Archives par mot-clé : sécurité

Les entreprises privilégient la performance, à la sécurité de leur réseau !

Les administrateurs système avouent désactiver leur firewall pour répondre à la problématique d’une performance applicative insuffisante

McAfee, filiale d’Intel Security, annonce la publication d’un nouveau rapport intitulé ‘Network Performance and Security’. Ce dernier met en évidence les défis auxquels les entreprises sont confrontées lors du déploiement de solutions de protection afin de maintenir une performance optimale de leur infrastructure réseau. Présenté lors de l’événement FOCUS 14 de McAfee, le rapport révèle que plus de la moitié des entreprises désactivent les fonctionnalités de leur firewall (54 %) afin d’éviter une dégradation significative de la performance de leur réseau.

Plus de 500 DSI ont été interrogés dans le cadre de ce rapport et 60 % d’entre eux avouent que la conception de leur réseau a été gouvernée par la sécurité. Paradoxalement, plus d’un tiers ont également admis avoir déjà suspendu certaines options de leur firewall ou refuser la mise en œuvre de certaines fonctionnalités de sécurité juste pour augmenter la performance de leur réseau.

« Il est regrettable que la désactivation d’importantes propriétés de pare-feu commence à devenir une pratique courante en raison de problèmes de performance », déclare à Data Security Breach Thierry Bedos, Managing Director France de McAfee, filiale d’Intel Security. « Chez McAfee, nous trouvons cela inadmissible et estimons que les entreprises ne devraient tout simplement pas à avoir à choisir entre sécurité et performance réseau. »

Selon le rapport, les fonctionnalités les plus couramment désactivées par les administrateurs réseau sont l’analyse en profondeur de paquets (DPI), l’anti-spam (29 %), l’anti-virus (28 %) et l’accès au VPN (28 %). Le DPI, option la plus souvent désactivée (31 %), assure la détection d’activité malveillante dans le réseau et prévient des intrusions en bloquant le trafic visé avant que des dommages se produisent. Il est une composante essentielle d’une défense efficace contre les menaces, ainsi qu’un élément clé des firewalls de prochaines générations, qui représentent aujourd’hui 70 % des achats de pare-feu1.

« Quand j’entends que les directeurs de systèmes d’information sont contraint de suspendre partiellement leur système de sécurité, qu’ils ont payé, en raison de baisse de performance réseau, cela me dérange », commente Ray Murer, Chief Technology Officer – Perket Technologies à datasecuritybreach.fr. « Pourquoi devraient-ils négliger la sécurité au nom de la performance ? »

De nombreuses entreprises choisissent d’arrêter leur DPI en raison des exigences de débit élevé qu’il impose aux ressources réseau. Selon le cabinet d’études Miercom, un DPI pourrait dégrader jusqu’à 40 % les performances de débit d’une entreprise2, en fonction de la solution en place. D’après les tests réalisés par Miercom, McAfee Next Generation Firewall est compatible avec une activation de l’ensemble des fonctionnalités de sécurité et permet ainsi de favoriser et de maintenir une performance haut débit optimale. Les autres produits du marché testés présenteraient 75 %, voire plus, de dégradation des performances des outils de sécurité (DPI, anti-virus et contrôle applicatif)2.

« Avec le nombre de violations de données identifiées, en augmentation de plus de 200 % par rapport à l’année précédente, il n’a jamais été autant capital pour les entreprises d’adopter les mesures de protection avancées proposées aujourd’hui par les firewalls de nouvelle génération3 », poursuit Thierry Bedos. « Chez McAfee, nous souhaitons faciliter le déploiement et l’usage de technologies de sécurité, à leur potentiel maximal, pour éviter aux entreprises de sacrifier leur productivité. »

[1]  Gartner finding cited in “Next Generation Firewalls and Employee Privacy in the Global Enterprise,” SANS Institute, September 21, 2014.

[2] “Throughput and Scalability Report, McAfee NGFW 5206, v5.8,” Miercom, October 9, 2014.

[3] Verizon, 2014 Data Breach Investigations Report (DBIR).

Sortir du brouillard : l’IAM depuis le Cloud (partie 2)

Dans son article précédent, Kevin Cunningham de chez SailPOint a présenté la façon dont l’IAM peut aider à gérer les applications SaaS et les applications sur site (partie 1). Il est également important de comprendre comment les solutions IAM elles-mêmes peuvent être mises en œuvre « as-a-service ». L’adoption croissante des applications Cloud a ouvert la voie à l’IAM-as-a-service (IDaaS), une nouvelle approche capable d’accroitre l’agilité de l’entreprise, de générer plus rapidement de la valeur, tout en réduisant les coûts d’exploitation. Lire la partie 1/2

Le fait est que l’IAM a pris du retard par rapport à d’autres développements logiciels en mode SaaS en raison des problématiques liées à la sécurité et à la complexité de la gestion des applications sur site depuis le Cloud. Les entreprises ont ainsi besoin de peser les avantages et les inconvénients des deux modèles : « sur site » et « IDaaS », mais avec la disponibilité des solutions IDaaS qui répondent aux problématiques de sécurité, de disponibilité, d’évolutivité et de performance des entreprises qui souhaitent franchement aller dans le Cloud, ces dernières ont désormais une solution viable.

Est-ce que l’IDaaS est fait pour votre entreprise ?
Où est-ce que votre entreprise se place dans le spectre de l’IDaaS ? Pour vous aider à savoir si votre entreprise est prête pour l’IDaaS, voici 3 points clés pour évaluer vos besoins :

1) Est-ce que l’utilisation des technologies SaaS/Cloud est généralisée dans l’entreprise ?
Il s’agit de savoir si votre entreprise utilise le SaaS/Cloud et ce qu’elle en fait et si tel est le cas, de savoir si cela est une alternative efficace comparée aux applications sur site. Si la réponse est oui, alors l’IDaaS pourrait être une bonne option. Il y a toutefois des entreprises où cela n’est pas le cas, en particulier dans les secteurs fortement réglementés. Par contre, si l’entreprise observe une position prudente envers le SaaS ou les environnements système stratégiques, alors l’IDaaS n’est probablement pas le bon choix. Sachant que l’IAM est un élément clé de l’infrastructure critique, ce n’est probablement pas le bon moment d’opter pour le SaaS.

2) Est-ce que réduire les coûts de déploiement et de maintenance est plus important que la capacité à adopter une solution pour répondre à vos processus métier ?
De nombreuses entreprises disposent d’infrastructures et d’applications métier complexes, et leur préférence va pour une solution IAM adaptée et déployée sur site car elles peuvent configurer la solution qui correspond au mieux à leur processus de management des identités existants. Et tandis que l’IDaaS fournit des options de configuration, il ne dispose pas du niveau de complexité et de personnalisation, propre aux projets IAM. Il s’agit alors d’examiner si le compromis est la bonne solution – la simplicité de déploiement et un coût total de possession réduit dans la durée – ou une solution adaptée à vos besoins métier spécifiques. Si vous êtes prêts à faire l’impasse sur les processus d’identité existants pour vous conformer à une approche plus standardisée, alors l’IDaaS est peut être fait pour votre entreprise.

3) Est-ce que le mode SaaS devient un standard dans votre entreprise ?
Il a été prouvé que les applications SaaS offrent de nombreux avantages pour les cadres dirigeants, y compris le fait de générer plus rapidement de la valeur, une facilité d’utilisation, et une réduction des coûts d’exploitation et de maintenance. Grâce à ces nombreux avantages, nous commençons à voir des équipes IT chargées d’étudier la version SaaS chaque fois qu’elles évaluent et acquièrent un nouveau logiciel. Si c’est le cas avec l’IAM, assurez-vous d’évaluer de véritables offres SaaS qui fournissent la solution de bout-en-bout dont votre entreprise a besoin ; car bon nombre des solutions disponibles sont tout simplement une version hébergée d’une solution IAM sur site, qui ne fournit pas les avantages promis par le SaaS.

L’IAM joue un rôle essentiel dans les problématiques de sécurité et de conformité dans le Cloud en fournissant une approche centralisée et globale de la gestion des accès à toutes les applications de l’entreprise. Peu importe que vous déployiez une solution sur site ou as-a-service, l’IAM peut vous aider à vous assurer que votre entreprise dispose des bons contrôles en place, pour, en définitive, protéger les actifs et gérer les risques de l’entreprise.

La difficulté croissante des directions informatiques à protéger leur entreprise

90% (81% en France) des DSI et Directeurs Informatiques estiment que la protection de leurs entreprises est une mission de plus en plus difficile, selon une nouvelle étude de Fortinet.

La forte pression émanant des directions générales pour sécuriser leur entreprise a augmenté au cours des 12 derniers mois (de près d’un tiers pour le panel mondial et de 11% en France), faisant de la sécurité une priorité et une préoccupation clé sur les autres projets de l’entreprise. Cet état des lieux résulte d’une enquête indépendante commanditée par Fortinet sur plus de 1600 décideurs informatiques, en grande partie d’entreprises de plus de 500 collaborateurs. Toutes les personnes interrogées provenaient du panel en ligne de l’entreprise d’étude de marché Lightspeed GMI.

Parmi les décideurs IT qui subissent la pression la plus élevée de la part de leur direction, 63% (52% en France) déclarent avoir abandonné ou retardé au moins un nouveau projet métier en raison des préoccupations liées à la sécurité informatique.

Les plus grands défis rencontrés par les décideurs IT pour garder leurs entreprises sécurisées sont les menaces toujours plus complexes et fréquentes (citées par 88% du panel mondial) et les nouveaux besoins liés aux technologies émergentes de type Internet des Objets et biométrie (88% du panel mondial). En France, les menaces toujours plus complexes et fréquentes (85%) et les besoins liés au BYOD et à la mobilité des salariés (82%) sont les plus grands défis rencontrés par les décideurs IT français.

La majorité des décideurs IT a été incitée à prendre des mesures pour assurer la confidentialité des données (90% au niveau mondial et français) et sécuriser le Big Data (89% du panel mondial et 88% en France). Dans la majorité des cas, ces initiatives ont abouti à de nouveaux investissements en sécurité au niveau mondial tandis qu’en France, cela conduit à repenser la stratégie de sécurité de l’entreprise.

Les directions générales donnent la priorité à la sécurité
La prise de conscience qui s’opère au niveau des directions générales vis-à-vis de la sécurité informatique – et les pressions et implications qui en découlent – est citée comme important vecteur de complexité dans le travail des décideurs IT. Les trois-quarts des personnes interrogées (77% en France) évaluent la prise de conscience de leurs dirigeants comme “élevée” ou “très élevée”, contre seulement 50% (51% en France) il y a un an.

L’enquête révèle également que 53% (45% en France) des décideurs IT interrogés déclarent avoir ralenti ou abandonné un projet de nouvelle application, de nouveau service ou autre, par crainte de cyber-menaces. Ce chiffre monte à 63% (52% en France) pour ceux qui déclarent subir une très forte pression de leur direction générale en matière de sécurité IT.

Les applications et stratégies de mobilité sont les initiatives qui sont estimées comme les plus problématiques, suivies par celles liées au cloud au niveau mondial et en France.

Les préoccupations en matière de sécurité s’intensifient avec les technologies émergentes
Pour 88% du panel mondial, la mission des décideurs IT devient plus difficile du fait de la complexité et la recrudescence des menaces APT, attaques DDoS et autres cyber menaces, ainsi que des nouvelles tendances technologiques telles que l’Internet des Objets (Internet of Things ou IoT) et la biométrie. En France, les menaces toujours plus complexes et fréquentes (85%) et les besoins liés au BYOD et la mobilité des salariés (82%) sont les plus grands défis rencontrés par les décideurs IT français.

Les attentes sont fortes, dans tous les secteurs d’activité, vis-à-vis de la biométrie, avec 46% des répondants qui déclarent que cette technologie est déjà d’actualité dans leur entreprise, ou le sera au cours des 12 prochains mois contre seulement 29% en France. Deux tiers des personnes interrogées estiment déjà disposer des outils qui permettront de gérer la biométrie en toute sécurité (contre 56% en France). Parmi le tiers (44% en France) des répondants qui estiment aujourd’hui ne pas avoir les outils prêts pour sécuriser la biométrie, un tiers du panel mondial et français estime qu’ils rencontreront des difficultés pour le sécuriser dans le futur.

La sécurité du Big Data  et la confidentialité des données conduisent à une autre approche
Les problématiques en matière de confidentialité des données incitent à un plan d’actions, avec 90% des décideurs IT mondiaux et français qui pensent faire évoluer leur approche en matière de stratégie de sécurité. Parmi eux, 56% (50% en France) sont enclins à investir davantage en ressources financières et humaines pour répondre à ces défis, tandis que 44% (50% en France) déclarent plutôt vouloir repenser leur stratégie existante.

Le Big Data et le traitement analytique des données sont considérés par 89% des répondants comme un facteur de changement d’approche en matière de stratégie de sécurité informatique, et incitent 50% des répondants à planifier de nouveaux investissements. En France, 88% des répondants pensent que le Big Data est un facteur de changement d’approche en matière de stratégie de sécurité informatique, incitant 40% à prévoir de nouveaux investissements.

Les secteurs d’activité les plus enclins à investir dans la sécurité informatique sont les services financiers (53%) et celui des technologies/télécommunications (59%). En France, les entreprises issues des technologies/télécommunications (75%) et de la distribution (67%) sont les secteurs d’activité les plus enclins à investir dans la sécurité informatique. L’étude souligne également que ce sont les plus grandes organisations qui sont les plus susceptibles d’investir.

Interrogés sur le fait d’avoir obtenu suffisamment de ressources humaines et financières pour la sécurité informatique au cours des 12 derniers mois, quatre décideurs sur 5 répondent positivement (75% en France). D’autre part, 83% (73% en France) des répondants estiment que ces ressources seront suffisantes au cours des 12 prochains mois. La majorité des secteurs d’activité s’inscrit dans cette tendance, avec, par exemple : 74% (au cours des 12 derniers mois) et 77% (pour l’année à venir) dans le secteur public et respectivement 80% et 81% dans la distribution. Les services financiers sont les mieux lotis (87% pour les 12 prochains mois), en dépit d’un léger fléchissement (89% au cours des 12 mois précédents) au niveau mondial.

En France, seul le secteur de la construction et de l’industrie s’inscrit dans cette tendance passant de 66% (au cours des 12 derniers mois)  à 74% (pour l’année à venir). Les secteurs des technologies/télécommunications, de la distribution et des services financiers s’attendent à avoir autant de ressources financières et humaines qu’au cours des 12 derniers mois. Le secteur public ainsi que celui de la grande consommation sont en déclins en passant respectivement de 73% à 53% et de 100% à 50%.

Un réel besoin de cyber-résilience
« Alors que la sécurité IT devient une priorité pour les dirigeants, elle reste néanmoins associée à d’autres challenges qui pèsent lourdement sur les professionnels de l’informatique et remettent en cause la capacité de certaines organisations à innover tout en assurant leur sécurité », explique Patrice Perche, Senior Vice Président, en charge des opérations commerciales et de support à l’international chez Fortinet. « Ces organisations doivent agir dès aujourd’hui pour maîtriser l’impact de menaces en forte croissance et se focaliser davantage sur la sécurité IT afin de renforcer leur résilience face aux cybermenaces ».

L’étude Fortinet Security Census 2014 a été menée par Lightspeed GMI, un acteur indépendant des études de marché. Cette opération a porté sur un panel de 1,610 décideurs informatiques, essentiellement des DSI, Directeurs Techniques, Directeurs/Responsables informatique, évoluant en grande partie dans des entreprises de plus de 500 collaborateurs. *8% des personnes interrogées proviennent d’entreprises comptant de 100 à 500 collaborateurs. 15 pays ont participé à cette enquête : Australie, Allemagne, Brésil, Canada, Chine, Colombie, Corée, Espagne, Etats-Unis, France, Inde, Italie, Japon, Mexique et Royaume-Uni.

87% des entreprises françaises pensent courir un risque de sécurité actuellement, mais 70% ne changent rien

Plus de 80% des responsables IT pensent qu’un vol de données interne est probable dans leur entreprise, mais environ 60% déclarent ne pas avoir de procédure stricte dans ce domaine.

LogRhythm, spécialiste de la Security Intelligence, annonce les résultats d’une étude* menée auprès de responsables IT d’entreprises françaises, à propos de leur perception de la sécurité au sein de leurs entreprises, et notamment des risques en interne. D’après l’enquête, les entreprises françaises ont bien conscience des dangers liés au vol de données et des conséquences pour leurs organisations. Toutefois, il semble que les bonnes intentions ne soient pas mises en pratique et qu’une remise en question des systèmes et stratégies de sécurité en place ne soit toujours pas à l’ordre du jour.

En effet, selon l’étude, 87% des entreprises françaises pensent qu’elles courent peut-être un risque de sécurité actuellement, dont 34,5% des répondants qui en sont persuadés. Pourtant, 70% des organisations indiquent n’avoir rien changé à leurs systèmes de sécurité suite aux récentes affaires de vol de données, alors que 58% d’entre elles se disent plus inquiètes sur ce sujet suite aux révélations de Snowden.

Bien que cette dernière affaire ait été érigée en parfait exemple de ce que l’on peut craindre pour les données confidentielles de la part d’employés ou de partenaires mal intentionnés, l’étude révèle que les entreprises y attachent moins d’importance qu’aux menaces externes : 52% des répondants pensent que les menaces les plus sérieuses pour les informations confidentielles de leur entreprise viennent de l’extérieur contre 37% qui jugent les menaces internes comme étant plus importantes.

Pourtant, les risques associés sont bien identifiés : lorsqu’on interroge les responsables IT sur la possibilité que des employés accèdent à des données sensibles au sein du système d’information, 81% pensent que cela est tout à fait probable, dont 23,5% déclarant que cela était déjà arrivé.

Les menaces internes jugées moins importantes
Si 41,5% des entreprises disposent de procédures contre le vol de données confidentielles en interne, environ 34,5% des personnes interrogées pensent que les systèmes en place ne sont soit pas appliqués, soit pas satisfaisants. 15% ne savent même pas si ce type de procédure existe dans leur entreprise et 9% confirment ne pas en avoir du tout. Parmi ces derniers exempts de tout contrôle de sécurité, 15% des personnes interrogées pensent que cela n’est tout simplement « pas nécessaire ».

En ce qui concerne les procédures de sécurité élémentaires, l’étude montre qu’environ 30% des personnes interrogées ne procèdent toujours pas au renouvellement de leurs mots de passe. Parmi eux, il y a ceux qui savent que c’est nécessaire mais qui ne le font pas (24%) mais aussi 5,5% des répondants qui estiment que cela ne sert à rien !

« Les entreprises françaises sont sensibilisées aux risques majeurs de sécurité mais les bonnes pratiques ne sont toujours pas appliquées, confie Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm. Les données des entreprises ne sont peut-être pas aussi critiques que celles de la NSA, il n’en reste pas moins étonnant que les employés ne soient pas plus impliqués par la direction sur cette pratique essentielle pour la sécurité de leurs données alors que la menace est bien réelle. Il est très surprenant que des procédures aussi basiques que le renouvellement régulier de mot de passe ne soient pas encore systématiquement appliquées. »

Selon cette étude, le manque d’information, mais aussi d’implication de la part des directions à se saisir de ces problématiques, engendre une sorte de laisser-aller sur la question de l’accès aux données, surtout en interne. Malgré les inquiétudes justifiées, les stratégies et procédures en place restent insuffisantes à ce jour. La formation des employés, l’application systématique des bonnes pratiques liées au contrôle d’accès et à la gestion des mots de passe est aujourd’hui indispensable pour initier une vraie stratégie de sécurité des données. Sans compter que ces mesures doivent elles-mêmes être complétées par d’autres procédures régissant l’ensemble des questions relatives à la protection des ressources de l’entreprise, que ce soit en matière de contrôle d’accès, ou de sanction des employés en cas de manquement ou de mauvaise application des règles de sécurité.

Malgré l’augmentation du nombre de failles de données, auxquelles viennent s’ajouter le vol et la perte de plus de 2 milliards d’enregistrements de données à travers le monde depuis 2013, les entreprises restent convaincues que les technologies de sécurité périmétrique sont efficaces pour protéger leurs données. Telles sont les conclusions d’une nouvelle étude publiée par SafeNet, Inc., un des leaders mondiaux de la protection des données.

Réalisé par SafeNet, l’indice 2014 de confiance dans la sécurité des données (SafeNet Data Security Confidence Index) indique que pour près de trois quarts (74 %) des décideurs informatiques, le firewall de leur entreprise est efficace contre l’intrusion d’utilisateurs non autorisés (84% pour les répondants français). Cependant, près de la moitié (44 %) admettent que ce firewall a connu une défaillance ou ignorent si une telle situation s’est produite (les français étant eux 34% à admettre une faille et 13% à ignorer si leur entreprise y a été confrontée). De plus, plus de 60 % d’entre eux ne sont pas convaincus que les données seraient en sécurité si des utilisateurs non autorisés réussissaient à forcer la sécurité périmétrique de leur réseau (70% pour les répondants français).

Détail des chiffres par pays accessible ici.

Investissements IT : sécurité périmétrique plutôt que défense en profondeur
Les résultats de l’étude montrent que malgré le nombre croissant des failles réseau et des pertes d’enregistrements de données, les entreprises continuent d’investir davantage dans les technologies de sécurité périmétrique et de lutte contre les failles de sécurité qu’en faveur des stratégies de défense en profondeur, qui incluent l’authentification multi-facteurs (MFA) et le chiffrement fort des données. Selon l’indice BLI de SafeNet (Breach Level Index), plus de 375 millions d’enregistrements de données clients ont été volés au cours du seul premier semestre 2014, soit une hausse de 31 % par rapport à la même période de l’année précédente.

L’étude révèle par ailleurs que pour 93 % des décideurs informatiques, les investissements effectués par leur entreprise en faveur de la sécurité périmétrique ont augmenté ou sont restés identiques au cours des cinq dernières années (pour 48% des français ce budget en sécurité périmétrique a augmenté), représentant en moyenne 9 % du budget informatique actuellement consacré à l’achat, au déploiement et à la maintenance des technologies de firewall (8% du budget des français). Pour les douze prochains mois, les personnes interrogées indiquent que cette tendance devrait continuer, les dépenses consacrées aux firewalls ne variant pratiquement pas (9,05 %).

Deux tiers des décideurs informatiques (67 %) admettent en outre ne pas envisager de réduire les investissements consacrés aux défenses périmétriques — technologie de firewall, par exemple — pour les remplacer par d’autres technologies (85% en France). D’ailleurs, s’ils devaient abandonner une méthode de protection des données sensibles, les responsables informatiques déclarent en majorité qu’ils supprimeraient les solutions de détection d’anomalies (49 % au niveau mondial, 38% en France) ou de sécurité des données telles que le chiffrement (24 % monde, 28% France), plutôt que la sécurité périmétrique (15 % monde, 21% France).

Une confiance limitée quant à la capacité de prévenir les failles de sécurité et repousser efficacement les cybercriminels

De plus, malgré la confiance élevée qu’ils accordent à la sécurité périmétrique et à son efficacité, les décideurs informatiques se déclarent moins convaincus par la capacité de leur entreprise à protéger les données contre des menaces de sécurité en plein essor. L’étude souligne les points suivants :

·        Plus de la moitié (60 % mondialement, 70% en France) des responsables doutent que les données soient en sécurité si des utilisateurs non autorisés parviennent à franchir le périmètre de sécurité de leur réseau.

·        Près de la moitié (41 % mondialement, 44% en France) d’entre eux pensent que des utilisateurs non autorisés peuvent accéder à leur réseau.

·        Un tiers (34 % mondialement, 35% en France) des décideurs informatiques se disent moins confiants quant à la capacité de l’industrie de la sécurité à détecter les menaces de sécurité et à les contrer.

·        Un quart des décideurs informatiques (25 % mondialement, 22% en France) admettent qu’en tant que client de leur propre entreprise, ils ne lui feraient pas confiance pour stocker et gérer leurs données personnelles.

·        Plus de la moitié (53 % mondialement, 41% en France) estiment que les grandes failles de données annoncées dans la presse ont amené leur entreprise à revoir sa stratégie de sécurité.

« Les conclusions de cette étude soulignent quelques contradictions intéressantes entre la façon dont la sécurité des données est perçue et la réalité », a déclaré Tsion Gonen, directeur de la stratégie de SafeNet. « Il est en revanche inquiétant qu’un si grand nombre d’entreprises continue à mettre tous leurs œufs dans le même panier. Bien que la sécurité périmétrique ne représente qu’une simple couche de protection, bon nombre d’entreprises l’utilisent comme socle de leur stratégie de sécurité de données alors que dans la réalité, ce périmètre n’existe plus. Le simple volume de failles de données indique à lui seul que si un cybercriminel veut pirater le système ou voler des données, il trouvera le moyen d’arriver à ses fins. C’est pourquoi les entreprises doivent se concentrer sur le plus important, c’est-à-dire la protection des données. Elles doivent à cet effet définir des stratégies de sécurité plus intelligentes et associer les technologies de défense en profondeur et d’authentification multi-facteurs tout en intégrant directement la sécurité dans les données grâce au chiffrement. »

Le Cloud en confiance : oui, c’est possible !

Volontaires, de plus en plus, pour adopter des solutions dans le cloud, de nombreuses entreprises restent freinées par l’absence de clarté autour de la sécurité de leurs données, en particulier les plus sensibles. Pourtant, la souplesse et la simplicité peuvent parfaitement cohabiter avec la sécurité dans le cloud.

Certains le qualifiaient de « buzzword ». Il faut dire qu’une déferlante sans précédent s’est abattue sur la presse spécialisée – et même un peu plus – autour du cloud. Mais force est de constater qu’au-delà de l’effet de mode, le cloud s’est bel et bien installé durablement sur le marché de l’IT en général, et dans les systèmes d’information des entreprises en particulier.

Il faut dire que le cloud tient ses promesses. Comparativement à une infrastructure en propre gérée par l’entreprise, le cloud est moins cher, plus souple et beaucoup plus simple : externalisée, l’infrastructure est louée et totalement administrée par le fournisseur de services cloud. Et s’adapte précisément aux besoins de l’entreprise, sans nécessiter d’investissements lourds au départ.

Seulement voilà, le cloud rencontre encore, dans de nombreux cas, un obstacle de taille : le manque de confiance. A tort ou à raison, les entreprises sont encore frileuses à l’idée de stocker et gérer leurs données, notamment les plus sensibles, à l’extérieur du périmètre de leur système d’information. Considérant à ce titre que leur propre système d’information est parfaitement sécurisé, ce qui est loin d’être toujours le cas.

Sensibles ou non : la gestion kafkaïenne des données
Les médias en font leurs choux gras : de nombreuses affaires de vols de données, d’intrusions sur les comptes d’autrui, etc., éclaboussent régulièrement des géants du Web. Apple et les photos de stars volées a été la dernière victime de cet acharnement médiatique. Résultat : les inquiétudes et le manque de confiance persistent. Car outre la protection des données, c’est aussi l’usage qui prime. Et les systèmes de sécurité peuvent être si contraignants qu’ils retardent ou restreignent l’adoption des solutions.

Pour éliminer ce risque, nombreuses sont les entreprises à avoir fait le choix d’un système d’information à deux vitesses. Et ventilé leurs solutions en deux catégories distinctes : celles qui hébergent des données sensibles et qui doivent nécessairement rester sur site d’une part ; et celles dont les données, moins sensibles, peuvent être externalisées vers le cloud d’autre part.

Mais cette gestion dichotomique des données ne va pas sans poser problème. Tout d’abord sur la qualification de la sensibilité des données : en tant que telles, les données d’une entreprise sont toutes plus ou moins sensibles. Et celles qui ne le sont pas pour un département de l’entreprise, peuvent l’être pour un autre.

Ensuite, parce que le système d’information des entreprises est nécessairement poreux, ne serait-ce qu’au travers des échanges avec leur environnement immédiat : clients, partenaires, fournisseurs, etc. Un cloisonnement strict des deux types de données est donc,  complexe et nécessite une classification précise des données.

Un référentiel pour gagner la confiance des entreprises
Conscients de ces questionnements quant à la confiance dans le cloud des entreprises, autant que des enjeux économiques que représente le cloud, des acteurs du secteur se sont réunis autour d’une table pour construire les outils de la confiance dans le cloud. Composé d’éditeurs et d’auditeurs spécialisés, et à l’initiative de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), représentant les pouvoirs publics, le consortium ainsi réuni a récemment publié un référentiel de « qualification de prestataires de services sécurisés d’informatique en nuage ».

L’objectif est clair : proposer un cadre à ces prestataires, et surtout une certification selon les critères de ce référentiel. En particulier autour des questions de sécurité : disponibilité, intégrité et confidentialité des données, mais également traçabilité des données et des actions entreprises.

Une certification qui permet dès lors aux entreprises d’être en pleine confiance auprès d’un prestataire de services cloud certifié : plus aucun besoin de s’interroger sur la sensibilité ou non des données. Si l’entreprise estime qu’une solution cloud est la réponse à son besoin, elle peut l’intégrer à son système d’information en toute confiance. Quels que soient les données, les départements de l’entreprise ou les processus (métiers, commerciaux, administratifs, financiers…) concernés. (Frédéric Fouyet, Directeur de l’Innovation et des produits et RSSI chez Oodrive)

Le pionnier de la cybersécurité automobile Argus lève 4 millions de dollars

Argus Cyber Security, un pionnier de la cybersécurité automobile, a annoncé avoir levé 4 millions de dollars lors d’un premier tour de table. Le tour de table comprenait Magma Venture Partners et Vertex Venture Capital, deux fonds de capital-risque de premier plan, ainsi qu’un groupe d’investisseurs renommés, dont M. Zohar Zisapel.

Les voitures devenant connectées à Internet et aux appareils externes tels que les smartphones, les clés intelligentes, les outils de diagnostic et les autres véhicules, elles sont de plus en plus vulnérables aux cyber-attaques. Ces intrusions malveillantes peuvent compromettre les unités de commande électronique d’un véhicule (ECU), permettant la manipulation du moteur, des freins et des airbags d’une voiture ainsi que d’autres systèmes de sécurité ou composants du véhicule.

Argus propose à l’industrie automobile un système de prévention d’intrusion (IPS) unique, reposant sur des algorithmes brevetés d’inspection de paquets en profondeur (DPI). Il empêche le piratage en temps réel des composants essentiels d’un véhicule et s’intègre de façon transparente à toutes les chaînes de production automobiles. L’IPS d’Argus génère également des comptes-rendus et des alertes de surveillance à distance de la cyber-santé d’un véhicule.

M. Zisapel, cofondateur de RAD Group, valorisé à 1,2 milliard d’USD, est considéré par beaucoup comme l’un des  » pères fondateurs  » de l’industrie israélienne de la haute technologie. Il a cofondé Argus, dont il est président du conseil d’administration. À l’issue de ce tour de table, M. Ran Achituv, commandité de Magma Venture Partners, et M. Yoram Oron, fondateur et commandité de Vertex Venture Capital, ont intégré le conseil d’administration de l’entreprise.

«  Argus permet aux constructeurs automobiles et à leurs fournisseurs de promouvoir l’innovation et la connectivité des véhicules en limitant accroissement des risques pour les personnes et les biens. Ceci permet aux fabricants d’éviter les rappels massifs et coûteux « , indique Zohar Zisapel, cofondateur et président du conseil d’administration d’Argus. «  Je suis enthousiasmé d’avoir rejoint une équipe d’experts chevronnés en cybersécurité. Je suis certain qu’Argus comblera les importantes lacunes de sécurité auxquelles l’industrie automobile est confrontée grâce à sa technologie innovante et robuste. « 

Argus Cyber Consulting Services permet aux constructeurs automobiles de détecter les menaces et de trouver les vulnérabilités dans les éléments en réseau de tous les véhicules. En s’appuyant sur les services d’Argus, l’industrie automobile peut adopter une approche proactive pour éliminer les cyber-menaces dans les modèles existants et à venir.

« Dans un monde de voitures connectées, le piratage automobile est un risque inévitable « , précise Ofer Ben-Noon, cofondateur et PDG d’Argus.  » Argus permet à l’industrie automobile de maintenir la sécurité des passagers en tant que priorité maximale et de répondre aux exigences réglementaires  naissantes de la cybersécurité. Avec la croissance rapide de la demande et des opportunités commerciales, nous utiliserons les fonds investis pour étendre notre offre de produits et notre présence sur le marché. »

Le Wi-Fi peut-il garantir la sécurité de l’Internet des Objets ?

En matière d’Internet des Objets, on se satisfait souvent du fait que le système fonctionne, pourtant, la connexion physique et la sécurité inhérente sont des aspects non négligeables.  Le Wi-Fi est et restera le mécanisme de connexion prépondérant pour L’Internet des Objets, car l’infrastructure permettant de l’exploiter de façon sécurisée existe déjà. Les autres modes de connectivité, tels que le Bluetooth Low Energy, sont moins répandus, et donc plus difficiles à pirater. Chacun a son propre niveau de sécurité, mais nécessite la mise en place d’une infrastructure sous-jacente. Pour permettre le déploiement étendu de L’Internet des Objets grâce au Wi-Fi, il faut s’attaquer à d’importantes problématiques, parmi lesquelles la sécurité des réseaux.

Que ce soit à la maison ou en entreprise, tout le monde utilise un seul et même réseau sans fil et utilise la même clé pré-partagée afin de s’y connecter. Dans ce contexte, la problématique se situe dans le partage répété de cette clé, et donc dans la nécessité de définir le niveau de sécurité adéquat pour les nouveaux périphériques se connectant au réseau afin de ne pas devenir une proie facile pour les pirates.  L’important n’est pas la sécurité du réseau, mais celle des périphériques s’y connectant. Ces périphériques sont en général des appareils low cost, bien plus que les clients Wi-Fi traditionnels, et disposent de bien moins de fonctionnalités pour assurer leur protection et celle du réseau Wi-Fi auquel ils se connectent. Ces appareils doivent être facilement paramétrables, ce qui rend leur piratage plus simple, les identifiants utilisés pour accéder au réseau étant plus vulnérables.

Une équipe de chercheurs du cabinet de conseil Context Information Security a récemment pu confirmer ce risque en cherchant à démontrer la vulnérabilité des systèmes d’éclairage intelligent. En obtenant l’accès à l’ampoule principale, ils ont pu contrôler l’ensemble des ampoules connectées, et ainsi découvrir les configurations réseau des utilisateurs.

Généralement, ces ampoules et autres périphériques se connectent au réseau à l’aide d’une clé pré-partagée. Le problème au sein des réseaux sans fil traditionnels vient justement du fait qu’il n’y a qu’une seule clé : les organisations sont ainsi contraintes à créer un réseau Wi-Fi distinct pour chaque appareil à connecter à l’Internet des Objets. En outre, et comme l’ont démontré les chercheurs du cabinet Context, il est facile de découvrir une clé pré-partagée. Les identifiants étant potentiellement menacés, il apparaît donc logique qu’ils disposent de droits limités sur le réseau. Pourquoi ? La principale problématique avec l’Internet des Objets est la capacité des appareils à enregistrer des identifiants, surtout lorsque l’on considère tout ce que ces informations permettent de faire à l’arrivée, de la gestion de l’éclairage au contrôle autonome de la température par les réfrigérateurs, en passant par les équipements sportifs envoyant des informations personnelles à d’autres terminaux.

Si l’on utilise une clé pré-partagée pour se connecter au réseau, il faut alors que le réseau en question soit verrouillé et que les fonctionnalités de l’appareil soient limitées. En utilisant des clés pré-partagées privées, une organisation peut utiliser différentes clés pour ses différents appareils, et avec des droits spécifiques sur le réseau. Un groupe de clés pourrait ainsi être utilisé pour les accès en mode invité ou le BYOD, tandis qu’un autre pourrait permettre la gestion des bâtiments en s’appuyant sur une stratégie de pare-feu très contrôlée autorisant uniquement les changements effectués par les systèmes automatisés, et refusant ceux provenant de toute autre personne connectée au réseau. Les systèmes d’éclairage pourraient être contrôlés par un autre groupe de clés, avec éventuellement une stratégie de pare-feu propre permettant aux employés d’ajuster l’éclairage en salles de réunion, mais pas dans les couloirs.

Cette approche permettrait aux utilisateurs de disposer de milliers de clés pré-partagées différentes pour un seul réseau et avec différents profils de connexion, y compris via des pare-feu et des réseaux locaux virtuels. Dans ce scénario, si l’intégrité d’une ampoule venait à être compromise, la menace ne pourrait s’étendre aux autres, car la clé pré-partagée utilisée pour l’une n’aurait pas les privilèges nécessaires pour cela. La menace liée à cette compromission serait par conséquent limitée.

Il est également absolument essentiel que les informations d’identification utilisées n’aient qu’une faible utilité pour tout individu piratant le réseau. Il est donc nécessaire de disposer d’une méthode d’authentification et d’identification des appareils simple et sécurisée. En autorisant les périphériques sur le réseau et en leur fournissant un accès approprié à leur catégorie, les organisations doivent pouvoir gérer la menace une fois l’intégrité des identifiants compromise, afin de s’assurer qu’ils ne présentent qu’une valeur limitée pour toute personne s’en servant pour  découvrir et pirater le réseau.

La méthode la plus évidente pour cela serait de placer les certificats sur les appareils afin de bien les authentifier, mais il s’agit là d’une approche coûteuse et complexe. Pour éviter ces inconvénients, les entreprises devraient alors préférer l’utilisation de différents réseaux pour leurs différents types d’appareils, ce qui représenterait un gaspillage de temps et de ressources, davantage de complexité pour l’utilisateur, ainsi qu’un ralentissement des performances globales. Il faut donc pouvoir surmonter cet obstacle plus simplement afin de s’assurer que tous les périphériques soient gérés de façon sécurisée depuis un point d’accès. En matière de Wi-Fi, l’Internet des Objets est le BYOD d’aujourd’hui, et les organisations rencontrent exactement les mêmes problèmes sur le plan de  la sécurité.

À mesure que ce système s’affirmera comme la nouvelle vague en matière de réseaux, l’industrie trouvera un certain nombre de solutions afin de résoudre ces problèmes. Mais il faut cependant garder en tête que l’Internet des Objets va changer et se développer, et que dans ce contexte, il  sera difficile de s’assurer que l’infrastructure puisse faire face à différents scénarios en même temps. Bien que l’on s’intéresse aujourd’hui aux failles de sécurité de l’Internet des Objets en matière de gestion des bâtiments et d’interfaces personnelles d’accès au réseau, il reste cependant un large éventail de scénarios relevant également de l’Internet des Objets dans d’autres secteurs, tels que l’automobile et les infrastructures. Une fois que nous aurons pris en compte ces types de scénarios, les problématiques en matière de sécurité se feront plus nombreuses, et les solutions permettant d’y faire face revêtiront un caractère de plus en plus urgent. (Par Benoit Mangin, Directeur Commercial Europe du Sud, Aerohive pour datasecuritybreach.fr)

Vidéo surveillance sans fil pour la Xbox de Microsoft

Lors de l’IFA, plus grand salon d’appareils électroniques grand public au monde, la société Smartvue Corporation a présenté un matériel assez étonnant pour la console de salon de Microsoft, la XBOX.

L’objet se nomme Homevue, une solution de vidéo surveillance dans le cloud conçue pour la boite verte du géant américain. Un système de caméra sans fil plug and play. Il enregistre des vidéos HD dans le cloud qui peuvent être visionnées directement à partir de la Xbox, ou à distance depuis n’importe quel ordinateur, smartphone ou tablette sans frais mensuels supplémentaires – même lorsque la Xbox est éteinte. « Les joueurs peuvent effectuer une partie tout en gardant un œil sur leur bébé endormi, ou en vérifiant qui est à la porte d’entrée » indique l’entreprise. Homevue sera disponible à partir du mois de janvier 2015. Il est possible de pré-commander via Kickstarter pour 99 $.

Les services cloud de plus en plus convoités par les pirates

De plus en plus d’entreprises utilisent des services cloud de stockage tel que Dropbox, Onedrive, Google Disk,… sans vraiment se rendre compte du risque pour la sécurité de leurs données.

Alors que les services de stockage de fichiers dans le cloud ont depuis longtemps les faveurs des internautes, leur confort indéniable s’accompagne toutefois d’un certain nombre de risques. C’est ainsi que de nombreux utilisateurs conservent dans le cloud des copies numérisées de leur passeport et d’autres documents, bien que parfois des vulnérabilités dans le service compromettent la sécurité de leurs données personnelles. Cependant, l’utilisation de technologies cloud à des fins autres que celles pour lesquelles elles ont été conçues peut être encore plus dangereuse. Par exemple, il est facile de trouver des instructions permettant aux possesseurs d’ordinateurs désireux de mettre à profit ces services de piloter et de surveiller à distance leurs machines, de commander les téléchargements de type Torrent, etc. En appliquant ces recommandations, les utilisateurs créent involontairement différentes failles de sécurité facilement exploitables par des cybercriminels, en particulier dans le cadre d’attaques ciblées.

Scenario d’attaque
Des cybercriminels prennent le contrôle de l’ordinateur portable d’un employé via un logiciel client Dropbox installé sur celui-ci, notamment en dehors du bureau. Si des documents infectés sont placés dans des dossiers cloud, Dropbox les recopiera automatiquement sur tous les équipements connectés au réseau de l’’entreprise et utilisant le même service. Dropbox n’est pas le seul dans ce cas : – toutes les applications répandues de stockage dans le cloud – Onedrive (anciennement Skydrive), Google Disk, Yandex Disk, etc. – offrent des fonctions de synchronisation automatique. Des attaques à prendre au sérieux ? Les experts de Kaspersky Lab, éditeur de solution de sécurité informatique, ont cherché à savoir si les cybercriminels se servent effectivement de ces outils pour diffuser des malwares.

Programmes malveillants via le Cloud
Après avoir collecté des données auprès d’utilisateurs volontaires, les analystes ont déterminé qu’environ 30 % des programmes malveillants présents dans des dossiers cloud sur des ordinateurs domestiques y ont été importés par des mécanismes de synchronisation. Pour les utilisateurs au sein d’une entreprise, ce chiffre atteint 50 %. Il faut noter une certaine différence entre les utilisateurs en entreprise et à domicile : les premiers se caractérisent davantage par la présence de fichiers infectés Microsoft Office dans leurs dossiers cloud tandis que, chez les seconds, ces documents bureautiques cohabitent souvent avec des applications Android malveillantes. « Une soigneuse analyse des statistiques montre que le risque d’infection d’un réseau d’entreprise par le stockage dans le cloud est aujourd’hui relativement faible : un utilisateur sur 1000 risque de voir son ordinateur infecté sur une période d’un an. Cependant, il ne faut pas oublier que, dans certains cas, un seul ordinateur contaminé peut aboutir à une attaque touchant l’ensemble du réseau et causant des dommages considérables. La configuration du pare-feu de façon à bloquer l’accès à ces services est une procédure fastidieuse, qui nécessite des mises à jour constantes de ses paramètres », commente Kirill Kruglov, chercheur senior chez Kaspersky Lab.

En pareil cas, il est habituellement recommandé aux administrateurs système d’installer, sur chaque poste de travail du réseau, une suite logicielle de sécurité aux fonctionnalités complètes : protection antivirus heuristique et comportementale, contrôle d’accès (HIPS), contrôle du système d’exploitation (System Watcher ou Hypervisor), protection contre l’exploitation des vulnérabilités, etc. Kaspersky Lab conseille de tirer parti de la technologie innovante Application Control intégrée à sa solution d’entreprise, qui peut bloquer l’exécution de tout logiciel non explicitement autorisé par l’administrateur système. Application Control protège le réseau de l’entreprise contre les attaques ciblées via Dropbox, sans perturber le travail normal des utilisateurs.

On ne peut que conseiller aussi le chiffrement des informations que les employés souhaitent laisser sur le cloud, évitant ainsi une lecture non autorisée.

BYOD, sous le sable les malwares !

C’est la période de l’année où les gens commencent à réserver leurs vacances d’été, à partir au soleil… et pour les employeurs, il est indispensable de s’assurer que leurs politiques de BYOD sont suffisamment rigoureuses pour protéger leur entreprise contre tout vol potentiel de données, alors que leurs équipes seront au soleil pendant une quinzaine de jours.

L’équilibre entre le travail et la vie sociale est devenu plus flou avec des salariés qui ont désormais accès à Internet, aux réseaux sociaux et aux emails à partir de leurs Smartphones ou de leurs tablettes, à l’intérieur ou à l’extérieur de l’entreprise, à tout moment et depuis n’importe où. En conséquence, les problématiques liées au BYOD ont augmenté. Alors que les entreprises apprécient les avantages de la technologie mobile en termes de productivité et de compétitivité, elles ne sont pas toujours suffisamment concentrées sur les risques que cela entraine en terme de cyber attaques.

Il n’y a aucun doute sur le fait que l’adoption des périphériques mobiles en milieu professionnel constitue un défi qui est autant une question de politique et de contrôle, qu’une question de technologie en elle-même.

De leur côté, les fabricants font la promotion des tablettes comme étant le must-have pour chaque membre de la famille. Qu’est-ce que cela signifie pour les entreprises ? Cela signifie un afflux de nouveaux appareils à venir sur le réseau, car il est fort probable que ces bijoux dernier cri ne resteront pas à la maison…

Pour les équipes en charge de la sécurité informatique, il s’agit d’un véritable casse-tête et la tendance du BYOD complique véritablement leur tâche. De plus, comme la transition des ordinateurs de bureau vers les ordinateurs portables, les tablettes et les Smartphones continue de s’accélérer, il n’est pas surprenant que les hackers choisissent les périphériques mobiles pour cible.

Le problème avec les outils mobiles personnels, c’est qu’ils permettent d’accéder à des ressources de l’entreprise, en dehors du contrôle du service informatique de l’entreprise. Cela signifie qu’il peut être difficile de connaître les informations basiques, telles que le nombre et le type d’outils utilisés, les systèmes d’exploitation et les applications en cours d’exécution.

La prolifération des périphériques mobiles et leur utilisation croissante au travail a entrainé une croissance rapide des malwares mobiles, augmentant de manière significative, le risque pour les utilisateurs et leurs employés. Et compte tenu du manque de visibilité sur ces outils personnels, de nombreuses équipes de sécurité informatique n’ont pas la capacité d’identifier les menaces potentielles.

Cependant, malgré les embuches, les avantages du BYOD sont bien trop significatifs pour être ignorés. Ainsi, afin de reprendre le contrôle sur ce monde mobile, les professionnels de la sécurité informatique doivent être capable de tout voir dans leur environnement, afin de pouvoir définir le niveau de risque et le sécuriser en fonction du contexte, spécifique à chaque entreprise. Pour la plupart d’entre elles, la meilleure solution est de mettre en place des politiques BYOD qui définissent clairement l’utilisation des outils mobiles personnels de façon appropriée et ensuite de disposer d’un système de vérification et de contrôle pour appliquer et maintenir ces politiques de sécurité.

Pour conclure, la sécurité des périphériques mobiles se dessine en 3 phases :
–    Avant l’attaque – il s’agit d’établir un contrôle sur la façon dont les appareils mobiles sont utilisés, à quelles données ils peuvent accéder et quelles sont celles qu’ils peuvent stocker
–    Pendant l’attaque – la visibilité et l’adaptabilité sont essentielles pour que les professionnels de la sécurité puissent espérer identifier les menaces et les appareils à risque pour surveiller leurs activités sur le réseau de l’entreprise.
–    Après l’attaque – lorsque l’inévitable se produit et que le réseau est compromis par une menace, il faut être en mesure d’examiner rétrospectivement comment cette menace est entrée dans le réseau ; quels systèmes ont été en interaction avec la menace et quels fichiers et applications ont été exécutés afin de s’assurer que le réseau puisse être nettoyé le plus rapidement possible. (Par Cyrille Badeau, Directeur Europe du Sud, Sourcefire, now part of Cisco)

Et si le Cloud aidait à sécuriser Internet

Les fournisseurs de services de cloud computing sont aujourd’hui sur la sellette : ils vont devoir améliorer la sécurité d’Internet ! Les clients du cloud manifestent de plus en plus leur intérêt pour des services d’accès à Internet sécurisés, exempts de menaces malveillantes comme Heartbleed ou l’amplification DDoS, pour ne prendre que ces deux exemples. A chaque attaque, en effet, les pertes commerciales sont de plus en plus importantes. Les attaques qui impactent les clients non protégés compromettent leur sécurité et dégradent l’image de l’entreprise ou de ses marques. Les fournisseurs d’accès ont aidé à filtrer les activités malveillantes provenant des réseaux clients depuis des années dans le but de permettre aux équipes internes des entreprises et des administrations de se concentrer sur les attaques les plus avancées, mais est-ce désormais suffisant ?

Pour une plus grande sécurité des réseaux
Dès 2005, plusieurs experts de la sécurité Internet se posaient la question de savoir si le Cloud pouvait aider à sécuriser Internet. Quelques articles publiés à cette époque en témoignent, réclamant que les fournisseurs de services Internet, d’hébergement, de services cloud et de bande passante s’impliquent, dans leur propre intérêt, pour aider à sécuriser Internet. Certains affirmaient que le temps était venu d’agir, demandant pourquoi les FAI n’étaient pas tenus de livrer des données sûres et sans danger. Dans la récente Loi de Programmation Militaire qui a fait l’objet d’un large débat autour de la sécurité informatique, les fournisseurs de services Internet semblent désignés comme ceux qui peuvent contribuer à l’amélioration rapide de la cybersécurité, grâce à leur possibilité d’agir en temps réel. De même que l’abonné au réseau d’eau potable exige que l’eau qui arrive chez lui soit saine, le trafic qui passe par les tuyaux des ISP doit être sûr et exempt de menaces, positivant la technologie déployée dans le Cloud et protégeant l’utilisateur final contre les attaques par DDoS et les cybermenaces de tous ordres. Quel intérêt en effet de disposer d’un énorme réservoir (le Cloud) et de l’alimenter en eau contaminée (malwares et autres menaces) ?

Quelques exemples de dangers…
Comme les récents événements l’ont encore confirmé, aucune entreprise ni aucune administration n’est à l’abri des risques de sécurité sur Internet. La découverte de Heartbleed a ébranlé les entreprises bien au-delà du monde de la sécurité. Cette vulnérabilité laissant lire la mémoire d’un serveur par un attaquant, concerne de nombreux services Internet. A l’évidence, la sécurité et la confidentialité de nombreux serveurs Web étaient un leurre. Il ne fait aucun doute que Heartbleed a permis la fuite d’innombrables secrets et données sensibles au profit de pirates, et les conséquences sont à terme encore incalculables. Cette attaque restera sans conteste le hacking le plus répandu de l’histoire du Web parce que le nombre de communications « sécurisées » SSL, concernées directement, est sans précédent. Malheureusement, les problèmes de cybersécurité ne disparaissent pas lorsqu’ils qu’ils sont découverts. La mise à disposition de correctifs n’empêche pas que les vulnérabilités continuent à exister dans d’innombrables systèmes accessibles via Internet. L’amplification de Heartbleed risque d’être plus rapide que la mise en place des mises à jour. Autre tendance actuelle : le détournement de l’utilisation de services Internet standard tels que DNS (Domain Name System) et NTP (Network Time Protocol) par des robots lors d’attaques par déni de service distribué. Heartbleed et les attaques DDoS par amplification sont deux exemples des problèmes de cybersécurité posés par un Internet non sécurisé. Le trafic malveillant portant ces menaces circule librement sur la plupart des réseaux de fournisseurs de services. Les hébergeurs accueillent des clients dont le système d’information mal sécurisé fait du Cloud public une plate-forme de services vulnérables. Comble de l’ironie, la plupart des clients dépensent de l’argent et paient  leur fournisseur pour une bande passante véhiculant un contenu Internet potentiellement dangereux.

Les technologies existent
Les fournisseurs de cloud doivent se doter de technologies qui permettent de répondre à quatre exigences de management des attaques et du réseau. Tout abord se défendre contre les menaces du réseau. La majorité des attaques DDoS se produit au niveau des couches L3 et L4. En conséquence, il convient de -serveur. Ensuite se défendre contre les menaces applicatives ; de nombreuses applications, y compris celles qui sont basées sur des communications chiffrées à l’aide de Secure Sockets Layer (SSL), sont vulnérables face aux attaques par DDoS de la couche applicative qui utilisent L7 comme vecteur analyse analyser les incidents de sécurité sur le réseau. Enfin, il faut assurer le Bypass du réseau ; Il est en effet essentiel de maintenir la disponibilité permanente du une technologie intelligente de dérivation du réseau de faible alimentation pour éliminer les interruptions de service en cas de panne de courant ou d’équipement ou lors de la maintenance de routine et lors des  mises à jour de la configuration.

Tous les marchés reposent sur l’offre et la demande. Les entreprises (et on parle là des dirigeants, pas seulement des responsables de la sécurité) ont pris conscience qu’elles pouvaient tomber, ou au moins leurs activités connectées, victimes d’une cyber-attaque. De nombreux DSI et RSSI sont aujourd’hui disposés à acheter de la bande passante Internet ‘propre’. Et la tendance va aller majoritairement dans ce sens. Alors ils commencent à chercher activement des solutions. Si les fournisseurs de services empêchent les DDoS et autres cybermenaces de traverser leurs réseaux, leurs clients sont d’ores et déjà prêts à acheter de la bande passante plus sûre, avec de meilleures garanties pour leurs données sur le cloud et sur leurs réseaux. Pourquoi, dans ces conditions, les fournisseurs de services du cloud ne développent-ils pas une offre adaptée ? Leurs parts de marché sont en risque de se réduire, au bénéfice d’autres acteurs, s’ils ne répondent pas à cette exigence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)

Le Bitcoin : populaire mais risqué

Selon l’étude « Financial Cyber Threats in 2013 » réalisée par Kaspersky Lab, les malwares ciblant le Bitcoin sont devenus « monnaie courante » en 2013. Le nombre d’attaques contre cette crypto-monnaie a ainsi été multiplié par plus de 2,5 pour atteindre un nombre de 8,3 millions incidents recensés. Créé notamment pour permettre des paiements anonymes sur Internet, le bitcoin rencontre un immense succès depuis quelques années. Début 2013, il s’échangeait au cours de 13.6$ et en décembre dernier, il culminait au taux record de 1200$. Au fil de l’année, le cours de la monnaie virtuelle a connu des hauts et des bas mais, depuis avril 2013, il n’est jamais descendu à moins de 80$. Ce phénomène a inévitablement attiré l’attention des escrocs. Pour compliquer le problème, les bitcoins sont souvent une proie facile pour les cybercriminels : si les utilisateurs les stockent sur leurs ordinateurs sous une forme non cryptée, il suffit aux pirates de s’approprier le fichier du « portefeuille » pour obtenir les informations relatives à son contenu et accéder au compte de leur victime.

Sur la trentaine d’échantillons de malware financiers, étudiés dans le cadre de l’étude de Kaspersky Lab, neuf concernaient un programme conçu pour voler des bitcoins. Ceux-ci représentaient au total 29 % des cyberattaques financières s’appuyant sur des applications malveillantes. Les outils employés par les cybercriminels pour dérober des bitcoins peuvent être classés en deux catégories. La première se compose de programmes destinés au vol des fichiers de portefeuille. Les applications de la seconde catégorie installent un logiciel qui génère des bitcoins (opération dite de « mining ») sur un ordinateur infecté. Dans l’absolu, les voleurs de portefeuille de bitcoins ont perpétré deux fois plus d’attaques en 2013. Cependant, les outils de « mining » se sont développés plus rapidement.

« En 2013, la valeur du bitcoin a été multipliée par plus de 85, ce qui a bien entendu attiré l’attention des cybercriminels. Vers la fin de l’année, le nombre d’utilisateurs attaqués par des malwares ciblant les bitcoins a commencé à se rapprocher de celui des victimes de cybermenaces bancaires plus classiques. Les détenteurs de bitcoins doivent donc être particulièrement prudents car il est quasiment impossible de récupérer l’argent virtuel volé. C’est le risque inhérent à l’utilisation d’une crypto-monnaie qui circule sans aucun contrôle des pouvoirs publics », commente Sergey Lozhkin, chercheur senior en sécurité pour Kaspersky Lab.

Pourcentage d’utilisateurs attaqués par différents types de malware chaque mois

Plus d’utilisateurs donc plus de risques, comment lutter ?
Pour une utilisation sécurisée des crypto-monnaies, les experts de Kaspersky Lab conseillent de conserver les fichiers de portefeuille sur des supports cryptés. Pour un stockage à long terme, l’utilisateur pourra transférer la somme virtuelle dans un portefeuille dédié et en noter les détails sur le papier. Il importe également d’installer sur l’ordinateur une protection fiable contre les logiciels malveillants, via une solution éprouvée de sécurité Internet. L’étude « Financial Cyber Threats in 2013 » s’appuie sur des données fournies bénévolement par les participants du réseau Kaspersky Security Network. KSN est une infrastructure mondiale distribuée dans le cloud et conçue pour traiter rapidement des données anonymisées relatives aux menaces rencontrées par les utilisateurs des produits Kaspersky Lab.

 

Blue Coat protège Chorégie, le GIE informatique qui gère l’assurance maladie de 6 millions de français

Afin de répondre aux exigences croissantes que connaît l’environnement de la santé depuis plusieurs années, de grands acteurs de la protection sociale (MGEN, LMDE et MFP Services) ont regroupé la gestion de leurs systèmes d’information pour créer le Groupement d’Intérêt Economique (GIE) CHOREGIE, gérant ainsi la conception, le développement et l’exploitation des systèmes d’information des membres du GIE, l’assistance et le conseil aux utilisateurs.

Chorégie en quelques chiffres
Le GIE Chorégie emploie 430 collaborateurs répartis sur 3 sites, gère l’informatique de l’assurance maladie de 6 millions de français, traite 400 000 feuilles de soins par jour, gère 6,5 millions de cartes européennes d’assurance maladie et 5,6 millions de cartes Vitales.

Le problème
Chorégie offrant un accès Internet aux utilisateurs des mutuelles opérées, ainsi qu’à ses propres équipes, se doit de sécuriser l’usage qui en est fait afin de respecter : le cadre légale et réglementaire français, les politiques de sécurité des systèmes d’information en vigueur.

Les premières solutions externalisées
Au début Chorégie a fait appel à un opérateur externe pour gérer toute l’infrastructure, dans une plateforme partagée, puis chez un second opérateur sur une plateforme dédiée. La première solution imposait la montée de versions logicielles, ce qui posait des incidents de fonctionnement, et même si la seconde solution leur redonnait ce contrôle, la solution hébergée présentait toujours de nombreux inconvénients : infrastructure sous dimensionnée, délai de réactivité en cas d’incident, problème de facturation, de continuité de service et de gestion des profils.

La solution interne
Le GIE a donc décidé de se doter d’une infrastructure interne. Après un appel d’offre lancé, le choix a été entériné six mois plus tard avec un déploiement dans les mois qui ont suivis. Chorégie a alors demandé à trois intégrateurs de leur faire des propositions pour la partie sécurité, en leur demandant d’inclure au moins deux prestataires différents, les propositions devant intégrer un engagement avec des pénalités en cas de problèmes. Les trois intégrateurs n’ont finalement proposé qu’un seul prestataire de solution de sécurité, celui qu’elles jugeaient capable de répondre entièrement à cette demande : Blue Coat.

Il est vite apparu que Blue Coat était le seul fournisseur de solutions de sécurité informatique capable de répondre en totalité aux contraintes d’exploitation de Chorégie. Blue Coat a également été retenu grâce à ses points forts : leader du marché du filtrage des accès Internet et une solution évolutive.

C’est l’intégrateur NTT Com Security (ex Integralis) qui a été choisi par Chorégie pour effectuer le déploiement. Le choix de NTT Com Security s’est fait sur trois principaux critères : les nombreuses références, une très bonne maîtrise de la solution Blue Coat et ce sont les seuls qui ont accepté l’engagement avec pénalités en cas de problèmes.

La solution
La solution de sécurité Blue Coat déployée chez Chorégie s’appuie sur 4 produits : la passerelle web (ProxySG 900-20),  l’anti-virus (ProxyAV ), le filtrage d’URL (WebFilter)  et PacketShaper pour la partie visibilité de la ligne internet. Cette architecture de sécurité protège l’ensemble du datacenter de Chorégie, ainsi que plus de 13 000  personnes en externe qui travaillent dans les mutuelles du GIE et 600 personnes en interne. Les retours des utilisateurs sont très positifs : « facile à prendre en main » et « agréable à utiliser » sont les avis qui reviennent le plus.

Christian Adragna, Directeur de la Sécurité des Systèmes d’Information de Chorégie, explique : « La solution Blue Coat répond parfaitement à l’ensemble de nos besoins, et fait preuve d’une robustesse et d’une fiabilité impressionnante. Lorsque l’on évolue dans un environnement aussi sensible que celui de Chorégie, la fiabilité et la qualité de services sont des valeurs essentielles ». La qualité du support, géré par NTT Com Security, est également très appréciée. Les principaux avantages mis en avant par Chorégie sont la disponibilité et la fiabilité de la solution Blue Coat. Il n’y a eu pratiquement aucun incident depuis sa mise en place, et même en cas d’incident la grande réactivité de NTT Com Security permet de le résoudre très rapidement. La traçabilité, qui est une conformité réglementaire à respecter, et la gestion précise des catégories sont aussi présentées comme des avantages déterminant de la solution.

Et après
Chorégie réfléchit à l’amélioration de ses solutions existantes autour notamment des thématiques suivantes : le chiffrement des données sensibles, la protection des réseaux au regard des nouveaux usages, la continuité de service (extension et modernisation des moyens de sauvegarde). Cette dernière sera d’ailleurs déployée courant 2014.

De l’importance de la formation des employés dans la sécurité en entreprise

Forrester montre que les Européens sont maintenant plus connectés que jamais, la plupart possédant deux terminaux au moins. Puisque l’utilisation des terminaux personnels sur le lieu de travail continue de croître, la formation des employés va devenir essentielle. Beaucoup d’habitudes prises lors de l’utilisation de ces appareils personnels représentent un danger pour les entreprises, donc les employés doivent comprendre l’importance de sécuriser les données. Ils sont la plus grande menace en termes de fuites de données. Le fait que Dropbox soit actuellement utilisé dans 95% des entreprises du Fortune 500 signifie que, dès à présent, une part énorme des données professionnelles sont vulnérables.

Malheureusement pour les responsables informatiques, il ne suffit pas d’installer une solution mobile sécurisée pour protéger les données. En plus de devoir mettre en œuvre un changement technologique, les entreprises doivent également lancer un changement culturel au sein du lieu de travail. Les employés doivent avoir une meilleure connaissance du moment où les données  professionnelles sont en sécurité ou non. Un des plus grands enjeux que les organisations doivent affronter est l’envoi par les employés des documents d’entreprise sensibles sur leur messagerie personnelle. Une fois qu’un document est divulgué, il n’est plus sous le contrôle de l’organisation, sa sécurité ne peut plus donc être contrôlée.

Dropbox est un cauchemar pour les départements informatiques car il génère un stockage dans le Cloud et la synchronisation des dossiers hors des entreprises. Dropbox fourni un service pratique pour les employés, mais a eu un grand nombre d’intrusions médiatisées. On en retrouve notamment en 2012 lorsque des mots de passe volés ont été utilisés pour accéder à un certain nombre de comptes Dropbox, ou encore lorsqu’en 2011 Dropbox avait éteint la fonction mot de passe, laissant toutes les données stockées sans aucune protection. Cependant, malgré ces failles médiatisées, les employés continuent d’utiliser ce service pour stocker des données sensibles. Des recherches récentes effectuées par Spiceworks Research ont constatées que 40% des employés dans l’informatique utilisent Dropbox, ou ont l’intention d’utiliser Dropbox en tant que service approuvé de partage de fichiers pour leur entreprise.

IBM a récemment interdit l’usage de Dropbox, d’iCloud et le transfert d’emails professionnels par leurs employés vers leur boite d’emails personnelle. La raison de cela est qu’il s’est avéré que ses employés avaient un manque de connaissances énorme sur ce qui constitue un risque actuellement.

Les trois raisons les plus importantes pour lesquelles les employés deviennent une menace de sécurité sont :
– L’utilisation de programmes non-autorisés sur des appareils ou du matériel d’entreprise
– Le transfert de dossiers entre les ordinateurs professionnels et personnels afin de travailler de chez soi
– La mauvaise utilisation des mots de passe – le partage de mots de passe ou l’utilisation du même mot de passe pour les applications professionnelles et personnelles

Les gens trouveront toujours un moyen d’utiliser l’appareil ou l’application qu’ils veulent, en dépit des conséquences sur la sécurité. Pour cette raison ils doivent être formés à utiliser la technologie d’une manière nouvelle qui puisse assurer aussi la sécurité des données. Les entreprises doivent faire quelques concessions, bien sûr. La connaissance – des appareils et applications – est vitale et elles doivent assurer la formation sur la sécurité des données et sur les bonnes pratiques autour de la sécurité de l’information. Si on offre une meilleure expérience d’utilisation en toute sécurité aux employés, alors ils sont moins enclins à trouver des moyens pour les contourner. Combiné à des recommandations de sécurité, les entreprises peuvent mettre en place une mobilité sécurisée sans employer une stratégie de contrôle fort.

Une approche “conteneur” de la sécurité mobile supprime la grande majorité des possibilités de fuites de données. Les employés peuvent exploiter au maximum un terminal pendant leur temps personnel et peu importe ce qu’ils font avec, les données d’entreprise sensibles resteront compartimentées en toute sécurité au sein de l’appareil. Pour poursuivre notre exemple concernant le partage de fichier, Box a une application sécurisée via une plateforme de sécurisation professionnelle. Celle-ci est contenue dans un compartiment sécurisé, afin de prévenir toute fuite de données, mais permet un accès aux documents professionnels à tout moment et de partout. (Par Florian Bienvenu, VP Europe Centrale et Europe du Sud de Good Technology)

Les objets connectés vont-ils inviter virus et pirates à la maison ?

Nous avons beaucoup entendu parler dernièrement de l’Internet des Objets et des implications, en termes de sécurité, que sous-entendrait l’émergence de 50 milliards d’objets connectés d’ici 2020. Les experts de Symantec ont déjà détecté un ver nommé Linux.Darlloz, qui ciblait initialement les ordinateurs domestiques, décodeurs et routeurs, et qui infecte désormais les ordinateurs à la recherche de monnaies cryptographiques – à savoir Mincoins et Dogecoins.

Ce qu’il est intéressant de souligner ici est l’évolution parallèle entre un tel maliciel ayant la capacité de se répandre dans l’Internet des Objets, et le défi grandissant de sécuriser ce nouvel espace tout en restant au-devant des dangers menaçant les outils que nous utilisons tous les jours et sur lesquels nous nous reposons quotidiennement.

L’objet connecté en cheval de Troie du Big Data?
Pour Stéphane Darracq, PDG de makazi group, au-delà des services immédiats qu’ils rendent à leurs utilisateurs et de leur rôle de canal de communication, la vocation des objets connectés est aussi de collecter des données en très grande quantité. Température de la maison, rythme cardiaque du sportif, vitesse d’un véhicule, géo-localisation de son utilisateur : autant de données d’une grande diversité dont il ne fait pas de doutes qu’elles iront bientôt constituer des bases de données et enrichir l’information déjà collectée sur les utilisateurs. Il n’y a alors qu’un pas à franchir pour conclure que la véritable valeur de ces objets connectés réside dans leur capacité à collecter des données récentes, variées, d’une très grande richesse d’information et en très grande quantité. L’utilisation de celles-ci conduira logiquement à de nouveaux modèles d’affaires créateurs de valeur pour toutes les parties prenantes.

Comment sinon justifier le prix impressionnant de 2,3 milliards de dollars payé par Google pour le rachat de la société Nest Labs au début de l’année 2014 ? Au-delà des thermostats design de cette société installés dans les maisons californiennes par des propriétaires soucieux d’économies d’énergie, il ne fait aucun doute que ce n’est pas le chiffre d’affaires de quelques dizaines de millions de dollars de la société qui justifie une telle valorisation : ce sont bien les flux d’informations collectés chez leurs utilisateurs qui intéressent Google dans la cadre de sa stratégie d’agrégation de données et vont lui permettre à terme de croiser ces données du monde physique – la maison, la voiture, l’environnement visuel – avec les milliards de données digitales qu’il collecte déjà depuis ses débuts.

L’idée de Google est claire: ajouter un nouveau point d’entrée au sein des foyers – américains dans un premier temps – pour décrypter de façon encore plus précise les habitudes, les usages et les comportements des utilisateurs, via l’analyse des données collectées par les thermostats conçus par Nest Labs. Les spécialistes du marketing digital y auront reconnu le fameux « cookie » physique ou marqueur des comportements et des activités des consommateurs dans le monde réel …. Passerelle vers l’enrichissement d’autres données purement digitales.

De multiples opportunités de nouveaux modèles d’affaires pour les acteurs économiques
Dans ce futur ou tout objet pourra être connecté les vainqueurs ne seront pas les seuls fabricants de ces objets connectés. Il y a fort à parier que les entreprises qui parviendront à imaginer des services répondant aux besoins identifiés grâce à ces données et qui sauront trouver de nouveaux modèles économiques créateur de valeur à partir des montagnes de données collectées seront les véritables bénéficiaires de cette révolution en marche de l’« Internet of everything ». A ce titre, l’utilisation des données à des fins de communication ou de ciblage publicitaire compte parmi les pistes les plus avancées : en s’équipant de plateformes logicielles de gestion des données (ou DMP pour « Data Management Platform » selon l’acronyme consacré), les grands annonceurs publicitaires seront très vite à même d’enrichir leur communication avec leurs clients grâce aux informations spécifiques remontées via les capteurs de la maison ou de la voiture connectée par exemple.

Le juge de paix sera le consommateur final
Il ne fait aucun doute que les objets connectés vont modifier en profondeur notre quotidien. Que ce soit dans le domaine de la santé, du sport, de l’automobile, le grand public va adopter ces objets utiles ou répondant à de nouveaux besoins. Attention toutefois aux risques juridiques et de réputation que font prendre aux entreprises l’utilisation de données souvent personnelles ou rattachées à des données personnelles ! Seul le respect des règles juridiques régissant l’utilisation des données personnelles par les entreprises feront disparaître les réticences du grand public devant la pertinence ou l’attractivité des nouveaux services proposés grâce à l’utilisation intelligente de ces données. L’enjeu est double pour  les entreprises qui sauront mener cette démarche, avec la création de valeur grâce à de nouveaux services ciblés à destination de leurs clients mais aussi la création d’un véritable « capital data ».

Les principales menaces de sécurité qui pèsent sur les entreprises

HP vient de publier son rapport Cyber Risk Report 2013, où sont identifiées les principales vulnérabilités qui touchent les entreprises dans le domaine de la sécurité. Cette étude propose par ailleurs une analyse du paysage des menaces, actuellement en pleine expansion.

Réalisée par le laboratoire de la recherche en sécurité HP Security Research, cette étude annuelle fournit des données complètes et une analyse approfondies des questions de sécurité les plus pressantes pour les entreprises. Cette édition dévoile les facteurs qui ont le plus contribué à élargir la surface d’attaque en 2013 – à savoir l’utilisation croissante des terminaux mobiles, la prolifération des logiciels non sécurisés et l’utilisation croissante de Java – tout en proposant aux entreprises des mesures appropriées pour réduire les risques de sécurité, ainsi que l’impact global des attaques.

« Les hackers sont plus performants que jamais et ils collaborent plus efficacement entre eux dans le but d’exploiter au mieux les vulnérabilités sur une surface d’attaque en expansion permanente », a déclaré Jacob West, directeur de la technologie, Enterprise Security Products, HP. « L’industrie doit par conséquent faire preuve de proactivité et partager les renseignements et les tactiques de sécurité pour lutter contre les activités malveillantes entraînées par un marché du cybercrime en plein essor. »

Faits marquants et principales conclusions de l’étude Cyber Risk 2013
·  Si les recherches consacrées aux vulnérabilités ont continué à susciter un vif intérêt, le nombre total de vulnérabilités annoncées officiellement a baissé de 6 % en un an, tandis que le nombre de vulnérabilités importantes a diminué pour la quatrième année consécutive (-9 %). Bien que non quantifiable, ce déclin peut être l’indication d’une forte augmentation des vulnérabilités qui ne sont pas annoncées officiellement mais, au contraire, qui sont transmises au « marché noir » en vue d’une utilisation privée et/ou malveillante.

·  Près de 80 %(2) des applications examinées contenaient des vulnérabilités dont l’origine se situe à l’extérieur du code source. Même un logiciel développé avec rigueur peut s’avérer particulièrement vulnérable s’il est mal configuré.

·  Les définitions variables et incohérentes du terme « malware » compliquent l’analyse des risques. Dans un examen portant sur plus de 500 000 applications mobiles pour Android, HP a constaté des écarts importants entre la façon dont les moteurs antivirus et les fournisseurs de plateformes mobiles classent les logiciels malveillants.(3)

·  46 %(2) des applications mobiles étudiées utilisent le chiffrement de manière inappropriée. L’étude de HP montre que les développeurs d’applications mobiles font rarement appel aux techniques de chiffrement pour stocker des données sensibles sur les appareils mobiles, s’appuient au contraire sur des algorithmes faibles, ou utilisent de façon inappropriée des outils de chiffrement plus forts, ce qui les rend inefficaces.

·  En 2013, Internet Explorer était l’application la plus ciblée par les spécialistes en vulnérabilités de la HP Zero Day Initiative (ZDI) avec plus de 50 %(4) des vulnérabilités acquises par le programme. Cette attention est liée au fait que les forces du marché [officielles et illégales] concentrent leurs recherches sur les vulnérabilités de Microsoft, ce qui ne reflète pas le niveau de sécurité global d’Internet Explorer.

·  Les vulnérabilités liées au contournement de la « sandbox » des applications sont les plus fréquentes et les plus graves pour les utilisateurs de Java(2). Les hackers ont considérablement haussé le niveau des agressions contre Java en ciblant simultanément plusieurs vulnérabilités connues (et « jour zéro ») dans des attaques combinées menées contre des objectifs spécifiques.

Principales recommandations
Dans un environnement où les cyberattaques sont de plus en plus nombreuses et la demande en logiciels sécurisés de plus en plus forte, il est impératif d’éliminer les possibilités de révéler involontairement des informations pouvant être exploitées par des pirates informatiques. Les entreprises comme les développeurs doivent rester au fait des failles de sécurité dans les frameworks et autres codes tierce partie, tout particulièrement dans le cas des plates-formes de développement mobile hybrides. Des directives de sécurité robustes doivent être appliquées pour protéger l’intégrité des applications et la confidentialité des utilisateurs. S’il est impossible d’éliminer la surface d’attaque sans pénaliser les fonctionnalités, une bonne combinaison des personnes, des processus et des technologies peut permettre aux entreprises de minimiser efficacement les vulnérabilités alentour pour réduire considérablement les risques globaux. La collaboration et le partage de renseignements sur les menaces entre les professionnels de la sécurité informatique permet de connaître de façon plus approfondie la tactique des adversaires, avec à la clé des stratégies de défense davantage proactives, l’incorporation de protections renforcées dans les solutions de sécurité proposées, et un environnement globalement plus sûr.

HP publie son étude Cyber Risk chaque année depuis 2009. Le laboratoire HP Security Research s’appuie sur un certain nombre de sources internes et externes pour réaliser cette étude, parmi lesquelles la HP Zero Day Initiative, les évaluations de sécurité HP Fortify on Demand, les études de sécurité HP Fortify Software Security Research, les laboratoires ReversingLabs et le référentiel de vulnérabilités du gouvernement américain (National Vulnerability Database). La méthodologie complète est présentée en détail dans le rapport.

Equipes de sécurité – l’humain au cœur du dispositif de défense

Fin de règne pour les produits magiques de sécurité – Retour aux travaux manuels ? Les 15 dernières années ont vu fleurir un nombre incroyable de produits « magiques » de sécurité informatique. Leur point commun étant leur capacité à opérer sans ou avec très peu de ressources humaines impliquées. Le meilleur exemple de cette évolution est probablement l’avènement de l’IPS, pensé pour remplacer le bon vieil outil IDS trop consommateur de ressources dans l’analyse des évènements de sécurité. « Si on peut détecter, autant décider de bloquer automatiquement ! ».

Seulement, de nos jours, la majorité des attaques sérieuses et ciblées, commanditées et réalisées sur mesure sont détectées à posteriori par l’entreprise et souvent grâce à un signal faible, voire même un coup de chance (comportement étrange, remontée utilisateur, nouveau flux détecté, etc.). Ces attaques ne peuvent donc pas être bloquées à priori car elles sont pensées pour passer au travers (ou à coté) des outils de détection classiques. Ces outils continuent de détecter et de stopper une majorité d’attaques non ciblées ou non sophistiquées générant des signaux forts (exploit frontal de vulnérabilités réseau par exemple).

Pour adresser le risque lié aux attaques ciblées commanditées et hautement financées, il est nécessaire de changer de posture de défense et de repositionner l’humain au centre des décisions.

Ainsi, on demande aujourd’hui aux IPS de nouvelle génération (NGIPS) d’être capables de remonter des Indicateurs de Compromission. Ceux-ci sont des évènements de sécurité qui, une fois corrélés et enrichis par le contexte local du réseau, font apparaître des soupçons forts de compromission pour telle ou telle machine du réseau. Comme il s’agit de soupçons et uniquement de soupçons, l’IPS Next-Generation ne peut pas décider de bloquer sans l’avis expert d’un analyste de sécurité.

Ne serait-ce pas un retour à la détection d’intrusion ? Quoi qu’il en soit, les Indicateurs de Compromission et l’expertise de l’équipe qui analyse ces indicateurs sont clés dans la capacité de détection de la présence d’une attaque ciblée sur un réseau.

Un nouveau métier pour les analystes et un besoin pour de nouveaux processus et outils : le Forensic et la remédiation
La découverte d’une attaque ciblée ouvre un chantier nouveau et ardu qui doit faire partie intégrante de la nouvelle posture de défense de l’entreprise. L’attaque est réelle, il faut être capable d’en définir le scope, d’en comprendre la dynamique complète avant de décider de se découvrir en reprenant le contrôle et en l’annihilant.

De nouveaux processus et outils sont nécessaires à cette tâche. Il faut de réelles capacités de Forensic et de retour en arrière. La capacité de remonter le temps pour comprendre le scénario d’attaque et son niveau de déploiement est nécessaire pour décider de la « bascule » (reprise du contrôle et suppression des codes ennemis déployés).

Pour la « bascule » également, il faut adopter de nouvelles capacités techniques et opérationnelles. Souvent, une telle attaque a permis de déployer un écosystème de malwares avancés sur un grand nombre de machines du réseau. Une bascule efficace doit être brutale et globale. Or, ces capacités n’étaient que très rarement intégrées dans les postures de sécurité historiquement adoptées dans les entreprises.

Encore une fois, que ce soit sur les tâches de recherche et de compréhension de l’attaque ciblée sophistiquée et sur les tâches de « bascule » et de reprise de contrôle, la compétence des ingénieurs sécurité en charge du sujet est la clé pour le succès de l’opération. (Par Cyrille Badeau, Directeur Europe du Sud, Sourcefire pour DataSecurityBreach.fr)

En 2014, le besoin de sécurité va bouleverser le marché de la sauvegarde Cloud

Le cloud, qui était il y a quelques mois encore vu comme un moyen simple et inoffensif de sauvegarder des données, va devoir se renouveler en 2014 pour continuer de séduire les professionnels. (Par Sergey Kandaurov, directeur de la gestion produit chez Acronis, pour Data Security Breach).

L’année 2013 a été marquée par de nombreux scandales en termes de sécurité et d’espionnage dans ce secteur. La demande des clients en 2014 va être impactée par ces affaires puisque la sécurité devient maintenant la priorité absolue. Les entreprises vont tout d’abord réfléchir d’avantage à ce qu’elles sauvegardent et où elles sauvegardent. La sécurité, la flexibilité et la confiance vont devenir des caractéristiques indispensables, favorisant ainsi l’apparition de solutions et de produits spécifiques à la sécurisation des données. Parallèlement les fournisseurs de solutions dans le Cloud de petites envergures vont mettre en avant une certaine proximité avec leurs clients et la qualité du service adjacente pour se différencier des fournisseurs leaders. Voici les 3 prédictions pour ce secteur pour 2014 :

1. Une sécurité accrue.
Après avoir passé un an à entendre les mots « PRISM » ou encore « Snowden », les consommateurs sont beaucoup plus conscients du type d’information qu’ils peuvent sauvegarder ou non sur des serveurs distants. Par conséquent, les entreprises vont multiplier leurs outils de sécurité afin de protéger les données sensibles. Nombreuses seront celles qui quitteront les services de Cloud public, comme Dropbox par exemple, pour se tourner vers un Cloud privé, plus sécurisé, leur permettant ainsi de garder le contrôle sur leurs propres fichiers.

2. Des nouveaux outils et services pour protéger les données dans le Cloud.
Avec la généralisation du Cloud, de plus en plus d’entreprises stockent leurs données dans le « nuage » informatique. La question de la continuité des activités en cas de problème va donc être un problème central dans les mois à venir. Avec un nombre de data stockées de plus en plus important, le risque d’un dysfonctionnement et d’une indisponibilité temporaire augmente. Les entreprises seront donc en demande de solutions innovantes pour parer à l’éventualité d’une perte ou d’une impossibilité d’accès aux données. Les professionnels chercheront plusieurs solutions alternatives pour stocker localement les fichiers basés dans le Cloud d’un côté, et pour sauvegarder rapidement et simplement les serveurs dans d’autres Cloud de l’autre.

3. Un focus sur la location physique de serveurs Cloud
Les clients vont commencer à opter pour des fournisseurs de solutions dans le Cloud stockant les informations dans une zone géographique proche, si possible dans le même pays. Ce constat est valable mondialement mais le sera encore plus en Europe. Ce « data nationalisme » protégera les données des gouvernements extérieurs. Par conséquent, cela permettra aux fournisseurs locaux de se développer face aux géants du secteur.

Ces fournisseurs pourront souvent fournir un service plus personnalisé et un meilleur suivi… 2014 sera donc l’année des « petits » fournisseurs.

Le top 8 de ses prévisions de cybersécurité pour 2014

WatchGuard Technologies, éditeur de plateformes de sécurité intégrées, publie ses prévisions annuelles de cyber-sécurité pour 2014. Parmi les éléments listés, l’équipe de chercheurs en sécurité de WatchGuard s’attend à des avancées dans le domaine des rançongiciels (ransomware), à des piratages visant l’Internet des objets, à des attaques ciblant les infrastructures stratégiques et à une violation des données du portail américain des assurances maladie Healthcare.gov.

« Entre le développement de botnets par des agences gouvernementales opérant dans l’ombre, les importantes failles de sécurité comme celle subie par Adobe et les logiciels malveillants particulièrement nuisibles de type CryptoLocker, 2013 aura été une année éprouvante pour les spécialistes de la cybersécurité », commente Corey Nachreiner, Directeur de la stratégie de sécurité de WatchGuard Technologies. « Cependant, grâce aux nouveaux outils de visibilité désormais disponibles, 2014 devrait être l’année de la visibilité en matière de sécurité. Le paysage des menaces continue certes à évoluer à un rythme effréné en raison de l’apparition de nouvelles techniques évoluées d’exploitation des vulnérabilités et de l’orientation des criminels vers de nouvelles cibles. Néanmoins, les professionnels de la sécurité devraient pouvoir utiliser ces nouveaux outils de visibilité afin de faire, à nouveau, pencher la balance de la cyberguerre en leur faveur. »

Les principales prévisions pour 2014 en matière de sécurité :
1.       Le portail américain des assurances maladie sera la cible de nombreuses attaques : WatchGuard s’attend à ce que le site américain Healthcare.gov subisse au moins une violation de données en 2014. Du fait de sa popularité et de la valeur des données qu’il stocke, Healthcare.gov constitue une cible particulièrement attractive pour les cybercriminels. En réalité, cette violation a, dans une certaine mesure, déjà débuté. Différents chercheurs en sécurité ont d’ores et déjà mis en évidence plusieurs incidents mineurs (indices d’attaques avortées contre des applications Web, tentatives d’attaque en déni de service (DDoS), etc.).

2.       Le développement du cyber-kidnapping accroît les profits des pirates : Les rançongiciels, une nouvelle classe de logiciels malveillants dont le but est de prendre en otage un ordinateur, ont vu leur nombre augmenter régulièrement ces dernières années, mais une variante particulièrement nuisible a fait son apparition en 2013 : CryptoLocker. Rien que cette année, il a touché plusieurs millions de machines, avec un fort retour sur investissement pour les cybercriminels d’après les estimations. WatchGuard s’attend à ce que de nombreux cyber délinquants tentent d’imiter en 2014 le succès de CryptoLocker, en copiant ses techniques et son mode de fonctionnement. WatchGuard prévoit ainsi une multiplication des rançongiciels en 2014.

3.       Un scénario catastrophe hollywoodien : En 2014, une attaque majeure commanditée par un gouvernement hostile et exploitant les failles d’une infrastructure stratégique pourrait bien transformer un film d’Hollywood en réalité tragique. Et ce, même lorsque les systèmes ciblés ne sont pas connectés à un réseau. Le ver Stuxnet, si souvent montré du doigt, a en effet prouvé que des cyber-attaquants motivés pouvaient infecter une infrastructure non reliée à un réseau avec des résultats potentiellement désastreux. Des chercheurs ont consacré plusieurs années à étudier les vulnérabilités des systèmes de contrôle industriel (ICS) et des solutions de supervision et d’acquisition de données (SCADA), et ont découvert que ces systèmes présentaient de nombreuses vulnérabilités.

4.       L’Internet des objets, nouvelle cible des hackers : WatchGuard s’attend à ce que, l’an prochain, les hackers, qu’ils soient white ou black hat, consacrent plus de temps aux terminaux informatiques non traditionnels comme les voitures, les montres, les jouets et le matériel médical. Si les experts en sécurité informatique insistent depuis plusieurs années sur la nécessité de sécuriser ces périphériques, il semble que le marché n’en réalise l’importance que maintenant. WatchGuard s’attend donc à ce que les hackers s’attachent fortement en 2014 à détecter les failles de ces objets connectés, que ce soit pour les combler ou pour les exploiter.

5.       2014 sera l’année de la visibilité : Ces dernières années, les cybercriminels sont parvenus à pénétrer les défenses de très grandes entreprises malgré l’utilisation de pare-feu et d’antivirus. L’ancienneté des systèmes de défense en place, la mauvaise configuration des contrôles de sécurité et la surabondance de journaux de sécurité ne permettent pas aux professionnels de protéger efficacement leur réseau et de détecter les événements réellement importants. WatchGuard prévoit qu’en 2014 de plus en plus d’entreprises déploieront des outils de visibilité afin de faciliter l’identification des vulnérabilités et la mise en place de stratégies de protection renforcée des données stratégiques.

6.       Attaquer la « chaîne de confiance » sera une technique de choix pour atteindre les cibles les plus difficiles : Si les victimes les plus prestigieuses, telles que les administrations ou les entreprises du CAC 40, bénéficient d’un dispositif de sécurité plus important, ce n’est pas pour autant qu’elles parviendront à arrêter les pirates motivés et patients, qui s’attaqueront au maillon faible de la « chaîne de confiance » de l’entreprise : les partenaires et les sous-traitants. Les cybercriminels les plus doués visant désormais des cibles plus complexes, il faudra s’attendre en 2014 à une exploitation grandissante des vulnérabilités de la « chaîne de confiance », les pirates s’attaquant aux partenaires pour atteindre l’entreprise.

7.       Les attaques deviendront plus nuisibles : La plupart des cyber-attaques et des logiciels malveillants ne sont pas volontairement destructeurs. En effet, lorsqu’un cybercriminel détruit l’ordinateur de sa victime, il ne peut plus accéder à ses ressources. Cependant, l’évolution du profil des pirates fait désormais de la cyber-destruction un objectif valable dans un nombre croissant de cas. Les cybercriminels peuvent également se rendre compte que la menace d’une destruction imminente contribue à améliorer les chances de succès de l’extorsion, comme le compte à rebours utilisé par CryptoLocker pour effrayer les victimes et les amener à coopérer. WatchGuard s’attend ainsi à observer une multiplication des vers, chevaux de Troie et virus destructeurs en 2014.

8.       De technicien à psychologue du cybercrime : Ces dernières années, les attaquants avaient clairement l’avantage sur les défenseurs, s’appuyant sur des tactiques d’esquive et des techniques plus sophistiquées pour pénétrer des défenses vieillissantes. Cependant, le vent est en train de tourner. En 2014, les défenseurs accèderont plus facilement aux solutions de sécurité de nouvelle génération et aux fonctionnalités de protection avancée, rééquilibrant le rapport de force. Mais les cybercriminels n’abandonneront pas facilement la partie. On peut s’attendre à une évolution de leur stratégie, qui sera sans doute moins focalisée sur l’avantage technique et plus sur les faiblesses de la nature humaine. En 2014, attendez-vous à ce que les attaquants privilégient la psychologie à la technologie, en s’appuyant sur la culture populaire et sur différentes techniques (emails d’hameçonnage convaincants, par exemple) pour cibler le maillon le plus faible de la chaîne : l’utilisateur.

Sécurité renforcée pour 1&1

1&1 Internet, un des leaders mondiaux de l’hébergement Web, lance aujourd’hui de nouvelles fonctionnalités pour ses packs hébergement, offrant aux sites Web une performance et une sécurité maximales. Le nouveau CDN (Content Delivery Network) 1&1 propose désormais des temps de chargement plus rapides pour les images et les contenus dynamiques. En plus de la dernière version de PHP, PHP 5.5, 1&1 propose dès aujourd’hui une version d’évaluation pour les applications Click & Build. Par ailleurs, les propriétaires de sites Web peuvent optimiser la sécurité de leur site grâce à 1&1 SiteLock, disponible dans certains packs.

1&1 améliore continuellement son offre hébergement pour tous ceux qui utilisent des applications pour le design et le développement de leur site. Les applications Click & Build les plus populaires sont incluses dans les packs 1&1 et peuvent être installées en Safe Mode ou en Free mode. Désormais, une version d’évaluation est disponible pour tester la compatibilité d’une application avec son projet Web. Cette version offre les mêmes fonctions et plug-ins pré-installés que l’application définitive et est disponible pendant 30 jours, durant lesquels il est possible, à tout moment, de basculer vers l’application définitive. Tout le contenu généré pendant la période d’essai est alors migré vers l’application définitive dès son activation.

Les sites Web dont les temps de chargement sont trop lents ou les images ne chargent pas correctement peuvent avoir des conséquences négatives sur l’e-réputation d’une entreprise. Pour prévenir de tels problèmes, 1&1 a enrichi son CDN, powered by CloudFlare, de nouvelles fonctionnalités : la fonction Mirage reconnaît la vitesse de connexion de l’utilisateur et la taille de l’écran (smartphone, tablette, PC portable ou PC de bureau) et affiche une image de taille et de résolution adaptées.

La fonction Railgun, développée par CloudFlare, permet d’améliorer significativement le temps de chargement des contenus dynamiques qui ne pouvaient pas, jusqu’à présent, être mis en cache. Les utilisateurs 1&1 profitent ainsi d’une nouvelle technologie qui permet d’identifier et de prendre en compte les changements les plus minimes le plus rapidement possible. L’affichage de sites Web dynamiques est alors considérablement accéléré, peu importe l’endroit du monde où se trouve le visiteur.

Les propriétaires de sites Web qui utilisent PHP pour développer leur site peuvent dès à présent profiter de la dernière version PHP 5.5. De plus, les utilisateurs Linux bénéficient d’une compatibilité totale pour les versions PHP Dev et PHP 5.4. Les utilisateurs Windows peuvent, eux, utiliser PHP 5.3.

1&1 vient de lancer une série de mesures qui amélioreront la sécurité des sites Web. Tous les utilisateurs qui utilisent les applications Web installées en Free mode seront informés par email de toutes les mises à jour nécessaires. Ils recevront des informations sur les nouvelles versions des applications ou sur les plug-ins, ainsi que sur les mises à jour et failles de sécurité. Ils se verront également informés des actions à mettre en œuvre pour garantir la sécurité et la fiabilité de leur site.

Grâce à la fonction SiteLock, les clients 1&1 peuvent détecter les failles de sécurité potentielles dans le design de leur site Web et rester informés de son niveau de sécurité – ce qui intéresse aussi bien les propriétaires de sites Web que les visiteurs. Cette fonction est dès à présent incluse dans les packs hébergement sans frais additionnels.

1&1 CDN powered by CloudFLare et 1&1 SiteLock Basic sont inclus dans les packs 1&1 Unlimited à 4,99 € HT/mois et 1&1 Unlimited Plus à 6,99 € HT/mois, ainsi que dans tous les packs serveurs 1&1 Clé-en-main à 29,99 € HT/mois, et sont valables pour un domaine par pack. Mirage est inclus dans 1&1 CDN ou 1&1 CDN Plus. Ceux qui souhaitent utiliser cette fonction pour plusieurs domaines sont invités à acquérir des CDN supplémentaires (pour 4,99 et 9,99 HT €). Railgun est inclus dans le CDN des packs 1&1 Unlimited Plus, 1&1 Unlimited Plus (4 Go) et les serveurs 1&1 Clé-en-main.

1&1 SiteLock Basic peut être ajouté aux packs hébergement 1&1 Starter et 1&1 Basic pour 0,99 € HT par compte et 1&1 SiteLock Premium pour 4,99 € HT par compte. Ces tarifs sont également valables pour ceux qui souhaitent acquérir SiteLock pour des domaines supplémentaires.

Comment conserver le contrôle de la sécurité mobile aujourd’hui

L’attachement émotionnel des consommateurs à leurs téléphones portables signifie qu’ils sont de plus en plus nombreux à être sélectifs en termes de modèle et d’applications, même dans leur vie professionnelle. Ceci conduit les responsables informatiques à avoir le sentiment qu’ils perdent le contrôle de la sécurité mobile et que les employés la compromettent. Après tout, les entreprises prennent rarement des décisions sur le choix des terminaux mobiles. Et les responsables informatiques n’imposent pas comment les employés doivent interagir avec leurs appareils mobiles.

Dès lors, comment les entreprises peuvent-elles garder le contrôle de leur stratégie de mobilité sécurisée, alors qu’apparemment elles ne peuvent la contrôler ? La gestion des terminaux mobiles (MDM) contrôle la sécurité des appareils mobiles, mais elle n’aborde pas la sécurité de l’atout le plus précieux : les données de l’entreprise. Toutefois, il existe un moyen pour les services informatiques de sécuriser la fonctionnalité et les données de leurs entreprises : la conteneurisation.

L’état d’esprit des responsables informatiques d’aujourd’hui doit passer d’une focalisation sur le terminal à une focalisation sur les données qui s’y trouvent et comment les employés utilisent ces données. Cela va permettre aux organisations d’atteindre de nouveaux niveaux de productivité, d’efficacité et de collaboration mobile. Le défi n’est pas « Comment puis-je contrôler cela ? » mais « Comment puis-je mettre en place, en toute sécurité, des moyens plus efficaces pour travailler grâce aux appareils mobiles ? ». Pour parvenir à cela, les responsables informatiques ont besoin de créer un environnement mobile sécurisé pour l’utilisateur qui répond à tous les besoins.

Au final, il y assez d’applications fonctionnelles et faciles à utiliser pour que les employés en adoptent pour compléter au mieux leurs tâches. Celles-ci sont peut-être utiles pour l’employé mais pas forcément suffisamment intégrées ou sécurisées : en fonctionnant de manière isolée, il se peut que les applications limitent la productivité, l’efficacité et la collaboration.

La clé pour que les responsables informatiques gardent le contrôle, à cette étape, se trouve dans le fait de comprendre comment les employés veulent interagir avec les données. En maitrisant cette connaissance, les responsables informatiques peuvent proposer l’environnement mobile sécurisé le plus attractif pour les employés. Ils peuvent proposer des applications sur mesure et des applications tierces sécurisées qui sont meilleures – que ce soit en rapidité ou dans l’usage – que celles que les employés utilisent déjà, ce qui aide à transformer l’entreprise en même temps.

En particulier, l’usage des applications professionnelles personnalisées ne fait que croître. D’ici 2017, 25% des entreprises auront un magasin d’application (app store) d’entreprise pour gérer les applications approuvées par l’entreprise sur les PC et appareils mobiles, selon Gartner. Les magasins d’applications d’entreprise offrent un meilleur contrôle sur les applications que les employés utilisent. Cependant Gartner reconnait que ce contrôle n’est possible que si le magasin d’applications est largement adopté. C’est pourquoi il est si important pour les entreprises de comprendre ce que les employés veulent faire sur leurs appareils et comment ils veulent le faire. C’est comme ça qu’ils pourront proposer l’environnement sécurisé que l’employé va adopter, tout en servant les objectifs de l’entreprise. (Florian Bienvenu, VP Europe Centrale et Europe du Sud, Good Technology pour DataSecurityBreach.fr)

Sécurisons tablettes et smartphones

Sacré Père Noël, il a cassé sa tirelire pour offrir l’objet high-tech à la mode. Une tablette, un smartphone, une montre connectée. Les « vendeurs », les « commerciaux » des marques ont sorti la grosse artillerie pour vanter du matériel qui, avouons-le, fait briller les yeux. Sauf qu’il y a un petit détail loin d’être négligeable que nous avons pu constater lors de 43 rencontres effectuées entre le 17 et le 24 décembre 2013 : seuls 3 souriants vendeurs de rêves nous ont parlé, naturellement, de  sécurité.

Le Béaba
Un PC, une tablette sortis de leur carton ne sont pas propres, attendez par là qu’il faudra penser, lors de votre première connexion à mettre à jour vos machines. Des mises à jour de sécurité, d’applications. Indispensable. Prenons l’exemple de l’iPhone 5 (et ) ou des derniers Samsung. Évitez de voir votre données s’envoler en raison de « faille » usine. Pour les PC, comme pour les MAC, les « updates » concerneront surtout des corrections liées à des vulnérabilités. Pour vous donner une petite idée, regardez la date de fabrication de votre matériel. Si nous prenons un PC fabriqué en septembre, sous Windows 8, plus de 40 mises à jour. Même son de cloche pour un MAC. Pour les tablettes, sous Android, la dernière importante, date de mi-décembre, avec une correction interdisant l’interception possible, en clair par le wifi, des informations de connexion d’un utilisateur.

Le matos
Que le veuille ou non, un antivirus devient indispensable sur PC/MAC, mais aussi tablette et smartphone. Il en existe plusieurs dizaines, gratuites et payantes. Nous nous pencherons plus concrètement, dans quelques instants, sur ceux proposés pour les mobiles. Mais avant ça, revenons sur une option loin d’être négligeable dans la majorité des nouveaux matériels sortis pour Noël : le chiffrement des machines. Certes cela prend un peu de temps, certes cela semble fastidieux d’être obligé de retenir le mot de passe imposé. Mais c’est quelques minutes valent mieux que les heures, voir les jours à courir pour bloquer l’ensemble des comptes (PayPal, DropBox, emails, forums, sites…) que vous aurez enregistré dans le matériel que vous aurez perdu, ou que l’on vous aura volé, piraté. Pour les possesseurs des téléphones le plus vendus du moment, Samsung, il suffit de se rendre dans l’option « Paramètres » > « Sécurité » > « Crypter« . N’oubliez pas, si vous équipez votre machine d’une carte sd, de chiffrer cette dernière. Récupérer cette dernière et la copier est un jeu d’enfant. Chiffrer le contenu rendra inutilisable les informations sauvegardées.

Passons ensuite, comme indiqué plus haut, aux outils de sécurité à installer dans vos précieux. Les antivirus proposés par G Data, McAfee, BitDefender, … font l’affaire. Il détecte les applications pouvant être piégés. Loin d’être négligeable, cette menace est annoncée comme étant la 1ere des malveillances en 2014. Vient ensuite la crainte de la perte/vol de votre matos. La version proposée par Avast! Permet aussi de recevoir une notification quand votre carte SIM a été changée. Pour le contrôle des fichiers que vous auriez à récupérer/stocker dans le Cloud (ce que nous trouvons aberrant et vous invitons à ne pas faire, Ndr) des outils comme VirusBarrier permettent de scanner les documents sauvegardés sur DropBox, iDisk, et WebDAV.

Lookout Mobile Security est une application gratuite qui protège vos appareils iOS ou Android. Il permet de protéger son matériel et, en version payante, de sauvegarder vos contacts en programmant des sauvegardes automatiques. Si vous perdez votre téléphone, Lookout permet de le localiser sur une carte Google – même si le GPS est désactivé. L’application permet aussi d’activer une alarme sonore – même si votre téléphone est en mode silencieux. La fonctionnalité qui permet de verrouiller à distance le matériel est un plus non négligeable.  L’outil BullGuard Mobile Security propose le même type de service. Pour les smartphone, le chien de garde propose aussi une protection pour la carte SIM. IHound propose, lui aussi, de suivre l’appareil à distance. Il permet de verrouiller le téléphone ou la tablette. IHound utilise le GPS de votre téléphone pour le suivi de l’appareil. Il comprend une alarme qui peut être déclenchée par une notification push. Fonctionne même quand le silencieux est enclenché. Sur un appareil Android, vous pouvez également effacer à distance les données et verrouiller votre machine. Application payante.

Les anti-vols

Face à une attaque « physique » de votre téléphone, il existe aussi des parades. Quelqu’un tente de rentrer dans vos données. Pour cela il tombe nez-à-nez avec votre clavier dédié au mot de passe. Les applications GadgetTrak (iOS) et LockWatch (Android) vous enverrons, par eMail, la photo de votre « curieux » et sa position géographique, via une carte Google.

Je finirai par deux outils indispensables pour la sécurité de votre vie numérique: Authy et Google Authenticator. Deux applications qui permettent de générer des clés demandées lors d’une double authentification pour Google, Facebook, Twitter, et même vos sites web (sous WordPress). Sans les chiffres fournis par l’un de ces outils de validation, même votre mot de passe demandé ne servira à rien. Parfait en cas de vol de ce dernier. Nous vous expliquons, pour votre compte Facebook, l’intérêt de la double identification.

Pour finir, pensez aussi à vos connexion web hors vos murs. Une protection VPN est loin d’être négligeable. Elle permet, quand vous êtes en déplacement, de chiffrer, de rendre illisible à une potentielle interception, vos informations (emails, mots de passe, téléchargement, …). Il existe des applications VPN simples et efficaces pour tablettes, smartphones et ordinateurs.

Cette liste est loin d’être exhaustive, elle a surtout pour mission de vous faire tendre l’oreille, de vous inciter à vous pencher sur vos doubles numériques, sur leur sécurité et la maitrise de ces matériels qui n’étaient encore que de la science-fiction, voilà 10 ans. N’oubliez jamais que vous devez contrôler vos machines… et pas le contraire !

 

 

 

Les fausses bonnes idées sécurité pour votre smartphone

À l’heure où les ministres sont rappelés à l’ordre quant à l’usage de leurs smartphones, voici 13 conseils À NE PAS SUIVRE pour assurer la sécurité de vos téléphones mobiles. Par Jean-François Beuze, Président et fondateur de Sifaris

1.     Conservez le code PIN par défaut. Ainsi, si vous perdez votre mobile ou qu’on vous le vole, la personne qui le « retrouve » pourra profiter pleinement de votre forfait téléphonique.

2.     N’utilisez pas de mot de passe lors de son utilisation courante. C’est vrai : pourquoi protéger son mobile contre une utilisation malveillante alors qu’il est dans votre poche ?

3.     Laissez votre mobile à la portée de tous, afin qu’un « ami qui vous veut du bien » puisse vous mettre sur écoute, pour vous protéger évidemment. Comment ? Simplement en téléchargeant les applications adéquates depuis votre téléphone.

4.     Stockez les données sensibles sur votre téléphone, sans les crypter. À quoi cela pourrait-il bien servir ? Et puis c’est agaçant tous ces codes à retenir.

5.     Activez en permanence la fonction Location Tracking, celle qui permet de suivre vos déplacements. Elle est très utile pour qui voudrait suivre tous vos faits et gestes depuis Internet. Vous avez peur de vous perdre ?!

6.     Connectez-vous aux Wifi des lieux publics sans précautions, dans un aéroport, un café ou un hôtel. Et profitez-en pour accéder à votre compte bancaire ou pour effectuer des transactions financières. Un peu de charité ne fait pas de mal.

7.     Stockez les données confidentielles de votre entreprise sur votre mobile et synchronisez-les sur le Cloud. Pensez à vos concurrents qui ont besoin d’information stratégiques.

8.     N’utilisez pas d’antivirus ou autres applications de protection, cela pourrait nuire à l’action des pirates. Tout le monde a le droit de travailler, non ?

9.     Flashez tous les QR Code que vous croisez, quel que soit le support. C’est tellement pratique ces petits machins. Et puis les programmes malveillants ne sont pas partout quand même !

10.  Effectuez vos paiements depuis votre mobile sans vous préoccuper de rien. Votre banque vous a fait signer une bonne assurance. Enfin, peut-être…

11.  Acceptez tous les messages commerciaux envoyés par SMS ou MMS, pour vous proposer de faux services. Ça ne coûte que quelques centimes d’euros. Ce n’est pas grand chose.

12.  Téléchargez des applications de sources inconnues avec votre téléphone jaibreaké. Il n’y a aucun risque. Aucun.

13.  Installez sans discernement toute application qui vous semble utile. Oui, même celle pour connaître l’horoscope de votre orchidée. Si, elle est très utile. Et puis c’est impossible que des pirates l’utilisent pour contrôler votre mobile, gérer et voir vos contenus, lire vos messages, consulter vos informations bancaires…

Encore des prédictions sécurité pour 2014

Alors que la fin d’année approche, Symantec publie ses prévisions annuelles pour 2014 en matière de sécurité informatique. Voici les grandes tendances qui attendent les utilisateurs, particuliers comme entreprises, et ce qu’elles impliquent.

1.      Les utilisateurs et les entreprises vont enfin prendre des mesures concrètes pour garantir la confidentialité de leurs données
En 2013, les problèmes de confidentialité ont fait les gros titres, amenant les individus et les entreprises à prendre conscience de la quantité d’informations personnelles qui sont partagées et recueillies chaque jour par un nombre incroyable de personnes, allant du médecin au réseau social. Il est donc fort probable que la protection des données confidentielles devienne une fonctionnalité à part entière des produits existants et à venir. Par la suite, au-delà de 2014, la question sera de savoir si oui ou non une fonctionnalité assure une réelle protection de la vie privée. Il y a fort à parier que Tor, application qui garantit l’anonymat en ligne, saura très vite séduire l’ensemble des internautes. L’adoption de pseudonymes ou de faux noms sur les réseaux sociaux sera plébiscitée par les utilisateurs qui souhaitent protéger leur vie privée. Qui mènera la danse ? Les adolescents. Ils tiennent à protéger leur vie privée, et pas seulement vis-à-vis de leurs parents. Dans ce contexte, de plus en plus d’internautes se tournent vers de nouveaux réseaux sociaux de niche pour communiquer avec leurs amis dans l’ombre. Une tendance qui en amène une autre…

Protéger ses informations confidentielles et son identité s’applique non seulement pour les particuliers mais également pour les entreprises et administrations. En 2014, les organisations au sens large continueront leur démarche de protection de ce qui compte pour elles : leurs données critiques. Avec la profusion d’offres et de technologies existantes, elles devront déterminer celles qui seront le plus ou le mieux adaptées à leur cas de figure. Le cas échéant, leur implémentation pourrait s’avérer contre-productive et ne protéger que partiellement ou inutilement leurs données, voire les chiffrer mais les rendre indéchiffrables pour le détenteur des données. Autre tendance forte : la nécessaire protection de l’identité de ces entreprises : la compromission d’identités et le hacking de moyens de communication publics ont déjà été notés en 2013 et se répèteront probablement l’an prochain, avec des conséquences potentiellement graves pour leur réputation et les prises de décisions économiques basées sur l’information.

2.      Les escrocs, collectionneurs de données, s’intéresseront au moindre réseau social, aussi obscur soit-il – en parallèle des cyber-pirates, l’émergence de cyber-corsaires
Il est tentant de croire qu’en changeant d’environnement, les problèmes s’envolent. Cela ne se passe pas comme cela dans la vie réelle, et encore moins sur les réseaux sociaux. Dès lors qu’un nouveau réseau social séduit les utilisateurs ; inévitablement, il attire les escrocs et les cyber-attaquants. Les utilisateurs qui pensent se retrouver entre amis sur le nouveau site risquent d’être très désagréablement surpris. Sur le web comme dans la vie réelle, si une opportunité paraît trop belle pour être vraie, c’est qu’il s’agit très certainement d’une escroquerie. Les utilisateurs doivent impérativement appliquer les meilleures pratiques de sécurité, où qu’ils se trouvent sur Internet, et quel que soit leur mode de connexion. Puisque l’on parle de connexion…

Le cyber-crime ne s’arrête pas aux individus, une nouvelle classe de cyber-mercenaires apparait ; le groupe « Hidden Lynx » analysé à l’automne dernier étant un premier exemple de groupe constitué. Ce cas particulier est potentiellement la partie émergée de l’iceberg, et pourrait révéler le développement de véritable cyber-corsaires : de plus en plus d’entreprises et d’agences auto-appelées « d’intelligence » ou de « cyber-sécurité » voient le jour, proposant des offres intégrant surveillance, interception, et destruction de cyber-attaques, voire également des contre-cyber-attaques. Celles-ci flirtent avec les limites de la légalité et tirent profit des difficultés à mettre en place un cadre législatif mondial. Leurs offres ciblent les entreprises et les états, avec comme bénéfices la possibilité de ne pas agir directement et donc de ne pas être potentiellement exposé publiquement.

3.      L’Internet des objets devient celui des vulnérabilités – La protection des infrastructures critiques plus que jamais d’actualité
2014 sera probablement l’année de l’Internet des objets. Les millions d’appareils connectés à Internet, généralement avec un système d’exploitation embarqué, vont attirer les attaquants comme un aimant. Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. De nombreux éditeurs de logiciels ont trouvé une solution pour avertir leurs clients et leur fournir des correctifs de vulnérabilité. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité. Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour.

L’Internet des objets s’insère de plus en plus dans notre quotidien, via les terminaux eux-mêmes, mais également à travers nos déplacements ou les services que nous consommons. Cet « Internet des vulnérabilités » concerne ainsi les récents développements technologiques promus et mis en place dans le secteur de l’énergie notamment, avec par exemple les compteurs intelligents. Ces vulnérabilités pourraient générer des retards dans leurs développements, ainsi que dans celui des « smart cities » et ainsi mettre en péril les données confidentielles d’administrations, d’entreprises et bien sûr de citoyens. En 2014, la protection des infrastructures critiques ne s’arrête ainsi plus aux centrales nucléaires, mais doit être désormais étendue à l’ensemble des infrastructures qui permettent un fonctionnement normal d’un pays et d’une économie.

Enfin, ce type de menaces doit être pris très au sérieux et aussi tôt que possible dans la chaine de production des objets connectés. C’est dès leur conception et tout au long de leur assemblage que la sécurité doit intervenir afin d’éviter des conséquences graves lors de leur connexion au réseau et de leur utilisation.

4.      Les applications mobiles profiteront de l’insouciance des utilisateurs – les opérateurs télécoms et Internet, eux, ne doivent pas sous-estimer les possibles attaques contre leurs infrastructures.
Les utilisateurs font (généralement) confiance à la personne avec laquelle ils dorment. Il ne faut donc pas s’étonner si, 48 % des utilisateurs dormant avec leur smartphone se laissent berner par un (faux) sentiment de sécurité. En 2013, une application mobile censée rapporter des « J’aime » supplémentaires sur Instagram a fait son apparition. Il suffisait pour cela de communiquer son identifiant et son mot de passe à une personne située quelque part en Russie. Plus de 100 000 personnes n’ont rien trouvé à redire à cette proposition. Il est naturel de penser que, grâce aux terminaux mobiles et aux remarquables applications installées dessus, la vie des utilisateurs deviendra meilleure. Dès qu’il s’agit de l’appareil que nous avons dans la poche, le sac ou sur la table de nuit, l’utilisateur perd tout esprit critique. En 2014, les personnes malintentionnées vont profiter de cette aubaine, sans parler des applications malveillantes. En 2014, les applications mobiles elles-mêmes vont être à l’origine de canulars, arnaques et escroqueries en tous genres.

En 2014 également, les téléphones mobiles serviront encore à … passer des appels! Avec le développement de la VoIP et la dépendance accrue des particuliers, entreprises et états aux réseaux de communication, la protection des infrastructures de télécommunications sera nécessairement d’actualité, afin d’éviter des attaques telles que les TDoS (ou Telephony Denial of Service) ou autres tentatives d’interception ou de modification de conversations.

Odin, le tchat sécurisé

Christophe Jochum a 24 ans. Cet informaticien Suisse vient de terminer une application web qui lui aura pris 5 mois de son temps. Baptisé Odin Secure Networking, l’outil a pour mission de protéger les internautes d’une cyber surveillance. « En vue des soucis actuels concernant l’écoute d’internet publique, indique à DataSecurityBreach.fr Christophe Jochum, j’ai développé une plateforme de discussion privée, cryptée, sans logs et ne retenant aucune informations sur les utilisateurs ou leurs messages« .

Voilà une idée intéressante, surtout qu’il devient de plus en plus difficile de garder une information confidentielle suite au politiques de confidentialité des entreprises telles que Google, Facebook, Microsoft etc… Pour rester dans la confidentialité et ne pas laisser de traces des échanges sur internet, il faut une bonne dose de connaissances informatiques (réseau Freenet, Tor, I2P), acquerir un service VPN (A noter l’excellent Vypr VPN). Autant dire que cela n’est pas obligatoirement simple.

Odin offre donc la possibilité de sécuriser un échange d’informations via un tchat. Odin permet à n’importe quel néophyte en informatique de dialoguer uniquement avec son interlocuteur, sans craindre la lecture d’une tierce personne ni une retenue d’informations. Grâce à plusieurs sécurités (de multiples encryptions à différentes étapes de la transmission du message et la suppression quasi instantanée des transactions encryptées), Odin s’annonce comme le seul service à ce jour permettant un total anonymat et une confidentialité absolue sur le web, et ce, tout en se situant sur le clear web. Odin est un projet en pleine évolution, plusieurs mises à jours sont en attente de publication.

Fuite de données : dîner de cons dans les ordinateurs des Hôtels

Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.

Il est mignon Monsieur Pignon…

Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.

Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.

En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels

Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.

Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.

Ordinateurs des Hôtels

Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.

Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.

Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels

La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.

Les dirigeants d’entreprise ne s’inquiètent pas de la sécurité des données sur le Cloud

Peu préoccupés par la sécurité, les hauts dirigeants n’hésitent pas à contourner les règles d’utilisation des applications sur le Cloud. Si la sécurité des applications déployées dans le Cloud est une préoccupation importante pour les utilisateurs professionnels, la plupart d’entre eux n’hésitent pas à recourir au Cloud pour y stocker leurs données personnelles et professionnelles…sans se soucier des risques encourus. C’est l’une des principales conclusions de la récente étude publiée par SafeNet Labs, créateur de la solution SafeMonk, nouveau  service de chiffrement des espaces de stockage dans le Cloud « Dropbox » à destination des entreprises.

Lorsque SafeNet Labs – incubateur technologique lancé par SafeNet, Inc. (leader mondial de la protection de données) en faveur du développement de nouvelles technologies – a demandé à des centaines d’utilisateurs professionnels du monde entier s’ils étaient préoccupés par la sécurité des applications ou des données stockées dans le Cloud, 52 % ont répondu « Oui ». Cependant, 64 % des personnes interrogées ont déclaré utiliser fréquemment des applications basées sur le Cloud pour stocker leurs données personnelles et professionnelles. À la question « Est-ce que la sécurité de vos données et informations vous empêche de dormir ?», plus de la moitié ont répondu « Non, je dors comme un bébé. »

Un examen approfondi des résultats de cette étude montre que plus un poste est élevé dans la hiérarchie d’une entreprise, plus son titulaire est susceptible de recourir à des services de partage de fichiers comme Dropbox – et ce, en dépit des règles en vigueur dans l’entreprise. Ainsi, 33 % des dirigeants de niveau corporate (CEO, CFO, COO.) répondent par l’affirmative contre seulement 18 % pour les autres employés. La majorité des personnes interrogées (59 %) a déclaré qu’elle « ne serait pas surprise » d’apprendre que leur patron ou des dirigeants de leur entreprise utilisent des applications de partage de fichiers telles que Dropbox, malgré les règles s’opposant à cette pratique. En général, les dirigeants se sentent moins préoccupés par la sécurité dans le Cloud que leurs collaborateurs (respectivement 39 % et 54 % ont répondu « Oui »).

« Cette étude suggère que l’utilisation d’applications et le stockage de documents dans le Cloud continuent de proliférer, et que les sociétés devraient revoir les attitudes archaïques qui prévalent quant à l’utilisation de ces applications dans l’entreprise », a déclaré à datasecuritybreach.fr Tsion Gonen, Chief Strategy Officer, SafeNet, Inc. « Il ne fait pas de doute que les hauts dirigeants comprennent parfaitement les avantages que peut offrir l’utilisation d’applications dans le Cloud, et qu’ils devraient donner à leur entreprise les moyens d’en tirer parti en adoptant des outils et des pratiques de sécurité modernes ».

Le critère géographique entre également en ligne de compte en matière de sécurité des données dans le Cloud. Par exemple, l’utilisation d’applications basées sur le Cloud est nettement plus courante dans la région EMEA (Europe, Moyen-Orient et Afrique) qu’aux États-Unis et en Asie-Pacifique, de même que les niveaux d’inquiétude concernant la sécurité des données ou l’application de règles contre l’utilisation d’applications dans le Cloud. Toutefois, les personnes interrogées dans la zone EMEA sont davantage susceptibles d’ignorer lesdites règles. L’objet de leur préoccupation varie également en ce qui concerne la confidentialité de leurs données : les personnes interrogées aux États-Unis et dans la région EMEA déclarent se méfier des administrations, tandis qu’en Asie-Pacifique, Google est en ligne de mire. De plus, les personnes consultées en Asie-Pacifique constituent le groupe d’utilisateurs le plus inquiet s’agissant de leurs données et informations, craignant qu’elles soient exploitées à des fins malveillantes.

Au total, 52 % des personnes interrogées se disent inquiètes à l’idée que leurs applications bancaires et financières puissent être piratées. Les systèmes qu’elles utilisent le plus souvent sont Dropbox pour le stockage de fichiers (39 %) et les outils d’organisation personnels (25 %) ; par ailleurs, la messagerie électronique reste le principal outil utilisé pour partager des fichiers (68 %), selon l’enquête.

* SafeNet Labs a mené cette enquête en août 2013. SafeNet Labs est le créateur de SafeMonk, seule solution de chiffrement au monde contre les interceptions, spécialement conçue pour les utilisateurs du service de partage de fichiers Dropbox.

9 entreprise sur 10 ont connu un problème de sécurité en 2013

A l’occasion de l’ouverture des Assises de la Sécurité à Monaco, Kaspersky Lab a présenté les principaux résultats de son étude « Global Corporate IT Security Risks 2013 », réalisée par B2B International en avril 2013 auprès de plus de 2800 entreprises à travers le monde. L’étude explique que 91% des entreprises ont connu au moins un incident de sécurité externe et 85% un incident interne au cours des 12 derniers mois, avec les conséquences financières que cela implique parfois. Ces chiffres élevés peuvent s’expliquer par un manque de connaissance des risques, exprimé par les professionnels. Un quart des répondants considèrent que les problèmes de sécurité informatique « n’arrivent qu’aux autres ». 28% des entreprises pensent à tort que s’équiper d’une solution de sécurité informatique représente un investissement plus élevé que les coûts liés à une attaque.

Près 60% des responsables informatiques ne disposent pas des ressources de temps et d’argent nécessaires à la mise en place de règles de sécurité informatique. En conséquence, seule 1 entreprise sur 2 pense disposer des processus automatisés et organisés nécessaires à la gestion des menaces. La situation est particulièrement critique dans le secteur de l’éducation, où 28% des organisations confirment disposer de règles de sécurité suffisantes. Plus inquiétant encore, 34% seulement des organisations gouvernementales ou travaillant dans le secteur de la défense au niveau mondial disposent des ressources nécessaires pour développer des règles de sécurité. Les autres, elles, sont exposées au danger permanent de perdre des informations gouvernementales confidentielles.

Pourtant, il suffit parfois d’une seule mesure, comme la mise en place d’une stratégie de sécurité mobile, associée à de la pédagogie, pour réduire de manière significative les risques liés à l’utilisation des smartphones et des tablettes en entreprise, qu’il s’agisse de flottes professionnelles ou dans le cadre du BYOD. Ainsi, l’étude révèle que près de la moitié des répondants ne disposent pas de ce type protection. Même les entreprises qui disposent d’une stratégie de sécurité mobile ne peuvent y attribuer les ressources associées : près de la moitié déplorent des augmentations de budgets insuffisantes, et 16% n’ont enregistré aucun accroissement budgétaire.

Documents et informations d’entreprise malmenés par les travailleurs à domicile

Une enquête dans cinq pays européens, effectuée par Opinion Matters à la demande d’Iron Mountain, révèle à datasecuritybreach.fr un comportement dangereux des travailleurs à domicile vis-à-vis des informations professionnelles. C’est ainsi que quelque 50 pour cent des participants à l’étude ont avoué avoir déjà envoyé des documents d’entreprise via leur compte webmail personnel, peu importe où l’information était stockée. En outre, 29 pour cent d’entre eux laissaient circuler sans problème des informations et des documents professionnels au sein de leur domicile, alors que 19 pour cent jetaient même ce genre de documents dans leur poubelle domestique.

Un pourcentage suffisamment élevé pour rendre de nouveau (plus) populaire la pratique de ‘dumpster diving’ (la collecte et la fouille des déchets domestiques de personnes et d’entreprises connues). Ce pourcentage est d’autant plus étonnant que l’on conseille depuis longtemps déjà de ne même plus jeter de courrier personnel dans les ordures ménagères. Mais dans d’autres endroits aussi, l’on traite négligemment les informations professionnelles. C’est ainsi que quelque 11 pour cent des répondants ont déjà expédié des documents de travail d’un restaurant, alors que 7 autres pour cent l’ont fait par l’entremise d’un lien wifi non sécurisé. Ces chiffres sont d’autant plus inquiétants que l’étude révèle que ce sont les chefs d’entreprise et les membres de la direction qui travaillent le plus souvent à domicile (plus de la moitié d’entre eux travaillent deux jours ou plus par semaine à la maison), suivis par les collaborateurs du département marketing (35 pour cent d’entre eux travaillent chez eux plus de deux jours par semaine).

DataSecurityBreach.fr vous propose quelques trucs et astuces en vue de sécuriser davantage le travail à domicile :
– Appliquez une politique claire à propos de la sécurité au travail en dehors de l’entreprise.
– Soyez précis quant à la manière dont l’information sensible doit être traitée.
– Prévoyez une infrastructure sécurisée.
– Veillez à une formation adéquate et régulière.
– Prévoyez un accès sécurisé aux données de l’entreprise, afin d’éviter le stockage et l’impression locales de celles-ci.
– Le chiffrement est obligatoire.
– Les sauvegardes se font sur des supports amovibles sécurisés et non connectés au réseau des réseaux.

– Un broyeur de papier est indispensable (voir bruler les documents.

Vous voyagez avec vos appareils connectés ? N’oubliez pas de penser à leur/et votre sécurité.

Vous partez en vacances ? Une enquête reçue à la rédaction de DataSecurityBreach.fr, menée par F-Secure, met le doigt sur les moments de vos vies digitales qui nécessitent une attention particulière lors de vos déplacements.

Lorsque l’on voyage, il est pratique d’utiliser les réseaux Wifi public des aéroports ou encore des restaurants. Pourtant, 52% des sondés sont inquiets de la sécurité et la confidentialité de ces réseaux, et avec raison. Sean Sullivan, Security Advisor chez F-Secure Labs, affirme qu’il ne faut pas oublier que ces réseaux  Wifi portent bien leurs noms : ils sont publics. Vous partagez ces réseaux avec des inconnus, et il y a toujours le risque qu’ils puissent utiliser un logiciel pour regarder ce que vous faites en ligne.

Selon Sean Sullivan, « Il est naturel de penser qu’il y a de la confidentialité parce que nous utilisons un appareil personnel… mais en réalité ce n’est pas du tout le cas ». Il conseille de ne pas faire ce que l’on souhaite laisser à l’abri des regards indiscrets, comme des connections à des comptes protégés par des mots de passe. Il ajoute : « J’utilise les réseaux de Wifi public pour des choses dont je parlerais avec un ami dans le métro. Les opérations bancaires, je les fais chez moi ».

Le même raisonnement vaut pour l’utilisation des ordinateurs publics dans les bibliothèques ou les cybercafés. Sean Sullivan conseille une utilisation réfléchie et limitée (par exemple, lire les actualités), parce que des logiciels espions pourraient être installés sur l’ordinateur… et voler vos mots de passe.

Si vous devez utiliser des réseaux publics pour communiquer avec vos proches, M. Sullivan recommande la création d’une adresse mail que vous n’utiliseriez que lorsque vous êtes en vacances, et qui n’a rien à voir avec votre adresse mail habituelle. « De cette façon, si quelqu’un pirate votre adresse mail de vacances, il ne pourra que voir des mails de votre mère ou de la gardienne de votre chat, mais ils n’auront pas accès aux données sensibles qui seraient en mémoire dans votre compte de messagerie principal », dit-il.

Une opération bancaire à faire ? Les précautions à prendre lorsque vous êtes loin de chez vous. 85% des gens disent qu’ils se connectent à leur banque via leurs ordinateurs, et 24% à partir de leurs smartphones. Comment procéder si vous deviez absolument faire une transaction lorsque vous êtes en vacances ? Il est probablement préférable d’utiliser votre forfait data mobile avec l’application mobile de votre banque, même si cela signifie faire du roaming. Cela peut coûter un peu cher, mais c’est toujours moins onéreux que de se faire vider votre compte. Les banques utilisent des connections HTTPS. Sont-elles pour autant sécurisées quand vous y accédez via les réseaux Wifi publics ? 39% des gens utilisent très peu de mots de passe différents pour leurs différents comptes. Et si vous utilisez le même mot de passe sur un site non sécurisé et sur un site sécurisé (comme celui de votre banque), cela signifie qu’un « fouineur » pourrait facilement accéder à votre compte bancaire. Les « fouineurs » utilisent parfois des méthodes plus rudimentaires : jeter discrètement un coup d’œil par-dessus votre épaule quand vous entrez votre mot de passe peut leur suffire pour vous le dérober !

Gardez votre contenu en toute sécurité lorsque vous êtes sur la route des vacances 67% des sondés accordent plus de valeur aux contenus d’un appareil plutôt qu’à l’appareil lui-même, d’un point de vue matériel. Cela illustre l’importance des sauvegardes avant le départ en vacances. Par exemple, en utilisant un service de synchronisation de contenu comme Content Anywhere de F-Secure. Fourni par les opérateurs, il permet aux utilisateurs d’avoir accès aux contenus de l’appareil automatiquement synchronisés sur leur cloud personnel. Grâce à ces services, nous ne somme plus obligés de voyager avec des périphériques de stockage encombrants (comme des disques durs), et il est facile de partager nos photos de vacances, en toute confidentialité et en toute sécurité. Les données que vous mettez dans le « Content Cloud » de F-Secure sont entièrement chiffrées pendant le transfert et le stockage.

La localisation d’un appareil perdu ou volé Perdre ou se faire voler un téléphone portable peut gâcher les vacances. DataSecurityBreach.fr a pu lire qu’avec 61% des personnes qui ont une double utilisation pro/perso de leurs appareils, il y a de bonnes raisons d’être prudent. Un téléphone perdu pourrait avoir un impact non seulement sur vos propres données, mais aussi sur celles de votre entreprise. L’application gratuite Anti-Theft de F-Secure pour smartphones et tablettes vous permet de verrouiller à distance et de localiser votre appareil, et si nécessaire, en effacer toutes les données. Autre recommandation : assurez-vous que le mot de passe de votre téléphone portable verrouillant votre écran se mette en place après un court laps de temps, comme une minute.

D’autres conseils si vous utilisez les Wifi public:

·         Ne laissez pas votre appareil se connecter automatiquement à des réseaux publics.

·         Effacez les points d’accès Wifi que vous avez utilisé lorsque vous rentrez chez vous.

·         Ne soyez pas connecté aux applications dont vous n’avez pas besoin lorsque vous vous déplacez.

·         Vérifiez auprès de l’établissement que le réseau Wifi auquel vous vous connectez est vraiment le leur, et non pas celui qu’un « fouineur » aurait mis en place pour vous tromper.

·         Soyez conscient de votre environnement et de toute personne qui pourrait être en train de jeter un regard par – dessus votre épaule.

·         Utilisez un mot de passe différent pour chaque compte.

·         Pour les ordinateurs portables, désactiver le partage de fichiers, activez le pare-feu et configurer le de sorte qu’il bloque les connexions entrantes.

·         Si possible, utilisez un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) qui sécurise votre connexion même sur le Wifi public.

·         Utilisez un routeur de voyage avec une carte SIM prépayée pour créer votre propre réseau Wifi.

·         A minima, vérifiez la présence du cadenas et du « https » dans la barre d’adresse pour n’importe quel site contenant vos informations personnelles. S’ils ne sont pas là, il est préférable d’éviter le site.

·         En règle générale : considérez que tout ce que vous faites sur un réseau Wifi public est comme une conversation publique.