemble des données de l’entreprise et de prendre le contrôle des systèmes, sont la première cible des cyberattaques. Ainsi, les comptes disposant de privilèges d’administration locaux représentent un important vecteur d’attaque car ils se trouvent sur chaque terminal et sur chaque serveur de l’environnement. En outre, les comptes d’utilisateurs individuels qui y résident et disposent de privilèges d’administration contribuent à accroître la surface d’attaque. En moyenne, dix emails1 suffisent aux pirates informatiques pour parvenir à leurs fins et introduire un malware au sein des systèmes. Ces programmes malveillants très sophistiqués, lorsqu’ils ont pénétré le réseau, exploitent des machines, dérobent des données, capturent les informations d’identification des comptes à hauts pouvoirs ou endommagent des systèmes. L’erreur étant fondamentalement humaine, tout le monde est susceptible de se faire piéger au moins une fois par un email de phishing, que ce soit par manque d’attention ou par curiosité, ce qui confirme une nouvelle fois que la menace se trouve aussi à l’intérieur. Il ne s’agit donc plus d’empêcher une intrusion dans un système avec un pare-feu, un anti-virus ou tout système de blocage à l’entrée du réseau, mais bien de stopper la progression des pirates déjà infiltrés à l’intérieur du réseau.

Systèmes informatiques

Il est par ailleurs difficile pour les équipes IT de faire un suivi détaillé de l’ensemble des applications et programmes présents dans les systèmes d’une organisation et d’en vérifier précisément la fiabilité. Partant du principe qu’une entreprise peut rassembler jusqu’à 20 000 applications métiers2, on peut facilement concevoir que des applications corrompues passent inaperçues et constituent des portes d’entrée dans les systèmes, et donc un accès direct aux données de l’entreprise. C’est là que la gestion des droits d’administration relatifs aux applications s’avère cruciale : ainsi, une entreprise peut intervenir sur les droits de l’utilisateur afin d’éviter les erreurs liées à la modification des configurations systèmes, à l’installation de programmes malveillants ou encore à l’accès et à la modification de comptes utilisateurs. Toutefois, révoquer tous les droits d’administration des utilisateurs oblige parfois les équipes IT à leur accorder de nouveau des privilèges pour effectuer certaines tâches au niveau des applications. Ces derniers, une fois accordés, sont rarement révoqués et s’accumulent au fil du temps, rouvrant ainsi une faille de sécurité liée à l’excès de droits d’administration ; supprimer ces droits pour les utilisateurs au niveau des points d’accès et des serveurs sans contrôler au préalable les programmes autorisés sur ces machines favorise l’introduction et l’exécution autonomes d’applications malveillantes au sein du réseau.

Pour relever ces défis, les organisations ont besoin d’outils flexibles, permettant d’automatiser la gestion des privilèges des administrateurs locaux et le contrôle des applications sur l’ensemble des périphériques et serveurs. En privilégiant la combinaison du contrôle d’application et du principe du « moindre privilège » pour développer une approche de sécurité équilibrée et organisée par couches, les organisations peuvent réduire la surface d’attaque et mieux se protéger contre les menaces ayant déjà pu infiltrer le système. Ainsi, les équipes de sécurité sont immédiatement alertées de potentielles tentatives d’attaques en cours, le tout sans perturber la productivité des employés, ni surcharger les services IT en charge de la sécurité. Si on considère qu’un pirate motivé parviendra toujours à s’introduire dans le système d’une entreprise, ces mesures bloqueront sa progression et l’empêcheront de naviguer des points d’entrée vers les serveurs pour prendre possession du réseau. (Par Jean-François Pruvot, Regional Director France chez CyberArk)

Sources:
1- Verizon, « 2015 Data Breach Investigations Report », page 13
2- Viewfinity, « IT Security’s 50 Shades of Grey Whitepaper », page 2

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch, Sauvegarde

Cinq impératifs de sécurité à l’intention des nouveaux utilisateurs du Cloud

Apple, Amazon et Microsoft sont trois géants de la technologie et de véritables références en matière de fourniture de services cloud. Mais ils ont aussi comme point commun d’avoir été la cible de hackers plutôt virulents…

Le piratage Apple (le “celebgate”) a abouti à la divulgation de photos très personnelles de certaines célébrités qui utilisaient iCloud, une mésaventure qui a fait la une de nombreux médias l’année dernière. Au Royaume-Uni, le fournisseur technologique Code Spaces a tout simplement baissé le rideau en 2014, après avoir été la cible de maîtres chanteurs qui ont, au final, supprimé des données essentielles sur l’environnement de stockage cloud de l’entreprise basé sur Amazon Web Services. En 2013, un certificat SSL expiré au sein du cloud Azure de Microsoft permettait à des hackers de mettre à l’arrêt plusieurs services cloud, dont Xbox Live.

Les risques en matière de sécurité du Cloud sont à la hausse, tandis que les attaques ont progressé à un rythme effréné : +45% en glissement annuel selon le spécialiste de la sécurité Alert Logic. Au cours des 5 prochaines années, les entreprises devraient investir 2 milliards de dollars pour renforcer leurs défenses Cloud, selon Forrester Research.

Ce sont les primo-utilisateurs du cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité. À leur intention, voici cinq règles d’or qui encadrent (et sécurisent) toute migration vers le Cloud.

1. Apprenez à mieux connaître les environnements Cloud
Tout projet cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme cloud, le fournisseur du service réseau et l’entreprise cliente. Le Cloud doit être pensé en tant qu’extension du centre de données de l’entreprise, d’où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le cloud est un environnement dynamique qui implique des mises à jour régulières de l’architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s’immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur cloud, ainsi que les vôtres. Pour certains types de cloud, les IaaS notamment, l’entreprise cliente est responsable de la sécurité de ses applications et données dans le cloud. Il est également essentiel d’identifier les appliances de sécurité et technologies proposées par le fournisseur de services cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité
Prêt à migrer une application dans le cloud ? Mais avant, interrogez-vous sur l’intérêt de déployer des couches de sécurité dédiées aux processus d’authentification et de connexion à vos applications cloud.

Pour sécuriser l’accès à votre application cloud, vous devez déployer un schéma d’accès granulaire aux données, qui, par exemple, associe des privilèges d’accès à des rôles, des postes ou des projets. Vous disposez ainsi d’une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d’un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du cloud. Pour renforcer votre processus d’authentification, pourquoi ne pas adopter l’authentification à deux facteurs ou l’utilisation des mots de passe OTP (à usage unique) ? Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.

3. Optez pour le chiffrement
Le chiffrement des données est l’un de vos meilleurs alliés dans le cloud et doit d’ailleurs être obligatoire pour les transferts de fichiers et les emails. Bien sûr, le chiffrement ne préviendra pas les tentatives de piratage, mais il immunisera votre entreprise face au lourd impact financier lié aux amendes réglementaires infligées en cas de piratage avéré et de divulgation de données.

Interrogez ainsi votre fournisseur cloud sur les options de chiffrement disponibles. Identifiez comment les données sont chiffrées lorsqu’elles sont stockées, utilisées et transférées. Pour identifier le périmètre des données à chiffrer, il est essentiel de les localiser, qu’elles soient hébergées sur les serveurs de votre fournisseur cloud ou d’un tiers, les ordinateurs portables des collaborateurs, les PC fixes ou encore des dispositifs amovibles de stockage.

4. Maîtrisez le virtuel
En migrant vers le Cloud, les entreprises capitalisent sur les avantages de la virtualisation, mais un environnement virtualisé présente des défis spécifiques en matière de protection des données. La principale problématique ? La gestion de la sécurité et des échanges de données au sein de ces espaces virtualisés et mutualisés.

Les appliances physiques de sécurité ne sont pas conçues pour gérer les données dans le cloud. D’où l’intérêt de se pencher sur les appliances virtuelles pour sécuriser le trafic entre machines virtuelles. Ces appliances sont conçues pour simplifier la gestion de multiples instances d’applications et d’environnements mutualisés.

Elles permettent ainsi aux entreprises de contrôler plus précisément la sécurité de leurs données dans le Cloud. Demandez à votre fournisseur cloud comment il s’y prend pour sécuriser ses environnements virtualisés et découvrez quelles sont les appliances de sécurité virtuelles déployées. Si vous mettez en place votre propre cloud privé ou hybride, il est préférable de choisir des produits de sécurité virtualisés qui permettent un contrôle le plus fin de la sécurité.

5. Ne restez pas dans l’ombre du Shadow IT
Les anecdotes et exemples sont nombreux pour illustrer les cas d’utilisation non autorisés d’applications et de services cloud, ce qu’on appelle le Shadow IT, plus présent en entreprise qu’on ne le croirait. Cette activité regroupe les projets, outils ou services de communication existants au sein d’une organisation, mais sans approbation de la DSI. Le Shadow IT est donc, par définition, non contrôlé, ce qui constitue une certaine menace dont les impacts sont lourds en matière de gouvernance.

Votre application qui a récemment migré vers le Cloud connaît ainsi des risques. Considérez ce scénario dans lequel un collaborateur ouvre un fichier sur son smartphone. Il est probable qu’une copie du fichier soit réalisée et envoyée pour stockage vers un espace en ligne non approuvé et qui accueille les sauvegardes automatiques du téléphone. Et voilà des données de l’entreprise, jusqu’à présent sécurisées, qui se retrouvent dans un cadre non sécurisé.

Interdire le Shadow IT et les accès aux données et applications induits ne freinera sans doute pas cette pratique au sein d’une organisation. Il est plus intelligent de sensibiliser les utilisateurs et de miser sur la technologie pour régler cette problématique. Justement, le chiffrement des données, le monitoring réseau et les outils de gestion de la sécurité protègent vos applications cloud des risques liés au Shadow IT. (Christophe Auberger, Directeur Technique France chez Fortinet)

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde

Sécurité des données : une tour en équilibre précaire

Pendant les fêtes, j’ai eu l’occasion de voir « The Big Short : Le Casse du siècle », film inspiré du livre de Michael Lewis sur la bulle immobilière. Ou plus exactement sur la manière dont un groupe de parias de Wall Street voit clairement les signes d’effondrement prochain du marché hypothécaire. Il est intéressant de constater qu’aucun de ces indices financiers ne constituait un secret.

Cela m’a poussé à me demander s’il existe aussi des signes incroyablement évidents montrant que la sécurité des données d’entreprise ne se trouve qu’à un ou deux piratages d’une explosion complète.

En guise de pièce à conviction A, veuillez consulter l’article de Krebs sur les nouvelles méthodes d’authentification mises en œuvre par Google et Yahoo. Google essaie une ouverture de session Gmail sans mot de passe par l’envoi d’un e-mail d’approbation au smartphone associé à votre adresse électronique. Après avoir accepté la requête, vous pouvez utiliser Gmail. Aucun mot de passe n’est nécessaire !

En octobre dernier, Yahoo a commencé à offrir un service similaire appelé « mots de passe à la demande ». Dans ce système, Yahoo envoie un code aléatoire de quatre caractères à un périphérique séparé lorsqu’un abonné tente de se connecter. Yahoo exige ensuite que l’utilisateur saisisse ce code sur son site Web pour obtenir l’accès.

Phishing récréatif et lucratif
Que dit Krebs à propos de ces changements ? Améliorer l’authentification est une bonne idée, mais Krebs pense que ces approches mèneront à des attaques de phishing plus sophistiquées. Aïe !

En règle générale, ce type de modèle reste exposé aux attaques de l’intercepteur.  Toutefois, Krebs semble suggérer que les pirates profitant de ces services enverront des e-mails contrefaits pour demander plus d’informations aux abonnés. Les utilisateurs de Yahoo et de Google ayant probablement l’habitude d’accepter et de répondre à des e-mails de vérification réels, ils pourraient accidentellement révéler un mot de passe ou d’autres informations en réponse à une communication falsifiée.

Alors que d’autres grands services en ligne commencent à essayer leurs propres méthodes et que certaines entreprises font appel à des techniques à facteurs multiples, d’insidieuses failles de sécurité restent possibles.

Le Web caché
Ma pièce à conviction B est constituée de toutes les données piratées au cours de ces deux dernières années. Étant donné que les IPI et autres données sensibles sont à la portée des pirates au moyen du Web caché, les cybercriminels possèdent beaucoup plus d’informations pour exécuter leurs futures opérations de phishing et autres attaques d’ingénierie sociale.

À l’heure où j’écris ces lignes, les médias technologiques signalent la divulgation massive de plus de 190 millions d’enregistrements électoraux comprenant des dates de naissance, des adresses électroniques et des affinités politiques. Bien sûr, cela s’ajoute à la violation géante de l’OPM, la violation de l’IRS  et les gigantesques violations des compagnies d’assurance.

Récemment, j’ai écrit un article au sujet des énormes quantités de données de santé protégées (PHI) qui se trouvent dans les systèmes informatiques des grandes entreprises. Ces dernières ne sont pas toutes des entreprises de services de santé. Souvent mal sécurisées, les PHI ont été écrémées par les pirates au cours des quelques dernières années. Elles constituent une autre remarquable source d’informations pour de futures attaques.

Le Jenga de la sécurité des données
Revenons au film « The Big Short ». Je ne pense pas que nous en dirons trop en révélant cette scène du film, car elle a déjà été largement distribuée. Je fais ici référence à Ryan Gosling montrant à ses collègues de Wall Street les pieds d’argile du colossal marché hypothécaire.

Comme au Jenga, il a lentement retiré les blocs de base de sa tour infernale. Comme on peut s’y attendre, la structure entière, y compris les blocs représentant les hypothèques les plus sûres, finit par s’effondrer.

J’attends qu’un DSI retire ce genre de bloc de Jenga ! C’est-à-dire qu’un collaborateur (peut-être un individu imprégné de philosophie « red team ») explique aux cadres dirigeants en quoi la sécurité informatique est semblable à une tour de Jenga.

Au sommet se trouvent une défense de périmètre et un chiffrement des données forts. Mais il existe des données mal sécurisées sous cette première couche. Et plus profondément encore, on rencontre des techniques d’authentification peu efficaces, des mauvaises stratégies de mots de passe, une gestion tardive des correctifs et une supervision des données insuffisante.

Le pirate mène ses essais et ses attaques à travers la main de l’employé. Guidé par les données volées existantes et d’autres informations de vulnérabilité acquises sur le marché noir (logiciels malveillants, IPI, informations d’identification volées), il sait quels blocs retirer de la base pour faciliter son accès à la prochaine couche de données mal sécurisées.

L’ensemble de la structure informatique s’effondre ensuite en laissant les blocs de Jenga éparpillés sur le bureau du DSI.

Je ne pense pas qu’en 2016 nous verrons l’équivalent informatique d’un effondrement financier dans lequel le commerce électronique et la pornographie seraient soudainement bloqués. Mais il existe depuis quelques années des signaux d’alarme en direction de sérieux problèmes au niveau des fondations mêmes de la sécurité des données informatiques. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, IOT

Quels changements se profilent dans le paysage de la sécurité pour 2016 ?

Le changement le plus important concerne la manière dont les équipes chargées de la sécurité traiteront « l’inflation » de données, d’équipements, de fonctionnalités et de menaces. La croissance rapide de l’Internet des Objets va ajouter énormément d’équipements et de capteurs sur les réseaux informatiques.

Nombre d’équipes chargées de la sécurité informatique se sentent dépassées par le traitement des données, la sécurité de leurs réseaux informatiques actuels ainsi que par les responsabilités associées. Se contenter d’ajouter des solutions de sécurité informatique n’aidera pas les entreprises à contrôler l’afflux de données qui se profile. Il serait plutôt intéressant de voir comment les équipes IT seraient capables de gérer dix fois plus d’équipements et de données en partant de zéro. Cela leur permettrait de réfléchir à une stratégie sur le long terme et à la manière adéquate de suivre ce rythme effréné.

Toujours plus d’entreprises ont conscience de l’importance de l’informatique dans les environnements Cloud pour leurs activités. Les services à faible valeur tels que l’infrastructure de messagerie évoluent de plus en plus vers le Cloud et sont de moins en moins gérés en interne. En effet, la plupart des entreprises ne sont pas contraintes de se soumettre à des obligations de conformité ou de sécurité à ce niveau. Après tout, la plupart des courriers électroniques sont envoyés via Internet sans être chiffrés. Alors à quoi bon héberger ces messages en interne ? Les ressources monopolisées pour ce faire pourraient être utilisées à meilleur escient, par exemple pour réfléchir à la manière dont l’équipe IT pourrait accompagner plus efficacement l’activité de l’entreprise.

Puisqu’un nombre toujours plus important d’applications et de services migrent vers le Cloud, le suivi des actifs peut également passer dans le Cloud. Les terminaux des utilisateurs sont plus mobiles qu’avant et l’environnement dans lequel les collaborateurs souhaitent ou doivent travailler peut changer à tout moment. Une liste précise d’actifs informatiques indiquant l’état de tous les équipements et logiciels autorisés, ainsi que ceux non autorisés à rejoindre le réseau, offre un meilleur point de départ à l’équipe informatique chargée de la sécurité. En parallèle, rechercher en permanence les failles possibles sur l’ensemble des points d’extrémité est désormais indispensable.

Comment évoluent les cibles ?
Contrairement à ce que peuvent prêcher la plupart des fournisseurs de solutions de sécurité informatique, le mobile sera sans doute la principale cible en termes de sécurité en 2016. Bien qu’ils aient aussi leurs problèmes, iOS et Android restent malgré tout mieux protégés contre les malware commerciaux que les traditionnels terminaux informatiques. Les équipements mobiles pourraient être la cible privilégiée d’une surveillance et d’attaques commanditées par un Etat. En effet, ces équipements nous localisent et nous transportons en permanence avec nous un micro et un appareil-photo activables à distance. Quant aux PC et ordinateurs portables, ils sont dans le viseur des éditeurs de malware commerciaux qui y voient un retour sur investissement.

L’informatique traditionnelle, en particulier les systèmes de contrôle industriels et les applications SCADA pour la production, est de plus en plus connectée à Internet. Cela représente un risque important dans la mesure où ces systèmes ont été conçus à une époque où les utilisateurs étaient des collaborateurs fiables et compétents. Connecter ces systèmes de contrôle industriels ou ces applications SCADA à l’Internet public peut les exposer facilement à des attaques externes lancées par des individus malveillants, non autorisés et hors du contrôle de l’entreprise. Des attaques continueront d’être lancées tant que ces vieux systèmes seront simplement « connectés » à Internet.

Comment évoluent les stratégies de prévention ?
Les stratégies évoluent de plus en plus car les traditionnelles approches en matière de sécurité informatique sont moins efficaces et plus problématiques qu’avant. Ces dernières ne sont plus à la hauteur et constituent un échec. Il faut plutôt s’intéresser à l’avenir de l’informatique et à la façon d’intégrer la sécurité partout et par défaut.

Par exemple, les utilisateurs consomment davantage d’applications dans le Cloud qu’auparavant. Les entreprises utilisent des solutions telles que SalesForce pour leurs systèmes CRM et Office 365 pour leur communication. Cette approche réduit le nombre d’applications tributaires du réseau interne et plus les applications et les services seront consommés auprès de fournisseurs opérant dans le Cloud public, plus la surface d’attaque des réseaux internes sera réduite.

Les équipes informatiques vont devoir réfléchir à la manière de concevoir la sécurité dans un monde où les utilisateurs s’appuient uniquement sur leur équipement plutôt que sur le réseau de l’entreprise. Chaque point d’extrémité doit pouvoir être fiable et sécurisé, peu importe où se trouvent les utilisateurs ou la façon dont ils souhaitent travailler.

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Les Data Centers face aux risques : des menaces contrôlées

Le Cloud a réussi à convaincre de nombreux adeptes grâce à ses différents atouts : simplicité, adaptabilité, ou encore coûts contrôlés. Pour protéger au mieux les données qui leur sont confiées, les fournisseurs éthiques suivent une règle d’or : prévoir l’imprévisible pour pouvoir assurer la sécurité des données.  

En effet, les data centers – comme toute autre installation – sont confrontés à différents risques et cela peut effrayer les entreprises et les particuliers.  Cependant, les serveurs des centres de données sont souvent bien plus sécurisés que les propres structures informatiques des entreprises. Plusieurs menaces existent, et les fournisseurs de Cloud disposent de spécialistes afin d’analyser et d’anticiper chacun de ses risques.

Le risque physique et le vandalisme
Il s’agit du risque lié à une intrusion physique sur le lieu : vol de matériel contenant des données, incendies criminels, ou encore casse des serveurs. Pour répondre à ce risque, des systèmes de vidéosurveillance mais aussi de détection volumétrique de mouvements au sein du périmètre de sécurité sont mis en place.  De plus, l’entrée du bâtiment est sécurisée par un contrôle d’accès strict avec différents niveaux de droits selon les pièces.  En cas de problèmes, les droits d’accès peuvent être rapidement révoqués et les badges désactivés automatiquement. Le bâtiment est également équipé de portes blindées, de systèmes de détection des chocs sur les portes et les fenêtres. Toute cette installation vise à pouvoir réagir très rapidement en cas de tentative d’effraction, avec une prise en charge rapide par le personnel sur site présent 24h/24 7J/7 et par les forces de l’ordre.

Pour pallier la menace d’incendie, des détecteurs sont mis en place. Les Data Centers sont par ailleurs équipés de système d’extinction automatique par gaz, si un départ de feu est confirmé par 2 détections simultanées, des bouteilles seront percutées instantanément afin de remplir la salle informatique d’un gaz empêchant la réaction chimique de l’incendie et bloquer tout incendie en cours.

Le risque météorologique
Cette catégorie regroupe tous les dangers liés à des conditions climatiques extrêmes: inondation, foudre ou encore canicule. Afin de prévenir d’éventuels sinistres, ce risque est étudié avant même l’implantation du Data Center afin d’éviter la construction en zone inondable. Le bâtiment est également entouré par des paratonnerres, et les armoires électriques équipées de parafoudres pour protéger le lieu en cas de tempête. Les climatisations sont spécifiquement choisies afin de fonctionner même lorsqu’elles sont soumises à de très hautes températures.

Les risques intrinsèques et électriques
Pour la partie électrique, les onduleurs sont présents pour palier une éventuelle micro-coupure ; en cas de problème plus conséquents – comme une panne totale de l’arrivée électrique principale Haute Tension– les Data Centers sont équipés d’un groupe électrogène pouvant assurer leurs autonomies. Des audits annuels sont par ailleurs réalisés pour assurer une sécurité optimale du lieu. Une caméra thermique permet de vérifier qu’il n’y a pas de points chauds pouvant potentiellement créer un départ d’incendie et les câblages sont également vérifiés une fois par an. Enfin, en cas de fuite d’eau, un système automatisé permet de couper l’arrivée d’eau dans la salle informatique.

Le risque numérique
Les menaces numériques regroupent tous les risques liés au piratage informatique.  Pour cela, les serveurs peuvent—être équipés d’un antivirus, d’un firewall, mais aussi d’une solution visant à bloquer les attaques DDoS.  Ainsi, un large spectre de vecteurs d’attaques est contrôlé. Il s’agit là des précautions prises pour un unique Data Center par chaque fournisseur. La mise en place d’un deuxième Data Center, notamment s’il est utilisé pour effectuer des plans de reprises d’activité, exige également quelques bonnes pratiques. Les deux bâtiments ne doivent pas être éloignés de plus de 50 kms l’un de l’autre, dans l’idéal, afin d’avoir un délai de latence faible pour la synchronisation des données. Mais ils ne doivent pas non plus appartenir aux mêmes réseaux électriques, car si une longue coupure intervient, les deux seraient alors potentiellement impactés. (par Aurélien Poret, responsable Infrastructure – Ikoula)

Cybersécurité, Mise à jour, Patch

Mises à jour urgentes de janvier 2016

Plusieurs mises à jour obligatoires et urgentes pour de nombreux produits Microsoft, Adobe et Oracle.

MS16-005 est a patcher très rapidement, du moins pour les utilisateurs sous Vista, Windows 7 ou Server 2008. En effet, sur ces systèmes, CVE-2016-0009 déclenche une exécution de code à distance (RCE), de plus cette vulnérabilité a été divulguée publiquement. Sur les systèmes d’exploitation plus récents, Windows 8 et Windows 10, la faille est non applicable ou juste classée importante.

MS16-004 est notre seconde priorité. Ce bulletin résout six vulnérabilités sous Microsoft Office qui permettent aux pirates d’exécuter du code à distance (RCE). Il est classé « critique » par Microsoft, ce qui est inhabituel pour un bulletin Office. La vulnérabilité classée critique CVE-2016-0010 est présente dans toutes les versions d’Office, de 2007 à 2016, même sous Mac et RT.

Viennent ensuite Internet Explorer (MS16-001) et Microsoft Edge (MS16-002). L’un et l’autre sont classés critiques puisqu’un pirate peut contrôler la machine visée en exploitant le navigateur via une page Web malveillante. Les deux bulletins traitent seulement deux vulnérabilités, ce qui est assez inhabituel, du moins pour Internet Explorer, navigateur pour lequel nous avions pris l’habitude de voir traiter plus de 20 vulnérabilités.

MS16-006, le dernier bulletin critique, concerne Silverlight et corrige une vulnérabilité.

MS16-010 est une vulnérabilité côté serveur dans Microsoft Exchange. Il résout quatre vulnérabilités au sein du module OWA d’Exchange qui peuvent provoquer des fuites d’information et l’exécution de script suite à la visualisation d’un e-mail.

MS16-009 a été ignoré par Microsoft. Apparemment, la publication de ce bulletin a été reportée le temps de procéder à des tests supplémentaires.

Adobe et Oracle
Adobe publie également ses mises à jour à l’occasion de ce Patch Tuesday et diffuse APSB16-02 pour Adobe Reader. Cette mise à jour résout des vulnérabilités critiques mais les classe toutes en niveau « 2 » sur l’échelle de l’exploitabilité, c’est-à-dire qu’un patch sera disponible dans les 30 prochains jours. Aucune mise à jour n’est publiée aujourd’hui pour son composant logiciel le plus attaqué, le lecteur Flash. Ou disons plutôt que sa mise à jour de janvier 2016 a été publiée en avance, fin décembre 2015. Intéressez-vous en urgence à APSB16-01 si ce n’est pas encore fait. L’une des vulnérabilités étant attaquée en aveugle, Adobe a été contraint de publier cette mise à jour avant la date prévue.

Quant à Oracle, l’éditeur prévoit de publier ce mois-ci sa mise à jour trimestrielle, en l’occurrence mardi 19 janvier. Restez à l’affût de la nouvelle version de Java, MySQL et de sa base de données d’entreprise. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities).

Argent, Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Patch

Sécurité en ligne : la méfiance des Français est-elle mère de sûreté ?

La cybercriminalité se développe aussi vite que les technologies et il n’est pas surprenant que cela rende les consommateurs méfiants lorsqu’on leur demande de saisir des données personnelles en ligne. C’est le cas pour 63% des Français selon une étude récente Dashlane menée par Opinionway. Il est plus étonnant de constater le décalage avec les Américains, qui, s’ils ne sont pas moins touchés par les piratages, sont beaucoup moins méfiants lorsqu’ils doivent saisir des informations personnelles sur internet (seulement 35%).

L’explication est bien sûr en partie culturelle. La France est un pays où, depuis Descartes, on considère que l’intelligence s’illustre par la capacité à douter. En face d’un phénomène nouveau, les consommateurs doutent donc tant qu’ils ne disposent pas des garanties permettant de lever leurs interrogations. Aux Etats-Unis, l’optimisme est une valeur. C’est lui qui permet la « poursuite du bonheur » inscrite dans la déclaration d’indépendance, et la foi en un futur meilleur, « l’American Dream ». Si la sécurité en ligne était un verre d’eau, ou de Coca Cola, les Américains auraient ainsi tendance le voir à moitié plein. Les dangers du web ne sont pas pour eux une raison de ne pas profiter des formidables innovations qu’il apporte. On n’aurait en effet pas conquis l’ouest américain si l’on s’était focalisé sur les risques. Pour les Français, le verre est souvent à moitié vide. Ils sont plus réticent à adopter un service qui risque de perturber leur quotidien, de remettre en cause leur statut…

Pour rassurer les consommateurs, les éléments à leur fournir sont également différents. Selon la même étude, c’est d’abord la réputation de la marque qui met en confiance les Américains (47%), alors que les Français sont 68% à citer le petit cadenas vert, symbole d’une connexion sécurisée, comme facteur de confiance numéro 1. Là encore, le scepticisme des Français les conduit à chercher des preuves concrètes de sécurité plutôt que de faire confiance a priori aux marques.

On serait tenté de donner raison aux Français, tant sont nombreuses les grandes marques qui connaissent des failles de sécurité sur leur site web. En s’intéressant d’abord à un élément factuel de sécurité, la connexion https et son symbole, le petit cadenas vert, les Français ne seraient-ils pas des précurseurs ? Quand ils naviguent sur le web, souris en main, ils souhaitent des signaux clairs pour les rassurer ou leur indiquer les dangers, comme lorsqu’ils sont au volant de leur voiture. Le cadenas https est pour eux la même chose qu’un panneau route prioritaire qui leur dit « C’est bon vous pouvez rouler à 90. ».

La conduite sur route est aujourd’hui énormément guidée par la signalisation (panneaux, lignes, ralentisseurs etc….) au point qu’on y prête à peine attention. Grâce aux efforts de standardisation, on s’y retrouve même lorsqu’on circule loin de chez soi à l’étranger. Mais qu’en est-il du web ? N’est-il pas nécessaire de définir, au-delà du chiffrement de la connexion (https) d’autres standards de sécurité, ou de confidentialité, qui pourraient être vérifiés par des tiers indépendants et illustrés par une signalisation uniforme ?

Au cours des deux dernières décennies, on a vu se développer les « autoroutes de l’information ». Nous sommes bien sur la « route du futur » que Bill Gates annonçait par son livre en 1997. Nous avons juste oublié de tracer les lignes blanches et de poser les panneaux. (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane)

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch

Quelles sont les nouvelles missions de la DSI à l’ère du cloud ?

Ce n’est plus une surprise aujourd’hui que le recours au cloud représente une transformation importante et stratégique pour les entreprises et va parfois de pair avec certaines inquiétudes concernant la place de la DSI. Les questions qui découlent de cette stratégie technologiques sont nombreuses : la DSI a-t-elle encore un rôle à jouer à l’ère du cloud ? Ce rôle doit-il évoluer et si oui, dans quelle(s) direction(s) ?

Dans de nombreuses entreprises, la DSI cherche avant tout à créer un socle informatique commun à l’ensemble des salariés : ce dernier doit être stable, afin d’éviter les interruptions de l’activité et permettre à chacun d’acquérir une excellente maîtrise des outils ; il doit aussi être sécurisé, afin de garantir une confidentialité optimale des données. De ces impératifs résultent des cycles informatiques longs, pouvant durer entre 3 et 5 ans avant que l’on n’envisage de changements significatifs des outils utilisés. Aujourd’hui, ce cycle long montre ses limites face à une économie toujours plus réactive où le time-to-market se réduit et où l’on recherche une plus grande agilité. Les entreprises doivent souvent faire preuve de rapidité pour répondre aux besoins du marché, une rapidité à laquelle leur infrastructure n’est pas toujours adaptée.

La DSI est donc confrontée à un paradoxe : d’un côté, offrir à l’entreprise de la stabilité afin qu’elle gagne en productivité et en sécurité ; de l’autre, s’adapter à de nouveaux usages dans un contexte où tout concorde pour que l’environnement soit instable. Un paradoxe d’autant plus présent dans les secteurs où les entreprises traditionnelles sont concurrencées par des start-up très agiles.

Mais alors, quelles craintes font naître ces évolutions ?
Tout d’abord il y a le « shadow IT ». La DSI y est confrontée de manière quasi récurrente : les salariés souhaitent décider eux-mêmes des outils les plus appropriés pour accomplir leurs missions ; il leur arrive ainsi d’en adopter certains sans l’aval des services informatiques, créant alors une véritable «informatique de l’ombre». Par conséquent, la DSI hérite souvent de la maintenance de ces dispositifs qu’elle n’a pas choisis et de la gestion des problèmes de compatibilité.

Puis vient la perte d’influence. Pendant longtemps, seule la DSI a eu le pouvoir sur les outils utilisés dans l’entreprise lui permettant de s’opposer à l’utilisation d’un logiciel si elle estimait qu’il ne répondait pas aux critères établis. Aujourd’hui, comme l’illustre la présence du shadow IT, les entreprises sont beaucoup plus ouvertes sur l’extérieur. Les directions métier, par exemple, ont accès à un large panel d’applications web qu’elles peuvent mettre en place en quelques clics. Le processus de décision est donc souvent plus rapide que la chronologie traditionnelle (évaluation des ressources techniques et budgétaires nécessaires, étude des risques, prise de décision, planification, déploiement) qui exigeait souvent plusieurs semaines voire plusieurs mois. En conséquence, la DSI peut craindre une certaine perte d’influence.

Enfin, reste l’automatisation. La plupart du temps, les logiciels basés sur le cloud hébergent les données au sein d’un datacenter extérieur à l’entreprise, dont la gestion est donc assurée par des tiers. De même, ces logiciels permettent souvent d’automatiser ou de simplifier des tâches autrefois placées sous le contrôle de la DSI : l’allocation des ressources, la configuration de chaque poste, le déploiement de nouvelles applications, etc. Ainsi, bien souvent, la DSI n’est plus la seule à impulser des décisions quant aux choix technologiques de l’entreprise. Les directions métier s’invitent aussi dans le débat, suggérant l’adoption de nouveaux outils. C’est sur ce type de projet que la DSI est la plus susceptible de ressentir une perte d’influence. Le risque est moindre lorsque les projets concernent l’entreprise dans son ensemble car la DSI conserve alors son pouvoir de prescription et de décision.

DSI, métiers, vers un juste équilibre ?
La situation actuelle entre DSI et directions métier n’est pas si préoccupante que l’on pourrait le croire. En effet, une étude menée par Verizon a démontré que seules 16% des entreprises étaient prêtes à investir dans le cloud sans l’aval de la DSI. A l’inverse, pour 43% d’entre elles, ce type de décision implique toujours une validation préalable de la DSI tandis que 39% prennent une décision collégiale associant directions métier et DSI. Le fait d’associer la DSI aux décisions ne se résume pas à valider la sécurité des choix technologiques, au contraire. La DSI permet, pour plus de la moitié des entreprises interrogées, d’optimiser les coûts et de réduire la complexité du processus. En réalité, il ne s’agit pas de créer un clivage entre DSI et directions métier mais de les réunir autour d’un objectif qui les rapproche : assurer la croissance de l’entreprise. Cela passe souvent par la mise en place de nouveaux business models permettant de développer le portefeuille clients ou de fidéliser les clients existants. Dans la poursuite de cet objectif, le cloud apporte une agilité accrue.

Le fait de solliciter l’IT offre à toute entreprise des bénéfices qui restent indéniables :
La DSI se porte garante du bon fonctionnement du système – Si le téléchargement d’un logiciel classique peut se faire à l’insu de l’IT, le cloud implique nécessairement de se pencher sur des questions comme la sécurité, la bande passante, l’interopérabilité. Sur ces sujets pointus, seule la DSI est en mesure d’intervenir afin de mettre en place de nouvelles fonctionnalités tout en préservant la cohérence du système d’information. Elle a en effet la maîtrise des questions de gouvernance : proposer de nouveaux produits et services, améliorer les processus et la fluidité des échanges…

La DSI peut apporter un accompagnement – Tout changement fait naître des inquiétudes et de manière générale, les utilisateurs n’acceptent un nouveau système que lorsque celui-ci apporte une amélioration significative de leurs conditions de travail. A l’inverse, si ce système se révèle plus complexe que le précédent, on accroît le risque de shadow IT. Il est donc primordial de faire coopérer la DSI et les métiers.

La DSI a un réel pouvoir de prescription – elle n’a pas pour seule mission de répondre à des besoins exprimés par les directions métier. Elle cherche aussi à les anticiper. Sa position la place à l’écoute des évolutions technologiques, elle est aussi gardienne de la mémoire des systèmes d’information de l’entreprise et peut donc impulser des innovations pour que l’entreprise gagne en modernité et en efficacité.

En conclusion, il ressort de ces constats que la DSI, loin d’être menacée par le développement du cloud, peut au contraire tirer profit de sa maîtrise technologique pour accompagner les directions métier et leur proposer des solutions à forte valeur ajoutée. Elle retrouve ainsi toute sa place dans la stratégie de l’entreprise. (Par Philippe Motet – Directeur Technique chez Oodrive)

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise

Sécurité du Cloud : quelles tendances en 2016 ?

Ravij Gupta, Co-fondateur et PDG de Skyhigh Networks, éditeur de solutions de sécurité des données dans les applications Cloud (« Cloud Access Security Broker » – CASB), fait le point sur les dernières tendances autour du Cloud et formules ses prédictions pour 2016.

  1. Les entreprises vont commencer à réduire leur retard sur la sécurité du Cloud. De plus en plus d’entreprises ont pris le virage du Cloud, mais souvent au détriment de la sécurité. Il y a un écart entre le niveau actuel des budgets de sécurité du cloud et celui où il devrait être par rapport à l’ensemble des dépenses de sécurité. Selon le Gartner, les entreprises ne consacrent que 3,8 % de leurs dépenses cloud à la sécurité, alors que cela représente 11 % pour les budgets informatiques en général. En 2016, les budgets alloués à la sécurité du Cloud dépasseront ceux des dépenses générales de sécurité informatique afin que les entreprises rattrapent leur retard.

  1. Les tarifs ​​des assurances pour la sécurité informatique vont doubler. En 2015 les compagnies d’assurance ont pris en charge des coûts massifs liés aux cyberattaques. En réponse, les taux et les primes vont augmenter. Les entreprises rechigneront et paieront à contrecœur et certaines auront même besoin de souscrire des contrats à des conditions défavorables afin d’obtenir une couverture : Anthem a dû s’engager à débourser 25 millions de dollars sur des coûts futurs afin de bénéficier de 100 millions de dollars de couverture. De nombreux assureurs limiteront leur couverture maximum à 75 ou 100 millions de dollars – bien en dessous du coût d’un piratage majeur, qui peut atteindre un quart de milliard de dollars.

 

  1. OneDrive deviendra l’application de partage de fichiers Cloud la plus populaire. Actuellement à la quatrième place en terme de volume de données téléchargées, OneDrive va faire un bond au niveau du classement du fait que les entreprises évoluent vers le Cloud avec Office 365. Les entreprises ont déjà montré la confiance qu’elles accordaient à ​​la plate-forme Cloud de Microsoft comme système d’enregistrement pour leurs informations sensibles. Elles y ont ainsi téléchargé près de 1,37 To par mois dont 17,4 % de fichiers contenant des données sensibles. Et il y a encore un énorme potentiel de croissance : 87,3 % des organisations ont au moins 100 employés utilisant Office 365, mais 93,2 % des employés utilisent encore les solutions Microsoft sur site. Microsoft a investi plus d’un milliard de dollars dans la sécurité, et a récemment publié une nouvelle API Office 365 destinée aux partenaires afin de leur permettre de surveiller et de sécuriser les contenus sensibles. Satya Nadella prend la sécurité du Cloud très sérieux et les entreprises qui étaient auparavant hésitantes migreront vers les offres de cloud de Microsoft.

  1. Les régulateurs européens vont ressusciter Safe Harbor. Les entreprises mondiales ont accordé une attention particulière lorsque la Cour de Justice de l’Union Européenne a annulé l’accord de transfert de données connu sous le terme Safe Harbor. Ce dernier permettait aux entreprises de stocker les données des Européens chez les fournisseurs de cloud américains. La décision de la CJUE a renforcer l’intérêt pour un point clé : les entreprises doivent se méfier des données sensibles non chiffrées transitant par les services de Cloud, en particulier ceux situés dans des pays ayant des politiques de confidentialité des enregistrements douteuses. Toutes les données ne sont pas sensibles, cependant, la disparition de Safe Harbor va imposer des restrictions inutiles et irréalistes aux activités Cloud. Les régulateurs feront des compromis pour faciliter l’accès mondial aux données.

 

  1. La majorité des incidents de sécurité Cloud viendront de l’interne chez les fournisseurs de services. Les fournisseurs de services Cloud ont tellement amélioré la sécurité que les failles seront de plus en plus rares. Cela aura pour conséquence de positionner les employés de l’entreprise comme le maillon faible. 90 % des entreprises font face à au moins une menace Cloud interne par mois. Que ce soit malveillant ou involontaire, les propres employés de l’entreprise représenteront la plus grande menace pour la sécurité du Cloud.
BYOD, Cloud, Cybersécurité, Entreprise, Social engineering

Que la sécurité du cloud soit avec vous : les conseils pour se protéger du côté obscur

Pour les entreprises, le cloud représente la puissance, la flexibilité, l’évolutivité et le contrôle. Cette énorme puissance de calcul est le fruit d’une infrastructure informatique interconnectée et mondiale. Elle englobe aussi bien les entreprises et que les individus, et leur donne plus de liberté. C’est un facteur de cohésion pour l’économie mondiale. De la même façon, la Force donne au Jedi sa puissance et lui permet d’accomplir de véritables exploits et de renforcer ses capacités. Il s’agit d’un champ d’énergie créé par tous les êtres vivants. Elle nous enveloppe et unit la galaxie tout entière.

Bien que la Force puisse être utilisée pour faire le bien, elle possède un côté obscur qui imprègne son utilisateur de malveillance et d’agressivité. On peut dire la même chose du cloud, qui offre de nombreux avantages, mais doit être sécurisé afin que sa puissance soit correctement utilisée. Quels sont les certifications et protocoles de sécurité des services cloud ? Où sont stockées les données des entreprises ? Comment sont-elles protégées ? Qui peut y accéder ? Combien de temps le fournisseur de service cloud conserve-t-il des copies des données ?

Trois méthodes afin de se protéger du côté obscur
La Force du mal : lorsqu’un ver, virus ou botnet communique avec son centre de commande et de contrôle afin d’envoyer des données dérobées à un ordinateur « maître », les criminels brouillent les communications. Les logiciels malveillants utilisent également le chiffrement afin de masquer les informations qu’ils transmettent à des serveurs cloud par le biais du réseau, y compris des mots de passe ou des données sensibles telles que des coordonnées bancaires volées. En effet, selon CGI Security1, il est plus facile de lancer une attaque contre une organisation par le biais d’applications chiffrant leurs communications. Ainsi, une tentative de phishing peut passer inaperçue, car le système de prévention des intrusions en place est incapable d’examiner le trafic SSL et d’identifier le malware, et parce que les pare-feu de l’entreprise n’alertent personne de la nécessiter de bloquer ces paquets. Les malwares tels que Zeus sont célèbres en raison de leur utilisation du chiffrement ainsi que d’autres astuces afin de rendre leurs communications avec leurs centres de commande et de contrôle (C&C) indétectables des équipements de sécurité.

Que faire : s’assurer de disposer d’une visibilité sur le trafic cloud chiffré par SSL. Il faut pour cela utiliser des outils dédiés mettant en œuvre des portails sécurisés et d’autres systèmes avancés de protection des réseaux en périphérie afin d’inspecter le trafic une fois celui-ci déchiffré.

La Force du mal : les criminels cherchent des failles en périphérie du cloud, comme des interfaces et des API non sécurisées. En effet, les administrateurs informatiques utilisent des interfaces pour le provisionnement, la gestion, l’orchestration et la supervision du cloud. En outre, les API sont essentielles à la sécurité et à la disponibilité des services cloud génériques. Des rapports publiés par la Cloud Security Alliance2 révèlent que plus des organisations et des tiers s’appuient sur ces interfaces pour créer des services supplémentaires, plus la complexité augmente, car les organisations peuvent être contraintes de soumettre leurs identifiants à des tiers afin de pouvoir utiliser leurs systèmes cloud. Cette complexité peut ouvrir des boulevards permettant le piratage de ces identifiants qui sont alors susceptibles d’être utilisés pour accéder à des données au sein de systèmes cloud

Que faire : chiffrer ou « tokeniser » les données avant qu’elles n’atteignent les systèmes cloud. Ainsi, si le côté obscur parvenait à infiltrer ces derniers, il n’y trouverait que des valeurs de remplacement inexploitables

La Force du mal : le côté obscur peut parfois pousser les utilisateurs à oublier les règles d’entreprise indiquant que les données réglementées et sensibles (comme celles de santé ou relatives à des cartes de paiement) ne peuvent pas être stockées dans des environnements de cloud public, ou que certains utilisateurs ne peuvent pas accéder à des systèmes cloud sensibles depuis certains emplacements.

Que faire : contrôler le Shadow IT et le Shadow Data (informatique fantôme). Déterminer quels services cloud sont utilisés, leurs risques relatifs, et quels types de données y sont envoyées. En partant de ces informations, utiliser des technologies telles que des courtiers d’accès sécurisé au cloud afin de superviser le comportement des utilisateurs et de repérer la moindre activité anormale. Prendre également des mesures en amont, telles que le chiffrement des données sensibles, afin d’assurer une utilisation sécurisée du cloud et de garantir longue vie et prospérité à votre entreprise (oups, ça c’est le slogan d’une autre franchise cinématographique).

Quelques mesures spécifiques :
Restreindre l’accès des employés à la variété de nouvelles applications cloud qui sont apparues au cours des 5 dernières années.  Tirer parti des flux d’informations sur le cloud : celles-ci peuvent permettre à votre organisation de comprendre les risques relatifs liés à l’utilisation de certaines applications cloud.

Définir des politiques afin d’empêcher certains types de données de quitter votre organisation grâce à des solutions de prévention contre la perte de données (DLP). Celles-ci effectuent des analyses en continu à la recherche de données de patientes, de cartes de crédit et des numéros de sécurité sociale.

Inspecter le contenu issu des applications cloud et allant vers l’entreprise ; effectuez des analyses de contenu approfondies afin d’empêcher les malwares et autres menaces complexes de pénétrer vos organisations.

Les entreprises peuvent et doivent bien connaître les menaces (internes comme externes) pesant sur leurs infrastructures et données cloud. Elles doivent également se servir des conseils susmentionnés comme d’un guide afin de faire face à ces menaces en adoptant les approches et technologies de sécurité informatique les plus efficaces qui soient. Seule une gestion proactive et sage des risques du cloud permettra de profiter de sa puissance sur les plans organisationnel et technologique.