De la forteresse à l`aéroport

URL : http://www.erp-infos.com/
PAYS : France
TYPE : Web Pro et Spécialisé
1 février 2016 - 10:03
Cliquez ici pour accéder à la version en ligne
De la forteresse à l'aéroport
Difficile, ces derniers temps, d'échapper aux communications,
manifestations, conférences et autres webinars autour des sécurités
des SI, tant celles-ci ont évolué et sont devenues un sujet majeur dans
un environnement technologique en pleine mutation et souvent
déconcertant.
Une métaphore intéressante et assez juste pour illustrer cette mutation est celle mise en avant par
le sujet de la dernière rencontre du club de la Presse informatique B2B : "Sécurité du système
d'information : de la forteresse à l'aéroport". La rencontre réunissait entre autres Lazaro
Pejsachowicz, président du CLUSIF (CLUb de la Sécurité de l'Information Français) et RSSI
(Responsables Sécurité des Systèmes d'Information), Nacira Salvan, responsable du pôle
architecture et sécurité de la DSI de Safran jusqu'à mi-janvier 2016 et des acteurs du marché dont
Mado Bourgoin, directrice technique chez VMware France ou Stéphane Geyres, directeur de
l'activité conseil en cybersécurité chez Accenture.
Dans l'ensemble, les discours étaient un peu trop formatés et convenus, à l'exception notoire des
interventions de Lazaro Pejsachowicz et de Nacira Salvan. "La menace, jadis externe, n'est plus
externe du fait de l'ouverture de l'entreprise sur l'extérieur", constate Lazaro Pejsachowic. La
métaphore de l'aéroport et de la forteresse voulait illustrer le fait que l'on est, en quelques années,
passé d'un besoin de forteresse, c'est-à-dire d'un SI complètement fermé à l'extérieur, ne laissant
passer que quelques rares données filtrées et triées sur le volet, sous contrôle complet, à un SI
ressemblant fort à un aéroport : l'accès en est parfaitement libre, mais en de nombreux points au
sein de la structure, des contrôles drastiques sont effectués, comme l'accès au hall de départ, à la
zone d'embarquement, aux lounges, aux avions etc...
Les SI actuels, ouverts vers l'extérieur, mettent à profit le cloud et le
Web, qui ont bouleversé la donne : les infrastructures se développent
souvent sur différents sites, qu'ils soient physiques ou virtuels. De
nombreuses données exploitées par l'entreprise proviennent de
l'extérieur, des réseaux sociaux, par exemple, et ne lui appartiennent
pas toujours. A contrario, de nombreux tiers, clients, fournisseurs,
prospects... accèdent aux données de l'entreprise.
Quand le politique s'en mêle
Après les attentats du 13 novembre, le débat sur le cybersécurité a
oscillé entre renforcement du chiffrement des données ou mise en
place systématique de backdoors dans les logiciels. À l'occasion du
FIC (Forum International sur la Cybercriminalité) de Lille la semaine
dernière, le gouvernement a réaffirmé sa prise position contre la mise
en place de ces backdoors dans les logiciels. Cette décision est saluée
par Maitre Antoine Chéron, avocat spécialisé en propriété
intellectuelle et NTIC, qui considère que les backdoors "constituent
le graal des pirates informatiques et que l'adoption d'une mesure les
multipliant aurait conduit au développement du piratage
informatique ". À noter que la Chine et la Grande-Bretagne ont pris la décision inverse à celle de
la France.
Quand on ajoute à toute cette agitation les remous créés par l'affaire Snowden, la NSA, notre loi
sur le renseignement ou encore la date butoir du 31 janvier 2016 pour la fin des négociations sur
le Safe Harbor 2, tous les ingrédients sont présents pour crée le buzz autour des sécurités.
Le rôle de l'humain
Protection des données, de la vie privée, des infrastructures, des réseaux, sans compter le hacking
Tous droits de reproduction réservés
URL : http://www.erp-infos.com/
PAYS : France
TYPE : Web Pro et Spécialisé
1 février 2016 - 10:03
Cliquez ici pour accéder à la version en ligne
sauvage, les aspects des sécurités des SI sont multiples. Le RSSI est dans l'obligation de se
diversifier. Pour Nacira Salvan, " il faut raisonner en stratégie de sécurité globale".
"Malheureusement, il y a des humains... qui rendent les attaques possibles", a lancé Stéphane
Geyres lors de la rencontre du club de la Presse informatique B2B. Et les risques se nichent
parfois dans les détails et dans des éléments anodins qui paraissent pourtant logiques de prime
abord. Ainsi, une récente étude de Skyhigh Networks, société spécialisée dans la mise en uvre et
les sécurités du cloud, montre que les utilisateurs en entreprise nomment leurs fichiers de manière
par trop explicite. Ainsi, une organisation disposerait en moyenne de 7 886 documents dont le
nom contient le mot "budget", 6 097 documents avec "salaire", 2 681 documents avec "prime",
2 217 documents avec "confidentiel" et 1 156 documents avec "mot de passe".
Du pain béni pour les cybercriminels, qui sont opportunistes et visent avant tout les cibles les plus
faciles : en exposant ainsi les fichiers de l'entreprise, que le hacker soit interne ou externe, il
n'aura aucune difficulté à s'orienter. Pour rappel : autrefois, les vols de données et les actes de
malveillance émanaient majoritairement de collaborateurs internes à l'entreprise, dont les
motivations étaient diverses (malveillance pure, apat du gain, vengeance...). Aujourd'hui, ces
actes sont éclipsés par les préoccupations plus importantes liées à l'ouverture des SI. Mais cela ne
signifie pas qu'ils aient disparu, bien au contraire, ce que nous a confirmé Nacira Salvan : "ça
continue comme précédemment", affirme-t-elle.
Des mesures s'imposent là aussi, si possible préventives, comme l'information ou la formation des
collaborateurs ou un contrôle des accès et un chiffrement des données adaptés.
Des attaques bien réelles
Un récent sondage Opinionway réalisé pour le CESIN (Club des Experts de la Sécurité de
l'Information et du Numérique), mené auprès de 125 de ses membres RSSI de grands groupes
français, montre que si les grands comptes ont intégré l'importance de la sécurité du numérique
dans leur organisation, 81 % déclarent avoir fait l'objet d'attaques aux cours des 12 derniers mois.
Les moyens alloués à la cyber-sécurité semblent pourtant encore insatisfaisants pour 69 % des
répondants. De nombreuses entreprises envisagent d'augmenter les ressources techniques,
financières ou humaines dédiées à la cyber-sécurité.
Les nouveaux usages du numérique au travail posent quant à eux de
nouveaux défis en matière de cybersécurité. Le cloud en particulier, en
plus de nécessiter des outils spécifiques selon 93 % des RSSI interrogés,
continue d'inquiéter pour des raisons de confidentialité des données.
Et 58 % des entreprises estiment que les outils actuellement disponibles
sur le marché sont peu adaptés à la situation en matière d'usages du
numérique. Même constat concernant les attaques, où l'inquiétude
demeure quant à la capacité concrète à faire face à leur augmentation
pressentie sur le court et moyen terme.
D'après le sondage, ces 12 derniers mois la palme du type d'attaque
constaté revient aux demandes de rançons (ransomware) à hauteur de
61 %. Les attaques virales représentent 44 %, les dénis de services 38 %
et les attaques ciblées 35 % (plusieurs réponses possibles).
Dans un récent article, le Canard Enchainé a révélé que le ministère des
transports a été précisément touché par une série d'attaques au
ransomware depuis décembre. Matthieu Dierick, ingénieur avant-vente chez F5 Networks, estime
que " les ransomwares sont de plus en plus utilisés par les hackers car ceux-ci ont besoin de plus
en plus d'argent et cela de plus en plus souvent. Si ceux-ci ne bloquent souvent que certains
postes, l'ampleur du phénomène et sa récurrence pourrait en faire une menace plus importante
que prévue". "Le ministère du transport semble avoir été victime d'un spoofing d'adresse,
c'est-à-dire un envoi d'e-mail en utilisant le domaine officiel/usurpation d'adresse IP", ajoute
Florian Coulmier, responsable cybersécurité de Vade Retro Technology. "Ceci est très facile à
faire lorsque l'entreprise ou administration, comme c'est le cas ici, ne dispose d'aucun mécanisme
Tous droits de reproduction réservés
URL : http://www.erp-infos.com/
PAYS : France
TYPE : Web Pro et Spécialisé
1 février 2016 - 10:03
Cliquez ici pour accéder à la version en ligne
de protection sur les serveurs e-mail de destination, tels que SPF (Sender Policy Framework système visant à authentifier un nom de domaine lors de l'envoi d'un e-mail) ou DKIM
(DomainKeys Identified Mail - norme d'authentification fiable du nom de domaine de l'expéditeur
d'un e-mail) ".
Selon le "Baromètre Sage 2016 des directeurs financiers : sécurité des virements et prévention des
fraudes", 62 % des entreprises auraient déjà été victimes d'une fraude. L'enquête a été menée
auprès de 500 DAF. Elle montre que, ces dernières années, le nombre de cyberattaques recensées
dans le monde a augmenté tant en termes de fréquence que de gravité et d'impact. La France est
particulièrement concernée. Parmi les 62 % des cités plus haut, (dont 12 % ont subi cinq
tentatives de fraude et plus), 80 % ont été victimes d'une fraude au virement bancaire, 18 % d'une
fraude dite du "test bancaire" et 14 % d'une fraude interne, comme la modification d'un RIB par
exemple. La majorité des DAF pensent que la fraude est avant tout d'origine externe (73 %), mais
ne négligent pas pour autant le risque interne.
On pourrait prolonger la liste des attaques à l'envi : on se souvient par exemple du vol de données
chez Target aux États-Unis en 2015, qui avait affecté plus de 100 millions de consommateurs. Il y
a quelques jours à peine, une nouvelle attaque ciblant la chaîne de restauration rapide américaine
Wendy's a été dévoilée : certaines banques auraient repéré des activités frauduleuses sur les
comptes de clients immédiatement après un paiement par carte bancaire dans certains des
restaurants de la chaîne. Pour l'instant, l'attaque semble limitée à certains sites, mais de
nombreuses interrogations subsistent, sur la manière de s'y prendre des hackers et surtout sur les
conséquences potentielles d'une telle attaque si elle était généralisée.
Retour sur l'humain
Le rôle de l'humain reste essentiel dans la protection des SI. Un signe fort : l'ANSSI (Agence
Nationale de la Sécurité des Systèmes d'Information), autorité nationale en matière de
cybersécurité et de cyberdéfense, multiplie ses actions et se développe. Elle prévoit de passer de
500 à 600 agents au cours des deux années à venir, avec des postes à pourvoir dans toutes les
familles de métiers. L'agence disposait d'ailleurs à cet effet d'un espace recrutement sur son stand
du FIC.
L'enquête de Sage, de son côté, montre que les RSSI estiment que les enjeux prioritaires de
demain seront plus humains que techniques. Il en ressort un impératif criant de donner toute son
importance à la cybersécurité dans l'entreprise en y allouant suffisamment de ressources et en lui
donnant sa juste place dans la gouvernance. Il est par ailleurs nécessaire de travailler autour des
usages, de sensibiliser les utilisateurs et de s'adapter à l'évolution des pratiques.
Benoît Herr
Tous droits de reproduction réservés