Cybersécurité - Innovations digitales et numériques

es appareils et équipements « connectés »

Qu’ils soient des systèmes automobiles embarqués, des systèmes de contrôle industriel, des capteurs, des appareils de consommation grand public (lunettes, caméras, ampoules, etc.), plusieurs de ces équipements sont aujourd’hui connectés et permettent d’interagir avec Internet ou avec des réseaux de communication. Les experts estiment que dans les deux prochaines années, entre 15 milliards et 25 milliards d’appareils communiqueront à travers Internet.

Malheureusement, ces équipements n’ont pas été tous conçus pour être sécurisés contre le piratage et peuvent souvent être vulnérables et exposés aux accès malveillants. En 2013, plusieurs techniques d’attaque ont ciblé ces types d’équipements (Jailbreak des lunettes Google, Hue Blackout, Foscam hack, ECU Hack, etc.)

En 2014 la sécurité des accès et la protection de la vie privée seront les enjeux importants de ce type de systèmes.

Installé principalement dans le Grand-Ouest (Caen, Nantes, Rennes, Laval, Rouen, Le Havre), le groupe Alticap propose à une clientèle de PME des solutions et des services pour gérer leur système d'information. Avec OnlyCloud, il a constitué une offre de cloud privé s'adressant à des entreprises ne disposant pas de responsable informatique. Il la décline en deux versions, l'une externalisée, OnlyCloud Hosted, et l'autre installée chez le client, OnlyCloud On Premise. La première s'appuie sur des serveurs virtuels hébergés dans un datacenter situé près de Caen, les entreprises étant en relation avec les équipes locales des différentes agences d'Alticap. Ce sont ces dernières qui prennent en charge pour la PME la disponibilité du service, des sauvegardes et de la sécurité.

Les perspectives de l’année 2014

D’après cette rétrospective de l’année 2013, les menaces sur les terminaux mobiles notamment le phishing dans un but lucratif resteront vivaces. Les cybercriminels s’attaqueront également de façon ciblée aux marchés boursiers l’année prochaine. La mise à l’écart de la vie privée sera aussi une priorité pour les internautes en passant par la protection des données sensibles. Du côté du cloud computing, les pirates tenteront de mener des actions malveillantes contre les espaces de stockage virtuels.

Les freins mis en évidence au cours des projets révèlent des particularités spécifiques des applications hébergées dans les nuages et essentiellement dans le Cloud public. Parmi les nombreuses difficultés, on trouve notamment :

- Les risques liés à l'externalisation : Ils sont essentiellement liés à la sécurité des données qui traversent les frontières naturelles de l'entreprise. Principalement, on peut en citer: la perte de la propriété, du contrôle et de la gouvernance ; l'accès, la confidentialité et l'isolation des données ; la réversibilité.

- Le choix du partenaire. Trouver un partenaire fiable est fondamental. Il faut s'assurer de la relation commerciale et juridique qui définit l'engagement que l'entreprise contracte avec son fournisseur de services Cloud. Il faut notamment s'assurer de : la pérennité du fournisseur ; le cadre juridique ; l'engagement et la durée du contrat ; les garanties contractuelles de services.

- La sélection de l'outil. Le choix de l'outil n'est pas simple dans un marché foisonnant et pas tout à fait mature. Il doit correspondre aux critères de sélection suivants : la satisfaction des besoins métiers ; la disponibilité et la performance de l'application ; la customisation ; l'intégration de l'application au sein du système d'information de l'entreprise.

- les changements en entreprise. Ils concernent les modifications induites par l'arrivée du nouvel outil qui devra s'apparenté à un outil maison. Il requerra très certainement : la réorganisation des services de la DSI ; la transformation du système d'information de l'entreprise.

Pont vers l'avenir. Le problème, c'est qu'avec certains prestataires d'applications en ligne, il devient difficilement envisageable de se séparer. Avant tout engagement dans le cloud, il est donc indispensable de se préoccuper de ce qu'il adviendra des données à la fin du contrat (c'est ce que l'on appelle la réversibilité). Ainsi, quand l'Américain Nirvanix a annoncé la fermeture de son service de stockage dans le nuage, suite à son dépôt de bilan, il a donné seulement deux semaines à ses clients pour récupérer leurs données ! Il est donc indispensable de réfléchir en amont à la bonne manière de procéder en cas de défaillance du prestataire.Mais transférer des données de l'un à l'autre est un projet informatique en soi, dont le coût dépend de la nature des informations et du type de logiciel qui les gère. Un projet de migration peut ainsi se révéler très coûteux si toute la relation client de l'entreprise a été placée dans le cloud, ou si toute son activité industrielle et sa comptabilité sont gérées dans un logiciel à la demande. La société doit en effet s'assurer d'avoir accès à toutes ses données afin de créer de nouveaux fichiers complets, ou encore bâtir des ponts informatiques entre l'ancienne et la nouvelle application (les fournisseurs de cloud n'utilisent évidemment pas tous les mêmes technologies).Les prestataires compétents et les outils de transfert existent pour les grands acteurs du secteur tels que Salesforce.com ou Microsoft Dynamics CRM. Bien entendu, les choses se compliquent - et, donc, coûtent plus cher - lorsqu'il est question de services plus pointus. Ceux qui n'auront pas anticipé cet aspect au moment de basculer dans le nuage risquent de regretter amèrement les économies réalisées précédemment. Autant de points qu'il convient d'intégrer à son calcul de coûts lorsqu'on décide de basculer ses données vers le cloud. Même les plus beaux cumulus dégénèrent parfois en orages.

Or, même si l'information s'accroit de façon explosive, elle doit demeurer disponible et exploitable. D'est un enjeu qu'Olivier Robert, Directeur Solutions Risque et Performance de Software AG, connait bien : « j'ai été, dans la première partie de ma vie professionnelle, pilote de chasse. Tout mon problème était de disposer dans mon cockpit de toutes les informations utiles pour réagir vite. De la même façon, les entreprises doivent disposer d'un cockpit de pilotage similaire ».

Ces solutions partagent une même interface pour le courrier électronique et le transfert de fichiers en toute sécurité. Les points forts sont les suivants :

· Messagerie sécurisée – Cryptage des courriels et pièces jointes et protection par un mot de passe.

· Accélération de l’envoi de gros fichiers – Transfert des fichiers très volumineux jusqu’à 80 fois plus vite qu’avec les méthodes traditionnelles grâce au protocole Storm en cours d’homologation

· Prévention des pertes de données – Contrôle du type d’information qui sort de l’entreprise et empêchement de toute divulgation involontaire

· Suivi en temps réel – Surveillance de chaque événement tout au long du cycle de vie d’un courriel une fois que celui-ci a quitté la boîte d’envoi avec un bon de livraison breveté

· Intégration des ordinateurs de bureau, des appareils mobiles et des systèmes d’entreprise – Utilisation de les outils actuels comme Outlook ou de n’importe quelle autre application pour une simplification des tâches

· Gamme complète d’API – Intégration direct entre les services de messagerie sécurisée et les applications et processus en place.

L’objectif est de définir une architecture de référence du Cloud parfaitement neutre, afin de permettre à toutes les parties prenantes (fournisseurs, clients, marché) de parler le même langage et notamment d’être en mesure de décrire des architectures spécifiques au cloud computing.

Alors que le gouvernement précédent s’est préoccupé surtout du problème d’infrastructure en suscitant en 2012 la création de deux fournisseurs français, Cloudwatt et Numergy, le projet s’intéresse à tous les segments du cloud, et tout particulièrement à celui des logiciels à la demande. Les réflexions portent sur les moyens à mettre en œuvre pour accompagner les éditeurs de logiciel en France à passer d’un modèle de vente sous licence à un modèle de location en ligne. Une transition qui pose des problèmes de trésorerie puisqu’il faut passer d’un mode d’encaissement de licences confortables, payée une fois, à un mode de revenus plus faibles mais récurrents sous forme d’abonnement.

Cette alliance vise à proposer à leur clientèle respective d'entreprises une offre de services Cloud hybride associant le Cloud privé de Cheops au Cloud public de Cloudwatt. Ce basculement d'un site vers l'autre permet à l'entreprise d'acccéder à des ressources informatiques externes à la demande, pour gérer du débordement de charge.

L’environnement des entreprises françaises est aujourd’hui incertain et chaque décision a un impact immédiat sur leur performance. Les choix des dirigeants deviennent extrêmement déterminants pour la santé économique d’une entreprise, et il est important pour eux de s’équiper en solutions Cloud qui peuvent bénéficier immédiatement à leur organisation.

La productivité, la qualité de transmission de l’information et la maîtrise des coûts deviennent des facteurs que les entreprises doivent maîtriser et s’efforcer d’améliorer pour maintenir leur compétitivité sur leur marché. Le Cloud est un outil qui permet aux entreprises de répondre à ces besoins et apporte une valeur ajoutée majeure aux organisations.

Le Cloud représente le potentiel informatique le plus important depuis 20 ans et se généralise dans les entreprises. Il constitue un outil de différenciation qui booste véritablement les organisations qui l’adoptent en réduisant leurs coûts et améliorant leur productivité.

 

https://wimi.files.wimi.pro/download.php?id=4701046&code=5vhtq068gu80kwcw40os4scss

Selon Morgan Stanley, 70 % des charges applicatives des DSI interrogés résident sur des serveurs sur site, mais cette proportion doit être ramenée à 61 % d’ici à fin 2015. Tant le Cloud public (qui passera de 10 à 18 % des workloads) que l’hébergement (de 7 à 9 %) profiteront de ce mouvement, tandis que la colocation s’affichera en léger recul.

A l’inverse du Cloud, les dépenses en PC, terminaux mobiles (que les entreprises reportent sur leurs salariés via le BYOD), consulting et infogérance figurent tout en bas de la liste de priorités des DSI.

Synthétisées en sept points clés (document PDF), leurs observations décrivent un climat d’incertitude, marqué par une évolution notable du comportement des cybercriminels. Exploitant le cloud, les terminaux mobiles et les technologies de communication sans fil, mais aussi les monnaies virtuelles ou encore les réseaux sociaux, les techniques d’attaque sont de plus en plus sophistiquées. D’une virulence sans précédent, les offensives se portent de plus en plus systématiquement sur les données à forte valeur, notamment la propriété intellectuelle, avec des motivations d’ordre essentiellement financier.

 

http://www.mcafee.com/us/resources/reports/rp-threats-predictions-2014.pdf

La surveillance furtive de systèmes informatiques et de communications par les gouvernements ne se classe actuellement pas parmi les préoccupations premières de la sécurité informatique pour de nombreux responsables informatiques. « Chaque DSI va vous dire qu'il s'inquiète chaque minute de chaque jour au sujet de la sécurité, de la confidentialité, de la redondance, de la continuité opérationnelle, de la reprise après sinistre et autres », a confirmé Michael Heim, vice-président de Whirlpool et DSI groupe.

S’agit-il là d’une annonce de communication pour occuper le terrain ou d’une véritable offensive face à la forte concurrence ? Qu’apporte-t-elle de plus par rapport aux partenariats déjà conclus par la majorité des participants avec Microsoft ? Selon Takeshi Numoto, corporate vice president of Cloud and Enterprise Marketing de Microsoft, cela permettra de « créer un ensemble de data centers sans frontières pour les applications, les données et les solutions d’administration et offrira une diversité de solutions, plus de flexibilité à un moindre coût ». En créant un espace de solutions homogènes et interopérables, Microsoft indique qu’il évite aux entreprises d’être bloqué chez un fournisseur. Dans cet espace de partenaires Microsoft, l’entreprise pourra ainsi choisir de stocker ses données dans les pays de son choix en fonction de la réglementation. C’est là une offensive marquée face aux différents fournisseurs de cloud souverains. Avec OVH par exemple, l’offre Microsoft est concurrente de celle de Numergy et de cloudwatt.

L'article 13 de cette loi permet aux services de renseignement des ministères de la défense, de l'intérieur, de l'économie et du ministère en charge du budget, d'accéder aux données conservées par les opérateurs de communications électroniques, les fournisseurs d'accès à Internet et les hébergeurs.

Ceci dit, « Prolexic ne faisait pas beaucoup parler d’elle en France jusqu’ici », explique Arnaud Cassage. Contrairement à d’autres fournisseurs comme Arbor Network, Corero, F5, Radware ou encore Juniper. Les entreprises françaises externalisent peu leur sécurité. Elles préfèrent se protéger avec un boitier installé en interne que de passer par un prestataire externe. « Pour repérer une attaque DDOS, il vaut mieux bien connaître les applications de l’entreprises, argumente Arnaud Cassagne. Et avec ses 120 collaborateurs, Prolexic ne convainc pas nécessairement. » Et comparé au rachat de Sourcefire par Cisco celui de Prolexic fait pâle figure. Plus de 2 milliards de dollars dépensé dans le premier cas contre 370 millions dans le deuxième.

« Le marché français a été l'un des premiers à adopter les services Cloud. Les résultats de notre étude de marché confirment que les PME françaises ne cessent d'utiliser une large gamme de services IAAS, SAAS et de présence Web. » Souligne  John Zanni, directeur marketing chez Parrallels.Et  « Dans les années à venir, les dépenses en services cloud vont poursuivre leur progression. La  France restera l'un des marchés cloud les plus matures dans le monde sur le segment des PME. »

La partie privée permet une utilisation libre des fichiers à des fins personnelles, tandis que la partie entreprise permet de cloisonner les données dans un ‘container’ chiffré et géré par l’organisation. Laquelle peut notamment effacer des éléments à distance, transférer des comptes (en cas de départ ou de reclassement d’un employé) et partager des journaux d’audit. De quoi enfin rassurer en partie les DSI, qui pestent régulièrement contre la multiplication des comptes Dropbox dans leurs organisations, au mépris des règles de sécurité qu’ils défendent.