Archives par mot-clé : cloud

TOP 10 des méthodes de piratage

L’ingénierie sociale serait la méthode la plus utilisée, suivie par la compromission de comptes et les attaques web de type injections SQL/de commandes selon une étude de Balabit.

BalaBit, fournisseur européen de technologies de sécurité contextuelle, a présenté lors de la 15è édition des Assises de la Sécurité, les résultats d’une étude menée auprès des participants de la Black Hat en août dernier, conférence de référence mondiale en matière de sécurité de l’information. BalaBit a interrogé 349 professionnels de la sécurité afin de définir le top 10 des méthodes de hacking actuellement les plus populaires. Cette étude offre aux entreprises l’opportunité de mieux connaître leurs ennemis en identifiant les méthodes et les vulnérabilités les plus utilisées par les hackers lorsqu’il s’agit de s’attaquer à leurs données sensibles. Cette base de connaissance est la première étape fondamentale pour toute entreprise souhaitant mettre en place une stratégie de sécurité IT efficace, et cela quelque soit son secteur d’activité.

Attaquant interne ou externe ? Pas si évident…
Les menaces sont différentes et plus sophistiquées aujourd’hui et la frontière entre les menaces internes et externes est devenue très étroite. La majorité des attaquants externes tentent de pénétrer le réseau, d’acquérir des niveaux d’accès basiques et d’utiliser leurs droits pour petit à petit remonter jusqu’à des niveaux d’accès privilégiés. Dans la plupart des cas, ils restent invisibles dans le réseau pendant plusieurs mois, puisqu’ils parviennent à s’identifier comme des utilisateurs internes. Qu’en est-il des utilisateurs internes malveillants ? : Sont-ils conscients des conséquences de leurs actes lorsqu’ils partagent leurs identifiants ou lorsqu’ils cliquent sur des liens de phishing – dans ce cas, la fuite de données est-elle le résultat d’actions intentionnelles ou accidentelles ? Doivent-ils être considérés comme malveillants seulement si leur action était intentionnelle ? Cela a t-il vraiment beaucoup d’importance si la fuite de données est très grave ?

70% des personnes interrogées considèrent les menaces internes comme les plus risquées.
54% des personnes interrogées déclarent avoir très peur des hackers qui pénètrent au sein du réseau de l’entreprise via leur pare-feu, alors même que 40% d’entre elles déclarent qu’un pare-feu n’est pas assez efficace pour empêcher les hackers d’entrer.

Les participants ont également été interrogés sur les attaquants – internes ou externes – qu’ils considèrent les plus à risques : Les résultats soulignent un point important en vue de la définition d’une stratégie de défense efficace : 70% des personnes interrogées considèrent que les utilisateurs internes présentent le plus de risques (et seulement 30% estiment que les attaquants externes posent plus de risques). Une chose est sûre : les attaquants externes cherchent à devenir des utilisateurs internes, et les utilisateurs internes les aident pour y parvenir – accidentellement ou intentionnellement. Quelque soit la source de l’attaque, la liste des 10 méthodes de piratage les plus populaires -présentées ci-dessous – démontre qu’il est crucial pour les entreprises de savoir ce qu’il se passe sur leur réseau en temps réel. Qui accède à quoi ; est-ce le bon utilisateur derrière l’identifiant et le mot de passe ou est-ce un attaquant externe utilisant un compte compromis ?

Le top 10 des méthodes de piratage les plus utilisées :

1. Ingénierie sociale (ex : phishing).
2. Compromission de comptes (sur la base de mots de passe faibles par exemple).
3. Attaques web (ex : injection SQL/de commandes).
4. Attaques de clients de l’entreprise ciblée (ex: contre des destinataires de documents, navigateurs web).
5. Exploits avec des mises à jour de serveurs connus (ex: OpenSSL, Heartbleed).
6. Terminaux personnels non sécurisés (manque de politique de sécurité BYOD, datasecuritybreach.fr vous en parle très souvent).
7. Intrusion physique.
8. Shadow IT (utilisation personnelle de services Cloud à des fins professionnelles).
9. Attaque d’une infrastructure outsourcée en ciblant un fournisseur de services externe.
10. Attaque de données hébergées sur le Cloud (via l’IaaS, le PaaS).

CLOUD : la gestion des mots de passe devient une priorité pour les PME

Les petites et moyennes entreprises transfèrent de plus en plus souvent leurs outils de travail dans le Cloud. De plus, la frontière entre l’usage personnel et l’usage professionnel de la technologie est de plus en plus floue à mesure que les employés choisissent d’utiliser leurs applications préférées au bureau.

Malgré les économies et les gains de productivité liés au passage des outils de travail dans le Cloud, la réalité reste un cauchemar logistique pour les responsables quoi doivent désormais gérer toute un arsenal d’identifiants et de mots de passe associés à ces applications. Ajouter à cela les choix de mots de passe faibles d’une bonne partie de la population, et vous obtenez un trou béant dans la sécurité qui séduirait même le plus novice des hackers.

La possibilité de travailler à tout moment, n’importe où et sur n’importe quel appareil est devenu le mantra des employés d’aujourd’hui, et cela pousse les entreprises à adopter le Cloud. Selon une étude récente menée par Enterprise Strategy Group et LogMeIn, près de 3 quarts des employés qualifiés – ceux qui gèrent les informations – affirment que la mobilité est cruciale ou importante pour être productif dans leur travail, avec 70% d’entre eux travaillant ailleurs que dans un bureau plusieurs jours par semaine. Pourtant, 60% des PME n’ont pas mise en place de politique de sécurité pour répondre à la hausse de l’utilisation des applications Cloud sur le lieu de travail.

La saga des mots de passe
Si la gestion des mots de passe n’est pas un nouveau défi pour les PME, c’est un problème qui devient très complexe étant donné qu’en moyenne les utilisateurs possèdent des mots de passe pour plus de 25 applications qu’ils utilisent au travail. Et les enjeux pour les PME sont plus importants que jamais, étant donné que presque 80% des applications Cloud et des services contiennent des données sensibles, régulées ou confidentielles. Il suffit d’un seul piratage pour paralyser une entreprise, le Gartner estime que seulement 6% des entreprises sortent indemne d’un piratage de données alors que 43% mettant la clé sous la porte.

Même s’il semblerait que conserver un mot de passe unique fort soit contre-productif, il existe quelques moyens pour que les PME rendent plus simple le choix de mots de passe de leurs employés et qu’ils arrêtent leurs mauvaises habitudes.

1. Eviter les groupes populaires. Il est choquant de devoir encore le répéter, mais les PME ne devraient jamais, sous aucun prétexte, utiliser des mots de passe faciles à deviner pour protéger des informations sensibles. Les mots de passe les plus utilisés en 2014 étaient « mot de passe » et « 123456 ». Les mots de passe devraient être une combinaison de lettres en capitale et en minuscule, de nombres et de symboles.

2. Conserver vos mots de passe dans un coffre-fort. Si vous pouvez vous souvenir des identifiants et des mots de passe de toutes les applications que vous utilisez, soit vous avez une très bonne mémoire photographique, soit vous utilisez les mêmes pour toutes vos applications. Puisque chaque application devrait avoir un mot de passe unique, un gestionnaire de mot de passe sûr vous aidera à les gérer et vous encouragera à utiliser des mots de passe forts que vous n’aurez pas à retenir.

3. Déployer une solution de gestion des accès. Non seulement cela aidera vos employés à mieux gérer leurs mots de passe, mais cette solution sera également être utiles aux entreprises. Les PME pourront gérer l’accès pour que les employés qui rejoignent l’entreprise puissent obtenir un accès rapide – ou le retirer sans problèmes à ceux qui partent – et permettre le partage des comptes sans partager les mots de passe.

4. Utiliser l’authentification à deux facteurs. En ajoutant un niveau de sécurité via une authentification à deux facteurs, il sera plus difficile pour un hacker de compromettre un mot de passe, en particulier quand surtout pour les utilisateurs qui changent de navigateurs et de localisation.

Quand il s’agit de sécuriser les données de l’entreprise dans le Cloud, il n’y a pas de solution miracle. Cependant, les humains seront toujours le maillon le plus faible de la chaîne, donc, encourager une meilleure gestion des mots de passe – autant au niveau des employés qu’à celui du département informatique est un bon début pour réduire les risques. Il est temps de faire de la gestion des mots de passe une priorité pour garder les données de votre entreprise et de vos clients en sécurité. (Par Alain Logbo, Directeur Commercial Entreprises EMEA de LogMeIn)

Orange Business Services et Gemalto s’allient pour offrir un accès hautement sécurisé aux applications cloud

La solution d’authentification multi-facteurs de Gemalto disponible sur la galerie de services cloud sécurisée d’Orange Business Services.

Gemalto et Orange Business Services ont annoncé l’intégration de SafeNet Authentication Service de Gemalto au sein de Business VPN Galerie, la galerie de services cloud sécurisée d’Orange Business Services. Les clients d’Orange Business Services accèdent au service d’authentification multi-facteurs SafeNet à travers son offre Flexible Identity.  L’authentification multi-facteurs permet de s’assurer qu’un utilisateur est bien celui qu’il prétend être en combinant plusieurs facteurs pour l’authentifier.

L’intégration de SafeNet Authentication Service au sein des applications déjà disponibles sur Business VPN Galerie permet aux entreprises d’accéder, sans à avoir à passer par le réseau internet, à une solution intégrée offrant un système d’authentification multi-facteurs unique pour accéder à leurs infrastructures, services et applications dans le cloud, tels que Office 365 ou Salesforce.com. Elles bénéficient ainsi de plus de sécurité et de performance. « En tant que première plate-forme mondiale reliant le réseau privé de l’entreprise à des fournisseurs de services cloud, Business VPN Galerie offre un accès sécurisé aux services cloud à plus 1 200 entreprises clientes sur plus de 33 000 sites à travers le monde. En proposant les solutions d’authentification de Gemalto, nous élargissons l’écosystème des applications accessibles via la Business VPN Galerie et renforçons la sécurité des accès à ces applications via notre réseau cloud mondial », affirme Pierre-Louis Biaggi, Vice-président en charge des réseaux au sein d’Orange Business Services. « Avec toujours plus de services disponibles et accessibles à travers le cloud, la sécurité est au centre des préoccupations des fournisseurs de réseaux et de leurs clients. En combinant les services d’authentification forte de Gemalto et le réseau Business VPN Galerie, nous garantissons aux entreprises un accès plus sûr aux applications et aux données, tout en offrant aux utilisateurs finaux une expérience transparente et aux administrateurs informatiques une gestion simplifiée », se réjouit Andrew Young, vice-président de Gemalto en charge des solutions d’authentification et d’identité.

Le partenariat entre Gemalto et Orange Business Services permet de proposer une solution unique offrant, à travers le réseau IP VPN d’Orange, un accès de bout-en-bout aux services cloud multi-tiers et mutualisés d’authentification forte de Gemalto.

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

Le premier Label Cloud français labellise

En 2014, France iT, le réseau national des clusters numériques, lançait le premier Label Cloud français, pensé par les TPME du Cloud pour les TPME du Cloud.

Après une phase de déploiement opérationnel, le Label Cloud concrétise ses ambitions avec la première vague de labellisation. Le premier Comité d’Attribution du Label (CATLab) s’est réuni le 30 mars 2015 dans les locaux de CINOV-IT à Paris pour attribuer ses premiers labels. Cegedim Activ et Inforsud Diffusion se sont ainsi vus décernés le Label Cloud qui récompense un haut niveau d’exigence et une expertise en matière de sécurité et d’efficience.

Un processus indépendant et expert
Le Comité d’Attribution du Label (CATLab) est l’organisme indépendant en charge de délivrer le Label Cloud. Il est composé d’entreprises ayant participé à l’étude du label, d’auditeurs indépendants et de représentants d’organisations professionnelles.

Le jury du 30 mars était composé de Stéphane Coirre (Vice-Président de Cinov-IT) et Henry-Michel Rozenblum (Délégué Général Eurocloud et Rédacteur en chef de la lettre du SaaS) représentants les organisations professionnelles, Philippe Rosé (Rédacteur en Chef de Best Practices) représentant les journalistes de la presse professionnelle et Renaud Brosse (CEO de Timspirit) représentant les experts.

Le label Cloud se décline sur 3 niveaux : initial, confirmé et expert. Une auto-évaluation gratuite est disponible en ligne. L’exigence est ainsi rendue croissante quant à l’implémentation des bonnes pratiques au sein des entreprises. Un audit est systématiquement mis en place (qui peut aller jusqu’à un audit sur site poru le niveau le plus élevé) pour toute candidature. Le CATLab est le décisionnaire final quant à l’attribution du label. L’évaluation repose sur un processus en 5 étapes qui va du téléchargement du dossier de candidature, en passant par l’auto-évaluation en ligne, la soumission du dossier, l’instruction du dossier par un auditeur indépendant , la soutenance par la société candidate devant le CATLab, qui statue sur la délivrance du Label.

Cegedim Activ et Inforsud Diffusion, les 2 premiers labellisés
Ainsi ce sont 2 entreprises qui se sont vues octroyées le label ce lundi 30 mars. Cegedim Activ, niveau 3 – expert, pour ses solutions SaaS dans le secteur de la santé (Gestion du régime Obligatoire de santé, et Gestion du régime Complémentaire en santé et prévoyance) ; Inforsud Diffusion, niveau 2 – confirmé pour son offre d’hébergement (PaaS), et de messagerie (SaaS).

Nomad Vault : sauvegarder, partager et transférer

Nomad Vault : Un réseau privé virtuel 100 % sécurisé accessible avec une petite clé USB.

Comment éviter de tout perdre en cas de crash du disque dur de son ordinateur portable ? Comment éviter de s’exposer à des failles de sécurité en accédant au cloud via un portail internet ? Comment être sûr qu’il n’y a aucune trace (fichier, document, logiciel….) de son travail lorsqu’on utilise son ordinateur ou sa tablette qui appartient à une entité tierce ?

Jusqu’à présent, il n’y avait aucune solution conçue spécialement pour les utilisateurs nomades. Et par conséquent, il n’y avait rien qui réponde parfaitement à leurs besoins.

Mais maintenant, il y a Nomad Vault ! Grâce à une petite clé USB très intelligente, les utilisateurs bénéficient d’une solution très performante conçue, développée et gérée en France. Le but : créer en quelques secondes son propre réseau privé virtuel 100 % sécurisé, accessible n’importe où et n’importe quand. Pour Laurent Brault, dirigeant de MDK Solutions, « Nomad Vault est une alternative innovante et sécurisée aux services de stockage/partage de données classiques. »

Comment ça marche ?
C’est très simple : il suffit d’insérer la clé USB dans votre ordinateur ou PC portable, ou de lancer l’application Nomad Vault Tablette sur votre tablette Android ou iOS…. et le tour est joué ! Après avoir saisi votre mot de passe, vous bénéficiez d’un canal crypté pour accéder à des serveurs distants.

Cette solution présente 3 avantages principaux :
1. Vous profitez d’une solution 100 % sécurisée, sans le moindre risque, pour utiliser des données, des logiciels, des fichiers stockés dans le cloud.
2. Grâce à la sauvegarde automatique, vous ne perdez rien en cas de crash de votre disque dur.
3. Vous pouvez travailler n’importe où, n’importe quand, et vous ne laissez jamais la moindre trace sur l’ordinateur (très pratique si vous devez vous connecter à partir d’un poste de travail qui n’est pas le vôtre : la confidentialité des données est garantie). Grâce à l’intelligence fonctionnelle de la clé USB, il n’est même pas nécessaire de passer par un portail internet, et donc de supporter les risques liés aux failles potentielles de sécurité en ligne. C’est la seule solution sur le marché à proposer cette innovation majeure !

Sur tablette (Apple iOS, Android)
1. L’intelligence locale de la Clé USB est remplacée par une Application Nomad Vault (gratuite pour toutes les fonctions de consultation, 3euros/an
pour avoir la possibilité de mise à jour).
2. L’authentification forte apportée par la clé est remplacée par un code à saisir transmis par un message SMS sur le téléphone mobile de l’utilisateur lors de l’identification.

Quelles sont les utilisations de Nomad Vault ?
Laurent Brault précise : « Une solution conçue spécialement pour les utilisateurs nomades, soit des millions de personnes en France. ». Dirigeants, avocats, commerciaux, consultants, courtiers, députés, formateurs…. De nombreux professionnels ont besoin de pouvoir travailler à distance, facilement et sans prendre le moindre risque. Avec Nomad Vault, ils peuvent garder leurs dossiers sous la main, même sans être connectés. Et comme chaque clé est unique et pilotable à distance, il est tout à fait possible de la personnaliser totalement pour l’adapter à des besoins spécifiques, en créant par exemple des accès spécifiques en fonction de l’utilisateur. Certains dossiers peuvent également être stockés directement sur la clé USB.

Que se passe-t-il en cas de perte/de vol de la clé USB ?
Avec MDK Solutions, il n’y a absolument rien à craindre ! Les données ne sont pas perdues pour autant : les fichiers sont synchronisés dans des serveurs cloud, situés sur le territoire français. Si votre clé est récupérée par une personne malveillante, elle ne pourra pas s’en servir : son contenu est crypté et donc inexploitable. A votre demande, MDK Solutions peut aussi blacklister la clé pour qu’elle soit inutilisable.

Sécurisation des données à l’heure du cloud

La sécurisation des données est un enjeu colossal à l’heure du cloud, notamment pour les entreprises et collectivités locales. Quatre choses essentielles doivent absolument être prises en compte.

Ces choses essentielles sont la sauvegarde, la sécurité des données personnelle et professionnelle, les usages de l’informatique et de l’importance de l’information/formation.

Sauvegarde
Les entreprises et les collectivités doivent faire face à un environnement toujours plus hétérogène et l’utilisation de plus en plus fréquente de l’informatique dématérialisée en fait partie. De nombreuses entreprises gèrent donc aujourd’hui des environnements physiques, des environnements virtuels ainsi que des environnements Cloud. De nombreuses entreprises recherchent une méthode efficace pour simplifier leurs processus de sauvegarde. Il peut être intéressant de penser la préservation des données au cœur même des logiciels ou avec les services Cloud. Mesures : Possibilité de revenir à une situation antérieure, si erreur lors d’une procédure lourde telle que la préparation du budget.

« Scheduler » : messages de recommandations au cœur des logiciels lors d’opérations particulières (ex. avant de commencer le budget, « nous vous conseillons de faire un archivage »).

Sécurité des données
Un exemple : 19.000 attaques de sites web suite aux attentats de Charlie Hebdo, y compris ceux des collectivités locales. Les collectivités et les entreprises ont souvent peu conscience des enjeux liés à la sécurité des données. Mais la sécurité est un travail d’équipe et il faut que les prestataires de Cloud ou de logiciels et leurs clients travaillent main dans la main pour proposer une sécurité optimum. Ce n’est pas au fournisseur de gérer la sécurité de son client, car ce dernier en est en fait le seul maître. Le fournisseur de Cloud met à disposition des outils permettant la mise œuvre d’une politique de sécurité, mais c’est au client de les utiliser à bon escient et de prendre conscience de la dangerosité de mettre à disposition des données informatiques, y compris en interne. 60% des piratages trouvent leur source en interne.

Mesures : Mettre en place des droits d’accès aux données restreints, gérer finement les profils d’utilisateurs ; mettre en place une charte informatique pour éduquer en interne et informer sur ce qu’il est possible de faire ou non ; ne pas hésiter à prendre conseil auprès de son prestataire informatique.

Usages de l’informatique
Les risques viennent souvent d’une méconnaissance de l’informatique et du web. Il faut être vigilant et ne pas « sortir » n’importe quelles données de la collectivité ou de l’entreprise. Attention également à ne pas télécharger n’importe quoi. Bien souvent, les entreprises et les communes ne savent pas si leurs sauvegardes sont bonnes. Elles sont formées par leur prestataire, mais elles ne se soucient pas vraiment, ne vérifient pas. Il n’y a pas de test de restauration, ce qui engendre parfois de mauvaises surprises …

Mesures : Formation, « éducation », aider à faire prendre conscience. Rappeler que les données ne doivent pas être sauvegardées que sur le poste mais aussi et surtout sur le serveur.

Importance de l’information/formation
Avant de sécuriser les réseaux, il faut éduquer les utilisateurs, mais aussi les cadres sur les enjeux, risques et bonnes pratiques. Par exemple, méconnaissance de la différence entre un virus et un malware. Un virus s’installe à votre insu sur votre machine et vient corrompre un programme existant. En revanche, un malware est interprété par le système comme un programme installé par l’utilisateur : en cliquant sur une PJ, en installant un petit programme, etc. Ainsi les antivirus sont inutiles face à cette menace ! Seule la vigilance de l’utilisateur peut le protéger.

Mesures : Etre vigilant sur l’ouverture de PJ quand on ne sait pas de qui vient le courriel. Se méfier des mails étrangers. Ne pas aller sur n’importe quel site et installer n’importe quel programme et ne pas hésiter à se tourner vers son prestataire informatique en cas de question.

5 tendances clés de la cybersécurité pour 2015

Cinq grandes tendances qui auront un impact majeur sur les entreprises au sein de l’économie des applications (nouveau modèle économique où les applications deviennent la « vitrine » des marques et où l’identité et les accès deviennent le nouveau périmètre des organisations).

Dans ce contexte les professionnels de la sécurité seront confrontés à une double-équation : faire face aux cyber-risques dont l’actualité s’est déjà largement fait l’écho en 2014 et répondre aux enjeux de l’économie des applications, en facilitant le déploiement de services innovants (Cloud, Mobile, Social, Big Data) via des canaux multiples (laptop, smartphone, tablette, kiosques, centres d’appels, …).

Mostafa Amokhtari, Directeur Technique de CA Technologies France, explique à datasecuritybreach.fr que : « Nous savons que la résolution de cette double équation réside à la fois dans la gestion de l’identité numérique, nouveau périmètre des organisations pour authentifier les utilisateurs ; et la gestion des accès pour adapter et personnaliser les services déployés aux utilisateurs. C’est tout l’enjeu auquel ces professionnels de la sécurité seront confrontés en 2015 ».

Prédictions pour la gestion des identités et des accès en 2015

1. Une authentification universelle à portée de main : l’authentification multi-facteurs, les cartes à puce, la signature électronique, la biométrie et les nouveaux modes de paiement électronique vont stimuler la demande de nouvelles solutions d’authentification plus simples et adaptées au contexte de l’utilisateur. Les entreprises chercheront à implémenter un système d’authentification sans mot de passe et sans contact, où les terminaux mobiles (smartphone, tablette, objets connectés, etc.) seront utilisés comme moyen d’authentification universelle.

2.  Un identifiant numérique unique : l’économie des applications et l’utilisation croissante d’applications mobiles nécessitent un mode d’accès centralisé aux identités et aux droits d’accès. Les entreprises devront établir un identifiant numérique unique qui sera utilisé pour authentifier les utilisateurs, simplifier le développement, le déploiement et l’adoption d’applications tout en favorisant l’innovation. Cet identifiant unique couvrira toutes les applications, via tous les canaux, et sera facilement accessible via des API de gestion des identités.

3. De la gestion des identités vers la sécurité d’accès aux identités : un changement d’orientation va se produire sur le marché de la gestion des identités, en raison des cyber-menaces qui ont défrayé la chronique en 2014. L’accent ne sera plus mis sur l’administration de base des identités, mais sur leur sécurité. La majorité des piratages perpétrés en 2014 était liée à l’usurpation d’identités d’utilisateurs internes exposant les entreprises au vol de données et à l’utilisation malveillante d’applications. La protection des entreprises contre l’usurpation d’identité exigera de nouveaux systèmes de protection à la fois intelligents, contextuels et vérifiables.

4. La mobilité et l’Internet des objets entraîneront l’émergence d’ « architectures orientées API » : la croissance exponentielle des applications mobiles et de l’Internet des objets entraîneront une migration vers des architectures orientées API plus légères, afin de faciliter les connexions au sein des écosystèmes numériques. Ces architectures seront mieux à même de prendre en charge le large éventail d’utilisateurs ayant besoin d’accéder à des applications et des données sur site ou dans le Cloud et via divers types de terminaux. C’est en fait l’architecture orientée API qui apportera l’agilité et la flexibilité nécessaires pour réussir dans l’économie des applications.

5. La direction aux commandes de la stratégie de sécurité interne : la direction sera de plus en plus impactée par les actions de piratage portant atteinte à l’image de marque de l’entreprise. En conséquence, elle s’impliquera davantage dans la stratégie de sécurité de l’entreprise et la gouvernance de la sécurité. La sécurité ne sera plus un « problème informatique », mais un « problème stratégique ». Les inquiétudes relatives aux attaques de type DoB (Denial of Business) se traduiront pas une surveillance accrue des instances de direction. (CA Technologies)

Comment préserver les données confidentielles de sa messagerie ?

Google a récemment révélé à trois journalistes de Wikileaks que l’entreprise avait du fournir au FBI le contenu de leurs messageries suite à un mandat de perquisition resté secret. Une opération plutôt indélicate qui aurait pu être en partie contrée.

Lorsque l’on aborde la sécurité des données, on parle souvent de protection contre les cybercriminels ou contre les employés peu scrupuleux, prêts à partager les informations confidentielles de l’entreprise. On oublie souvent l’aspect juridique. Il arrive en effet que dans le cadre d’une enquête ou d’une procédure judiciaire, la justice donne accès à tout ou partie des données d’une entreprise ou d’une personne.

C’est la mésaventure qui est récemment arrivée à trois journalistes de Wikileaks qui ont été informés par Google, que ce dernier avait été contraint de fournir le contenu de leurs messageries et potentiellement d’autres informations sur eux au FBI. Cette démarche qui reste relativement exceptionnelle faisait suite à un mandat de perquisition secret.

Sans les révélations de Google, peu de chance que les journalistes eussent été informés. Cela pose néanmoins un problème de confiance. Comment se fait-il que Google ai attendu deux ans avant d’informer les journalistes de cette requête et qu’a-t-il fait de concret pour protéger les données de ses utilisateurs ? Certains rétorqueront qu’il ne fallait pas faire confiance à Google et à sa messagerie gratuite – « si c’est gratuit vous êtes le produit ». Néanmoins, entre une utilisation marketing de certaines informations stipulées dans les conditions d’utilisation et les révélations de ces informations dans le plus grand secret, il y a quand même une différence.

Comment protéger ses données sur le web ?
Aujourd’hui les données d’une entreprise ou des personnes sont stockées en plusieurs endroits : serveurs, disques externes, services Cloud et les différents terminaux (PC, tablettes, téléphones). Difficile d’assurer la sécurité de tous les terminaux à tout moment et d’être totalement sûr de la fiabilité de la protection assurée par les services tiers susceptibles d’être utilisés. Reste alors la solution de protéger la donnée elle-même.

Le chiffrement, une solution idéale !
Comme le définit Wikipedia « Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. ». Le chiffrement présente donc un réel intérêt pour les entreprises ou les particuliers qui souhaitent protéger leurs données et les rendre illisibles, même (et surtout) en cas de vol. Il faudrait en effet déployer des efforts considérables et utiliser un matériel tel qu’un supercalculateur, pour avoir une chance de déchiffrer des données chiffrées obtenues de manière frauduleuse.

Une fois chiffrées, les données, où qu’elles se trouvent, ne peuvent effectivement être lues que par les personnes ayant connaissance du mot de passe. Qu’elles soient dans le périmètre de l’entreprise, dans le cloud, sur une clé USB ou qu’elles soient échangées par mail ou tout autre moyen, les données chiffrées resteront constamment protégées. Seul le détenteur de la clé de chiffrement pourra accéder au contenu des fichiers garantissant ainsi leur totale sécurité.

Et en cas de requête judiciaire ?
Pour en revenir au sujet des journalistes de Wikileaks, le chiffrement n’aurait pas empêché la justice d’obliger Google de livrer des données privées au FBI. Toutefois, sans la clé il est quasiment certain que le FBI aurait été incapable de lire ces dernières. De plus, si la justice peut vous contraindre à fournir votre clé, au moins vous êtes informé de la démarche et en mesure de pouvoir intervenir et de faire appel à un avocat.

Sur quels critères choisir sa solution de chiffrement ?
Le choix d’une solution de chiffrement doit être effectué avec soin. Mieux vaut éviter les solutions de chiffrement non validées ou gratuites dont la fiabilité n’est pas complètement garantie. Idéalement une entreprise devra porter son choix vers une solution certifiée par des organismes reconnus tel que l’ANSSI. Ensuite, il faut que cette solution garantisse à l’entreprise ou à l’utilisateur, et uniquement à ce dernier, la totale responsabilité en ce qui concerne la gestion des clés. Le chiffrement doit se faire sur votre système avec la clé conservée en interne. Si vous décidez d’opter pour le chiffrement et que vous restez maître de vos clés, alors la sécurité de vos données sera pleinement garantie. Des solutions telles que Zed! permettent à des utilisateurs de chiffrer très facilement des données confidentielles et de les échanger en toute sécurité que ce soit par mail, par téléchargement FTP ou au travers de solutions de type Cloud. Seuls les détenteurs de la clé permettant d’accéder aux données seront en mesure de lire ces dernières. Les données confidentielles sont ainsi protégées à tout moment, où qu’elles soient. Par Xavier Dreux, Responsable Marketing Prim’X.

Sortir du brouillard : l’IAM depuis le Cloud (partie 2)

Dans son article précédent, Kevin Cunningham de chez SailPOint a présenté la façon dont l’IAM peut aider à gérer les applications SaaS et les applications sur site (partie 1). Il est également important de comprendre comment les solutions IAM elles-mêmes peuvent être mises en œuvre « as-a-service ». L’adoption croissante des applications Cloud a ouvert la voie à l’IAM-as-a-service (IDaaS), une nouvelle approche capable d’accroitre l’agilité de l’entreprise, de générer plus rapidement de la valeur, tout en réduisant les coûts d’exploitation. Lire la partie 1/2

Le fait est que l’IAM a pris du retard par rapport à d’autres développements logiciels en mode SaaS en raison des problématiques liées à la sécurité et à la complexité de la gestion des applications sur site depuis le Cloud. Les entreprises ont ainsi besoin de peser les avantages et les inconvénients des deux modèles : « sur site » et « IDaaS », mais avec la disponibilité des solutions IDaaS qui répondent aux problématiques de sécurité, de disponibilité, d’évolutivité et de performance des entreprises qui souhaitent franchement aller dans le Cloud, ces dernières ont désormais une solution viable.

Est-ce que l’IDaaS est fait pour votre entreprise ?
Où est-ce que votre entreprise se place dans le spectre de l’IDaaS ? Pour vous aider à savoir si votre entreprise est prête pour l’IDaaS, voici 3 points clés pour évaluer vos besoins :

1) Est-ce que l’utilisation des technologies SaaS/Cloud est généralisée dans l’entreprise ?
Il s’agit de savoir si votre entreprise utilise le SaaS/Cloud et ce qu’elle en fait et si tel est le cas, de savoir si cela est une alternative efficace comparée aux applications sur site. Si la réponse est oui, alors l’IDaaS pourrait être une bonne option. Il y a toutefois des entreprises où cela n’est pas le cas, en particulier dans les secteurs fortement réglementés. Par contre, si l’entreprise observe une position prudente envers le SaaS ou les environnements système stratégiques, alors l’IDaaS n’est probablement pas le bon choix. Sachant que l’IAM est un élément clé de l’infrastructure critique, ce n’est probablement pas le bon moment d’opter pour le SaaS.

2) Est-ce que réduire les coûts de déploiement et de maintenance est plus important que la capacité à adopter une solution pour répondre à vos processus métier ?
De nombreuses entreprises disposent d’infrastructures et d’applications métier complexes, et leur préférence va pour une solution IAM adaptée et déployée sur site car elles peuvent configurer la solution qui correspond au mieux à leur processus de management des identités existants. Et tandis que l’IDaaS fournit des options de configuration, il ne dispose pas du niveau de complexité et de personnalisation, propre aux projets IAM. Il s’agit alors d’examiner si le compromis est la bonne solution – la simplicité de déploiement et un coût total de possession réduit dans la durée – ou une solution adaptée à vos besoins métier spécifiques. Si vous êtes prêts à faire l’impasse sur les processus d’identité existants pour vous conformer à une approche plus standardisée, alors l’IDaaS est peut être fait pour votre entreprise.

3) Est-ce que le mode SaaS devient un standard dans votre entreprise ?
Il a été prouvé que les applications SaaS offrent de nombreux avantages pour les cadres dirigeants, y compris le fait de générer plus rapidement de la valeur, une facilité d’utilisation, et une réduction des coûts d’exploitation et de maintenance. Grâce à ces nombreux avantages, nous commençons à voir des équipes IT chargées d’étudier la version SaaS chaque fois qu’elles évaluent et acquièrent un nouveau logiciel. Si c’est le cas avec l’IAM, assurez-vous d’évaluer de véritables offres SaaS qui fournissent la solution de bout-en-bout dont votre entreprise a besoin ; car bon nombre des solutions disponibles sont tout simplement une version hébergée d’une solution IAM sur site, qui ne fournit pas les avantages promis par le SaaS.

L’IAM joue un rôle essentiel dans les problématiques de sécurité et de conformité dans le Cloud en fournissant une approche centralisée et globale de la gestion des accès à toutes les applications de l’entreprise. Peu importe que vous déployiez une solution sur site ou as-a-service, l’IAM peut vous aider à vous assurer que votre entreprise dispose des bons contrôles en place, pour, en définitive, protéger les actifs et gérer les risques de l’entreprise.

Le Cloud en confiance : oui, c’est possible !

Volontaires, de plus en plus, pour adopter des solutions dans le cloud, de nombreuses entreprises restent freinées par l’absence de clarté autour de la sécurité de leurs données, en particulier les plus sensibles. Pourtant, la souplesse et la simplicité peuvent parfaitement cohabiter avec la sécurité dans le cloud.

Certains le qualifiaient de « buzzword ». Il faut dire qu’une déferlante sans précédent s’est abattue sur la presse spécialisée – et même un peu plus – autour du cloud. Mais force est de constater qu’au-delà de l’effet de mode, le cloud s’est bel et bien installé durablement sur le marché de l’IT en général, et dans les systèmes d’information des entreprises en particulier.

Il faut dire que le cloud tient ses promesses. Comparativement à une infrastructure en propre gérée par l’entreprise, le cloud est moins cher, plus souple et beaucoup plus simple : externalisée, l’infrastructure est louée et totalement administrée par le fournisseur de services cloud. Et s’adapte précisément aux besoins de l’entreprise, sans nécessiter d’investissements lourds au départ.

Seulement voilà, le cloud rencontre encore, dans de nombreux cas, un obstacle de taille : le manque de confiance. A tort ou à raison, les entreprises sont encore frileuses à l’idée de stocker et gérer leurs données, notamment les plus sensibles, à l’extérieur du périmètre de leur système d’information. Considérant à ce titre que leur propre système d’information est parfaitement sécurisé, ce qui est loin d’être toujours le cas.

Sensibles ou non : la gestion kafkaïenne des données
Les médias en font leurs choux gras : de nombreuses affaires de vols de données, d’intrusions sur les comptes d’autrui, etc., éclaboussent régulièrement des géants du Web. Apple et les photos de stars volées a été la dernière victime de cet acharnement médiatique. Résultat : les inquiétudes et le manque de confiance persistent. Car outre la protection des données, c’est aussi l’usage qui prime. Et les systèmes de sécurité peuvent être si contraignants qu’ils retardent ou restreignent l’adoption des solutions.

Pour éliminer ce risque, nombreuses sont les entreprises à avoir fait le choix d’un système d’information à deux vitesses. Et ventilé leurs solutions en deux catégories distinctes : celles qui hébergent des données sensibles et qui doivent nécessairement rester sur site d’une part ; et celles dont les données, moins sensibles, peuvent être externalisées vers le cloud d’autre part.

Mais cette gestion dichotomique des données ne va pas sans poser problème. Tout d’abord sur la qualification de la sensibilité des données : en tant que telles, les données d’une entreprise sont toutes plus ou moins sensibles. Et celles qui ne le sont pas pour un département de l’entreprise, peuvent l’être pour un autre.

Ensuite, parce que le système d’information des entreprises est nécessairement poreux, ne serait-ce qu’au travers des échanges avec leur environnement immédiat : clients, partenaires, fournisseurs, etc. Un cloisonnement strict des deux types de données est donc,  complexe et nécessite une classification précise des données.

Un référentiel pour gagner la confiance des entreprises
Conscients de ces questionnements quant à la confiance dans le cloud des entreprises, autant que des enjeux économiques que représente le cloud, des acteurs du secteur se sont réunis autour d’une table pour construire les outils de la confiance dans le cloud. Composé d’éditeurs et d’auditeurs spécialisés, et à l’initiative de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), représentant les pouvoirs publics, le consortium ainsi réuni a récemment publié un référentiel de « qualification de prestataires de services sécurisés d’informatique en nuage ».

L’objectif est clair : proposer un cadre à ces prestataires, et surtout une certification selon les critères de ce référentiel. En particulier autour des questions de sécurité : disponibilité, intégrité et confidentialité des données, mais également traçabilité des données et des actions entreprises.

Une certification qui permet dès lors aux entreprises d’être en pleine confiance auprès d’un prestataire de services cloud certifié : plus aucun besoin de s’interroger sur la sensibilité ou non des données. Si l’entreprise estime qu’une solution cloud est la réponse à son besoin, elle peut l’intégrer à son système d’information en toute confiance. Quels que soient les données, les départements de l’entreprise ou les processus (métiers, commerciaux, administratifs, financiers…) concernés. (Frédéric Fouyet, Directeur de l’Innovation et des produits et RSSI chez Oodrive)

Les services cloud de plus en plus convoités par les pirates

De plus en plus d’entreprises utilisent des services cloud de stockage tel que Dropbox, Onedrive, Google Disk,… sans vraiment se rendre compte du risque pour la sécurité de leurs données.

Alors que les services de stockage de fichiers dans le cloud ont depuis longtemps les faveurs des internautes, leur confort indéniable s’accompagne toutefois d’un certain nombre de risques. C’est ainsi que de nombreux utilisateurs conservent dans le cloud des copies numérisées de leur passeport et d’autres documents, bien que parfois des vulnérabilités dans le service compromettent la sécurité de leurs données personnelles. Cependant, l’utilisation de technologies cloud à des fins autres que celles pour lesquelles elles ont été conçues peut être encore plus dangereuse. Par exemple, il est facile de trouver des instructions permettant aux possesseurs d’ordinateurs désireux de mettre à profit ces services de piloter et de surveiller à distance leurs machines, de commander les téléchargements de type Torrent, etc. En appliquant ces recommandations, les utilisateurs créent involontairement différentes failles de sécurité facilement exploitables par des cybercriminels, en particulier dans le cadre d’attaques ciblées.

Scenario d’attaque
Des cybercriminels prennent le contrôle de l’ordinateur portable d’un employé via un logiciel client Dropbox installé sur celui-ci, notamment en dehors du bureau. Si des documents infectés sont placés dans des dossiers cloud, Dropbox les recopiera automatiquement sur tous les équipements connectés au réseau de l’’entreprise et utilisant le même service. Dropbox n’est pas le seul dans ce cas : – toutes les applications répandues de stockage dans le cloud – Onedrive (anciennement Skydrive), Google Disk, Yandex Disk, etc. – offrent des fonctions de synchronisation automatique. Des attaques à prendre au sérieux ? Les experts de Kaspersky Lab, éditeur de solution de sécurité informatique, ont cherché à savoir si les cybercriminels se servent effectivement de ces outils pour diffuser des malwares.

Programmes malveillants via le Cloud
Après avoir collecté des données auprès d’utilisateurs volontaires, les analystes ont déterminé qu’environ 30 % des programmes malveillants présents dans des dossiers cloud sur des ordinateurs domestiques y ont été importés par des mécanismes de synchronisation. Pour les utilisateurs au sein d’une entreprise, ce chiffre atteint 50 %. Il faut noter une certaine différence entre les utilisateurs en entreprise et à domicile : les premiers se caractérisent davantage par la présence de fichiers infectés Microsoft Office dans leurs dossiers cloud tandis que, chez les seconds, ces documents bureautiques cohabitent souvent avec des applications Android malveillantes. « Une soigneuse analyse des statistiques montre que le risque d’infection d’un réseau d’entreprise par le stockage dans le cloud est aujourd’hui relativement faible : un utilisateur sur 1000 risque de voir son ordinateur infecté sur une période d’un an. Cependant, il ne faut pas oublier que, dans certains cas, un seul ordinateur contaminé peut aboutir à une attaque touchant l’ensemble du réseau et causant des dommages considérables. La configuration du pare-feu de façon à bloquer l’accès à ces services est une procédure fastidieuse, qui nécessite des mises à jour constantes de ses paramètres », commente Kirill Kruglov, chercheur senior chez Kaspersky Lab.

En pareil cas, il est habituellement recommandé aux administrateurs système d’installer, sur chaque poste de travail du réseau, une suite logicielle de sécurité aux fonctionnalités complètes : protection antivirus heuristique et comportementale, contrôle d’accès (HIPS), contrôle du système d’exploitation (System Watcher ou Hypervisor), protection contre l’exploitation des vulnérabilités, etc. Kaspersky Lab conseille de tirer parti de la technologie innovante Application Control intégrée à sa solution d’entreprise, qui peut bloquer l’exécution de tout logiciel non explicitement autorisé par l’administrateur système. Application Control protège le réseau de l’entreprise contre les attaques ciblées via Dropbox, sans perturber le travail normal des utilisateurs.

On ne peut que conseiller aussi le chiffrement des informations que les employés souhaitent laisser sur le cloud, évitant ainsi une lecture non autorisée.

Hub sécurisé de services cloud

Orange Business Services intègre Salesforce à Business VPN Galerie, son hub sécurisé de services cloud.

Les entreprises pourront accéder à l’ensemble des solutions cloud Salesforce à travers le réseau « cloud-ready » d’Orange Business Services A l’occasion de la tenue du Salesforce World Tour à Paris, Orange Business Services a annoncé l’arrivée de Salesforce au sein de son écosystème de services cloud disponibles sur Business VPN Galerie. Lancé en 2010, Business VPN Galerie est le premier hub mondial reliant les clients VPN d’Orange Business Services à des services cloud à travers des passerelles entièrement sécurisées.

Grâce à Business VPN Galerie, les entreprises accèdent aux infrastructures et aux applications cloud d’Orange et de ses partenaires en bénéficiant des avantages d’un réseau privé conçu pour les besoins du cloud, dit « cloud-ready ». Elles bénéficient ainsi de services de management et de support de bout en bout ou encore de garanties de fiabilité, de performance et de sécurité. Les clients peuvent par ailleurs conserver leurs moyens d’accès utilisateur existants, ainsi que les politiques relatives à la sécurité de leur entreprise. « Business VPN Galerie a été la première offre réseau « cloud-ready » du marché. En interconnectant Business VPN Galerie et Salesforce, nous enrichissons considérablement l’écosystème d’applications disponibles sur Business VPN Galerie », déclare Didier Duriez, Senior Vice President Global Solutions and Services chez Orange Business Services.

L’association des solutions Orange Business Services et Salesforce permet ainsi aux entreprises de bénéficier simultanément des avantages de leur réseau VPN et de la flexibilité de salesforce.com, pionnier du modèle cloud. « Les entreprises doivent renouveler leurs manières d’interagir avec leurs clients pour se développer dans le monde connecté qui est le nôtre aujourd’hui », indique Olivier Derrien, Vice Président de salesforce.com. « En intégrant Salesforce.com à Business VPN Galerie, Orange Business Services soutient les entreprises dans cette transformation majeure. » Actuellement, Business VPN Galerie fournit des services à plus de 700 entreprises multinationales sur plus de 15 000 sites.

Aujourd’hui, pas moins de 20 services cloud d’Orange Business Services et de ses partenaires sont disponibles à travers Galerie.

Et si le Cloud aidait à sécuriser Internet

Les fournisseurs de services de cloud computing sont aujourd’hui sur la sellette : ils vont devoir améliorer la sécurité d’Internet ! Les clients du cloud manifestent de plus en plus leur intérêt pour des services d’accès à Internet sécurisés, exempts de menaces malveillantes comme Heartbleed ou l’amplification DDoS, pour ne prendre que ces deux exemples. A chaque attaque, en effet, les pertes commerciales sont de plus en plus importantes. Les attaques qui impactent les clients non protégés compromettent leur sécurité et dégradent l’image de l’entreprise ou de ses marques. Les fournisseurs d’accès ont aidé à filtrer les activités malveillantes provenant des réseaux clients depuis des années dans le but de permettre aux équipes internes des entreprises et des administrations de se concentrer sur les attaques les plus avancées, mais est-ce désormais suffisant ?

Pour une plus grande sécurité des réseaux
Dès 2005, plusieurs experts de la sécurité Internet se posaient la question de savoir si le Cloud pouvait aider à sécuriser Internet. Quelques articles publiés à cette époque en témoignent, réclamant que les fournisseurs de services Internet, d’hébergement, de services cloud et de bande passante s’impliquent, dans leur propre intérêt, pour aider à sécuriser Internet. Certains affirmaient que le temps était venu d’agir, demandant pourquoi les FAI n’étaient pas tenus de livrer des données sûres et sans danger. Dans la récente Loi de Programmation Militaire qui a fait l’objet d’un large débat autour de la sécurité informatique, les fournisseurs de services Internet semblent désignés comme ceux qui peuvent contribuer à l’amélioration rapide de la cybersécurité, grâce à leur possibilité d’agir en temps réel. De même que l’abonné au réseau d’eau potable exige que l’eau qui arrive chez lui soit saine, le trafic qui passe par les tuyaux des ISP doit être sûr et exempt de menaces, positivant la technologie déployée dans le Cloud et protégeant l’utilisateur final contre les attaques par DDoS et les cybermenaces de tous ordres. Quel intérêt en effet de disposer d’un énorme réservoir (le Cloud) et de l’alimenter en eau contaminée (malwares et autres menaces) ?

Quelques exemples de dangers…
Comme les récents événements l’ont encore confirmé, aucune entreprise ni aucune administration n’est à l’abri des risques de sécurité sur Internet. La découverte de Heartbleed a ébranlé les entreprises bien au-delà du monde de la sécurité. Cette vulnérabilité laissant lire la mémoire d’un serveur par un attaquant, concerne de nombreux services Internet. A l’évidence, la sécurité et la confidentialité de nombreux serveurs Web étaient un leurre. Il ne fait aucun doute que Heartbleed a permis la fuite d’innombrables secrets et données sensibles au profit de pirates, et les conséquences sont à terme encore incalculables. Cette attaque restera sans conteste le hacking le plus répandu de l’histoire du Web parce que le nombre de communications « sécurisées » SSL, concernées directement, est sans précédent. Malheureusement, les problèmes de cybersécurité ne disparaissent pas lorsqu’ils qu’ils sont découverts. La mise à disposition de correctifs n’empêche pas que les vulnérabilités continuent à exister dans d’innombrables systèmes accessibles via Internet. L’amplification de Heartbleed risque d’être plus rapide que la mise en place des mises à jour. Autre tendance actuelle : le détournement de l’utilisation de services Internet standard tels que DNS (Domain Name System) et NTP (Network Time Protocol) par des robots lors d’attaques par déni de service distribué. Heartbleed et les attaques DDoS par amplification sont deux exemples des problèmes de cybersécurité posés par un Internet non sécurisé. Le trafic malveillant portant ces menaces circule librement sur la plupart des réseaux de fournisseurs de services. Les hébergeurs accueillent des clients dont le système d’information mal sécurisé fait du Cloud public une plate-forme de services vulnérables. Comble de l’ironie, la plupart des clients dépensent de l’argent et paient  leur fournisseur pour une bande passante véhiculant un contenu Internet potentiellement dangereux.

Les technologies existent
Les fournisseurs de cloud doivent se doter de technologies qui permettent de répondre à quatre exigences de management des attaques et du réseau. Tout abord se défendre contre les menaces du réseau. La majorité des attaques DDoS se produit au niveau des couches L3 et L4. En conséquence, il convient de -serveur. Ensuite se défendre contre les menaces applicatives ; de nombreuses applications, y compris celles qui sont basées sur des communications chiffrées à l’aide de Secure Sockets Layer (SSL), sont vulnérables face aux attaques par DDoS de la couche applicative qui utilisent L7 comme vecteur analyse analyser les incidents de sécurité sur le réseau. Enfin, il faut assurer le Bypass du réseau ; Il est en effet essentiel de maintenir la disponibilité permanente du une technologie intelligente de dérivation du réseau de faible alimentation pour éliminer les interruptions de service en cas de panne de courant ou d’équipement ou lors de la maintenance de routine et lors des  mises à jour de la configuration.

Tous les marchés reposent sur l’offre et la demande. Les entreprises (et on parle là des dirigeants, pas seulement des responsables de la sécurité) ont pris conscience qu’elles pouvaient tomber, ou au moins leurs activités connectées, victimes d’une cyber-attaque. De nombreux DSI et RSSI sont aujourd’hui disposés à acheter de la bande passante Internet ‘propre’. Et la tendance va aller majoritairement dans ce sens. Alors ils commencent à chercher activement des solutions. Si les fournisseurs de services empêchent les DDoS et autres cybermenaces de traverser leurs réseaux, leurs clients sont d’ores et déjà prêts à acheter de la bande passante plus sûre, avec de meilleures garanties pour leurs données sur le cloud et sur leurs réseaux. Pourquoi, dans ces conditions, les fournisseurs de services du cloud ne développent-ils pas une offre adaptée ? Leurs parts de marché sont en risque de se réduire, au bénéfice d’autres acteurs, s’ils ne répondent pas à cette exigence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)

De l’importance de la formation des employés dans la sécurité en entreprise

Forrester montre que les Européens sont maintenant plus connectés que jamais, la plupart possédant deux terminaux au moins. Puisque l’utilisation des terminaux personnels sur le lieu de travail continue de croître, la formation des employés va devenir essentielle. Beaucoup d’habitudes prises lors de l’utilisation de ces appareils personnels représentent un danger pour les entreprises, donc les employés doivent comprendre l’importance de sécuriser les données. Ils sont la plus grande menace en termes de fuites de données. Le fait que Dropbox soit actuellement utilisé dans 95% des entreprises du Fortune 500 signifie que, dès à présent, une part énorme des données professionnelles sont vulnérables.

Malheureusement pour les responsables informatiques, il ne suffit pas d’installer une solution mobile sécurisée pour protéger les données. En plus de devoir mettre en œuvre un changement technologique, les entreprises doivent également lancer un changement culturel au sein du lieu de travail. Les employés doivent avoir une meilleure connaissance du moment où les données  professionnelles sont en sécurité ou non. Un des plus grands enjeux que les organisations doivent affronter est l’envoi par les employés des documents d’entreprise sensibles sur leur messagerie personnelle. Une fois qu’un document est divulgué, il n’est plus sous le contrôle de l’organisation, sa sécurité ne peut plus donc être contrôlée.

Dropbox est un cauchemar pour les départements informatiques car il génère un stockage dans le Cloud et la synchronisation des dossiers hors des entreprises. Dropbox fourni un service pratique pour les employés, mais a eu un grand nombre d’intrusions médiatisées. On en retrouve notamment en 2012 lorsque des mots de passe volés ont été utilisés pour accéder à un certain nombre de comptes Dropbox, ou encore lorsqu’en 2011 Dropbox avait éteint la fonction mot de passe, laissant toutes les données stockées sans aucune protection. Cependant, malgré ces failles médiatisées, les employés continuent d’utiliser ce service pour stocker des données sensibles. Des recherches récentes effectuées par Spiceworks Research ont constatées que 40% des employés dans l’informatique utilisent Dropbox, ou ont l’intention d’utiliser Dropbox en tant que service approuvé de partage de fichiers pour leur entreprise.

IBM a récemment interdit l’usage de Dropbox, d’iCloud et le transfert d’emails professionnels par leurs employés vers leur boite d’emails personnelle. La raison de cela est qu’il s’est avéré que ses employés avaient un manque de connaissances énorme sur ce qui constitue un risque actuellement.

Les trois raisons les plus importantes pour lesquelles les employés deviennent une menace de sécurité sont :
– L’utilisation de programmes non-autorisés sur des appareils ou du matériel d’entreprise
– Le transfert de dossiers entre les ordinateurs professionnels et personnels afin de travailler de chez soi
– La mauvaise utilisation des mots de passe – le partage de mots de passe ou l’utilisation du même mot de passe pour les applications professionnelles et personnelles

Les gens trouveront toujours un moyen d’utiliser l’appareil ou l’application qu’ils veulent, en dépit des conséquences sur la sécurité. Pour cette raison ils doivent être formés à utiliser la technologie d’une manière nouvelle qui puisse assurer aussi la sécurité des données. Les entreprises doivent faire quelques concessions, bien sûr. La connaissance – des appareils et applications – est vitale et elles doivent assurer la formation sur la sécurité des données et sur les bonnes pratiques autour de la sécurité de l’information. Si on offre une meilleure expérience d’utilisation en toute sécurité aux employés, alors ils sont moins enclins à trouver des moyens pour les contourner. Combiné à des recommandations de sécurité, les entreprises peuvent mettre en place une mobilité sécurisée sans employer une stratégie de contrôle fort.

Une approche “conteneur” de la sécurité mobile supprime la grande majorité des possibilités de fuites de données. Les employés peuvent exploiter au maximum un terminal pendant leur temps personnel et peu importe ce qu’ils font avec, les données d’entreprise sensibles resteront compartimentées en toute sécurité au sein de l’appareil. Pour poursuivre notre exemple concernant le partage de fichier, Box a une application sécurisée via une plateforme de sécurisation professionnelle. Celle-ci est contenue dans un compartiment sécurisé, afin de prévenir toute fuite de données, mais permet un accès aux documents professionnels à tout moment et de partout. (Par Florian Bienvenu, VP Europe Centrale et Europe du Sud de Good Technology)

En 2014, le besoin de sécurité va bouleverser le marché de la sauvegarde Cloud

Le cloud, qui était il y a quelques mois encore vu comme un moyen simple et inoffensif de sauvegarder des données, va devoir se renouveler en 2014 pour continuer de séduire les professionnels. (Par Sergey Kandaurov, directeur de la gestion produit chez Acronis, pour Data Security Breach).

L’année 2013 a été marquée par de nombreux scandales en termes de sécurité et d’espionnage dans ce secteur. La demande des clients en 2014 va être impactée par ces affaires puisque la sécurité devient maintenant la priorité absolue. Les entreprises vont tout d’abord réfléchir d’avantage à ce qu’elles sauvegardent et où elles sauvegardent. La sécurité, la flexibilité et la confiance vont devenir des caractéristiques indispensables, favorisant ainsi l’apparition de solutions et de produits spécifiques à la sécurisation des données. Parallèlement les fournisseurs de solutions dans le Cloud de petites envergures vont mettre en avant une certaine proximité avec leurs clients et la qualité du service adjacente pour se différencier des fournisseurs leaders. Voici les 3 prédictions pour ce secteur pour 2014 :

1. Une sécurité accrue.
Après avoir passé un an à entendre les mots « PRISM » ou encore « Snowden », les consommateurs sont beaucoup plus conscients du type d’information qu’ils peuvent sauvegarder ou non sur des serveurs distants. Par conséquent, les entreprises vont multiplier leurs outils de sécurité afin de protéger les données sensibles. Nombreuses seront celles qui quitteront les services de Cloud public, comme Dropbox par exemple, pour se tourner vers un Cloud privé, plus sécurisé, leur permettant ainsi de garder le contrôle sur leurs propres fichiers.

2. Des nouveaux outils et services pour protéger les données dans le Cloud.
Avec la généralisation du Cloud, de plus en plus d’entreprises stockent leurs données dans le « nuage » informatique. La question de la continuité des activités en cas de problème va donc être un problème central dans les mois à venir. Avec un nombre de data stockées de plus en plus important, le risque d’un dysfonctionnement et d’une indisponibilité temporaire augmente. Les entreprises seront donc en demande de solutions innovantes pour parer à l’éventualité d’une perte ou d’une impossibilité d’accès aux données. Les professionnels chercheront plusieurs solutions alternatives pour stocker localement les fichiers basés dans le Cloud d’un côté, et pour sauvegarder rapidement et simplement les serveurs dans d’autres Cloud de l’autre.

3. Un focus sur la location physique de serveurs Cloud
Les clients vont commencer à opter pour des fournisseurs de solutions dans le Cloud stockant les informations dans une zone géographique proche, si possible dans le même pays. Ce constat est valable mondialement mais le sera encore plus en Europe. Ce « data nationalisme » protégera les données des gouvernements extérieurs. Par conséquent, cela permettra aux fournisseurs locaux de se développer face aux géants du secteur.

Ces fournisseurs pourront souvent fournir un service plus personnalisé et un meilleur suivi… 2014 sera donc l’année des « petits » fournisseurs.

Les dirigeants d’entreprise ne s’inquiètent pas de la sécurité des données sur le Cloud

Peu préoccupés par la sécurité, les hauts dirigeants n’hésitent pas à contourner les règles d’utilisation des applications sur le Cloud. Si la sécurité des applications déployées dans le Cloud est une préoccupation importante pour les utilisateurs professionnels, la plupart d’entre eux n’hésitent pas à recourir au Cloud pour y stocker leurs données personnelles et professionnelles…sans se soucier des risques encourus. C’est l’une des principales conclusions de la récente étude publiée par SafeNet Labs, créateur de la solution SafeMonk, nouveau  service de chiffrement des espaces de stockage dans le Cloud « Dropbox » à destination des entreprises.

Lorsque SafeNet Labs – incubateur technologique lancé par SafeNet, Inc. (leader mondial de la protection de données) en faveur du développement de nouvelles technologies – a demandé à des centaines d’utilisateurs professionnels du monde entier s’ils étaient préoccupés par la sécurité des applications ou des données stockées dans le Cloud, 52 % ont répondu « Oui ». Cependant, 64 % des personnes interrogées ont déclaré utiliser fréquemment des applications basées sur le Cloud pour stocker leurs données personnelles et professionnelles. À la question « Est-ce que la sécurité de vos données et informations vous empêche de dormir ?», plus de la moitié ont répondu « Non, je dors comme un bébé. »

Un examen approfondi des résultats de cette étude montre que plus un poste est élevé dans la hiérarchie d’une entreprise, plus son titulaire est susceptible de recourir à des services de partage de fichiers comme Dropbox – et ce, en dépit des règles en vigueur dans l’entreprise. Ainsi, 33 % des dirigeants de niveau corporate (CEO, CFO, COO.) répondent par l’affirmative contre seulement 18 % pour les autres employés. La majorité des personnes interrogées (59 %) a déclaré qu’elle « ne serait pas surprise » d’apprendre que leur patron ou des dirigeants de leur entreprise utilisent des applications de partage de fichiers telles que Dropbox, malgré les règles s’opposant à cette pratique. En général, les dirigeants se sentent moins préoccupés par la sécurité dans le Cloud que leurs collaborateurs (respectivement 39 % et 54 % ont répondu « Oui »).

« Cette étude suggère que l’utilisation d’applications et le stockage de documents dans le Cloud continuent de proliférer, et que les sociétés devraient revoir les attitudes archaïques qui prévalent quant à l’utilisation de ces applications dans l’entreprise », a déclaré à datasecuritybreach.fr Tsion Gonen, Chief Strategy Officer, SafeNet, Inc. « Il ne fait pas de doute que les hauts dirigeants comprennent parfaitement les avantages que peut offrir l’utilisation d’applications dans le Cloud, et qu’ils devraient donner à leur entreprise les moyens d’en tirer parti en adoptant des outils et des pratiques de sécurité modernes ».

Le critère géographique entre également en ligne de compte en matière de sécurité des données dans le Cloud. Par exemple, l’utilisation d’applications basées sur le Cloud est nettement plus courante dans la région EMEA (Europe, Moyen-Orient et Afrique) qu’aux États-Unis et en Asie-Pacifique, de même que les niveaux d’inquiétude concernant la sécurité des données ou l’application de règles contre l’utilisation d’applications dans le Cloud. Toutefois, les personnes interrogées dans la zone EMEA sont davantage susceptibles d’ignorer lesdites règles. L’objet de leur préoccupation varie également en ce qui concerne la confidentialité de leurs données : les personnes interrogées aux États-Unis et dans la région EMEA déclarent se méfier des administrations, tandis qu’en Asie-Pacifique, Google est en ligne de mire. De plus, les personnes consultées en Asie-Pacifique constituent le groupe d’utilisateurs le plus inquiet s’agissant de leurs données et informations, craignant qu’elles soient exploitées à des fins malveillantes.

Au total, 52 % des personnes interrogées se disent inquiètes à l’idée que leurs applications bancaires et financières puissent être piratées. Les systèmes qu’elles utilisent le plus souvent sont Dropbox pour le stockage de fichiers (39 %) et les outils d’organisation personnels (25 %) ; par ailleurs, la messagerie électronique reste le principal outil utilisé pour partager des fichiers (68 %), selon l’enquête.

* SafeNet Labs a mené cette enquête en août 2013. SafeNet Labs est le créateur de SafeMonk, seule solution de chiffrement au monde contre les interceptions, spécialement conçue pour les utilisateurs du service de partage de fichiers Dropbox.

Sauvegarder ses fichiers avec Toutbox.fr

Vous souhaitez sauvegarder vos images, vidéos, … et pouvoir y accéder partout, que se soit au bureau, à la maison, en week-end ou en déplacement professionnel ? Le service proposé gratuitement par Toutbox.fr devrait vous plaire. Toutbox.fr est un système moderne de disque dur virtuel, un site exclusivement français,

entièrement gratuit et illimité. Toutbox.fr vous permet d’envoyer et de partager des fichiers avec la communauté de Toutbox.fr. Les fichiers peuvent être publics ou privés. Dans ce dernier cas, les documents sont protégés par un mot de passe. Toutbox.fr se démarque de ses concurrents par son aspect illimité et gratuit mais aussi par les fonctionnalités offertes par le site (streaming, preview de fichiers …). Un logiciel, baptisé Box, permet de gérer son compte depuis son bureau d’ordinateur.

 

 

Toutbox.fr, le cloud social
Chaque utilisateur dispose de sa propre page ToutBox. Il peut modifier à volonté cette espace afin de mettre en avant les fichiers qu’il souhaite partager. Une page qui deviendra rapidement la vitrine pour son propre site ou tout simplement se présenter pour les autres utilisateurs. Le contenu est libre et les autres utilisateurs peuvent laisser des messages sur le « mur » de tous les utilisateurs pour communiquer et échanger entre eux. Un moteur de recherche permet de retrouver ses fichiers en cherchant parmi les noms, la description, la date d’ajout ou encore son poids. Il est aussi possible de rechercher parmi les fichiers des utilisateurs qui autorisent cette fonction.

Streaming, preview et vie privée
Toutbox.fr propose du streaming. Vous avez ainsi la possibilité d’écouter la musique présente sur votre compte ou celle d’autres utilisateurs, là aussi en illimité et sans avoir à télécharger le fichier sur votre ordinateur ! Vous voulez voir un extrait du document que vous voulez télécharger ? Faites une preview du fichier pour voir si le fichier est bien le bon ! La preview de fichiers marche pour la plupart des extensions connues, même pour les vidéos. Pour finir, la vie privée n’est pas un vain mot.

Toutbox.fr est un service gratuit et illimité qui voit le partage sous un autre angle : social et avec des fonctionnalités pratiques, que ce soit pour le simple utilisateur qui veut sauvegarder ses fichiers, l’utilisateur qui souhaite partager ses fichiers au plus grand nombre ou à l’éditeur qui recherche un moyen simple et sécurisé pour diffuser son contenu.


Toujours de l’inquiétude face aux services Cloud

Les questions de la confidentialité « dans le nuage » ont été mises en avant au cours des dernières semaines. DataSecurityBreach.fr vous en parlait. Cependant, avant même d’entendre parler de PRISM, les consommateurs étaient inquiets de la sécurité et de la confidentialité des contenus qu’ils stockent dans le Cloud.

Une récente étude F-Secure montre que 6 consommateurs sur 10 s’inquiétaient de la sécurité des contenus stockés par les réseaux sociaux et les services de stockage Cloud avant même que les informations sur PRISM ne fassent les unes des journaux. L’enquête F-Secure Digital Lifestyle Survey 2013 (6000 personnes interrogées dans 15 pays en avril*) démontre que ce sont les jeunes utilisateurs ainsi que les multi-screeners (personnes utilisant simultanément plusieurs appareils dotés d’un écran) qui sont les plus préoccupés par le sujet.

Selon l’enquête que Data Security Breach a pu consulter, les cinq premiers fournisseurs qui proposent à leurs utilisateurs de confier leurs contenus sont : Facebook, Youtube, Google Drive, Dropbox et à égalité au 5ème rang : Microsoft SkyDrive et Apple iCloud. Cependant, les résultats montrent que mettre en ligne des données sur les réseaux sociaux ou des clouds stockage ne signifie pas que les utilisateurs leur font confiance.

59% des consommateurs ont peur qu’un tiers puisse accéder à leurs données stockées chez ces fournisseurs. 60% craignent que les fournisseurs de ce type de service vendent des données à des entreprises tierces et 62% pensent que la confidentialité de leurs activités en ligne pourrait ne pas être respectée. Enfin, 63% des sondés s’inquiètent de la vulnérabilité de la technologie des fournisseurs de stockage. Les pays Européens sont en général moins inquiets que ne le sont les autres pays du globe. Par exemple, seuls 38% des britanniques et 40% des néerlandais s’inquiètent d’un accès non autorisé à leurs contenus. A titre de comparaison, le même sujet inquiète 69% des américains, et 78% des brésiliens.

Autres statistiques intéressantes : les personnes âgées entre 20 et 30 ans présentent plus d’inquiétudes que les personnes âgées de 50 à 60 ans, et les multi-screeners sont eux aussi plus préoccupés. On notera que ce sont ces mêmes personnes qui sont les plus friandes des services Cloud.

33% des consommateurs déclarent avoir la sensation de perdre le contrôle de leurs données. En Belgique, pas moins de 51% des interrogés ont estimé qu’ils ne contrôlaient plus leurs données, alors que ce n’est le cas que de 20% des sondés vivant au Royaume-Uni.

« Ces résultats reflètent la connaissance des consommateurs quant aux enjeux du stockage dans le Cloud aujourd’hui », explique à Datasecuritybreach.fr Timo Laaksonen, Vive President, Content Cloud chez F-Secure. « Cela souligne une fois de plus la nécessité de sécuriser les services de Cloud privés, pour lequel sécurité doit rimer avec confidentialité de vos données ».

Trois français sur 10 ont perdu des données stockées dans le cloud en 2012

Aujourd’hui, de nombreuses entreprises migrent vers des plates-formes de cloud computing pour bénéficier des avantages concurrentiels inhérents aux gains qui en découlent en matière de vitesse, d’agilité et de flexibilité. Selon l’enquête Avoiding the Hidden Costs of the Cloud – 2013 publiée en janvier 2013 par Symantec, Datasecuritybreach.fr vous en parlait à l’époque, 86 % des entreprises françaises en sont au moins à discuter de cloud computing, 79 % pour les PME.

Une mauvaise utilisation du cloud computing peut en revanche se révéler désastreuse pour les entreprises qui peuvent voir leurs coûts augmenter ou observer des pertes d’informations ou de données. En France, 33 % des entreprises ont perdu des données stockées dans des clouds et 70 % ont été confrontées à des échecs de restauration. C’est du moins ce qu’indique ce rapport. 70 % des entreprises françaises ont expérimenté des déploiements non-autorisés et non-gérés d’applications de cloud computing ; parmi elles, 40 % ont été confrontées à des problèmes de divulgation d’informations confidentielles et plus d’un quart à des problèmes de prise de contrôle de comptes, de dégradation de ressources Web ou de vols de produits ou de services.

Big Data

Le Big data, c’est aussi une question de sécurité ! Christophe Auberger, Responsable Technique chez Fortinet pour DataSecurityBreach.fr

Sécuriser le Big Data dans les Entreprises Nécessite la Mise en Application de Politiques Intelligentes ainsi que des Outils Analytiques Complets et Performants. Aborder la question de sécurité lorsque l’on parle de Big Data suscite souvent deux courants de pensées divergents de la part des professionnels de l’IT – le refus catégorique que le Big Data devrait être traité différemment de l’infrastructure réseau existante, et une réponse inverse se tournant vers une sur-ingénierie de la solution à adopter compte tenu de la valeur actuelle (ou perçue) des données impliquées.

Le Big Data, selon la définition de Gartner, représente des données informatives de gros volumes, d’une vélocité élevée et/ou d’une grande variété qui nécessitent de nouvelles formes de traitement pour permettre une meilleure prise de décision, conception d’idées et optimisation des processus. Le Big Data augmente les défis de sécurité dans les réseaux de données existants.

Voici les quatre aspects du Big Data, définis par IDC, qui suscitent des défis mais aussi des opportunités:

·        Le Volume: Le volume des données est passé de téraoctets à zettaoctets (1 zettaoctet représente 1021 octets ou 1 000 000 000  téraoctets) et au-delà

·        La Vélocité: La vitesse des données (entrée et sortie) passant d’ensembles de données statiques, créées une seule fois, à des flux de données en continu

·        La Diversité: La gamme de types et sources de données – structurées, non/semi-structurées ou brutes

·        La Valeur: L’importance des données dans leur contexte

Alors que le Big Data présente de nouveaux défis de sécurité, le point initial pour les résoudre est le même que pour toute autre stratégie de protection de données: celui qui consiste à déterminer les niveaux de confidentialité des données, à identifier et classifier les données les plus sensibles, à décider où les données critiques devraient être localisées, et à établir des modèles d’accès sécurisés tant pour les données que pour les analyses.

Planifier autour du cycle de vie du Big Data Protéger correctement le Big Data exige la définition de besoins spécifiques de sécurité autour du cycle de vie du Big Data. Généralement, cela commence par la sécurisation de la collecte des données suivi par celle de l’accès aux données. Comme la plupart des politiques de sécurité, une bonne évaluation des menaces du Big Data de l’organisation doit se faire en continu et viser à garantir l’intégrité des données stockées et sous analyse.

La performance est un élément clé lorsqu’on sécurise les données collectées et les réseaux. Les pare-feux et autres dispositifs de sécurité réseau, tels que ceux pour l’encryption, doivent être ultra performants pour pouvoir supporter de plus en plus de débit, de connexions et d’applications. Dans un environnement Big Data, la création et la mise en application des politiques de sécurité sont essentielles du fait de l’importance du volume de données et du nombre de personnes qui auront besoin d’y accéder.

La quantité de données accroit également la nécessité de prévenir les fuites de données. Les technologies de Prévention des Pertes de Données devraient être utilisées pour s’assurer que l’information n’est pas divulguée à des tiers non autorisés. Les systèmes d’intégrité des données et de détection d’intrusions internes doivent être utilisés pour détecter les attaques ciblées avancées qui contournent les mécanismes de protection traditionnels, par exemple, la détection d’anomalies dans les couches d’agrégation et de collectes. Tous les paquets de données, tous les flux de données, toutes les sessions et transactions devraient être inspectés de près.

Parce que le Big Data couvre des informations qui se trouvent dans une zone étendue provenant de sources multiples, les organisations doivent aussi pouvoir protéger les données  là où elles se trouvent. A cet égard, les systèmes de sécurité virtualisés fournissant une gamme complète de fonctionnalités de sécurité doivent être positionnées aux endroits stratégiques des architectures cloud hybrides, privées et publiques, fréquemment trouvées dans les environnements Big Data. Les ressources doivent être connectées de manière sécurisées et les données transportées depuis les sources de stockage du Big Data doivent également être sécurisées, typiquement via un tunnel IPSec.

Le Big Data, oui, mais avec les Bons Outils ! Alors que le Big Data présente des défis, il offre également des opportunités. Avec les bons outils, d’importantes quantités d’informations pourront être analysées, ce qui permettra à une organisation de comprendre et de comparer les activités dites normales. Si cette organisation peut alors surveiller les utilisateurs qui s’écartent de cette norme, cela permettra de devancer de manière proactive les potentielles fuites de données et systèmes.

Cet effort doit être soutenu par un personnel IT compétent et le déploiement efficace d’outils de sécurité appropriés. Ces outils sont des appliances dédiées de collecte de logs, d’analyse et de reporting qui peuvent en toute sécurité rassembler les données provenant des  dispositifs de sécurité et autres systèmes compatibles syslog. Ces appliances vont également analyser, rapporter et archiver les événements de sécurité, le trafic réseau, le contenu Web, et les données de messagerie. Ceci permet de facilement mesurer le respect des politiques et de produire des rapports personnalisés.

La difficulté à saisir, gérer et traiter les informations rapidement dans les environnements Big Data va continuer à rendre la sécurité un élément de second plan pour de nombreuses entreprises. Alors que la bande passante et le stockage continuent de croitre, la mobilité de ces gros ensembles de données augmente également, provoquant des brèches et la divulgation d’ensembles de données sensibles. Les menaces viendront probablement d’intrus manipulant le Big Data de manière à ce que les outils de business analytics et de business intelligence génèrent des résultats erronés et conduisent à des décisions de gestion qui pourraient être profitables aux intrus.

Même de petits changements dans le Big Data peuvent avoir un impact important sur les résultats. Les organisations ne doivent donc pas ignorer la nécessité de protéger les actifs du Big Data – pour des raisons de sécurité, de business intelligence ou autre. Elles doivent répondre aux principaux besoins du Big Data en termes d’authentification, d’autorisation, de contrôle d’accès basé sur les rôles, d’audit, de contrôle, de sauvegarde et de récupération. A plus long terme, l’analytique du Big Data impliquant l’évaluation et la surveillance comportementale deviendra également de plus en plus capitale pour répondre à la nouvelle génération de défis de sécurité IT.

BOX STORY 1: le SIEM, un Problème pour le Big Data Pour améliorer leur sécurité, certaines organisations ont des solutions SIEM (Security Information and Event Management ou de Gestion des événements et informations de sécurité) pour les aider à collecter et analyser les alertes de sécurité et les systèmes de logging. Cela peut, par inadvertance, toutefois, créer un problème pour le Big Data – dans le cas où chaque log et alerte sont collectés.

Pour éviter ce problème, les organisations devraient arrêter de considérer la sécurité comme un système purement défensif et plutôt penser à ajouter une couche d’abstraction au-dessus de toutes les données pertinentes de l’entreprise. Elles doivent se demander quelles sont les données pertinentes dans un contexte de sécurité. Evidemment, les logs au niveau du réseau (c’est-à-dire le pare-feu, IPS, etc.) et les logs d’accès utilisateurs restent nécessaires. Cependant, les logs de sécurité des terminaux, les logs liés au proxy et même les données d’inspection approfondie des paquets risquent de ne plus être pertinents.

BOX STORY 2

– Exemples de Big Data

·        Logs Web

·        Données RFID

·        Réseaux de capteurs

·        Données des réseaux sociaux

·        Documents  et textes Internet

·        Indexation des recherches Internet

·        Archivage des détails d’appels

·        Dossiers médicaux

·        Archives de photos

370 milliads de dollars pour le futur cloud Chinois

Dans un nouveau rapport, BroadGroup propose pour la toute première fois un état des lieux des investissements dans le Cloud et des projets de développement de datacenters en Chine. DataSecurityBreach.fr a pu lire qu’à l’issue de recherches qualitatives et d’une centaine d’entretiens individuels, ce rapport révèle un programme de très grande ampleur portant sur un investissement total de 370 milliards $  et le doublement de la capacité des datacenters d’ici à 2016.
Le rapport, intitulé ‘China Cloud, Challenges and Opportunities in China’s Cloud Datacenter Deployment’ (Enjeux et opportunités de déploiement de datacenters pour le Cloud en Chine), décrit la stratégie mise en œuvre pour éliminer la dépendance vis-à-vis des fournisseurs étrangers de technologie et réunir les conditions d’une croissance économique durable pour la population chinoise d’1,3 milliard d’habitants. Le 12ème plan quinquennal du gouvernement chinois retient l’attention du monde entier pour la part belle qu’il fait aux investissements de création de logiciels, d’applications et de plates-formes Cloud, soutenus par un programme de déploiement massif de datacenters Cloud.
Le rapport explique comment le plan gouvernemental initial portant sur des déploiements Cloud dans 5 villes continue de s’élargir et couvre à présent 15 provinces au moins, avec des financements de projets conséquents. 109 projets ont été identifiés au total, la plupart impliquant la construction de nouveaux datacenters Cloud. Le rapport détaille les plans d’investissements, province par province, essentiellement concentrés dans le nord de la Chine, avec 88 % de l’investissement total partagés entre les cinq premières provinces de la liste.
Les profils des principaux acteurs des projets sont présentés dans le rapport, ainsi que les résultats d’analyses SWOT des segments clés de l’industrie des datacenters, à savoir les datacenters indépendants des opérateurs (carrier neutral), les datacenters Internet, et les trois géants des télécommunications en Chine : China Mobile, China Unicom et China Mobile.
Les projets Cloud sont détaillés par ville et dans le cadre d’une analyse régionale, avec taxinomie des projets par localisation géographique. Des cartes de la distribution des projets Cloud sont fournies pour illustrer le propos selon différents angles : par montant de l’investissement (en RMB), par dimensions (m²) et par nombre de projets.
Le secteur du datacenter est confronté à des enjeux immenses. Si la réussite future des projets Cloud en Chine dépendra surtout des business models et de la demande, le rapport nous explique que de nombreux obstacles politiques, commerciaux et techniques pèsent déjà sur les questions de disponibilité de la bande passante, d’accès réseau et d’alimentation électrique.
Certes le marché est porteur d’opportunités, mais seule la politique du gouvernement pourra apporter des changements favorables aux règles d’investissement et de participation des étrangers au marché. Le rapport fait état de théories toujours en circulation concernant des solutions potentielles risquant d’être sanctionnées.
Ce rapport est le premier à ce jour à proposer une analyse aussi complète de la stratégie Cloud et des déploiements de datacenters en Chine.
A l’occasion des Datacentres Europe 2013 organisés par BroadGroup les 29 et 30 mai 2013 à Nice, de nombreux représentants de l’industrie, d’utilisateurs de différents marchés verticaux et d’administrations gouvernementales du monde entier seront présents.

Challenge de sécurité autour de CerberHost

NBS System ouvre un challenge de sécurité autour de CerberHost, son Cloud de Haute Sécurité Ce concours est ouvert à tous : experts en sécurité, pentesteur, hacker de génie ou occasionnel, érudit en informatique et curieux de la sécurité – avec à la clé, des lots allant jusqu’à 5000 € !   NBS SYSTEM, société française fondée en 1999 et spécialisée d’une part dans l’hébergement et l’infogérance de serveurs et la sécurité informatique d’autre part, annonce l’ouverture d’un challenge de sécurité atour de CerberHost, son Cloud de Haute Sécurité lancée en octobre dernier. Ce challenge démarre le lundi 25 mars 2013 et s’achèvera le 21/06/2013. A la clé, jusqu’à 5000 € pour la première personne qui arrivera à pénétrer dans l’environnement de CerberHost (détails complets du concours plus bas).

A l’occasion de ce challenge, Philippe Humeau, CEO de NBS System déclare à Data Security Breach : « Nous ne voulons pas proposer une Cloud sécurisé « sur le papier », qui repose sur de la méthode Coué et un Powerpoint affirmant que « c’est sécurisé ». Après un investissement de R&D considérable, nous pensons que NBS System propose, au travers de CerberHost, l’offre d’hébergement la plus sécurisée à ce jour, et nous souhaitons le démontrer. Ce challenge vise donc à étrenner encore un peu plus nos systèmes déjà solidement testés. »

Qu’est ce que CerberHost ? CerberHost est le fruit de deux années de R&D et de plus de 10 ans d’expérience sur le marché de la sécurité informatique et notamment en matière de tests d’intrusion. Avec plus de 16 méthodes ou systèmes de protections différents, CerberHost a été conçue pour garantir une sécurité informatique proche des 99.9% aux sites Internet LAMP et bientôt Java. Cette particularité permet de rendre tous les sites LAMP pratiquement invulnérables aux attaques informatiques. Elle propose une infrastructure capable de résister aux attaques informatiques et résiliente aux pannes en assurant la sécurité physique, la logique et la redondance. Après des milliers d’attaques bloquées qui ont été lancées contre le site de Charlie Hebdo, protégé par CerberHost depuis septembre 2011, après un test d’intrusion menée par la société HSC sur une Damn Vulnerable Web Application, CerberHost reste inviolé à ce jour.

Mais, rien n’est impossible cependant et NBS System ne souhaite qu’une chose : aller plus loin.

Détails du CerberHost Spring Challenge (CSC)

Contenu du site à tester Le concours consiste à réussir une intrusion sur une plateforme d’entrainement pour les tests d’intrusions de type « Damn Vulnerable Web Application ». Ce logiciel est volontairement « troué » pour permettre de tester des outils, des candidats ou des méthodes d’intrusions et il contiendra de nombreuses failles de différents types. Le code source de ce site de test sera mis à disposition des participants qui pourront l’auditer en local, sur leurs machines. Celui en production sur le serveur de tests sera exactement le même. Paramétrage de la Sécurité de l’instance Toutes les couches de sécurité de CerberHost seront actives à l’exception du firewall à bannissement progressif. En effet CerberHost utilise un système de réputation d’IP qui bannie de manière progressive en dureté et dans le temps, le filtrage appliqué à une IP qui violent des règles de sécurité. Dans le contexte du concours, les IP enregistrées seront « whitelistées » et ne seront pas bannis comme le ferait normalement le système. Pour avoir un ordre d’idée, quand une IP scanne des ports, elle a un comportement anormal vis à vis de la plateforme hébergée et cette IP est progressivement bannie de plus en plus durement (en terme de durée notamment, mais aussi de range d’IP ou de type de réponse, reject, drop, tarpit, etc.) Au final, un tel dispositif à lui seul ralentirait considérablement des experts dans leur travail et ne présente pas spécifiquement d’intérêt dans le cadre de ce concours. Le DVWA sera paramétré en sécurité la plus basse (toutes les failles seront actives/ouvertes).   Pour le reste, l’instance CerberHost utilisée sera tout à fait standard, mais la méthodologie sera un peu moins « stricte » que celle dont les clients de NBS System disposent. Lors d’une mise en production « normale » d’un client CerberHost, NBS System effectue un audit rapide et met en place certaines règles spécifiques en plus des protections standards. Ici, le processus sera le même mais rien ne sera spécifiquement dédié à ce site, pas plus de protection ou de dispositifs particuliers, c’est même l’inverse car NBS System souhaite ouvrir le challenge et se mettre « dans la pire des situations possibles », avec un site troué et des défenses amoindries.

Durée du jeu

Le jeu se déroulera du 25/03/13 au 21/06/2013. En cas de victoire ou de victoire partielle d’un participant (voir définition ci-dessous), le jeu s’arrêtera lorsque la preuve de la victoire aura été apportée et validée par le Jury.

Jury

Le jury est constitué de : • Maître Diane Mullenex (associée du cabinet Ichay & Mullenex) • Nicolas Ruff (chercheur au sein de la société EADS) • Philippe Humeau (Directeur Général de la société NBS System) Le Jury validera les potentielles victoires des candidats.

Objectifs

Victoire Une victoire sera attribuée au 1er participant ayant :

•        Soit obtenu une invite de commande (« shell ») (non root) sur une des machines intermédiaires : Firewall, Reverse Proxy.

•        Soit créé un fichier dans le compte root de la machine hébergeant le site, nommé avec son ID et contenant son email de contact et l’adresse IP depuis laquelle l’intrusion sur le site a été réalisée. Ces conditions sont indépendantes : en remplir une est suffisant pour obtenir une Victoire. Une Victoire est unique et arrête le Jeu.

Victoire partielle Si une faille était trouvée sur le site, qui ne constituerait pas une Victoire mais permettrait : •        Soit de récupérer le contenu de la table « SECRET » qui est stockée dans la même base de données, sur la même instance de MySQL, que les autres données du site. La récupération devra être réalisée via l’exploitation d’une des injections SQL présente dans le site,

•        Soit d’arriver à exécuter du code PHP (via les vulnérabilités de file inclusion ou file upload présentes sur le site). Exemple : exécution d’un fichier PHP contenant un appel à ‘phpinfo’ et un ‘sleep’,

•        Soit d’arriver à réaliser un cross site scripting (ie. affichage du cookie dans un popup javascript), en exploitant une des vulnérabilités de cross-site scripting présentes sur le site,

•        Soit d’arriver à obtenir un « shell » non privilégié (non root) persistant sur la machine (via l’exploitation d’une vulnérabilité dans un démon tiers ou dans PHP)

Alors une Victoire Partielle serait accordée. Ces cinq conditions sont indépendantes. En remplir une est suffisant pour obtenir une Victoire Partielle. Une seule Victoire Partielle sera accordée par méthode d’attaque utilisée validant l’une des 5 conditions. Donc un participant utilisant la même méthode que celle d’une Victoire Partielle déjà effectuée (même si elle est encore en cours de validation par le jury), ne pourrait se prévaloir d’une Victoire Partielle.

Une Victoire Partielle n’arrête pas le Jeu. Les Victoires Partielles sont publiées dans un délai de 72 heures à compter de leur validation par le Jury.

Effort méritoire Si une faille était trouvée, qui ne constituerait ni une Victoire, ni une Victoire Partielle mais permettrait :

•        de compromettre des données ou de changer la page d’accueil du Site (defacing),

•        d’arriver à écrire dans le répertoire /challenge_ME, présent à la racine de la machine, dont le propriétaire sera l’utilisateur faisant tourner le démon Apache sur la machine.

Afin d’authentifier son Effort Méritoire, la personne devra écrire dans un fichier nommé avec son ID, son email de contact et l’adresse IP depuis laquelle l’intrusion a été réalisée. Alors un Effort Méritoire serait accordé.

Ces deux conditions sont indépendantes. En remplir une est suffisant pour obtenir un Effort Méritoire. Un seul Effort Méritoire sera accordé par méthode d’attaque utilisée validant l’une des 2 conditions. Donc un participant utilisant la même méthode que celle d’un Effort Méritoire déjà effectuée (même si elle est encore en cours de validation par le jury), ne pourrait se prévaloir d’un Effort Méritoire.

Un Effort Méritoire n’arrête pas le jeu. Les Efforts Méritoires sont publiés dans un délai de 72 heures à compter de leur validation par le Jury. Validité de la victoire, victoire partielle ou de l’effort méritoire. Ne seront considérés comme valides que des victoires, victoires partielles ou efforts méritoires qui seront effectués par des personnes enregistrées dans le concours avec le formulaire disponible et possédant leur ID. L’attaque ayant menée à la compromission devra être expliquée et reproductible. Le potentiel code source de l’attaque n’aura pas à être divulgué cependant.

Lots A une victoire serait attribué :

•        un prix de 5000 €

•        un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert

•        Une autorisation de la société à communiquer sous seing privé sur cette réalisation (par exemple sur un CV) La faille utilisée peut être expliquée sans être totalement révélée « techniquement »

A une victoire partielle :

•        un prix de 500 €

•        un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert

•        Une autorisation de la société à communiquer sous seing privé sur cette réalisation (par exemple sur un CV) La faille utilisée devra être révélée complètement.

A un effort méritoire :

•        Un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert derrière l’exploit. La faille utilisée devra être révélée complètement.  Limites & méthodes autorisées

Les DOS & DDOS n’ont pas leur place dans ces tests. NBS System cherche à évaluer la robustesse des barrières mises en place, pas à tester la capacité du réseau à absorber ou contrer des DDOS. Un autre test sera mené ultérieurement en ce sens avec plusieurs dizaines de Gb/s de trafic généré. Les CSRF et bruteforce applicatifs ne constituent pas non plus une possibilité de victoire ou d’effort méritoire. En effet, les CSRF impliquent un tiers et ne reposent donc pas seulement sur la plateforme NBS System et ses dispositifs de sécurité et ils ne sauraient garantir la sécurité des tiers. De même, les bruteforce applicatifs n’ont pas d’intérêt puisque les candidats disposeront du mot de passe pour accéder au DVWA. Les autres méthodes de compromission, techniques d’attaques (donc non physiques et non sociales), comme par exemple les  overflow, XSS, SQLi, etc. sont toutes acceptées. NBS System ne souhaite pas de menaces physiques sur son personnel, pas plus que de méthodes sociales qui déborderaient sur les vies privées de ses employés, d’où les limites posées. La seule machine qui peut être visée est celle hébergeant la DVWA, qui répond au FQDN suivant : challenge.cerberhost.com et à l’IP associée. Toute autre machine /IP / serveur / service est en dehors de la zone de test, sauf s’il s’agit d’une machine protégeant la machine challenge.cerberhost.com (son Firewall ou son Reverse Proxy). Aucune autre machine / service / IP du réseau NBS System ou de ses clients ne peut et ne devra être ciblée, sous peine de poursuites.

Identification & inscription des participants

Les participants peuvent être anonymes durant le concours, mais ils doivent fournir une adresse IP qui sera enregistrée dans le firewall de NBS System pour « alléger » les mesures de bannissement progressif. Le vainqueur devra lui être identifié avec nom & prénom pour recevoir son prix, cependant, son nom ne sera pas révélé s’il ne le souhaite pas. Ils doivent aussi fournir une adresse email valide qui servira aux échanges entre les équipes. Ces données sont privées et ne seront pas révélées, ci-dessous le formulaire d’inscription : Règlement complet et exact du concours.

Qui connaît son ennemi comme il se connaît…

Cette citation de Sun Tzu, issue de l’Art de la Guerre et écrite dès le Vème siècle avant Jésus-Christ, continue d’inspirer nombre de stratégies militaires ou commerciales, mais ne vaut que si l’on considère l’ensemble du constat : « Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ? ». Par Eric Soares, Vice-président France de Symantec pour Data Security Breach.

Les entreprises et les gouvernements ont-ils conscience de la multiplication des cyber-menaces ? Les plus connues d’entre elles  ne cessent de baisser : seules 4 % d’entre elles sont des virus ; le taux de spam a baissé de plus de 30 % sur les douze dernier mois. Ces « vieilles » menaces sont connues des individus, des entreprises et des gouvernements, qui se sont, au cours des années équipés pour les contrer. Néanmoins, les attaques malveillantes avaient augmenté de 81 % en 2011, les attaques web de 36 % et le nombre de variantes uniques de code malveillant atteignait les 403 millions, des tendances qui n’ont cessé de s’affirmer depuis, avec le succès dont on entend trop souvent parler hélas. Les entreprises et gouvernements doivent en outre faire face à l’augmentation des attaques ciblées, qui touchent non seulement les dirigeants, mais également les différentes fonctions de l’organisation ouvertes sur l’extérieur. Il convient également de tenir compte des attaques visant la production-même des entreprises ou leur fonctionnement, telles que le désormais très connu Stuxnet ou la plus discrète Narilam, qui modifiait des bases de données comptables. Enfin, à ces menaces externes viennent s’ajouter les risques internes : selon une étude récente menée avec le Ponemon Institute, 60 % des employés ont déclaré prendre des données appartenant à leur employeur lorsqu’ils le quittent.

Qu’elles soient internes ou externes, les entreprises tout comme les gouvernements doivent non seulement avoir conscience mais également la connaissance des cyber-menaces qu’elles doivent affronter.

Le périmètre des risques doit également être réévalué. Il y a encore quelques années, les systèmes d’information étaient limités aux ordinateurs et serveurs se trouvant dans les murs des organisations. La moitié de leurs données se trouvent désormais en dehors de leur pare-feu. Aujourd’hui le développement du cloud et celui de la mobilité, séparément et conjointement, sont certes porteurs de nouvelles opportunités pour les entreprises et les gouvernements, mais signifient également  une multiplication des points d’entrée pour les menaces et nécessite une approche in-extenso de la sécurité.  Celle-ci est en effet l’une des premières préoccupations des entreprises qui transfèrent tout ou partie de leur capital informationnel vers le cloud. C’est également une opportunité majeure de sécurité accrue… à condition de s’être assuré que ce même cloud, qu’il soit privé, public ou hybride, répond aux exigences de sécurité et aux obligations réglementaires les plus rigoureuses.

Le développement des terminaux mobiles à usage professionnel n’est évidemment pas un phénomène que l’on peut contrer, mais qu’il convient d’accompagner, là encore, afin de protéger au mieux les informations de l’entreprise. Aujourd’hui, 23 % des collaborateurs accèdent aux informations de l’entreprise via un appareil mobile. Il s’avère donc nécessaire de renforcer les politiques de sécurité, dont les niveaux doivent varier selon le propriétaire du terminal, et bien sûr de son utilisation.

Les organisations doivent donc tenir compte de ces nouveaux développements dans leur approche de la sécurité de leurs données, ou d’intégrer cette dernière dès la phase initiale de leurs projets de cloud et de mobilité la dimension sécurité. Mais est-ce toujours le cas ?

Les défis à relever sont particulièrement nombreux pour être « cyber-ready » et assurer la cyber résilience d’une organisation. Le risque 0 n’existe certes pas, mais il convient  d’apprendre et de comprendre la multiplication et les différents types de cyber-menaces ainsi que les nouveaux périmètres à considérer, pour assurer une protection optimale et maximale des informations.