Archives par mot-clé : sécurité

Sécurité des données : une tour en équilibre précaire

Pendant les fêtes, j’ai eu l’occasion de voir « The Big Short : Le Casse du siècle », film inspiré du livre de Michael Lewis sur la bulle immobilière. Ou plus exactement sur la manière dont un groupe de parias de Wall Street voit clairement les signes d’effondrement prochain du marché hypothécaire. Il est intéressant de constater qu’aucun de ces indices financiers ne constituait un secret.

Cela m’a poussé à me demander s’il existe aussi des signes incroyablement évidents montrant que la sécurité des données d’entreprise ne se trouve qu’à un ou deux piratages d’une explosion complète.

En guise de pièce à conviction A, veuillez consulter l’article de Krebs sur les nouvelles méthodes d’authentification mises en œuvre par Google et Yahoo. Google essaie une ouverture de session Gmail sans mot de passe par l’envoi d’un e-mail d’approbation au smartphone associé à votre adresse électronique. Après avoir accepté la requête, vous pouvez utiliser Gmail. Aucun mot de passe n’est nécessaire !

En octobre dernier, Yahoo a commencé à offrir un service similaire appelé « mots de passe à la demande ». Dans ce système, Yahoo envoie un code aléatoire de quatre caractères à un périphérique séparé lorsqu’un abonné tente de se connecter. Yahoo exige ensuite que l’utilisateur saisisse ce code sur son site Web pour obtenir l’accès.

Phishing récréatif et lucratif
Que dit Krebs à propos de ces changements ? Améliorer l’authentification est une bonne idée, mais Krebs pense que ces approches mèneront à des attaques de phishing plus sophistiquées. Aïe !

En règle générale, ce type de modèle reste exposé aux attaques de l’intercepteur.  Toutefois, Krebs semble suggérer que les pirates profitant de ces services enverront des e-mails contrefaits pour demander plus d’informations aux abonnés. Les utilisateurs de Yahoo et de Google ayant probablement l’habitude d’accepter et de répondre à des e-mails de vérification réels, ils pourraient accidentellement révéler un mot de passe ou d’autres informations en réponse à une communication falsifiée.

Alors que d’autres grands services en ligne commencent à essayer leurs propres méthodes et que certaines entreprises font appel à des techniques à facteurs multiples, d’insidieuses failles de sécurité restent possibles.

Le Web caché
Ma pièce à conviction B est constituée de toutes les données piratées au cours de ces deux dernières années. Étant donné que les IPI et autres données sensibles sont à la portée des pirates au moyen du Web caché, les cybercriminels possèdent beaucoup plus d’informations pour exécuter leurs futures opérations de phishing et autres attaques d’ingénierie sociale.

À l’heure où j’écris ces lignes, les médias technologiques signalent la divulgation massive de plus de 190 millions d’enregistrements électoraux comprenant des dates de naissance, des adresses électroniques et des affinités politiques. Bien sûr, cela s’ajoute à la violation géante de l’OPM, la violation de l’IRS  et les gigantesques violations des compagnies d’assurance.

Récemment, j’ai écrit un article au sujet des énormes quantités de données de santé protégées (PHI) qui se trouvent dans les systèmes informatiques des grandes entreprises. Ces dernières ne sont pas toutes des entreprises de services de santé. Souvent mal sécurisées, les PHI ont été écrémées par les pirates au cours des quelques dernières années. Elles constituent une autre remarquable source d’informations pour de futures attaques.

Le Jenga de la sécurité des données
Revenons au film « The Big Short ». Je ne pense pas que nous en dirons trop en révélant cette scène du film, car elle a déjà été largement distribuée. Je fais ici référence à Ryan Gosling montrant à ses collègues de Wall Street les pieds d’argile du colossal marché hypothécaire.

Comme au Jenga, il a lentement retiré les blocs de base de sa tour infernale. Comme on peut s’y attendre, la structure entière, y compris les blocs représentant les hypothèques les plus sûres, finit par s’effondrer.

J’attends qu’un DSI retire ce genre de bloc de Jenga ! C’est-à-dire qu’un collaborateur (peut-être un individu imprégné de philosophie « red team ») explique aux cadres dirigeants en quoi la sécurité informatique est semblable à une tour de Jenga.

Au sommet se trouvent une défense de périmètre et un chiffrement des données forts. Mais il existe des données mal sécurisées sous cette première couche. Et plus profondément encore, on rencontre des techniques d’authentification peu efficaces, des mauvaises stratégies de mots de passe, une gestion tardive des correctifs et une supervision des données insuffisante.

Le pirate mène ses essais et ses attaques à travers la main de l’employé. Guidé par les données volées existantes et d’autres informations de vulnérabilité acquises sur le marché noir (logiciels malveillants, IPI, informations d’identification volées), il sait quels blocs retirer de la base pour faciliter son accès à la prochaine couche de données mal sécurisées.

L’ensemble de la structure informatique s’effondre ensuite en laissant les blocs de Jenga éparpillés sur le bureau du DSI.

Je ne pense pas qu’en 2016 nous verrons l’équivalent informatique d’un effondrement financier dans lequel le commerce électronique et la pornographie seraient soudainement bloqués. Mais il existe depuis quelques années des signaux d’alarme en direction de sérieux problèmes au niveau des fondations mêmes de la sécurité des données informatiques. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

Quels changements se profilent dans le paysage de la sécurité pour 2016 ?

Le changement le plus important concerne la manière dont les équipes chargées de la sécurité traiteront « l’inflation » de données, d’équipements, de fonctionnalités et de menaces. La croissance rapide de l’Internet des Objets va ajouter énormément d’équipements et de capteurs sur les réseaux informatiques.

Nombre d’équipes chargées de la sécurité informatique se sentent dépassées par le traitement des données, la sécurité de leurs réseaux informatiques actuels ainsi que par les responsabilités associées. Se contenter d’ajouter des solutions de sécurité informatique n’aidera pas les entreprises à contrôler l’afflux de données qui se profile. Il serait plutôt intéressant de voir comment les équipes IT seraient capables de gérer dix fois plus d’équipements et de données en partant de zéro. Cela leur permettrait de réfléchir à une stratégie sur le long terme et à la manière adéquate de suivre ce rythme effréné.

Toujours plus d’entreprises ont conscience de l’importance de l’informatique dans les environnements Cloud pour leurs activités. Les services à faible valeur tels que l’infrastructure de messagerie évoluent de plus en plus vers le Cloud et sont de moins en moins gérés en interne. En effet, la plupart des entreprises ne sont pas contraintes de se soumettre à des obligations de conformité ou de sécurité à ce niveau. Après tout, la plupart des courriers électroniques sont envoyés via Internet sans être chiffrés. Alors à quoi bon héberger ces messages en interne ? Les ressources monopolisées pour ce faire pourraient être utilisées à meilleur escient, par exemple pour réfléchir à la manière dont l’équipe IT pourrait accompagner plus efficacement l’activité de l’entreprise.

Puisqu’un nombre toujours plus important d’applications et de services migrent vers le Cloud, le suivi des actifs peut également passer dans le Cloud. Les terminaux des utilisateurs sont plus mobiles qu’avant et l’environnement dans lequel les collaborateurs souhaitent ou doivent travailler peut changer à tout moment. Une liste précise d’actifs informatiques indiquant l’état de tous les équipements et logiciels autorisés, ainsi que ceux non autorisés à rejoindre le réseau, offre un meilleur point de départ à l’équipe informatique chargée de la sécurité. En parallèle, rechercher en permanence les failles possibles sur l’ensemble des points d’extrémité est désormais indispensable.

Comment évoluent les cibles ?
Contrairement à ce que peuvent prêcher la plupart des fournisseurs de solutions de sécurité informatique, le mobile sera sans doute la principale cible en termes de sécurité en 2016. Bien qu’ils aient aussi leurs problèmes, iOS et Android restent malgré tout mieux protégés contre les malware commerciaux que les traditionnels terminaux informatiques. Les équipements mobiles pourraient être la cible privilégiée d’une surveillance et d’attaques commanditées par un Etat. En effet, ces équipements nous localisent et nous transportons en permanence avec nous un micro et un appareil-photo activables à distance. Quant aux PC et ordinateurs portables, ils sont dans le viseur des éditeurs de malware commerciaux qui y voient un retour sur investissement.

L’informatique traditionnelle, en particulier les systèmes de contrôle industriels et les applications SCADA pour la production, est de plus en plus connectée à Internet. Cela représente un risque important dans la mesure où ces systèmes ont été conçus à une époque où les utilisateurs étaient des collaborateurs fiables et compétents. Connecter ces systèmes de contrôle industriels ou ces applications SCADA à l’Internet public peut les exposer facilement à des attaques externes lancées par des individus malveillants, non autorisés et hors du contrôle de l’entreprise. Des attaques continueront d’être lancées tant que ces vieux systèmes seront simplement « connectés » à Internet.

Comment évoluent les stratégies de prévention ?
Les stratégies évoluent de plus en plus car les traditionnelles approches en matière de sécurité informatique sont moins efficaces et plus problématiques qu’avant. Ces dernières ne sont plus à la hauteur et constituent un échec. Il faut plutôt s’intéresser à l’avenir de l’informatique et à la façon d’intégrer la sécurité partout et par défaut.

Par exemple, les utilisateurs consomment davantage d’applications dans le Cloud qu’auparavant. Les entreprises utilisent des solutions telles que SalesForce pour leurs systèmes CRM et Office 365 pour leur communication. Cette approche réduit le nombre d’applications tributaires du réseau interne et plus les applications et les services seront consommés auprès de fournisseurs opérant dans le Cloud public, plus la surface d’attaque des réseaux internes sera réduite.

Les équipes informatiques vont devoir réfléchir à la manière de concevoir la sécurité dans un monde où les utilisateurs s’appuient uniquement sur leur équipement plutôt que sur le réseau de l’entreprise. Chaque point d’extrémité doit pouvoir être fiable et sécurisé, peu importe où se trouvent les utilisateurs ou la façon dont ils souhaitent travailler.

Les Data Centers face aux risques : des menaces contrôlées

Le Cloud a réussi à convaincre de nombreux adeptes grâce à ses différents atouts : simplicité, adaptabilité, ou encore coûts contrôlés. Pour protéger au mieux les données qui leur sont confiées, les fournisseurs éthiques suivent une règle d’or : prévoir l’imprévisible pour pouvoir assurer la sécurité des données.  

En effet, les data centers – comme toute autre installation – sont confrontés à différents risques et cela peut effrayer les entreprises et les particuliers.  Cependant, les serveurs des centres de données sont souvent bien plus sécurisés que les propres structures informatiques des entreprises. Plusieurs menaces existent, et les fournisseurs de Cloud disposent de spécialistes afin d’analyser et d’anticiper chacun de ses risques.

Le risque physique et le vandalisme
Il s’agit du risque lié à une intrusion physique sur le lieu : vol de matériel contenant des données, incendies criminels, ou encore casse des serveurs. Pour répondre à ce risque, des systèmes de vidéosurveillance mais aussi de détection volumétrique de mouvements au sein du périmètre de sécurité sont mis en place.  De plus, l’entrée du bâtiment est sécurisée par un contrôle d’accès strict avec différents niveaux de droits selon les pièces.  En cas de problèmes, les droits d’accès peuvent être rapidement révoqués et les badges désactivés automatiquement. Le bâtiment est également équipé de portes blindées, de systèmes de détection des chocs sur les portes et les fenêtres. Toute cette installation vise à pouvoir réagir très rapidement en cas de tentative d’effraction, avec une prise en charge rapide par le personnel sur site présent 24h/24 7J/7 et par les forces de l’ordre.

Pour pallier la menace d’incendie, des détecteurs sont mis en place. Les Data Centers sont par ailleurs équipés de système d’extinction automatique par gaz, si un départ de feu est confirmé par 2 détections simultanées, des bouteilles seront percutées instantanément afin de remplir la salle informatique d’un gaz empêchant la réaction chimique de l’incendie et bloquer tout incendie en cours.

Le risque météorologique
Cette catégorie regroupe tous les dangers liés à des conditions climatiques extrêmes: inondation, foudre ou encore canicule. Afin de prévenir d’éventuels sinistres, ce risque est étudié avant même l’implantation du Data Center afin d’éviter la construction en zone inondable. Le bâtiment est également entouré par des paratonnerres, et les armoires électriques équipées de parafoudres pour protéger le lieu en cas de tempête. Les climatisations sont spécifiquement choisies afin de fonctionner même lorsqu’elles sont soumises à de très hautes températures.

Les risques intrinsèques et électriques
Pour la partie électrique, les onduleurs sont présents pour palier une éventuelle micro-coupure ; en cas de problème plus conséquents – comme une panne totale de l’arrivée électrique principale Haute Tension– les Data Centers sont équipés d’un groupe électrogène pouvant assurer leurs autonomies. Des audits annuels sont par ailleurs réalisés pour assurer une sécurité optimale du lieu. Une caméra thermique permet de vérifier qu’il n’y a pas de points chauds pouvant potentiellement créer un départ d’incendie et les câblages sont également vérifiés une fois par an. Enfin, en cas de fuite d’eau, un système automatisé permet de couper l’arrivée d’eau dans la salle informatique.

Le risque numérique
Les menaces numériques regroupent tous les risques liés au piratage informatique.  Pour cela, les serveurs peuvent—être équipés d’un antivirus, d’un firewall, mais aussi d’une solution visant à bloquer les attaques DDoS.  Ainsi, un large spectre de vecteurs d’attaques est contrôlé. Il s’agit là des précautions prises pour un unique Data Center par chaque fournisseur. La mise en place d’un deuxième Data Center, notamment s’il est utilisé pour effectuer des plans de reprises d’activité, exige également quelques bonnes pratiques. Les deux bâtiments ne doivent pas être éloignés de plus de 50 kms l’un de l’autre, dans l’idéal, afin d’avoir un délai de latence faible pour la synchronisation des données. Mais ils ne doivent pas non plus appartenir aux mêmes réseaux électriques, car si une longue coupure intervient, les deux seraient alors potentiellement impactés. (par Aurélien Poret, responsable Infrastructure – Ikoula)

Mises à jour urgentes de janvier 2016

Plusieurs mises à jour obligatoires et urgentes pour de nombreux produits Microsoft, Adobe et Oracle.

MS16-005 est a patcher très rapidement, du moins pour les utilisateurs sous Vista, Windows 7 ou Server 2008. En effet, sur ces systèmes, CVE-2016-0009 déclenche une exécution de code à distance (RCE), de plus cette vulnérabilité a été divulguée publiquement. Sur les systèmes d’exploitation plus récents, Windows 8 et Windows 10, la faille est non applicable ou juste classée importante.

MS16-004 est notre seconde priorité. Ce bulletin résout six vulnérabilités sous Microsoft Office qui permettent aux pirates d’exécuter du code à distance (RCE). Il est classé « critique » par Microsoft, ce qui est inhabituel pour un bulletin Office. La vulnérabilité classée critique CVE-2016-0010 est présente dans toutes les versions d’Office, de 2007 à 2016, même sous Mac et RT.

Viennent ensuite Internet Explorer (MS16-001) et Microsoft Edge (MS16-002). L’un et l’autre sont classés critiques puisqu’un pirate peut contrôler la machine visée en exploitant le navigateur via une page Web malveillante. Les deux bulletins traitent seulement deux vulnérabilités, ce qui est assez inhabituel, du moins pour Internet Explorer, navigateur pour lequel nous avions pris l’habitude de voir traiter plus de 20 vulnérabilités.

MS16-006, le dernier bulletin critique, concerne Silverlight et corrige une vulnérabilité.

MS16-010 est une vulnérabilité côté serveur dans Microsoft Exchange. Il résout quatre vulnérabilités au sein du module OWA d’Exchange qui peuvent provoquer des fuites d’information et l’exécution de script suite à la visualisation d’un e-mail.

MS16-009 a été ignoré par Microsoft. Apparemment, la publication de ce bulletin a été reportée le temps de procéder à des tests supplémentaires.

Adobe et Oracle
Adobe publie également ses mises à jour à l’occasion de ce Patch Tuesday et diffuse APSB16-02 pour Adobe Reader. Cette mise à jour résout des vulnérabilités critiques mais les classe toutes en niveau « 2 » sur l’échelle de l’exploitabilité, c’est-à-dire qu’un patch sera disponible dans les 30 prochains jours. Aucune mise à jour n’est publiée aujourd’hui pour son composant logiciel le plus attaqué, le lecteur Flash. Ou disons plutôt que sa mise à jour de janvier 2016 a été publiée en avance, fin décembre 2015. Intéressez-vous en urgence à APSB16-01 si ce n’est pas encore fait. L’une des vulnérabilités étant attaquée en aveugle, Adobe a été contraint de publier cette mise à jour avant la date prévue.

Quant à Oracle, l’éditeur prévoit de publier ce mois-ci sa mise à jour trimestrielle, en l’occurrence mardi 19 janvier. Restez à l’affût de la nouvelle version de Java, MySQL et de sa base de données d’entreprise. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities).

Sécurité en ligne : la méfiance des Français est-elle mère de sûreté ?

La cybercriminalité se développe aussi vite que les technologies et il n’est pas surprenant que cela rende les consommateurs méfiants lorsqu’on leur demande de saisir des données personnelles en ligne. C’est le cas pour 63% des Français selon une étude récente Dashlane menée par Opinionway. Il est plus étonnant de constater le décalage avec les Américains, qui, s’ils ne sont pas moins touchés par les piratages, sont beaucoup moins méfiants lorsqu’ils doivent saisir des informations personnelles sur internet (seulement 35%).

L’explication est bien sûr en partie culturelle. La France est un pays où, depuis Descartes, on considère que l’intelligence s’illustre par la capacité à douter. En face d’un phénomène nouveau, les consommateurs doutent donc tant qu’ils ne disposent pas des garanties permettant de lever leurs interrogations. Aux Etats-Unis, l’optimisme est une valeur. C’est lui qui permet la « poursuite du bonheur » inscrite dans la déclaration d’indépendance, et la foi en un futur meilleur, « l’American Dream ». Si la sécurité en ligne était un verre d’eau, ou de Coca Cola, les Américains auraient ainsi tendance le voir à moitié plein. Les dangers du web ne sont pas pour eux une raison de ne pas profiter des formidables innovations qu’il apporte. On n’aurait en effet pas conquis l’ouest américain si l’on s’était focalisé sur les risques. Pour les Français, le verre est souvent à moitié vide. Ils sont plus réticent à adopter un service qui risque de perturber leur quotidien, de remettre en cause leur statut…

Pour rassurer les consommateurs, les éléments à leur fournir sont également différents. Selon la même étude, c’est d’abord la réputation de la marque qui met en confiance les Américains (47%), alors que les Français sont 68% à citer le petit cadenas vert, symbole d’une connexion sécurisée, comme facteur de confiance numéro 1. Là encore, le scepticisme des Français les conduit à chercher des preuves concrètes de sécurité plutôt que de faire confiance a priori aux marques.

On serait tenté de donner raison aux Français, tant sont nombreuses les grandes marques qui connaissent des failles de sécurité sur leur site web. En s’intéressant d’abord à un élément factuel de sécurité, la connexion https et son symbole, le petit cadenas vert, les Français ne seraient-ils pas des précurseurs ? Quand ils naviguent sur le web, souris en main, ils souhaitent des signaux clairs pour les rassurer ou leur indiquer les dangers, comme lorsqu’ils sont au volant de leur voiture. Le cadenas https est pour eux la même chose qu’un panneau route prioritaire qui leur dit « C’est bon vous pouvez rouler à 90. ».

La conduite sur route est aujourd’hui énormément guidée par la signalisation (panneaux, lignes, ralentisseurs etc….) au point qu’on y prête à peine attention. Grâce aux efforts de standardisation, on s’y retrouve même lorsqu’on circule loin de chez soi à l’étranger. Mais qu’en est-il du web ? N’est-il pas nécessaire de définir, au-delà du chiffrement de la connexion (https) d’autres standards de sécurité, ou de confidentialité, qui pourraient être vérifiés par des tiers indépendants et illustrés par une signalisation uniforme ?

Au cours des deux dernières décennies, on a vu se développer les « autoroutes de l’information ». Nous sommes bien sur la « route du futur » que Bill Gates annonçait par son livre en 1997. Nous avons juste oublié de tracer les lignes blanches et de poser les panneaux. (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane)

Quelles sont les nouvelles missions de la DSI à l’ère du cloud ?

Ce n’est plus une surprise aujourd’hui que le recours au cloud représente une transformation importante et stratégique pour les entreprises et va parfois de pair avec certaines inquiétudes concernant la place de la DSI. Les questions qui découlent de cette stratégie technologiques sont nombreuses : la DSI a-t-elle encore un rôle à jouer à l’ère du cloud ? Ce rôle doit-il évoluer et si oui, dans quelle(s) direction(s) ?

Dans de nombreuses entreprises, la DSI cherche avant tout à créer un socle informatique commun à l’ensemble des salariés : ce dernier doit être stable, afin d’éviter les interruptions de l’activité et permettre à chacun d’acquérir une excellente maîtrise des outils ; il doit aussi être sécurisé, afin de garantir une confidentialité optimale des données. De ces impératifs résultent des cycles informatiques longs, pouvant durer entre 3 et 5 ans avant que l’on n’envisage de changements significatifs des outils utilisés. Aujourd’hui, ce cycle long montre ses limites face à une économie toujours plus réactive où le time-to-market se réduit et où l’on recherche une plus grande agilité. Les entreprises doivent souvent faire preuve de rapidité pour répondre aux besoins du marché, une rapidité à laquelle leur infrastructure n’est pas toujours adaptée.

La DSI est donc confrontée à un paradoxe : d’un côté, offrir à l’entreprise de la stabilité afin qu’elle gagne en productivité et en sécurité ; de l’autre, s’adapter à de nouveaux usages dans un contexte où tout concorde pour que l’environnement soit instable. Un paradoxe d’autant plus présent dans les secteurs où les entreprises traditionnelles sont concurrencées par des start-up très agiles.

Mais alors, quelles craintes font naître ces évolutions ?
Tout d’abord il y a le « shadow IT ». La DSI y est confrontée de manière quasi récurrente : les salariés souhaitent décider eux-mêmes des outils les plus appropriés pour accomplir leurs missions ; il leur arrive ainsi d’en adopter certains sans l’aval des services informatiques, créant alors une véritable «informatique de l’ombre». Par conséquent, la DSI hérite souvent de la maintenance de ces dispositifs qu’elle n’a pas choisis et de la gestion des problèmes de compatibilité.

Puis vient la perte d’influence. Pendant longtemps, seule la DSI a eu le pouvoir sur les outils utilisés dans l’entreprise lui permettant de s’opposer à l’utilisation d’un logiciel si elle estimait qu’il ne répondait pas aux critères établis. Aujourd’hui, comme l’illustre la présence du shadow IT, les entreprises sont beaucoup plus ouvertes sur l’extérieur. Les directions métier, par exemple, ont accès à un large panel d’applications web qu’elles peuvent mettre en place en quelques clics. Le processus de décision est donc souvent plus rapide que la chronologie traditionnelle (évaluation des ressources techniques et budgétaires nécessaires, étude des risques, prise de décision, planification, déploiement) qui exigeait souvent plusieurs semaines voire plusieurs mois. En conséquence, la DSI peut craindre une certaine perte d’influence.

Enfin, reste l’automatisation. La plupart du temps, les logiciels basés sur le cloud hébergent les données au sein d’un datacenter extérieur à l’entreprise, dont la gestion est donc assurée par des tiers. De même, ces logiciels permettent souvent d’automatiser ou de simplifier des tâches autrefois placées sous le contrôle de la DSI : l’allocation des ressources, la configuration de chaque poste, le déploiement de nouvelles applications, etc. Ainsi, bien souvent, la DSI n’est plus la seule à impulser des décisions quant aux choix technologiques de l’entreprise. Les directions métier s’invitent aussi dans le débat, suggérant l’adoption de nouveaux outils. C’est sur ce type de projet que la DSI est la plus susceptible de ressentir une perte d’influence. Le risque est moindre lorsque les projets concernent l’entreprise dans son ensemble car la DSI conserve alors son pouvoir de prescription et de décision.

DSI, métiers, vers un juste équilibre ?
La situation actuelle entre DSI et directions métier n’est pas si préoccupante que l’on pourrait le croire. En effet, une étude menée par Verizon a démontré que seules 16% des entreprises étaient prêtes à investir dans le cloud sans l’aval de la DSI. A l’inverse, pour 43% d’entre elles, ce type de décision implique toujours une validation préalable de la DSI tandis que 39% prennent une décision collégiale associant directions métier et DSI. Le fait d’associer la DSI aux décisions ne se résume pas à valider la sécurité des choix technologiques, au contraire. La DSI permet, pour plus de la moitié des entreprises interrogées, d’optimiser les coûts et de réduire la complexité du processus. En réalité, il ne s’agit pas de créer un clivage entre DSI et directions métier mais de les réunir autour d’un objectif qui les rapproche : assurer la croissance de l’entreprise. Cela passe souvent par la mise en place de nouveaux business models permettant de développer le portefeuille clients ou de fidéliser les clients existants. Dans la poursuite de cet objectif, le cloud apporte une agilité accrue.

Le fait de solliciter l’IT offre à toute entreprise des bénéfices qui restent indéniables :
La DSI se porte garante du bon fonctionnement du système – Si le téléchargement d’un logiciel classique peut se faire à l’insu de l’IT, le cloud implique nécessairement de se pencher sur des questions comme la sécurité, la bande passante, l’interopérabilité. Sur ces sujets pointus, seule la DSI est en mesure d’intervenir afin de mettre en place de nouvelles fonctionnalités tout en préservant la cohérence du système d’information. Elle a en effet la maîtrise des questions de gouvernance : proposer de nouveaux produits et services, améliorer les processus et la fluidité des échanges…

La DSI peut apporter un accompagnement – Tout changement fait naître des inquiétudes et de manière générale, les utilisateurs n’acceptent un nouveau système que lorsque celui-ci apporte une amélioration significative de leurs conditions de travail. A l’inverse, si ce système se révèle plus complexe que le précédent, on accroît le risque de shadow IT. Il est donc primordial de faire coopérer la DSI et les métiers.

La DSI a un réel pouvoir de prescription – elle n’a pas pour seule mission de répondre à des besoins exprimés par les directions métier. Elle cherche aussi à les anticiper. Sa position la place à l’écoute des évolutions technologiques, elle est aussi gardienne de la mémoire des systèmes d’information de l’entreprise et peut donc impulser des innovations pour que l’entreprise gagne en modernité et en efficacité.

En conclusion, il ressort de ces constats que la DSI, loin d’être menacée par le développement du cloud, peut au contraire tirer profit de sa maîtrise technologique pour accompagner les directions métier et leur proposer des solutions à forte valeur ajoutée. Elle retrouve ainsi toute sa place dans la stratégie de l’entreprise. (Par Philippe Motet – Directeur Technique chez Oodrive)

Sécurité du Cloud : quelles tendances en 2016 ?

Ravij Gupta, Co-fondateur et PDG de Skyhigh Networks, éditeur de solutions de sécurité des données dans les applications Cloud (« Cloud Access Security Broker » – CASB), fait le point sur les dernières tendances autour du Cloud et formules ses prédictions pour 2016.

  1. Les entreprises vont commencer à réduire leur retard sur la sécurité du Cloud. De plus en plus d’entreprises ont pris le virage du Cloud, mais souvent au détriment de la sécurité. Il y a un écart entre le niveau actuel des budgets de sécurité du cloud et celui où il devrait être par rapport à l’ensemble des dépenses de sécurité. Selon le Gartner, les entreprises ne consacrent que 3,8 % de leurs dépenses cloud à la sécurité, alors que cela représente 11 % pour les budgets informatiques en général. En 2016, les budgets alloués à la sécurité du Cloud dépasseront ceux des dépenses générales de sécurité informatique afin que les entreprises rattrapent leur retard.

  1. Les tarifs ​​des assurances pour la sécurité informatique vont doubler. En 2015 les compagnies d’assurance ont pris en charge des coûts massifs liés aux cyberattaques. En réponse, les taux et les primes vont augmenter. Les entreprises rechigneront et paieront à contrecœur et certaines auront même besoin de souscrire des contrats à des conditions défavorables afin d’obtenir une couverture : Anthem a dû s’engager à débourser 25 millions de dollars sur des coûts futurs afin de bénéficier de 100 millions de dollars de couverture. De nombreux assureurs limiteront leur couverture maximum à 75 ou 100 millions de dollars – bien en dessous du coût d’un piratage majeur, qui peut atteindre un quart de milliard de dollars.

 

  1. OneDrive deviendra l’application de partage de fichiers Cloud la plus populaire. Actuellement à la quatrième place en terme de volume de données téléchargées, OneDrive va faire un bond au niveau du classement du fait que les entreprises évoluent vers le Cloud avec Office 365. Les entreprises ont déjà montré la confiance qu’elles accordaient à ​​la plate-forme Cloud de Microsoft comme système d’enregistrement pour leurs informations sensibles. Elles y ont ainsi téléchargé près de 1,37 To par mois dont 17,4 % de fichiers contenant des données sensibles. Et il y a encore un énorme potentiel de croissance : 87,3 % des organisations ont au moins 100 employés utilisant Office 365, mais 93,2 % des employés utilisent encore les solutions Microsoft sur site. Microsoft a investi plus d’un milliard de dollars dans la sécurité, et a récemment publié une nouvelle API Office 365 destinée aux partenaires afin de leur permettre de surveiller et de sécuriser les contenus sensibles. Satya Nadella prend la sécurité du Cloud très sérieux et les entreprises qui étaient auparavant hésitantes migreront vers les offres de cloud de Microsoft.

  1. Les régulateurs européens vont ressusciter Safe Harbor. Les entreprises mondiales ont accordé une attention particulière lorsque la Cour de Justice de l’Union Européenne a annulé l’accord de transfert de données connu sous le terme Safe Harbor. Ce dernier permettait aux entreprises de stocker les données des Européens chez les fournisseurs de cloud américains. La décision de la CJUE a renforcer l’intérêt pour un point clé : les entreprises doivent se méfier des données sensibles non chiffrées transitant par les services de Cloud, en particulier ceux situés dans des pays ayant des politiques de confidentialité des enregistrements douteuses. Toutes les données ne sont pas sensibles, cependant, la disparition de Safe Harbor va imposer des restrictions inutiles et irréalistes aux activités Cloud. Les régulateurs feront des compromis pour faciliter l’accès mondial aux données.

 

  1. La majorité des incidents de sécurité Cloud viendront de l’interne chez les fournisseurs de services. Les fournisseurs de services Cloud ont tellement amélioré la sécurité que les failles seront de plus en plus rares. Cela aura pour conséquence de positionner les employés de l’entreprise comme le maillon faible. 90 % des entreprises font face à au moins une menace Cloud interne par mois. Que ce soit malveillant ou involontaire, les propres employés de l’entreprise représenteront la plus grande menace pour la sécurité du Cloud.

Que la sécurité du cloud soit avec vous : les conseils pour se protéger du côté obscur

Pour les entreprises, le cloud représente la puissance, la flexibilité, l’évolutivité et le contrôle. Cette énorme puissance de calcul est le fruit d’une infrastructure informatique interconnectée et mondiale. Elle englobe aussi bien les entreprises et que les individus, et leur donne plus de liberté. C’est un facteur de cohésion pour l’économie mondiale. De la même façon, la Force donne au Jedi sa puissance et lui permet d’accomplir de véritables exploits et de renforcer ses capacités. Il s’agit d’un champ d’énergie créé par tous les êtres vivants. Elle nous enveloppe et unit la galaxie tout entière.

Bien que la Force puisse être utilisée pour faire le bien, elle possède un côté obscur qui imprègne son utilisateur de malveillance et d’agressivité. On peut dire la même chose du cloud, qui offre de nombreux avantages, mais doit être sécurisé afin que sa puissance soit correctement utilisée. Quels sont les certifications et protocoles de sécurité des services cloud ? Où sont stockées les données des entreprises ? Comment sont-elles protégées ? Qui peut y accéder ? Combien de temps le fournisseur de service cloud conserve-t-il des copies des données ?

Trois méthodes afin de se protéger du côté obscur
La Force du mal : lorsqu’un ver, virus ou botnet communique avec son centre de commande et de contrôle afin d’envoyer des données dérobées à un ordinateur « maître », les criminels brouillent les communications. Les logiciels malveillants utilisent également le chiffrement afin de masquer les informations qu’ils transmettent à des serveurs cloud par le biais du réseau, y compris des mots de passe ou des données sensibles telles que des coordonnées bancaires volées. En effet, selon CGI Security1, il est plus facile de lancer une attaque contre une organisation par le biais d’applications chiffrant leurs communications. Ainsi, une tentative de phishing peut passer inaperçue, car le système de prévention des intrusions en place est incapable d’examiner le trafic SSL et d’identifier le malware, et parce que les pare-feu de l’entreprise n’alertent personne de la nécessiter de bloquer ces paquets. Les malwares tels que Zeus sont célèbres en raison de leur utilisation du chiffrement ainsi que d’autres astuces afin de rendre leurs communications avec leurs centres de commande et de contrôle (C&C) indétectables des équipements de sécurité.

Que faire : s’assurer de disposer d’une visibilité sur le trafic cloud chiffré par SSL. Il faut pour cela utiliser des outils dédiés mettant en œuvre des portails sécurisés et d’autres systèmes avancés de protection des réseaux en périphérie afin d’inspecter le trafic une fois celui-ci déchiffré.

La Force du mal : les criminels cherchent des failles en périphérie du cloud, comme des interfaces et des API non sécurisées. En effet, les administrateurs informatiques utilisent des interfaces pour le provisionnement, la gestion, l’orchestration et la supervision du cloud. En outre, les API sont essentielles à la sécurité et à la disponibilité des services cloud génériques. Des rapports publiés par la Cloud Security Alliance2 révèlent que plus des organisations et des tiers s’appuient sur ces interfaces pour créer des services supplémentaires, plus la complexité augmente, car les organisations peuvent être contraintes de soumettre leurs identifiants à des tiers afin de pouvoir utiliser leurs systèmes cloud. Cette complexité peut ouvrir des boulevards permettant le piratage de ces identifiants qui sont alors susceptibles d’être utilisés pour accéder à des données au sein de systèmes cloud

Que faire : chiffrer ou « tokeniser » les données avant qu’elles n’atteignent les systèmes cloud. Ainsi, si le côté obscur parvenait à infiltrer ces derniers, il n’y trouverait que des valeurs de remplacement inexploitables

La Force du mal : le côté obscur peut parfois pousser les utilisateurs à oublier les règles d’entreprise indiquant que les données réglementées et sensibles (comme celles de santé ou relatives à des cartes de paiement) ne peuvent pas être stockées dans des environnements de cloud public, ou que certains utilisateurs ne peuvent pas accéder à des systèmes cloud sensibles depuis certains emplacements.

Que faire : contrôler le Shadow IT et le Shadow Data (informatique fantôme). Déterminer quels services cloud sont utilisés, leurs risques relatifs, et quels types de données y sont envoyées. En partant de ces informations, utiliser des technologies telles que des courtiers d’accès sécurisé au cloud afin de superviser le comportement des utilisateurs et de repérer la moindre activité anormale. Prendre également des mesures en amont, telles que le chiffrement des données sensibles, afin d’assurer une utilisation sécurisée du cloud et de garantir longue vie et prospérité à votre entreprise (oups, ça c’est le slogan d’une autre franchise cinématographique).

Quelques mesures spécifiques :
Restreindre l’accès des employés à la variété de nouvelles applications cloud qui sont apparues au cours des 5 dernières années.  Tirer parti des flux d’informations sur le cloud : celles-ci peuvent permettre à votre organisation de comprendre les risques relatifs liés à l’utilisation de certaines applications cloud.

Définir des politiques afin d’empêcher certains types de données de quitter votre organisation grâce à des solutions de prévention contre la perte de données (DLP). Celles-ci effectuent des analyses en continu à la recherche de données de patientes, de cartes de crédit et des numéros de sécurité sociale.

Inspecter le contenu issu des applications cloud et allant vers l’entreprise ; effectuez des analyses de contenu approfondies afin d’empêcher les malwares et autres menaces complexes de pénétrer vos organisations.

Les entreprises peuvent et doivent bien connaître les menaces (internes comme externes) pesant sur leurs infrastructures et données cloud. Elles doivent également se servir des conseils susmentionnés comme d’un guide afin de faire face à ces menaces en adoptant les approches et technologies de sécurité informatique les plus efficaces qui soient. Seule une gestion proactive et sage des risques du cloud permettra de profiter de sa puissance sur les plans organisationnel et technologique.

Prendre en compte la sécurité dans le développement des smart cities : nouvel enjeu pour les gouvernements

Alors que le concept de smart cities (villes intelligentes) devient de plus en plus une réalité les problématiques concernant leur sécurité le deviennent également. Que peut-on faire pour s’assurer que les pratiques de sécurité mises en place soient adaptées à cette réalité ? Par Ismet Geri, vice-président Europe du Sud chez ForgeRock.

Le concept de smart city n’est plus une idée futuriste et lointaine. Il s’agit d’une véritable initiative que les gouvernements du monde entier adoptent. Toutefois, alors que l’Internet des Objets (IdO) continue à stimuler le développement des smart cities, il accroît également la nécessité de faire face aux problèmes liés à la sécurité qui vont de pair avec elles.

Au début du lancement de la première vague d’implémentations de l’Internet des Objets, il y a quelques années, la communication et la connectivité étaient naturellement les objectifs principaux. Le fait de se connecter au réseau de « simples » objets tels que les téléviseurs, les ampoules et les thermostats représentait une importante avancée technique. Ces nouveaux « objets » connectés donnaient de tels résultats que les aspects concernant la gestion des accès et de l’identité étaient souvent négligés.  Alors que les communications de l’IdO gagnent en maturité et en stabilité, nous comprenons maintenant mieux les vulnérabilités et les risques potentiels relatifs à la perte de données.

L’impressionnante quantité d’appareils de l’Internet des Objets offre un important vecteur d’attaque à des personnes malveillantes. À l’échelle d’une ville dans laquelle des milliers d’appareils communiquent simultanément à la fois avec des utilisateurs et entre eux, les implications en matière de sécurité sont importantes. Les villes intelligentes représentent la cible idéale pour les pirates informatiques souhaitant créer des réseaux de style botnet constitués d’appareils compromis et s’en servir afin d’exécuter des tâches différentes de celles pour lesquels ils étaient destinés à l’origine.

Par exemple, imaginez qu’un pirate informatique puisse compromettre le système gérant le flux de trafic d’une ville et qu’il fasse passer au rouge tous les feux de signalisation du centre-ville aux heures de pointe. Associez cela à des interférences sur les stations de radio locales : il ne serait alors plus possible d’avertir les citoyens. Alors que les automobilistes emprunteraient leur chemin habituel pour se rendre au travail sans se douter des problèmes, la ville entière risquerait de se retrouver embouteillée en l’espace de quelques minutes. Non seulement cet incident coûterait de l’argent à la ville du point de vue de la productivité, mais les services d’urgence ne pourraient également pas intervenir rapidement, ce qui pourrait potentiellement coûter des vies.

Comment peut-on réduire les menaces ?
Pour empêcher les menaces de cette nature, il faut en premier lieu comprendre d’où elles proviennent. La meilleure manière d’y parvenir consiste à s’assurer que chaque appareil connecté dans l’infrastructure de la ville intelligente, qu’il s’agisse d’une voiture, d’un réverbère ou d’un détecteur de tremblements de terre, dispose d’une identité validée et est correctement relié au réseau. En effet, si un appareil est identifiable, il est bien plus facile de confirmer que les données qu’il génère sont authentiques et qu’il est possible de leur faire confiance. En outre, cela signifie surtout que si l’appareil tente d’exécuter une action sans en avoir l’autorisation, il peut être identifié et son action peut être empêchée.

Des efforts axés sur une gestion des risques efficace
Il est irréaliste d’attendre d’un réseau qu’il soit entièrement exempt de comportements malveillants. Même si les meilleures mesures en matière de sécurité sont prises, quelqu’un/quelque chose finira par s’y introduire étant donné le grand nombre de vecteurs d’attaques et de menaces qui existent. À ce titre, une gestion des risques efficace est l’élément clé pour évaluer les menaces et y réagir dans n’importe quelle smart city.  Des contrôles et, de manière plus importante encore, des plans de restauration doivent également être mis en place non seulement pour réduire l’étendue du risque, mais aussi pour réagir activement une fois un problème décelé.

L’infrastructure publique représentera toujours une cible particulièrement attractive pour les criminels et les terroristes. Par conséquent, il est essentiel de prendre des mesures efficaces à cette échelle afin de sécuriser les smart cities. Tout programme visant à sécuriser les smart cities doit être vérifié régulièrement afin de garantir que les dernières innovations y soient intégrées et qu’il soit toujours conforme. En association avec la gestion de l’identité et une connaissance solide des vecteurs de menaces, ces mesures devraient suffire à protéger des smart cities qui ne cessent d’évoluer.

L’employés, le vilain petit canard de la données sensibles

Selon une étude réalisée par Kaspersky Lab et B2B International en 2015, 73 % des entreprises auraient été touchées par des incidents internes de sécurité informatique. La principale cause de fuites de données confidentielles reste les employés (42 %).

À mesure que l’infrastructure informatique d’une entreprise s’étend, il en va de même pour le paysage des menaces : à nouveaux composants, nouvelles vulnérabilités. La situation est aggravée par le fait que les employés – en particulier ceux ne possédant pas de connaissances spécialisées – ne sont pas tous en mesure de suivre les évolutions rapides de l’environnement informatique. C’est ce que confirme une récente enquête, révélant que 21 % des entreprises touchées par des menaces internes ont perdu de précieuses données, avec à la clé des conséquences sur leur activité. Il est utile de préciser que l’étude recense les cas de fuites accidentelles (28 %) et intentionnelles (14 %).

Les incidents internes, pas toujours des accidents
En dehors des fuites de données, les menaces internes concernent principalement la perte ou le vol des équipements mobiles des employés. 19 % des responsables interrogés reconnaissent égarer au moins une fois par an un mobile contenant certaines données de leur entreprise. Un autre facteur important concerne les fraudes au sein du personnel. 15 % des participants à l’enquête se sont retrouvés face à des situations où certaines ressources de leur société, notamment financières, ont été utilisées par des employés à des fins personnelles. Si ce pourcentage paraît faible, les pertes causées par ces incidents sont supérieures aux dommages résultant des fuites de données confidentielles dans les grandes entreprises. Les PME perdent jusqu’à 40 000$ euros en moyenne en raison d’activités frauduleuses de leurs employés, tandis que ce chiffre dépasse 1,3 million de dollars pour les grandes entreprises.

« Une solution de sécurité à elle seule ne suffit pas pour protéger les données d’une entreprise. Et c’est ce que confirment les résultats de cette étude », commente à DataSecurityBreach.fr Konstantin Voronkov, responsable des produits pour les postes de travail chez Kaspersky Lab. « Les entreprises ont besoin d’une approche intégrée à plusieurs niveaux, s’appuyant sur une veille de sécurité et d’autres mesures complémentaires. Ces mesures peuvent comprendre l’utilisation de solutions spécialisées et l’instauration de règles de sécurité, portant par exemple sur une restriction des droits d’accès. »

Etude menée auprès de 5500 spécialistes dans plus de 25 pays à travers le monde.