Cybersécurité - Innovations digitales et numériques

add your insight...

Pour mettre en avant son service IPViking, l'entreprise américaine Norse, spécialisée en sécurité informatique, a créé une carte du monde interactive qui montre en temps réel les attaques que subit l'un de ses honeypots. Un honeypot, ou "pot de miel", est un leurre informatique dont le but est d'attirer des attaques sur des ressources (serveurs) préparées à l'avance afin d'identifier les attaquants et de pouvoir mieux les neutraliser. Ce seul honeypot ne représente évidemment qu'une infime fraction des cyberattaques sur Internet, mais ce microcosme permet néanmoins de se faire une idée du volume qu'elles représentent, ainsi que du caractère incessant de ces assauts.

Le plus grand défi pour l’entreprise reste encore l’insuffisance de sensibilisation de l’ensemble des personnels face à l’ingéniosité des cyber-délinquants et au caractère protéiforme des cyberattaques. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée. Il est également recommandé aux DSI et aux RSSI de s’assurer qu’ils ont bien mis en œuvre les « 40 règles d’hygiène informatique » disponible sur le site de l’ANSSI.

L’ANSSI met également à la disposition des DSI et RSSI un ensemble d’autres guides et recommandations qui sont très accessibles y compris aux TPE permettant de sécuriser les postes de travail et les serveurs, mais également la messagerie ou encore les liaisons sans fil dans l’entreprise.

La maturité des organisations à l'égard des menaces de plus en plus complexes pesant sur l'IT est tout à fait insuffisante. Il ne s'agit pas seulement de cybercriminalité mais bien de l'ensemble des risques internes et externes pouvant impacter l'IT. Ces risques sont peu, mal voire pas gérés dans de trop nombreux cas. C'est le principal résultat de l'étude CIO dont les résultats ont été divulgués lors de la conférence Matinée Stratégique « Maîtriser le risque à l'heure des menaces complexes » organisée par CIO le 20 mai 2014 au Centre d'Affaires Paris Trocadéro. Akamai, Check Point, Intel Security, Level 3, Trend Micro et FireEye étaient partenaires de l'événement.

Le gouvernement n’a aucun intérêt à empêcher le plein développement des TIC, mais à créer un environnement incitatif pour les opérateurs et protecteur pour les utilisateurs parce que l’économie numérique impacte positivement tous les domaines de l’activité humaine.

Cette campagne qui durera jusqu’au 25 juin, est par le Centre Marocain de Recherches Polytechniques et d’Innovation (CMRPI) en partenariat avec l’Université Ibn Tofaïl de Kénitra, l’Association Internationale de Lutte Contre la Cybercriminalité et d’autres partenaires nationaux. Elle comprend une série de formations techniques et juridiques, des séminaires de sensibilisation dans différentes villes marocaines et un colloque international sur la cybercriminalité, prévu les 24 et 25 juin à l’Ecole Nationale des Sciences Appliquées de Kénitra (ENSAK).

De nombreux efforts restent à faire en matière de recherche, de formation et de sensibilisation. Les attaques sont de plus en plus ciblées. La première faiblesse de l'entreprise est le comportement de ses salariés. Ce peut être aussi son meilleur rempart. Sans sensibilisation du personnel, des partenaires et des clients, voire de tous les citoyens, les bienfaits de la révolution numérique risquent d'être remis en cause. La formation à tous les niveaux contribue à la protection des systèmes d'information. Un employé averti n'ouvrira pas l'e-mail infecté qui permettrait au délinquant de s'introduire dans le système d'information. Il ne se laissera pas non plus abuser par un courriel déguisé et trompeur et ne donnera en aucun cas les informations confidentielles demandées par une soi-disant banque ou un supposé opérateur.

Parmi les 55 recommandations du rapport, certaines pourraient modifier les obligations des professionnels du numérique. Le texte propose par exemple de renforcer la protection des internautes en créant un « 17 de l'Internet », un numéro de téléphone spécialement dédié aux signalements des comportements en ligne.

Après ces 10 principes de sécurité, le guide revient sur 10 actions à entreprendre en matière de sécurité (des bonnes pratiques) assez classiques (mais à force de les répéter, elles seront peut-être appliquées un jour #optimisme) :

1. Sensibiliser et former les utilisateurs à la sécurité
2. Maintenir ses systèmes à jour
3. Protéger l’information (chiffrement)
4. Sécuriser les appareils mobiles
5. Restreindre les accès aux autorités nécessaires
6. Appliquer des règles de sécurité pour la navigation sur internet
7. Adopter des mots de passe forts et les stocker en sécurité
8. Sauvegarder ses données et contrôler les sauvegardes
9. Lutter à différents niveaux contre les virus et autres programmes malveillants
10. Prévenir, détecter et agir

Le gouvernement prévoit de créer dans le courant de l'année 2014 un système permettant une communication efficace entre le Japon et les administrations en charge de la cybercriminalité dans chacune des 10 nations de l'Asean. Grace à ce système, les pays subissant des attaques informatiques pourront en informer directement les autres et apporter des détails comme la méthode employée ou les dommages occasionnés. Toutes les communications avec le Japon seront relayées via une hotline mise à disposition par le National Information Security Center (NISC) du gouvernement japonais.

Mais des évolutions venues de Bruxelles devraient rapidement voir le jour pour uniformiser la réglementation au niveau européen. Une proposition de règlement général - « sans obligation, donc, de transposition dans le droit national », note Gabriel Voisin - sur la protection des données devrait entrer en vigueur en 2016 ou 2017. Il prévoit l’obligation, pour toute entreprise, d’informer le régulateur national en cas d’attaque, voire les personnes affectées le cas échéant. «  Cela va permettre d’harmoniser en partie le millefeuille de couches réglementaires qui se superposent en fonction des pays et peuvent poser problème aux multinationales », explique Gabriel Voisin. Et donc faciliter le recours juridique des sociétés attaquées, déjà bien contrariées par une telle affaire.

Le journaliste tourangeau Philippe Richard (lire « C’est vécu »), recueille cette leçon d’un assureur victime d’une infection : « Un code malveillant a pénétré notre système un vendredi, période durant laquelle nous étions de surveillance de nuit. On a détecté une anomalie identifiée par l’un de nos antivirus qui ne l’a pas nettoyé. À l’autre bout de la chaîne, mille commerciaux dotés d’un ordinateur portable. La propagation a de suite été maîtrisée. Le lendemain, nous avons mis une cellule de crise.. Ce n’est que quatre jours après que nous avons rouvert tous les accès aux applications fondamentales qui sont sous Unix puis, dans un second temps, les serveurs Windows… ».