Archives de catégorie : BYOD

Sortir du brouillard : l’IAM depuis le Cloud (partie 2)

Dans son article précédent, Kevin Cunningham de chez SailPOint a présenté la façon dont l’IAM peut aider à gérer les applications SaaS et les applications sur site (partie 1). Il est également important de comprendre comment les solutions IAM elles-mêmes peuvent être mises en œuvre « as-a-service ». L’adoption croissante des applications Cloud a ouvert la voie à l’IAM-as-a-service (IDaaS), une nouvelle approche capable d’accroitre l’agilité de l’entreprise, de générer plus rapidement de la valeur, tout en réduisant les coûts d’exploitation. Lire la partie 1/2

Le fait est que l’IAM a pris du retard par rapport à d’autres développements logiciels en mode SaaS en raison des problématiques liées à la sécurité et à la complexité de la gestion des applications sur site depuis le Cloud. Les entreprises ont ainsi besoin de peser les avantages et les inconvénients des deux modèles : « sur site » et « IDaaS », mais avec la disponibilité des solutions IDaaS qui répondent aux problématiques de sécurité, de disponibilité, d’évolutivité et de performance des entreprises qui souhaitent franchement aller dans le Cloud, ces dernières ont désormais une solution viable.

Est-ce que l’IDaaS est fait pour votre entreprise ?
Où est-ce que votre entreprise se place dans le spectre de l’IDaaS ? Pour vous aider à savoir si votre entreprise est prête pour l’IDaaS, voici 3 points clés pour évaluer vos besoins :

1) Est-ce que l’utilisation des technologies SaaS/Cloud est généralisée dans l’entreprise ?
Il s’agit de savoir si votre entreprise utilise le SaaS/Cloud et ce qu’elle en fait et si tel est le cas, de savoir si cela est une alternative efficace comparée aux applications sur site. Si la réponse est oui, alors l’IDaaS pourrait être une bonne option. Il y a toutefois des entreprises où cela n’est pas le cas, en particulier dans les secteurs fortement réglementés. Par contre, si l’entreprise observe une position prudente envers le SaaS ou les environnements système stratégiques, alors l’IDaaS n’est probablement pas le bon choix. Sachant que l’IAM est un élément clé de l’infrastructure critique, ce n’est probablement pas le bon moment d’opter pour le SaaS.

2) Est-ce que réduire les coûts de déploiement et de maintenance est plus important que la capacité à adopter une solution pour répondre à vos processus métier ?
De nombreuses entreprises disposent d’infrastructures et d’applications métier complexes, et leur préférence va pour une solution IAM adaptée et déployée sur site car elles peuvent configurer la solution qui correspond au mieux à leur processus de management des identités existants. Et tandis que l’IDaaS fournit des options de configuration, il ne dispose pas du niveau de complexité et de personnalisation, propre aux projets IAM. Il s’agit alors d’examiner si le compromis est la bonne solution – la simplicité de déploiement et un coût total de possession réduit dans la durée – ou une solution adaptée à vos besoins métier spécifiques. Si vous êtes prêts à faire l’impasse sur les processus d’identité existants pour vous conformer à une approche plus standardisée, alors l’IDaaS est peut être fait pour votre entreprise.

3) Est-ce que le mode SaaS devient un standard dans votre entreprise ?
Il a été prouvé que les applications SaaS offrent de nombreux avantages pour les cadres dirigeants, y compris le fait de générer plus rapidement de la valeur, une facilité d’utilisation, et une réduction des coûts d’exploitation et de maintenance. Grâce à ces nombreux avantages, nous commençons à voir des équipes IT chargées d’étudier la version SaaS chaque fois qu’elles évaluent et acquièrent un nouveau logiciel. Si c’est le cas avec l’IAM, assurez-vous d’évaluer de véritables offres SaaS qui fournissent la solution de bout-en-bout dont votre entreprise a besoin ; car bon nombre des solutions disponibles sont tout simplement une version hébergée d’une solution IAM sur site, qui ne fournit pas les avantages promis par le SaaS.

L’IAM joue un rôle essentiel dans les problématiques de sécurité et de conformité dans le Cloud en fournissant une approche centralisée et globale de la gestion des accès à toutes les applications de l’entreprise. Peu importe que vous déployiez une solution sur site ou as-a-service, l’IAM peut vous aider à vous assurer que votre entreprise dispose des bons contrôles en place, pour, en définitive, protéger les actifs et gérer les risques de l’entreprise.

Sortir du brouillard : l’IAM pour le Cloud – (Partie 1)

L’adoption croissante du Cloud Computing a des impacts significatifs au sein des départements informatiques des entreprises, et il change plus particulièrement la façon dont les entreprises devraient prêter attention à l’IAM (Identity Access Management – Gestion des identités et des accès). Les entreprises doivent en effet comprendre que l’évolution vers le cloud affecte leurs stratégies IAM sur deux éléments clés : quelles nouvelles ressources Cloud doivent être prises en compte et quelles options existent pour acquérir et déployer une solution de gestion des identités ?

Tout d’abord, le Cloud entraine de nouveaux défis en matière de management car les entreprises doivent désormais étendre la portée de leur stratégie IAM pour gérer l’accès des utilisateurs aux applications dans le Cloud, en plus de leurs applications sur site. Ensuite, l’utilisation croissante d’outils de gestion en mode SaaS pour des métiers comme les ressources humaines et les services informatiques a ouvert la voie à la mise en œuvre d’une nouvelle approche de collaboration appelée IDaaS (IDentity as a Service), capable d’accroitre l’agilité de l’entreprise, de générer plus rapidement de la valeur, tout en réduisant les coûts d’exploitation.

Ces deux défis sont critiques pour l’évolution des stratégies informatiques des entreprises, entrainant deux scénarios possibles : la gestion du SaaS dans le cadre de la mise en œuvre de l’IAM (évoquée dans cette première partie), puis la mise en œuvre de l’IAM-as-a-Service (dans une seconde partie).

Gérer le SaaS comme un élément de votre implémentation IAM
Si l’on regarde les tendances actuelles en matière d’adoption du Cloud, il est évident que, à l’avenir, la grande majorité des nouvelles applications acquises par les entreprises fonctionneront en mode SaaS. D’ores et déjà, les départements métiers de l’entreprise se procurent des applications SaaS sans impliquer le département informatique – même pour les applications critiques et potentiellement risquées. Cela résulte principalement de la facilité avec laquelle ces départements peuvent adopter des services, les obtenir et les mettre en œuvre rapidement, et les utiliser – le tout, sans avoir à impliquer le service informatique d’un point de vue technologique.

Le manque d’implication du département informatique dans l’acquisition et le déploiement d’applications Cloud constitue un vrai problème pour l’entreprise en matière de gestion de risques de sécurité et de conformité. Le défaut de contrôle d’accès aux applications et aux données sensibles peut ainsi laisser l’entreprise aux prises avec des risques de fraude, de vol de données, et d’atteinte à la vie privée, y compris des conclusions d’audit négatives. Chaque jour, il est impératif que quelqu’un dans l’entreprise puisse gérer et contrôler qui a accès à ces applications critiques, où qu’elles se trouvent. C’est à cet instant que l’IAM pour le Cloud entre en jeu.

Une bonne solution IAM aide les entreprises à gérer la nouvelle réalité d’un environnement IT « hybride », constitué à la fois d’applications sur site et en mode SaaS. Plutôt que de mettre en œuvre des outils IAM de niche pour gérer les applications SaaS dans un silo séparé, il est préférable d’adopter une approche holistique qui gère à la fois l’informatique sur site et dans les environnements Cloud. Cette approche offre à la fois une visibilité et un contrôle à l’échelle des entreprises et leur permet d’étendre leurs processus IAM métiers existants, comme l’autorisation d’un accès à de nouveaux utilisateurs ou la suppression de l’accès pour les employés ayant quitté l’entreprise, pour gérer les applications Cloud. (Par Kevin Cunningham pour DataSecurityBreach.fr)

La suite Partie 2/2.

La difficulté croissante des directions informatiques à protéger leur entreprise

90% (81% en France) des DSI et Directeurs Informatiques estiment que la protection de leurs entreprises est une mission de plus en plus difficile, selon une nouvelle étude de Fortinet.

La forte pression émanant des directions générales pour sécuriser leur entreprise a augmenté au cours des 12 derniers mois (de près d’un tiers pour le panel mondial et de 11% en France), faisant de la sécurité une priorité et une préoccupation clé sur les autres projets de l’entreprise. Cet état des lieux résulte d’une enquête indépendante commanditée par Fortinet sur plus de 1600 décideurs informatiques, en grande partie d’entreprises de plus de 500 collaborateurs. Toutes les personnes interrogées provenaient du panel en ligne de l’entreprise d’étude de marché Lightspeed GMI.

Parmi les décideurs IT qui subissent la pression la plus élevée de la part de leur direction, 63% (52% en France) déclarent avoir abandonné ou retardé au moins un nouveau projet métier en raison des préoccupations liées à la sécurité informatique.

Les plus grands défis rencontrés par les décideurs IT pour garder leurs entreprises sécurisées sont les menaces toujours plus complexes et fréquentes (citées par 88% du panel mondial) et les nouveaux besoins liés aux technologies émergentes de type Internet des Objets et biométrie (88% du panel mondial). En France, les menaces toujours plus complexes et fréquentes (85%) et les besoins liés au BYOD et à la mobilité des salariés (82%) sont les plus grands défis rencontrés par les décideurs IT français.

La majorité des décideurs IT a été incitée à prendre des mesures pour assurer la confidentialité des données (90% au niveau mondial et français) et sécuriser le Big Data (89% du panel mondial et 88% en France). Dans la majorité des cas, ces initiatives ont abouti à de nouveaux investissements en sécurité au niveau mondial tandis qu’en France, cela conduit à repenser la stratégie de sécurité de l’entreprise.

Les directions générales donnent la priorité à la sécurité
La prise de conscience qui s’opère au niveau des directions générales vis-à-vis de la sécurité informatique – et les pressions et implications qui en découlent – est citée comme important vecteur de complexité dans le travail des décideurs IT. Les trois-quarts des personnes interrogées (77% en France) évaluent la prise de conscience de leurs dirigeants comme “élevée” ou “très élevée”, contre seulement 50% (51% en France) il y a un an.

L’enquête révèle également que 53% (45% en France) des décideurs IT interrogés déclarent avoir ralenti ou abandonné un projet de nouvelle application, de nouveau service ou autre, par crainte de cyber-menaces. Ce chiffre monte à 63% (52% en France) pour ceux qui déclarent subir une très forte pression de leur direction générale en matière de sécurité IT.

Les applications et stratégies de mobilité sont les initiatives qui sont estimées comme les plus problématiques, suivies par celles liées au cloud au niveau mondial et en France.

Les préoccupations en matière de sécurité s’intensifient avec les technologies émergentes
Pour 88% du panel mondial, la mission des décideurs IT devient plus difficile du fait de la complexité et la recrudescence des menaces APT, attaques DDoS et autres cyber menaces, ainsi que des nouvelles tendances technologiques telles que l’Internet des Objets (Internet of Things ou IoT) et la biométrie. En France, les menaces toujours plus complexes et fréquentes (85%) et les besoins liés au BYOD et la mobilité des salariés (82%) sont les plus grands défis rencontrés par les décideurs IT français.

Les attentes sont fortes, dans tous les secteurs d’activité, vis-à-vis de la biométrie, avec 46% des répondants qui déclarent que cette technologie est déjà d’actualité dans leur entreprise, ou le sera au cours des 12 prochains mois contre seulement 29% en France. Deux tiers des personnes interrogées estiment déjà disposer des outils qui permettront de gérer la biométrie en toute sécurité (contre 56% en France). Parmi le tiers (44% en France) des répondants qui estiment aujourd’hui ne pas avoir les outils prêts pour sécuriser la biométrie, un tiers du panel mondial et français estime qu’ils rencontreront des difficultés pour le sécuriser dans le futur.

La sécurité du Big Data  et la confidentialité des données conduisent à une autre approche
Les problématiques en matière de confidentialité des données incitent à un plan d’actions, avec 90% des décideurs IT mondiaux et français qui pensent faire évoluer leur approche en matière de stratégie de sécurité. Parmi eux, 56% (50% en France) sont enclins à investir davantage en ressources financières et humaines pour répondre à ces défis, tandis que 44% (50% en France) déclarent plutôt vouloir repenser leur stratégie existante.

Le Big Data et le traitement analytique des données sont considérés par 89% des répondants comme un facteur de changement d’approche en matière de stratégie de sécurité informatique, et incitent 50% des répondants à planifier de nouveaux investissements. En France, 88% des répondants pensent que le Big Data est un facteur de changement d’approche en matière de stratégie de sécurité informatique, incitant 40% à prévoir de nouveaux investissements.

Les secteurs d’activité les plus enclins à investir dans la sécurité informatique sont les services financiers (53%) et celui des technologies/télécommunications (59%). En France, les entreprises issues des technologies/télécommunications (75%) et de la distribution (67%) sont les secteurs d’activité les plus enclins à investir dans la sécurité informatique. L’étude souligne également que ce sont les plus grandes organisations qui sont les plus susceptibles d’investir.

Interrogés sur le fait d’avoir obtenu suffisamment de ressources humaines et financières pour la sécurité informatique au cours des 12 derniers mois, quatre décideurs sur 5 répondent positivement (75% en France). D’autre part, 83% (73% en France) des répondants estiment que ces ressources seront suffisantes au cours des 12 prochains mois. La majorité des secteurs d’activité s’inscrit dans cette tendance, avec, par exemple : 74% (au cours des 12 derniers mois) et 77% (pour l’année à venir) dans le secteur public et respectivement 80% et 81% dans la distribution. Les services financiers sont les mieux lotis (87% pour les 12 prochains mois), en dépit d’un léger fléchissement (89% au cours des 12 mois précédents) au niveau mondial.

En France, seul le secteur de la construction et de l’industrie s’inscrit dans cette tendance passant de 66% (au cours des 12 derniers mois)  à 74% (pour l’année à venir). Les secteurs des technologies/télécommunications, de la distribution et des services financiers s’attendent à avoir autant de ressources financières et humaines qu’au cours des 12 derniers mois. Le secteur public ainsi que celui de la grande consommation sont en déclins en passant respectivement de 73% à 53% et de 100% à 50%.

Un réel besoin de cyber-résilience
« Alors que la sécurité IT devient une priorité pour les dirigeants, elle reste néanmoins associée à d’autres challenges qui pèsent lourdement sur les professionnels de l’informatique et remettent en cause la capacité de certaines organisations à innover tout en assurant leur sécurité », explique Patrice Perche, Senior Vice Président, en charge des opérations commerciales et de support à l’international chez Fortinet. « Ces organisations doivent agir dès aujourd’hui pour maîtriser l’impact de menaces en forte croissance et se focaliser davantage sur la sécurité IT afin de renforcer leur résilience face aux cybermenaces ».

L’étude Fortinet Security Census 2014 a été menée par Lightspeed GMI, un acteur indépendant des études de marché. Cette opération a porté sur un panel de 1,610 décideurs informatiques, essentiellement des DSI, Directeurs Techniques, Directeurs/Responsables informatique, évoluant en grande partie dans des entreprises de plus de 500 collaborateurs. *8% des personnes interrogées proviennent d’entreprises comptant de 100 à 500 collaborateurs. 15 pays ont participé à cette enquête : Australie, Allemagne, Brésil, Canada, Chine, Colombie, Corée, Espagne, Etats-Unis, France, Inde, Italie, Japon, Mexique et Royaume-Uni.

87% des entreprises françaises pensent courir un risque de sécurité actuellement, mais 70% ne changent rien

Plus de 80% des responsables IT pensent qu’un vol de données interne est probable dans leur entreprise, mais environ 60% déclarent ne pas avoir de procédure stricte dans ce domaine.

LogRhythm, spécialiste de la Security Intelligence, annonce les résultats d’une étude* menée auprès de responsables IT d’entreprises françaises, à propos de leur perception de la sécurité au sein de leurs entreprises, et notamment des risques en interne. D’après l’enquête, les entreprises françaises ont bien conscience des dangers liés au vol de données et des conséquences pour leurs organisations. Toutefois, il semble que les bonnes intentions ne soient pas mises en pratique et qu’une remise en question des systèmes et stratégies de sécurité en place ne soit toujours pas à l’ordre du jour.

En effet, selon l’étude, 87% des entreprises françaises pensent qu’elles courent peut-être un risque de sécurité actuellement, dont 34,5% des répondants qui en sont persuadés. Pourtant, 70% des organisations indiquent n’avoir rien changé à leurs systèmes de sécurité suite aux récentes affaires de vol de données, alors que 58% d’entre elles se disent plus inquiètes sur ce sujet suite aux révélations de Snowden.

Bien que cette dernière affaire ait été érigée en parfait exemple de ce que l’on peut craindre pour les données confidentielles de la part d’employés ou de partenaires mal intentionnés, l’étude révèle que les entreprises y attachent moins d’importance qu’aux menaces externes : 52% des répondants pensent que les menaces les plus sérieuses pour les informations confidentielles de leur entreprise viennent de l’extérieur contre 37% qui jugent les menaces internes comme étant plus importantes.

Pourtant, les risques associés sont bien identifiés : lorsqu’on interroge les responsables IT sur la possibilité que des employés accèdent à des données sensibles au sein du système d’information, 81% pensent que cela est tout à fait probable, dont 23,5% déclarant que cela était déjà arrivé.

Les menaces internes jugées moins importantes
Si 41,5% des entreprises disposent de procédures contre le vol de données confidentielles en interne, environ 34,5% des personnes interrogées pensent que les systèmes en place ne sont soit pas appliqués, soit pas satisfaisants. 15% ne savent même pas si ce type de procédure existe dans leur entreprise et 9% confirment ne pas en avoir du tout. Parmi ces derniers exempts de tout contrôle de sécurité, 15% des personnes interrogées pensent que cela n’est tout simplement « pas nécessaire ».

En ce qui concerne les procédures de sécurité élémentaires, l’étude montre qu’environ 30% des personnes interrogées ne procèdent toujours pas au renouvellement de leurs mots de passe. Parmi eux, il y a ceux qui savent que c’est nécessaire mais qui ne le font pas (24%) mais aussi 5,5% des répondants qui estiment que cela ne sert à rien !

« Les entreprises françaises sont sensibilisées aux risques majeurs de sécurité mais les bonnes pratiques ne sont toujours pas appliquées, confie Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm. Les données des entreprises ne sont peut-être pas aussi critiques que celles de la NSA, il n’en reste pas moins étonnant que les employés ne soient pas plus impliqués par la direction sur cette pratique essentielle pour la sécurité de leurs données alors que la menace est bien réelle. Il est très surprenant que des procédures aussi basiques que le renouvellement régulier de mot de passe ne soient pas encore systématiquement appliquées. »

Selon cette étude, le manque d’information, mais aussi d’implication de la part des directions à se saisir de ces problématiques, engendre une sorte de laisser-aller sur la question de l’accès aux données, surtout en interne. Malgré les inquiétudes justifiées, les stratégies et procédures en place restent insuffisantes à ce jour. La formation des employés, l’application systématique des bonnes pratiques liées au contrôle d’accès et à la gestion des mots de passe est aujourd’hui indispensable pour initier une vraie stratégie de sécurité des données. Sans compter que ces mesures doivent elles-mêmes être complétées par d’autres procédures régissant l’ensemble des questions relatives à la protection des ressources de l’entreprise, que ce soit en matière de contrôle d’accès, ou de sanction des employés en cas de manquement ou de mauvaise application des règles de sécurité.

Malgré l’augmentation du nombre de failles de données, auxquelles viennent s’ajouter le vol et la perte de plus de 2 milliards d’enregistrements de données à travers le monde depuis 2013, les entreprises restent convaincues que les technologies de sécurité périmétrique sont efficaces pour protéger leurs données. Telles sont les conclusions d’une nouvelle étude publiée par SafeNet, Inc., un des leaders mondiaux de la protection des données.

Réalisé par SafeNet, l’indice 2014 de confiance dans la sécurité des données (SafeNet Data Security Confidence Index) indique que pour près de trois quarts (74 %) des décideurs informatiques, le firewall de leur entreprise est efficace contre l’intrusion d’utilisateurs non autorisés (84% pour les répondants français). Cependant, près de la moitié (44 %) admettent que ce firewall a connu une défaillance ou ignorent si une telle situation s’est produite (les français étant eux 34% à admettre une faille et 13% à ignorer si leur entreprise y a été confrontée). De plus, plus de 60 % d’entre eux ne sont pas convaincus que les données seraient en sécurité si des utilisateurs non autorisés réussissaient à forcer la sécurité périmétrique de leur réseau (70% pour les répondants français).

Détail des chiffres par pays accessible ici.

Investissements IT : sécurité périmétrique plutôt que défense en profondeur
Les résultats de l’étude montrent que malgré le nombre croissant des failles réseau et des pertes d’enregistrements de données, les entreprises continuent d’investir davantage dans les technologies de sécurité périmétrique et de lutte contre les failles de sécurité qu’en faveur des stratégies de défense en profondeur, qui incluent l’authentification multi-facteurs (MFA) et le chiffrement fort des données. Selon l’indice BLI de SafeNet (Breach Level Index), plus de 375 millions d’enregistrements de données clients ont été volés au cours du seul premier semestre 2014, soit une hausse de 31 % par rapport à la même période de l’année précédente.

L’étude révèle par ailleurs que pour 93 % des décideurs informatiques, les investissements effectués par leur entreprise en faveur de la sécurité périmétrique ont augmenté ou sont restés identiques au cours des cinq dernières années (pour 48% des français ce budget en sécurité périmétrique a augmenté), représentant en moyenne 9 % du budget informatique actuellement consacré à l’achat, au déploiement et à la maintenance des technologies de firewall (8% du budget des français). Pour les douze prochains mois, les personnes interrogées indiquent que cette tendance devrait continuer, les dépenses consacrées aux firewalls ne variant pratiquement pas (9,05 %).

Deux tiers des décideurs informatiques (67 %) admettent en outre ne pas envisager de réduire les investissements consacrés aux défenses périmétriques — technologie de firewall, par exemple — pour les remplacer par d’autres technologies (85% en France). D’ailleurs, s’ils devaient abandonner une méthode de protection des données sensibles, les responsables informatiques déclarent en majorité qu’ils supprimeraient les solutions de détection d’anomalies (49 % au niveau mondial, 38% en France) ou de sécurité des données telles que le chiffrement (24 % monde, 28% France), plutôt que la sécurité périmétrique (15 % monde, 21% France).

Une confiance limitée quant à la capacité de prévenir les failles de sécurité et repousser efficacement les cybercriminels

De plus, malgré la confiance élevée qu’ils accordent à la sécurité périmétrique et à son efficacité, les décideurs informatiques se déclarent moins convaincus par la capacité de leur entreprise à protéger les données contre des menaces de sécurité en plein essor. L’étude souligne les points suivants :

·        Plus de la moitié (60 % mondialement, 70% en France) des responsables doutent que les données soient en sécurité si des utilisateurs non autorisés parviennent à franchir le périmètre de sécurité de leur réseau.

·        Près de la moitié (41 % mondialement, 44% en France) d’entre eux pensent que des utilisateurs non autorisés peuvent accéder à leur réseau.

·        Un tiers (34 % mondialement, 35% en France) des décideurs informatiques se disent moins confiants quant à la capacité de l’industrie de la sécurité à détecter les menaces de sécurité et à les contrer.

·        Un quart des décideurs informatiques (25 % mondialement, 22% en France) admettent qu’en tant que client de leur propre entreprise, ils ne lui feraient pas confiance pour stocker et gérer leurs données personnelles.

·        Plus de la moitié (53 % mondialement, 41% en France) estiment que les grandes failles de données annoncées dans la presse ont amené leur entreprise à revoir sa stratégie de sécurité.

« Les conclusions de cette étude soulignent quelques contradictions intéressantes entre la façon dont la sécurité des données est perçue et la réalité », a déclaré Tsion Gonen, directeur de la stratégie de SafeNet. « Il est en revanche inquiétant qu’un si grand nombre d’entreprises continue à mettre tous leurs œufs dans le même panier. Bien que la sécurité périmétrique ne représente qu’une simple couche de protection, bon nombre d’entreprises l’utilisent comme socle de leur stratégie de sécurité de données alors que dans la réalité, ce périmètre n’existe plus. Le simple volume de failles de données indique à lui seul que si un cybercriminel veut pirater le système ou voler des données, il trouvera le moyen d’arriver à ses fins. C’est pourquoi les entreprises doivent se concentrer sur le plus important, c’est-à-dire la protection des données. Elles doivent à cet effet définir des stratégies de sécurité plus intelligentes et associer les technologies de défense en profondeur et d’authentification multi-facteurs tout en intégrant directement la sécurité dans les données grâce au chiffrement. »

Le Cloud en confiance : oui, c’est possible !

Volontaires, de plus en plus, pour adopter des solutions dans le cloud, de nombreuses entreprises restent freinées par l’absence de clarté autour de la sécurité de leurs données, en particulier les plus sensibles. Pourtant, la souplesse et la simplicité peuvent parfaitement cohabiter avec la sécurité dans le cloud.

Certains le qualifiaient de « buzzword ». Il faut dire qu’une déferlante sans précédent s’est abattue sur la presse spécialisée – et même un peu plus – autour du cloud. Mais force est de constater qu’au-delà de l’effet de mode, le cloud s’est bel et bien installé durablement sur le marché de l’IT en général, et dans les systèmes d’information des entreprises en particulier.

Il faut dire que le cloud tient ses promesses. Comparativement à une infrastructure en propre gérée par l’entreprise, le cloud est moins cher, plus souple et beaucoup plus simple : externalisée, l’infrastructure est louée et totalement administrée par le fournisseur de services cloud. Et s’adapte précisément aux besoins de l’entreprise, sans nécessiter d’investissements lourds au départ.

Seulement voilà, le cloud rencontre encore, dans de nombreux cas, un obstacle de taille : le manque de confiance. A tort ou à raison, les entreprises sont encore frileuses à l’idée de stocker et gérer leurs données, notamment les plus sensibles, à l’extérieur du périmètre de leur système d’information. Considérant à ce titre que leur propre système d’information est parfaitement sécurisé, ce qui est loin d’être toujours le cas.

Sensibles ou non : la gestion kafkaïenne des données
Les médias en font leurs choux gras : de nombreuses affaires de vols de données, d’intrusions sur les comptes d’autrui, etc., éclaboussent régulièrement des géants du Web. Apple et les photos de stars volées a été la dernière victime de cet acharnement médiatique. Résultat : les inquiétudes et le manque de confiance persistent. Car outre la protection des données, c’est aussi l’usage qui prime. Et les systèmes de sécurité peuvent être si contraignants qu’ils retardent ou restreignent l’adoption des solutions.

Pour éliminer ce risque, nombreuses sont les entreprises à avoir fait le choix d’un système d’information à deux vitesses. Et ventilé leurs solutions en deux catégories distinctes : celles qui hébergent des données sensibles et qui doivent nécessairement rester sur site d’une part ; et celles dont les données, moins sensibles, peuvent être externalisées vers le cloud d’autre part.

Mais cette gestion dichotomique des données ne va pas sans poser problème. Tout d’abord sur la qualification de la sensibilité des données : en tant que telles, les données d’une entreprise sont toutes plus ou moins sensibles. Et celles qui ne le sont pas pour un département de l’entreprise, peuvent l’être pour un autre.

Ensuite, parce que le système d’information des entreprises est nécessairement poreux, ne serait-ce qu’au travers des échanges avec leur environnement immédiat : clients, partenaires, fournisseurs, etc. Un cloisonnement strict des deux types de données est donc,  complexe et nécessite une classification précise des données.

Un référentiel pour gagner la confiance des entreprises
Conscients de ces questionnements quant à la confiance dans le cloud des entreprises, autant que des enjeux économiques que représente le cloud, des acteurs du secteur se sont réunis autour d’une table pour construire les outils de la confiance dans le cloud. Composé d’éditeurs et d’auditeurs spécialisés, et à l’initiative de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), représentant les pouvoirs publics, le consortium ainsi réuni a récemment publié un référentiel de « qualification de prestataires de services sécurisés d’informatique en nuage ».

L’objectif est clair : proposer un cadre à ces prestataires, et surtout une certification selon les critères de ce référentiel. En particulier autour des questions de sécurité : disponibilité, intégrité et confidentialité des données, mais également traçabilité des données et des actions entreprises.

Une certification qui permet dès lors aux entreprises d’être en pleine confiance auprès d’un prestataire de services cloud certifié : plus aucun besoin de s’interroger sur la sensibilité ou non des données. Si l’entreprise estime qu’une solution cloud est la réponse à son besoin, elle peut l’intégrer à son système d’information en toute confiance. Quels que soient les données, les départements de l’entreprise ou les processus (métiers, commerciaux, administratifs, financiers…) concernés. (Frédéric Fouyet, Directeur de l’Innovation et des produits et RSSI chez Oodrive)

Le Wi-Fi peut-il garantir la sécurité de l’Internet des Objets ?

En matière d’Internet des Objets, on se satisfait souvent du fait que le système fonctionne, pourtant, la connexion physique et la sécurité inhérente sont des aspects non négligeables.  Le Wi-Fi est et restera le mécanisme de connexion prépondérant pour L’Internet des Objets, car l’infrastructure permettant de l’exploiter de façon sécurisée existe déjà. Les autres modes de connectivité, tels que le Bluetooth Low Energy, sont moins répandus, et donc plus difficiles à pirater. Chacun a son propre niveau de sécurité, mais nécessite la mise en place d’une infrastructure sous-jacente. Pour permettre le déploiement étendu de L’Internet des Objets grâce au Wi-Fi, il faut s’attaquer à d’importantes problématiques, parmi lesquelles la sécurité des réseaux.

Que ce soit à la maison ou en entreprise, tout le monde utilise un seul et même réseau sans fil et utilise la même clé pré-partagée afin de s’y connecter. Dans ce contexte, la problématique se situe dans le partage répété de cette clé, et donc dans la nécessité de définir le niveau de sécurité adéquat pour les nouveaux périphériques se connectant au réseau afin de ne pas devenir une proie facile pour les pirates.  L’important n’est pas la sécurité du réseau, mais celle des périphériques s’y connectant. Ces périphériques sont en général des appareils low cost, bien plus que les clients Wi-Fi traditionnels, et disposent de bien moins de fonctionnalités pour assurer leur protection et celle du réseau Wi-Fi auquel ils se connectent. Ces appareils doivent être facilement paramétrables, ce qui rend leur piratage plus simple, les identifiants utilisés pour accéder au réseau étant plus vulnérables.

Une équipe de chercheurs du cabinet de conseil Context Information Security a récemment pu confirmer ce risque en cherchant à démontrer la vulnérabilité des systèmes d’éclairage intelligent. En obtenant l’accès à l’ampoule principale, ils ont pu contrôler l’ensemble des ampoules connectées, et ainsi découvrir les configurations réseau des utilisateurs.

Généralement, ces ampoules et autres périphériques se connectent au réseau à l’aide d’une clé pré-partagée. Le problème au sein des réseaux sans fil traditionnels vient justement du fait qu’il n’y a qu’une seule clé : les organisations sont ainsi contraintes à créer un réseau Wi-Fi distinct pour chaque appareil à connecter à l’Internet des Objets. En outre, et comme l’ont démontré les chercheurs du cabinet Context, il est facile de découvrir une clé pré-partagée. Les identifiants étant potentiellement menacés, il apparaît donc logique qu’ils disposent de droits limités sur le réseau. Pourquoi ? La principale problématique avec l’Internet des Objets est la capacité des appareils à enregistrer des identifiants, surtout lorsque l’on considère tout ce que ces informations permettent de faire à l’arrivée, de la gestion de l’éclairage au contrôle autonome de la température par les réfrigérateurs, en passant par les équipements sportifs envoyant des informations personnelles à d’autres terminaux.

Si l’on utilise une clé pré-partagée pour se connecter au réseau, il faut alors que le réseau en question soit verrouillé et que les fonctionnalités de l’appareil soient limitées. En utilisant des clés pré-partagées privées, une organisation peut utiliser différentes clés pour ses différents appareils, et avec des droits spécifiques sur le réseau. Un groupe de clés pourrait ainsi être utilisé pour les accès en mode invité ou le BYOD, tandis qu’un autre pourrait permettre la gestion des bâtiments en s’appuyant sur une stratégie de pare-feu très contrôlée autorisant uniquement les changements effectués par les systèmes automatisés, et refusant ceux provenant de toute autre personne connectée au réseau. Les systèmes d’éclairage pourraient être contrôlés par un autre groupe de clés, avec éventuellement une stratégie de pare-feu propre permettant aux employés d’ajuster l’éclairage en salles de réunion, mais pas dans les couloirs.

Cette approche permettrait aux utilisateurs de disposer de milliers de clés pré-partagées différentes pour un seul réseau et avec différents profils de connexion, y compris via des pare-feu et des réseaux locaux virtuels. Dans ce scénario, si l’intégrité d’une ampoule venait à être compromise, la menace ne pourrait s’étendre aux autres, car la clé pré-partagée utilisée pour l’une n’aurait pas les privilèges nécessaires pour cela. La menace liée à cette compromission serait par conséquent limitée.

Il est également absolument essentiel que les informations d’identification utilisées n’aient qu’une faible utilité pour tout individu piratant le réseau. Il est donc nécessaire de disposer d’une méthode d’authentification et d’identification des appareils simple et sécurisée. En autorisant les périphériques sur le réseau et en leur fournissant un accès approprié à leur catégorie, les organisations doivent pouvoir gérer la menace une fois l’intégrité des identifiants compromise, afin de s’assurer qu’ils ne présentent qu’une valeur limitée pour toute personne s’en servant pour  découvrir et pirater le réseau.

La méthode la plus évidente pour cela serait de placer les certificats sur les appareils afin de bien les authentifier, mais il s’agit là d’une approche coûteuse et complexe. Pour éviter ces inconvénients, les entreprises devraient alors préférer l’utilisation de différents réseaux pour leurs différents types d’appareils, ce qui représenterait un gaspillage de temps et de ressources, davantage de complexité pour l’utilisateur, ainsi qu’un ralentissement des performances globales. Il faut donc pouvoir surmonter cet obstacle plus simplement afin de s’assurer que tous les périphériques soient gérés de façon sécurisée depuis un point d’accès. En matière de Wi-Fi, l’Internet des Objets est le BYOD d’aujourd’hui, et les organisations rencontrent exactement les mêmes problèmes sur le plan de  la sécurité.

À mesure que ce système s’affirmera comme la nouvelle vague en matière de réseaux, l’industrie trouvera un certain nombre de solutions afin de résoudre ces problèmes. Mais il faut cependant garder en tête que l’Internet des Objets va changer et se développer, et que dans ce contexte, il  sera difficile de s’assurer que l’infrastructure puisse faire face à différents scénarios en même temps. Bien que l’on s’intéresse aujourd’hui aux failles de sécurité de l’Internet des Objets en matière de gestion des bâtiments et d’interfaces personnelles d’accès au réseau, il reste cependant un large éventail de scénarios relevant également de l’Internet des Objets dans d’autres secteurs, tels que l’automobile et les infrastructures. Une fois que nous aurons pris en compte ces types de scénarios, les problématiques en matière de sécurité se feront plus nombreuses, et les solutions permettant d’y faire face revêtiront un caractère de plus en plus urgent. (Par Benoit Mangin, Directeur Commercial Europe du Sud, Aerohive pour datasecuritybreach.fr)

Un livre blanc sur les risques associés aux certificats numériques

À chaque fois que des transactions ou accès au réseau sécurisés sont requis, la personne demandant l’accès doit d’abord prouver son identité. L’une des méthodes d’identification de l’utilisateur est l’emploi de certificats numériques qui sont semblables à des cartes d’identité numériques. Cette procédure fait l’objet d’un examen dans un nouveau livre blanc publié par les spécialistes de la sécurité informatique de SecurEnvoy, intitulé « Les Risques de l’authentification à l’aide des certificats numériques ». Vous pouvez le télécharger gratuitement sur le site Web de la société [Lien ci-dessous, ndlr DataSecurityBreach.fr].

Un certificat numérique est en réalité une clé privée stockée sur une carte à puce ou un dispositif mobile, que l’utilisateur porte toujours sur lui. Toutefois, dans ce cas le problème des identités distribuées représente un désavantage important. Étant donné que pour chaque dispositif (final) qu’un utilisateur veut utiliser pour son travail, qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette, un certificat séparé est requis. Ceci entraîne un travail d’installation pénible, ainsi qu’une véritable « jungle de certificats » en fonction du nombre de périphériques impliqués.

En outre, les certificats demeurent sur les appareils finaux et peuvent tomber aux mains de criminels s’ils sont perdus ou vendus, ce qui pose un problème pour les données sensibles. Une alternative plus simple, mais doublement sécurisée est l’authentification forte sans jeton, qui est également décrite dans le livre blanc [En Anglais].

Attaque à l’encontre de NAS de la marque Synology

Depuis quelques semaines, des utilisateurs de NAS de la marque Synology, des boitiers de stockages, ont été visés par un logiciel malveillant qui chiffre le contenu des disques durs du produit de la société américaine.

Baptisé Synolocker, le code malveillant est injecté de différente manière, dont une technique toute simple, retrouver l’ip du boitier et de s’y connecter pour bloquer la lecture des contenus.

Une technique qui vise de vieux NAS, du moins dont les mises à jour n’ont pas été effectuées.  Le pirate réclame entre 250 et 300 euros, en bitcoin (0.6 bitcoin). L’entreprise a mis à jour son firmware pour contrer plusieurs failles qui ont pu être exploitées par le malveillant. Une technique, pour bloquer l’attaque, du moins la freiner, fermer le NAS. Cela provoquera un arrêt du chiffrement en cours.

Preuve, aussi, qu’une sauvegarde parallèle et hors connexion est loin d’être négligeable.

Message d’alerte du NAS

Dear user,
The IP address [211.228.238.239] experienced 5 failed attempts when attempting to log into DSM running on SYN1 within 5 minutes, and was blocked at Thu Jul 31 22:41:50 2014.

Sincerely,
Synology DiskStation

Le phénomène shadow IT : un cauchemar pour les entreprises

Une meilleure coopération avec les employés, de nouveaux outils et de nouveaux processus d’obtention de services informatiques pour contrer le phénomène du Shadow IT.

Dans beaucoup d’entreprises, les administrateurs informatiques font de plus en plus face à une nouvelle source de contraintes : le Shadow IT. Beaucoup de départements et d’employés se procurent et utilisent des applications sans que le département informatique ne soit mis au courant ou n’ait donné son accord. Une enquête [1] réalisée par PricewaterhouseCoopers (PwC) indique que 15 à 30% des dépenses informatiques des entreprises sondées se font hors budget officiel.

Le BYOD légitime la prolifération
Pour tous les administrateurs informatiques, cette prolifération rapide de l’utilisation de telles applications est devenue un réel problème qui s’est développé dans l’ombre. Ce phénomène a été appelé le ‘Shadow IT’, un terme qui décrit l’utilisation de ‘services et produits informatiques n’ayant pas d’approbation’ ou comme l’a expliqué Christopher Rentrop, professeur d’informatique à l’Université de Constance au département des sciences appliquées : « Le Shadow IT, c’est l’ensemble des applications acquises sans que le département informatique ne soit impliqué et pour lesquelles l’ITSM (la gestion des services informatiques) ne gère pas l’utilisation. » Ce phénomène ne date pas d’hier : le BYOD n’a fait qu’encourager sa diffusion et, dans une certaine mesure, le légitimer dans beaucoup d’entreprises. Mais le réel problème ne vient pas des appareils personnels des employés puisqu’ils peuvent être identifiés par des outils de gestion réseau. Il provient de la difficulté à surveiller les plateformes des réseaux sociaux et les applications Cloud. Par exemple, les collaborateurs utilisent Facebook ou Dropbox pour envoyer ou publier des documents sans se faire remarquer.

Ces logiciels et services non-approuvés et impossibles à surveiller, gérer et supprimer engendrent une consommation de la bande passante, un ralentissement des réseaux, posent des problèmes de conformité, ajoutent de la charge de travail aux départements informatiques et leur infligent un plus gros coût financier. La moitié des administrateurs informatiques interrogés pour l’enquête PwC pensent que la gestion du Shadow IT représente 50% de leur budget et luttent pour plus de transparence. Une enquête effectuée par des spécialistes réseaux d’Ipswitch auprès de 400 administrateurs informatiques révèle que 12% d’entre eux souhaiteraient en premier lieu pouvoir éclaircir cette zone d’ombre que demeure le Shadow IT. Ils pensent que leur travail au quotidien serait bien plus simple si les utilisateurs signalaient les applications installées sur leur ordinateur professionnel.

L’une des raisons principales du développement du Shadow IT est que les processus d’obtention de services informatiques sont obsolètes dans la plupart des entreprises. Ce sont ces lourds processus mis en place et utilisés depuis plus de 25 ans qui créaient cette zone d’ombre. Ils doivent être repensés et restructurés. Les entreprises doivent se focaliser sur les besoins de leur personnel et tenir compte des procédures et obtentions nécessaires pour rendre les employés plus efficaces, plus productifs et en fin de compte, plus satisfaits.

Être à l’écoute du personnel
Les risques ne peuvent être contrôlés que si la ‘consumérisation’ de l’informatique est considérée comme une opportunité. Globalement, les employés ne souhaitent pas délibérément contourner les procédures informatiques. Ils ont généralement un problème spécifique et important pour lequel ils ont besoin d’une solution rapidement. Bien sûr, il est bien plus facile pour le personnel d’une entreprise d’utiliser des solutions Cloud bon marché online plutôt que d’engager de long processus d’obtention auprès des services informatiques qui pourraient au final ne servir à rien ou ne pas résoudre le cœur de leur problème. Au quotidien, ces personnes sont habituées à pouvoir utiliser les applications normales ou Cloud qu’elles souhaitent et qui leur facilitent la vie. Pourquoi ne feraient-elles pas pareil sur leur lieu de travail ? C’est ce qui explique les phénomènes tels que la grande popularité de Dropbox dans les entreprises. Puisqu’il n’est pas possible d’envoyer des emails avec des pièces jointes trop lourdes, les employés règlent rapidement le problème en créant des liens Dropbox.

Il est temps que les départements informatiques essaient de coopérer. Cinq étapes peuvent atténuer les impacts du Shadow IT et encourager la coopération avec les employés :

·        Une solution de gestion réseau est nécessaire pour identifier les applications non-autorisées avant qu’elles ne posent problème. Un système de surveillance du trafic réseau pourrait être une solution.
·        L’utilisation de la bande passante du réseau doit être transparente. L’administrateur informatique doit savoir quels sont les utilisateurs, les appareils et les applications qui obligent à repousser les limites des capacités du réseau.
·        Un système de surveillance qui identifie immédiatement les appareils posant problème est également nécessaire. Quel utilisateur a accès à quel appareil et via quel appareil ?
·        Les problèmes qui causent un ralentissement ou une panne du réseau doivent être identifiés et résolus plus rapidement.
·        Pour prévenir l’utilisation de systèmes Cloud qui ne peuvent pas être surveillés et qui exposent les données à des risques, les départements informatiques doivent mettre en place des outils d’échange de données simples et efficaces.

Les départements informatiques devraient se concentrer sur la mise en place d’outils et de solutions permettant une bonne gestion des résultats. En d’autres termes, le problème n’est pas d’éradiquer le Shadow IT mais d’en tirer avantage au maximum. Essayer d’éliminer le Shadow IT ou nier son existence ne serait que fermer les yeux devant une réalité.

Afin de créer la transparence nécessaire, il est important de coopérer avec les employés. Les outils de surveillance peuvent aider à sauvegarder les performances du réseau, à surveiller la disponibilité des applications et à prévenir un usage abusif. Cependant, il est surtout essentiel de soumettre les processus d’obtention de services informatiques établis à un examen approfondi rigoureux et de les rendre plus simples et plus rapides. (Par Yannick Hello, Responsable S-EMEA chez Ipswitch, Inc.)

Les services cloud de plus en plus convoités par les pirates

De plus en plus d’entreprises utilisent des services cloud de stockage tel que Dropbox, Onedrive, Google Disk,… sans vraiment se rendre compte du risque pour la sécurité de leurs données.

Alors que les services de stockage de fichiers dans le cloud ont depuis longtemps les faveurs des internautes, leur confort indéniable s’accompagne toutefois d’un certain nombre de risques. C’est ainsi que de nombreux utilisateurs conservent dans le cloud des copies numérisées de leur passeport et d’autres documents, bien que parfois des vulnérabilités dans le service compromettent la sécurité de leurs données personnelles. Cependant, l’utilisation de technologies cloud à des fins autres que celles pour lesquelles elles ont été conçues peut être encore plus dangereuse. Par exemple, il est facile de trouver des instructions permettant aux possesseurs d’ordinateurs désireux de mettre à profit ces services de piloter et de surveiller à distance leurs machines, de commander les téléchargements de type Torrent, etc. En appliquant ces recommandations, les utilisateurs créent involontairement différentes failles de sécurité facilement exploitables par des cybercriminels, en particulier dans le cadre d’attaques ciblées.

Scenario d’attaque
Des cybercriminels prennent le contrôle de l’ordinateur portable d’un employé via un logiciel client Dropbox installé sur celui-ci, notamment en dehors du bureau. Si des documents infectés sont placés dans des dossiers cloud, Dropbox les recopiera automatiquement sur tous les équipements connectés au réseau de l’’entreprise et utilisant le même service. Dropbox n’est pas le seul dans ce cas : – toutes les applications répandues de stockage dans le cloud – Onedrive (anciennement Skydrive), Google Disk, Yandex Disk, etc. – offrent des fonctions de synchronisation automatique. Des attaques à prendre au sérieux ? Les experts de Kaspersky Lab, éditeur de solution de sécurité informatique, ont cherché à savoir si les cybercriminels se servent effectivement de ces outils pour diffuser des malwares.

Programmes malveillants via le Cloud
Après avoir collecté des données auprès d’utilisateurs volontaires, les analystes ont déterminé qu’environ 30 % des programmes malveillants présents dans des dossiers cloud sur des ordinateurs domestiques y ont été importés par des mécanismes de synchronisation. Pour les utilisateurs au sein d’une entreprise, ce chiffre atteint 50 %. Il faut noter une certaine différence entre les utilisateurs en entreprise et à domicile : les premiers se caractérisent davantage par la présence de fichiers infectés Microsoft Office dans leurs dossiers cloud tandis que, chez les seconds, ces documents bureautiques cohabitent souvent avec des applications Android malveillantes. « Une soigneuse analyse des statistiques montre que le risque d’infection d’un réseau d’entreprise par le stockage dans le cloud est aujourd’hui relativement faible : un utilisateur sur 1000 risque de voir son ordinateur infecté sur une période d’un an. Cependant, il ne faut pas oublier que, dans certains cas, un seul ordinateur contaminé peut aboutir à une attaque touchant l’ensemble du réseau et causant des dommages considérables. La configuration du pare-feu de façon à bloquer l’accès à ces services est une procédure fastidieuse, qui nécessite des mises à jour constantes de ses paramètres », commente Kirill Kruglov, chercheur senior chez Kaspersky Lab.

En pareil cas, il est habituellement recommandé aux administrateurs système d’installer, sur chaque poste de travail du réseau, une suite logicielle de sécurité aux fonctionnalités complètes : protection antivirus heuristique et comportementale, contrôle d’accès (HIPS), contrôle du système d’exploitation (System Watcher ou Hypervisor), protection contre l’exploitation des vulnérabilités, etc. Kaspersky Lab conseille de tirer parti de la technologie innovante Application Control intégrée à sa solution d’entreprise, qui peut bloquer l’exécution de tout logiciel non explicitement autorisé par l’administrateur système. Application Control protège le réseau de l’entreprise contre les attaques ciblées via Dropbox, sans perturber le travail normal des utilisateurs.

On ne peut que conseiller aussi le chiffrement des informations que les employés souhaitent laisser sur le cloud, évitant ainsi une lecture non autorisée.

BYOD, sous le sable les malwares !

C’est la période de l’année où les gens commencent à réserver leurs vacances d’été, à partir au soleil… et pour les employeurs, il est indispensable de s’assurer que leurs politiques de BYOD sont suffisamment rigoureuses pour protéger leur entreprise contre tout vol potentiel de données, alors que leurs équipes seront au soleil pendant une quinzaine de jours.

L’équilibre entre le travail et la vie sociale est devenu plus flou avec des salariés qui ont désormais accès à Internet, aux réseaux sociaux et aux emails à partir de leurs Smartphones ou de leurs tablettes, à l’intérieur ou à l’extérieur de l’entreprise, à tout moment et depuis n’importe où. En conséquence, les problématiques liées au BYOD ont augmenté. Alors que les entreprises apprécient les avantages de la technologie mobile en termes de productivité et de compétitivité, elles ne sont pas toujours suffisamment concentrées sur les risques que cela entraine en terme de cyber attaques.

Il n’y a aucun doute sur le fait que l’adoption des périphériques mobiles en milieu professionnel constitue un défi qui est autant une question de politique et de contrôle, qu’une question de technologie en elle-même.

De leur côté, les fabricants font la promotion des tablettes comme étant le must-have pour chaque membre de la famille. Qu’est-ce que cela signifie pour les entreprises ? Cela signifie un afflux de nouveaux appareils à venir sur le réseau, car il est fort probable que ces bijoux dernier cri ne resteront pas à la maison…

Pour les équipes en charge de la sécurité informatique, il s’agit d’un véritable casse-tête et la tendance du BYOD complique véritablement leur tâche. De plus, comme la transition des ordinateurs de bureau vers les ordinateurs portables, les tablettes et les Smartphones continue de s’accélérer, il n’est pas surprenant que les hackers choisissent les périphériques mobiles pour cible.

Le problème avec les outils mobiles personnels, c’est qu’ils permettent d’accéder à des ressources de l’entreprise, en dehors du contrôle du service informatique de l’entreprise. Cela signifie qu’il peut être difficile de connaître les informations basiques, telles que le nombre et le type d’outils utilisés, les systèmes d’exploitation et les applications en cours d’exécution.

La prolifération des périphériques mobiles et leur utilisation croissante au travail a entrainé une croissance rapide des malwares mobiles, augmentant de manière significative, le risque pour les utilisateurs et leurs employés. Et compte tenu du manque de visibilité sur ces outils personnels, de nombreuses équipes de sécurité informatique n’ont pas la capacité d’identifier les menaces potentielles.

Cependant, malgré les embuches, les avantages du BYOD sont bien trop significatifs pour être ignorés. Ainsi, afin de reprendre le contrôle sur ce monde mobile, les professionnels de la sécurité informatique doivent être capable de tout voir dans leur environnement, afin de pouvoir définir le niveau de risque et le sécuriser en fonction du contexte, spécifique à chaque entreprise. Pour la plupart d’entre elles, la meilleure solution est de mettre en place des politiques BYOD qui définissent clairement l’utilisation des outils mobiles personnels de façon appropriée et ensuite de disposer d’un système de vérification et de contrôle pour appliquer et maintenir ces politiques de sécurité.

Pour conclure, la sécurité des périphériques mobiles se dessine en 3 phases :
–    Avant l’attaque – il s’agit d’établir un contrôle sur la façon dont les appareils mobiles sont utilisés, à quelles données ils peuvent accéder et quelles sont celles qu’ils peuvent stocker
–    Pendant l’attaque – la visibilité et l’adaptabilité sont essentielles pour que les professionnels de la sécurité puissent espérer identifier les menaces et les appareils à risque pour surveiller leurs activités sur le réseau de l’entreprise.
–    Après l’attaque – lorsque l’inévitable se produit et que le réseau est compromis par une menace, il faut être en mesure d’examiner rétrospectivement comment cette menace est entrée dans le réseau ; quels systèmes ont été en interaction avec la menace et quels fichiers et applications ont été exécutés afin de s’assurer que le réseau puisse être nettoyé le plus rapidement possible. (Par Cyrille Badeau, Directeur Europe du Sud, Sourcefire, now part of Cisco)

En vacances, protégez votre vie 2.0

Que vous soyez une personne importante ou non, aux yeux d’un pirate informatique vous n’êtes rien d’autre qu’un cloud vivant dans lequel il pourra en soutirer argents et données sensibles.

La rédaction de Data Security Breach vous propose quelques trucs et astuces à utiliser lors de vos déplacements afin de sécuriser votre informatique, votre smartphone, bref, votre vie 2.0. Attention, nos conseils ne vous sécurisons pas à 100%, la sécurité totale n’existe pas. Par contre, nos conseils freineront un maximum le pirate, le curieux, bref ce malveillant. Pas de paranoïa, juste de la prudence et une hygiène numérique à respecter. Nous avons rencontré, lors de nos voyages, de vrais professionnels de la recherche d’information via des cibles touristiques ou en « séminaires ». N’oubliez jamais que le « curieux » doit être rapide pour agir. Plus il passera du temps sur sa cible, plus il sera fragilisé dans son action, visible, donc détectable.

Dans votre hôtel/camping/…
– Ranger votre machine dans le coffre de votre chambre (si coffre il y a).

– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate. Il ne pourra pas alimenter l’ordinateur.

– Changer le mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre ordinateur, via une clé USB ou un CD boot casseur de mot de passe. [Voir comment Zatazweb.tv a cracké le mot de passe de n’importe quel Windows en 30 secondes].


– Chiffrer les informations sensibles ou le disque dur de votre ordinateur. Qu’on le veuille ou non, BitLocker sur Windows 8 pro est efficace. N’hésitez pas à rajouter une seconde, voire une troisième couche avec Zed! ou TrueCrypt. Zed! a reçu la qualification ANSSI niveau standard (08/2010) et Certification Critères Communs EAL3+ (07/2010). Pour TrueCrypt : qualification niveau élémentaire (08/2009) et Certification CSPN (12/2008).

– Utiliser un câble antivol.

– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.

– Chez DataSecurityBreach.fr, nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.

– Une goute de cire, sur les vis est aussi très utile pour y appercevoir une potentielle manipulation. Il existe des cires de couleurs, évitez le rouge.

– Un antivirus mis à jour obligatoire.

– Utiliser un VPN pour vos connexions. VyprVPN est, à notre sens, très efficace tout comme VyPRVPN [Nous les utilisons, plus d’autres, NDR] Nous l’utilisons. Rapide, propose des centaines de connexions protégées dans le monde, avec un firewall NAT intégré loin d’être négligeable.


– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.

Autre point, sauvegardez vos documents administratifs sur un cloud sécurisé n’est pas négligeable en cas de perte de vos papiers, moyens de paiement. Sauvegardez y aussi les numéros de téléphones d’urgences (Ambassade, amis, familles, …). Bien évidement, chiffrez les données. Utilisez, par exemple, l’excellent Zed! Free par exemple. Une connexion à votre cloud sécuriser à n’utiliser qu’en cas d’urgence. N’allez pas me taper le mot de passe, sur un poste informatique « libre ». Pensez, si vous vous sentez capable de l’utiliser, emporter avec vous une cd/clé USB bootable avec un Linux intégré (Knoppix USB ou Tails par exemples).

Il en va de même pour votre téléphone portable. Ne le quittez jamais des yeux. L’installation d’un code malveillant étant devenu très simple. Pensez à employer un filtre évitant les regards « au dessus de l’épaule » ou sur les côtés. Des filtres qui permettent d’éviter les regards un peu trop curieux. Dernier détail en date, et de taille, pensez à charger vos appareils électroniques au maximum, surtout si vous partez sur le sol de l’Oncle Sam. Dorénavant, votre téléphone, votre ordniateur, votre tablette pourront être allumés devant un agent de sécurité, histoire de s’assurer que ce dernier ne cache pas une bombe. En cas de « non » allumage, le matos finira à la poubelle. Pensez à détruire les papiers que vous souhaiteriez jeter à la poubelle. Des petits bouts de papiers dans les toilettes sont plus efficace qu’une boulette dans la corbeille de votre chambre. Coupez le wifi et le Bluetooth. Ne sauvegardez/mémorisez aucun mot de passe dans votre appareil (il en va de même pour votre ordinateur et tablette).

Loin d’être négligeable, une pochette de sécurité, de type Stop RFID, permettant de sécuriser votre carte bancaire, passeport, … d’une tentative de connexion NFC non autorisée. Un bookmark de sites indispensables comme http://www.diplomatie.gouv.fr/fr/conseils-aux-voyageurs_909/ et Data Security Breach 😉 peut être envisagé.

L’utilisation des ordinateurs et des connexions proposés par les hôtels, campings, … sont à utiliser avec modération et intelligence. N’utilisez JAMAIS ces outils « libres » à des fins privées. JAMAIS vos mots de passe ; Accéder à vos courriels est fortement déconseillé sans passer par un système de VPN, INDISPENSABLE. Vous n’êtes cependant pas à l’abris d’un logiciel d’interception de vos frappes clavier (Keylogger). Pour finir, Comme nous le révélions dans notre article « Diner de cons dans les ordinateurs des Hôtels » nous croisons beaucoup trop de données qui n’ont rien à y faire ! Attention, dernier détail important, comme le rappel l’ANSSI, prenez connaissance de la législation locale. Des informations sur les contrôles aux frontières et sur l’importation ou l’utilisation de la cryptographie sont disponibles sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.

Bref, contraignant, mais sécurisant. Si aucune de ces solutions proposées par Data Security Breach ne vous conviennent, posez-vous une dernière question : Avez-vous vraiment besoin d’un ordinateur pendant vos vacances ?

Hub sécurisé de services cloud

Orange Business Services intègre Salesforce à Business VPN Galerie, son hub sécurisé de services cloud.

Les entreprises pourront accéder à l’ensemble des solutions cloud Salesforce à travers le réseau « cloud-ready » d’Orange Business Services A l’occasion de la tenue du Salesforce World Tour à Paris, Orange Business Services a annoncé l’arrivée de Salesforce au sein de son écosystème de services cloud disponibles sur Business VPN Galerie. Lancé en 2010, Business VPN Galerie est le premier hub mondial reliant les clients VPN d’Orange Business Services à des services cloud à travers des passerelles entièrement sécurisées.

Grâce à Business VPN Galerie, les entreprises accèdent aux infrastructures et aux applications cloud d’Orange et de ses partenaires en bénéficiant des avantages d’un réseau privé conçu pour les besoins du cloud, dit « cloud-ready ». Elles bénéficient ainsi de services de management et de support de bout en bout ou encore de garanties de fiabilité, de performance et de sécurité. Les clients peuvent par ailleurs conserver leurs moyens d’accès utilisateur existants, ainsi que les politiques relatives à la sécurité de leur entreprise. « Business VPN Galerie a été la première offre réseau « cloud-ready » du marché. En interconnectant Business VPN Galerie et Salesforce, nous enrichissons considérablement l’écosystème d’applications disponibles sur Business VPN Galerie », déclare Didier Duriez, Senior Vice President Global Solutions and Services chez Orange Business Services.

L’association des solutions Orange Business Services et Salesforce permet ainsi aux entreprises de bénéficier simultanément des avantages de leur réseau VPN et de la flexibilité de salesforce.com, pionnier du modèle cloud. « Les entreprises doivent renouveler leurs manières d’interagir avec leurs clients pour se développer dans le monde connecté qui est le nôtre aujourd’hui », indique Olivier Derrien, Vice Président de salesforce.com. « En intégrant Salesforce.com à Business VPN Galerie, Orange Business Services soutient les entreprises dans cette transformation majeure. » Actuellement, Business VPN Galerie fournit des services à plus de 700 entreprises multinationales sur plus de 15 000 sites.

Aujourd’hui, pas moins de 20 services cloud d’Orange Business Services et de ses partenaires sont disponibles à travers Galerie.

Nécessité d’inspecter le trafic chiffré en entreprise

Aujourd’hui Internet est le principal vecteur de menaces pour l’entreprise, qu’il s’agisse de menaces massives ou ciblées. Cela concerne toutes les formes d’utilisation d’Internet, aussi bien les sites web classiques, l’Internet 2.0 avec des pages web dynamiques, les applications web et utilisant le Cloud, les réseaux sociaux etc…

L’usage d’Internet évolue avec les nouvelles technologies, les employés utilisent de plus en plus de solutions liées au Cloud, des applications web, des terminaux mobiles et même leur propre équipement informatique. L’Internet mobile représentait 40% des connexions à Internet selon la dernière étude de l’INSEE. Quelques soient ces évolutions et les suivantes, tous ces usages utilisent les flux Internet, et donc le vecteur de propagation des menaces ne change pas.

Toute entreprise devrait être en mesure de protéger ses actifs. Pour cela, elle se doit d’être capable d’analyser la totalité des flux transitant par Internet pour pouvoir bloquer les menaces connues et identifier les objets qui pourraient être des menaces inconnues. Elle doit donc pouvoir inspecter 100% du trafic.

L’accroissement du trafic chiffré

On constate une augmentation importante du volume des flux chiffrés sur Internet. On estime, en moyenne, que le trafic chiffré représente déjà entre 25 et 35% du trafic web entrant dans les entreprises. Hors si auparavant le trafic chiffré était à l’initiative de l’utilisateur qui souhaitait garantir la confidentialité de ses informations lorsqu’il se connectait à certains sites comme les sites bancaire, l’administration, un paiement en ligne… désormais ce n’est plus le cas. Le plus simple exemple est de taper l’adresse http://www.google.fr dans votre navigateur. Surprise, c’est l’adresse https://www.google.fr  qui apparaîtra quand la page va s’afficher. C’est le serveur de Google qui a lancé le chiffrement de cette connexion, sans que vous l’ayez demandé.

Force est de constater que la majorité des sites et applications sur Internet chiffrent leur trafic sans que l’utilisateur en ai fait la demande. Et ce phénomène ne va aller qu’en s’accélérant. Pour preuve, Google a récemment annoncé qu’il référencerait mieux dans son moteur de recherche les sites utilisant un trafic chiffré. Quand on connait l’importance d’avoir un bon référencement dans le premier moteur de recherche du monde, on comprend aisément que la majorité des sites web vont accélérer leur passage au trafic chiffré ! Autre donnée qui va dans le même sens, le laboratoire indépendant NSS Labs estime que le trafic chiffré connait actuellement une croissance de 20% chaque année.

Même si l’utilisation du SSL est censée accroitre la sécurité des données qui transitent, cela pose un vrai problème pour les entreprises. Car dans ces 25 à 35% des flux Internet qui sont chiffrés, les outils de sécurité déployés par l’entreprise ne peuvent pas effectuer leurs missions correctement, quel que soit l’outil utilisé : un anti-virus, un IPS, du contrôle de contenu, un SIEM…

On estime que 80% des attaques complexes (APT – Advanced Persistent Threat) utilisent les connections SSL. La découverte de la faille HeartBleed a montrée au grand jour à quel point un problème sur le trafic chiffré pouvait toucher les entreprises. La grande majorité des entreprises ont dû prendre des dispositions suite à cette découverte.

Que doit faire l’entreprise pour garantir sa sécurité face à la croissance des flux chiffrés ?

Pour garantir le même niveau de sécurité, il faut que l’entreprise soit capable de déchiffrer les trafics SSL, et la technique existe depuis plusieurs années, le « Man in the Middle ». Cela n’est pas si simple à mettre en œuvre. D’abord, l’entreprise doit respecter les réglementations et donc elle doit mettre en place des politiques de déchiffrement, c’est-à-dire définir ce qui doit être déchiffré et ce qui ne doit pas l’être, avec la mise en place de catégories de sites, de type de profils d’utilisateurs etc… Il faut également que le processus de déchiffrement n’ai pas d’impact sur l’expérience utilisateur, hors cela consomme beaucoup de ressources de déchiffrer un flux Internet.

Une étude récente du NSS Labs (un test sur 7 firewalls de dernière génération) montre que l’impact sur le déchiffrement est double :

– En premier lieu cette opération entraine une diminution drastique de la capacité de traitement globale et une baisse des performances de 74% ! Et ces résultats ne concernent que les sites web utilisant une clé de chiffrement de 512 ou de 1024 bits. La chute des performances atteint 80% lorsque les clés de chiffrement utilisées sont de 2048 bits.

– Deuxièmement, l’étude constate également une diminution très important du nombre de transactions traitées par ces firewalls, pourtant de nouvelle génération, la baisse allant de 86,8% (avec des clés de 512 bits) jusqu’à 92.28% pour des clés de 2048 bits.

Il faut prévoir que cette baisse de performances va être accentuée dans les déploiements de l’infrastructure de sécurité « en silo » c’est à dire où chaque outils de sécurité fonctionne indépendamment.

Que faire ?

Dans un monde idéal, l’entreprise doit pouvoir bénéficier d’une technologie haute performance capable de d’effectuer du déchiffrement à haute vitesse (40 Gbits), sur laquelle l’entreprise sera en mesure de mettre en place une politique de déchiffrement basé sur le contexte (catégorie de site, provenance, destination, profil d’utilisateur…) et qui devra être en capacité d’alimenter différentes solutions de sécurité afin de garantir qu’une fois déchiffré, le trafic bénéficie du même niveau de contrôle que le trafic en clair. (Par Dominique Loiselet, Blue Coat)

Risques de violation de données liés à la sécurité d’impression

Dans l’environnement commercial actuel, les entreprises ont plus tendance à subir les dangers de faiblesses subtiles et dissimulées que ceux de menaces puissantes et évidentes.

Avec l’évolution de la technologie, les entreprises modernes se développent constamment pour répondre aux besoins du monde du travail. Malheureusement, la conséquence de cette évolution peut être que des fonctions de sécurité d’impression peuvent passer inaperçues. Ce problème n’est pas forcément majeur, mais une étude réalisée par Ponemon en 2013 indique que les violations de données peuvent coûter jusqu’à 5 millions de US$ par an dans certains pays. L’étude révèle aussi qu’un pourcentage important de ce chiffre était dû à un manque de solutions d’impression sécurisée pour protéger les entreprises des violations de données.

Découvrir les risques

On estime qu’il existe trois types principaux de violations de données en raison d’une sécurité d’impression inadéquate. La plus courante est la violation de données avec intention de nuire. Quand les données privées et sensibles sont imprimées régulièrement, si elles tombent entre de mauvaises mains, les conséquences peuvent être coûteuses pour l’entreprise. Les violations de données sont devenues plus courantes au fur et à mesure que les entreprises utilisent le Cloud dans leur travail. Les informations sont maintenant plus faciles à extraire car elles peuvent être interceptées de façon virtuelle au lieu de les récupérer sur place. Le risque de vol interne existe toujours.

L’erreur humaine peut aussi être un facteur entraînant des violations de données. Choisir accidentellement la mauvaise imprimante de bureauet envoyer un document sensible sur le mauvais réseau peuvent avoir des conséquences graves pour l’entreprise. Éliminer l’élément humain de ce processus n’éliminera pas nécessairement le problème. Si un réseau d’impression est connecté de façon incorrecte au Cloud, les documents peuvent se perdre. L’erreur humaine n’a donc rien à voir dans ce cas.

Éviter les risques

Les entreprises qui traitent de données sensibles ont des mesures de sécurité leur permettant de protéger leur propriété intellectuelle. Appliquer ces mesures de sécurité aux réseaux d’impression contribue à réduire le nombre de violations de données. La première mesure à prendre pour protéger la sécurité des réseaux d’impression est d’introduire des contrôles des privilèges d’impression des collaborateurs. Il est possible de réduire le nombre de vols internes en réduisant le nombre de collaborateurs ayant accès et pouvant imprimer des données sensibles. Il est toujours possible de contourner un système de sécurité et donc de réduire l’erreur humaine. Les données peuvent toujours être violées.

Quand vous mettez en place un réseau d’impression sécurisé, il est important de faire appel à un spécialiste informatique car les erreurs de programmation et de mise en réseau peuvent affecter la précision des réseaux et donc être plus coûteux au long terme. Si le réseau est mis en place correctement, la fonction de mode d’impression sécurisé, courante sur la plupart des appareils compatibles avec le Cloud, peut réduire considérablement le nombre de violations de données provoquées par des défaillances informatiques. Bien entendu, ceci dépend de la précision d’installation du réseau de sécurité

Si la gestion de la sécurité d’impression est bien planifiée et mise en place, la protection de la propriété intellectuelle d’une entreprise sera simple et les violations seront réduites de façon considérable.

Le corsaire Jean-Bart sécurise ses terminaux mobiles

La Communauté Urbaine de Dunkerque, avec 18 communes et 200.000 habitants sous sa coupe, a choisi Good Technology pour sécuriser ses terminaux mobiles tout en garantissant la séparation des données privée et données professionnelles. La communauté urbaine  a été une des premières collectivités territoriales françaises à se soucier de la protection des données professionnelles et personnelles de ses cadres et dirigeants en situation de mobilité.

Ce qui a soulevé la question ? La sortie de l’Iphone 3GS sur le marché français, en 2009. « Tout à coup, les téléphones BlackBerry – dont étaient équipés le Directeur général, le Directeur général adjoint et  quelques proches collaborateurs – ont semblé dépassés » se souvient Alain Vanlichtervelde, en charge de l’intégration et de la gestion des plates formes informatiques pour la Communauté urbaine. La réponse la plus rapide aurait alors été de renouveler les terminaux, tout simplement. Sauf que les insuffisances et risques de cette option sont immédiatement apparus aux yeux du Directeur général adjoint et d’Alain Vanlichtervelde. « L’Iphone étant très ouvert, avec des usages très larges, nous avons vite compris que nous devions trouver une solution pour sécuriser les données professionnelles, explique ce dernier. Il fallait notamment que nous puissions les effacer à distance en cas de perte ou de vol de l’appareil ».

Après une analyse des offres disponibles sur le marché, c’est finalement la solution Good For Enterprise qui a été retenue, pour deux raisons majeures. Sa fiabilité bien sûr. « La technologie du container est clairement apparue comme la plus sûre de toutes celles que nous avons examinées », confirme Alain Vanlichtervelde. Seconde raison : elle seule permettrait une stricte séparation entre les données personnelles et professionnelles sur les appareils. « Un critère clef, car certains cadres ont rapidement exprimé le souhait de consulter leur messagerie professionnelle sur leur téléphone personnel » explique le Directeur des systèmes d’information de la CUD. A l’époque, on ne donnait pas encore de nom à ce phénomène aujourd’hui très répandu, le « Bring Your Own Device »…

Certes, une légère dose de pédagogie a été ensuite nécessaire pour que les cadres et dirigeants concernés s’approprient la solution de Good Technology. « Certains avaient précédemment testé un logiciel de messagerie de push qui s’intégrait très bien avec l’Iphone, et ils en étaient satisfaits » explique en effet Alain Vanlichtervelde. Mais cette solution ne comportait pas la technologie du conteneur, et l’impératif de sécurité a primé. « François VILAIN Directeur général adjoint, Pierre MELEROWICZ DSI et moi-même avons insisté – en entretien individuel parfois – sur la nécessité première de garantir la confidentialité des données, et du carnet d’adresses en particulier, se souvient ce dernier. Finalement le message a été compris et la solution a été bien adoptée ». Seul petit souci : certains appareils de quelques cadres se sont révélés poser quelques problèmes avec la solution de Good Technology, « du fait du manque de mémoire disponible dû en partie à la surcouche de l’opérateur de téléphonie,» explique Alain Vanlichtervelde.

Début 2014, 70 cadres et dirigeants de la Communauté Urbaine de Dunkerque étaient ainsi équipés avec la solution Good For Enterprise – à la fois sur tablette et smartphone pour les seconds. Principales fonctionnalités utilisées ? « Avant tout l’accès à la messagerie professionnelle en situation de mobilité, puis la lecture de documents », répond Alain Vanlichtervelde. Ce dernier peut en effet consulter à tout moment les statistiques d’utilisation…  et s’assurer ainsi que les services mis à disposition ont un réel intérêt.

Parmi ses nombreux projets, le Directeur des Systèmes d’Information de la Communauté urbaine évoque un renforcement de la collaboration avec la ville de Dunkerque, les deux collectivités étant de taille comparables. Nul doute que la sécurité des données professionnelles sera un des sujets de discussion…

Les enjeux de l’Internet des objets (IdO) et du stockage Big Data

L’augmentation du nombre de terminaux connectés, des réfrigérateurs aux thermostats, en passant par les appareils médicaux, soulève un problème de données plutôt singulier.

La question est de savoir comment les utilisateurs peuvent collecter, surveiller et stocker les quantités astronomiques de données générées par tous ces appareils. Revenons ici sur les implications du stockage des données de l’IdO, et tentons d’expliquer pourquoi une approche unique de la sauvegarde n’est pas adaptée et comment gérer le flot de données générées par les terminaux connectés.

Que représente la notion d’IdO ?
L’IdO, dont la définition englobe aujourd’hui tout terminal connecté, autre que les appareils traditionnels comme les tablettes, les smartphones et les ordinateurs de bureau et portables, progresse à la fois dans sa forme et son niveau de sophistication. En 2003, Hitachi a présenté des puces si petites qu’elles pouvaient être intégrées à la nourriture et utilisées pour contrôler les aliments que les gens consomment. Aujourd’hui, nous avons tout pour nous permettre de collecter et contôler les données: des moniteurs cardiaques aux caméras de surveillance ou réfrigérateurs intelligents.

Quel impact une telle quantité de données peut-elle avoir sur le stockage ?
Comment peut-on tracker toutes les données que nous créons? Nous en sommes déjà au stade où nous gaspillons des ressources en collectant trop de données. Les caméras de surveillance, par exemple: Quel est l’intérêt d’enregistrer toutes les séquences filmées par l’une de ces caméras ? Des millions de caméras sont en service dans le monde, et elles génèrent une quantité astronomique de données qui ne sont pas toutes forcément utiles.

Cependant, lorsque ces données sont agrégées et utilisées à des fins d’analyses, elles gagnent en utilité et deviennent plus faciles à gérer. Les particuliers et les entreprises doivent se demander quelles données sont les plus utiles sous forme détaillées, et quelles données sont plus utiles sous une forme agrégée et ont donc un simple intérêt statistique. Prenons l’exemple d’un moniteur cardiaque. Un patient est équipé d’un capteur qui mesure chaque battement de cœur. Les données capturées lors de palpitations sont importantes à la fois pour le patient et son médecin. Cependant, si les données étaient contrôlées par une société pharmaceutique, celle-ci trouverait intéressant de les consulter sous forme agrégée afin de mesurer les effets de certains médicaments pour le cœur sur un grand nombre de patients.

Comment les entreprises devraient définir l’importance des données collectées par les appareils connectés ?
Certaines sociétés suppriment les données collectées au bout d’une semaine, alors que d’autres appliquent des politiques plus systématiques et conservent uniquement les données d’une semaine sur deux pour une année en particulier. La politique de conservation appliquée prend son importance en fonction de la définition des données dont la conservation est utile, et de la manière d’y accéder. Une société étudiant les effets du réchauffement climatique peut avoir besoin de stocker des données relatives aux températures quotidiennes pendant des centaines d’années, alors qu’un fournisseur d’électricité peut n’avoir besoin de telles données qu’une fois par heure, sur une période de 10 ans ou moins. Il a simplement besoin de connaître la quantité d’électricité à générer en fonction des prévisions météorologiques locales et des données relatives à la consommation de ses clients à différents niveaux de températures.

La notion d’IdO implique une combinaison de nombreux éléments, et les informations pertinentes à en tirer dépendent de la manière dont ces éléments se combinent dans l’exécution de tâches spécifiques. (Joel Berman, vice-président du Marketing Corporate d’Acronis)

De l’importance de la formation des employés dans la sécurité en entreprise

Forrester montre que les Européens sont maintenant plus connectés que jamais, la plupart possédant deux terminaux au moins. Puisque l’utilisation des terminaux personnels sur le lieu de travail continue de croître, la formation des employés va devenir essentielle. Beaucoup d’habitudes prises lors de l’utilisation de ces appareils personnels représentent un danger pour les entreprises, donc les employés doivent comprendre l’importance de sécuriser les données. Ils sont la plus grande menace en termes de fuites de données. Le fait que Dropbox soit actuellement utilisé dans 95% des entreprises du Fortune 500 signifie que, dès à présent, une part énorme des données professionnelles sont vulnérables.

Malheureusement pour les responsables informatiques, il ne suffit pas d’installer une solution mobile sécurisée pour protéger les données. En plus de devoir mettre en œuvre un changement technologique, les entreprises doivent également lancer un changement culturel au sein du lieu de travail. Les employés doivent avoir une meilleure connaissance du moment où les données  professionnelles sont en sécurité ou non. Un des plus grands enjeux que les organisations doivent affronter est l’envoi par les employés des documents d’entreprise sensibles sur leur messagerie personnelle. Une fois qu’un document est divulgué, il n’est plus sous le contrôle de l’organisation, sa sécurité ne peut plus donc être contrôlée.

Dropbox est un cauchemar pour les départements informatiques car il génère un stockage dans le Cloud et la synchronisation des dossiers hors des entreprises. Dropbox fourni un service pratique pour les employés, mais a eu un grand nombre d’intrusions médiatisées. On en retrouve notamment en 2012 lorsque des mots de passe volés ont été utilisés pour accéder à un certain nombre de comptes Dropbox, ou encore lorsqu’en 2011 Dropbox avait éteint la fonction mot de passe, laissant toutes les données stockées sans aucune protection. Cependant, malgré ces failles médiatisées, les employés continuent d’utiliser ce service pour stocker des données sensibles. Des recherches récentes effectuées par Spiceworks Research ont constatées que 40% des employés dans l’informatique utilisent Dropbox, ou ont l’intention d’utiliser Dropbox en tant que service approuvé de partage de fichiers pour leur entreprise.

IBM a récemment interdit l’usage de Dropbox, d’iCloud et le transfert d’emails professionnels par leurs employés vers leur boite d’emails personnelle. La raison de cela est qu’il s’est avéré que ses employés avaient un manque de connaissances énorme sur ce qui constitue un risque actuellement.

Les trois raisons les plus importantes pour lesquelles les employés deviennent une menace de sécurité sont :
– L’utilisation de programmes non-autorisés sur des appareils ou du matériel d’entreprise
– Le transfert de dossiers entre les ordinateurs professionnels et personnels afin de travailler de chez soi
– La mauvaise utilisation des mots de passe – le partage de mots de passe ou l’utilisation du même mot de passe pour les applications professionnelles et personnelles

Les gens trouveront toujours un moyen d’utiliser l’appareil ou l’application qu’ils veulent, en dépit des conséquences sur la sécurité. Pour cette raison ils doivent être formés à utiliser la technologie d’une manière nouvelle qui puisse assurer aussi la sécurité des données. Les entreprises doivent faire quelques concessions, bien sûr. La connaissance – des appareils et applications – est vitale et elles doivent assurer la formation sur la sécurité des données et sur les bonnes pratiques autour de la sécurité de l’information. Si on offre une meilleure expérience d’utilisation en toute sécurité aux employés, alors ils sont moins enclins à trouver des moyens pour les contourner. Combiné à des recommandations de sécurité, les entreprises peuvent mettre en place une mobilité sécurisée sans employer une stratégie de contrôle fort.

Une approche “conteneur” de la sécurité mobile supprime la grande majorité des possibilités de fuites de données. Les employés peuvent exploiter au maximum un terminal pendant leur temps personnel et peu importe ce qu’ils font avec, les données d’entreprise sensibles resteront compartimentées en toute sécurité au sein de l’appareil. Pour poursuivre notre exemple concernant le partage de fichier, Box a une application sécurisée via une plateforme de sécurisation professionnelle. Celle-ci est contenue dans un compartiment sécurisé, afin de prévenir toute fuite de données, mais permet un accès aux documents professionnels à tout moment et de partout. (Par Florian Bienvenu, VP Europe Centrale et Europe du Sud de Good Technology)

Affaire Orange: Le gouvernement (enfin) à l’écoute des Français

Suite aux révélations des services secrets techniques britanniques (GCHQ) sur la collaboration d’Orange avec la DGSE dans la collecte de données, l’eurodéputée Françoise Castex réagit: « Vu de Bruxelles, ces révélations ne sont malheureusement qu’une demi-surprise! Le Parlement européen a pointé du doigt, la semaine dernière, dans son rapport sur le programme d’espionnage massif de la NSA, certains États membres, à commencer par la France. »

Le rapport Moraes, voté mercredi 12 mars à Strasbourg, demandait en effet à la France et cinq autres pays européens de clarifier les allégations de surveillance massive, et notamment les éventuels accords entre services de renseignement et entreprises de télécommunications sur l’accès et l’échange de données personnelles – et leur compatibilité avec la législation européenne.

Pour Françoise Castex « à la lumière de ces révélations, on comprend mieux le manque d’empressement du gouvernement français à dénoncer le scandale de la NSA, et qu’il ait mis plus d’un an et demi à transmettre aux eurodéputés français un semblant de position sur le paquet données personnelles en cours de négociation au niveau européen. »

Pour l’eurodéputée Nouvelle Donne: « La France doit revoir sa législation nationale afin de garantir que la DGSE soit soumise à une vraie surveillance publique par le biais d’un contrôle parlementaire et judiciaire effectif. »

« Au lieu d’écouter les Français, le gouvernement ferait mieux d’entendre leurs préoccupations réelles, à commencer par le respect de leurs droits fondamentaux! » conclut l’élue du Gers.

Les objets connectés vont-ils inviter virus et pirates à la maison ?

Nous avons beaucoup entendu parler dernièrement de l’Internet des Objets et des implications, en termes de sécurité, que sous-entendrait l’émergence de 50 milliards d’objets connectés d’ici 2020. Les experts de Symantec ont déjà détecté un ver nommé Linux.Darlloz, qui ciblait initialement les ordinateurs domestiques, décodeurs et routeurs, et qui infecte désormais les ordinateurs à la recherche de monnaies cryptographiques – à savoir Mincoins et Dogecoins.

Ce qu’il est intéressant de souligner ici est l’évolution parallèle entre un tel maliciel ayant la capacité de se répandre dans l’Internet des Objets, et le défi grandissant de sécuriser ce nouvel espace tout en restant au-devant des dangers menaçant les outils que nous utilisons tous les jours et sur lesquels nous nous reposons quotidiennement.

L’objet connecté en cheval de Troie du Big Data?
Pour Stéphane Darracq, PDG de makazi group, au-delà des services immédiats qu’ils rendent à leurs utilisateurs et de leur rôle de canal de communication, la vocation des objets connectés est aussi de collecter des données en très grande quantité. Température de la maison, rythme cardiaque du sportif, vitesse d’un véhicule, géo-localisation de son utilisateur : autant de données d’une grande diversité dont il ne fait pas de doutes qu’elles iront bientôt constituer des bases de données et enrichir l’information déjà collectée sur les utilisateurs. Il n’y a alors qu’un pas à franchir pour conclure que la véritable valeur de ces objets connectés réside dans leur capacité à collecter des données récentes, variées, d’une très grande richesse d’information et en très grande quantité. L’utilisation de celles-ci conduira logiquement à de nouveaux modèles d’affaires créateurs de valeur pour toutes les parties prenantes.

Comment sinon justifier le prix impressionnant de 2,3 milliards de dollars payé par Google pour le rachat de la société Nest Labs au début de l’année 2014 ? Au-delà des thermostats design de cette société installés dans les maisons californiennes par des propriétaires soucieux d’économies d’énergie, il ne fait aucun doute que ce n’est pas le chiffre d’affaires de quelques dizaines de millions de dollars de la société qui justifie une telle valorisation : ce sont bien les flux d’informations collectés chez leurs utilisateurs qui intéressent Google dans la cadre de sa stratégie d’agrégation de données et vont lui permettre à terme de croiser ces données du monde physique – la maison, la voiture, l’environnement visuel – avec les milliards de données digitales qu’il collecte déjà depuis ses débuts.

L’idée de Google est claire: ajouter un nouveau point d’entrée au sein des foyers – américains dans un premier temps – pour décrypter de façon encore plus précise les habitudes, les usages et les comportements des utilisateurs, via l’analyse des données collectées par les thermostats conçus par Nest Labs. Les spécialistes du marketing digital y auront reconnu le fameux « cookie » physique ou marqueur des comportements et des activités des consommateurs dans le monde réel …. Passerelle vers l’enrichissement d’autres données purement digitales.

De multiples opportunités de nouveaux modèles d’affaires pour les acteurs économiques
Dans ce futur ou tout objet pourra être connecté les vainqueurs ne seront pas les seuls fabricants de ces objets connectés. Il y a fort à parier que les entreprises qui parviendront à imaginer des services répondant aux besoins identifiés grâce à ces données et qui sauront trouver de nouveaux modèles économiques créateur de valeur à partir des montagnes de données collectées seront les véritables bénéficiaires de cette révolution en marche de l’« Internet of everything ». A ce titre, l’utilisation des données à des fins de communication ou de ciblage publicitaire compte parmi les pistes les plus avancées : en s’équipant de plateformes logicielles de gestion des données (ou DMP pour « Data Management Platform » selon l’acronyme consacré), les grands annonceurs publicitaires seront très vite à même d’enrichir leur communication avec leurs clients grâce aux informations spécifiques remontées via les capteurs de la maison ou de la voiture connectée par exemple.

Le juge de paix sera le consommateur final
Il ne fait aucun doute que les objets connectés vont modifier en profondeur notre quotidien. Que ce soit dans le domaine de la santé, du sport, de l’automobile, le grand public va adopter ces objets utiles ou répondant à de nouveaux besoins. Attention toutefois aux risques juridiques et de réputation que font prendre aux entreprises l’utilisation de données souvent personnelles ou rattachées à des données personnelles ! Seul le respect des règles juridiques régissant l’utilisation des données personnelles par les entreprises feront disparaître les réticences du grand public devant la pertinence ou l’attractivité des nouveaux services proposés grâce à l’utilisation intelligente de ces données. L’enjeu est double pour  les entreprises qui sauront mener cette démarche, avec la création de valeur grâce à de nouveaux services ciblés à destination de leurs clients mais aussi la création d’un véritable « capital data ».

Paquet Télécom: « Internet n’est pas privatisable! »

La Député Socialiste Françoise Castex s’indigne du vote de la Commission Industrie du Parlement européen qui a écarté le volet « neutralité du net » du paquet télécom. Mardi 18 mars, les membres de la Commission de l’industrie, de la recherche et de l’énergie (ITRE) du Parlement européen ont adopté (30 pour, 12 contre, 14 abst.) le rapport Pilar Del Castillo (ES, PPE) relatif au marché unique européen des communications électroniques. Françoise Castex, qui avait contesté dès janvier 2013 les propositions de Neelie Kroes[1], s’indigne que ses collègues parlementaires n’aient pas voté un texte fort et contraignant sur la neutralité du net.

En cause, notamment, l’alinéa 2 de l’article 23 (voté par 33 membres de la Commission ITRE contre 23) de la proposition de règlement concernant la fourniture de services spécialisés d’un niveau de qualité supérieure. « Avec ce texte, les opérateurs en ligne pourront lier l’accès des utilisateurs à la toile au subventionnement de « services spécialisés« , souligne Françoise Castex. « C’est la porte ouverte à des offres différenciées d’accès à Internet, à un Internet bridé par des fournisseurs d’accès devenus eux-mêmes fournisseurs de contenus. »

Avant d’ajouter: « C’est la menace d’une transformation de la ressource publique mondiale que constitue Internet en un réseau de distribution privé pour le seul bénéfice de quelques acteurs. »

« Cela risque de détruire la concurrence et de favoriser les monopoles extracommunautaires déjà en place, comme Google et Facebook », poursuit l’eurodéputée Nouvelle Donne. »

La Commission ITRE a rejeté à une voix près le mandat de négociation interinstitutionnel (30 pour, 26 contre, 1 abst.). Tout se jouera donc lors de la mini-plénière de Bruxelles le 3 avril prochain. Sur Twitter, l’eurodéputée du Sud-Ouest a d’ores et déjà appelé les internautes à se mobiliser et à interpeller leurs eurodéputés: « Au-delà des libertés fondamentales, cette remise en cause du principe de neutralité du net, combinée à l’accord de libre-échange avec les États-Unis, pourrait avoir des lourdes conséquences sur l’économie européenne. » met en garde Françoise Castex.

« Cybercrime-as-a-Service » : les méthodes de vol de données les plus courantes sur le Net

McAfee Labs révèle les principales menaces qui ont marqué le 4ème trimestre 2013. Les chercheurs McAfee mettent notamment en lumière le rôle joué par le « dark web » dans l’industrie des logiciels malveillants, réel catalyseur des attaques ciblant les points de vente en ligne, ainsi que les violations de données.
« Cet automne, les cybercriminels se sont appuyés sur les failles des sites marchands pour lancer leurs attaques. Ils ont su profiter de la période du shopping de Noël, où les gens se sentent le plus en confiance pour acheter pour accroître leur terrain de jeu », précise François Paget, chercheur de menaces au sein de McAfee Labs.

1/ Vente des données personnelles relatives aux cartes de crédits
Le rapport met en lumière la facilité d’achat en ligne de logiciels malveillants, de données personnelles ainsi que la vente de numéros de cartes de crédit volées. McAfee Labs relève également que le nombre de signatures électroniques malveillantes a triplé au cours de l’année 2013 et qu’une accélération de cette tendance pourrait engendrer une importante menace à l’authentification des logiciels sécurisés, par l’autorité de certification.
« Pour les professionnels de la lutte contre le cybercrime, les nouvelles pratiques employées par les hackers, simples à réaliser et à utiliser, annoncent l’ère du CaaS – ‘Cybercrime-as-a-Service’ » poursuit François Paget.

2/ Recrudescence des malwares relatifs aux certificats d’authenticité
Fin 2013, McAfee a référencé trois fois plus de malwares au sein de sa base de données (le ‘zoo’), aujourd’hui composée de plus de 8 millions de fichiers suspects. Au cours du quatrième trimestre, les chercheurs du Labs ont ainsi identifié plus de 2,3 millions de nouvelles applications malveillantes, soit une augmentation de 52 % par rapport au trimestre précédent.

Bien que le nombre total d’échantillons de logiciels malveillants intègrent des données volées, achetées ou des certificats erronés, le moteur majeur de leur croissance réside dans les réseaux de distribution aux contenus douteux. Ces organisations permettent aux développeurs de télécharger leurs programmes, ou une URL qui est en lien vers une application externe, et de la transformer en malware. McAfee entend alerter sur la confusion que peut créer ces malwares signés et remettre également en cause la viabilité du code source.

« Bien que les interventions des autorités de certification aient considérablement réduit les coûts de développement et de délivrance de logiciels pour les développeurs, les normes d’identification de l’éditeur ont également diminué spectaculairement », ajoute François Paget. « Désormais, nous devrons apprendre à faire plus confiance à la réputation du fournisseur qui a délivré/signé le fichier qu’à la simple présence d’un certificat. »

3/ Et toujours :
• Les logiciels malveillants sur mobiles.
McAfee Labs a recueilli 2,47 millions de nouveaux échantillons en 2013, dont 744 000 sur le quatrième trimestre. La base d’échantillonnage relative aux logiciels malveillants mobiles a augmenté de 197 % depuis la fin 2012.

• Les ransomwares.
Leur volume a augmenté d’un million cette année, 50 % de plus ont été référencés au 4ème trimestre 2013, en comparaison de la même période en 2012.

• Les URL suspectes.
McAfee a enregistré une augmentation de 70 % du nombre d’URL suspectes sur l’année 2013.

• La prolifération des malwares.
En 2013, McAfee Labs a trouvé, chaque minute, 200 nouveaux échantillons de malwares, soit plus de trois nouvelles menaces chaque seconde.

• L’enregistrement liés Master Boot.
2,2 millions de nouvelles -attaques ont été identifié sur 2013.

La gestion de l’identité au cœur des préoccupations des services informatiques en 2014

Andre Durand, CEO de Ping Identity, le leader de la gestion sécurisée de l’identité, partage ses prédictions avec les lecteurs de DataSecurityBreach.fr pour l’année 2014. Si l’on se fie à l’évolution des 12 derniers mois, 2014 va connaître d’autres avancées en matière de gestion des identités. En 2013, l’évolution a revêtu de multiples facettes. Les acronymes ont gagné en notoriété : MFA, IoE, API, REST, JSON et JWT. La norme OAuth a été approuvée et OpenID Connect approche de son terme. Le duo forme la base qui va agir sur l’évolution de l’identité numérique en 2014 : mobile, cloud, contrôle d’accès, fédération, infrastructure et plates-formes d’identité. « Le vol de millions de mots de passe en 2013 sur des sites allant d’Adobe à Facebook et GitHub peut avoir ébranlé suffisamment les utilisateurs, les fournisseurs de services et les commerçants en ligne pour que la question de la sécurité supplante finalement celle du confort d’utilisation ». Conscient de tous ces changements, voici une liste de six prédictions pour 2014 :

1. Le MFA (Multi-Factor Authentification) pour la facilité d’utilisation
Le MFA pour les terminaux mobiles va se répandre de plus en plus et gagner en qualité. Chacun possède un système différent pour s’authentifier sur son terminal mobile (mot de passe, code chiffré, etc.) mais en 2014, les plus fondamentaux vont prévaloir. Cet intérêt à l’égard du MFA marque le début d’une tendance plus vaste qui va finir par en engendrer une autre : les objets comme facteur d’authentification. Par exemple, votre bracelet Fitbit Flex pourra probablement vous permettre de déverrouiller votre smartphone…

2. L’essor du BYOI (Bring Your Own Identity)
La connexion aux applications d’entreprise se fera de plus en plus via nos identifiants et mots de passe personnels utilisés pour les réseaux sociaux. La mise en place du MFA permettra notamment de généraliser cet usage. Toutefois, les exigences en matière de sécurité ne seront pas à négliger pour autant. Ce mode d’identification conviendra pour les ressources demandant un degré minimal de sécurité, mais un autre type d’identification (fourni ou approuvé par l’entreprise) sera requis en cas d’exigences plus strictes.

3. L’authentification continue : un seul couple identifiant/mot de passe pour un accès à des milliers d’applications en toute sécurité
Le dispositif d’authentification continue renforce le degré de sécurité lors d’une ouverture de session sur un terminal, mais aussi pendant toute la durée d’utilisation du terminal. Les entreprises vont tendre de plus en plus à adopter ce dispositif d’authentification continue. Conjuguée à des solutions de gestion des identités et d’authentification biométrique, l’authentification continue va permettre de réduire les coûts et améliorer la facilité d’utilisation. Il ne sera plus nécessaire de rentrer son identifiant et son mot de passe pour accéder à une application. En revanche, la procédure de connexion à l’ouverture de cession sera plus lourde.

4. La fédération des identités évolutive
Les entreprises utilisant des solutions classiques de fédération des identités, et souhaitant multiplier par cent voire milles leur nombre de partenaires, et donc ajouter plus d’identités à leur solution de fédération, devront faire face à des limitations fonctionnelles ou technologiques. C’est là qu’intervient la fédération évolutive. Elle va permettre d’intégrer des technologies comme Trust Frameworks, Multi-Party Federation (comme par exemple InCommon), des architectures de Centralized Proxy ou encore du Metadata Peering. La fédération évolutive va demander de combiner tous ces éléments, ou une partie.

5. Le nombre de fournisseurs de solutions de gestion des identités se réduit au profit d’une meilleure qualité de prestation
La liste des fournisseurs en solutions IAM (Identity Access Management) n’a cessé de s’agrandir. Cependant, elle va se réduire en 2014. Certains d’entre eux seront sous le contrôle d’autres plus dynamiques ou mieux établis. Les solutions d’authentification sur les terminaux mobiles, la gestion des mots de passe et le SSO (Single Sign-On) en mode cloud figurent parmi les domaines d’activités où la concurrence s’avère intense car c’est là où la demande est la plus forte.

6. La gestion des identités devient un aspect fondamental de la sécurité du cloud
L’importance des solutions IAM devient de plus en plus une évidence pour les entreprises. De ce fait, ces solutions vont désormais être reconnues parmi les références en matière de gestion sécurisée des identités notamment pour l’accès au cloud. La RSA Conference en février, le Cloud Identity Summit en juillet et le Cloud Security Alliance Congress en décembre vont assoir ce statut. (Andre Durand, CEO de Ping Identity)

En 2014, le besoin de sécurité va bouleverser le marché de la sauvegarde Cloud

Le cloud, qui était il y a quelques mois encore vu comme un moyen simple et inoffensif de sauvegarder des données, va devoir se renouveler en 2014 pour continuer de séduire les professionnels. (Par Sergey Kandaurov, directeur de la gestion produit chez Acronis, pour Data Security Breach).

L’année 2013 a été marquée par de nombreux scandales en termes de sécurité et d’espionnage dans ce secteur. La demande des clients en 2014 va être impactée par ces affaires puisque la sécurité devient maintenant la priorité absolue. Les entreprises vont tout d’abord réfléchir d’avantage à ce qu’elles sauvegardent et où elles sauvegardent. La sécurité, la flexibilité et la confiance vont devenir des caractéristiques indispensables, favorisant ainsi l’apparition de solutions et de produits spécifiques à la sécurisation des données. Parallèlement les fournisseurs de solutions dans le Cloud de petites envergures vont mettre en avant une certaine proximité avec leurs clients et la qualité du service adjacente pour se différencier des fournisseurs leaders. Voici les 3 prédictions pour ce secteur pour 2014 :

1. Une sécurité accrue.
Après avoir passé un an à entendre les mots « PRISM » ou encore « Snowden », les consommateurs sont beaucoup plus conscients du type d’information qu’ils peuvent sauvegarder ou non sur des serveurs distants. Par conséquent, les entreprises vont multiplier leurs outils de sécurité afin de protéger les données sensibles. Nombreuses seront celles qui quitteront les services de Cloud public, comme Dropbox par exemple, pour se tourner vers un Cloud privé, plus sécurisé, leur permettant ainsi de garder le contrôle sur leurs propres fichiers.

2. Des nouveaux outils et services pour protéger les données dans le Cloud.
Avec la généralisation du Cloud, de plus en plus d’entreprises stockent leurs données dans le « nuage » informatique. La question de la continuité des activités en cas de problème va donc être un problème central dans les mois à venir. Avec un nombre de data stockées de plus en plus important, le risque d’un dysfonctionnement et d’une indisponibilité temporaire augmente. Les entreprises seront donc en demande de solutions innovantes pour parer à l’éventualité d’une perte ou d’une impossibilité d’accès aux données. Les professionnels chercheront plusieurs solutions alternatives pour stocker localement les fichiers basés dans le Cloud d’un côté, et pour sauvegarder rapidement et simplement les serveurs dans d’autres Cloud de l’autre.

3. Un focus sur la location physique de serveurs Cloud
Les clients vont commencer à opter pour des fournisseurs de solutions dans le Cloud stockant les informations dans une zone géographique proche, si possible dans le même pays. Ce constat est valable mondialement mais le sera encore plus en Europe. Ce « data nationalisme » protégera les données des gouvernements extérieurs. Par conséquent, cela permettra aux fournisseurs locaux de se développer face aux géants du secteur.

Ces fournisseurs pourront souvent fournir un service plus personnalisé et un meilleur suivi… 2014 sera donc l’année des « petits » fournisseurs.

Sécuriser ses données personnelles dans le Cloud

L’application développée par Prim’X permet de sécuriser, en le chiffrant, n’importe quel document que l’on souhaite garder confidentiel. Nous recevons aujourd’hui de plus en plus de documents administratifs personnels par email : factures (eau, énergie, téléphone etc.), relevés bancaires, etc. comportant des informations confidentielles que nous souhaitons garder secrètes.

Certains s’interrogent même sur le meilleur moyen de protéger leurs papiers administratifs en cas de sinistres. Il peut en effet s’avérer judicieux de préserver sous format électronique des copies de factures d’électroménager, de meubles ou bijoux, de ses différents contrats, etc. Le type même de documents à fournir à son assureur après un incendie ou un cambriolage par exemple. Les différents sites de Cloud bien connus (Dropbox, Google Drive, etc.) offrent gracieusement quelques Giga de stockage pour nos données personnelles. Mais, les récentes affaires d’espionnage, nous freinent dans cette démarche. La peur nous fait hésiter à déposer dans ces drives nos fichiers les plus confidentiels, mais qui pourtant pourraient être indispensables dans les situations les moins heureuses pour espérer être indemnisé.

Grâce à Zed! il est possible de protéger dans l’équivalent d’une valise diplomatique électronique tous ses documents scannés et de les stocker dans le Cloud pour y avoir accès en quelques clics et avec un seul mot de passe. L’application Zed! permet en effet de chiffrer les documents en les plaçant dans la valise diplomatique d’un simple copier/coller. Seul le propriétaire de la valise Zed! a accès au contenu et peut lire les fichiers. Zed! est gratuit en version limitée. La version complète est disponible à 35€. L’application est compatible avec n’importe quel service de Cloud (DropBox, Google Drive, SkyDrive, etc.) et les différents documents protégés peuvent être également ouverts depuis un Smartphone. Le fonctionnement est très simple.

Désormais en application Smartphone pour lire les archives .zed ou les emails chiffrés depuis son mobile. Version gratuite, disponible dès maintenant sur l’Apple Store et pour la fin 2013 sur Google Play Store. Toutes les versions de Zed! sont compatibles entre elles.

Le Single Sign On

Le Single Sign On : Un seul identifiant, un seul mot de passe, une seule connexion pour un accès à des milliers d’applications – comment ça marche ? Luc Caprini – Directeur Europe du Sud de Ping Identity

Qu’est ce que le Single Sign On ?
Le terme « Single Sign On » ou « SSO » peut en effrayer plus d’un et pourtant son principe est relativement simple. Avant d’expliquer en quoi consiste exactement le Single Sign On et quels en sont les bénéfices, il faut tout d’abord détailler le contexte dans lequel le Single Sign On intervient. Cela permet de comprendre toute son utilité.

Aujourd’hui, nous possédons chacun une multitude d’identifiants et de mots de passe dont on ne se rappelle pas toujours. Que ça soit au bureau, ou à domicile, nous ne pouvons échapper au « devoir d’identification » dès que nous allumons un ordinateur, un smartphone ou une tablette.  C’est une contrainte qui ralentit la productivité du collaborateur qui se connecte maintes et maintes fois aux applications de son entreprise ou au cloud et c’est un handicap lorsqu’on ne se souvient plus de ses identifiants pour se connecter sur un site Internet et qu’il est donc impossible d’y accéder.

Principe
C’est là qu’intervient le Single Sign On. En quoi cela consiste exactement ? L’utilisateur dispose simplement d’une interface qui s’ouvre à l’allumage de son terminal et il rentre une seule et unique fois, une seule et unique combinaison « identifiant/mot de passe » qui lui permettra de se connecter automatiquement et de façon sécurisée à toutes les applications de l’entreprise, au cloud et également aux applications Web de type Facebook, Gmail, etc. sans jamais devoir s’identifier une nouvelle fois.

Fonctionnement
Le principe est donc relativement simple. La petite complexité réside dans la gestion de l’identité unique de chaque utilisateur. Cette gestion passe par une solution de fédération des identités. Cela signifie que l’identité et le mot de passe de l’utilisateur sont stockés dans un lieu unique, contrôlé par l’entreprise. Lorsque l’utilisateur accède à l’application, son identité est transmise en toute transparence et en toute sécurité, depuis le Système d’Information (SI) de l’entreprise, au fournisseur de l’application. On appelle cela le SSO fédéré.

Bénéfices
Le SSO fédéré a de multiples avantages pour une entreprise.

Le BYOD
Il permet notamment de favoriser le développement du BYOD. En effet, le SSO fédéré repose sur la base d’un accès sécurisé aux applications de l’entreprise via une identité unique. Cet accès peut donc se faire depuis n’importe quel terminal, qu’il soit  fixe ou mobile. Ainsi, collaborateurs, clients et partenaires ont accès aux applications de l’entreprise depuis leurs propres ordinateurs portables, smartphones ou tablettes sans difficulté. L’entreprise ne craindra donc pas pour ses données.

Réaliser des économies
La réinitialisation des mots de passe entraîne pour l’entreprise un coût de traitement et une baisse de la productivité. En effet, il faut téléphoner à la hotline, patienter puis réinitialiser son mot de passe, ce qui est fastidieux et ennuyeux pour le collaborateur. Dans la pratique, le coût moyen des réinitialisations de mots de passe s’élève à un peu plus de 20€ par employé et par opération. Un seul identifiant, un seul mot de passe, ça ne s’oublie pas. Le SSO fédéré est donc un gain réel de temps et d’argent.

Renforcement de la sécurité
Si l’entreprise n’utilise pas le SSO fédéré, les collaborateurs se connectent donc aux applications de façon classique. Plus les utilisateurs doivent mémoriser d’identifiants et de mots de passe, plus ils optent pour des mots de passe faciles à deviner (phénomène dû à une « lassitude » à l’égard des mots de passe). D’autre part, ces mots de passe peuvent être stockés à des endroits identifiables et être facilement dérobés. Le SSO fédéré permet de résoudre ce problème en centralisant la gestion des accès utilisateurs. De cette manière, lorsqu’un utilisateur ne travaille plus dans l’entreprise, son accès à toutes les applications est désactivé.

Stimulation de la productivité
Prenons l’exemple d’un utilisateur qui se connecte trois fois par jour à une application cloud et supposons que chaque connexion lui prenne environ cinq secondes (en supposant que la connexion s’établisse avec succès). Ce délai semble faible mais il peut avoir des conséquences importantes si l’on considère le calcul suivant :

·         Trois connexions par jour = 15 secondes par jour, par utilisateur et par application
·         Les connexions coûtent à une entreprise de 1 000 utilisateurs 250 minutes par jour et par application (62 500 minutes ou 130 jours ouvrables annuels, en supposant une année de 250 jours de travail par an)

Grâce au SSO fédéré, les utilisateurs peuvent réduire le temps passé à se connecter successivement à plusieurs applications et se consacrer à des activités à plus grande valeur ajoutée.

Vous aider à détecter une faille de sécurité

Il y a des indicateurs tangibles qui peuvent vous aider à identifier une atteinte à la sécurité de votre environnement de travail.  Certains sont évidents, d’autres moins. Quels sont les premiers signes qui devraient vous conduire à vous inquiéter ? Voici quelques pistes pour vous aider à détecter une faille à temps. Par Jean-Philippe Sanchez, Consultant chez NetIQ France

1. Un trafic inattendu (ou un changement d’activité) entre systèmes sur le réseau constitue un indicateur communément surveillé par les entreprises parce qu’il montre qu’un système a été compromis et s’avère désormais utilisé pour étendre l’emprise de l’attaquant. Un tel trafic peut être révélateur d’une attaque en cours ou, pire, du déplacement d’informations en vue de leur récupération ultérieure. Les fournisseurs du domaine militaire sont particulièrement concernés car les informations hautement sensibles qu’ils manipulent sont souvent la cible d’attaques de long terme au coeur de leurs réseaux.

> Surveillez d’éventuels changements dans les flux réseau et concentrez-vous sur les systèmes concernés pour chercher à connaître les causes de ces changements.

2. Des changements dans les fichiers et la configuration de systèmes surviennent souvent lors d’une attaque. Le pirate va en effet installer des outils (y compris des logiciels malveillants ciblés) souvent impossibles à détecter avec les antivirus traditionnels. Toutefois, les changements qu’ils apportent aux systèmes infectés peuvent être détectés et sont ainsi utilisés pour identifier les systèmes compromis. Certaines industries telles que celle du commerce de détail utilisent notamment cette méthode pour suivre les attaquants cherchant à voler des informations relatives à des cartes bancaires. De fait, l’attaquant est susceptible d’installer des outils de capture de paquets réseau pour collecter des données relatives à des cartes bancaires alors qu’elles transitent sur le réseau. Les attaquants concentrent leurs efforts sur les systèmes susceptibles d’observer le trafic réseau.

> Bien que les chances de trouver un outil de capture de paquets réseau (parce qu’il sera développé sur mesure et probablement totalement nouveau) soient limitées, les changements de configuration des systèmes compromis peuvent être aisément observés.

3. Des changements d’activité d’utilisateurs à privilèges élevés, comme les administrateurs de systèmes, peuvent indiquer que le compte concerné est utilisé par un tiers pour essayer d’établir une tête de pont sur votre réseau. De fait, les utilisateurs à privilèges élevés sont souvent la cible d’opérations d’hameçonnage, dans le cadre d’une attaque avancée persistante puisqu’ils ont accès à des informations de grande valeur. La surveillance d’éventuels changements – tels que durée d’activité, systèmes connectés, type ou volume d’informations consultées – peut fournir une indication sur une violation de sécurité très tôt dans son déroulement. C’est un important sujet de préoccupation pour la plupart des entreprises, mais ça l’est encore plus dans le secteur de la santé. Dans celui-ci, de nombreuses personnes au sein des organisations sont susceptibles d’accéder à des données protégées dont elles n’ont pas véritablement besoin. Et un tel accès peut être utilisé par un attaquant pour dérober des informations pouvant conduire à une violation de sécurité très grave et très coûteuse.

> Surveillez les habilitations et les accès aux applications métiers, ainsi que la séparation des tâches (SOD).  Les risques liés à la séparation des tâches se manifestent suite à une série d’actions réalisées par une même personne et qui entraînent une erreur ou pire, une fraude. Par exemple, un utilisateur ayant accès aux transactions de création/modification des commandes fournisseurs et aux transactions de paiement pourrait créer un fournisseur fictif et initier un paiement…

4. Les schémas de trafic réseau sortant vers de nouveaux hôtes, tout particulièrement mis en perspective avec des informations provenant de services de réputation d’adresses IP, peuvent indiquer qu’un système compromis communique avec un serveur de commande et de contrôle. Toutes les organisations s’inquiétant d’un risque de compromission de leur système d’information devraient surveiller un éventuel trafic réseau sortant inattendu. Souvenez-vous : les chances d’empêcher un attaquant d’entrer sont faibles ; les attaques modernes se caractérisent par un niveau élevé de persistance et par une capacité avérée à passer les défenses.

> Surveillez l’activité au sein du réseau et le trafic quittant votre périmètre. Les systèmes compromis communiquent souvent avec des serveurs de commande et de contrôle et le trafic correspondant peut être observé avant que ne soient causés des dégâts réels.
> Cherchez le trafic sortant visant des adresses IP inhabituelles. Les listes Noires / Blanches des adresses IP utilisées sur Internet font aujourd’hui parties des points indispensables à surveiller.

5. Un événement imprévu, tel que l’application impromptue de correctifs sur des systèmes, peut indiquer qu’un attaquant est parvenu à établir une tête de pont sur votre réseau et s’attache à supprimer des vulnérabilités pour éviter que des concurrents ne le suivent. Il peut s’agir par exemple de l’application soudaine de correctifs comblant des vulnérabilités connues, tout particulièrement sur des applications ouvertes au Web. Cela peut paraître à première vue comme une bonne chose, et donc ne pas éveiller les soupçons. Une analyse des systèmes de l’organisation conduisant à découvrir que quelqu’un a comblé des vulnérabilités connues, mais préalablement non corrigées, peut indiquer qu’un attaquant s’est infiltré sur le réseau et referme derrière lui les portes qu’il a utilisées afin d’éviter l’arrivée de concurrents. Après tout, la plupart des attaquants cherchent à gagner de l’argent à partir de vos données ; ils n’ont aucune raison de vouloir partager les profits avec quelqu’un d’autre.

> Il est parfois payant de s’interroger avec suspicion sur un cadeau qui semble trop beau pour être sincère…

La sécurité reste le principal frein à la transformation numérique des entreprises en Europe

Selon une enquête réalisée à l’échelle européenne par Quocirca pour CA Technologies, les problématiques liées à la sécurité des données (propriétés intellectuelles, données personnelles et localisation de stockage) restent la principale barrière qui freine l’adoption du Cloud par les entreprises

1.     L’enquête « L’Adoption des Services basés sur le Cloud » révèle qu’une majorité d’entreprises européennes (52%) restent prudentes vis-à-vis du Cloud. Parallèlement, une proportion équivalente (environ 25%) l’adoptent et le rejettent.

2.    Le premier vecteur d’adoption du Cloud reste les économies de coût. Mais désormais, les entreprises cherchent également à améliorer leur efficacité en mettant l’informatique réellement au service des métiers. Le Cloud devient ainsi le levier d’accélération des stratégies de transformation que les entreprises appellent de leurs vœux depuis 30 ans.

3.    La principale barrière freinant l’adoption du Cloud est la sécurité des données. 78% des entreprises réticentes pensent qu’elles ne disposent pas de ressources suffisantes et 65% considèrent qu’elles manquent des compétences nécessaires à la sécurisation de leurs services de Cloud. Mais les entreprises ayant déjà mis en œuvre des programmes de transformation numérique reposant sur le Cloud ont pris en compte dès le départ les problématiques de sécurité.

4.    Pour consulter le rapport complet, « The Adoption of Cloud-Based Services », cliquez ici.

L’adoption des services de Cloud par les entreprises ne cesse d’augmenter. Une récente enquête réalisée par Quocirca pour le compte de CA Technologies révèle que 57% des DSI de grandes entreprises européennes utilisent des services de Cloud dès qu’ils le peuvent ou en complément à leurs propres ressources internes. Selon eux, les services de Cloud accroissent la compétitivité de l’entreprise (la productivité, l’efficacité et la collaboration), le tout pour un coût total de possession inférieur. Près d’une entreprise européenne sur deux est encore réticente à adopter le  Cloud, du fait de préoccupations liées à la sécurité de leurs données 43% des entreprises européennes restent encore réticentes au Cloud. Parmi elles, on en compte 23% qui évitent de recourir au Cloud. 17% évaluent leur intérêt au cas par cas et  3% bloquent systématiquement l’accès au Cloud.

La principale barrière freinant l’adoption du Cloud est la sécurité. Plus de 54% de ces entreprises se déclarent préoccupées par les problématiques de sécurité liées à la propriété intellectuelle (vol de brevets, etc.), 43% par les problématiques de respect de la vie privée (exploitation de données personnelles, etc.) et 39% par le stockage de données confidentielles dans le Cloud (l’actualité relate quotidiennement des cas retentissants de vols et de fuites de données critiques).

Plus des trois quarts (78%) de ces entreprises françaises réticentes au Cloud déclarent manquer de ressources pour sécuriser ces services de Cloud et 65% de compétences adéquates. Ces chiffres laissent entendre que si on les aidait à mettre en œuvre et à sécuriser leurs services de Cloud, la plupart pourrait surmonter la principale barrière qui freine leur adoption.

Parmi les autres barrières mentionnées par les dirigeants informatiques interrogés, les législations sont perçues comme d’importants freins, principalement dans le secteur public, l’industrie et les télécommunications. Ceci soulève deux questions fondamentales :

–      comment innover dans un contexte de régulation intense ?

–      la loi est-elle un obstacle à l’innovation ?

La gestion des identités et des accès pour sécuriser les services de Cloud Les entreprises qui ont adopté le Cloud ont pensé à la sécurité dès le début de leur projet : 93% des entreprises françaises favorables au Cloud disposent d’un système de gestion des identités et des accès, contre seulement 48% des entreprises réticentes. 68% d’entre elles exploitent un modèle SaaS, contre seulement 30% des entreprises réticentes.

« Notre enquête prouve que la gestion des identités et des accès est primordiale pour les entreprises adoptant le Cloud. Les entreprises françaises encore réticentes peuvent surmonter leurs problématiques de sécurité et simplifier leurs processus grâce à des offres SaaS. D’ailleurs l’étude montre que 82% des entreprises favorables au Cloud considèrent que de nombreux services de sécurité – Single Sign On (SSO), gouvernance fédérée des identités et des accès – sont plus efficaces lorsqu’ils sont délivrés via des modèles SaaS ou hybrides », déclare Gaël Kergot, Directeur des Solutions de Sécurité chez CA Technologies.

Outre les gains d’efficacité, de productivité et de satisfaction des clients, les solutions de gestion des identités et des accès en mode SaaS répondent surtout au besoin de réduction de la complexité informatique exprimé par les entreprises européennes dans cette enquête. Qu’elles soient enthousiastes ou réticentes au Cloud, entre 30 et 40% d’entre elles considèrent que la complexité est encore un frein majeur au déploiement de services de Cloud. Ceci est notamment dû au fait qu’elles considèrent manquer des compétences nécessaires pour réussir leurs déploiements.

Les dirigeants d’entreprise ne s’inquiètent pas de la sécurité des données sur le Cloud

Peu préoccupés par la sécurité, les hauts dirigeants n’hésitent pas à contourner les règles d’utilisation des applications sur le Cloud. Si la sécurité des applications déployées dans le Cloud est une préoccupation importante pour les utilisateurs professionnels, la plupart d’entre eux n’hésitent pas à recourir au Cloud pour y stocker leurs données personnelles et professionnelles…sans se soucier des risques encourus. C’est l’une des principales conclusions de la récente étude publiée par SafeNet Labs, créateur de la solution SafeMonk, nouveau  service de chiffrement des espaces de stockage dans le Cloud « Dropbox » à destination des entreprises.

Lorsque SafeNet Labs – incubateur technologique lancé par SafeNet, Inc. (leader mondial de la protection de données) en faveur du développement de nouvelles technologies – a demandé à des centaines d’utilisateurs professionnels du monde entier s’ils étaient préoccupés par la sécurité des applications ou des données stockées dans le Cloud, 52 % ont répondu « Oui ». Cependant, 64 % des personnes interrogées ont déclaré utiliser fréquemment des applications basées sur le Cloud pour stocker leurs données personnelles et professionnelles. À la question « Est-ce que la sécurité de vos données et informations vous empêche de dormir ?», plus de la moitié ont répondu « Non, je dors comme un bébé. »

Un examen approfondi des résultats de cette étude montre que plus un poste est élevé dans la hiérarchie d’une entreprise, plus son titulaire est susceptible de recourir à des services de partage de fichiers comme Dropbox – et ce, en dépit des règles en vigueur dans l’entreprise. Ainsi, 33 % des dirigeants de niveau corporate (CEO, CFO, COO.) répondent par l’affirmative contre seulement 18 % pour les autres employés. La majorité des personnes interrogées (59 %) a déclaré qu’elle « ne serait pas surprise » d’apprendre que leur patron ou des dirigeants de leur entreprise utilisent des applications de partage de fichiers telles que Dropbox, malgré les règles s’opposant à cette pratique. En général, les dirigeants se sentent moins préoccupés par la sécurité dans le Cloud que leurs collaborateurs (respectivement 39 % et 54 % ont répondu « Oui »).

« Cette étude suggère que l’utilisation d’applications et le stockage de documents dans le Cloud continuent de proliférer, et que les sociétés devraient revoir les attitudes archaïques qui prévalent quant à l’utilisation de ces applications dans l’entreprise », a déclaré à datasecuritybreach.fr Tsion Gonen, Chief Strategy Officer, SafeNet, Inc. « Il ne fait pas de doute que les hauts dirigeants comprennent parfaitement les avantages que peut offrir l’utilisation d’applications dans le Cloud, et qu’ils devraient donner à leur entreprise les moyens d’en tirer parti en adoptant des outils et des pratiques de sécurité modernes ».

Le critère géographique entre également en ligne de compte en matière de sécurité des données dans le Cloud. Par exemple, l’utilisation d’applications basées sur le Cloud est nettement plus courante dans la région EMEA (Europe, Moyen-Orient et Afrique) qu’aux États-Unis et en Asie-Pacifique, de même que les niveaux d’inquiétude concernant la sécurité des données ou l’application de règles contre l’utilisation d’applications dans le Cloud. Toutefois, les personnes interrogées dans la zone EMEA sont davantage susceptibles d’ignorer lesdites règles. L’objet de leur préoccupation varie également en ce qui concerne la confidentialité de leurs données : les personnes interrogées aux États-Unis et dans la région EMEA déclarent se méfier des administrations, tandis qu’en Asie-Pacifique, Google est en ligne de mire. De plus, les personnes consultées en Asie-Pacifique constituent le groupe d’utilisateurs le plus inquiet s’agissant de leurs données et informations, craignant qu’elles soient exploitées à des fins malveillantes.

Au total, 52 % des personnes interrogées se disent inquiètes à l’idée que leurs applications bancaires et financières puissent être piratées. Les systèmes qu’elles utilisent le plus souvent sont Dropbox pour le stockage de fichiers (39 %) et les outils d’organisation personnels (25 %) ; par ailleurs, la messagerie électronique reste le principal outil utilisé pour partager des fichiers (68 %), selon l’enquête.

* SafeNet Labs a mené cette enquête en août 2013. SafeNet Labs est le créateur de SafeMonk, seule solution de chiffrement au monde contre les interceptions, spécialement conçue pour les utilisateurs du service de partage de fichiers Dropbox.

4 documents sur 10 perdus par année sur le web

Une étude Kroll Ontrack révèle que 40 % des entreprises perdent des données dans leurs environnements virtuels chaque année. 33 % seulement des entreprises ayant subi une perte au cours de l’année écoulée ont pu récupérer 100 % de leurs données.

80 % des entreprises pensent que le stockage de données dans un environnement virtuel réduit ou prévient le risque de perte de données pour leur organisation. Pourtant, 40 % des entreprises qui ont recours au stockage virtuel ont subi l’an passé une perte de données à partir de ces environnements.

Cette étude menée par Kroll Ontrack, leader sur le marché de la récupération de données, de la recherche d’informations et de preuves informatiques, révèle des chiffres sur la fréquence des pertes de données dans les environnements virtuels et sur la gestion de la récupération. Ainsi, il en ressort que 84 % des entreprises ont recours à la virtualisation pour le stockage et que près d’un tiers des personnes interrogées ont 75 à 100 % de leur environnement actuel stockés dans un environnement virtualisé. Parmi les entreprises qui stockent des données dans un environnement virtuel, 40 % ont subi au moins une perte de données au cours des 12 derniers mois, contre 65 % en 2011. Fait intéressant, 52 % des entreprises croient que les logiciels de virtualisation diminuent le risque de perte de données.

« C’est une erreur de croire que les environnements virtuels sont intrinsèquement plus sûrs ou moins exposés à la perte de données que les autres supports de stockage », affirme Paul Dujancourt, directeur général de Kroll Ontrack France. « La perte de données virtuelles peut avoir différentes causes, notamment l’altération du système de fichiers, la suppression de machines virtuelles, l’altération d’un disque virtuel interne, la défaillance du système RAID et autre matériel serveur ou de stockage, et la suppression ou l’altération de fichiers contenus dans les systèmes de stockage virtualisés. Les ramifications sont généralement bien plus graves, car le volume de données stockées dans un environnement virtuel est exponentiel par rapport à celui stocké sur un système de stockage ou un serveur physique ».

L’étude révèle en outre que seulement 33 % des entreprises ont réussi à récupérer 100 % de leurs données perdues, ce qui représente une baisse de 21 % par rapport à 2011, où 54 % des entreprises avaient pu récupérer l’intégralité de leurs données. Les 67 % de personnes interrogées restantes ont révélé qu’elles n’avaient pas été en mesure de récupérer toutes les données suite à leur perte de données la plus récente.

« Même si l’utilisation de VMware® en tant qu’infrastructure courante a gagné en maturité et qu’il se produit apparemment moins d’incidents, les entreprises sont toujours frappées par des pertes de données cruciales », souligne Paul Dujancourt, directeur général de Kroll Ontrack France. « Cette diminution de l’aptitude à restaurer entièrement les données prouve qu’il existe un risque élevé de perte permanente des données lorsque les entreprises ne font pas appel à un professionnel expérimenté dans ce type de récupération après une perte de données dans un environnement virtuel ».

Lorsqu’on leur demande comment leur entreprise a tenté la récupération, la majeure partie des personnes interrogées (43 %) indique avoir reconstitué les données. Elles étaient seulement une sur quatre à avoir consulté un spécialiste de la récupération de données.

« La reconstitution des données ne doit pas être le premier réflexe des entreprises, car cette méthode leur coûte beaucoup de temps et de ressources. Des spécialistes expérimentés de la récupération de données tels que Kroll Ontrack ont les processus, les technologies et l’expérience nécessaires pour récupérer les données dans des environnements virtualisés complexes, et permettre ainsi d’assurer le fonctionnement continu des entreprises », ajoute Paul Dujancourt, directeur général de Kroll Ontrack France.

724 professionnels de l’informatique ont participé à cette étude en août 2013. 223 ont répondu à l’étude en personne à l’occasion du VMworld® 2013 aux États-Unis, tandis qu’ils étaient 466 de la région Europe, Moyen-Orient et Afrique et 35 de la région Asie-Pacifique à répondre à l’étude en ligne. La liste complète des questions et des résultats de l’étude est disponible sur demande.