Cybersécurité - Innovations digitales et numériques

La forteAlign Full pression émanant des directions générales pour sécuriser leur entreprise a augmenté au cours des 12 derniers mois (de près d’un tiers pour le panel mondial et de 11% en France), faisant de la sécurité une priorité et une préoccupation clé sur les autres projets de l’entreprise. Cet état des lieux résulte d’une enquête indépendante commanditée par Fortinet sur plus de 1600 décideurs informatiques, en grande partie d’entreprises de plus de 500 collaborateurs. Toutes les personnes interrogées provenaient du panel en ligne de l’entreprise d’étude de marché Lightspeed GMI.

Pour mieux gérer le risque, les entreprises dans le monde dépenseraient 71,1 milliards de dollars dans la sécurité de l’information en 2014 et près de 77 milliards de dollars en 2015. Soit une croissance annuelle d’environ 8%, d’après Gartner. Pour la société d’études américaine, quatre forces – Cloud, mobilité, interactions sociales et information – dynamisent le marché.

add your insight...

L’impact du BYOD (Bring Your Own Device) sur la sécurité des systèmes d’information et la confidentialité des données est diversement appréhendé par les salariés et les employeurs, indique Webroot dans un rapport. Le fournisseur américain de solutions de sécurité informatique fait référence à deux enquêtes en ligne réalisées aux États-Unis par Harris Poll. La première a été menée en décembre 2013 auprès d’un échantillon de 2 129 employés, la seconde, en avril 2014, auprès de 205 professionnels IT actifs dans des entreprises de 500 salariés et plus.

Technologies, médias, télécoms, e-commerce, assurance, industrie et retail sont des secteurs particulièrement ciblés par les cyberattaques. Pour mieux gérer le risque, les DSI ont tout intérêt à identifier les actifs les plus exposés, observe le cabinet Deloitte. Celui-ci propose dans son étude « Global Cyber Executive Briefing » un panorama des menaces par secteur.

Légitimement, votre DSI vous alertera sur les risques liés à la sécurité. Après tout, vous souhaitez utiliser des serveurs mutualisés avec d'autres clients de l'opérateur cloud, peut-être vos concurrents. Certes, il est possible de demander à l'opérateur de vous dédier un serveur. Mais il n'en reste pas moins inquiétant de confier ses données à un prestataire externe. Bien sûr, tous vous assurent que tout est sécurisé. Assurez-vous quand même que vos données soient bien protégées derrière différents remparts informatiques successifs, les firewall. Ne loger pas toutes vos informations à la même enseigne. Plus elles sont importantes, plus elles doivent être isolées du reste du réseau. Les plus sensibles méritent sûrement d'être cryptées. Dernier point, lisez bien votre contrat et vérifiez bien que l'opérateur cloud ne prend pas possession de vos données au moment où elles arrivent sur ses serveurs. De même, renseignez-vous bien quant aux possibilité de mettre à terme au contrat  : l'opérateur gardera-t-il vos informations ?

Le cabinet note que la prise de conscience des dirigeants s’est « généralement traduite par la mise en place de systèmes de détection efficaces reposant sur des analyses de données. Ces systèmes permettent de mieux identifier les cas de fraude ce qui explique, en partie, la forte augmentation des fraudes rapportées par les entreprises tant au niveau mondial qu’au niveau français », écrit PwC, qui met en exergue la montée en puissance des modes de détection par analyse de données ou identification des transactions inhabituelles. 43 % des fraudes détectées en France l’ont été par le biais de ces systèmes automatisés.

AirWatch bénéficie de l’écosystème de partenaires technologiques et d’intégration d’API le plus abouti du marché. Les entreprises peuvent tirer profit des fonctionnalités d’AirWatch tout en capitalisant sur l’intégration avec les prestataires de gestion des risques pour applications du Marketplace d’AirWatch comme Appthority ou Veracode pour des fonctionnalités additionnelles.

C'est aux abords de Lille que la matinée débat IT Tour le Monde Informatique a donné rendez-vous aux responsables informatiques de la région le 21 novembre 2013. En association avec le GUN et le Clusir Infonord, plusieurs tables rondes ont réuni des grands témoins : Emmanuel Dupont, RSSI d'Holcim France Benelux ; Didier Lamballais, DSI de l'Université de Lille 1 ; Pierre-Marie Moulière, DSI du groupe ARC et membre du GUN ; Thierry Servais, Président du Clusir Infonord et RSSI de Kingfisher et Jean-François Guilbert de Manpower. Voici un résumé des échanges.

Les spécialistes sécurité de Red Hat ont donné des éléments techniques sur les risques de Shell Shock. L’interpréteur de commandes Bash lit et exécute des valeurs d’environnement de certaines applications. L’objectif de la faille est d’arriver à modifier les variables d’environnement par du code malicieux. Red Hat donne plusieurs types de scénarios utilisant différents vecteurs, comme ForceCommand, via des scripts CGI des serveurs Apache, des clients DHCP et des applications qui utilisent Bash. « Elles sont plus nombreuses que l’on ne croit. Par exemple, quand vous recevez un mail, le service de messagerie fait des recherches pour savoir s’il s’agit d’un spam. Pour cela, le moteur va regarder les barrières d’environnements que l’interprétateur va lui fournir. Or si les variables ont été modifiées, le message compromis contournera les blocages », constate Paul-Henri Huckel.

La problématique n’est pas nouvelle. Les flux HTTPS représentent déjà une part significative du trafic Internet. Mais l’annonce faite récemment par Google, l’acteur leader du référencement surtout en Europe, de sa volonté de privilégier sur son moteur de recherche les sites proposant des connexions HTTPS (combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS) risque de donner un sérieux coup d’accélérateur au phénomène. Avec des conséquences pour les webmasters, mais surtout pour les responsables sécurité (RSSI) des entreprises, comme l’explique Dominique Loiselet, directeur général del’éditeur américain Blue Coat pour la France.

Voici le mode opératoire de cette attaque : imaginons que l’ouverture de la fenêtre de connexion de l’application eBay demande 13,5 Ko de mémoire vive. Le logiciel malveillant fonctionne en tâche de fond et surveille la mémoire consommée par le système (une information librement accessible). Lorsque cette dernière grimpe de 13,5 Ko, il affiche sa propre fenêtre de connexion – identique à celle de l’application eBay – par-dessus celle de ladite application. Et le tour est joué.

Au sein de 14 chapitres, le référentiel de l’Anssi répertorie les exigences et recommandations que les prestataires de Cloud (Saas, Iaas et Paas) devront respecter pour être qualifiés. Et propose deux niveaux de sécurité : le premier, dit élémentaire, est conforme aux impératifs propres à la politique de sécurité des systèmes d’information de l’Etat (PSSIE), tandis que le second, dit standard, permet d’assurer le traitement des données de niveau diffusion restreinte (le niveau le plus faible en matière d’information classifiée). Le référentiel prévoit notamment que le stockage et le traitement des données doivent être effectués sur le territoire. Le prestataire doit également proposer un support de premier niveau francophone et installé dans l’Hexagone, revoir au moins une fois par an sa politique de gestion des identités et de contrôle des accès ou encore revalider, à la même fréquence, les droits d’accès des utilisateurs. Cette revalidation est même trimestrielle pour les comptes à privilèges élevés, selon la version du référentiel actuellement disponible. De même, l’Anssi prévoit une généralisation du chiffrement (flux et stockage des données), y compris au niveau élémentaire.

La dépendance aux services informatiques est une réalité pour 77% des entreprises interrogées. Ces structures ne peuvent supporter plus de 24 heures d’interruption. Pourtant, plus du quart (27%) des organisations concernées ne prennent pas en compte la continuité d’activité. Et 25% des plans de continuité d’activité (PCA) ne sont jamais utilisés…

Les besoins en cybersécurité ne cessent d’évoluer, tant du côté des grands comptes que des PME. « On assiste à un mouvement vers la surveillance du SI des entreprises, et donc les MSSP continueront clairement d’être sollicités dans les mois à venir, témoigne l’expert en sécurité. Je ne connais pas de client qui ne se pose pas la question aujourd’hui. »

Depuis le 7 avril, un nom et un logo, jusqu’alors inconnus, ont fait le tour du Web : Heartbleed, un cœur qui saigne. L’importance de cette faille de sécurité affectant la librairie de chiffrement SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin – très loin même – d’avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web : toutes les DSI sont, de près ou de loin, concernées par Heartbleed en raison de l’emploi très courant de la librairie OpenSSL dans des logiciels et matériels du marché.

En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières contre-mesures.

Il n’existe pas de stratégie universelle d’adoption du Cloud. Quelques grandes étapes sont pourtant à suivre : identifier les applications et services IT éligibles au Cloud en évaluant la valeur apportée, le niveau de confidentialité des données et le niveau de spécificité des services. Pour chaque service éligible au Cloud, en vision cible, l’approche SaaS est à privilégier, avant d’envisager le PaaS, voire le IaaS pour les services très spécifiques. Ces mouvements sont à préparer en renforçant progressivement le niveau de standardisation des socles logiciels et techniques qui constituent le SI actuel.

La DSI se positionnera peu à peu comme un Cloud broker proposant à ses utilisateurs (clients finaux, collaborateurs, équipes projets IT) des services accessibles au travers de portails et offrant les moyens techniques (intégration, sécurité, pilotage) et humains (conseil, support) nécessaires pour garantir l’usage de ces services dans de bonnes conditions. Son rôle consistera à trouver les solutions offrant le meilleur équilibre entre adéquation aux besoins et attractivité économique en veillant à conserver l’agilité nécessaire pour changer de fournisseur en cas d’offres plus performantes apparaissant sur le marché.

La partie privée permet une utilisation libre des fichiers à des fins personnelles, tandis que la partie entreprise permet de cloisonner les données dans un ‘container’ chiffré et géré par l’organisation. Laquelle peut notamment effacer des éléments à distance, transférer des comptes (en cas de départ ou de reclassement d’un employé) et partager des journaux d’audit. De quoi enfin rassurer en partie les DSI, qui pestent régulièrement contre la multiplication des comptes Dropbox dans leurs organisations, au mépris des règles de sécurité qu’ils défendent.