Cybersécurité - Innovations digitales et numériques

Vous le savez, le BOYD n’est pas totalement dépourvu de risque loin de là mais il confère de nombreux avantages. Alors, à chacun sa politique d’entreprise !

L’impact du BYOD (Bring Your Own Device) sur la sécurité des systèmes d’information et la confidentialité des données est diversement appréhendé par les salariés et les employeurs, indique Webroot dans un rapport. Le fournisseur américain de solutions de sécurité informatique fait référence à deux enquêtes en ligne réalisées aux États-Unis par Harris Poll. La première a été menée en décembre 2013 auprès d’un échantillon de 2 129 employés, la seconde, en avril 2014, auprès de 205 professionnels IT actifs dans des entreprises de 500 salariés et plus.

Dans de nombreuses régions on constate une résistance à l'adoption du BYOD, essentiellement en raison de préoccupations concernant la sécurité des données professionnelles sur les appareils, l'identité des utilisateurs et la sécurité des applications.
Par rapport à celles qui se montrent réticentes, les entreprises qui ont adopté le BYOD sont aujourd'hui en situation d'exploiter beaucoup mieux tous les avantages de cette tendance, tels que la diminution des coûts informatiques ou l'augmentation de la productivité des utilisateurs.
Les solutions disponibles aujourd'hui permettent un contrôle avancé de la sécurité pour les appareils personnels ou professionnels, tout en offrant une expérience utilisateur simplifiée. Les entreprises ont la possibilité d'ouvrir un accès professionnel depuis les appareils des utilisateurs avec un contrôle plus fin, en isolant les données professionnelles des données personnelles, permettant ainsi d'accéder en toute sécurité aux applications de l'entreprise, en respectant ses règles de gouvernance.

Pour révéler le positionnement actuel des entreprises européennes par rapport à l'utilisation professionnelle d'appareils personnels, ou BYOD (Bring Your Own Device), Oracle lance son observatoire Oracle European BYOD Index (1).

Cette révolution des usages pose d’importants problèmes de sécurité : risque de contamination du réseau, d’interception de données stratégiques, etc. Le risque provient essentiellement des terminaux non administrés. Ces électrons libres, Dell propose aux entreprises de les intégrer dans leur stratégie en associant le client SonicWALL Mobile Connect 3.0 à l’appliance – solution matérielle indépendante qui se greffe dans l’architecture du réseau – SonicWALL Secure Remote Access 7.5.

La combinaison des deux offres permet notamment d’exploiter des outils de contrôle des accès par SSL VPN aux applications et ressources. Les administrateurs peuvent également définir des politiques de sécurité basées sur l’authentification contextuelle, avec par exemple une vérification du statut jailbreak/root, de la version du système d’exploitation ou encore de la validité du certificat. Les terminaux qui ne remplissent pas les critères paramétrés ne peuvent pas accéder au réseau.

La stratégie de sécurité de CA Technologies reste la même, mais appliquée à ce contexte différent : s’assurer que les bonnes personnes disposent des bons accès aux bonnes informations. Nous répondons ainsi aux questions « Qui ? » ; « Comment ? » (Par quels moyens ou équipement, confidentialité) ; ou « A quoi ? » (accès aux applications, clouds, services, etc.). Pour répondre à la question « Pour quoi ? », nous proposons des modèles (pattern) : tel utilisateur depuis ce type d’équipements ou d’environnement personnel, depuis telle localisation géographique… Si un écart est constaté par rapport au modèle rattaché à l’utilisateur (comme un accès depuis un  pays non listé), une question supplémentaire peut être demandée via SMS par exemple.

AirWatch bénéficie de l’écosystème de partenaires technologiques et d’intégration d’API le plus abouti du marché. Les entreprises peuvent tirer profit des fonctionnalités d’AirWatch tout en capitalisant sur l’intégration avec les prestataires de gestion des risques pour applications du Marketplace d’AirWatch comme Appthority ou Veracode pour des fonctionnalités additionnelles.

C'est aux abords de Lille que la matinée débat IT Tour le Monde Informatique a donné rendez-vous aux responsables informatiques de la région le 21 novembre 2013. En association avec le GUN et le Clusir Infonord, plusieurs tables rondes ont réuni des grands témoins : Emmanuel Dupont, RSSI d'Holcim France Benelux ; Didier Lamballais, DSI de l'Université de Lille 1 ; Pierre-Marie Moulière, DSI du groupe ARC et membre du GUN ; Thierry Servais, Président du Clusir Infonord et RSSI de Kingfisher et Jean-François Guilbert de Manpower. Voici un résumé des échanges.

Il n'y a guère qu'au Royaume-Uni que le tarif médian des licences a significativement progressé. Ce qui explique surement que l'Angleterre soit leur seul territoire d'Europe de l'Ouest où les ventes en volume aient baissé. En Allemagne, en revanche, elles ont progressé de 232%. La France a également affiché un beau dynamisme (+100%), tandis que l'Espagne et l'Italie se sont contentés de hausses respectives de +50% et +35%.

Un constat peu rassurant d’autant que d’autres menaces se profilent au gré des nouvelles technologies. Plus d’un tiers des personnes interrogées se verraient bien utiliser des Google Glass, une montre intelligente ou une voiture connectée à Internet. Les RSSI ne sont pas à bout de leur peine. Pour les sensibiliser, ils pourront néanmoins faire appel à leur connaissance des menaces. Une large majorité de nos Y comprend le sens des termes ou des expressions hacking, hameçonnage, cheval de Troie, spyware ou malware.

Les autres modes de connectivité, tels que le Bluetooth Low Energy, sont moins répandus, et donc plus difficiles à pirater. Chacun a son propre niveau de sécurité, mais nécessite la mise en place d'une infrastructure sous-jacente. Pour permettre le déploiement étendu de l’Internet des Objets grâce au Wi-Fi, il faut s'attaquer à d'importantes problématiques, parmi lesquelles la sécurité des réseaux.

Pour mieux gérer le risque, les entreprises dans le monde dépenseraient 71,1 milliards de dollars dans la sécurité de l’information en 2014 et près de 77 milliards de dollars en 2015. Soit une croissance annuelle d’environ 8%, d’après Gartner. Pour la société d’études américaine, quatre forces – Cloud, mobilité, interactions sociales et information – dynamisent le marché.

Cette société s’est spécialisé dans les outils permettant de gérer les terminaux mobiles personnels des salariés, lorsqu’ils sont utilisés dans un environnement professionnel. L’idée est de répondre aux défis du BYOD (Bring You Own Device) en séparant usages personnels et professionnels… d’où le nom de Divide.

NetIQ MobileAccess permet d’accéder de façon directe et sécurisée aux services et informations hébergés dans les réseaux intranet des entreprises, simplement en appuyant sur une seule et unique touche depuis n’importe quel terminal mobile iOS ou Android. Les règles d’accès varient en fonction de l’employé et de sa fonction, sans impact sur l’utilisateur ni sur son appareil.

Synthétisées en sept points clés (document PDF), leurs observations décrivent un climat d’incertitude, marqué par une évolution notable du comportement des cybercriminels. Exploitant le cloud, les terminaux mobiles et les technologies de communication sans fil, mais aussi les monnaies virtuelles ou encore les réseaux sociaux, les techniques d’attaque sont de plus en plus sophistiquées. D’une virulence sans précédent, les offensives se portent de plus en plus systématiquement sur les données à forte valeur, notamment la propriété intellectuelle, avec des motivations d’ordre essentiellement financier.

 

http://www.mcafee.com/us/resources/reports/rp-threats-predictions-2014.pdf

La plupart des attaques sont cependant réalisées via la messagerie électronique des utilisateurs. Rien de nouveau sous le soleil, mais les pirates n’ont aucune raison de changer de tactique tant que ça marche. Les fichiers bureautiques corrompus envoyés par courriel ont donc toujours la côte. « Ces incident pourraient souvent être évités par des mesures simples à mettre en œuvre (sensibilisation des utilisateurs, mesures de filtrage…) » rappelle pourtant le Certa. Et, bien-sûr, rien ne vous empêche de jeter un œil aux guides publiés par l’Anssi… http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf

La partie privée permet une utilisation libre des fichiers à des fins personnelles, tandis que la partie entreprise permet de cloisonner les données dans un ‘container’ chiffré et géré par l’organisation. Laquelle peut notamment effacer des éléments à distance, transférer des comptes (en cas de départ ou de reclassement d’un employé) et partager des journaux d’audit. De quoi enfin rassurer en partie les DSI, qui pestent régulièrement contre la multiplication des comptes Dropbox dans leurs organisations, au mépris des règles de sécurité qu’ils défendent.

Monsieur Spagnou, RSSI au sein de la DCNS nous présente son métier et nous donne le profil « type » du hacker qui est de plus en plus organisé et expérimenté.

Jean-René Spagnou évoque le BYOD et les difficultés liées à ce nouveau mode d’utilisation des outils mobiles ainsi que les problématiques de sécurité liées au cloud.

Malgré des réticences compréhensibles chez les DSI, cloud et sécurité se rapprochent de plus en plus du coté logiciel.  Gartner annonçait au  début de l’année que le marché global de la sécurité dans le cloud atteindrait 2,1 milliards de dollars en 2013 et qu’il en représenterait 3,1 milliards en 2015. L’évolution s’effectue rapidement dans trois secteurs incontournables: les domaines de la gestion des identités (IAM), de la gestion des incidents de sécurité (SIEM) et de la sécurité du courrier électronique. Pour le cabinet d’études américain, la simplification des mises à jour qui existent déjà, avec  logiciels en mode SaaS, pousse à la multiplication des systèmes de sécurité hébergés. Ceux-ci ne souffrent pas d’être pris en défaut, comme leurs confrères planqués dans les entreprises  mais souvent ignorés par des mises à jours salvatrices.

Les technologies « wearable » (se portant comme un vêtement, telles que les Google Glass) devraient se diffuser rapidement pour la majorité des répondants. 16% des répondants (11% en France) pensent les adopter dès que possible, 33% (26% en France) quand les prix baisseront.

Les usages professionnels des outils personnels n'est finalement que peu freinés par les incidents de sécurité. 55% des répondants estiment avoir eu leur ordinateur victime d'une attaque (45% en France) mais 19% seulement estiment que leur smartphone a été attaqué (16% en France). 14% au niveau mondial (18% en France) refuseraient d'avouer à leur employeur une compromission de données professionnelles sur un terminal personnel.