Cybersécurité - Innovations digitales et numériques

83% des entreprises n'ont pas d'équipe dédiée au traitement des cyber-attaques et 58% n'ont pas de procédure de notification en tel cas. Pourtant 52% savent qu'elles ont déjà été attaquées et 33% pensent que cela n'a pas été le cas. Les attaques sont à la fois ciblées et opportunistes pour 37% des répondants, opportunistes pour 26% et ciblées pour 25%. Ces chiffres sont issues d'une étude qui vient d'être publiée par le cabinet Provadys en collaboration avec le Cesin (Club des Experts de la Sécurité de l'Information et du Numérique).

Monsieur Spagnou, RSSI au sein de la DCNS nous présente son métier et nous donne le profil « type » du hacker qui est de plus en plus organisé et expérimenté.

Jean-René Spagnou évoque le BYOD et les difficultés liées à ce nouveau mode d’utilisation des outils mobiles ainsi que les problématiques de sécurité liées au cloud.

Monsieur de Maupeou, Directeur du secteur conseil en sécurité chez Thalès, nous explique combien il est important de prévenir plutôt que de guérir !

Stanislas de Maupeou nous parle également de Thalès et des laboratoires mis en place.

Monsieur de Maupeou, Directeur du secteur conseil en sécurité chez Thalès, nous présente son point de vue sur la cybercriminalité actuelle et à venir.

Il n'y a guère qu'au Royaume-Uni que le tarif médian des licences a significativement progressé. Ce qui explique surement que l'Angleterre soit leur seul territoire d'Europe de l'Ouest où les ventes en volume aient baissé. En Allemagne, en revanche, elles ont progressé de 232%. La France a également affiché un beau dynamisme (+100%), tandis que l'Espagne et l'Italie se sont contentés de hausses respectives de +50% et +35%.

Malgré des réticences compréhensibles chez les DSI, cloud et sécurité se rapprochent de plus en plus du coté logiciel.  Gartner annonçait au  début de l’année que le marché global de la sécurité dans le cloud atteindrait 2,1 milliards de dollars en 2013 et qu’il en représenterait 3,1 milliards en 2015. L’évolution s’effectue rapidement dans trois secteurs incontournables: les domaines de la gestion des identités (IAM), de la gestion des incidents de sécurité (SIEM) et de la sécurité du courrier électronique. Pour le cabinet d’études américain, la simplification des mises à jour qui existent déjà, avec  logiciels en mode SaaS, pousse à la multiplication des systèmes de sécurité hébergés. Ceux-ci ne souffrent pas d’être pris en défaut, comme leurs confrères planqués dans les entreprises  mais souvent ignorés par des mises à jours salvatrices.

« Le soupçon de malveillance que nous avions a été confirmé », souligne Clément Saad, cofondateur de Pradeo. Application utilisée par près de 50 millions de personnes dans le monde, Go Weather affiche la météo sur les smartphones iOS ou Android.

L'initiative de Facebook pourrait très bien ne pas être isolée face aux vols de données clients d'Adobe. Selon le journaliste Brian Krebs, certains sites comme Diapers.com et Soap.com, tous deux exploités par Amazon, ont envoyé des messages à leurs clients pour les informer que leurs mots de passe avaient été réinitialisés, car ils correspondaient à ceux d'une liste publiée sur Internet.

Sur son blog officiel, Mozilla explique qu’au sein de la version 26 bêta de Firefox, le dispositif est directement activé (à l’exception des dernières versions de Flash Player). En effet, d’après les développeurs du navigateur Web, les vieux plugins constituent une menace importante et créent des vulnérabilités pouvant amener au piratage de la machine d’un utilisateur, et ce, rien qu’en visitant un site piégé.

Les technologies « wearable » (se portant comme un vêtement, telles que les Google Glass) devraient se diffuser rapidement pour la majorité des répondants. 16% des répondants (11% en France) pensent les adopter dès que possible, 33% (26% en France) quand les prix baisseront.

Les usages professionnels des outils personnels n'est finalement que peu freinés par les incidents de sécurité. 55% des répondants estiment avoir eu leur ordinateur victime d'une attaque (45% en France) mais 19% seulement estiment que leur smartphone a été attaqué (16% en France). 14% au niveau mondial (18% en France) refuseraient d'avouer à leur employeur une compromission de données professionnelles sur un terminal personnel.

Monsieur Spagnou parle des changements qui ont eu lieu dans le métier des constructions navales. L’informatique est maintenant au cœur de la conception des navires d’où l’importance de la sécurité des systèmes d’information au sein de la DCNS.

Jean-René Spagnou explique à quel point le secret militaire et des affaires lui confère une autorité non discutable. Par exemple, tous les nouveaux embauchés se doivent de respecter des règles strictes vis à vis des systèmes d’information et de leur communication sur les réseaux sociaux.

Monsieur Bertrand, spécialiste de la conformité informatiques et libertés, conseille aux entreprises de faire un état des lieux puis d’établir une feuille de route afin d’être en régularité avec la législation.

Monsieur Bertrand met en avant le fait que les obligations demandées par la CNIL concernent l’informatique mais également tous les autres services de l’entreprise car les données « papiers » doivent aussi répondre aux exigences de la CNIL

Monsieur de Maupeou, Directeur du secteur conseil en sécurité chez Thalès, nous dévoile le B.A – BA de la protection : mots de passe, architectures de SI en profondeur, gestion des droits…

M. de Maupeou nous dresse également un état des lieux du niveau de sécurité des entreprises aujourd’hui. Il nous parle aussi de SCADA (sécurisation des systèmes industriels), sujet d’intérêt national.

Thales apporte son savoir-faire en matière d’audits de sécurité et de conseil, de développement et d’intégration de solutions de cybersécurité et de services de sécurité. Thales s’appuie sur une expertise inégalée dans le domaine de la supervision et de l’administration des grands réseaux et des systèmes d’information. Depuis 2001, Thales offre des services de protection des infrastructures critiques grâce à son centre de cybersécurité de classe mondiale. Ce centre assure 24h/24 et 7j/7 la supervision des systèmes d’information des principaux clients du Groupe, ainsi que la détection et la réaction aux cyber-attaques.

Dernière petite note inattendue de l’étude, même s’ils ne sont pas inquiets, les Français sont en demande de nouvelles mesures de sécurité. Ils se sont majoritairement déclarés favorable, et quel que soit leur âge, à de nouvelles solutions de surveillance. 83% sont favorables à la vidéo surveillance, 82% sont pour les documents biométriques (carte d’identité ou permis de conduire).

Remarquons que ColdFusion fait partie des logiciels dont le code source a été dérobé par des hackers sur les propres serveurs d’Adobe. L’éditeur avait reconnu le 3 octobre avoir découvert des accès illégaux aux codes sources de certaines de ses applications, dont l’éditeur de site Web. Adobe n’avait toutefois pas précisé à quand remontaient ces intrusions et combien de temps elles avaient duré.

Il existe de nombreuses techniques pour choisir un bon mot de passe. Outre les générateurs gratuits, vous pouvez par exemple coupler un film ou un album de référence accompagné de l’année de sa sortie, ce qui vous fait utiliser des minuscules et majuscules, des caractères spéciaux et des chiffres.

Exemple : TurkishStarWars(1982) (oui, bon, chacun ses goûts !)

Si vous tenez à garder le même mot de passe pour vos comptes, vous pouvez ajouter quelques lettres pour « personnaliser » le mot de passe de chaque service, par exemple : fac-TurkishStarWars(1982) pour Facebook, out-TurkishStarWars(1982) pour votre messagerie Outlook, etc.

Mais les Etats ont-ils nécessairement l’obligation de travailler de concert avec les antivirus pour assurer le succès de leurs opérations ? Pas forcément. Des exemples concrets comme Stuxnet et Flame, mais aussi des travaux de chercheurs en sécurité comme ceux l'ESEIA en France, démontrent qu’il est tout à fait possible d’échapper, souvent facilement, à toute détection par les antivirus et sans coup de pouce de leur part.

Pas de sécurité, pas de fraude… et pas non plus d’indemnisation !

Un constat peu rassurant d’autant que d’autres menaces se profilent au gré des nouvelles technologies. Plus d’un tiers des personnes interrogées se verraient bien utiliser des Google Glass, une montre intelligente ou une voiture connectée à Internet. Les RSSI ne sont pas à bout de leur peine. Pour les sensibiliser, ils pourront néanmoins faire appel à leur connaissance des menaces. Une large majorité de nos Y comprend le sens des termes ou des expressions hacking, hameçonnage, cheval de Troie, spyware ou malware.