Archives par mot-clé : cloud

Législation européenne sur le cloud : Un changement favorable aux fournisseurs américains

Dans un revirement surprenant, il semble que l’Europe n’exige finalement pas que les fournisseurs de cloud soient exemptés des lois non européennes. Cette évolution est une bonne nouvelle pour les entreprises américaines cherchant à offrir plus facilement leurs services aux gouvernements.

Bien que la loi n’ait pas encore été finalisée, la dernière version, selon Reuters, ne précise plus que les règles de cybersécurité pour les contrats cloud doivent éviter les lois non européennes.

Cela marque un changement par rapport à une version précédente, qui exigeait que les entreprises américaines souhaitant fournir des services cloud à l’Europe ou à ses États membres établissent une coentreprise avec une entité européenne. Dans le cadre de cette collaboration, les données des clients européens devaient être stockées et traitées au sein de l’Union.

Ces principes ont été vivement critiqués, non seulement par les fournisseurs de cloud, mais aussi par les banques, les chambres de compensation, les assureurs et les start-ups, qui préféraient des exigences techniques à des règles politiques et de souveraineté générales.

Ce changement représente une évolution positive pour les fournisseurs de cloud américains. Précédemment soumises à la législation américaine, ces entreprises pouvaient, dans des cas exceptionnels, être contraintes de coopérer avec les enquêtes américaines. De plus, elles n’étaient peut-être pas autorisées à divulguer de telles informations à leurs clients européens.

Selon Reuters, la version adaptée est actuellement examinée par les états membres. La version finale devrait suivre ultérieurement.

L’importance de l’expertise pour l’évolution et l’exploitation d’infrastructures cloud : efficacité, sécurité et agilité

Dans un monde numérique en constante évolution, les infrastructures cloud sont devenues la clé de voûte des entreprises qui cherchent à optimiser leurs opérations, à sécuriser leurs données et à maintenir leur agilité. Cependant, la gestion et l’évolution de ces infrastructures nécessitent un certain niveau d’expertise, d’où l’importance de faire appel à des experts. Les plateformes de services sur-mesure offrent une réponse personnalisée aux besoins d’efficacité, de sécurité et d’agilité des entreprises.

Expertise : un atout majeur pour l’exploitation du cloud

La complexité inhérente à la gestion du cloud peut s’avérer déroutante, même pour les entreprises technologiquement averties. L’exploitation efficace du cloud nécessite une compréhension approfondie des diverses architectures, des protocoles de sécurité, des réglementations et des meilleures pratiques du secteur. C’est ici qu’intervient l’expertise. Les experts en cloud peuvent aider les entreprises à naviguer dans ce labyrinthe complexe et à maximiser la valeur de leurs investissements dans le cloud.

Sécurité : une priorité dans le cloud

La sécurité est une préoccupation majeure pour toutes les entreprises, et le cloud n’y échappe pas. Les menaces de sécurité évoluent constamment, ce qui rend la protection des données et la sécurité des infrastructures cloud un défi permanent. Les experts en sécurité du cloud comprennent ces menaces et sont équipés pour les contrer, assurant ainsi la sécurité des précieuses données de l’entreprise. De plus, les plateformes de services sur-mesure peuvent offrir des solutions de sécurité adaptées à l’entreprise, renforçant ainsi sa posture de sécurité. L’expérience, la certification ISO 27001 sont des élèments à prendre en compte pour le choix de votre expert du cloud sur-mesure.

Agilité : un avantage concurrentiel

Dans le paysage commercial d’aujourd’hui, l’agilité est devenue un avantage concurrentiel clé. Les entreprises doivent être capables de s’adapter rapidement aux changements du marché et aux nouvelles opportunités. Grâce à l’expertise en cloud, les entreprises peuvent tirer pleinement parti de l’agilité offerte par le cloud. Les experts peuvent aider à concevoir et à mettre en œuvre des infrastructures cloud qui favorisent l’innovation rapide, l’évolutivité et la flexibilité. Avec le soutien d’experts, les entreprises peuvent profiter pleinement de l’agilité offerte par le cloud. Que ce soit pour le déploiement rapide de nouvelles fonctionnalités, l’adaptation à la demande fluctuante, ou l’expansion dans de nouveaux marchés, l’expertise en cloud peut aider les entreprises à rester compétitives dans le paysage commercial en constante évolution.

Plateformes de services sur-mesure : la réponse aux besoins d’efficacité, de sécurité et d’agilité

Les plateformes de services sur-mesure offrent une solution idéale pour les entreprises cherchant à exploiter au mieux le cloud. Ces plateformes fournissent une gamme de services personnalisés qui répondent aux besoins spécifiques de chaque entreprise. Que ce soit pour améliorer l’efficacité opérationnelle, renforcer la sécurité ou augmenter l’agilité, une plateforme de services sur-mesure peut fournir les outils et l’expertise nécessaires. L’expertise en cloud permet aux entreprises de naviguer avec confiance dans le paysage complexe du cloud, d’assurer la sécurité de leurs données et de rester agiles face à l’évolution rapide du marché. Les plateformes de services sur-mesure, en particulier, offrent une solution unique qui répond aux besoins spécifiques de chaque entreprise, garantissant ainsi l’efficacité, la sécurité et l’agilité. Avec l’évolution constante des applications modernes et des outils collaboratifs, l’adoption d’une infrastructure cloud fiable et performante est devenue une nécessité impérieuse pour les entreprises de toutes tailles, des PME aux grandes organisations. Les aspects tels que la sécurisation et la résilience des infrastructures, l’authentification renforcée et les droits d’accès, ainsi que la minimisation de la surface d’exposition, sont des facteurs clés dans ce processus.

Un accompagnement personnalisé pour des performances optimisées

L’accompagnement d’experts dans le déploiement et la gestion des infrastructures cloud permet d’adapter les ressources aux besoins précis des entreprises. Ainsi, les coûts sont optimisés, évitant le gaspillage de ressources inutilisées. De plus, les experts peuvent aider à identifier les opportunités d’amélioration, contribuant ainsi à une meilleure efficacité opérationnelle.

La tranquillité d’esprit grâce à la sécurité renforcée

Les plateformes de services sur-mesure offrent des solutions de sécurité personnalisées, qui peuvent être adaptées en fonction des exigences spécifiques de chaque entreprise. Cela signifie que les entreprises peuvent se concentrer sur leur cœur de métier, en sachant que leurs données et infrastructures sont protégées par des experts en sécurité du cloud.

En somme, l’expertise en cloud est une ressource précieuse pour toute entreprise cherchant à exploiter au mieux le potentiel du cloud. Les plateformes de services sur-mesure, avec leur offre personnalisée, fournissent l’expertise, les outils et les solutions nécessaires pour répondre aux besoins d’efficacité, de sécurité et d’agilité des entreprises. En faisant appel à des experts, les entreprises peuvent non seulement optimiser leur utilisation du cloud, mais aussi renforcer leur position dans le marché numérique d’aujourd’hui.

Les équipes de sécurité mettent en moyenne 145 heures jours pour résoudre une alerte cybersécurité

Selon le nouveau Cloud Threat Report, les équipes de sécurité mettent en moyenne 145 heures, soit environ six jours, pour résoudre une alerte de cybersécurité.

Les chercheurs du groupe Unit 42 ont analysé plus de 210 000 comptes cloud de 1 300 organisations dans le monde pour parvenir à cette conclusion. À mesure que les organisations adoptent le cloud, elles sont confrontées à des risques de sécurité croissants, car toute configuration erronée peut être exploitée par des cybercriminels. Dans son rapport, Palo Alto Networks met en garde contre les dangers de l’authentification insuffisante, des correctifs inadéquats et des logiciels open source malveillants.

Les chercheurs ont également constaté que 76 % des organisations n’utilisent pas d’authentification multi-facteur pour les utilisateurs ayant des droits de contrôle et que 58 % n’ont pas d’authentification multi-facteur pour les gestionnaires d’accès administrateur. Unit 42 a également observé que 63 % du code de base en production présentent des failles critiques non corrigées, tandis que seulement 5 % des règles de sécurité sont responsables de 80 % des alertes dans la plupart des environnements cloud.

Palo Alto Networks conseille donc aux organisations de planifier des sauvegardes et de les stocker dans des emplacements isolés, ainsi que d’élaborer des plans stratégiques en cas d’incident. Les chercheurs prévoient également un glissement de la sécurité des terminaux vers des plates-formes protégeant directement les applications dans le cloud, connues sous le nom de Cloud-Native Application Protection Platforms (CNAPP). Selon le cabinet-conseil Gartner, la demande de solutions CNAPP a augmenté de 70 % en 2021-2022.

CNAPP, Kesako ?

Un CNAPP (Cloud-Native Application Protection Platform) est une plateforme de sécurité des applications dans le cloud. Les CNAPP sont conçues pour protéger les applications qui fonctionnent nativement dans des environnements de cloud computing, tels que les conteneurs et les microservices. Les plates-formes CNAPP sont également adaptées aux environnements de développement DevOps, où les applications sont fréquemment mises à jour et déployées rapidement. Les CNAPP fournissent des fonctionnalités telles que la gestion des identités et des accès, la détection et la réponse aux menaces, la conformité et la gouvernance, ainsi que la surveillance et la gestion des risques. L’utilisation de CNAPP est de plus en plus courante car elle permet de mieux sécuriser les applications dans le cloud, qui est devenu une cible de choix pour les cyberattaques en raison de l’augmentation de la migration des applications des entreprises vers le cloud.

Les Services en Data Center, essentiel pour sa cybersécurité

Les normes cybersécurité n’ont jamais été aussi nombreuses et poussées. FinTechs, RegTechs, deux normes dédiées à la cybersécurité des données de votre entreprises. Imposant les règles les plus élevées afin de rendre disponible et sécuritaire les applications critiques.

Certification de protection des données (ISO 27001), certification de continuité de service et d’activité (ISO 22301), certification PCI DSS, certification Tier IV (capable de fournir une disponibilité des services à hauteur de 99,995%). Bref, n’en demandez pas plus. Les outils pour protéger vos sauvegardes, vos outils de production, vos clients existent et ils sont indispensables dans votre stratégie cyber sécurité. Être accompagné en toute confiance, comment l’explique par exemple la société EBRC. Leurs services affichent, par exemple, un chiffre fou. Depuis la création de cet opérateur, en 2000, les centres de données n’ont jamais subi la moindre interruption.

ISO 27001, rappel !

Cette norme internationale vise la sécurité des systèmes d’information. Créée en octobre 2005, mise à jour huit ans plus tard, en 2013, se traduit par le petit nom de « Technologies de l’information, techniques de sécurité, systèmes de gestion de sécurité de l’information et exigences ». Dans son cadre, le SMSI, le système de management de la sécurité de l’information. Un recensement des mesures de sécurité, dans un périmètre concret et défini. Mission, trouver le juste milieu, pas trop sévère, mais ne pas être laxiste non plus. Les entreprises peuvent se baser sur les quatre piliers : établir, implémenter, maintenir, améliorer. Un plan de bataille en quelque sorte.

Par établir, qu’a donc besoin l’entreprise ? Dans quel périmètre. Quel niveau de sécurité ? Il va falloir évaluer les risques.

Ensuite, identifier les menaces, les actifs, les failles, les responsabilités, définir la probabilité des risques, estimer.

Traiter les risques, sans oublier les problématiques résiduelles. C’est d’ailleurs dans cette partie que la réflexion sur le transfert des responsabilités techniques est à prévoir (cloud, assurance, etc.)

114 mesures de l’ISO 27001

Parmi les 114 mesures de l’ISO 27001, la réflexion sur une solution de contrôle des accès à privilèges et des autorisations pour les serveurs sur site et dans le cloud peuvent être largement réfléchis. Par exemple, un workflow granulaire permet aux utilisateurs de demander une élévation de leurs privilèges afin d’exécuter des commandes spécifiques qui exigent habituellement des droits complets d’administrateur.

L’édition 2022 de l’étude VMWare Global Incident Response Threat Report révèle que dans 25 % des attaques des mouvements latéraux sont détectés. Pour ce faire, les cybercriminels exploitent des outils tels que les scripts hôtes, le stockage de fichiers et la synchronisation.

Cloud Suite apporte aux entreprises de robustes capacités qui contribuent à limiter l’impact d’une attaque potentielle et à réduire grandement le risque de mouvements latéraux. Par exemple, les équipes informatiques peuvent consolider les identités entre les annuaires d’entreprise et les prestataires cloud (Active Directory, Azure AD, AWS, Google Cloud), simplifier l’authentification et appliquer des contrôles granulaires des autorisations afin de mettre en place des meilleures pratiques suivant le principe de moindre privilège, renforçant ainsi les postures de sécurité.

Bref, vous l’aurez compris, se pencher sur l’ISO 27001, certification de continuité de service et d’activité (ISO 22301), certification PCI DSS, ne se fait pas seul et sans l’approche et la connaissance d’expert du sujet.

Quelle est la sécurité des services de stockage en ligne ?

Une nouvelle étude affiche des résultats peu rassurants sur l’état des lieux de la cyber protection en 2022.

La société Acronis, spécialiste de la cybersécurité, vient de dévoiler ses résultats concernant sa nouvelle étude sur l’état des lieux de la cyber protection en 2022. 6 200 responsables et utilisateurs informatiques de 22 pays, dont la France, ont été interrogés. Les résultats exposent certaines des lacunes les plus critiques apparaissant dans les pratiques de cyber protection aujourd’hui.

En 2021, 80 % des entreprises utilisaient jusqu’à 10 solutions différentes pour la protection des données et la cybersécurité – pourtant, plus de la moitié d’entre elles ont subi des temps d’arrêt dus à la perte de données. Cette année : 78 % des organisations gèrent jusqu’à 10 solutions différentes, tandis que 76 % d’entre elles subissent des temps d’arrêt dus à la perte de données – soit une augmentation de 25 % par rapport à 2021. Plus inquiétant encore, la réflexion sur le meilleur stockage en ligne en terme de sécurité ne semble pas une priorité.

Les organisations traitent encore la cyber protection comme un élément « utile » et non comme une « nécessitée » : la moitié des organisations au niveau mondial allouent moins de 10% de leur budget informatique global à la sécurité informatique. Seules 23 % des entreprises dans le monde investissent plus de 15 % de leur budget informatique global dans la sécurité.

Comme l’explique l’étude, un tiers des responsables informatiques ne font que des sauvegardes hebdomadaires, tandis que 25 % font des sauvegardes mensuelles. L’utilisation des meilleures pratiques de sauvegarde est en baisse dans l’ensemble de l’entreprise – seulement 15 % des équipes informatiques des organisations y adhèrent.

86 % des entreprises sont préoccupées par la menace d’une augmentation des cyberattaques à caractère politique, causée par la détérioration du climat géopolitique avec, entre autre, la guerre déclarée par la Russie à l’Ukraine.

43% des utilisateurs effectuent les mises à jour une semaine ou plus après la publication d’une mise à jour – parmi eux, 7% mettent plus d’un mois (!) pour effectuer les mises à jour recommandées. Une grosse baisse du temps de réponse par rapport à 2021. 66% des utilisateurs ne sauraient ou ne pourraient pas dire si leurs données ont été modifiées.

Pas de transformation digitale réussie sans IAM

L’usage croissant du numérique dans le mode de fonctionnement des entreprises les amène à faire évoluer leurs processus de gestion en continu. Dans ce contexte, les notions de collaboratif, de cloud, de No Code occupent désormais une place centrale. La main est donnée aux collaborateurs qui développent à marche forcée applications et process automatisés. Si l’on peut s’en réjouir, il convient d’être toutefois vigilant car le pendant de cette évolution inéluctable est la perte de maitrise de qui en final a accès à quelle application (Saas / Low code / automation… etc) et ou donnée.

Les cybers criminels en profitent et aujourd’hui plus qu’hier, les entreprises sont exposés à un risque de cyber attaque et de compliance très élevé. Le télétravail dont on imagine qu’il va demeurer accroit ce risque. Ce sujet devient prégnant pour les DSI et les solution d’IAM doivent évoluer pour circonscrire le sujet au risque d’avoir à mettre un frein sur la transformation digitale en cours. Il s’agit du principal défi des DSI pour les 3 prochaines années

L’âge d’or des technologies IAM

Concrètement, les solutions d’IAM connaissent aujourd’hui une très forte croissance à l’échelle mondiale. Mais qu’est-ce que l’IAM ? Gartner définit cette approche comme « la discipline qui permet aux bonnes personnes d’accéder aux bonnes ressources au bon moment pour les bonnes raisons ». L’objectif de l’IAM consiste alors  à résoudre rapidement et dynamiquement le dilemme qui est d’accélérer la transformation digitale tout en sécurisant la gestion et la gouvernance des accès aux applications stratégiques et systèmes de gestion des entreprises. Ce point est particulièrement sensible pour les grandes organisations déployées à l’échelle mondiale qui connaissent des mouvements importants de collaborateurs (entrée et sorties). Si le sujet de la protection des identités est maitrisé, celui de la gouvernance des accès, c’est-à-dire l’identification des rôles et des responsabilités de chacun ne l’est pas.

Mettre en place son projet IAM avec succès

Véritable sujet de gouvernance, l’IAM est un projet qui nécessite de prendre de la hauteur et de bien cartographier son organisation pour définir des rôles et des profils types qui permettront ensuite d’automatiser la gestion des identités. Les collaborateurs pourront alors accéder dès leur arrivée dans l’entreprise aux bonnes ressources et applications pour réaliser leurs missions. Il s’agit donc d’un véritable enjeu de productivité, de qualité, mais également de sécurité. N’oublions pas que la mauvaise gestion des accès est l’une des principales failles utilisées pour accéder au système d’information. Le sujet de la compliance précipité par les règlementations de plus en plus contraignantes ajoute aux exigences de ce que doit servir l’IAM et l’on voit aujourd’hui que le point des SoD devient un must have.

Gestion automatisée des rôles (création et modification) et provisionning automatique des utilisateurs et des affectations sont donc les grands bénéfices de l’approche IAM. De fait, il devient alors possible de standardiser les droits d’accès et de permettre également aux directions métiers de participer activement à ces projets. Ce point stratégique est important à prendre en considération dans la mesure où un projet IAM réussi ne peut se limiter à une approche purement technique. Il doit impérativement être mené de concert avec les équipes métiers et la Direction des Systèmes d’information.

L’IAM est donc un formidable accélérateur et un incontournable pour permettre aux organisations de mener à bien leur transformation numérique. Au-delà de simplement améliorer le processus de gestion des accès, cette approche offre également la possibilité de gagner en agilité, d’élever son niveau de cyber protection et de maîtriser ses risques. (Par Olivier BOURROUILH, CEO de ROK Solution)

Cybersécurité : les 7 tendances 2021 pour aider les entreprises à relever leurs défis business

Dans toutes les organisations, chaque expérience, qu’elle soit client, collaborateur ou utilisateur, a désormais une composante digitale. Ces différentes expériences ont un impact sur la perception client.

Avec la crise Covid-19 et l’obligation de distanciation physique, il a fallu déployer le télétravail pour garantir la continuité d’activité. Un très grand nombre d’interactions sont devenues virtuelles et 2020 a été l’année de l’accélération de la transformation digitale. Ces transformations vont perdurer et les organisations vont maintenant devoir structurer ce qu’elles ont pu entreprendre dans l’urgence. L’enjeu est alors de pouvoir garantir aux collaborateurs des accès performants et sécurisés à leur environnement de travail quel que soit le contexte d’usage.

1 – Le zero trust, modèle de référence pour la sécurité des systèmes d’information

Nous assistons à un changement radical dans le monde des réseaux et de la sécurité des accès. Les organisations passent d’une architecture centrée-réseau (« network-centric ») à une architecture centrée-utilisateur (« user-centric ») et centrée-application (« application-centric »). Auparavant, on pensait : « à l’intérieur, sécurisé ; à l’extérieur, dangereux ».

Désormais, on ne peut plus distinguer l’intérieur et l’extérieur, et l’organisation n’a plus de périmètre de sécurité. Elle ne peut plus donner sa confiance par défaut. D’où l’émergence de l’approche « zero trust » qui consiste à tester le niveau de confiance à chaque interaction.

2 – L’identité est le nouveau périmètre de sécurité des organisations.

C’est l’identité de la personne et les applications qu’elle utilise qui doivent déterminer la portée de ce qu’elle peut faire car la sécurité du réseau peut être compromise si les terminaux qui s’y connectent ne sont pas maintenus par l’organisation et dits “de confiance”. Il faut donc considérer les habilitations qui permettent d’accéder aux « applications », de manière la plus précise possible, selon des critères fonctionnels, temporels et liés au contexte d’utilisation. On pourra par exemple limiter l’accès à certaines fonctions si l’on considère que l’utilisateur accède à l’application depuis un « contexte plus risqué ».

3 – L’utilisateur, « le premier rempart »

Avec la digitalisation croissante des interactions, l’enjeu pour les organisations est l’amélioration de l’expérience de l’environnement de travail. Il s’agit de permettre aux collaborateurs, qu’ils soient en mobilité, en télétravail, en astreinte, de réaliser l’ensemble de leurs tâches comme s’ils étaient au bureau, avec les mêmes niveaux de performance, d’ergonomie et de sécurité – qui doit être la plus transparente et la moins contraignante possible.

Lorsqu’on parle d’authentification, le tandem login/mot de passe est un cauchemar pour les utilisateurs et les RSSI. Une authentification transparente, naturelle et continue doit faciliter la vie et l’expérience des utilisateurs pour en faire les premiers acteurs de sa cybersécurité.

4 – Le cloud va protéger le cloud

Le système d’information des organisations est désormais éclaté en divers services et ressources, certains exploités par l’organisation elle-même et d’autres exploités par des tiers. Il est devenu habituel de passer par des services cloud pour sécuriser l’accès à ces systèmes d’information. Comme ces derniers sont devenus « hybrides », avec des composants déployés dans les datacenters de l’organisation et des services cloud de tiers , il est aussi naturel que les services cloud de sécurisation des accès soient également « hybrides ». Dans un monde où tout devient cloud, il est normal que le cloud sécurise le cloud.

5 – SASE : un changement de paradigme

L’éclatement du réseau en services logiciels amène son nouveau lot de technologies et de services d’accès sécurisé hybrides (en partie dans les datacenters exploités par l’entreprise, en partie dans les datacenters exploités par des fournisseurs de services cloud) avec, notamment, le « Secure Access Service Edge » ou « SASE ». Il s’agit de la convergence entre les technologies de gestion des réseaux et les technologies de sécurité des réseaux et des accès. D’un côté les utilisateurs (« workforces ») sont « n’importe où » et doivent trouver le point d’accès le plus proche de là où ils se trouvent ; de l’autre côté les applications (« workloads ») sont « n’importe où » et leurs services ne doivent être accessibles que par les personnes habilitées. Il faut une maîtrise centrale et locale des politiques de sécurité, que ce soit du côté des utilisateurs ou en matière d’applications.

6 – Intelligence Artificielle et Machine Learning pour lutter contre les fraudes

Des applications très concrètes de l’Intelligence Artificielle permettent aujourd’hui de détecter, parmi un volume toujours croissant de données, les signaux faibles d’une situation anormale. L’apprentissage machine des comportements des utilisateurs permet de détecter très rapidement malveillances ou négligences : un gaucher qui utilise la souris et le clavier comme un droitier, un administrateur réseau qui se met à administrer des bases de données, etc. En mettant en œuvre ces technologies, les organisations vont donc être en mesure de prévoir et annihiler toute fraude avant même qu’elle ne soit effective.

7 – L’hyper-automatisation au service de la cybersécurité

Le recours croissant à l’Intelligence Artificielle et l’apprentissage machine augmente le besoin d’hyper-automatisation : le volume croissant de données et le volume croissant des traitements de ces données génère un besoin croissant d’automatisation de la chaîne d’ingénierie IA/ML. L’expérience de self-service des services cloud, l’élasticité du cloud, le besoin de rapidité (voire d’immédiateté) des utilisateurs : tout ceci concourt à l’automatisation de toutes les tâches de déploiements et de mises à jour, et aux approches dites de « software defined … » ou de « … as code ». (Par Bernard Debauche, Chief Product & Marketing chez Systancia)

L’évolution des menaces dans les Clouds

Un rapport met en lumière les vulnérabilités des clouds, les tactiques des cyber-attaquants, où et comment les menaces font surface dans le contexte actuel, celui du passage généralisé aux l’infrastructures clouds, sans négliger de plonger dans le DevSecOps.

Ces 18 derniers mois, L’U42 a constaté un changement radical dans la façon dont les équipes DevOps déploient leurs infrastructures cloud. Les entreprises adoptent en masse l’infrastructure as code (IAC) en essayant d’automatiser au maximum leurs processus dans le cloud. Quand les équipes passent à l’IaC, elles évitent la création et la configuration manuelle de leur infrastructure en passant par des lignes de codes à la place. Même si ce n’est pas une nouveauté, comme de nombreuses sociétés utilisent cette méthode pour la première fois, de nouveaux risques se présentent.

Les recherches montrent qu’alors que l’IaC propose aux équipes une façon programmable d’implanter les standards de sécurité informatique, cette fonctionnalité puissante reste largement sous-utilisée.

199 000 templates non sécurisés sont en usage. Pourquoi est-ce important ? Les chercheurs ont trouvé un nombre incroyable de templates présentant des failles de sécurité avec des menaces moyennes à hautes. Il suffit d’une de ces mauvaises configurations pour compromettre tout un environnement cloud.

Tout comme il suffit d’une fenêtre ouverte ou d’une porte non verrouillée pour laisser entrer un voleur

Ce taux élevé explique pourquoi dans un précédent rapport, L’Unit42 a montré que 65 % des incidents liés au cloud étaient dus à de mauvaises configurations utilisateurs. Sans utilisations de templates IAS sécurisées dès le départ, les environnements cloud sont mûrs pour des attaques.

43 % des bases de données dans le cloud ne sont pas chiffrées. Pourquoi est-ce important? Avoir des données en clair revient à avoir une maison avec des murs de verre.

Quelqu’un peut venir et voir exactement ce qu’il se passe à l’intérieur. Garder ses données chiffrées empêche les attaquants d’accéder à l’information stockée. Le chiffrement des données est également obligatoire dans certains standards comme PCI DSS ou HIPAA. Les récentes failles de Vistaprint et MoviePass en démontrent l’importance.

60 % des services de stockage dans le cloud ont leur procédure d’identification désactivée. Pourquoi est-ce important? Une société n’accepterait jamais d’avoir plus de la moitié de ses entrepôts sans surveillance ni contrôle d’accès, car cela rendrait impossible de savoir qui entre ou sort dans les lieux. En désactivant la procédure d’identification pour le stockage dans le cloud, des cybercriminels comme CloudHopper ou FancyBear pourraient entrer dans le réseau sans que personne ne le sache. Cette identification est cruciale pour déterminer l’étendue des dégats dans des incidents comme la fuite des listes électorales états-uniennes, ou la fuite de données de la National Credit Foundation.

Les templates IaC les plus couramment utilisés
37% Terraform
24 % des templates CloudFormation
39 % K8s YAML

Les templates IaC les plus vulnérables
22% Terraform
42 % des templates CloudFormation
9 % K8s YAML

Dans le rapport précédent, il était notifié que les sociétés devaient améliorer la supervision centralisée et la mise en place des configurations cloud sécurisées. En dehors des templates IaC, dans les mois qui ont suivi ce rapport, nous avons constaté que les entreprises ont mis du temps à apporter ces améliorations. Pire, il semblerait que certaines s’engagent dans la mauvaise vois.

Les principaux changements depuis le dernier rapport

76 % des charges dans le cloud ont une exposition SSH (port 22), en hausse de 20 % par rapport à l’édition précédente rapport.

Pourquoi est-ce important?

Exposer ses serveurs SSH à l’ensemble d’Internet est une pratique à risque. Les attaquants ciblent les services SSH, car ils fournissent des accès distants aux environnements clouds. Les équipes de sécurité devraient laisser tomber les modèles d’accès basés sur la confiance avec des comptes et des mots de passe. « Ne jamais se fier, toujours vérifier » comme le préconise l’approche Zero-trust. Il est inquiétant de voir que cette exposition des services est une tendance en hausse.

69 % des entreprises exposent leurs postes de travail distants (RDP) (Port 3389), en hausse de 30 % par rapport à la précédente édition rapport.

Pourquoi est-ce important?

Faites votre choix : le poste de travail distant ou SSH. Exposé publiquement, chacun de ces services permet aux attaquants de frapper à votre porte alors qu’ils ne devraient même pas connaître votre adresse. Les chercheurs déconseillent fortement d’exposer les postes de travail distants publiquement sur Internet. De nombreuses solutions existent comme Azure Bastion, un service PaaS proposé par Microsoft. Cette tendance dangereusement à la hausse est à surveiller attentivement d’ici le prochain rapport.

27 % des sociétés utilisent des versions dépassées de TLS (Transport Layer Security), en baisse de 34 % par rapport au précédent rapport.

Pourquoi est-ce important ?

TLS v1.1 a été abandonné en 2008 en raison de sa vulnérabilité croissante aux attaques. En plus de ne plus respecter les demandes de certains standards comme PCI DSS, les entreprises qui l’utilisent encore mettent en danger les données de leurs clients. Voir baisser cette tendance est une bonne chose pour la sécurité des clients et le respect de leur vie privée.

Les bonnes pratiques à avoir

Avoir et maintenir une visibilité pluri clouds

Il est très difficile de sécuriser ce qui n’est pas vu ou su. Les équipes de sécurité doivent être les premiers à réclamer des plateformes cloud sécurisées dès le départ (CNSPs). Une visibilité à travers les clouds publics, privés ou hybrides, mais également les conteneurs, les déploiements « serverless » et les pipelines CI/CD  indispensables.

Respecter les standards

La sécurité à l’échelle du cloud demande un respect strict des standards.  Et cela à travers les environnements cloud publics, privés ou hybrides.

Pas encore de norme de sécurité ? La société peut consulter les benchmarks créés par le Center for Internet Security (CIS).

Un standard sur le papier c’est bien… mais il faut s’assurer qu’il est régulièrement mis en applications.

Toujours plus tôt

La sécurité « shif-left » consiste à prendre en compte la sécurité le plus tôt possible dans le développement. Travaillez avec les équipes DevOps pour que ses standards de sécurité soient compris dans les templates IaC qu’elles utilisent. C’est une situation gagnante tant pour le DevOps que pour les responsables sécurité.

Stockage Cloud et sécurité : trois problèmes rencontrés par les PME

Le cloud, le nuage, a changé la façon dont les entreprises travaillent. Un tout nouveau monde de collaboration et de productivité s’est ouvert. Un environnement dont il devient très compliqué de ne pas utiliser les qualités… et subir les potentiels problèmes de cybersécurité.

Mais l’adoption du cloud continue de susciter des préoccupations en matière de sécurité dans les petites et moyennes entreprises (PME), notamment en matière de stockage. Naturellement, lors du stockage de données dans le cloud avec des services tels que Dropbox for Business, Google Drive, Microsoft OneDrive et Box, les entreprises peuvent avoir le sentiment que leurs données sont moins sécurisées et sujettes aux fuites. Confier vos données à un tiers est simplement risqué car vous n’en avez pas le contrôle.

La recherche d’IS Decisions prouve que ces préoccupations existent. 63% des PME pensent que les fournisseurs de stockage dans le cloud devraient faire davantage pour protéger leurs données. Mais quels sont exactement les problèmes spécifiques que les PME rencontrent avec les données dans le cloud?

1.    Ils ne peuvent pas détecter les accès non autorisés

La détection des accès non autorisés aux fichiers et aux dossiers sensibles de l’entreprise est l’une des principales préoccupations des entreprises en matière de sécurité dans le cloud.

Traditionnellement, lorsque les entreprises stockaient leurs données sur des serveurs de fichiers locaux, elles pouvaient être assurées que les données étaient «relativement» protégées de toute utilisation non autorisée. La raison pour laquelle elles sont supposées sécurisées est due à la nécessité d’être physiquement présent au bureau pour accéder à ces fichiers, ce qui crée une limite naturelle contre les accès non autorisés en dehors de l’organisation.

Même pour les employés et les partenaires tiers utilisant des réseaux privés virtuels (VPN), qui permettent un accès en dehors de cette limite, les données restent relativement sécurisées, car les équipes informatiques peuvent ne restreindre l’accès qu’à des périphériques spécifiques.

Mais avec le stockage dans le cloud, la facilité de partage des données entre les équipes, associée à la simplicité d’intégration de votre stockage avec d’autres applications dans le cloud, augmente considérablement le risque d’accès non autorisé, ce qui pose d’importants problèmes de sécurité aux équipes informatiques qui ont du mal à détecter les utilisations abusives. Sans les bons contrôles d’accès en place, si les informations de connexion d’un employé tombaient entre de mauvaises mains, son auteur pourrait, en théorie, accéder aux fichiers et dossiers sensibles de n’importe où dans le monde, avec n’importe quel appareil.

Les entreprises craignent que, faute de savoir qui accède à ces fichiers, ces informations se retrouvent entre de mauvaises mains. En fait, un sur cinq (21%) est allé jusqu’à dire qu’ils conservaient leurs données les plus sensibles stockées sur une infrastructure sur site, car ils ne faisaient pas confiance à sa sécurité dans le cloud.

2.    Ils luttent pour arrêter le vol de données en cours

Empêcher les employés qui quittent votre entreprise de voler des fichiers d’entreprise sensibles avant leur départ cause énormément de maux de tête aux équipes de sécurité du monde entier.

Avec le stockage sur site, le risque de repérer une personne qui tente de voler des informations sensibles est beaucoup plus grand, car ces informations sont stockées sur un ordinateur de bureau physique, plutôt que de pouvoir être consultées de l’extérieur.

Tandis que, avec le stockage dans le cloud, vous pouvez accéder aux données de n’importe où dans le monde, en utilisant n’importe quel appareil (même personnel), il est donc trop facile pour les anciens employés de voler des informations avant de partir. En fait, même lorsque cet employé quitte officiellement ses fonctions, il existe toujours un risque qu’il ait accès aux données de la société.

3.    La gestion d’environnements de stockage hybrides complexes est difficile

Ce problème est intrinsèquement lié aux deux premiers – et on peut affirmer que les environnements hybrides complexes aggravent beaucoup les problèmes des deux autres.

De nos jours, la plupart des entreprises utilisent une combinaison d’environnements de stockage, à la fois en termes de fournisseurs de stockage dans le cloud et de serveurs sur site. Et si cette approche hybride aide les employés à devenir productifs, elle rend très difficile la gestion de la sécurité des données stockées dans plusieurs environnements.

Chaque fournisseur de cloud dispose d’un système de gestion de la sécurité différent. Sans surveillance permanente de l’accès à chaque plate-forme, il est difficile de détecter toute activité malveillante et d’arrêter le vol de données. En effet, 56% des PME disent qu’il est difficile de gérer la sécurité des données stockées dans des infrastructures hybrides.

Comment faire?

Le moyen le plus efficace de protéger vos données, que ce soit dans le cloud ou sur un mélange de local et de cloud, consiste à investir dans une technologie qui enregistre, contrôle et consigne de manière proactive tous les accès aux fichiers et aux dossiers et vous en avertit en temps réel et alerte les équipes informatiques de l’activité de fichiers suspects au moment où elle se produit.

FileAudit offre une vue cohérente de la sécurité de vos données sur tous vos serveurs de stockage, à partir d’un outil et d’un tableau de bord consolidé. Avec une telle solution, vous pouvez être assuré que si quelqu’un d’autre qu’un employé autorisé tente d’accéder à vos données, vous serez le premier à en prendre connaissance et, par conséquent, à vous en occuper.

Buckets open cloud : 52 secondes suffisent pour qu’un Serveur Cloud se fasse attaquer par des pirates

Buckets open cloud : Une étude indique qu’il suffirait de 52 secondes pour qu’un serveur cloud soit sous les tirs d’une cyberattaque. L’étude porte sur 10 serveurs cloud honeypots, répartis dans le monde. L’enquête révèle un réel besoin en visibilité et de sécurité pour protéger ce que les entreprises mettent sur des plateformes hybrides et tout-cloud.

Il a fallu moins de 40 minutes en moyenne pour que des cybercriminels attaquent des serveurs cloud honeypots déployés sur 10 sites différents répartis dans le monde entier, le site de São Paolo au Brésil faisant l’objet de l’attaque la plus rapide, au bout de 52 secondes seulement. Les serveurs basés à Paris ont subi une première tentative de connexion malveillante au bout de 17 minutes et 20 secondes seulement, ce qui fait de Paris la ville d’Europe touchée le plus rapidement par ces attaques (et la 4ème ville au niveau mondial).

Paris est la deuxième ville d’Europe la plus ciblée en terme de nombre d’attaques – les honeypots hébergés sur des serveurs à Paris ont subi 612 885 attaques en trente jours (juste derrière l’Irlande avec 616 232 attaques). Les serveurs cloud ont été, en moyenne, la cible de 13 tentatives d’attaque par minute et par honeypot.

5 millions d’attaques

Plus de 5 millions de tentatives d’attaques ont été détectées sur tous les honeypots, et ce sur une période de 30 jours.

Ces 10 centres de données parmi les plus populaires au niveau d’Amazon Web Services (AWS) dans le monde, ont été testés pendant 30 jours. On compte parmi eux des emplacements à Paris, à Francfort, à Londres, en Irlande, en Californie, en Ohio, à Mumbai, à São Paulo, Singapour ou encore à Sydney.

Les résultats montrent ainsi comment les cybercriminels recherchent automatiquement les buckets open cloud vulnérables. Si les attaquants réussissent à entrer, les entreprises peuvent alors voir des données vulnérables exposées. Les cybercriminels utilisent également des serveurs cloud compromis comme relais pour accéder à d’autres serveurs ou réseaux.   « Le rapport Sophos ‘Exposed: Cyberattacks on Cloud Honeypots’ identifie les menaces auxquelles font face les entreprises qui migrent vers des plateformes hybrides et tout-cloud. La rapidité et l’ampleur des attaques contre les honeypots prouvent le niveau de menace persistant des cybercriminels et montrent qu’ils utilisent des botnets pour cibler les plateformes cloud d’une entreprise. Il peut s’agir parfois d’attaquants humain, mais quoi qu’il en soit, les entreprises ont besoin d’une stratégie de sécurité pour protéger ce qu’elles mettent sur le cloud », déclare Matthew Boddy, spécialiste cybersécurité chez Sophos. « La question de la visibilité et de la sécurité au niveau des plateformes cloud est un défi majeur pour les entreprises. Et avec la migration croissante vers le cloud, cette tendance se confirme ».    

 

Le casse tête de la sauvegarde de données pour PME

La sauvegarde informatique plus que jamais est devenue un élément indispensable pour les utilisateurs de données numériques. Si pour les particuliers la question ne se pose pas trop à la vue du nombre de possibilités « gratuites » mises en place, il n’en va pas de même pour les PME confrontées aux problématiques du coût/sécurité/efficacité/souplesse.

L’idée de ce petit article est venue en rencontrant de nombreux responsables de PME/PMI. Sur cinquante représentants croisés, plus de la moitié se contentaient d’une sauvegarde approximative. Par ce terme, comprenez sans redondance, sans chiffrement et le disque dur/NAS perpétuellement connecté à l’ordinateur sauvegardé.

Autant dire que cela me parait inquiétant. Un tiers faisait confiance au commercial, à la secrétaire, … Dix m’ont avoué passer par des ‘cloud’ généralistes, dont les américains Drive et Dropbox.

Bref, il est impératif que les PME et PMI s’inventent une réelle stratégie de sauvegarde de leurs données. D’autant plus qu’à la moindre fuite, la moindre modification, perte… une nouvelle épée de Damoclès apparait, le Règlement Général des Données Personnelles, le RGPD.

Pour rappel, derrière ces quatre lettres, et en cas de faute grave, cela pourra coûter jusqu’à 4% du chiffre d’affaire de la PME. Avez-vous vraiment envie de jouer avec le feu ? Il existe de nombreuses solutions de sauvegarde, vous pouvez trouver de nombreuses possibilités dans ses colonnes. Aujourd’hui, petit détour du côté de chez Beemo.

L’entreprise, basée à Paris, propose des solutions complètes pour assurer la sauvegarde des données et la reprise d’activité en cas de sinistre. Autant dire que face à un ransomware par exemple, et dites-vous que cela n’arrive pas qu’autres, la sauvegarde sera votre unique bouée de sauvetage.

Beemo propose par exemple, Bee2Cloud. La solution s’annonce sécurisée grâce à la triple sauvegarde des données. Chiffrement et rapport qualité/prix en font un partenaire intéressant à suivre. Plusieurs Data Centers basés en France (conforme RGPD) et plus précisément à Lyon et Marseille. Rassurant, le contrôle quotidien des sauvegardes par les équipes techniques.

Bref, une solution française à suivre de prés. Pour en savoir plus site beemotechnologie.com.

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

La sécurité reste l’un des freins les plus importants à l’adoption du Cloud

Selon une récente enquête, la sécurité informatique reste l’un des freins les plus importants à l’adoption du Cloud pour les entreprises.

Les entreprises de la zone EMEA se tournent de plus en plus vers Office 365 de Microsoft, même si compte tenu de toutes les cyber attaques récentes, les inquiétudes concernant la sécurité restent l’un des freins les plus importants à l’adoption du cloud. Telle est une des principales conclusions d’une enquête internationale conduite auprès de plus de 1.100 organisations par Barracuda Networks, Inc., un éditeur de solutions de sécurité et de protection de données basées sur le cloud.

L’enquête, intitulée “Office 365 Adoption Survey: Drivers, Risks, and Opportunities” avait pour but de mesurer les tendances autour de l’adoption et de l’utilisation de Microsoft Office 365, y compris les facteurs contribuant à la décision pour ou contre la migration vers cette plate-forme. L’étude a également permis de rassembler des informations sur l’utilisation par les entreprises de solutions tierces de sécurité et de protection de données avec Office 365, et leur engagement vis à vis de revendeurs à valeur ajoutée (VARs) et de fournisseurs de services managés.

Commentant ces résultats, Chris Ross, SVP International chez Barracuda Networks, a déclaré : “L’adoption d’Office 365 continuant d’augmenter d’une année sur l’autre en Europe, il est naturel d’assumer que les inquiétudes concernant les cyber menaces vont persister. Mais il est encourageant de constater que les entreprises s’éveillent à l’importance d’une approche de protection multi-couches, ce qui suggère une meilleure compréhension de leurs obligations lors de l’adoption du cloud.

Un domaine où l’Europe a encore du chemin à faire pour atteindre les niveaux constatés aux États-Unis est l’adoption de solutions tierces pour ajouter une couche supplémentaire de sécurité contre les attaques de spear phishing, d’usurpation d’identité et de ‘social engineering.

Seules 14% des organisations de la zone EMEA ont déjà quelque chose en place, à comparer à 36 pour cent aux États-Unis. Nous pensons que cette situation devrait évoluer au cours de l’année qui vient, et nous incitons les entreprises européennes à y prêter attention.

Nous constatons que les cyber criminels changent de cibles, passant du top management à des employés plus bas dans la hierarchie, et de grandes entreprises à des organisations plus petites disposant de moins de ressources.”

Principales conclusions dans la zone EMEA

* Près des deux tiers (62%) des entreprises de la zone EMEA utilisent désormais Office 365, en augmentation de 50 pour cent par rapport à une enquête similaire réalisée par Barracuda en 2016.

* Parmi celles qui n’utilisent pas aujourd’hui Office 365, un peu moins de 40% indiquent qu’elles prévoient de migrer dans l’avenir – une proportion moindre qu’aux États-Unis, où près de 49% déclarent prévoir cette migration.

* La plus grande inquiétude visant la sécurité pour plus de 90% des entreprises européennes concerne les ransomwares. Près la moitié d’entre elles (48%) avouent avoir déjà été frappée par une infection de ce type, même si seulement 3% d’entre elles ont finalement payé la rançon.

* Pour les entreprises ayant déjà été frappées, le mail a été de loin le principal vecteur d’attaque pour les cyber criminels, près des trois quarts (70%) des attaques par ransomware arrivant via email. Les trafic web (18%) et le trafic réseau (12%) n’ont représenté qu’un nombre relativement faible d’infections.

* La raison la plus couramment invoquée pour ne pas migrer vers Office 365 a changé depuis l’étude de l’année dernière, les entreprises européennes rejoignant les américaines en plaçant en tête les inquiétudes concernant la sécurité (32%). Mais à la différence des États-Unis, les entreprises européennes citent toujours une politique “no cloud” comme une raison significative de ne pas migrer (28%).

* Malgré ces inquiétudes, plus de 85 pour cent des entreprises européennes interrogées ont indiqué ne pas utiliser la fonction Advanced Threat Protection (ATP) de Microsoft Office 365 – s’appuyant plutôt sur des solutions tierces pour accroître la protection de leurs environnements Office 365. Plus de deux cinquièmes d’entre elles (43%) utilisent des solutions tierces de sécurité, d’archivage ou de sauvegarde, ce chiffre étant encore plus important (68%) parmi celles qui prévoient de migrer.

* A côté de cela, 41% des organisations interrogées ont déclaré redouter des attaques de phishing, de spear phishing, d’usurpation d’identité ou de ‘social engineering’. Toutefois, seules 14% des organisations européennes ont indiqué disposer d’une solution tierce pour adresser ces menaces.

Ces résultats confirment la prise de conscience croissante des besoins de sécurité que nous constatons chez nos clients, et la nécessité d’adopter une approche multi-couches pour progresser,” a ajouté Sanjay Ramnath, Vice President of Security Products and Business Strategy chez Barracuda. “Nos clients et nos partenaires indirects qui déploient Barracuda Sentinel et Barracuda Essentials for Office 365 peuvent migrer certains de leurs processus de gestion stratégiques dans le cloud, tout en étant certains d’être protégés contre les ransomwares, les attaques de spear phishing et d’autres menaces avancées.

Oups ! Cisco efface des données clients par erreur dans le cloud

La société Cisco a admis avoir perdu, accidentellement, des données du client lors d’une erreur de configuration du cloud de sa filiale Meraki.

Ahhhh, le cloud, petit bonheur numérique qui permet, selon les plaquettes publicitaires de « se faciliter la vie » ; « d’économiser de l’argent » ; « de renforcer son potentiel économique« . Bref, le cloud c’est bien… sauf quand ça bug. Le dernier incident en date concerne CISCO. L’entreprise américaine a confirmé, et donc avoué, avoir perdu des données clients. Un accident en raison d’une erreur de configuration du cloud de sa filiale Meraki.

La semaine dernière, l’équipe d’ingénierie cloud de CISCO a effectué un changement de configuration sur son service de stockage basé en Amérique du Nord. Sauf que cette mise à jour a supprimé certaines données clients. Meraki est une filiale de Cisco qui offre des technologies d’information gérées par le cloud pour les caméras sans fil, et tout ce qui concerne les communications de sécurité via une interface Web.

Un outil pour savoir ce qui a été perdu dans le cloud !

L’entreprise a déclaré que son équipe d’ingénieurs a travaillé pendant le week-end de 5/6 août pour voir si elle pouvait récupérer les données de ses clients. CISCO va fournir, ce 7 août, un outil pour « aider nos clients à identifier précisément ce qui a été perdu ». Cisco n’a pas précisé combien de clients ont été impactés par cet incident. Meraki est utilisé par plus de 140 000 clients et 2 millions de périphériques réseau y sont connectés.

En juillet dernier, des centaines d’entreprises, dont la Compagnie météorologique d’IBM, Fusion Media Group et Freshworks, utilisateurs de Google Groups pour leurs messages internes et privés, ont accidentellement exposé des informations sensibles publiquement en raison d’une erreur de configuration par les administrateurs de groupe. La société Dow Jones & Co a récemment confirmé que des données personnelles et financières de près de 2,2 millions de clients avaient été exposées en raison d’une erreur de configuration dans le seau S3 d’Amazon. Plus tôt cette année, la panne massive de S3 de Amazon Web Services, pendant plusieurs heures, a été causée en raison d’une erreur d’ingénierie.

Quelques jours auparavant, Verizon avait confirmé qu’un fournisseur tiers avait exposé des millions d’enregistrements d’abonnés sur un serveur de stockage Amazon S3 non protégé. Toujours en juillet, WWE confirmait qu’une base de données non protégée contenant les détails de plus de 3 millions d’utilisateurs avait été trouvée stockée en texte brut sur un serveur Amazon Web Services S3.

 

Externaliser vos bases de données … et dites bonjour aux fuites de données !

Quand les bases de données se promenent en Europe ! Pour économiser de l’argent, des millions de données appartenant à des automobilistes Suédois se sont retrouvées accessibles à des personnels non autorisés en Tchéquie et en Serbie.

Réduction des coûts versus bases de données ! Voilà la jolie phrase qu’il est possible de lire dans toutes les plaquettes publicitaires traitant du stockage des données. C’est que sauvegarder la vie numérique d’une personne coûte énormément d’argent, mais en rapporte aussi beaucoup. Bilan, les entreprises sont de plus en plus tentées par l’externalisation (outsourcing) de leurs données. L’exemple de la société étatique suédoise Transportstyreisen devrait faire réfléchir… ou pas !

Pour économiser de l’argent, cette entité publique en charge de la mobilité a fait appel à IBM pour sauvegarder ses très nombreuses informations. Des contenus regroupant les données liées à l’ensemble des véhicules sur le territoire suédois (particuliers, police, armée, …). La gestion des données ainsi laissée à l’américain IBM se sont retrouvées gérées par des employés basés en Tchéquie. Du personnel qui n’était pas autorisé à accéder à ces informations.

Bases de données en mode Espéranto !

Cerise sur le gâteau, une autre entreprise, cette fois géo localisée en Serbie a eu, elle aussi, accès aux informations… via un courriel qui a diffusé, par erreur, des données sensibles extraites de cette base de données. Le courrier comportait la possibilité d’accéder aux noms, adresses et photos de personnes protégées, comme les témoins sensibles dans des procès en cours. Le mail offrait aussi en pâture les identités des forces spéciales de la police et de l’armée.

Comble de l’incompétence, couplée à de la bêtise sèche, lors de la correction de cette fuite d’informations, un second courriel devait permettre de faire disparaître la première liste sensible en fournissant une seconde version nettoyée. Sauf que ce second courriel ne comportait pas de liste corrigée mais une note indiquant qu’il ne faillait pas écrire, contacter telles personnes. Bref, un courriel qui montrait du doigt les personnes et véhicules sensibles… sans même le savoir !

Gérer les droits d’accès et les identités à l’heure du cloud

Aujourd’hui, l’adoption du cloud est devenue inéluctable. La part grandissante des environnements dit « hybrides » au sein des entreprises compliquent les politiques de protection des données, des droits d’accès, à l’heure où les attaques comme les ransomwares se multiplient auprès des PME comme des grandes comptes.

Droits d’accès à l’heure du Cloud ! Si s’engager dans une démarche rapide et complète de maitrise des risques peut paraître illusoire au vu du chantier que cela représente, il n’est pas encore trop tard pour adopter de bonnes pratiques et se prémunir contre les risques associés aux droits dans ces environnements étendus. Le cloud n’impose pas forcément de réinventer toute l’organisation : les politiques et les protocoles de gouvernances déjà mises en place pour répondre aux pressions réglementaires doivent simplement être adaptés à ces nouveaux actifs informatiques sensibles.

Depuis quelques années, l’économie mondiale du « Pay as you grow » touche l’informatique. Les logiciels que l’on achetait il y a 20 ans, comme les suites Adobe et Office, sont désormais louables au mois, sans engagement et à moindre prix. Ainsi, le locatif s’est démocratisé, notamment au sein des entreprises. L’environnement hybride alliant cloud et privé (c’est-à-dire où l’on est à la fois propriétaire et locataire)  permettent aux utilisateurs de libérer leurs données des frontières en fonction de leurs usages.

Les grands ténors de l’édition comme Microsoft, Google ou Amazon tendent de plus en plus vers le cloud, qui propose un vrai levier économique : lorsqu’une entreprise crée de la donnée, elle choisit de l’héberger chez elle ou dans un conteneur appartenant à l’un de ces ténors – un réflexe devenu aujourd’hui incontournable, à l’heure d’un modèle économique novateur qui érige la mensualisation en paradigme. La location souffle un vent de liberté et permet aux entreprises de s’affranchir de tout engagement.

Les défis de la gestion des droits d’accès

Devant l’inéluctabilité du cloud, en termes de sécurité informatique, chaque entreprise a sa propre politique interne, qu’elle soit légère ou très élaborée. Quoiqu’elles soient variées, leur objectif est semblable : adapter les droits d’accès et les identités au cadre de chaque entreprise. Dans un contexte normé par la GDPR, les lois françaises et allemandes ou le monde de la Fintech, la problématique actuelle est universelle : prévenir pour mieux guérir ! Si les cadres règlementaires et les technologies existent pour mieux se prémunir et protéger ses données, mais il faut néanmoins que les responsables se donnent les moyens de prendre les décisions. Dans des environnements de plus en plus complexes, la gestion des droits d’accès au cloud et des identités est un véritable défi. Mieux contrôler pour mieux protéger les données dans le système d’information ?

Les dernières attaques mettent en lumière l’enjeu particulier de cette question, puisqu’elles ciblent l’usurpation d’identité, cette façon d’octroyer des droits d’accès pour mettre à mal un système informatique. Pour éviter cela, pas de miracle : il faut les bonnes personnes en face des bons contrôles d’accès, au bon moment et pour les bonnes raisons. Typiquement, on fonctionne encore énormément avec une approche périmétrique : il faut des firewalls, des murs érigés aussi haut que possible, plus grands, plus résistants et plus épais … mais pas forcément plus efficaces. Plutôt que d’ériger une cathédrale en béton armé dont le vigile peut être trompé, il est préférable de placer des contrôles d’accès pertinents à chaque point d’entrée.

Le cas de Microsoft : la migration vers Office 365

Pour atteindre un meilleur niveau de sécurité, les entreprises sont encouragées à muscler, en interne, leur stratégie de gestion des droits d’accès et des identités. A l’instar d’autres environnements hybrides, la gestion globale des identités et des accès dans Office 365 engendre de nombreux défis. La migration vers les services d’Office 365 impose rapidement à l’entreprise de gérer les risques externes associés au Cloud. Mais il ne faut pas confondre vitesse et précipitation : l’étape fondamentale préalable à la mise en place d’Office365 est de faire le ménage dans les droits d’accès pour assurer une transition en toute sérénité vers le cloud. Ensuite, trois points doivent attirer une vigilance particulière :

·      La structure déjà complexe des droits d’accès empêche les responsables informatiques d’acquérir une vision globale des liens entre utilisateurs et ressources. Cette problématique s’intensifie avec la migration dans le cloud : nouvelles ressources, nouveaux types d’accès, nouvel annuaire ; d’où la nécessité de maintenir un contrôle et une visibilité optimale sur les structures de ressources et les identités.

·      Le cycle de vie des utilisateurs se transforme aussi avec la migration vers le cloud : il faut prendre en compte, lors des arrivées, des mutations ou des départs, l’attribution ou le retrait des droits correspondants et enrichir les profils existants. Cette refonte est indispensable pour assurer la continuité de l’activité, maintenir la productivité des collaborateurs et garder le contrôle des licences Office 365 dont l’importance financière est cruciale.

·      La sécurité des données est mise en péril par l’hybridation de l’environnement : qui peut accéder aux données ? Qui valide les nouveaux droits ? Comment assurer que la situation est conforme avec les politiques de l’entreprise et les bonnes pratiques ? Ces questions, présentes depuis l’implémentation d’Active Directory dans les environnements d’entreprise, prennent un nouveau sens avec le déploiement des ressources cloud.

Qui dit sécurité, dit risques. Aujourd’hui, pour bien sécuriser, il faut prendre de la hauteur et surpasser la technologie en définissant des moyens humains et techniques dédiés à cela. Les mesures de sécurité liées à la production toujours plus prolifique de data doivent s’adapter aux moyens de l’entreprise. Le ransomware est l’incident d’aujourd’hui, mais il ne sera pas le défi de demain. Tous les jours, les pirates réinventent leurs modes d’attaques. La cyber-sécurité des entreprises doit les suivre, sinon les devancer : elle ne doit pas être figée mais mouvante, au fait des actualités, prête à se renouveler et jamais transposée d’une entreprise à une autre. Une bonne sécurité est une sécurité sur-mesure. [Tribune de Chakir Moullan, Country Manager France 8MAN]

Une enquête révèle les stratégies de cybersécurité des entreprises

Selon une nouvelle étude, le Cloud et les vulnérabilités systèmes sont les deux plus grandes préoccupations des décisionnaires IT. Un veille décisionnelle sur les menaces, une prise en charge plus rapide des incidents et un recours aux services de sécurité managés comptent parmi les orientations stratégiques de ces décideurs.

L’enquête indépendante souligne l’urgence pour les grandes entreprises de la région EMEA, tous secteurs d’activité confondus, de passer à une cybersécurité de bout en bout, basée sur une veille décisionnelle sur les menaces, pour ainsi relever les défis liés au digital. Les entreprises doivent réagir plus rapidement et efficacement aux problématiques de sécurité en investissant dans des architectures de cybersécurité adaptatives et adaptées à un réseau décloisonné.

48 % des personnes interrogées sur la région EMEA et 60% des entreprises françaises jugent que la meilleure réponse à la multiplication des incidents de sécurité est d’investir dans des technologies de cybersécurité qui assurent une protection à chaque étape du cycle de vie d’une menace. Les deux plus grandes préoccupations des décisionnaires portent sur la sécurité du cloud et la maîtrise des vulnérabilités des systèmes IT. Sécurité du cloud : une problématique pour 53 % des personnes interrogées sur la région EMEA, allant jusqu’à 61% en Espagne (le taux le plus élevé) et 57% en France
.Protection contre les vulnérabilités systèmes : une problématique pour 53% des répondants sur la région, 47% en France et qui grimpe à 59 % en Italie.

Cependant, nombre des répondants voient dans cette recrudescence des menaces et risques de sécurité l’occasion d’externaliser leur cybersécurité auprès d’un fournisseur de services managés. Globalement, l’étude montre que dans les 3 à 5 ans à venir, 44% des organisations sur la région EMEA (43% en France) opteraient pour cette externalisation. En France, cette adoption est de 9%.

Vers une architecture de sécurité performante et une veille décisionnelle sur les menaces
L’enquête s’est intéressée aux victimes de cyber-attaques pour illustrer comment les infrastructures de sécurité actuelles peinent à s’adapter aux réalités d’un monde toujours plus digital. Sur les 52% des décisionnaires EMEA (42% en France) qui indiquent avoir subi un piratage informatique au cours de l’année dernière, seuls 16% (14% en France) s’en sont rendus compte dans les minutes ayant suivi l’exaction. En Espagne, les personnes interrogées victimes d’une une attaque récente ne sont que 11% à avoir pu l’identifier dans un tel délai.

Dans certains secteurs, comme les soins de santé, 50% des répondants EMEA déclarent qu’il s’est écoulé plusieurs jours, mois, voire années avant d’identifier l’incident. L’identification et la prise en charge des menaces, lentes et peu efficaces, se révèlent particulièrement coûteuses pour les entreprises victimes, en termes de données perdues, de systèmes piratés et de réputation ternie.

L’enquête montre que pour maîtriser ces risques et mieux protéger leurs organisations, la première des actions prises par les décisionnaires informatiques est de déployer des technologies de détection de menaces (17% sur la région EMEA et 14% en France). Vient ensuite la mise en place de services de sécurité fournis à partir du cloud (12% sur la région EMEA et 7% en France). Ces fonctionnalités doivent être associées à des services de veille décisionnelle sur les menaces (9% sur la région EMEA et 14% en France).

Pour les répondants, la veille sur les menaces renforce la prévention des attaques (43% d’entre eux le déclarent sur la région EMEA, 40% en France). Elle améliore aussi la stratégie de sécurité de l’information (38% sur la région EMEA et 43% en France) et la détection des menaces (35% sur la région EMEA, 40% en France).

Concernant l’application des nouvelles fonctionnalités de veille (périmètre, modalités) 35% des personnes interrogées sur la région EMEA et 33% en France indiquent disposer d’une équipe interne dédiée à la prise en charge des incidents et qui supervise l’ensemble des activités de sécurité. Le chiffre n’est que de 26% en Italie contre 42% en Allemagne. Cependant, 26% du panel EMEA et français déclare externaliser leur veille sur les menaces auprès d’un fournisseur de services managés. Ce chiffre ressort à 22% en Espagne et à 31% au Royaume-Uni.

La sécurité des données des services financiers passera par le cloud

Le secteur des Services financiers se tourne progressivement vers le cloud afin de proposer de nouveaux produits, services et offres personnalisées sans avoir à concéder d’investissements initiaux de capitaux. Malgré cela, l’idée de céder le contrôle de son infrastructure et de ses données clients sensibles à des fournisseurs de services cloud suscite encore des inquiétudes, notamment vis-à-vis des risques de conformité et de sécurité. On constate néanmoins les prémices d’un changement.

Suite à la dernière décision de la Competition and Markets Authority (CMA) visant à stimuler la concurrence dans le secteur bancaire, les établissements sont désormais tenus de numériser complètement leurs systèmes d’ici 2018. Ce jugement intervient après que la Financial Conduct Authority (FCA) a ouvert la voie pour que l’ensemble du secteur puisse tirer parti du cloud tant que les « mesures de protection appropriées » seront en place. Le cloud computing est donc amené à occuper une place de choix dans l’avenir de l’industrie bancaire.

En revanche, son adoption non sécurisée présente des risques énormes pour les sociétés de services financiers, avec notamment des dégâts potentiels considérables aux niveaux opérationnel et de leur réputation. Près de 20 millions de documents financiers auraient ainsi fait l’objet de fuites en 2015. Pour tirer pleinement parti de solutions cloud, les organisations du secteur et leurs clients doivent avoir l’assurance que leurs données sensibles soient en sûreté. Les premiers avertissements sont d’ailleurs clairs : le dernier rapport Shadow Data de Blue Coat a révélé que 87 % des applications cloud utilisées par les entreprises ne chiffrent pas correctement leurs données. Cela pose un problème de taille pour le secteur des services financiers, dont 85 % des données sensibles sont stockées dans les nuages. Pour tirer pleinement parti de ces solutions, ces organisations et leurs clients doivent avoir l’assurance que leurs données sensibles soient en sûreté.

Des données personnelles prêtes pour le cloud
Les sociétés de services financiers se tournent aujourd’hui vers le cloud pour remplacer leurs systèmes traditionnels et optimiser leurs opérations. Beaucoup sont actuellement en train d’y migrer différentes fonctions de manière à bénéficier de fonctionnalités de pointe, et d’une évolutivité et d’une flexibilité de premier plan. Ces organisations espèrent en effet profiter de l’association de fonctionnalités internes et propriétaires avec des systèmes cloud grâce à des API dernier cri.

Compte tenu des enjeux, nombreuses sont celles qui font preuve de prudence à l’idée de céder les données clients sensibles actuellement sur leurs systèmes locaux traditionnels à des fournisseurs de services cloud. Elles s’interrogent notamment et à juste titre sur la capacité de ces derniers à gérer de façon adéquate l’emplacement destiné au stockage et au traitement de ces données.

Toute incapacité à garantir leur sécurité des données nuit en effet considérablement à la confidentialité, et augmente les risques de sécurité informatique et de conformité. Les fuites et les incidents de sécurités concernant des données réglementées peuvent aussi être à l’origine de coûts élevés, de sanctions et de risques pour la réputation des entreprises. Selon l’enquête 2016 Cost of Data Breach Study pubiée par Ponemon, le coût moyen d’une fuite par document dans le secteur financier s’élève à 221 $, soit plus que les 158 $ perdus en moyenne par les autres secteurs. En outre, de nouvelles réglementations, comme le Règlement général européen sur la protection des données (GDPR), obligent les sociétés du secteur à alerter les clients affectés par une fuite de données. Les dégâts causés à ces marques peuvent alors se traduire en pertes de bénéfices et de capitaux.

Sécuriser les données sensibles dans le cloud
Les organisations souhaitant sécuriser leurs informations clients sensibles de façon optimale doivent identifier celles pouvant résider sans problème dans le cloud. Les données sensibles ou réglementées doivent ainsi être classées en vertu de leurs niveaux de sensibilité. Des audits peuvent être effectués par la suite afin de confirmer que les stratégies de sécurité et de maîtrise des risques proposées ont été mises en place. Cependant, les organisations doivent pour cela s’assurer d’avoir une visibilité, et le contrôle des données dans le cloud. Mais la plupart d’entre elles n’ont malheureusement pas les ressources techniques nécessaires. Impossible de réaliser des audits ou d’effectuer des classifications de données lorsque l’on n’est même pas en mesure de déterminer quelles données sont envoyées vers le cloud.

Il est nécessaire de définir les règles et de gérer l’accès aux données sensibles issues des systèmes, processus et individus. Pour sélectionner les systèmes de contrôle appropriés et assurer ainsi la protection des données confidentielles accédées via le cloud, les équipes informatiques et de conformité doivent établir le parcours des informations tandis qu’une variété d’applications et d’individus y accèdent et les traitent à différentes fins.

Enfin, toutes les organisations devraient avoir des stratégies de confidentialité et de sécurité concises, afin notamment de distinguer les données à protéger des autres. Il est par ailleurs crucial que ces pratiques internes, conçues pour garantir le contrôle des données, ne soient pas contournées ou compromises, en particulier lors du partage via un fournisseur de services cloud.

Plus qu’un effort symbolique
Les données doivent impérativement être sécurisées lors de leur transit vers et en depuis le cloud, ainsi que lors de leur traitement dans le cloud, comme c’est généralement le cas. Elles doivent également l’être pendant qu’elles sont « au repos » (stockées) et « en mouvement » (en transit entre l’utilisateur et l’application cloud). La principale problématique pour les entreprises réside souvent au niveau du service lui-même. Mais les organisations doivent malgré tout s’assurer que les données envoyées vers le cloud soient protégées « en mouvement », avec des technologies de chiffrement et de tokénisation tout au long du traitement dans les nuages.

Le chiffrement encode les données de sorte que seules les parties autorisées puissent les lire. Il s’agit de la technologie standard de protection des données. Bien qu’il ne permette pas d’éviter leur interception, le chiffrement renforcé empêche aux individus non autorisés de les visualiser. Afin de respecter les meilleures pratiques en la matière, les organisations doivent adopter une forme de chiffrement reconnue et établie. Enfin, bien que les données chiffrées soient protégées, les organisations doivent tenir compte du fait que la nature réversible de ce processus permet de dévoiler les valeurs des données originales en cas de compromission de la clé de chiffrement.

Avec la tokénisation, les champs des données se voient attribuer une valeur de substitution appelée token (jeton). Lorsque les données doivent être lues, ce jeton est de nouveau remplacé par la valeur à laquelle elles sont associées. Le principal avantage de la tokénisation est qu’elle supprime entièrement les données originales du document ou de la forme une fois qu’elles quittent le réseau. Tout lien mathématique entre la valeur du jeton de remplacement et les données sensibles originales est ainsi supprimé. Contrairement aux données chiffrées, il est impossible d’intercepter des données dans le cloud et de pirater un jeton afin d’en révéler le contenu, car les données ne sont en réalité pas présentes. Cette approche offre également d’énormes bénéfices en matière de respect des règles de conformité sur la localisation des données.

Faire face aux problématiques actuelles
Beaucoup de sociétés de services financiers semblent hésiter à tirer parti des nouvelles fonctionnalités d’applications cloud de premier plan par crainte à l’idée de laisser le contrôle de leurs données sensibles et précieuses à un tiers. Il est aisé de comprendre pourquoi compte tenu des répercussions potentielles. Les solutions de sécurisation des applications cloud (CASB) et les plateformes de protection des données cloud telles que Blue Coat Elastica (qui appartient désormais à Symantec) aident à apaiser certaines de ces inquiétudes.

Ces plateformes constituent une solution de sécurité flexible grâce à laquelle les entreprises peuvent protéger leurs informations sensibles avant qu’elles ne quittent leur réseau. Elles leur permettent également d’identifier et de contrôler les données partagées dans l’ensemble de leur organisation par leurs salariés au sein d’applications cloud. Les solutions de protection des données cloud en assurent la sécurité en chiffrant et en tokénisant les informations sensibles. En les associant à d’imposants protocoles de sécurité dédiés, les organisations seront en mesure de maintenir leurs services cloud et de faire preuve de l’évolutivité réclamée par leurs utilisateurs. Il est difficile de prédire l’avenir, mais une chose est sûre : celui des banques passera par le cloud. (Par Robert Arandjelovic, directeur de la stratégie de sécurité de Blue Coat)

Les attaques DDoS migrent vers le cloud des grands providers

Comme la plupart des “services” les attaques informatique migrent vers le cloud.

Selon Radware, la dernière tendance sur la scène du piratage international consiste utiliser les plateformes Cloud de grand fournisseurs tels que Amazon Web Services, Google ou Microsoft afin de déployer des attaques de déni de service (DDoS) à très grande échelle. Les pirates utilisent par ailleurs ces services pour mettre en œuvre des attaques de type “phishing” ainsi que d’autres activités malveillantes visant à leurrer ou contaminer les API (interfaces de programmation applicative) publiques  de manière en modifier le comportement, à les utiliser pour cacher des scripts, du codes, des fichiers malveillants etc.

En seulement quelques heures, les pirates sont alors susceptibles de “charger” des scripts d’attaque et de lancer des assauts. Les organisations qui utilisent ces plateformes cloud pour la conduite de leurs activités sont alors confrontés à un risque majeur concernant leur sécurité puisqu’ils ne peuvent pas bloquer la communication avec ces plateformes de nuage public.

Les pirates utilisent des plateformes cloud pour deux raisons: le volume et la dissimulation. Il existe des contextes d’utilisation spécifiques où une connection permanente est établie entre le réseau interne d’une entreprise et ses applications cloud.” indique Ben Zilberman, de chez Radware. “Dans ce type de scénario, si une attaque est lancée depuis le fournisseur de services cloud cela représente un véritable défi en terme de défense et de protection. La solutions de sécurité doit être suffisamment intelligente distinguer le trafic légitime du malveillant. Si les hackers parviennent à tirer parti de la puissance de grands fournisseurs de cloud publics pour effectuer des attaques par déni de service, leur seule limite est le budget dont ils disposent !

Les citoyens européens : à qui confient-ils leurs données ?

Hébergement d’informations professionnelles dans le cloud – Une enquête révèle la méfiance des salariés de l’Union européenne vis-à-vis du stockage ou de l’hébergement d’informations professionnelles dans le cloud. La France est le pays où les applications cloud sont les plus populaires au travail : 64%.

Hébergement d’informations professionnelles dans le cloud – Blue Coat Systems, Inc. fournisseur de solutions avancées de sécurité du Web pour les entreprises et administrations publiques du monde entier, présente les résultats d’une enquête en ligne, sur l’ hébergement d’informations professionnelles dans le cloud menée auprès de 3 130 professionnels d’une variété de secteurs au Royaume-Uni, en France et en Allemagne. À l’aube du référendum de cette semaine sur le Brexit, l’enquête s’est intéressée au niveau de confiance des professionnels vis-à-vis d’États faisant ou non partie de l’Union européenne pour le stockage ou l’hébergement d’informations professionnelles sur des services cloud tels que Gmail, Dropbox et Box. Les résultats indiquent qu’ils préfèrent confier leurs données à leurs voisins européens plutôt qu’à des pays en dehors de l’UE.

Des citoyens du Royaume-Uni, de France et d’Allemagne ont été interrogés quant aux pays auxquels ils font confiance pour stocker ou héberger des informations professionnelles dans le cloud en toute sécurité. Avec le vote sur le « Brexit » prévu cette semaine et avec l’entrée en vigueur le 25 mai 2018 de la réglementation GDPR (General Data Protection Regulations), la question de l’emplacement de stockage/d’hébergement des données est un sujet brûlant pour les organisations au service du demi-milliard de citoyens résidant actuellement dans l’UE.

L’enquête révèle que 46 % des personnes interrogées seraient disposés à confier leurs données professionnelles à un pays de l’UE. Seuls 18 % accorderaient cette confiance à un pays en dehors de l’UE. En outre, plus d’un tiers des répondants (36 %) ne confieraient le stockage ou l’hébergement de leurs données dans le cloud à aucun pays en particulier. Les principaux enseignements de l’enquête :

La France championne de l’usage des applications cloud
Les résultats montrent que 53 % des salariés britanniques, allemands et français utilisent des applications cloud au travail. Et c’est en France que celles-ci sont le plus populaires avec 64 % des répondants, soit plus qu’au Royaume-Uni (49 %) ou en Allemagne (47 %).

L’utilisation du cloud stimulée par la génération Y
L’utilisation du cloud au travail se fait principalement sous l’impulsion de la génération Y : 63 % des 18-24 ans s’en servent au travail, contre 59 % des 25-34 ans, 55 % des 35-44 ans, 48 % des 45-54 ans et 47 % des 55 ans et plus.

Moins de méfiance de la part des jeunes salariés pour l’ hébergement d’informations professionnelles dans le cloud
L’enquête révèle que les salariés les plus jeunes font davantage confiance aux pays de l’Union européenne pour le stockage d’informations dans le cloud, ce qui confirme les résultats d’autres sondages suggérant que les jeunes sont plus enclins à voter pour rester dans l’UE. Les 18-24 ans sont en effet ceux qui font le plus confiance aux États de l’UE (55 %, contre 36 % des individus âgés d’au moins 55 ans). Les employés d’au moins 55 ans se montrent par ailleurs plus méfiants en général : 47 % d’entre eux ne confieraient le stockage de leurs données cloud à aucun pays, contre 24 % des 18-24 ans.

Les Britanniques font davantage confiance aux pays de l’UE
Hébergement d’informations professionnelles dans le cloud – Alors que seuls 22 % des salariés de pays en dehors de l’Union européenne seraient prêts à héberger leurs données dans des pays de l’UE, ce pourcentage est presque deux fois plus important pour les salariés du Royaume-Uni (40 %).

Le pourcentage de Britanniques prêts à faire confiance à un État de l’UE est ainsi plus élevé que celui des citoyens enclins à faire confiance au Royaume-Uni (38 %) pour stocker leurs données dans le cloud.

L’Allemagne représente le pays d’UE préféré de l’ensemble des personnes interrogées avec 26 % de répondants satisfaits du fait que leurs données y résident. S’ensuivent la France avec 21 % des répondants et le Royaume-Uni à 20 %.

De l’autre côté, le pays d’Union européenne suscitant le plus de méfiance est l’Espagne. Seuls 6 % des personnes interrogées sont disposées à y stocker leurs données.

Outre leur propre pays, il apparaît que les répondants britanniques font davantage confiance à l’Allemagne (18 %) et à la Suède (18 %) qu’à n’importe quel autre pays d’Union européenne.

Les Allemands sont les plus méfiants envers les autres pays
Les salariés allemands font davantage confiance à leur pays qu’aux autres (43 %). La Suède apparaît pour eux comme le deuxième le plus sûr (14 % des répondants). En contrepartie, seuls 7 % et 3 % d’entre eux respectivement font confiance au Royaume-Uni et à l’Espagne. Les salariés français préfèrent eux aussi garder leurs données dans leur pays (45 %). Leurs autres choix préférentiels sont l’Allemagne (16 %) et la Suède (14 %).

Une méfiance vis-à-vis des États-Unis
Les résultats de l’enquête révèlent que la majorité des salariés d’Union européenne interrogés ne font pas confiance aux États-Unis pour stocker ou héberger leurs données. Cet élément tend à démontrer que les décisions de la Cour de justice de l’Union européenne invalidant l’accord Safe Harbour bénéficient du soutien des citoyens européens. Seuls 9 % des répondants pourraient stocker ou héberger leurs données aux USA.

Les Britanniques sont plus confiants envers les États-Unis (13 %) que les Français et les Allemands ; ces derniers ne sont que 3 % à ne pas se montrer méfiants envers les clouds américains. En dehors de l’Union européenne, le pays suscitant le plus de méfiance est la Chine (1 % des répondants). L’Afrique du Sud (2 %), la Russie (2 %) et le Brésil (2 %) sont également retenus par une minorité de répondants.

Cloud : 10 recommandations pour maîtriser les risques

Face à l’adoption massive des offres Cloud, le Club des Experts de la Sécurité de l’Information et du Numérique se mobilise et entend diffuser quelques bonnes pratiques avant de « confier les clés ».

Le Cesin a mobilisé 130 de ses membres, soit la moitié de ses adhérents autour de la thématique du Cloud et des bonnes pratiques en matière de sécurité. Face à l’explosion du phénomène d’externalisation des données, il est fondamental pour le Cesin d’adopter une gestion des risques et de sécurité adaptée pour continuer d’assurer une protection efficace et cohérente des données de l’entreprise.

Selon les résultats du baromètre Cesin-OpinionWay 2016, 85% des entreprises stockent des données dans un Cloud. Si la pratique tend à se banaliser, face aux enjeux induits par l’émergence des offres disponibles sur le marché, le Cesin met en garde les dirigeants d’entreprises contre certaines dérives. L’association a confronté ses membres et un panel de spécialistes, dont l’Anssi, la CNIL et des juristes spécialisés, afin d’élaborer 10 recommandations issues de la réflexion et du partage d’expériences.

Longtemps cantonné aux recours ponctuels à des services SaaS, parfois directement par les métiers sans passer par la DSI, les grandes décisions désormais d’actualité en matière d’externalisation massives de données dans le Cloud entrainent une profonde évolution du SI de l’entreprise et des métiers qui le gèrent. Une des grandes tendances constatées ces derniers mois par le Cesin, concerne les projets de migration vers Office 365. En cas de recours à l’option Cloud, cette migration pose des interrogations cruciales puisqu’elle modifie à la fois les usages, une partie de la stratégie de la DSI, les politiques de sécurité des systèmes d’information (PSSI) et leurs modes de contrôle.

Alain Bouillé, Président du Cesin, indique que : « L’arbitrage des opportunités versus risques doit être pris au niveau le plus haut de l’entreprise car les données concernées sont bel et bien des données cœur de métier. »

Les débats ont amené plusieurs pistes de réflexion portant sur la localisation des données, qui se heurte aux réglementations européennes, leur protection liée à une exposition nouvelle dans des clouds publics, le niveau de sécurité proposé par l’éditeur pas toujours à la hauteur des enjeux des plus exigeants, la perte de maitrise en matière de traçabilité des actions, la négociation des contrats avec les géants de cette industrie, qui nécessite une véritable expertise, les difficultés voire l’impossibilité d’auditer les solutions, ou encore les risques d’enfermement et donc l’irréversibilité de certaines solutions. Même si l’effet Snowden s’efface des mémoires avec le temps, il est utile de rappeler les risques pour certaines entreprises liées aux obligations des entreprises américaines vis-à-vis du Patriot Act.

Charles Schulz, membre du bureau de la politique industrielle à l’Anssi évoque les travaux en cours sur le référentiel «secure cloud» qui aboutira à la certification des offreurs libres d’en faire la demande. Quant aux accords commerciaux, il précise : « Si vous êtes dans une société multinationale évitez les contrats locaux et négociez un contrat global groupe, cela donne plus de poids à la négociation ; en outre exigez un contrat rédigé en français et signé dans un pays européen. Les phrases du type « seule la version anglaise fera foi » n’ont pas de valeur légale et doivent être supprimées. »

La version publique du référentiel de l’ANSSI et les recommandations pour maîtriser le Cloud est prévue pour le second trimestre 2016.

Garance Mathias, Avocat à la Cour, ajoute que : « l’externalisation reste un choix stratégique pour les entreprises et les administrations, et qu’il convient d’être accompagné dans la mise en œuvre de ce choix. » En effet, indépendamment de la négociation des contrats, les réglementations sectorielles doivent être intégrées, et les bonnes pratiques juridiques opérationnelles prises en compte dès le début du projet (localisation des données, politique de sous-traitance, quelle protection de la propriété intellectuelle, du patrimoine informationnel ? Quelles sont les mesures de protection des données personnelles ?…). Garance Mathias, précise en outre qu’ « Il est important d’évoquer la sortie du contrat, terme ou résiliation, avec les impacts opérationnels ainsi que le traitement des données personnelles. A la suite de la conclusion du contrat, ce dernier peut, compte tenu de l’évolution des textes ou du secteur d’activité, faire l’objet d’avenant, comme à la suite de l’invalidation du safe harbor. »

In fine, un contrat ne doit pas rester figé, il doit refléter l’accord des parties tout au long de son éxécution, d’autant que sa durée peut être longue, notamment dans le cadre des renouvellements par tacite reconduction.

Les 10 recommandations pour maîtriser ses projets Cloud
Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.
S’il s’agit de données sensibles voire stratégiques pour l’entreprise, faites valider par la DG le principe de leur externalisation.
Evaluez le niveau de protection de ces données en place avant externalisation.
Adaptez vos exigences de sécurité dans le cahier des charges de votre appel d’offre en fonction du résultat du point 1.
Effectuez une analyse de risque du projet en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l’utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.
Outre ces sujets, exigez un droit d’audit ou de test d’intrusion de la solution proposée.
A la réception des offres analysez les écarts entre les réponses et vos exigences.
Négociez, négociez.
Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce contrat doit être rédigé en français et en droit français.
Faites un audit ou un test d’intrusion avant démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l’offre dans le temps.

Votre système d’information est-il protégé des dangers du cloud ?

Plan de la sécurité – Blue Coat Systems, Inc. fournisseur de solutions avancées de sécurité du Web pour les entreprises et administrations publiques, a présenté les premiers résultats d’une enquête en ligne menée auprès de 3 130 salariés d’entreprises d’une variété de secteurs en Europe. Cette enquête réalisée par YouGov offre une vision détaillée de la façon dont ceux-ci utilisent actuellement des applications cloud telles que Dropbox, Box, Office 365, Slack, LinkedIn, Facebook et Gmail sur le plan de la sécurité.

plan de la sécurité – Les professionnels européens d’aujourd’hui exposent leur entreprise à des risques de fuite et d’utilisation abusive de données sensibles. Ces risques atteignent désormais des proportions alarmantes pour les organisations. Ainsi, les résultats de l’enquête indiquent que 53 % des personnes interrogées utilisent des applications cloud au travail. Et c’est en France que celles-ci sont le plus populaires avec 64 % des répondants, soit plus qu’au Royaume-Uni (49 %) ou en Allemagne (47 %).

Les entreprises s’appuient de plus en plus sur ces technologies ; pourtant, il est fréquent que les applications cloud utilisées n’aient pas été validées par les services informatiques. C’est ainsi que des données professionnelles sensibles se retrouvent exposées à un risque d’utilisation inappropriée par des employés les partageant ou les stockant (volontairement ou non) ailleurs que sur des applications protégées d’entreprise. L’enquête met en évidence les principaux risques que le cloud représente pour les organisations, notamment celui de se retrouver avec des données échappant à leur contrôle (« shadow data »). En voici les principaux enseignements :

L’utilisation d’applications cloud au travail motivée par une quête de productivité
Le partage de données se fait principalement à des fins collaboratives : 23 % des personnes interrogées utilisent des applications cloud pour transmettre des informations à leurs collègues. En outre, 17 % des répondants se servant d’applications cloud pour travailler à distance et 10 % de ceux en utilisant en déplacement à l’étranger affirment agir dans un souci de productivité. La génération Y fait par ailleurs figure de pionnier en matière de partage de données sur de telles applications : 30 % des 18-24 ans et 25 % des 25-34 ans partagent des informations avec leurs collègues, contre 18 % des 45-54 ans et 21 % des 55 ans et plus.

Les fonctions les plus critiques présentent les risques les plus sérieux pour la sécurité des informations
Les spécialistes de la gestion des systèmes d’information (76 %), des RH (69 %) et des finances (59 %) sont ceux qui utilisent le plus ces applications cloud au travail. Ils exposent ainsi les données d’entreprise les plus sensibles et précieuses aux risques d’une sécurité moins élevée.

Les données clients et de marketing sont les plus vulnérables
Les applications cloud servent régulièrement à échanger des bases de données et du contenu. Les registres de ventes et les bases de données clients, deux éléments ciblés par la future réglementation GDPR (General Data Protection Regulation), sont donc particulièrement exposés. En effet, parmi les individus partageant des informations professionnelles confidentielles à l’aide de telles applications, 29 % partagent des données de marketing ; viennent ensuite les données clients (23 %), informatiques (20 %) et financières (17 %).

Les employés vont même jusqu’à enfreindre la loi
De nombreuses utilisateurs d’applications cloud admettent le faire à des fins non autorisées, comme pour récupérer des données de leur ancienne société, pour dénoncer leur entreprise, voire pour assurer leur protection personnelle. Bien qu’il soit illégal de dérober des données appartenant à une entreprise avant d’en rejoindre une nouvelle, 7 % des répondants admettent se servir d’applications cloud pour se livrer à cette pratique. La dénonciation d’actes répréhensibles commis par une entreprise n’est, elle, pas illégale, et est la motivation derrière 8 % de l’utilisation du cloud pour conserver des données.

C’est dans le domaine des RH que cette pratique est la plus fréquente avec 17 % des professionnels du domaine. Enfin, le souci d’assurer sa propre protection (en récupérant des données d’entreprise afin de protéger des informations personnelles) motive 14 % de l’utilisation d’applications cloud au bureau. Les spécialistes de la gestion des RH (21 %), des systèmes d’information (18 %) et financière (17 %) sont ceux qui en utilisent le plus dans ce contexte. Compte tenu de la sensibilité des données gérées par ces types de professionnels, cette pratique présente donc un risque sérieux pour les entreprises.

L’âge, un facteur majeur dans l’utilisation du cloud
Plus les employés sont jeunes, plus ils utilisent d’applications cloud : 63 % des 18-24 ans s’en servent au travail, contre 59 % des 25-34 ans, 55 % des 35-44 ans, 48 % des 45-54 ans et 47 % des 55 ans et plus. Généralement plus à l’aise avec les nouvelles technologies, les jeunes peuvent en revanche se montrer moins respectueux des mesures de sécurité.

« Cette enquête met en lumière les comportements des employés utilisant des applications cloud au bureau, ainsi que les risques auxquels ils exposent leurs employeurs en adoptant de tels comportements », déclare à DataSecurityBreach.fr le Dr Hugh Thompson, directeur technique et vice-président sénior de Blue Coat Systems, Inc. « Il est important de noter que les équipes gérant les données les plus critiques (soit les professionnels de la gestion financière, des systèmes d’information et des RH) sont les plus adeptes de ces applications. Les données sensibles placées sous leur responsabilité sont souvent les cibles privilégiées des pirates. La chasse aux shadow data, ou données « fantômes » car échappant au contrôle des équipes informatiques, restent clairement un défi de taille pour les organisations. Celles-ci doivent adopter une approche proactive afin d’éviter le partage de données sur des applications non approuvées, et pour s’assurer que les employés accèdent aux informations conformément aux paramètres d’utilisation établis pour éviter tout danger. »

N.B. Tous les chiffres, sauf mention contraire, sont fournis par YouGov Plc. Taille totale de l’échantillon : 6 044 adultes, dont 3 130 individus actifs. Le travail sur le terrain a été réalisé du 6 au 12 mai 2016. L’enquête a été réalisée en ligne. Les chiffres ont été pondérés et sont représentatifs de tous les adultes britanniques, français et allemands (âgés de 18 ans et plus).

Cinq impératifs de sécurité à l’intention des nouveaux utilisateurs du Cloud

Apple, Amazon et Microsoft sont trois géants de la technologie et de véritables références en matière de fourniture de services cloud. Mais ils ont aussi comme point commun d’avoir été la cible de hackers plutôt virulents…

Le piratage Apple (le “celebgate”) a abouti à la divulgation de photos très personnelles de certaines célébrités qui utilisaient iCloud, une mésaventure qui a fait la une de nombreux médias l’année dernière. Au Royaume-Uni, le fournisseur technologique Code Spaces a tout simplement baissé le rideau en 2014, après avoir été la cible de maîtres chanteurs qui ont, au final, supprimé des données essentielles sur l’environnement de stockage cloud de l’entreprise basé sur Amazon Web Services. En 2013, un certificat SSL expiré au sein du cloud Azure de Microsoft permettait à des hackers de mettre à l’arrêt plusieurs services cloud, dont Xbox Live.

Les risques en matière de sécurité du Cloud sont à la hausse, tandis que les attaques ont progressé à un rythme effréné : +45% en glissement annuel selon le spécialiste de la sécurité Alert Logic. Au cours des 5 prochaines années, les entreprises devraient investir 2 milliards de dollars pour renforcer leurs défenses Cloud, selon Forrester Research.

Ce sont les primo-utilisateurs du cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité. À leur intention, voici cinq règles d’or qui encadrent (et sécurisent) toute migration vers le Cloud.

1. Apprenez à mieux connaître les environnements Cloud
Tout projet cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme cloud, le fournisseur du service réseau et l’entreprise cliente. Le Cloud doit être pensé en tant qu’extension du centre de données de l’entreprise, d’où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le cloud est un environnement dynamique qui implique des mises à jour régulières de l’architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s’immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur cloud, ainsi que les vôtres. Pour certains types de cloud, les IaaS notamment, l’entreprise cliente est responsable de la sécurité de ses applications et données dans le cloud. Il est également essentiel d’identifier les appliances de sécurité et technologies proposées par le fournisseur de services cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité
Prêt à migrer une application dans le cloud ? Mais avant, interrogez-vous sur l’intérêt de déployer des couches de sécurité dédiées aux processus d’authentification et de connexion à vos applications cloud.

Pour sécuriser l’accès à votre application cloud, vous devez déployer un schéma d’accès granulaire aux données, qui, par exemple, associe des privilèges d’accès à des rôles, des postes ou des projets. Vous disposez ainsi d’une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d’un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du cloud. Pour renforcer votre processus d’authentification, pourquoi ne pas adopter l’authentification à deux facteurs ou l’utilisation des mots de passe OTP (à usage unique) ? Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.

3. Optez pour le chiffrement
Le chiffrement des données est l’un de vos meilleurs alliés dans le cloud et doit d’ailleurs être obligatoire pour les transferts de fichiers et les emails. Bien sûr, le chiffrement ne préviendra pas les tentatives de piratage, mais il immunisera votre entreprise face au lourd impact financier lié aux amendes réglementaires infligées en cas de piratage avéré et de divulgation de données.

Interrogez ainsi votre fournisseur cloud sur les options de chiffrement disponibles. Identifiez comment les données sont chiffrées lorsqu’elles sont stockées, utilisées et transférées. Pour identifier le périmètre des données à chiffrer, il est essentiel de les localiser, qu’elles soient hébergées sur les serveurs de votre fournisseur cloud ou d’un tiers, les ordinateurs portables des collaborateurs, les PC fixes ou encore des dispositifs amovibles de stockage.

4. Maîtrisez le virtuel
En migrant vers le Cloud, les entreprises capitalisent sur les avantages de la virtualisation, mais un environnement virtualisé présente des défis spécifiques en matière de protection des données. La principale problématique ? La gestion de la sécurité et des échanges de données au sein de ces espaces virtualisés et mutualisés.

Les appliances physiques de sécurité ne sont pas conçues pour gérer les données dans le cloud. D’où l’intérêt de se pencher sur les appliances virtuelles pour sécuriser le trafic entre machines virtuelles. Ces appliances sont conçues pour simplifier la gestion de multiples instances d’applications et d’environnements mutualisés.

Elles permettent ainsi aux entreprises de contrôler plus précisément la sécurité de leurs données dans le Cloud. Demandez à votre fournisseur cloud comment il s’y prend pour sécuriser ses environnements virtualisés et découvrez quelles sont les appliances de sécurité virtuelles déployées. Si vous mettez en place votre propre cloud privé ou hybride, il est préférable de choisir des produits de sécurité virtualisés qui permettent un contrôle le plus fin de la sécurité.

5. Ne restez pas dans l’ombre du Shadow IT
Les anecdotes et exemples sont nombreux pour illustrer les cas d’utilisation non autorisés d’applications et de services cloud, ce qu’on appelle le Shadow IT, plus présent en entreprise qu’on ne le croirait. Cette activité regroupe les projets, outils ou services de communication existants au sein d’une organisation, mais sans approbation de la DSI. Le Shadow IT est donc, par définition, non contrôlé, ce qui constitue une certaine menace dont les impacts sont lourds en matière de gouvernance.

Votre application qui a récemment migré vers le Cloud connaît ainsi des risques. Considérez ce scénario dans lequel un collaborateur ouvre un fichier sur son smartphone. Il est probable qu’une copie du fichier soit réalisée et envoyée pour stockage vers un espace en ligne non approuvé et qui accueille les sauvegardes automatiques du téléphone. Et voilà des données de l’entreprise, jusqu’à présent sécurisées, qui se retrouvent dans un cadre non sécurisé.

Interdire le Shadow IT et les accès aux données et applications induits ne freinera sans doute pas cette pratique au sein d’une organisation. Il est plus intelligent de sensibiliser les utilisateurs et de miser sur la technologie pour régler cette problématique. Justement, le chiffrement des données, le monitoring réseau et les outils de gestion de la sécurité protègent vos applications cloud des risques liés au Shadow IT. (Christophe Auberger, Directeur Technique France chez Fortinet)

Sécurité des données : une tour en équilibre précaire

Pendant les fêtes, j’ai eu l’occasion de voir « The Big Short : Le Casse du siècle », film inspiré du livre de Michael Lewis sur la bulle immobilière. Ou plus exactement sur la manière dont un groupe de parias de Wall Street voit clairement les signes d’effondrement prochain du marché hypothécaire. Il est intéressant de constater qu’aucun de ces indices financiers ne constituait un secret.

Cela m’a poussé à me demander s’il existe aussi des signes incroyablement évidents montrant que la sécurité des données d’entreprise ne se trouve qu’à un ou deux piratages d’une explosion complète.

En guise de pièce à conviction A, veuillez consulter l’article de Krebs sur les nouvelles méthodes d’authentification mises en œuvre par Google et Yahoo. Google essaie une ouverture de session Gmail sans mot de passe par l’envoi d’un e-mail d’approbation au smartphone associé à votre adresse électronique. Après avoir accepté la requête, vous pouvez utiliser Gmail. Aucun mot de passe n’est nécessaire !

En octobre dernier, Yahoo a commencé à offrir un service similaire appelé « mots de passe à la demande ». Dans ce système, Yahoo envoie un code aléatoire de quatre caractères à un périphérique séparé lorsqu’un abonné tente de se connecter. Yahoo exige ensuite que l’utilisateur saisisse ce code sur son site Web pour obtenir l’accès.

Phishing récréatif et lucratif
Que dit Krebs à propos de ces changements ? Améliorer l’authentification est une bonne idée, mais Krebs pense que ces approches mèneront à des attaques de phishing plus sophistiquées. Aïe !

En règle générale, ce type de modèle reste exposé aux attaques de l’intercepteur.  Toutefois, Krebs semble suggérer que les pirates profitant de ces services enverront des e-mails contrefaits pour demander plus d’informations aux abonnés. Les utilisateurs de Yahoo et de Google ayant probablement l’habitude d’accepter et de répondre à des e-mails de vérification réels, ils pourraient accidentellement révéler un mot de passe ou d’autres informations en réponse à une communication falsifiée.

Alors que d’autres grands services en ligne commencent à essayer leurs propres méthodes et que certaines entreprises font appel à des techniques à facteurs multiples, d’insidieuses failles de sécurité restent possibles.

Le Web caché
Ma pièce à conviction B est constituée de toutes les données piratées au cours de ces deux dernières années. Étant donné que les IPI et autres données sensibles sont à la portée des pirates au moyen du Web caché, les cybercriminels possèdent beaucoup plus d’informations pour exécuter leurs futures opérations de phishing et autres attaques d’ingénierie sociale.

À l’heure où j’écris ces lignes, les médias technologiques signalent la divulgation massive de plus de 190 millions d’enregistrements électoraux comprenant des dates de naissance, des adresses électroniques et des affinités politiques. Bien sûr, cela s’ajoute à la violation géante de l’OPM, la violation de l’IRS  et les gigantesques violations des compagnies d’assurance.

Récemment, j’ai écrit un article au sujet des énormes quantités de données de santé protégées (PHI) qui se trouvent dans les systèmes informatiques des grandes entreprises. Ces dernières ne sont pas toutes des entreprises de services de santé. Souvent mal sécurisées, les PHI ont été écrémées par les pirates au cours des quelques dernières années. Elles constituent une autre remarquable source d’informations pour de futures attaques.

Le Jenga de la sécurité des données
Revenons au film « The Big Short ». Je ne pense pas que nous en dirons trop en révélant cette scène du film, car elle a déjà été largement distribuée. Je fais ici référence à Ryan Gosling montrant à ses collègues de Wall Street les pieds d’argile du colossal marché hypothécaire.

Comme au Jenga, il a lentement retiré les blocs de base de sa tour infernale. Comme on peut s’y attendre, la structure entière, y compris les blocs représentant les hypothèques les plus sûres, finit par s’effondrer.

J’attends qu’un DSI retire ce genre de bloc de Jenga ! C’est-à-dire qu’un collaborateur (peut-être un individu imprégné de philosophie « red team ») explique aux cadres dirigeants en quoi la sécurité informatique est semblable à une tour de Jenga.

Au sommet se trouvent une défense de périmètre et un chiffrement des données forts. Mais il existe des données mal sécurisées sous cette première couche. Et plus profondément encore, on rencontre des techniques d’authentification peu efficaces, des mauvaises stratégies de mots de passe, une gestion tardive des correctifs et une supervision des données insuffisante.

Le pirate mène ses essais et ses attaques à travers la main de l’employé. Guidé par les données volées existantes et d’autres informations de vulnérabilité acquises sur le marché noir (logiciels malveillants, IPI, informations d’identification volées), il sait quels blocs retirer de la base pour faciliter son accès à la prochaine couche de données mal sécurisées.

L’ensemble de la structure informatique s’effondre ensuite en laissant les blocs de Jenga éparpillés sur le bureau du DSI.

Je ne pense pas qu’en 2016 nous verrons l’équivalent informatique d’un effondrement financier dans lequel le commerce électronique et la pornographie seraient soudainement bloqués. Mais il existe depuis quelques années des signaux d’alarme en direction de sérieux problèmes au niveau des fondations mêmes de la sécurité des données informatiques. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

Les prédictions 2016 de Blue Coat en matière de sécurité informatique

Cloud, Ransomware, DDoS. L’année 2015 a été très chargée. L’année 2016 s’annonce tout aussi chaude.

Bijoux dans le cloud ; Voleurs dans le cloud
Les clés du royaume sont maintenant dans le cloud. Puisque de plus en plus d’entreprises stockent leurs données les plus précieuses (données clients & employés, propriétés intellectuelles, etc.) dans le cloud, tôt ou tard les méchants trouveront bien un moyen d’accéder à ces données. En 2016, nous prévoyons de voir une augmentation des failles dans les services cloud, en effet les pirates utiliseront les identifiants liés aux services cloud comme principal vecteur d’attaque. Les tactiques de social engineering vont imiter les écrans d’authentification à ces services cloud pour récupérer les identifiants.

Ransomware Road trip !
Les menaces mobiles et particulièrement les ransomwares font gagner beaucoup d’argent aux cybercriminels, nous verrons donc augmenter les deux dans l’année à venir. Les appareils mobiles représentent une nouvelle cible, téléphones et tablettes connaissent déjà un regain d’attaques au ransomware. Les criminels ont déjà attaqué beaucoup de ces cibles faciles, et désormais ils ne visent plus seulement des individus mais aussi des entreprises qui n’ont pas correctement sauvegardé leurs données sensibles (telles que les images, les codes source et les documents). La découverte récente du « Linux.Encoder ransomware » (qui a déjà corrompu 2 000 sites web) est juste un exemple de plus qui montre que les ransomwares continuent à évoluer.

Trafic chiffré/le SSL comme moyen de dissimulation
Des services tels que Office 365, Google Drive, Dropbox et Box continuent à gagner en popularité ; les pirates aussi continueront de s’appuyer sur ces derniers. Ces services sont parfaits pour eux : ils sont gratuits, simple à installer, utilisent le chiffrement SSL, et ne sont généralement pas bloqués. Le trafic chiffré continuera à créer des angles morts pour les solutions de sécurité étant donné que les activistes de la vie privée tentent de chiffrer le web entier. Avec des adversaires se dissimulant, opérant et communiquant dans un trafic et des canaux chiffrés, il y aura un grand intérêt pour les réseaux chiffrés.

Une attaque ici, une attaque là
Il semble que chaque année soit jugée comme étant « l’Année de l’Attaque », et chaque année, de plus en plus de grandes entreprises sont victimes d’attaques. Aujourd’hui, les attaques sont monnaie courante et les utilisateurs y sont de moins en moins sensibles. Il en résulte que beaucoup se sentent impuissants contre ces menaces, ce qui pousserait les entreprises à privilégier leur capacité d’analyse et de réponse à ces piratages, de même que leur assurance en cas d’attaque.

IoT- Il est 10 heures, savez-vous où est votre thermostat ?
L’internet des Objet (IoT) est un nouveau champ vierge pour le piratage et l’apprentissage. Les piratages PoS de ces dernières années ne sont qu’un début. La prédominance des appareils connectés à Internet, qui sont souvent laissés sans surveillance ni sécurité, font d’eux un refuge idéal pour le contrôle et la manipulation. Le fait est que beaucoup d’appareils connectés manquent d’espace mémoire ou de fonctionnalités d’un système d’exploitation. Par conséquent, la stratégie consistant à les considérer comme des postes clients classiques échouera, et cela permettra à la communauté des pirates d’exploiter les vulnérabilités de l’IoT que ce soit pour faire les gros titres des journaux ou à des fins plus néfastes (simplement en allumant ou en éteignant l’appareil).

Aujourd’hui, les ransomwares ne sont pas encore répandus parmi les objets connectés (tels que les réfrigérateurs ou les FitBits), étant donné que ces appareils ne stockent pas les données importantes que les pirates recherchent. Mais, à mesure que l’IoT se développe, nous allons commencer à voir des attaques plus avancées nous affecter en 2016 et à l’avenir.

Le paysage des menaces internationales
Nous commençons à voir un développement important des attaques nationales sophistiquées. Quelques pays, comme le Nigéria, sont en train de rentrer dans la mêlée avec des attaques plus sophistiquées. D’un autre côté, la Chine et la Corée du Nord ont peu contribué à l’évolution de leurs attaques ces cinq dernières années. Quant à la Russie, elle a évolué de façon significative ces derniers temps, que ce soit en terme d’activité ou de sophistication, étant donné que le pays se préoccupe moins de faire profil bas. Les pirates russes sont maintenant plus vigoureux qu’avant dans leurs tentatives d’intrusion. Nous prévoyons que les conflits à travers le monde amèneront avec eux des attaques via du matériel connectés.

A la suite de la dénonciation du Safe Harbor, la signature du règlement général de protection de données européennes – et les peines encourues pour non-respect – forcera les entreprises à faire un état des lieux de la façon dont ils traitent les informations personnelles de leurs clients européens, ainsi que de leurs employés ; en attendant que cela ait un impact direct et considérable sur leur sécurité d’architecture et investissements.

Le recrutement
La défaillance des entreprises et des pays à développer un cyber talent deviendra un problème important dans les cinq prochaines années. La demande pour les compétences en sécurité informatique professionnelle devrait croitre de 53% d’ici 2018. De ce fait, les postes dans le domaine sécurité seront complétés par des MSSP (fournisseurs de services d’infogérance en sécurité), dont les prix ne baisseront pas. De plus, les produits devront être plus performants et plus intelligents pour pouvoir guider le changement et les organisations privées auront besoin de changer leurs habitudes et d’investir pour intéresser les candidats. (Par Dominique Loiselet, Directeur Général de Blue Coat France)

Quels changements se profilent dans le paysage de la sécurité pour 2016 ?

Le changement le plus important concerne la manière dont les équipes chargées de la sécurité traiteront « l’inflation » de données, d’équipements, de fonctionnalités et de menaces. La croissance rapide de l’Internet des Objets va ajouter énormément d’équipements et de capteurs sur les réseaux informatiques.

Nombre d’équipes chargées de la sécurité informatique se sentent dépassées par le traitement des données, la sécurité de leurs réseaux informatiques actuels ainsi que par les responsabilités associées. Se contenter d’ajouter des solutions de sécurité informatique n’aidera pas les entreprises à contrôler l’afflux de données qui se profile. Il serait plutôt intéressant de voir comment les équipes IT seraient capables de gérer dix fois plus d’équipements et de données en partant de zéro. Cela leur permettrait de réfléchir à une stratégie sur le long terme et à la manière adéquate de suivre ce rythme effréné.

Toujours plus d’entreprises ont conscience de l’importance de l’informatique dans les environnements Cloud pour leurs activités. Les services à faible valeur tels que l’infrastructure de messagerie évoluent de plus en plus vers le Cloud et sont de moins en moins gérés en interne. En effet, la plupart des entreprises ne sont pas contraintes de se soumettre à des obligations de conformité ou de sécurité à ce niveau. Après tout, la plupart des courriers électroniques sont envoyés via Internet sans être chiffrés. Alors à quoi bon héberger ces messages en interne ? Les ressources monopolisées pour ce faire pourraient être utilisées à meilleur escient, par exemple pour réfléchir à la manière dont l’équipe IT pourrait accompagner plus efficacement l’activité de l’entreprise.

Puisqu’un nombre toujours plus important d’applications et de services migrent vers le Cloud, le suivi des actifs peut également passer dans le Cloud. Les terminaux des utilisateurs sont plus mobiles qu’avant et l’environnement dans lequel les collaborateurs souhaitent ou doivent travailler peut changer à tout moment. Une liste précise d’actifs informatiques indiquant l’état de tous les équipements et logiciels autorisés, ainsi que ceux non autorisés à rejoindre le réseau, offre un meilleur point de départ à l’équipe informatique chargée de la sécurité. En parallèle, rechercher en permanence les failles possibles sur l’ensemble des points d’extrémité est désormais indispensable.

Comment évoluent les cibles ?
Contrairement à ce que peuvent prêcher la plupart des fournisseurs de solutions de sécurité informatique, le mobile sera sans doute la principale cible en termes de sécurité en 2016. Bien qu’ils aient aussi leurs problèmes, iOS et Android restent malgré tout mieux protégés contre les malware commerciaux que les traditionnels terminaux informatiques. Les équipements mobiles pourraient être la cible privilégiée d’une surveillance et d’attaques commanditées par un Etat. En effet, ces équipements nous localisent et nous transportons en permanence avec nous un micro et un appareil-photo activables à distance. Quant aux PC et ordinateurs portables, ils sont dans le viseur des éditeurs de malware commerciaux qui y voient un retour sur investissement.

L’informatique traditionnelle, en particulier les systèmes de contrôle industriels et les applications SCADA pour la production, est de plus en plus connectée à Internet. Cela représente un risque important dans la mesure où ces systèmes ont été conçus à une époque où les utilisateurs étaient des collaborateurs fiables et compétents. Connecter ces systèmes de contrôle industriels ou ces applications SCADA à l’Internet public peut les exposer facilement à des attaques externes lancées par des individus malveillants, non autorisés et hors du contrôle de l’entreprise. Des attaques continueront d’être lancées tant que ces vieux systèmes seront simplement « connectés » à Internet.

Comment évoluent les stratégies de prévention ?
Les stratégies évoluent de plus en plus car les traditionnelles approches en matière de sécurité informatique sont moins efficaces et plus problématiques qu’avant. Ces dernières ne sont plus à la hauteur et constituent un échec. Il faut plutôt s’intéresser à l’avenir de l’informatique et à la façon d’intégrer la sécurité partout et par défaut.

Par exemple, les utilisateurs consomment davantage d’applications dans le Cloud qu’auparavant. Les entreprises utilisent des solutions telles que SalesForce pour leurs systèmes CRM et Office 365 pour leur communication. Cette approche réduit le nombre d’applications tributaires du réseau interne et plus les applications et les services seront consommés auprès de fournisseurs opérant dans le Cloud public, plus la surface d’attaque des réseaux internes sera réduite.

Les équipes informatiques vont devoir réfléchir à la manière de concevoir la sécurité dans un monde où les utilisateurs s’appuient uniquement sur leur équipement plutôt que sur le réseau de l’entreprise. Chaque point d’extrémité doit pouvoir être fiable et sécurisé, peu importe où se trouvent les utilisateurs ou la façon dont ils souhaitent travailler.

Les Data Centers face aux risques : des menaces contrôlées

Le Cloud a réussi à convaincre de nombreux adeptes grâce à ses différents atouts : simplicité, adaptabilité, ou encore coûts contrôlés. Pour protéger au mieux les données qui leur sont confiées, les fournisseurs éthiques suivent une règle d’or : prévoir l’imprévisible pour pouvoir assurer la sécurité des données.  

En effet, les data centers – comme toute autre installation – sont confrontés à différents risques et cela peut effrayer les entreprises et les particuliers.  Cependant, les serveurs des centres de données sont souvent bien plus sécurisés que les propres structures informatiques des entreprises. Plusieurs menaces existent, et les fournisseurs de Cloud disposent de spécialistes afin d’analyser et d’anticiper chacun de ses risques.

Le risque physique et le vandalisme
Il s’agit du risque lié à une intrusion physique sur le lieu : vol de matériel contenant des données, incendies criminels, ou encore casse des serveurs. Pour répondre à ce risque, des systèmes de vidéosurveillance mais aussi de détection volumétrique de mouvements au sein du périmètre de sécurité sont mis en place.  De plus, l’entrée du bâtiment est sécurisée par un contrôle d’accès strict avec différents niveaux de droits selon les pièces.  En cas de problèmes, les droits d’accès peuvent être rapidement révoqués et les badges désactivés automatiquement. Le bâtiment est également équipé de portes blindées, de systèmes de détection des chocs sur les portes et les fenêtres. Toute cette installation vise à pouvoir réagir très rapidement en cas de tentative d’effraction, avec une prise en charge rapide par le personnel sur site présent 24h/24 7J/7 et par les forces de l’ordre.

Pour pallier la menace d’incendie, des détecteurs sont mis en place. Les Data Centers sont par ailleurs équipés de système d’extinction automatique par gaz, si un départ de feu est confirmé par 2 détections simultanées, des bouteilles seront percutées instantanément afin de remplir la salle informatique d’un gaz empêchant la réaction chimique de l’incendie et bloquer tout incendie en cours.

Le risque météorologique
Cette catégorie regroupe tous les dangers liés à des conditions climatiques extrêmes: inondation, foudre ou encore canicule. Afin de prévenir d’éventuels sinistres, ce risque est étudié avant même l’implantation du Data Center afin d’éviter la construction en zone inondable. Le bâtiment est également entouré par des paratonnerres, et les armoires électriques équipées de parafoudres pour protéger le lieu en cas de tempête. Les climatisations sont spécifiquement choisies afin de fonctionner même lorsqu’elles sont soumises à de très hautes températures.

Les risques intrinsèques et électriques
Pour la partie électrique, les onduleurs sont présents pour palier une éventuelle micro-coupure ; en cas de problème plus conséquents – comme une panne totale de l’arrivée électrique principale Haute Tension– les Data Centers sont équipés d’un groupe électrogène pouvant assurer leurs autonomies. Des audits annuels sont par ailleurs réalisés pour assurer une sécurité optimale du lieu. Une caméra thermique permet de vérifier qu’il n’y a pas de points chauds pouvant potentiellement créer un départ d’incendie et les câblages sont également vérifiés une fois par an. Enfin, en cas de fuite d’eau, un système automatisé permet de couper l’arrivée d’eau dans la salle informatique.

Le risque numérique
Les menaces numériques regroupent tous les risques liés au piratage informatique.  Pour cela, les serveurs peuvent—être équipés d’un antivirus, d’un firewall, mais aussi d’une solution visant à bloquer les attaques DDoS.  Ainsi, un large spectre de vecteurs d’attaques est contrôlé. Il s’agit là des précautions prises pour un unique Data Center par chaque fournisseur. La mise en place d’un deuxième Data Center, notamment s’il est utilisé pour effectuer des plans de reprises d’activité, exige également quelques bonnes pratiques. Les deux bâtiments ne doivent pas être éloignés de plus de 50 kms l’un de l’autre, dans l’idéal, afin d’avoir un délai de latence faible pour la synchronisation des données. Mais ils ne doivent pas non plus appartenir aux mêmes réseaux électriques, car si une longue coupure intervient, les deux seraient alors potentiellement impactés. (par Aurélien Poret, responsable Infrastructure – Ikoula)

Quelles sont les nouvelles missions de la DSI à l’ère du cloud ?

Ce n’est plus une surprise aujourd’hui que le recours au cloud représente une transformation importante et stratégique pour les entreprises et va parfois de pair avec certaines inquiétudes concernant la place de la DSI. Les questions qui découlent de cette stratégie technologiques sont nombreuses : la DSI a-t-elle encore un rôle à jouer à l’ère du cloud ? Ce rôle doit-il évoluer et si oui, dans quelle(s) direction(s) ?

Dans de nombreuses entreprises, la DSI cherche avant tout à créer un socle informatique commun à l’ensemble des salariés : ce dernier doit être stable, afin d’éviter les interruptions de l’activité et permettre à chacun d’acquérir une excellente maîtrise des outils ; il doit aussi être sécurisé, afin de garantir une confidentialité optimale des données. De ces impératifs résultent des cycles informatiques longs, pouvant durer entre 3 et 5 ans avant que l’on n’envisage de changements significatifs des outils utilisés. Aujourd’hui, ce cycle long montre ses limites face à une économie toujours plus réactive où le time-to-market se réduit et où l’on recherche une plus grande agilité. Les entreprises doivent souvent faire preuve de rapidité pour répondre aux besoins du marché, une rapidité à laquelle leur infrastructure n’est pas toujours adaptée.

La DSI est donc confrontée à un paradoxe : d’un côté, offrir à l’entreprise de la stabilité afin qu’elle gagne en productivité et en sécurité ; de l’autre, s’adapter à de nouveaux usages dans un contexte où tout concorde pour que l’environnement soit instable. Un paradoxe d’autant plus présent dans les secteurs où les entreprises traditionnelles sont concurrencées par des start-up très agiles.

Mais alors, quelles craintes font naître ces évolutions ?
Tout d’abord il y a le « shadow IT ». La DSI y est confrontée de manière quasi récurrente : les salariés souhaitent décider eux-mêmes des outils les plus appropriés pour accomplir leurs missions ; il leur arrive ainsi d’en adopter certains sans l’aval des services informatiques, créant alors une véritable «informatique de l’ombre». Par conséquent, la DSI hérite souvent de la maintenance de ces dispositifs qu’elle n’a pas choisis et de la gestion des problèmes de compatibilité.

Puis vient la perte d’influence. Pendant longtemps, seule la DSI a eu le pouvoir sur les outils utilisés dans l’entreprise lui permettant de s’opposer à l’utilisation d’un logiciel si elle estimait qu’il ne répondait pas aux critères établis. Aujourd’hui, comme l’illustre la présence du shadow IT, les entreprises sont beaucoup plus ouvertes sur l’extérieur. Les directions métier, par exemple, ont accès à un large panel d’applications web qu’elles peuvent mettre en place en quelques clics. Le processus de décision est donc souvent plus rapide que la chronologie traditionnelle (évaluation des ressources techniques et budgétaires nécessaires, étude des risques, prise de décision, planification, déploiement) qui exigeait souvent plusieurs semaines voire plusieurs mois. En conséquence, la DSI peut craindre une certaine perte d’influence.

Enfin, reste l’automatisation. La plupart du temps, les logiciels basés sur le cloud hébergent les données au sein d’un datacenter extérieur à l’entreprise, dont la gestion est donc assurée par des tiers. De même, ces logiciels permettent souvent d’automatiser ou de simplifier des tâches autrefois placées sous le contrôle de la DSI : l’allocation des ressources, la configuration de chaque poste, le déploiement de nouvelles applications, etc. Ainsi, bien souvent, la DSI n’est plus la seule à impulser des décisions quant aux choix technologiques de l’entreprise. Les directions métier s’invitent aussi dans le débat, suggérant l’adoption de nouveaux outils. C’est sur ce type de projet que la DSI est la plus susceptible de ressentir une perte d’influence. Le risque est moindre lorsque les projets concernent l’entreprise dans son ensemble car la DSI conserve alors son pouvoir de prescription et de décision.

DSI, métiers, vers un juste équilibre ?
La situation actuelle entre DSI et directions métier n’est pas si préoccupante que l’on pourrait le croire. En effet, une étude menée par Verizon a démontré que seules 16% des entreprises étaient prêtes à investir dans le cloud sans l’aval de la DSI. A l’inverse, pour 43% d’entre elles, ce type de décision implique toujours une validation préalable de la DSI tandis que 39% prennent une décision collégiale associant directions métier et DSI. Le fait d’associer la DSI aux décisions ne se résume pas à valider la sécurité des choix technologiques, au contraire. La DSI permet, pour plus de la moitié des entreprises interrogées, d’optimiser les coûts et de réduire la complexité du processus. En réalité, il ne s’agit pas de créer un clivage entre DSI et directions métier mais de les réunir autour d’un objectif qui les rapproche : assurer la croissance de l’entreprise. Cela passe souvent par la mise en place de nouveaux business models permettant de développer le portefeuille clients ou de fidéliser les clients existants. Dans la poursuite de cet objectif, le cloud apporte une agilité accrue.

Le fait de solliciter l’IT offre à toute entreprise des bénéfices qui restent indéniables :
La DSI se porte garante du bon fonctionnement du système – Si le téléchargement d’un logiciel classique peut se faire à l’insu de l’IT, le cloud implique nécessairement de se pencher sur des questions comme la sécurité, la bande passante, l’interopérabilité. Sur ces sujets pointus, seule la DSI est en mesure d’intervenir afin de mettre en place de nouvelles fonctionnalités tout en préservant la cohérence du système d’information. Elle a en effet la maîtrise des questions de gouvernance : proposer de nouveaux produits et services, améliorer les processus et la fluidité des échanges…

La DSI peut apporter un accompagnement – Tout changement fait naître des inquiétudes et de manière générale, les utilisateurs n’acceptent un nouveau système que lorsque celui-ci apporte une amélioration significative de leurs conditions de travail. A l’inverse, si ce système se révèle plus complexe que le précédent, on accroît le risque de shadow IT. Il est donc primordial de faire coopérer la DSI et les métiers.

La DSI a un réel pouvoir de prescription – elle n’a pas pour seule mission de répondre à des besoins exprimés par les directions métier. Elle cherche aussi à les anticiper. Sa position la place à l’écoute des évolutions technologiques, elle est aussi gardienne de la mémoire des systèmes d’information de l’entreprise et peut donc impulser des innovations pour que l’entreprise gagne en modernité et en efficacité.

En conclusion, il ressort de ces constats que la DSI, loin d’être menacée par le développement du cloud, peut au contraire tirer profit de sa maîtrise technologique pour accompagner les directions métier et leur proposer des solutions à forte valeur ajoutée. Elle retrouve ainsi toute sa place dans la stratégie de l’entreprise. (Par Philippe Motet – Directeur Technique chez Oodrive)

Sécurité du Cloud : quelles tendances en 2016 ?

Ravij Gupta, Co-fondateur et PDG de Skyhigh Networks, éditeur de solutions de sécurité des données dans les applications Cloud (« Cloud Access Security Broker » – CASB), fait le point sur les dernières tendances autour du Cloud et formules ses prédictions pour 2016.

  1. Les entreprises vont commencer à réduire leur retard sur la sécurité du Cloud. De plus en plus d’entreprises ont pris le virage du Cloud, mais souvent au détriment de la sécurité. Il y a un écart entre le niveau actuel des budgets de sécurité du cloud et celui où il devrait être par rapport à l’ensemble des dépenses de sécurité. Selon le Gartner, les entreprises ne consacrent que 3,8 % de leurs dépenses cloud à la sécurité, alors que cela représente 11 % pour les budgets informatiques en général. En 2016, les budgets alloués à la sécurité du Cloud dépasseront ceux des dépenses générales de sécurité informatique afin que les entreprises rattrapent leur retard.

  1. Les tarifs ​​des assurances pour la sécurité informatique vont doubler. En 2015 les compagnies d’assurance ont pris en charge des coûts massifs liés aux cyberattaques. En réponse, les taux et les primes vont augmenter. Les entreprises rechigneront et paieront à contrecœur et certaines auront même besoin de souscrire des contrats à des conditions défavorables afin d’obtenir une couverture : Anthem a dû s’engager à débourser 25 millions de dollars sur des coûts futurs afin de bénéficier de 100 millions de dollars de couverture. De nombreux assureurs limiteront leur couverture maximum à 75 ou 100 millions de dollars – bien en dessous du coût d’un piratage majeur, qui peut atteindre un quart de milliard de dollars.

 

  1. OneDrive deviendra l’application de partage de fichiers Cloud la plus populaire. Actuellement à la quatrième place en terme de volume de données téléchargées, OneDrive va faire un bond au niveau du classement du fait que les entreprises évoluent vers le Cloud avec Office 365. Les entreprises ont déjà montré la confiance qu’elles accordaient à ​​la plate-forme Cloud de Microsoft comme système d’enregistrement pour leurs informations sensibles. Elles y ont ainsi téléchargé près de 1,37 To par mois dont 17,4 % de fichiers contenant des données sensibles. Et il y a encore un énorme potentiel de croissance : 87,3 % des organisations ont au moins 100 employés utilisant Office 365, mais 93,2 % des employés utilisent encore les solutions Microsoft sur site. Microsoft a investi plus d’un milliard de dollars dans la sécurité, et a récemment publié une nouvelle API Office 365 destinée aux partenaires afin de leur permettre de surveiller et de sécuriser les contenus sensibles. Satya Nadella prend la sécurité du Cloud très sérieux et les entreprises qui étaient auparavant hésitantes migreront vers les offres de cloud de Microsoft.

  1. Les régulateurs européens vont ressusciter Safe Harbor. Les entreprises mondiales ont accordé une attention particulière lorsque la Cour de Justice de l’Union Européenne a annulé l’accord de transfert de données connu sous le terme Safe Harbor. Ce dernier permettait aux entreprises de stocker les données des Européens chez les fournisseurs de cloud américains. La décision de la CJUE a renforcer l’intérêt pour un point clé : les entreprises doivent se méfier des données sensibles non chiffrées transitant par les services de Cloud, en particulier ceux situés dans des pays ayant des politiques de confidentialité des enregistrements douteuses. Toutes les données ne sont pas sensibles, cependant, la disparition de Safe Harbor va imposer des restrictions inutiles et irréalistes aux activités Cloud. Les régulateurs feront des compromis pour faciliter l’accès mondial aux données.

 

  1. La majorité des incidents de sécurité Cloud viendront de l’interne chez les fournisseurs de services. Les fournisseurs de services Cloud ont tellement amélioré la sécurité que les failles seront de plus en plus rares. Cela aura pour conséquence de positionner les employés de l’entreprise comme le maillon faible. 90 % des entreprises font face à au moins une menace Cloud interne par mois. Que ce soit malveillant ou involontaire, les propres employés de l’entreprise représenteront la plus grande menace pour la sécurité du Cloud.

Que la sécurité du cloud soit avec vous : les conseils pour se protéger du côté obscur

Pour les entreprises, le cloud représente la puissance, la flexibilité, l’évolutivité et le contrôle. Cette énorme puissance de calcul est le fruit d’une infrastructure informatique interconnectée et mondiale. Elle englobe aussi bien les entreprises et que les individus, et leur donne plus de liberté. C’est un facteur de cohésion pour l’économie mondiale. De la même façon, la Force donne au Jedi sa puissance et lui permet d’accomplir de véritables exploits et de renforcer ses capacités. Il s’agit d’un champ d’énergie créé par tous les êtres vivants. Elle nous enveloppe et unit la galaxie tout entière.

Bien que la Force puisse être utilisée pour faire le bien, elle possède un côté obscur qui imprègne son utilisateur de malveillance et d’agressivité. On peut dire la même chose du cloud, qui offre de nombreux avantages, mais doit être sécurisé afin que sa puissance soit correctement utilisée. Quels sont les certifications et protocoles de sécurité des services cloud ? Où sont stockées les données des entreprises ? Comment sont-elles protégées ? Qui peut y accéder ? Combien de temps le fournisseur de service cloud conserve-t-il des copies des données ?

Trois méthodes afin de se protéger du côté obscur
La Force du mal : lorsqu’un ver, virus ou botnet communique avec son centre de commande et de contrôle afin d’envoyer des données dérobées à un ordinateur « maître », les criminels brouillent les communications. Les logiciels malveillants utilisent également le chiffrement afin de masquer les informations qu’ils transmettent à des serveurs cloud par le biais du réseau, y compris des mots de passe ou des données sensibles telles que des coordonnées bancaires volées. En effet, selon CGI Security1, il est plus facile de lancer une attaque contre une organisation par le biais d’applications chiffrant leurs communications. Ainsi, une tentative de phishing peut passer inaperçue, car le système de prévention des intrusions en place est incapable d’examiner le trafic SSL et d’identifier le malware, et parce que les pare-feu de l’entreprise n’alertent personne de la nécessiter de bloquer ces paquets. Les malwares tels que Zeus sont célèbres en raison de leur utilisation du chiffrement ainsi que d’autres astuces afin de rendre leurs communications avec leurs centres de commande et de contrôle (C&C) indétectables des équipements de sécurité.

Que faire : s’assurer de disposer d’une visibilité sur le trafic cloud chiffré par SSL. Il faut pour cela utiliser des outils dédiés mettant en œuvre des portails sécurisés et d’autres systèmes avancés de protection des réseaux en périphérie afin d’inspecter le trafic une fois celui-ci déchiffré.

La Force du mal : les criminels cherchent des failles en périphérie du cloud, comme des interfaces et des API non sécurisées. En effet, les administrateurs informatiques utilisent des interfaces pour le provisionnement, la gestion, l’orchestration et la supervision du cloud. En outre, les API sont essentielles à la sécurité et à la disponibilité des services cloud génériques. Des rapports publiés par la Cloud Security Alliance2 révèlent que plus des organisations et des tiers s’appuient sur ces interfaces pour créer des services supplémentaires, plus la complexité augmente, car les organisations peuvent être contraintes de soumettre leurs identifiants à des tiers afin de pouvoir utiliser leurs systèmes cloud. Cette complexité peut ouvrir des boulevards permettant le piratage de ces identifiants qui sont alors susceptibles d’être utilisés pour accéder à des données au sein de systèmes cloud

Que faire : chiffrer ou « tokeniser » les données avant qu’elles n’atteignent les systèmes cloud. Ainsi, si le côté obscur parvenait à infiltrer ces derniers, il n’y trouverait que des valeurs de remplacement inexploitables

La Force du mal : le côté obscur peut parfois pousser les utilisateurs à oublier les règles d’entreprise indiquant que les données réglementées et sensibles (comme celles de santé ou relatives à des cartes de paiement) ne peuvent pas être stockées dans des environnements de cloud public, ou que certains utilisateurs ne peuvent pas accéder à des systèmes cloud sensibles depuis certains emplacements.

Que faire : contrôler le Shadow IT et le Shadow Data (informatique fantôme). Déterminer quels services cloud sont utilisés, leurs risques relatifs, et quels types de données y sont envoyées. En partant de ces informations, utiliser des technologies telles que des courtiers d’accès sécurisé au cloud afin de superviser le comportement des utilisateurs et de repérer la moindre activité anormale. Prendre également des mesures en amont, telles que le chiffrement des données sensibles, afin d’assurer une utilisation sécurisée du cloud et de garantir longue vie et prospérité à votre entreprise (oups, ça c’est le slogan d’une autre franchise cinématographique).

Quelques mesures spécifiques :
Restreindre l’accès des employés à la variété de nouvelles applications cloud qui sont apparues au cours des 5 dernières années.  Tirer parti des flux d’informations sur le cloud : celles-ci peuvent permettre à votre organisation de comprendre les risques relatifs liés à l’utilisation de certaines applications cloud.

Définir des politiques afin d’empêcher certains types de données de quitter votre organisation grâce à des solutions de prévention contre la perte de données (DLP). Celles-ci effectuent des analyses en continu à la recherche de données de patientes, de cartes de crédit et des numéros de sécurité sociale.

Inspecter le contenu issu des applications cloud et allant vers l’entreprise ; effectuez des analyses de contenu approfondies afin d’empêcher les malwares et autres menaces complexes de pénétrer vos organisations.

Les entreprises peuvent et doivent bien connaître les menaces (internes comme externes) pesant sur leurs infrastructures et données cloud. Elles doivent également se servir des conseils susmentionnés comme d’un guide afin de faire face à ces menaces en adoptant les approches et technologies de sécurité informatique les plus efficaces qui soient. Seule une gestion proactive et sage des risques du cloud permettra de profiter de sa puissance sur les plans organisationnel et technologique.