Archives par mot-clé : sécuriser

25% de cybermenaces en plus pour 48 % des entreprises françaises depuis le début de la pandémie

Depuis 2020, les entreprises ont été contraintes de passer la majorité de leurs collaborateurs en télétravail, les propulsant dans une nouvelle façon de travailler qui doit être à la fois transparente et sécurisée.

Bien avant la pandémie, de nombreuses entreprises avaient déjà fait le choix de stratégies « cloud-first » et « remote-first », mais s’agissant d’un processus long et coûteux, elles se trouvent à des stades différents de leur parcours.

« En revanche, ce que ces derniers mois nous ont enseignés c’est que peu importe leur avancée, il est vital que ces entreprises mettent la cybersécurité au cœur de cette transformation pour pouvoir fonctionner efficacement et assurer la continuité de leurs activités le plus sereinement possible. » explique Fayce Mouhieddine, directeur commercial cybersécurité de Cisco France.

Pour mieux comprendre les défis auxquels les entreprises sont confrontées actuellement et la manière dont elles adaptent leurs approches de la cybersécurité pour mieux se préparer à un mode de travail hybride, Cisco a interrogé plus de 3 000 décideurs informatiques sur 21 pays dont pour l’étude « Future of Secure Remote Work ».

Accélérer la transformation

Les entreprises se préparent aux implications de la nouvelle norme et, chose certaine, l’environnement de travail flexible et hybride que nous avons connu en dehors des confinements va perdurer. Le télétravail a atteint des niveaux sans précédent au début de la COVID-19 en mars, où deux tiers (64 %) des organisations françaises comptaient plus de la moitié de leurs collaborateurs en télétravail, contre seulement 15 % avant la pandémie.

Toutefois, l’étude de Cisco révèle qu’au début de la pandémie, seules 43 % des entreprises françaises étaient bien préparées pour soutenir cette transition rapide vers un environnement de travail à distance. D’ailleurs, 48 % des organisations françaises ont enregistré une augmentation de 25 % ou plus des cybermenaces ou des alertes depuis le début de la pandémie.

Sécuriser un nombre croissant de terminaux

Alors que le nombre d’utilisateurs qui se connectent à distance augmente, les entreprises connaissent une multiplication des défis liés à la cybersécurité. En France, environ une personne interrogée sur deux a déclaré que les périphériques personnels (49 %) et les ordinateurs professionnels (44 %) étaient les éléments les plus difficiles à protéger dans un environnement à distance.

La sécurisation des accès, depuis n’importe quel appareil et à tout moment, a été désignée comme le principal défi en matière de cybersécurité auquel sont confrontés près des deux tiers (52 %) des entreprises françaises. Leurs autres préoccupations concernent la confidentialité des données (40 %) ainsi que la protection contre les malwares (36 %).

Ces défis auront tout de même permis aux entreprises de mieux comprendre l’importance de la cybersécurité. La grande majorité des entreprises françaises (78%) déclarent que la cybersécurité est désormais extrêmement importante ou plus importante qu’avant COVID-19 et 56 % déclarent que cela entraînera une augmentation des investissements dans la cybersécurité.

La cybersécurité doit répondre aux besoins d’effectifs dispersés géographiquement

Les entreprises doivent créer un environnement de travail hybride flexible et sécurisé, et assurer le même niveau de protection pour tous les collaborateurs qui circulent sur le réseau. À l’heure où les responsables IT et métier redéfinissent les priorités en matière de technologies et d’objectifs, la cybersécurité doit devenir un atout qui permettra aux entreprises de réaliser leur plein potentiel.

Le succès d’un environnement de travail hybride et flexible repose sur la préparation, la collaboration et l’autonomisation

Avec le passage au télétravail, les équipes chargées du réseau et de la sécurité doivent fournir un accès transparent et sécurisé aux applications et aux services, partout et à tout moment. En parallèle, les responsables doivent mettre en place des protocoles de mise en application supplémentaires ainsi que des politiques de cybersécurité renforcées. Enfin, il est impératif de former et de sensibiliser les collaborateurs afin de favoriser une culture de la sécurité aujourd’hui indispensable.

Un système de cybersécurité plus simple et plus efficace est essentiel pour renforcer la résilience de l’entreprise

Malgré le nombre de priorités auxquelles ils font face, les responsables informatiques ne peuvent pas reléguer la sécurité en arrière-plan. Pour réduire la probabilité et l’impact d’une cyberattaque, les entreprises doivent également chercher des moyens de simplifier leurs systèmes de défense. Ainsi, la sécurité devient un atout pour l’entreprise, et non un obstacle aux besoins actuels ou futurs.

Zoom renforce la sécurité de sa solution en intégrant des outils de verrouillage et de protection des réunions

Après plusieurs révélations sur des problèmes de confidentialité, Zoom intègre de nouvelles fonctionnalités de sécurité visant, entre autres, à protéger les réunions organisées sur sa plateforme des risques de meeting bombing. Elles simplifient notamment l’accès aux différentes options de sécurité et masquent les ID de meeting.

Zoom Video Communications Inc., le spécialiste de la visioconférence dans le cloud a déployé le 9 avril une mise à jour pour renforcer la sécurité de sa plateforme. Cette mise à jour intègre la fonctionnalité Security qui simplifie la manière dont les animateurs peuvent trouver et activer de nombreuses fonctionnalités de sécurité de Zoom pour protéger leurs réunions d’éventuel meeting bombing. À Security, s’ajoute également le masquage natif des ID de meeting ainsi que diverses mesures comme l’instauration obligatoire des mots de passe et le verrouillage des alias pour certains comptes.

Visible uniquement par les animateurs et co-animateurs, la fonctionnalité Security permet d’accéder rapidement à des fonctions de sécurité avancées de Zoom pendant les réunions afin de les protéger plus facilement, dont :

  • Verrouiller la réunion

  • Activer la salle d’attente (si elle n’est pas déjà activée)

  • Supprimer des participants

  • Limiter la capacité des participants à :

    • Partager leurs écrans

    • Chatter en réunion

    • Se renommer

    • Annoter sur le contenu partagé de l’hôte

Pour empêcher les participants à une réunion de voir les numéros d’identité des réunions actifs quand des captures d’écran Zoom sont par exemple affichées publiquement, l’identifiant des réunions Zoom n’est dorénavant plus affiché sur la barre de titre. Il est remplacé par une mention « Zoom » pour toutes les réunions.

Autres mesures de sécurité

D’autres mesures de sécurité ont été introduites avec cette mise à jour. L’équipe Zoom a également mis à jour plusieurs fonctionnalités pour des types de comptes spécifiques :

Salles d’attente : La fonction Salle d’attente est maintenant activée par défaut pour les comptes Basic et Pro sous licence unique gratuite, ainsi que pour les comptes éducation inscrits à notre programme K-12.

Mots de passe : Les mots de passe pour les réunions sont activés par défaut pour les comptes Basic gratuits et les comptes Pro sous licence unique, ainsi que pour les comptes éducation inscrits à notre programme K-12. Le paramètre par défaut ne peut pas être modifié pour ces comptes d’éducation.

Contacts de domaine : Pour les comptes Basic gratuits et les comptes Pro à licence unique avec des domaines non gérés, les contacts dans le même domaine ne seront plus visibles. Nous avons également supprimé l’option permettant de remplir automatiquement votre liste de contacts avec des utilisateurs du même domaine. Pour conserver ces contacts, les utilisateurs peuvent les ajouter en tant que contacts externes.

Renommer les participants : Les administrateurs de compte et les animateurs peuvent désormais désactiver la possibilité pour les participants de se renommer (pour chaque réunion) au niveau du compte, du groupe et de l’utilisateur dans le portail web.

L’icône de sécurité et ces mises à jour sont disponible dans notre dernière version (version 4.6.10) pour les utilisateurs de Zoom sur desktop (Mac & Windows), mobile (iOS & Android), l’iPad, et dans le client web.

Fuite de données : attention à la mauvaise configuration de votre Google Formulaire

Confidentialité : Vous utilisez Google Formulaire pour vos sondages, questionnaires ? Si vous ne le configurez pas correctement, fuite de données assurée concernant vos participants.

Il y a 30 jours j’alertais la CNIL et l’ANSSI d’un problème rencontré via le service « Google Formulaire ».

L’outil du géant américain, en cas de mauvaise configuration, est capable de laisser fuiter les informations rentrées par les participants à des sondages, questionnaires, …

J’en ai profité pour poser quelques questions, par courriel, à un représentant de Google en Europe, mais sans aucune réponse de sa part.

Vous avez dit « Prefill »

Le problème est le suivant. Lors de la création d’un Google Formulaire, il est possible de mettre en mode invitation le document. Le lien de ce dernier apparaît alors sous cette forme https://docs.google.com/forms/d/*****/prefill. D’ailleurs, une requête dans le moteur de recherche, via le dork « inurl:docs.google.com/forms/d/ && prefill » permet de faire apparaître des centaines de créations de part le monde.

Demande d’autorisation. Sans l’accord de l’auteur, pas d’accès aux informations.

La plupart de ces formulaires apparaissent, quand on clique sur leur lien respectif, avec une demande d' »autorisation nécessaire« . Vous souhaitez accéder à ce contenu mais vous ne le pouvez pas. Il faut en faire une demande d’accès au créateur du formulaire.

Sauf que cette demande d’autorisation peut-être outrepassée.

Fuites de données assurées !

Il devient possible d’accéder aux données des participants !

Seulement, mal configuré, le « Google Form » va diffuser les informations des participants d’une manière dés plus triviale. Ozaik, un lecteur de Data Security Breach, m’a expliqué avoir retrouvé ses données par ce biais.

La méthode est simple. Il suffit de remplacer « prefill » par une autre commande. Nous ne la fournirons pas dans nos colonnes. Le problème venant des créateurs et de la mauvaise configuration de leur formulaire, il ne s’agit pas d’une faille Google. Cette commande fait sauter la « demande d’autorisation » et les autres restrictions de confidentialité. Le problème ne peut être corrigé que par les auteurs.

Plus dramatique, dans certains cas, les identités, les mails, les téléphones des participants apparaissent. Un malveillant n’a plus qu’à collecter. Les escroqueries et autres phishing « très » ciblés n’ont plus qu’à être lancés !

Les organisateurs ont été alertées afin d’effacer les informations !

Phase 03

Vous êtes Utilisateur des formulaires Google ? Sortez le mode d’emploi.
Vous souhaitez participer à un questionnaire via un formulaire Google ? Vous savez dorénavant les risques qui en découlent.

Côté RGPD, bon courage pour savoir qui a fuité, qui n’a pas fuité, qui va alerter et qui fera comme dans la majorité des cas : « Pas vu, pas pris » !

Comment sécuriser vos comptes professionnels pendant les vacances de Noël

Sécuriser – Les fêtes de fin d’année peuvent être une période compliquée pour les entreprises dont les salariés voyagent, travaillent à distance, ou encore effectuent leurs achats de cadeaux sur leurs ordinateurs professionnels. Les petites entreprises, notamment, ne se posent pas suffisamment la question de la sécurité de leurs données dans le cas où l’ensemble de leurs collaborateurs devaient travailler à domicile en même temps. Les employés travaillant depuis un café en sirotant une boisson ignorent souvent totalement le risque que cela représente pour leur entreprise. En effet, sur les réseaux Wi-Fi publics, les pirates peuvent épier leurs identifiants et les historiques de leurs navigateurs, voire même obtenir leurs coordonnées bancaires.

Ajoutons à cela la sécurité parfois discutable de leurs ordinateurs personnels, les accès aux comptes depuis des appareils non professionnels et les mauvaises habitudes en matière de mots de passe, et il devient clair que les fêtes risquent de causer du tort aux entreprises.

Bien que cette recherche de productivité soit généralement animée des meilleures intentions, la sécurité est rarement la priorité des salariés. Que peuvent faire les dirigeants d’entreprises pour rester sereins pendant la période des fêtes ? Voici six conseils qui favoriseront la poursuite des activités sans accroc sur le plan de la sécurité des données.

 1. Sécuriser : Mettre les identifiants à jour

Avant que les employés ne se rendent aux quatre coins du pays pour les vacances, il est important de contrôler la sécurité de l’ensemble des identifiants professionnels. Selon des données collectées par LastPass, 91 % des adultes sont conscients que la réutilisation des mêmes mots de passe sur différents comptes n’est pas une pratique sûre. Malgré cela, 61 % d’entre eux continuent de le faire, alors que cela augmente les risques de piratage et rend l’ensemble de leur entreprise vulnérable. Bien entendu, il est difficile d’imaginer et de se souvenir d’innombrables combinaisons de caractères et de chiffres. La solution la plus simple est donc d’utiliser un gestionnaire de mots de passe pour créer des séquences aléatoires pour chaque compte.

2. Sécuriser : Ne pas tomber dans les pièges du phishing

Il n’est pas rare que certains salariés passent davantage de temps sur le Web durant la période des fêtes (que ce soit pour effectuer des achats en ligne, faire des dons à des organismes caritatifs ou télécharger de la musique de Noël). Bien que cela ne représente pas un problème de sécurité en soi, ce peut être le cas pour les entreprises s’ils cliquent sur des liens piégés. Cela pourrait en effet déclencher une attaque malveillante ou le téléchargement d’un logiciel espion sur le terminal utilisé. Les dirigeants d’entreprises doivent s’assurer que leurs employés soient conscients des risques, et envisager la mise en place de lignes directrices et de formations afin de les sensibiliser aux menaces actuelles.

3. Sécuriser : Ne pas laisser les médias sociaux devenir le maillon faible

Nous connaissons tous les avantages des médias sociaux grand public pour les entreprises : plus d’engagement et de fidélité client ; une meilleure capacité à en attirer de nouveaux ; et une notoriété de marque plus importante auprès des influenceurs et par rapport à la concurrence. En ce qui concerne les médias sociaux professionnels, les meilleures pratiques en matière de sécurité des mots de passe sont les mêmes que pour des comptes personnels, même si les enjeux sont plus élevés en cas de problème.

La sécurité des données dépend donc de celle des maillons faibles de l’organisation (et il suffit souvent d’un seul employé). La réutilisation des mots de passe est une pratique si répandue qu’il est nécessaire de savoir qui a accès à un compte sur le réseau social d’entreprise et sur quels terminaux. En effet, comme nous l’avons vu avec les fuites subies par LinkedIn et Twitter cette année, ces comptes sont des cibles de choix pour les pirates. Ne pas mettre leurs mots de passe à jour sur de longues périodes revient alors à leur donner carte blanche pour accéder à d’autres comptes utilisant les mêmes identifiants.

4. Renforcer les questions de sécurité

Beaucoup de comptes en ligne invitent les utilisateurs à choisir des questions de sécurité représentant une protection supplémentaire. Cependant, celles-ci laissent clairement à désirer et constituent pour beaucoup le maillon faible de leur système de sécurité en ligne. Si votre entreprise utilise déjà un gestionnaire de mots de passe pour stocker et partager des identifiants de façon sécurisée, profitez de la fonction de génération automatique pour répondre à ces questions, puis enregistrez les réponses dans la section « Notes » de votre compte. Le champ correspondant doit ressembler à cela : « premier animal de compagnie : ackpioughtso ».

5. Sécuriser : Encourager les employés à ne pas enregistrer leurs mots de passe sur leurs navigateurs

Bien que cela soit pratique, stocker des mots de passe en local sur un navigateur est dangereux et laisse les identifiants vulnérables en cas de piratage. Ce confort est en effet la raison même pour laquelle cette option est moins sécurisée et fiable. Les gestionnaires de mots de passe, eux, apportent un plus en vous aidant à gérer votre vie en ligne. Les opérations de chiffrement/déchiffrement ayant lieu en local, leurs protocoles de vérification (via un système de preuve à divulgation nulle de connaissance) vous évitent de partager votre mot de passe principal à mauvais escient et d’offrir l’accès à vos données.

6. Sécuriser : Attention au vol d’ordinateurs portables

Les voleurs sont particulièrement actifs à Noël, et sont à la recherche de proies faciles. Pour éviter le pire en cas de perte de votre ordinateur ou autre appareil professionnel, pensez à investir dans une solution de protection contre le vol qui le rendra inutilisable dans le cas où il tomberait entre de mauvaises mains.

Vulnérabilité des clés SSH et cybercriminalité : comment sécuriser et protéger les systèmes et environnements SSH

La réutilisation de clés SSH (Secure Shell) n’a rien de nouveau, c’est un phénomène que nous avons déjà observé dans le passé. Pour preuve, en 2013, les médias révélaient que des cybercriminels avaient profité de la vulnérabilité d’une clé SSH pour bénéficier d’un accès root aux équipements exécutant l’EAS (Emergency Alert System) aux États-Unis. Par Kevin Bocek, Vice President of Security Strategy & Threat Intelligence chez Venafi.

Le protocole SSH ayant pour mission de sécuriser les communications entre les ressources numériques les plus stratégiques et les plus précieuses d’une entreprise, il n’est guère étonnant que des cybercriminels veuillent dérober, déchiffrer ou autrement compromettre les clés cryptographiques sur lesquelles il repose. Les accès SSH sont tous tributaires d’une administration et d’une sécurisation adaptées des clés SSH. En l’absence de projet sérieux en la matière, votre établissement court un risque.

La compromission d’un procédé cryptographique au travers d’une clé SSH est, de loin, l’un des pires scénarios pour une entreprise. À partir du moment où un pirate possède un accès de niveau root, autrement dit un accès privilégié, il détient les clés lui permettant de prendre le contrôle d’un réseau ou d’un système complet pour le compromettre à sa guise. La plupart des professionnels de l’informatique et de la sécurité ne prennent pas conscience que les clés SSH en plus de fournir un accès de niveau root n’expirent pas. Par conséquent, à partir du moment où un pirate a dérobé une clé SSH, il disposera perpétuellement d’un accès par un moyen ou un autre. Il est donc primordial que les entreprises agissent aujourd’hui pour protéger leurs clés SSH.

Une étude(1) révèle que 3 acteurs du classement Global2000 sur 4 ne disposent d’aucun système de sécurité pour le protocole SSH, ce qui laisse ainsi la porte ouverte aux piratages, accès de niveau root et compromissions de données, et près de la moitié de l’ensemble des entreprises n’opèrent jamais de rotation ni ne changent leurs clés SSH. Ce faisant, leurs réseaux, serveurs et systèmes cloud deviennent la proie d’acteurs malveillants dès l’instant où ces clés SSH sont dérobées et utilisées de manière abusive.

Parce que le protocole SSH joue un rôle essentiel dans la sécurisation de l’accès administratif et automatisé à un large éventail de systèmes au sein d’établissements de toutes tailles, il est essentiel de disposer d’un ensemble très complet de chartes, processus et contrôles techniques pour gérer et superviser la configuration et les clés SSH. Il est donc important de sensibiliser à l’importance de sécuriser et de protéger ces clés SSH. Première action décisive que doivent engager les entreprises : maîtriser les clés dont elles ont l’usage – non seulement au niveau des systèmes et des logiciels installés, mais aussi des appliances réseau employées.

Le NIST(2) (National Institute of Standards and Technology) a publié récemment une nouvelle publication, « Security of Interactive and Automated Access Management using Secure Shell (SSH) » qui analyse plusieurs aspects décisifs du protocole SSH, notamment ses technologies sous-jacentes, vulnérabilités inhérentes ainsi que les meilleures pratiques appliquées à la gestion de clés SSH tout au long de leur cycle de vie. Ce rapport(3) sensibilise aux principales vulnérabilités associées à la gestion des clés SSH et de présenter des mesures concrètes pour sécuriser et protéger les systèmes et environnements SSH.

Parmi les quelques compromissions SSH notables ces dernières années figurent celles ci-après :
En 2014, Kaspersky Labs a mis au jour une cybermenace baptisée The Mask (ou Careto) qui a sévi sept années durant lesquelles un groupe criminel organisé en Espagne a multiplié les techniques pour mener des attaques de type APT visant à dérober des données à des administrations et des entreprises. Ce groupe s’emparait de clés SSH servant à l’authentification d’administrateurs, de serveurs, de machines virtuelles et de services cloud.

En juin 2015, Cisco a annoncé qu’une clé SSH autorisée par défaut était déployée sur trois de ses appliances de sécurité, exposant ainsi ses clients au risque de voir un pirate distant non authentifié intercepter du trafic ou accéder à des systèmes vulnérables au moyen de privilèges root.

La publication du NIST expose plusieurs vulnérabilités SSH courantes au sein des entreprises, à savoir :
– Implémentation SSH vulnérable
– Contrôles d’accès mal configurés
– Vol, fuite, détournement et non révocation de clés SSH
– Portes dérobées (clés utilisateurs non contrôlées)
– Utilisation indésirable des clés utilisateurs
– Rotation
– Déficit de connaissances et erreurs humaines

Le NIST recommande plusieurs mesures pour gérer les clés SSH, à savoir :

– Définir des principes et pratiques applicables au cycle de vie et à la révocation de clés SSH. La configuration de l’accès à un compte dans l’optique de faciliter les échanges avec les utilisateurs et d’automatiser les processus doit être une décision mûrement réfléchie, conciliant au mieux impératifs d’accessibilité et risques, qui doit tenir compte du niveau d’accès requis.
– Instaurer des procédures de contrôle et de surveillance continue. La surveillance continue a pour objet de faire en sorte que les procédures d’allocation, de gestion du cycle de vie et de révocation soient observées et appliquées. Des clés SSH non autorisées et mal configurées seront détectées.
– Inventorier les serveurs et clés SSH ainsi que les relations de confiance, et remédier aux problèmes éventuels. Les clés existantes au format propriétaire posent un réel problème de sécurité et compliquent l’analyse des risques si elles ne sont pas maîtrisées. L’emplacement de toutes les clés SSH existantes doit être inventorié, au même titre que les relations de confiance, qu’il convient d’évaluer à l’aune de politiques bien définies.
– Automatiser les processus. L’automatisation des processus relevant de la gestion des accès à partir de clés SSH est de nature à améliorer considérablement la sécurité, l’efficacité et la disponibilité.
– Sensibiliser la direction. Nombre de hauts responsables ne sont conscients ni du rôle central joué par les clés SSH dans le mode opératoire d’une infrastructure stratégique, ni des failles importantes susceptibles d’apparaître si celles-ci sont détournées. Sans formation suffisante des responsables opérationnels et chargés de sécurité, les initiatives de gestion des clés SSH risquent d’être évincées par des priorités de degré plus élevé, rendant ainsi l’entreprise plus vulnérable.

1 : Enquête 2015 Cost of Failed Trust Report publiée en mars dernier par Ponemon Institute et Venafi.
2 : Fondé en 1901, le NIST est une agence fédérale non réglementaire qui relève de l’administration de la technologie du département du Commerce des États-Unis.
3 : Co-signé par Venafi.

10 règles à respecter pour sécuriser l’informatique de votre PME

Si le numérique a envahi l’essentiel des espaces professionnels, la sécurité n’est pas suffisamment prise en compte par les PME.

Avec l’explosion des usages, de nouveaux risques sont apparus : indisponibilité de l’informatique, vol et destruction des données, espionnage industriel (fichiers clients, contrats, projets en cours…), escroqueries financières, sabotage de sites d’e-commerce…Des données sensibles sont dérobées lors d’intrusions informatiques ou subtilisées avec le vol d’un smartphone, d’une tablette ou d’un ordinateur portable.

Les conséquences peuvent être lourdes, de l’atteinte à l’image jusqu’à la faillite, en passant par des pertes de clientèle. La complexité des menaces, le coût élevé, le manque de temps et de personnel dédié sont les arguments les plus souvent invoqués pour justifier le manque d’intérêt pour renforcer la sécurité informatique dans les PME.

Pourtant, ces risques peuvent être considérablement réduits par un ensemble de bonnes pratiques, peu onéreuses et faciles à implémenter. « Mieux prévenir que guérir »… La sensibilisation des collaborateurs de l’entreprise aux bonnes pratiques informatiques est essentielle et circonscrit largement les dangers. Parmi les règles à respecter pour sécuriser l’informatique des PME, nous en avons retenu 10 :

Imposer des règles pour les mots de passe
Outil d’authentification permettant d’accéder à ses données ou à ses équipements numériques, il constitue une mesure de sécurité évidente. Plus un mot de passe est long et se compose de caractères différents, plus il sera difficile à cracker, notamment par des outils automatisés. Certaines bonnes pratiques augmentent de manière exponentielle son efficacité :Définissez les règles de choix et de longueur des mots de passe, rappelez régulièrement aux collaborateurs de ne pas conserver les mots de passe dans des fichiers présents dans le système informatique, modifiez ou renouvelez les moyens d’authentification proposés par défaut sur les équipements ou par les services divers, changez les mots de passe régulièrement.

Créer une séparation entre usages professionnels et personnels
Il est courant aujourd’hui d’utiliser des outils « pro » à des fins privés et vice-versa. Ces pratiques de plus en plus répandues dans les PME posent de vrais problèmes en matière de sécurité des données. Ceci augmente considérablement les risques de d’intrusion ou de vol. Dans ce contexte : Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles, n’hébergez pas de données professionnelles sur les équipements personnels ou sur les services de stockage en ligne personnels, et vice-versa.

Analyser régulièrement ses infrastructures
Avant d’enregistrer le contenu d’un support USB sur un ordinateur, prenez le temps de l’analyser avec un anti-virus … On ne sait jamais ! Ce geste simple et basique est souvent négligé et permet de protéger votre ordinateur des programmes malveillants pouvant endommager vos logiciels et mener à la perte partielle ou totale de données.

Mettre en place des sauvegardes automatiques régulières
Ne misez pas sur la discipline de chacun pour gérer ses sauvegardes ni sur un système manuel pour les sauvegardes du système d’information. L’automatisation et le monitoring sont seuls vrais garants de la sécurité.

Utiliser des solutions de sécurité
Durcissez la configuration des ordinateurs et utilisez des solutions de sécurité éprouvées (pare-feu, antivirus, etc.). Ces moyens de sécurité sont indispensables pour protéger vos outils informatiques de divers programmes malveillants. Ils bloquent le contenu et les accès dont la source ne peut être vérifiée et protègent vos données des intrusions.

Protéger les données lors des déplacements
L’utilisation des équipements nomades (smartphone, ordinateur portable, tablette) facilite les déplacements professionnels, le transport et l’échange des données. En revanche, en cas de perte ou de vol de l’appareil, l’activité de l’entreprise peut être sérieusement mise en péril. Pendant vos déplacements, n’emportez que les données nécessaires à la mission en mode déconnecté. Le reste vous attend au bureau et vous pouvez y accéder à distance en toute sécurité !

Monitorer son système
Faites surveiller votre système, notamment en utilisant les journaux d’évènements, pour réagir aux actions suspectes (connexions hors des horaires habituels, transferts massif de données…). Déterminer les droits d’utilisation en créant des comptes « administrateur » et « utilisateur » et protéger l’accès aux modifications importantes du système informatique. De même, le système d’information doit avoir des droits d’accès bien définis en fonction du profil de chaque utilisateur.

Télécharger les logiciels officiels
Téléchargez vos logiciels sur les sites officiels des éditeurs. Avant l’installation désactivez les cases proposant d’installer des logiciels complémentaires et l’ouverture automatique des documents téléchargés. Une fois téléchargés, avant toute chose, effectuez une analyse antivirus. Chaque système d’exploitation, application ou logiciel contient des vulnérabilités. Découvertes, elles sont corrigées dans les mises à jour de sécurité qu’il est nécessaire d’installer. De nombreux utilisateurs n’effectuent pas ces mises à jour : les failles sont ensuite exploitées par des personnes malveillantes. La solution la plus simple est de mettre en place des mises à jour régulières et automatiques. Vous gagnerez en productivité par la délégation de ces tâches chronophages. Vous pouvez aussi faire appel à un service professionnel qui gèrera l’ensemble de vos mises à jour de façon automatique et sécurisée.

Rédiger une charte informatique
Rédigez une charte informatique pour déterminer les droits et les obligations d’utilisation du système informatique pour cadrer le comportement des utilisateurs et prévenir les abus.

Désigner un référent
Choisissez un référent pour l’informatique dans votre PME qui est sensible aux enjeux de la sécurité. La cybersécurité peut aller encore plus loin. Face à la complexité des menaces, chaque entreprise a intérêt à se doter d’une politique de sécurisation de ses systèmes d’information. Déployée par un professionnel, une politique de cybersécurité peut même devenir un facteur de productivité, de compétitivité et de croissance pour les PME. En attendant, éteignez votre ordinateur pendant les périodes d’inactivité prolongée (nuit, weekend, vacances,…), cela aussi réduit les risques ! (par Pedro Sousa, pdg de Plenium)

Durant les vacances, sécurisez vos connexions wifi, smartphone, tablette et ordinateur

Vous allez partir en vacances ? Pensez à sécuriser votre téléphone, votre tablette, votre ordinateur portable des regards indiscrets. Voici quelques astuces.

Comme le rappel ZATAZ.COM, avant votre départ, pensez à vous créer un compte électronique dédié uniquement à vos vacances. Ainsi, à la fin de votre séjour, de retour à votre domicile, au bureau, ce compte éphémère pourra être mis en sommeil, jusqu’à vos prochains congés. Si vous n’avez pas le choix, et que vous devez utiliser un de vos comptes emails habituels, achetez un accès VPN. Certaines sociétés, comme HideMyAss, proposent d’acquérir un abonnement d’un mois, le temps de votre déplacement. Un VPN sécurisera vos connexions et les contenus que vous consultez (mails, sites Internet, …).

Méfiez-vous aussi de votre chambre d’hôtel. Pensez à chiffrer le disque dur, ou du moins, un espace qui ne sera pas lisible au petit curieux qui accéderez à son contenu. Ne pensez pas que le mot de passe qui protège la session de votre ordinateur est un rempart parfait. Un truc simple pour protéger les fichiers que vous avez sur votre machine, utilisez 7zip, un logiciel gratuit qui permet d’enfermer, dans un conteneur informatique, les fichiers de votre choix. Il suffit de chiffrer le contenu via l’option dédiée. De l’AES-256 efficace en 2 clics de souris.

Pour finir, n’utilisez pas les ordinateurs en libre service proposés dans les aéroports, les hôtels, … pour accéder à vos espaces privés (webmail, …). Cela vous évitera de laisser des données sensibles et privées en accès libre alors que vous pensiez les avoir effacé.

5 étapes pour sécuriser la confidentialité de votre navigateur

Peu importe la source, toutes les statistiques que vous trouverez prouvent que les navigateurs les plus utilisés sont Chrome, Firefox et Internet Explorer. De nombreuses études et tests ont été effectués pour découvrir quel était le plus sûr de tous. Cependant, les tests ne font que démontrer la capacité de chaque navigateur à répondre à un ensemble de tests prédéfinis, habituellement appelé « sécurité de base ». Néanmoins, cette base change radicalement tous les mois.

Résultat, aucun navigateur n’est sûr à 100% même si certains navigateurs réparent les failles de sécurité plus rapidement que d’autres. Alors comment est-il possible d’améliorer son expérience de navigation sur Internet ? C’est dans ce but, que Sorin Mustaca, expert en sécurité IT d’Avira, propose 5 étapes pour une navigation plus sûre, plus confidentielle et peut-être même indirectement, plus rapide:

1.     Maintenez votre navigateur à jour
C’est la première étape de renforcement du navigateur car un navigateur vulnérable peut être exploité par une simple visite de sites Internet sans que vous n’en sachiez rien. Nous vous conseillons de toujours autoriser les mises à jour automatiques et de les installer aussitôt qu’elles sont disponibles. En cas de doute, installez un outil gratuit qui contrôle les failles potentielles de votre logiciel.

2.     Augmenter la sécurité intégrée dans votre navigateur
C’est la deuxième étape de renforcement du navigateur, elle peut être gérer de différentes façons :
– Configurez votre navigateur pour qu’il rejette les cookies tiers
– Désactivez les plugins dont vous n’avez pas besoin comme : ActiveX, Java, Flash etc.
– Permettez la protection anti-phishing et anti-malware déjà intégrée
– Configurez le navigateur pour envoyer la requête « ne pas traquer » à votre historique de navigation
– Chaque fois que cela est possible, désactivez le script actif. Soyez conscient que certains sites web ne pourront tout simplement pas fonctionner sans script (JavaScript en particulier).

Dans Internet Explorer, nombre de ces configurations peuvent être mises en place en changeant les paramètres dans « Sécurité » et « Confidentialité ».
– Activez le bloqueur intégré de pop-up
– Désactivez les anciennes barres d’outils qui ne vous sont plus utiles. (Avez-vous vraiment besoin de voir la météo ou avoir un traducteur à portée de main tout le temps?)

3.     Choisissez avec précaution quel plugin vous allez installer
Les plugins et add-ons permettent d’étendre facilement les fonctionnalités du navigateur. Cependant, il existe de nombreux plugins, même disponibles sur les stores officiels, qui sont, soit, malveillants, soit, qui présentent des problèmes importants en matière de sécurité et de confidentialité. Le plus inquiétant est que pour un utilisateur lambda, ces problèmes ne sont pas visibles jusqu’à ce qu’il soit trop tard. Ayez toujours en tête qu’un plugin a accès à tout ce que vous cliquez et voyez sur le navigateur, y compris toutes vos navigations en connexions cryptées. Le plugin réside dans le navigateur et a accès à tout ce que l’utilisateur voit. Le contenu est donc déjà décrypté et il n’y a absolument rien qui puisse empêcher un plugin malveillant d’envoyer toutes vos informations (bancaires, personnelles, etc.) à une quelconque adresse internet. Jetez toujours un coup d’œil sur le classement donné par d’autres utilisateurs avant d’installer un add-on. De plus, gardez un œil sur les autorisations demandées par l’add-on. Par exemple, si un message instantané d’add-on requiert l’accès à toutes vos URL, cela devrait vous mettre la puce à l’oreille.

4.     Installez les plugins de sécurité et de confidentialité
Il existe des extensions qui améliorent votre sécurité en faisant un filtrage sur les URL que vous visitez ou même de manière dynamique en analysant le contenu des pages internet. C’est le cas d’Avira Browser Safety. Si vous préférez choisir vous-mêmes vos extensions, il en existe de nombreuses qui empêchent le « tracking » et la publicité. Vous pouvez également utiliser Web of Trust (WOT), basé sur le crowdsourcing, il donne un point de vue indépendant sur le statut des URL.

5.     Forcez l’utilisation du protocole SSL quand cela est possible
Des extensions telles que HTTPS Anywhere essaient de choisir une connexion HTTPS au lieu de HTTP quand celle-ci est disponible pour sécuriser votre navigation.

Sécurisons tablettes et smartphones

Sacré Père Noël, il a cassé sa tirelire pour offrir l’objet high-tech à la mode. Une tablette, un smartphone, une montre connectée. Les « vendeurs », les « commerciaux » des marques ont sorti la grosse artillerie pour vanter du matériel qui, avouons-le, fait briller les yeux. Sauf qu’il y a un petit détail loin d’être négligeable que nous avons pu constater lors de 43 rencontres effectuées entre le 17 et le 24 décembre 2013 : seuls 3 souriants vendeurs de rêves nous ont parlé, naturellement, de  sécurité.

Le Béaba
Un PC, une tablette sortis de leur carton ne sont pas propres, attendez par là qu’il faudra penser, lors de votre première connexion à mettre à jour vos machines. Des mises à jour de sécurité, d’applications. Indispensable. Prenons l’exemple de l’iPhone 5 (et ) ou des derniers Samsung. Évitez de voir votre données s’envoler en raison de « faille » usine. Pour les PC, comme pour les MAC, les « updates » concerneront surtout des corrections liées à des vulnérabilités. Pour vous donner une petite idée, regardez la date de fabrication de votre matériel. Si nous prenons un PC fabriqué en septembre, sous Windows 8, plus de 40 mises à jour. Même son de cloche pour un MAC. Pour les tablettes, sous Android, la dernière importante, date de mi-décembre, avec une correction interdisant l’interception possible, en clair par le wifi, des informations de connexion d’un utilisateur.

Le matos
Que le veuille ou non, un antivirus devient indispensable sur PC/MAC, mais aussi tablette et smartphone. Il en existe plusieurs dizaines, gratuites et payantes. Nous nous pencherons plus concrètement, dans quelques instants, sur ceux proposés pour les mobiles. Mais avant ça, revenons sur une option loin d’être négligeable dans la majorité des nouveaux matériels sortis pour Noël : le chiffrement des machines. Certes cela prend un peu de temps, certes cela semble fastidieux d’être obligé de retenir le mot de passe imposé. Mais c’est quelques minutes valent mieux que les heures, voir les jours à courir pour bloquer l’ensemble des comptes (PayPal, DropBox, emails, forums, sites…) que vous aurez enregistré dans le matériel que vous aurez perdu, ou que l’on vous aura volé, piraté. Pour les possesseurs des téléphones le plus vendus du moment, Samsung, il suffit de se rendre dans l’option « Paramètres » > « Sécurité » > « Crypter« . N’oubliez pas, si vous équipez votre machine d’une carte sd, de chiffrer cette dernière. Récupérer cette dernière et la copier est un jeu d’enfant. Chiffrer le contenu rendra inutilisable les informations sauvegardées.

Passons ensuite, comme indiqué plus haut, aux outils de sécurité à installer dans vos précieux. Les antivirus proposés par G Data, McAfee, BitDefender, … font l’affaire. Il détecte les applications pouvant être piégés. Loin d’être négligeable, cette menace est annoncée comme étant la 1ere des malveillances en 2014. Vient ensuite la crainte de la perte/vol de votre matos. La version proposée par Avast! Permet aussi de recevoir une notification quand votre carte SIM a été changée. Pour le contrôle des fichiers que vous auriez à récupérer/stocker dans le Cloud (ce que nous trouvons aberrant et vous invitons à ne pas faire, Ndr) des outils comme VirusBarrier permettent de scanner les documents sauvegardés sur DropBox, iDisk, et WebDAV.

Lookout Mobile Security est une application gratuite qui protège vos appareils iOS ou Android. Il permet de protéger son matériel et, en version payante, de sauvegarder vos contacts en programmant des sauvegardes automatiques. Si vous perdez votre téléphone, Lookout permet de le localiser sur une carte Google – même si le GPS est désactivé. L’application permet aussi d’activer une alarme sonore – même si votre téléphone est en mode silencieux. La fonctionnalité qui permet de verrouiller à distance le matériel est un plus non négligeable.  L’outil BullGuard Mobile Security propose le même type de service. Pour les smartphone, le chien de garde propose aussi une protection pour la carte SIM. IHound propose, lui aussi, de suivre l’appareil à distance. Il permet de verrouiller le téléphone ou la tablette. IHound utilise le GPS de votre téléphone pour le suivi de l’appareil. Il comprend une alarme qui peut être déclenchée par une notification push. Fonctionne même quand le silencieux est enclenché. Sur un appareil Android, vous pouvez également effacer à distance les données et verrouiller votre machine. Application payante.

Les anti-vols

Face à une attaque « physique » de votre téléphone, il existe aussi des parades. Quelqu’un tente de rentrer dans vos données. Pour cela il tombe nez-à-nez avec votre clavier dédié au mot de passe. Les applications GadgetTrak (iOS) et LockWatch (Android) vous enverrons, par eMail, la photo de votre « curieux » et sa position géographique, via une carte Google.

Je finirai par deux outils indispensables pour la sécurité de votre vie numérique: Authy et Google Authenticator. Deux applications qui permettent de générer des clés demandées lors d’une double authentification pour Google, Facebook, Twitter, et même vos sites web (sous WordPress). Sans les chiffres fournis par l’un de ces outils de validation, même votre mot de passe demandé ne servira à rien. Parfait en cas de vol de ce dernier. Nous vous expliquons, pour votre compte Facebook, l’intérêt de la double identification.

Pour finir, pensez aussi à vos connexion web hors vos murs. Une protection VPN est loin d’être négligeable. Elle permet, quand vous êtes en déplacement, de chiffrer, de rendre illisible à une potentielle interception, vos informations (emails, mots de passe, téléchargement, …). Il existe des applications VPN simples et efficaces pour tablettes, smartphones et ordinateurs.

Cette liste est loin d’être exhaustive, elle a surtout pour mission de vous faire tendre l’oreille, de vous inciter à vous pencher sur vos doubles numériques, sur leur sécurité et la maitrise de ces matériels qui n’étaient encore que de la science-fiction, voilà 10 ans. N’oubliez jamais que vous devez contrôler vos machines… et pas le contraire !