Mise en page 1 - Global Security Mag
Transcription
Mise en page 1 - Global Security Mag
.....100% • intrusion Name: Gs-mag type: security information Target: world Hacker Name: marcus jacobus S-GPS: LA48.856614 | Lo: 2.352222 code: shakespeare language status: harmless PRODUITS DE SÉCURITÉ DE DEMAIN .....97% • intrusion Name: K-EYE type: Malware Spy nivel 7 Target: russia Hacker Name: black house HD-GPS: La: 38.8973 | Lo: -77.04005 code: C+x quantic status: dangerous niv. 3 2% • intrusion Name: Brain type: old stock Target: unknown Hacker Name: Alvi gps: La: 31.512823 | Lo: 74.291965 code: bin status: harmless Hors série N°016 - Prix : 7 € - juin 2016 ÉDITORIAL DE MARC JACOB LA SÉCURITÉ DU FUTUR SE CONCENTRERA SUR L’IDENTITÉ NUMÉRIQUE ! L’identité numérique sera la clé de l’homme de demain. Sans elle, il pourrait devenir un strict inconnu, sans aucune possibilité de vivre dans l’ère du tout numérique que nous construisons aujourd’hui. Ainsi, la sécurité devra à l’avenir se concentrer sur la protection de l’identité. C’est sans doute pour cela que depuis quelques années les législateurs publient des lois et règlements sur la protection de cette précieuse identité et des données personnelles qui lui sont associées. Dans les pays anglo-saxons, différentes législations ont été promulguées en ce domaine depuis quelques années déjà ; en Europe, le règlement européen relatif à la protection des données personnelles sera effectif dans deux ans. Ainsi, les entreprises seront, enfin, mises devant leurs responsabilités. Les produits de sécurité de demain devront donc se focaliser sur cet objectif. Certains éditeurs l’ont bien compris et se sont d’ores et déjà lancés dans cette course à l’armement. Ils devront être imaginatifs et changer les paradigmes des solutions d’aujourd’hui en proposant des alternatives toujours plus sûres et transparentes pour les utilisateurs, intégrant la sécurité et le respect de la vie privée par essence, dès la conception. De leur côté, les pirates informatiques ont bien compris les enjeux liés à l’identité. D’ailleurs, ils multiplient déjà les attaques sur cet or numérique en dérobant les numéros de sécurité sociale, de cartes d’identité, de passeports… Demain, ils usurperont l’identité numérique des citoyens, afin de la revendre, d’acheter toute sorte de produits et de services... L’univers numérique à venir risque donc fort d’être encore plus périlleux que celui d’aujourd’hui… LISTE DES ANNONCEURS Data Center TP Dell Security Egerie Software Eset 4 3ème de couverture ème 4 de couvreture 19 F-Secure GS Day Sophos Thales 2ème de couverture 10 2 18 Toute reproduction intégrale ou partielle, faite sans le consentement de l’auteur ou des ayants droit ou ayant cause est illicite. Il en est de même pour la traduction, l'adaptation ou la transformation, l'arrangement ou la reproduction par un art ou un procédé quelconque. (article L122-4 du code de la propriété intellectuelle). Cette publication peut être exploitée dans le cadre de la formation permanente. Toute utilisation à des fins commerciales du contenu éditorial fera l’objet d’une demande préalable auprès du Directeur de la publication. REVUE TRIMESTRIELLE Hors Série n°16 – Juin 2016 www.globalsecuritymag.fr et www.globalsecuritymag.com ISSN : 1961 – 795X Dépôt légal : à parution Editée par SIMP RCS Nanterre 339 849 648 17 avenue Marcelin Berthelot 92320 Châtillon Tél. : +33 1 40 92 05 55 Fax. : +33 1 46 56 20 91 e-mail : [email protected] RÉDACTION Directeur de la Publication : Marc Brami Rédacteur en chef : Marc Jacob Rédactrice : Emmanuelle Lamandé Ont collaboré à ce numéro : Bruno Rasle, Antoine Chéron, Didier Henin, Lazaro Pejsachowicz et Florent Skrabacz Assistante : Sylvie Levy Responsable technique : Raquel Ouakil Photos Marc Jacob Comité scientifique : Pierre Bagot, Francis Bruckmann Eric Doyen, Catherine Gabay, François Guillot, Olivier Iteanu, Dominique Jouniot, Patrick Langrand, Yves Maquet, Thierry Ramard, Hervé Schauer, Michel Van Den Berghe, Bruno Kerouanton, Loïc Guézo et Valentin Jangwa In Memoriam, notre regretté Zbigniew Kostur PUBLICITE S.I.M Publicité Tél. : +33 1 40 92 05 55 Fax. : +33 1 46 56 20 91 e-mail : [email protected] PAO S.I.M. Publicité Image couverture : ©Milissa4like IMPRESSION Imprimerie Hauguel 8-14 villa Léger 92240 Malakoff Tél. 01 41 17 44 00 Fax 01 41 17 44 09 e-mail : [email protected] ABONNEMENT Prix de ce numéro : 7 € TTC (TVA 20%) Abonnement annuel : 51 € TTC (TVA 20%) ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 1 PRODUITS DE SÉCURITÉ DE DEMAIN Sommaire 11 15 16 Édito : La sécurité du futur se concentrera sur l’identité numérique ! Agenda Données personnelles : « mieux vaut prévenir que guérir » Par Bruno Rasle, Délégué général de l’AFCDP (Association Française des Correspondants à la protection des Données Personnelles) 112 Perte de données personnelles : Attention, DANGER ! Par Me Antoine Chéron, Avocat au Barreau de Paris, ACBM Avocats 114 SSI : quel niveau de maturité des entreprises françaises ? Interview de Didier Henin et Lazaro Pejsachowicz, CLUSIF - Par Marc Jacob et Emmanuelle Lamandé 116 La Confiance dans un monde digital envahi par des Géants Par Florent Skrabacz, DG de Shadline et Fondateur d’Erium Guide des solutions 20. THEGREENBOW 21. DOCTOR WEB 22. DELL SECURITY 23. SOPHOS 24. SOPHOS 25. 6CURE 26. BRAINWAVE 27. USERCUBE 28. DIFENSO 29. LOGPOINT 30. ESI GROUP 31. FORCEPOINT 32. ITRUST www.globalsecuritymag.fr ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 3 Espace Saint-Martin - Paris 24 novembre 2016 Le Data Center au cœur de la société de demain SMART CITY - ÉNERGIE - SÉCURITÉ - HÉBERGEMENT DISPONIBILITÉ - COLOCATION - CLOUD - RÉSILIENCE - DCIM - HUB Crédit image : © Lightspring DE LA THÉORIE À LA PRATIQUE COLLOQUE De la théorie à la pratique en partenariat avec : CESIT – EUDCA – AN2V – Forum ATENA - CLUSIF Tarif d’inscription au colloque : Journée complète inclus les pauses café, le repas du midi et le cocktail de clôture : 120€ HT (TVA 20%) Déclaration d’activité enregistrée sous le numéro 11 92 17185 92 auprès du préfet de région Ile-de-France Pour réserver votre place : http://www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/ ■ Attention, le nombre de places est limité. Contact : Marc Jacob Brami - Tél. : 01 40 92 05 55 - [email protected] Agenda 4JUILLET 2 - 3 juillet - Paris Nuit du Hack www.nuitduhack.com 6 juillet – Paris Petit déjeuner Ping Identity Quand Sécurité rime avec expérience utilisateur et transformation numérique https://www.pingidentity.com/fr/events/2016/Petitdejeuner-ping-synetis-6-2016.html 12 - 14 juillet - Nairobi (Kenya) SecProTec East Africa www.secproteceastafrica.com 26 - 28 septembre - Marseille World Smart Week www.worldsmartweek.com 21 - 26 août - Palais des Congrès - Paris CIGRE www.cigre.org/Events/Session/Session-2016 27 - 28 septembre - San Francisco (USA) Structure Security www.structuresecurity.com 4SEPTEMBRE 27 - 29 septembre - Moscou (Russie) Infosecurity Russia www.infosecurityrussia.ru 5 - 7 septembre - Muscat (Oman) OFSEC http://muscat-expo.com/ofsec 28 - 30 septembre - Bucarest (Roumanie) Cyber Intelligence Europe www.intelligence-sec.com 7 - 9 septembre - Las Vegas (USA) InterDrone www.interdrone.com 12 - 17 juillet - Paris S3C Paris - Smart Countries & Cities Congress http://s3cparis.com/fr 20 - 22 juillet - Melbourne (Australie) Security Expo www.securityexpo.com.au 30 juillet - 4 août - Las Vegas (USA) Black Hat Briefings & Training Federal www.blackhat.com 4AOÛT 1er - 5 août - Accra (Ghana) Audit Risk & Governance Africa Cyber Crime Africa Summit www.auditriskgovernanceafrica.com 4 - 7 août - Las Vegas (USA) DEFCON www.defcon.org En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant. Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement. 7 - 10 août - Seattle (USA) DFRWS USA www.dfrws.org/2016 28 - 30 septembre - Singapour Safety & Security Asia www.safetysecurityasia.com.sg 20 - 22 septembre - Porte de Versailles - Paris Salons Solutions www.salons-solutions.com 29 septembre - 2 octobre - Istanbul (Turquie) ISAF www.isaffuari.com/en 21 - 24 septembre - Hanoï (Vietnam) Secutech Vietnam www.secutechvietnam.com/en 4OCTOBRE 22 septembre - Londres (UK) Securing the Law Firm www.securingthelawfirm.com/event/stlf16 4 - 5 octobre - Paris - Porte Maillot Microsoft TechDays www.mstechdays.fr 22 - 23 septembre - La Haye (Pays-Bas) Hardwear.io http://hardwear.io 4 - 6 octobre - Rennes Préventica www.preventica.com 23 septembre - Paris Security Tuesday - ISSA France http://securitytuesday.com/securitytuesday 5 - 7 octobre - Denver (USA) Virus Bulletin www.virusbtn.com/conference/vb2016/index 26 septembre - Paris Trophées de la sécurité http://tropheesdelasecurite.fr 5 - 8 octobre - Monaco Les Assises de la Sécurité www.les-assises-de-la-securite.com BULLETIN D’ABONNEMENT ❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 51€ TTC (TVA 20%), 72€ hors France Métropolitaine et étranger. Je recevrai les 4 prochains numéros. ❒ ou je commande le numéro : au prix unitaire de 19€ TTC (TVA 20%) ❒ Abonnement annuel au format PDF du magazine 33€ TTC (TVA 20%) ❒ ou je commande le numéro : au format PDF 12€ TTC (TVA 20%) ❒ Abonnement couplé pour une durée d’un an, magazine papier et PDF au prix de 72€ TTC (TVA 20%) ❒ Je souhaite être abonné gratuitement à la News Letter hebdomadaire, voici mon adresse mail : ❒ Je suis RSSI, DSI, Risk Manager, Administrateur Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag. En revanche, Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins ma carte de visite professionnelle (agrafer ici) et mon adresse mail : Nom Adresse Tél. Prénom Fax. Règlement par chèque n° A réception de votre règlement une facture acquittée vous sera adressée par retour. Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant. Date, Signature et cachet de l’entreprise Je recevrai par mail une fois par semaine des informations ciblées Société E-mail Tiré sur banque à l’ordre de SIMP A retourner à : SIMP 17, av. Marcelin Berthelot 92320 Châtillon Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91 E-mail : [email protected] [email protected] Par Bruno Rasle, Délégué général de l’AFCDP (Association Française des Correspondants à la protection des Données Personnelles) DONNÉES PERSONNELLES : « MIEUX VAUT PRÉVENIR QUE GUÉRIR » « Mieux vaut prévenir que guérir ». Cet adage s’applique à la perfection à la conformité de tout projet manipulant des données personnelles avec la loi Informatique et Libertés, et bientôt le règlement européen. Le rêve de tout Correspondant Informatique et Libertés (métier qui évoluera le 25 mai 2018 en « Délégué à la protection des données », ou DPO, pour Data Privacy Officer ou Data Protection Officer) est d’être consulté très tôt, dès l’initiation d’un projet. Il peut alors formuler quelques conseils pour que celui-ci se déroule sereinement, le plus rapidement possible et en plein respect de la loi, de la doctrine de la CNIL et des droits des personnes concernées. Plusieurs exemples concrets émaillent ce papier et montrent les avantages à impliquer très tôt dans les réflexions cet acteur qui, certes, peut être amené à matérialiser quelques « lignes jaunes » à ne pas franchir, mais qui met toujours un point d’honneur à trouver les bons équilibres et suggère souvent des propositions élégantes pour atteindre les objectifs visés tout en réduisant les risques juridiques, financiers, opérationnels, d’image et de réputation qui pèsent sur le responsable de traitement… c'est-à-dire le chef d’entreprise. Limiter la conformité aux seuls aspects techniques est une erreur. De même, restreindre les volets techniques aux seuls aspects de sécurité ne répond pas non plus aux exigences. Mais il est vrai que c’est un axe majeur de toute analyse « Informatique et Libertés », dont nous allons passer en revue quelques-unes des « règles d’or ». DATA MINIMIZATION OU L’ART DE NE TRAITER QUE LES INFORMATIONS NÉCESSAIRES Commençons par celle qui consiste à ne traiter que les informations strictement nécessaires (principe de Data minimization). La réflexion va plus loin que la vérification de la pertinence de chaque donnée traitée par rapport à la finalité poursuivie. Pourquoi saisir la date de naissance dans son intégralité si, par exemple, seuls le mois et l’année sont indispensables au traitement ? Dans le même ordre d’idée, pourquoi conserver indéfiniment les données, sans jamais prévoir leur purge ni les outils qui permettront de la gérer à moindre charge ? Dès la conception, ces questions doivent être posées et des exigences injectées dans le cahier des charges : création d’une zone d’archive intermédiaire – si nécessaire – et de mécanisme de purge. Dans ce domaine, on préférera la destruction assistée, avec décision humaine, plutôt qu’une purge totalement automatisée (il faut prévoir les scenarii où les informations doivent être conservées pour des raisons impé- rieuses, dans le cas d’une enquête ou d’un litige par exemple). La détermination de la durée de conservation, quant à elle, est du ressort du métier, qui peut s’appuyer sur les conseils du CIL. Le règlement nous oblige à passer à la paille de fer les modalités de recueil des consentements. Pour les traitements fondés sur cette base [1], il ne sera plus possible de se contenter de consentements « passifs » (silence de la personne informée vaut accord). De plus, il faudra être en position de prouver le recueil du consentement. C’est donc la fin annoncée des cases uniques (par lesquelles l’internaute donne son consentement à la fois aux conditions générales de vente… et au transfert de ses données aux « partenaires »), des cases déjà cochées, des cases « qui se recochent toutes seules » et de l’information censée éclairer la décision de la personne affichée en police de petite taille et tout en bas de l’écran. Naturellement, les pages dans lesquelles une saisie de données est possible doivent être en https, et non en http. S’il est offert la possibilité aux internautes de se créer un mot de passe, il conviendra de parfaire les procédures de création, de modification, de rotation, de commu- 6 • ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com PRODUITS DE SÉCURITÉ DE DEMAIN nication en cas d’oubli, d’exploitation des traces (dont celles des tentatives infructueuses répétées d’authentification). Depuis 2014 et la loi Hamon, la CNIL possède un pouvoir de contrôle à distance : ses agents peuvent donc, de leurs bureaux, constater l’absence de mention d’information, l’envoi en clair, dans un seul courriel, de l’identifiant et du mot de passe, et, bien sûr, la présence de cookies [2]. Le dernier rapport annuel publié par la CNIL indique que la Commission en a réalisé 155 en 2015. Ainsi, par la délibération n°2016-108 du 21 avril 2016, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre d’une société française qui avait laissé des données clients accessibles librement sur Internet. Le site Web proposait aux clients, entre autres, d’adhérer à un programme de fidélité et de commander des objets promotionnels de la marque. La CNIL avait observé, en juillet 2015, lors d’un contrôle en ligne, que les mesures garantissant la confidentialité des données étaient insuffisantes. Les contrôleurs avaient, en effet, pu accéder librement à plusieurs milliers de données contenues dans les répertoires du site Web, dont les noms, prénoms, dates de naissance, adresses postales et électroniques, numéros de téléphone, ainsi que des informations relatives aux cartes bancaires des clients. Certains de ces répertoires, bien qu’exclus d’une indexation sur Internet, ne faisaient pas l’objet de mesures de sécurité particulières permettant d’en restreindre l’accès alors qu’ils contenaient de nombreuses données personnelles. Immédiatement informée de cette faille de sécurité, la société avait indiqué avoir bloqué l’accès aux données, par l’intermédiaire de son hébergeur. Or, un second contrôle, réalisé en novembre 2015, a révélé que les données étaient toujours accessibles. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’issue de laquelle un avertissement public a été prononcé à l’encontre de la société. Rappelons que l’une des dispositions actuellement à l’étude dans le cadre du projet de loi pour une République numérique donnerait en sus la possibilité à la CNIL d’obliger le responsable de traitement à informer individuellement chaque personne concernée de tout manquement à la loi (et pas seulement de ceux relatifs à la sécurité). LES MOTS DE PASSE DOIVENT ÊTRE STOCKÉS SOUS UNE FORME ININTELLIGIBLE Il y a beaucoup à dire sur les mots de passe [3] et plusieurs délibérations récentes de la commission restreinte de la CNIL consolident la doctrine de l’autorité de contrôle en la matière. Ainsi, suite à des contrôles effectués courant 2012 au sein d’une fédération sportive, la délibération n° 2014-293 du 17 juillet 2014 – qui formalise une sanction de 3 000 euros avec publicité – indique que « la sécurité du Système d’Information de la fédération, qui comprend environ un million de personnes, et de l’espace de l’athlète sur le site Web de la fédération était insuffisante », épingle « la robustesse des mots de passe permettant d’accéder au Système d’Information » et estime « que la modification des paramètres afin d’imposer une robustesse et un renouvellement des mots de passe permettant l’accès aux Systèmes d’Information sont des mesures de sécurité élémentaires ». La composition et la longueur du mot de passe sont des critères qui ne doivent pas être analysés de façon isolée. Ainsi, le code PIN associé aux cartes bancaires peut apparaître, au regard de la doctrine de la CNIL (mot de passe de huit caractères a minima, composé d’au moins trois types différents de caractères, modification régulière [4]), comme une faiblesse extrême, mais que d’autres dispositions viennent équilibrer… comme le nombre de tentatives limité à trois avant que le GAB « n’avale » la carte. C’est donc bien l’ensemble des paramètres qui doivent être pris en compte pour juger de la résistance d’un dispositif d’authentification basé sur la production d’un mot de passe, dont les modalités de transmission, de connexion, de rotation, de protection, de modification des mots de passe associés à une liste ou un bloc d’utilisateurs (en cas d’exfiltration de la base de leurs empreintes), de revue de comptes, etc. Le Correspondant Informatique et Libertés doit vérifier que les mots de passe sont bel et bien stockés sous une forme inintelligible (hashés, avec sel). En juillet 2014, la société éditrice du site www.regimeducan.com a reçu un avertissement public de la part de la CNIL, suite à trois contrôles sur place. Parmi les griefs reprochés au responsable de traitement, on relève que « les mots de passe des comptes clients étaient conservés en clair ». Si besoin, il ne faut pas hésiter à enfreindre le dogme des « mots de passe de huit caractères » : comme l'a montrée une étude publiée en 2011 [5], un mot de passe de seize lettres présente un bien meilleur ratio résistance/ergonomie qu'un mot de passe de huit caractères, composé avec des lettres minuscules et majuscules, des chiffres et des signes spéciaux. Avec une résistance quasiment identique, la seconde approche fait peser une charge bien moins lourde sur l'utilisateur. L’important est de trouver le « bon équilibre », c'est-à-dire une solution qui apporte le niveau de sécurité adéquat sans créer de frustration pour le détenteur du mot de passe. Des tests ergonomiques s’imposent pour mesurer les oublis de mots de passe, les erreurs dans leur saisie, voire les abandons au moment de leur création. Dans les cas où le choix du mot de passe est laissé à l’utilisateur (mot de passe personnel), il convient d’afficher un indicateur de résistance et de rendre impossibles certaines combinaisons trop évidentes, qui pourraient être facilement trouvées par un cybercriminel. Par ailleurs, nombre de mots de passe de serveurs et d’autres ressources critiques (routeurs, proxy, annuaires, etc.) n’ont jamais été modifiés et correspondent encore aux mots de passe par défaut qui figurent dans le manuel d'installation. Un autre champ mérite réflexion lors de la conception des applications : la maîtrise des zones de libre commentaire (ZLC) ou zones bloc-notes. La CNIL a prononcé plusieurs sanctions ces dernières années suite à la découverte, dans ces zones, de contenus pour le moins non pertinents, voire choquants. Il faut commencer par limiter leur emploi au minimum (le CIL s’assure de leur caractère indispensable et documente son analyse, au titre du principe d’Accountability), en leur préférant une liste à choix avec un choix « autre » qui génère l’ouverture d’une zone de saisie uniquement quand il est sélectionné. On placera en filigrane de la ZLC un message qui vise à responsabiliser l’utilisateur (le texte qu’il saisit doit pouvoir être lu par la personne concernée sans que celle-ci y trouve à redire). Pour faciliter les indispensables audits, des métadon- ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 7 nées doivent enrichir les saisies (horodatage, auteur de chaque commentaire). Enfin, il faut prévoir des vérifications régulières de conformité, qui peuvent être réalisées a posteriori, sur un échantillon ou sur la totalité du stock, par analyse lexicale (par rapport à un dictionnaire) ou sémantique (sur base d’algorithmes d’Opinion mining ou de Sentiment analysis), voire même en temps réel. Il convient de maîtriser les avantages et les inconvénients de chaque approche. Ainsi les commentaires suivants, non-conformes, ont peu de chances d’être détectés par un dictionnaire : « Il n’a pas inventé l’eau chaude », « C’est un pisse froid », « Il n’est pas piqué des hannetons celuilà », « Elle est moche de chez moche », « Il vaut son pesant de cacahouètes », « Il est bouché à l’émeri », « Je comprends pourquoi sa femme l’a quitté ! ». TRAÇABILITÉ : DÉTERMINER LES ACTIONS À ENREGISTRER OU NON La question cruciale de la traçabilité mobilise également le Correspondant Informatique et Libertés. Trop souvent des volumes considérables de logs sont collectés et stockés sans que jamais la question de leur exploitation ne soit évoquée. Au titre de l’article 34 de la loi Informatique et Libertés (article 32 dans le règlement européen), le responsable de traitement doit assurer la sécurisation des données personnelles qu’il traite. Pour les plus sensibles d’entre elles, la mise en œuvre d’une supervision, afin de s’assurer de la légitimité des accès aux données et de leur bon usage est indispensable (les délibérations de la CNIL de ces derniers mois y font très fréquemment référence). Elle s’appuie sur les traces de bas niveau (connexion, identification, authentification) et de haut niveau (dossier client consulté, type d’action réalisée par l’utilisateur, modification effectuée, etc.). Il appartient aux directions métier de déterminer les actions les plus « sensibles » qui nécessitent l’enregistrement de traces et leur exploitation (par exemple un changement de RIB, dans le cadre d’une démarche de lutte contre la fraude). La sélection des traces devant être enregistrées et exploitées en découle. Leur traitement étant soumis à la loi Informatique et Libertés, le CIL veille à sa conformité (information des personnes concernées, voire des instances représentatives du personnel, durée de conservation limitée à six mois, protection des traces, mise au registre, gestion des droits des personnes). Le CIL doit aussi veiller au respect des règles qui encadrent, depuis l'ordonnance n°2011-1012 du 24 août 2011 (matérialisée par l'article 32-II de la loi du 6 janvier 1978 modifiée), l’utilisation des cookies et autres traceurs sur les sites Web [6] (y compris les solutions de fingerprinting et de Web bugs). L’attention des webmasters devra être attirée sur les risques spécifiques associés à l’implémentation de certains boutons sociaux, qui demandent des précautions particulières [7]. Le bouton I Like est particulièrement problématique au regard des principes de la loi Informatique et Libertés, puisque la simple consultation d’une page le comportant par un internaute qui possède un compte Facebook génère l’envoi de l’information à la société américaine. L’initiative malheureuse du webmaître du site Web de la NHS (l’équivalent britannique de la branche Maladie de la sécurité sociale) avait défrayé la chronique en 2010. Grâce à ces boutons, le réseau social connaissait exactement les pathologies auxquelles s’intéressent ses utilisateurs, sans aucun anonymat (le directeur du National Health Service avait dû venir s’en expliquer lors d’une audition publique). On rappellera que tous ces points peuvent être facilement observés par les agents de la CNIL dans le cadre de leur procédure de contrôle en ligne. LE CIL : UN SOUTIEN POUR LES DÉVELOPPEURS D’APPLICATIONS MOBILES Le CIL doit, en outre, venir en soutien des développeurs d’applications mobiles. Si elles doivent – elles aussi – respecter la « doctrine cookies », il convient surtout de maîtriser ce que font réellement les briques logicielles utilisées. Ainsi, en 2013, la société Path a accepté de débourser 800 000 dollars lors d’une transaction auprès de la FTC qui lui reprochait de télécharger les carnets d’adresses de ses utilisateurs sans leur consentement. L’entreprise doit également se soumettre à un audit annuel durant vingt ans pour vérifier la bonne application de sa nouvelle politique de confidentialité. Un chercheur en sécurité avait révélé que l'application mobile proposée par Path téléchargeait les données de localisation embarquées dans les photos… même si les utilisateurs avaient désactivé la fonction localisation. Les dirigeants de Path ont admis qu’ils ne savaient même pas qu’ils récoltaient ces données. Il est crucial de se reporter, sur ces sujets, à l’opinion du Groupe Article 29 (« Opinion 02 /2013 on apps on smart devices [8] »). L’étude menée par la CNIL et l’Inria a mis en lumière l’intrusivité des Smartphones (projet Mobilitics [9]) : en l’espace de trois mois, elle avait montré plus de 76 événements de géolocalisation par jour et par téléphone, que 9 applications sur 10 accèdent à Internet, souvent sans aucune justification, que certaines applications accèdent à des données sans lien direct avec une action de l'utilisateur ou un service offert par l'application (récupération de l'identifiant unique, du nom de l'appareil, de la localisation), le tout sans une information claire des utilisateurs. Une récente étude publiée par Stanford, intitulée « Evaluating the privacy properties of telephone metadata [10] », confirme ces constats. Elle démontre la difficulté à échapper à certaines formes de surveillance pour les utilisateurs de téléphones portables. Les auteurs de l’étude rappellent une citation d'un ancien directeur de la NSA et de la CIA : « Nous tuons des personnes sur la base de leurs métadonnées... ». PRIVACY BY DESIGN : UNE RÈGLE D’OR À INTÉGRER Concernant les précautions à prendre en termes de sécurité des données personnelles, on rappellera que le Privacy by Design (rendu obligatoire par l’article 25 du règlement européen) englobe le Security by Design (et non pas l’inverse). Les cycles de vie des projets doivent donc être modifiés – si ce n’est déjà fait – pour que soit prise en compte la protection de la vie privée dès la conception, selon une approche par les risques. On peut, d’ores et déjà pour les traitements les plus sensibles, réaliser des EIVP (Etude d’impact sur la vie privée) en s’inspirant des guides publiés par la CNIL. L’important est de garder à l’esprit que c’est bien la personne concernée qui est au centre du 8 • ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com PRODUITS DE SÉCURITÉ DE DEMAIN raisonnement : là où le RSSI donne la priorité aux risques qui pèsent sur l’entreprise, le CIL (futur Délégué à la protection des données) pense avant tout à la protection des personnes concernées. Il met donc l’emphase sur les « événements redoutés » qui pourraient impacter la vie privée, sociale et professionnelle de ces dernières. Actuellement un « art » plutôt qu’une science, le Privacy by Design peut se concrétiser techniquement et sur son volet sécurité par la production d’éléments de preuve montrant que le développement est sécurisé (par exemple, en référence à l’OWASP), par la tokenisation des données les plus sensibles [11] (en GrandeBretagne, les numéros de sécurité sociale sont systématiquement remplacés par des tokens au sein des hôpitaux), par la mise en œuvre de moyens de traçabilité qui seront indispensables pour gérer les éventuelles notifications de violations de données, par le chiffrement ou le hash de certaines données. Plusieurs domaines accusent un retard considérable et devraient appliquer cette approche sans tarder, dont celui des objets connectés. LE BIG DATA DOIT FAIRE L’OBJET D’UNE CHARTE Ces mêmes principes devraient être suivis dans tout projet Big Data. Riche de promesses et de potentiels, les mégadonnées soulèvent des questions d’acceptabilité sociétale. Il est donc indispensable que le CIL soit impliqué au plut tôt, afin que ces technologies se développent de façon sereine. Plusieurs recommandations commencent à se préciser : la constitution d’un comité d’éthique – qui se prononcera principalement dans tous les cas où le Big data produit un résultat susceptible de générer des effets juridiques sur une personne et toute forme de profiling – et la formulation d’une charte du Big data, un effort marqué de transparence (qui ne se limite pas à l’information des personnes mais pourrait aller jusqu’à l’observabilité des algorithmes), la réalisation d’études d’impacts sur la vie privée et l’intégration de la sécurité dans la constitution d’un data lake. Les points suivants devraient être étudiés à cette étape : Qui aura accès au data lake ? Le modèle traditionnel de la gestion des habilitations par rôle est-il adapté à ce nouveau paradigme ? Certaines données, plus sensibles que d’autres, ne de- vraient-elles pas bénéficier d’un niveau de protection supérieur – comme du chiffrement ou de la tokenisation ? Un pirate informatique pourrait-il « séquestrer » le data lake (par exemple en le chiffrant et en réclamant une rançon pour que l’entreprise en retrouve la maîtrise) ? Ou encore injecter des données afin de « polluer » le lac de données, pour provoquer des inférences erronées ou de moindre qualité ? En cas d’intrusion dans notre lac de données, serons-nous en mesure d’informer les personnes auxquelles sont rattachées les 300 To de données qu’il contient ? Par ailleurs, le CIL doit se pencher sur l’implémentation des métadonnées lors de l’étape T (pour Transform) du modèle ETL, qui prévaut dans la constitution du data lake. Il faut qu’elles permettent les futures purges (si elles ne sont pas anonymes, les données devront être détruites à l’issue de la durée de conservation imposée par la loi), la production de la preuve du recueil du consentement de la personne (si les données sont utilisées pour une finalité incompatible avec celle pour laquelle elle a été collectée initialement [12]) et la gestion des demandes de droit d’accès (avec le règlement européen, nous n’aurons plus qu’un seul mois pour y répondre, au lieu de deux actuellement). L’un des points les plus délicats est, sans conteste, le risque de se retrouver dans le champ de l’article 8 de la loi Informatique et Libertés (données interdites de traitement, sauf exception), sans que personne ne puisse expliquer la logique d’un traitement opéré en machine learning. Ainsi, le débat fait actuellement rage aux ÉtatsUnis sur des outils censés estimer le taux de récidive, accusés de racisme [13]. Le danger est également de ne pas limiter ces traitements à une aide à la décision (l’un des principes fondateurs de la loi Informatique et Libertés – conservé dans le règlement – est l’interdiction de toute décision prise automatiquement sur une personne et ayant un effet juridique sur elle). Quand plus personne ne sera capable de comprendre les algorithmes de deep learning, l’humain ne sera-t-il pas tenté de valider systématiquement la proposition que lui fait la machine ? On commence à entrevoir l’émergence d’algorithmes conçus afin de surveiller (a minima pour essayer d’expliquer le fonctionnement) de tels traitements. Les précautions de sécurité doivent s’étendre aux phases de validation, de recette, de dépannage, de support, de démonstration, de formation. L’enquête publiée en 2013 par Actusoins (« Des données médicales confidentielles accessibles sur le Web [14] ») avait mis en évidence certains points perfectibles : « Dans les petits établissements, les logiciels sont parfois développés par des stagiaires qui partent ensuite ailleurs, ils font des sauvegardes et personne ne vérifie ensuite ce qu'elles sont devenues. C'est de cette manière qu'on retrouve facilement sur Internet des bases de données comme des listes de patients ». Concernant les développeurs, la CNIL conseille de ne mettre à leur disposition que des données « banalisées » (anonymisées) et de séparer les zones de production de celles de développement. PRÉPAREZ-VOUS DÈS À PRÉSENT À LA NOTIFICATION DES VIOLATIONS DE DONNÉES Le règlement introduit maintes nouveautés qui nécessitent une revue technique des applications existantes et l’introduction de nouveaux réflexes dans le cadre des projets. Mais c’est sans conteste l’obligation de notifier certaines violations de données – à la CNIL et, éventuellement, aux personnes concernées – qui nécessite au plus tôt l’ouverture de chantiers techniques qui peuvent être lourds. Ainsi, il convient d’étudier les différentes possibilités techniques qui permettraient de bénéficier de l’exception de notification aux personnes, afin de les mettre en œuvre dès la mi-2018, date prévue d’entrée en vigueur des nouvelles règles. Faut-il privilégier du chiffrement, du hash, de la tokenisation ? Et selon quelles modalités d’implémentation ? Pour être en mesure de déployer ces solutions en 2018, il faut les avoir expérimentées en 2017… et donc avoir obtenu les budgets correspondants à l’automne 2016, c'est-à-dire demain. Le groupe AFCDP « Notification des violations de données » prépare d’ailleurs une F.A.Q. sur ce thème, ainsi qu’une procédure type. Je parie aussi sur un effet de bord vertueux de ces nouvelles dispositions sur le respect des durées de conservation. Il est vrai que la donnée la plus facile à sécuriser est celle que l’on a purgée (à la réflexion, celle que l’on n’a pas collectée est encore ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 9 LA JOURNÉE FRANCOPHONE DE LA SÉCURITÉ « CONVAINCRE SANS CONTRAINDRE »* me E É E N N R O É U H T I O J OP UR ION C C T 9 RANA SÉ RMA F L FO è N E I ’ D L DE Mardi 28 Mars Renseignements : Marc Jacob Brami SIMP - 17 avenue Marcelin Berthelot - 92320 Châtillon Tél. : +33 (0)1 40 92 05 55 - Fax. : +33 (0)1 46 56 20 91 [email protected] - www.gsdays.fr * citation de Jean-Marc Laloy, ARCSI 2017 Paris PRODUITS DE SÉCURITÉ DE DEMAIN plus sûre). Alors qu’aucune loi ne les y oblige, les entreprises américaines purgent d’elles-mêmes leurs informations qui n’ont plus de valeur commerciale. Elles ne font qu’appliquer la règle du « shred it or protect it ». La comparaison est intéressante par rapport à la France où la loi Informatique et Libertés oblige à définir une durée de conservation : on sait bien que c'est là un écart de conformité assez fréquent [15]. Plusieurs autres nouveautés introduites par le RGPD demanderont une « traduction technique ». Ainsi, au titre du nouveau droit à la limitation du traitement (article 18), il faudrait pouvoir interdire à l’application l’utilisation des données « gelées » jusqu’à la levée de la limitation. Enfin, au titre du nouveau droit à la portabilité (article 20), il faut se préparer à extraire et à transmettre les données personnelles à un autre responsable de traitement – le plus souvent un concurrent – « dans un format structuré, couramment utilisé et lisible par machine ». UNE OPPORTUNITÉ SE CACHE DERRIÈRE CHAQUE NOUVELLE OBLIGATION Au final, l’erreur serait de croire qu’il s’agit là d’une question d’ordre technique, alors que c’est avant tout un sujet d’ordre humain : la solution est à trouver du côté de la sensibilisation, de la responsabilisation, de la formation, de la création de nouveaux réflexes... Nombreux sont les Correspondants Informatique et Libertés qui organisent des sessions de sensibilisation pour les MOA, AMOA et chefs de projets. C’est d’autant plus nécessaire pour les projets développés en mode agile, dont toutes les évolutions, au rythme des sprints, doivent respecter les principes de conformité. Ce serait regrettable qu’un projet, développé en Scrum pour être mis en production de toute urgence… nécessite finalement le dépôt d’une demande d’autorisation auprès de la CNIL (avec les délais associés) si certaines caractéristiques introduites en cours de développement (interconnexion de fichiers de finalités différentes, utilisation de la biométrie, collecte du NIR, etc.) l’exigent. contentent de répondre strictement aux rares questions du CIL qui, par manque de connaissances, en reste à la surface des choses. De la non-coopération à l’obstruction en passant par la résistance, cette attitude des informaticiens s’explique bien sûr par un sentiment premier de compétition, là où il ne doit y avoir que symbiose. Cette synergie est, par exemple, indispensable pour réaliser les analyses de risques et les études d’impacts. S’il appartient au CIL de décider dans quels cas une telle démarche s’impose, c’est bien la DSI qui réalise généralement l’analyse des risques. Mais, au final, c’est le CIL qui juge de la cotation finale des risques et si les risques résiduels sont acceptables, avant de les présenter, pour décision finale, au responsable de traitement. Sans un minimum de connaissances techniques du CIL, on observe des EIVP « désincarnées » et peu pertinentes, qui ont été pilotées uniquement par la technique. Ces séances de sensibilisation sont également propices à la création d’une synergie entre les CIL (souvent de formation juridique) et les informaticiens. Si certaines directions des Systèmes d’Information sont particulièrement bienveillantes envers leur CIL, d’autres n’hésitent pas à lui masquer certaines informations cruciales derrière un jargon abscons. D’autres se Pour conclure, si, effectivement, le règlement européen (et, éventuellement, les dispositions que pourrait amener le projet de loi pour une République numérique) va imposer l’ouverture de chantiers techniques très lourds, il est important de positiver, en cherchant l’opportunité qui se cache derrière chaque nouvelle obligation, afin de créer de la valeur. nnn [1] Art. 6.1.a du règlement sur les données personnelles Naturellement les agents de la CNIL sont tenus de respecter la loi Godfrain (Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique) et ne réalisent pas d’attaques ni d’intrusion. Ils se contentent de réaliser les actions offertes aux internautes. L’accès à contenu non sécurisé (qui, normalement, n’aurait pas dû être exposé sur la toile), référencé par un moteur de recherche, entre bien, par contre, dans le champ du contrôle (voir, par exemple, T. Duvernoy et L. Minano, « Enquête : des données médicales confidentielles accessibles sur le web », Actusoins, 1er mars 2013) [3] Le chapitre « Sésame, ouvre-toi ! », de l’ouvrage « Correspondant Informatique et Libertés : bien plus qu’un métier » (AFCDP, 2015), est dédié à ce sujet. [4] On remarquera que le mot de passe « Mot 2 passe » respecte scrupuleusement cette contrainte, tout en présentant une faiblesse conceptuelle. On se souviendra également que, jusqu’en 2010 (apparition de la version Oracle 11g), les mots de passe acceptés par Oracle n’étaient constitués que de lettres majuscules. [5] « Of passwords and people: Measuring the effect of password-composition policies », Komanduri, Shay, Gage Kelley, Mazurek, Bauer, Christin, Faith Cranor, Egelman [6] https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi [7] Voir https://www.cnil.fr/fr/solutions-pour-les-boutons-sociaux [8] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_en.pdf [9] https://www.cnil.fr/fr/mobilitics-saison-2-nouvelle-plongee-dans-lunivers-des-smartphones-et-de-leurs-applications [10] http://techcrunch.com/2016/05/17/stanford-quantifies-the-privacy-stripping-power-of-metadata/ [11] Le règlement européen met l’emphase sur le recours à la pseudonymisation, comme un moyen de concourir à la sécurisation des données, mais en précisant que cette technique ne permet en aucun cas de « sortir » du champ de la loi, comme le permet l’anonymisation la plus stricte. [12] On rappellera que, durant la phase finale du trilogue, il a été écarté la possibilité de fonder un traitement pour une finalité incompatible avec celle d’origine sur l’intérêt légitime du responsable de traitement. [13] Voir « Machine Bias - There’s software used across the country to predict future criminals. And it’s biased against blacks », par Julia Angwin, Jeff Larson, Surya Mattu and Lauren Kirchner, ProPublica, 23 mai 2016 [14] www.actusoins.com/12771/des-donnees-medicales-confidentielles-accessibles-sur-le-web.html [15] Cf. « La sécurité des données personnelles enfin prise au sérieux ? », par Bruno Rasle – Mars 2010 (librement accessibles sur www.afcdp.net) [2] ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 11 Par Me Antoine Chéron, Avocat au Barreau de Paris, ACBM Avocats PERTE DE DONNÉES PERSONNELLES : ATTENTION, DANGER ! Depuis la nuit des temps, les commerçants enferment leurs stocks, verrouillent les caisses, cadenassent le matériel. Aujourd’hui, ces actifs concrets et tangibles sont de moins en moins importants alors que l’immatériel prend toujours plus le dessus d’un point de vue quantitatif et financier. LE RENOUVELLEMENT DES ENJEUX DE SÉCURITÉ POUR LES ENTREPRISES En effet, les entreprises sont maintenant devenues dépendantes des nouvelles technologies qui ont su se rendre indispensables. Si on continue l’analogie avec les stocks qui peuvent être détruits par des évènements naturels comme une inondation ou volés par des criminels, les données collectées par une entreprise sont susceptibles d’être perdues. Or, une catégorie de données fait l’objet d’une attention particulière de la part des autorités françaises et européennes. Ce sont les fameuses « données à caractère personnel », celles portant des informations qui permettent d’identifier directement ou indirectement les personnes physiques. C’est une catégorie très vaste qui va de l’adresse postale à l’adresse IP, en passant par l’empreinte digitale et les appels téléphoniques. UNE ILLUSTRATION PARLANTE : LE SCANDALE ASHLEY MADISON Il existe de nombreux exemples de piratages informatiques, mais celui dont a été victime le site Ashley Madison est particulièrement pertinent s’agissant des atteintes à la vie privée que le piratage peut engendrer. En effet, ce site de rencontres extra-conjugales très prisé des canadiens et américains a été piraté en juillet 2015 et les cybercriminels ont menacé de divulguer le profil et les fantasmes des 37 millions d’utilisateurs. Les pirates en question n’ont pas demandé d’argent contre l’assurance de ne rien divulguer, car leur but était tout simplement la fermeture de ce site qu’ils considéraient immoral. Ils voulaient également dénoncer le mensonge de l’entreprise qui promettait à ses utilisateurs la destruction des données et de l’historique du client pour le prix de 19 dollars supplémentaires. Finalement, ils ont tout de même publié le contenu de 33 millions de personnes, ce qui a ruiné leur vie conjugale, sociale et professionnelle et même entrainé le suicide de trois personnes. LA NOTIFICATION DES VIOLATIONS DE DONNÉES PERSONNELLES À LA CNIL En 2009, le législateur européen a modernisé les directives qui constituent le « Paquet télécom ». A l’occasion de leur transposition par une ordonnance du 24 août 2011, il a été imposé aux fournisseurs de services de communications électroniques une nouvelle obligation de notification à la Commission nationale de l’informatique et des libertés (CNIL). Concrètement, il s’agit d’Orange, SFR, Bouygues Telecom, Free, Numéricable et les opérateurs locaux. Ainsi, « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement » doit être signalée à la CNIL, en vertu de l’article 34 bis de la loi du 6 janvier 1978. Si la violation porte atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, cette même disposition prévoit que le fournisseur doit avertir sans délai l’intéressé. 12 • ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com PRODUITS DE SÉCURITÉ DE DEMAIN Mais cette obligation est limitée aux fournisseurs de réseaux ouverts au public et ne permet pas de prévenir efficacement les cyber-risques, ce dont est très consciente l’Union européenne. LA DIRECTIVE EUROPÉENNE NIS EN RÉPONSE AU CYBER-RISQUE En février 2013, la Commission européenne a proposé aux États membres et au Parlement d’adopter une directive « Network Security and Information » (NIS) qui a été approuvée en décembre 2015 et adoptée en première lecture par le Conseil de l’Europe en mai 2016. Celle-ci prévoit des mesures visant à assurer un haut niveau de confiance dans les systèmes de réseaux et d’informations de l’Union. Pour se faire, elle prévoit notamment de mettre à la charge des opérateurs et fournisseurs de services numériques de nouvelles obligations en matière de cybersécurité. Cette directive NIS est en fait le support nécessaire du règlement beaucoup plus général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le but est à long terme d’obtenir un espace numérique sécurisé et performant au sein duquel les États membres coopèrent de manière harmonieuse pour lutter contre la cybercriminalité. LA STRATÉGIE DE CYBERSÉCURITÉ IMPOSÉE AUX ÉTATS D’ICI 2018 • Au niveau national Les États membres de l’Union européenne devront créer un organe chargé de collecter les rapports des incidents critiques émis par les entreprises. Ces rapports seront reçus par une « Computer Emergency Response Team » (CERT), un centre d’alerte et de réaction aux attaques informatiques. Les CERTs auront pour mission de surveiller, analyser et avertir des risques, mais aussi d’intervenir a posteriori. • Au niveau communautaire La directive prévoit la mise en place d’un réseau de communication interétatique pour le reporting des incidents, appelé CSIRT, qui sera soutenu par l’Agence européenne chargée de la sécurité des réseaux et de l’information (AESRI). La coopération sera faite sur la base du volontariat et du partage d’informations. Le but est de faire circuler au mieux les alertes et d’y répondre d’une manière adaptée tout en discutant des stratégies nationales et de l’efficacité du réseau paneuropéen de CERTs. La directive prévoit un échange d’informations avec le centre européen du cyber-crime qui devrait avoir lieu dans le cadre d’une infrastructure sécurisée. Elle définit le statut d’OIV comme un opérateur économique « ayant un rôle primordial pour le fonctionnement de la Nation », par exemple dans les secteurs de la gestion de l’eau, de l’énergie, de la santé, de l’alimentation ou encore des activités civiles, militaires et judiciaires de l’État. Initialement, la directive NIS devait simplement étendre cette obligation à tous les « operator of essential services » (OES), soit l’équivalent de nos opérateurs d’importance vitale. A la différence près que tous les opérateurs, quelle que soit leur taille, seront soumis à cette obligation de signalisation de tout bug informatique comme une perte des données. La liste s’est ensuite étendue aux « plateformes de contenus et de services », comme Amazon, Google ou Ebay. Cependant, leurs obligations seront moins lourdes que pour les acteurs des secteurs considérés critiques. Mais les réseaux sociaux, les très petites et micro-entreprises du Web ne sont pas inclus dans le spectre de la directive NIS. LA VÉRITABLE SOLUTION : LES PRODUITS DE SÉCURITÉ DE DEMAIN La directive encourage les opérateurs économiques qu’elle vise à développer de nouvelles technologies pour protéger les droits des individus. En effet, « mieux vaut prévenir que guérir » et c’est le règlement qui impose à la charge des responsables de traitement de données à caractère personnel d’agir en ce sens. Dès la conception d’un projet, le responsable devra d’ici 2017-18 prendre des mesures techniques et organisationnelles pour assurer la sécurité des données, c’est le concept de « Privacy by Design ». Par exemple, le stockage des données personnelles devra être chiffré automatiquement, tout comme le mot de passe utilisateur. Cette technique permet de rendre impossible la compréhension d’un document à toute personne qui ne possède pas la clé de déchiffrement. Enfin, on peut également signaler un recours de plus en plus important des entreprises aux « blockchains ». La « chaîne de blocs » est une nouvelle forme d’organisation de la base de données, rendant la falsification des informations impossible. La blockchain sécurise toutes les transactions effectuées dès la première d’entre elles. En intégrant les données à caractère personnel aux blockchains, on limiterait donc de manière nnn révolutionnaire le risque de les perdre. QUELS OPÉRATEURS ÉCONOMIQUES SONT CONCERNÉS ? Il existe déjà en France une obligation à la charge des « OIV » – les opérateurs d’importance vitale – de reporter aux autorités compétentes toute attaque informatique auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 13 Interview de Didier Henin et Lazaro Pejsachowicz, CLUSIF Par Marc Jacob et Emmanuelle Lamandé SSI : QUEL NIVEAU DE MATURITÉ DES ENTREPRISES FRANÇAISES ? Didier Henin L’usage du numérique, la demande de haut débit, tout comme la multitude de services désormais disponibles pour les utilisateurs… sont en constante augmentation. Ce nouveau besoin se répercute aussi au sein des entreprises, constatent Didier Henin et Lazaro Pejsachowicz, CLUSIF. Toutefois, ont-elles la maturité suffisante aujourd’hui pour sécuriser leurs Systèmes d’Information et appréhender le degré de sécurité des produits qu’elles utilisent ? Sans compter l’impact qu’aura le nouveau règlement européen, relatif à la protection des données personnelles, sur la sécurité et les solutions dédiées, ainsi que les garanties exigées par les entreprises auprès des constructeurs… Le nombre et le niveau d’attaques opérées par des biais « multicanaux » progressent d’année en année, remarque Didier Henin, RSSI de BUT International - Membre de l’espace RSSI du CLUSIF. « Nous constatons, effectivement, une évolution dans la technicité des attaques, passant d’un simple virus, transmis par support magnétique, il y a quelques années, à des attaques plus sophistiquées, réalisées à des fins de destruction, comme Stuxnet et TV5 monde, ou de fraudes (via des attaques APT par exemple). L’affaire Snowden a, en outre, dévoilé au grand jour les possibilités immenses que la technique peut offrir en vue de prendre de l’information ou de s’introduire dans les Systèmes d’Information. » UN NIVEAU DE MATURITÉ DES ENTREPRISES EN DEMI-TEINTE De son côté, la maturité des entreprises en matière de SSI est, selon le dernier rapport MIPS du CLUSIF paru en 2014, en légère progression, la stagnation des budgets ne permettant pas le décollage de celle-ci. « Pour autant, le nombre de RSSI est en constante augmentation (62% en 2014 vs 38% en 2008) », explique-t-il. « D’ailleurs, suite aux événements marquants de vols de données clients (VTECK en fin d’année 2015, l’attaque de TV5 Monde et bien d’autres), le prochain rapport MIPS risque fort, selon lui, de voir ces chiffres s’envoler. Une détonation s’est effectivement produite, faisant prendre conscience aux grandes entreprises (au moins) de l’urgence de combler ce retard technique et de sensibiliser leurs personnels. Il est donc fort à parier que les prochains chiffres liés à la sensibilisation, notamment des VIP (18% en 2012 vs 31% en 2014), fassent un bond très significatif. D’ailleurs, la montée en puissance, en France, de l’ANSSI ces dernières années est le reflet de l’ampleur du sujet et de la prise en compte de plus en plus importante par l’État et les entreprises de la sécurité des Systèmes d’Information. » A l’heure actuelle, la performance et la pérennité des entreprises reposent effectivement sur la faculté qu’ont ces dernières à protéger leur patrimoine informationnel, souligne Lazaro Pejsachowicz, Président du CLUSIF. Toutefois, leur niveau de maturité en la matière oscille encore largement selon le type et la taille de l’organisation en question. « Pour la plupart des grandes entreprises (et même des moyennes), de réels investissements ont été réalisés dans ce domaine au cours des dernières années, dont la prise en compte de standards (normes et méthodes), la mise en place de PSSI, la revue de chartes informatiques ou encore le recrutement d’acteurs spécialisés comme les Responsables de la Sécurité des Systèmes d’Information (RSSI) », constate-t-il. « La plupart des entreprises ont donc compris l’importance d’une 14 • ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com PRODUITS DE SÉCURITÉ DE DEMAIN gouvernance documentée de la sécurité et d’une sensibilisation accrue du personnel (y compris informatique). Cette amélioration de la gouvernance reste cependant inégale d’une entreprise à l’autre : si l’on exclut la sphère militaire, ce sont les banques et les OIV (Organismes d’Imp o r ta n ce V i ta le ) , Lazaro Pejsachowicz c ' e st - à - d i re le s organismes touchés par les réglementations les plus fortes, qui ont le plus progressé dans la sécurisation de leurs informations et de leurs systèmes informatiques. » Le CLUSIF constate également que de nombreux investissements (au-delà du simple combo pare-feu/anti-virus) ont été faits pour renforcer la sécurité périmétrique des entreprises. La recrudescence d’attaques par courriers malveillants (phishing) et d’installations non désirées de logiciels malfaisants (trojans) démontrent cependant que cette seule sécurité périmétrique n’est plus suffisante et que le modèle de « Château fort » associé est d’ores et déjà obsolète. En effet, l’ouverture technique du SI associée à l’évolution toujours croissante des nouvelles technologies rendent le périmètre de l’entreprise de plus en plus difficile à définir. Il n’est donc pas crédible, à l’heure actuelle, d’imaginer qu’aucune menace ne pourra réussir à pénétrer, à voler ou à endommager ce dernier. Le modèle du « Château-fort » doit de ce fait évoluer vers celui de « la Tour de contrôle », afin de détecter au plus tôt une intrusion et réagir en conséquence, le plus rapidement possible. Cette évolution, bien que nécessaire, n’a pourtant pas encore, selon lui, dépassé un stade initial pour la majorité des entreprises. Les organisations associatives comme le CLUSIF s’attèlent à faire comprendre la nécessité de redoubler d’efforts, afin de leur assurer une meilleure résilience par rapport à cette situation. De nombreux groupes de travail, comme par exemple « Comment réussir le déploiement d’un SOC », « La gestion de la cellule de crise » ou encore « Cyber-assurance » ont été créés au sein de l’association pour aider les entreprises françaises à rattraper leur retard dans ce domaine. Les retours d’expérience et les réflexions partagées permettent ainsi d’aider ces dernières à établir les mesures à prendre suite à une attaque : rapidité de détection, exploitation des traces et, donc, réduction de son impact. LE RÈGLEMENT EUROPÉEN SOUMETTRA LES ENTREPRISES À DES OBLIGATIONS DE RÉSULTATS… focaliser leurs efforts sur ce modèle de « Tour de contrôle ». Ce règlement ne sera pas une simple obligation de moyens comme le sont les législations actuellement en vigueur, mais soumettra les entreprises à des obligations de résultats en termes de détection et de suivi d’attaques. En outre, une notification aux autorités compétentes et parfois même aux victimes sera obligatoire en cas de fuite d’informations. Ceci impliquera donc la mise en œuvre d’éléments de protection dédiés pour éviter, au-delà du préjudice d’image, des sanctions administratives et financières. Toutefois, du côté des solutions de sécurité, reprend Didier Henin, le dernier rapport MIPS a mis en exergue une augmentation du nombre d’erreurs d’utilisation et de conception entre 2010 et 2014. Cela doit inciter les utilisateurs et constructeurs à travailler ensemble, afin d’élever le niveau de maturité des produits. Les outils de sécurité de demain devront répondre à des exigences de pertinence, d’efficacité et de reconnaissance dans le monde des utilisateurs. Même si le règlement européen sur la protection des données à caractère personnel n’a pas pour finalité première de donner ces exigences de sécurité sur les produits en particulier, par projection, les entreprises devront s’assurer, en fonction de la finalité déclarée de leurs traitements, que les produits ne transmettent pas de flux mettant en cause la véracité de leurs déclarations. L’analyse de risques, rendue obligatoire, devra d’ailleurs englober la connaissance du produit en profondeur. LES PRODUITS DE SÉCURITÉ DE DEMAIN DEVRONT AIDER LES ENTREPRISES À AMÉLIORER LEUR RÉSILIENCE Les produits de sécurité de demain devront, ainsi, nécessairement aider les entreprises françaises à régler leurs problèmes de résilience, estime Lazaro Pejsachowicz. « L’une des premières briques permettant de solutionner cela repose sur la mise en place d’un Security Operation Center, afin de détecter et réagir en cas d’incident, mais également de traiter les aspects légaux et financiers afférents. La nomination d’un Data Protection Officer (DPO) contribuera également à renforcer les efforts fournis en termes de gestion opérationnelle de la sécurité. Pour être efficace, ce DPO devra non seulement disposer de nombreuses connaissances, mais également entretenir des liens étroits avec les différents acteurs de l’entreprise. Et certaines obligations, dont notamment les notifications et autres opérations coûteuses, méritent d’être analysées pour prendre en compte la possibilité du transfert de ces coûts vers des Cyber-Assurances. En conclusion et bien qu’il y ait encore de nombreux axes d’amélioration pour les entreprises françaises », soulignet-il, « nous observons, au sein des groupes de travail et de l’Espace RSSI du CLUSIF, une réelle volonté de progresser et d’innover en matière de sécurité de l’information. Nous continuerons donc à travailler de concert avec les organismes institutionnels et les entreprises, afin d’aider ces dernières à tendre vers une sécurité des Systèmes d’Information la plus nnn efficace possible. » Le règlement européen relatif à la protection des données personnelles appelle également, selon lui, les entreprises à ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 15 Par Florent Skrabacz, DG de Shadline et Fondateur d’Erium LA CONFIANCE DANS UN MONDE DIGITAL ENVAHI PAR DES GÉANTS Différenciation, Transformation, Digital : des mots qui ont pris leur place dans les comités de direction des entreprises, et notamment en France où l’objectif reste de combler le retard digital. Un retard explicable au moins en partie par la difficulté de s’imposer dans un monde où les Géants Digitaux donnent le « La ». Ces derniers ont redéfini le terrain de jeu de la concurrence et le rapport entre les entreprises et les clients finaux avec lesquels elles ont de moins en moins de contacts. Dans l’écosystème français, posons-nous la question : et si l’injection de la confiance dans le monde numérique changeait la donne ? La question peut sembler naïve, et pourtant, elle prend du sens ramenée à ces 3 paradoxes : • Une entreprise peut-elle se réinventer en s’appuyant sur les mêmes solutions que tout le monde, et en faisant de la rapidité de leur acquisition un élément de réussite ? • Une entreprise peut-elle préserver son intimité professionnelle lorsqu’elle repose sur des systèmes dépendant d’acteurs dont le pouvoir dépasse celui de nombreux États ? • Une entreprise peut-elle véritablement maîtriser sa sécurité quand elle utilise des sous-systèmes de sécurité dépendant de systèmes globaux sur lesquels elle n’a aucune prise ? La concurrence est rythmée par des entreprises (GAFA…) qui entretiennent une asymétrie de rapports de force exceptionnelle. Dans cet environnement, les nouvelles batailles sont celles de la maîtrise des données, et plus encore, des points de contact avec les clients finaux. Elles créent une frénésie qui ressemble aux bulles spéculatives boursières : elles rompent lorsque plus personne n’est connecté aux fondamentaux. Or, la confiance est un fondamental, elle a été négligée dans de nombreux domaines, et elle commence à se rappeler à l’écosystème des Géants Digitaux. I – UN MONDE DE GÉANTS L’histoire des faits économiques retient que les monopoles vivent souvent des jours heureux, mais jamais éternels. L’un des exemples les plus emblématiques fut sans doute le démantèlement des baby-bell en 1987 aux USA par l’application de la loi antitrust. Certains monopoles s‘inscrivent dans un segment spécifique, à savoir les monopoles naturels. Ceux-ci ont pour trait caractéristique d’afficher des rendements croissants : plus ils produisent, plus leur rentabilité est élevée. Que penser de Google et d’Apple dont les rentabilités opérationnelles 16 • ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com PRODUITS DE SÉCURITÉ DE DEMAIN avoisinent respectivement 25% et 30% ? Ils rendent la concurrence presque impossible sur leurs multiples marchés : aucun acteur économique n’arrive à rivaliser avec leurs économies d’échelle. QUELQUES CHIFFRES En 2016, les GAFA devraient dégager un Chiffre d’Affaires global de 450 Mds USD. Situé entre le PIB de l’Autriche et de l’Argentine, ce CA est le double du PIB de la Grèce. Leur bénéfice net (avant impôts) avoisinera les 75 Mds USD. Les GAFA ne sont pas seuls, ils ont leurs challengers pour chaque catégorie d’activité, certains d’entre eux ayant déjà été absorbés (Youtube, Uber, Twitter, TripAdvisor, LinkedIn, Skype, WhatsApp…). Les GAFA sont tirés par le B2C, mais des modèles convergents sont en train de se créer dans le monde du B2B avec, par exemple, Yammer, Slack ou Skype for Business. Les interrelations entre ces applications B2B et le B2C deviennent un enjeu majeur et redéfinissent la nature des relations entre les entreprises et leurs clients. Dans les situations de monopole, le pouvoir est strictement entre les mains du vendeur. Le consommateur est une variable d’ajustement. Illustrons la réalité par quelques chiffres : la sécurité de trouver sa place et de répondre à l’antagonisme un brin schizophrène de ses missions : • Sécuriser l’existant et gérer des co n t r a i n t e s ré g le m e n t a i re s e n augmentation constante ; • Prendre le virage de la transformation digitale pour ne pas se retrouver au bord de la route. La pratique de la sécurité dans l’univers des Systèmes d’Information « régaliens » est connue. Elle a ses méthodes, ses pratiques, ses outils et ses experts. Elle est complexe, challengée quotidiennement par l’actualité des menaces et des attaques, mais elle est connue. La pratique de la sécurité dans l’univers digital doit s’adapter aux maîtres-mots suivants : • Accélération : le Digital est une dynamique d’accélération qui inscrit le SI d’entreprise dans un ensemble Digital plus global. Cette accélération a pour finalité un objectif de développement de parts de marché, d’accroissement du CA et de la marge. Pour certains, elle consiste à résister à la cannibalisation, ou à l’ubérisation, de leur marché. La réussite digitale est indispensable aux entreprises, et un esprit de blocage serait fatal à la sécurité. • Innovation : l’esprit Digital consiste à « rechercher une autre voie » en s’appuyant sur des composants de plus en plus communs à tous et en créant DANS LE MONDE DU B2C DANS LE MONDE DU B2B • Gmail et Facebook ont dépassé le milliard d’utilisateurs • Twitter compte plus de 300 millions d’utilisateurs • LinkedIn compte plus de 380 millions de membres inscrits • Instagram compte plus de 300 millions d’utilisateurs actifs • Amazon, premier site de e-commerce du monde avec plus de 183 millions de produits référencés • 1 milliard de terminaux mobiles iOS (iPhone et iPad) activés (fin novembre 2014) II – UN MONDE DIFFICILE POUR LA SÉCURITÉ Il est stratégique, mais complexe pour • Slack a été créée en 2013 et a une capitalisation supérieure à 3Mds d’euros • Office 365 utilisé par plus de 50 millions de professionnels actifs mensuels • HipChat, Trello, Asana… de plus en plus d’acteurs sur le marché des solutions collaboratives pour les entreprises la couche du haut. Ces composants communs sont tellement incontournables que la sécurité peut difficilement agir sur leur conception. La sécurité doit trouver des solutions aux bornes de ces écosystèmes. • Ouverture : le décloisonnement des données entre acteurs économiques, d’intérêts parfois divergents devient une réalité. Ceci est à la base d’une guerre de l’accès aux données et de leur valorisation. Elle percute fondamentalement les politiques de restriction des accès aux données des modèles de sécurité existants. La sécurité se trouve face à la nécessité d’intégrer la valeur la plus paradoxale de toutes : l’ouverture. Le terrain de jeu de la sécurité est profondément challengé. Il est contraint par un enchâssement de plus en plus fort des business modèles de l’entreprise dans des modèles plus globaux qu’imposent les Géants Digitaux. Les entreprises perdent la relation avec leurs SI, leurs données et leurs utilisateurs. Les nombreuses chaînes d’hôtels et de restaurants qui sont devenues les fournisseurs des systèmes de booking sont un cas d’école, mais tout autant que celles qui ont trouvé leur autre voie. III – UN MONDE QUI CHERCHE LA CONFIANCE Le nerf de la guerre est désormais celui de la maîtrise de la relation avec les consommateurs finaux, in fine des différents segments qui constituent le Grand Public. Or, même si les usages digitaux sont addictifs au point parfois d’ignorer tous les principes de précaution essentiels, il y a une prise de conscience progressive des enjeux de la confiance par le plus grand nombre : • Les affaires Ashley Madison, Sony Entertainment, Walmart, les fuites de mots de passe de nombreux réseaux sociaux, etc., sont médiatisées. Elles installent une défiance durable, et pas uniquement pour ceux qui en sont victimes. • Des procès sont faits en Europe aux Géants Digitaux tant pour leurs pratiques de protection des données personnelles que pour certaines pratiques fiscales. Ils ouvrent des brèches dans des modèles où la valeur d’image (le brand equity) est essentielle. • La réglementation évolue pour encadrer en profondeur les pratiques et l’éthique des traitements de données dans le monde digital (Ex : Règlement européen GDPR, Projet de Loi pour la République Numérique et renforcement des moyens de la CNIL) et la protection des systèmes (Directive ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 17 PRODUITS DE SÉCURITÉ DE DEMAIN européenne NIS, Loi de Programmation Militaire). Cette évolution diffuse le sentiment d’une nécessaire amélioration. Ces facteurs contribuent d’une part à installer une certaine défiance vis-à-vis des acteurs dominants du monde digital, et d’autre part à créer une attente de changement. Cette attente ouvre une voie à de nouveaux modèles où le Digital se construit sur des socles de confiance objective et vérifiable. Après avoir parlé d’économie du Partage, parlera-t-on un jour d’économie de la confiance ? Sous une forme ou une autre, très certainement : car la confiance est devenue un bien rare et elle est demandée. Et, si par adage, la confiance n’a pas de prix, soyons certains qu’elle a une valeur. En devenant acteur de la nécessité d’une relation forte et réinventée, par la confiance, entre les entreprises et leurs clients, la sécurité peut insuffler un potentiel de rupture positive. Et, au final, dépasser le statut « d’empêcheur de tourner en rond » de la sécurité… en le revendiquant ? nnn Cette confiance ne se limite pas à un seul facteur, elle nécessite, au moins : • Des pratiques de sécurité au niveau des systèmes ; • Une éthique des pratiques de traitement et de valorisation des données personnelles ; • Un effort de communication et de démonstration des engagements pris ; • Une capacité de contrôle par des autorités ou des tiers non contestables. La France a su développer un écosystème et un savoir-faire particulièrement avancé pour donner de la place à ces facteurs de confiance. Elle bénéficie d’une industrie de la cybersécurité particulièrement avancée, de start-ups à fort potentiel sur ces sujets, d’une relation entre les autorités publiques et le secteur privé qui permet de garantir et d’objectiver la confiance. Elle constitue, par ailleurs, une alternative géo-stratégique reconnue par rapport aux acteurs dominants dans de nombreux domaines. LES ENTREPRISES FRANÇAISES ONT PROBABLEMENT BEAUCOUP À GAGNER EN OSANT LE DIGITAL PAR LA CONFIANCE Quelle meilleure différenciation pour une entreprise que de montrer en quoi la dimension d’intimité et de confidentialité des données personnelles est un sujet majeur, à l’inverse de ses concurrents ? Chaque entreprise a aujourd’hui pour enjeu de maintenir un lien direct, actif et exclusif avec ses clients finaux. La confiance peut être un discriminant de choix, une griffe de « haute couture » dans le monde digital. IV – POUR UNE SÉCURITÉ QUI ENTREPREND Il est véritablement difficile de passer du rôle de celui qui coûte au rôle de celui qui investit, de celui qui dit non à celui qui dit oui, de celui qui gère à celui qui entreprend. Pourtant, en partant du principe que l’ordre digital n’est pas établi, que la Confiance peut devenir une nouvelle règle du jeu, la sécurité peut démontrer qu’elle est une rampe de lancement pour les stratégies de différenciation et de performance. Depuis 2014, beaucoup a été écrit sur l’économie du partage : vue jusqu’à récemment comme la base d’une nouvelle donne, elle est aussi challengée par certains sur sa viabilité. De même, l’ubérisation passera le relai à d’autres modèles. Dans le Digital, il n’y a pas de fatalité et les dogmes ont une durée de vie parfois courte. ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 19 LOGICIELS DE SÉCURITÉ PUBLI INFO UNE SOLUTION DE SÉCURITÉ DIFFICILE À INSTALLER OU À UTILISER FINIT PAR NE RIEN SÉCURISER Jérôme CHAPPE, Directeur Général, TheGreenBow La protection des données concerne désormais tous les matériels, toutes les formes de stockage et tous les moyens de communications. Concevoir des solutions de sécurité fiables, mais surtout ergonomiques pour tous ces contextes, est le challenge technologique des années à venir. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? L'échange de données numériques n'est plus - depuis de nombreuses années - l'apanage du monde professionnel. Il s'est étendu à tout un chacun, via l'usage des réseaux sociaux, les échanges de mails, l'utilisation des messageries instantanées, etc. Les moyens de communications de données numériques se sont largement diversifiés : ordinateurs, smartphones, tablettes. Demain - cela a déjà commencé cet échange de données numériques va continuer de s'étendre aux objets connectés et aux réseaux industriels. Autant de communications susceptibles d'être interceptées, bloquées, perverties, exploitées. La généralisation des échanges numériques - depuis les échanges entre individus jusqu'aux connexions entre objets connectés - démultiplie mathématiquement les risques d'attaques de toute nature : déni de service, phishing, prise de contrôle, interception, etc. L'écosystème des solutions de sécurité va naturellement se centrer sur la protection des données, quel que soit le moyen par lequel elles sont transmises (Internet, réseaux industriels, etc.) et où qu'elles soient stockées (cloud, supports physiques divers, etc.). Mais il doit aussi s'orienter vers la production de solutions de sécurité ergonomiques, utilisables par tous, voire invisibles. On l'a souvent constaté, au cœur de la sécurité de l'information, il y a l'humain : la sécurité ne peut plus être contraignante. Les mesures de sécurité contraignantes sont au mieux rejetées, au pire contournées. La sécurité des données doit aujourd'hui être la plus enfouie et la plus "indolore" 20 possible, pour l'utilisateur comme pour celui qui la met en place. C'est sans doute un des challenges technologiques des années à venir. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? TheGreenBow est éditeur de logiciels de sécurité. Nous sommes leader mondial du logiciel Client VPN et nous proposons une solution de chiffrement de mails. Notre expertise, au-delà de la compétence cryptographique indispensable à la réalisation de ce type de solutions, consiste à proposer des solutions extrêmement fiables (notre logiciel Client VPN est certifié Critères Communs EAL3+), qui restent avant tout particulièrement ergonomiques. Protéger l'information n'est plus une option. C'est aujourd'hui obligatoire. Mais si pour ce faire il faut redéfinir son infrastructure, changer ses habitudes ou suivre des formations spécifiques de plusieurs jours, les solutions ne sont pas mises en place ou mal mises en place, pas utilisées ou mal utilisées. La protection des données, de plus en plus enfouie et de plus en plus ergonomique, est au cœur de notre développement. Avec la multiplication des moyens de communications, des populations concernées et des connexions entre objets eux-mêmes, nous avons d'ores et déjà de multiples sujets de développement de notre activité. GS Mag : De quelle manière allezvous faire évoluer votre gamme de solutions en ce sens ? Toujours plus d'ergonomie, toujours plus de facilité de mise en œuvre et d'utilisation, et toujours plus d'exhaustivité dans les fonctions de sécurité proposées, comme dans les plateformes adressées. Aujourd'hui et demain encore plus, tout utilisateur d'ordinateur, de smartphone ou de tablette doit obtenir le même niveau de sécurité, quel que soit le matériel qu'il utilise. Demain, toute communication devra pouvoir être protégée facilement et rapidement que ce soit sur Internet, dans le cloud, au sein d'un réseau industriel ou entre objets connectés. Concevoir et proposer des solutions toujours plus faciles à intégrer ou à déployer, mais aussi extrêmement rapides à mettre en œuvre sont les challenges technologiques sur lesquels nous concentrons aujourd'hui nnn nos efforts. INFORMATIONS PRATIQUES Solution phare. Client VPN universel et Chiffrement de mails Téléphone. +33 (0)1 43 12 39 30 Courriel. [email protected] Web. www.thegreenbow.com ÉDITEUR DE LOGICIELS ANTIVIRUS PUBLI INFO INVESTIR DANS LA RECHERCHE ANTIVIRALE POUR RELEVER LES DÉFIS DE DEMAIN Boris SHAROV, PDG, DOCTOR WEB, Ltd. D’un côté, objets connectés et « intelligents », voitures sans conducteurs, virtualisation des systèmes, demain peut-être, intelligence artificielle, bio-informatique ; de l’autre, persistance du facteur humain, croissance et pérennité de l’industrie du cyber crime. Autant de défis qui se présentent aux chercheurs en virologie informatique, tant en termes technologiques qu’humains, pour mieux connaître les organisations cybercriminelles et anticiper les menaces de demain. L'apparition de nouveaux logiciels dans le domaine de la sécurité informatique reste une inconnue. C’est plutôt le monde dans lequel de tels outils seront utilisés qui va changer. Jusqu'à récemment, nous avons utilisé les ordinateurs de bureau - généralement assez puissants pour pouvoir y installer tous les outils de sécurité nécessaires, puis les tablettes et Smartphones ont vu le jour ces appareils avaient de fortes restrictions relatives aux actions des outils de sécurité et la plupart d'entre eux avaient une petite quantité de RAM et des processeurs faibles. L'abaissement du coût des équipements numériques et leur miniaturisation ont provoqué l'apparition des gadgets électroniques, voitures intelligentes, et ont développé l'intérêt des gens pour les maisons intelligentes. De tels appareils sont trop petits pour y mettre des outils de protection, il ne reste donc qu'à compter sur les compétences des utilisateurs et sur leur savoir-faire en matière de configuration, ainsi qu'à espérer qu'il n'y ait pas de vulnérabilités. Mais ces espoirs sont utopiques. Dans un avenir assez proche, nous devons nous attendre à la consolidation de tous ces composants intelligents dans des systèmes qui réunissent des structures inter agissantes. Le défi du futur proche est la création de systèmes de sécurité permettant de contrôler la sécurité de l'univers des micro-ordinateurs inter agissants. Et à très long terme, on peut prévoir l'apparition de bioordinateurs et de l'intelligence artificielle. Si on voit dès aujourd’hui des systèmes hospitaliers et nucléaires piratés, on doit se rendre compte du fait que les cybercriminels ne s'arrêteront pas là, ils n'hésiteront pas devant le piratage de l'intelligence artificielle. De même, la virtualisation des systèmes a un impact sur la sécurité. Mais l’accès à ces systèmes vient toujours d’un objet physique (ordinateur, mobile), donc les attaques sur les supports physiques restent préoccupantes. C’est bien le nombre de systèmes et objets différents à protéger qui constitue le défi de demain. Par ailleurs, la complexité des attaques, de plus en plus sophistiquées, reste également un problème. L’antivirus reste un outil indispensable et cela ne se dément pas avec le temps. Nous serons toujours obligés de détecter et d’éradiquer les menaces connues, mais nous voyons clairement le ratio menaces connues versus menaces inconnues augmenter. De plus, le facteur humain reste également un impondérable. À l'heure actuelle, le problème principal de la sécurité antivirus réside, en effet, dans les utilisateurs qui négligent les règles de sécurité, persuadés qu'ils sont assez sages et ne seront jamais contaminés ou - le contraire ils pensent qu'un antivirus une fois installé les protège contre toutes les menaces. Hélas, ce n'est pas vrai. C'est pourquoi nous investissons beaucoup dans la R&D. D’un côté, nous continuons à automatiser les processus de détection par signature, et de l’autre, nous amplifions les recherches sur la détection sans signature. C’est le sens de nos recherches sur la sécurité du système Android, et l’objet de notre produit Dr.Web pour Katana, un antivirus pour Windows sans signatures qui neutralise notamment les Trojans de type « cryptolocker ». Les outils de protection des systèmes de type Linux sont également une priorité, car c'est ici que les menaces les plus dangereuses apparaissent, et qui sont, malheureusement, souvent sous-estimées par les utilisateurs. (antivirus en tant que service), nous offrons, d’une part, de la flexibilité à nos utilisateurs qui peuvent gérer eux-mêmes leur protection. D'autre part, les données obtenues par ce biais nous permettent, ainsi qu’à nos partenaires, de réagir immédiatement aux nouvelles menaces, de stopper les épidémies, mais aussi d'envoyer aux utilisateurs des notifications urgentes. Nous mettons beaucoup de ressources sur l’innovation technique, toutefois nous aurions également besoin de plus d’informations concernant les groupes cybercriminels, les créateurs de virus et ceux qui les exploitent, leurs intentions et leurs nnn objectifs. INFORMATIONS PRATIQUES Solution phare. Dr.Web Enterprise Security Suite Contact. Pierre CURIEN, Directeur France Téléphone. +33 (0)3 90 40 40 20 Courriel. [email protected] Web. www.drweb.fr Enfin, nous développons l'antivirus en tant que service, ainsi que des projets éducatifs comme, par exemple, « Lumières sur la sécurité ». Avec le service Dr.Web AV-Desk 21 SÉCURITÉ INFORMATIQUE PUBLI INFO COMMENT MAXIMISER VOTRE PROTECTION CONTRE LES MENACES PERSISTANTES ET AUTRES APTS Florian MALECKI, International Product Marketing Director, Dell Security Pour une protection efficace contre les menaces évoluées, les entreprises ont besoin de solutions incluant un mécanisme de sandboxing multicouche, comprenant des techniques de virtualisation et d’émulation complète de systèmes, capables de détecter les techniques d’évasion évoluées - aujourd’hui et demain ! Une menace persistante avancée est un ensemble de processus de piratage informatique discrets et continus, souvent orchestrés par des agresseurs visant une entité spécifique. Ces menaces incluent souvent des programmes malveillants inconnus et non documentés, notamment des menaces de type zero-day. Elles sont conçues pour être évolutives, polymorphes et dynamiques. Leur objectif est d’extraire ou de compromettre des données stratégiques, comme les informations d'identité, d’accès et de contrôle. Même si ces types d’attaques sont moins courants que les menaces automatisées ou standardisées dont la cible est plus vaste, les APTs représentent une sérieuse menace. Pour parvenir à mieux les détecter, les professionnels de la sécurité déploient des technologies de détection avancée des menaces, incluant souvent des sandbox virtuelles qui analysent le comportement des fichiers suspects et repèrent des programmes malveillants dissimulés, jusquelà inconnus. Les menaces sont toutefois de plus en plus intelligentes, et les techniques de sandboxing de nombreux éditeurs ne parviennent pas toujours à s’adapter et deviennent inefficaces. Afin de protéger les entreprises face aux dangers croissants de ces menaces, Dell SonicWALL Capture Advanced Threat Protection Service – un service cloud proposé avec les pare-feux Dell SonicWALL - détecte et bloque toute menace évoluée au niveau de la passerelle jusqu’à ce que l’analyse ait rendu son verdict. Analyse multi-moteur des menaces évoluées : Dell SonicWALL Capture Service complète le travail de protection du pare-feu en détectant et prévenant les attaques zeroday. Le pare-feu inspecte le trafic, puis 22 détecte et bloque les intrusions et programmes malveillants connus. Les fichiers suspects sont envoyés au service cloud Dell SonicWALL Capture pour être analysés. La plate-forme sandbox multi-moteur, qui inclut le sandboxing virtualisé, l’émulation complète du système et une technologie d’analyse au niveau de l’hyperviseur, exécute le code suspect et analyse son comportement, offrant ainsi une visibilité complète sur l’activité malveillante, tout en permettant d’éviter les tactiques d’évasion et en maximisant la détection des menaces zero-day. Analyse de nombreux types de fichiers de toute taille : Le service assure l’analyse de pratiquement tous les types de fichiers, quelle que soit leur taille, notamment les programmes exécutables (PE), DLL, PDF, documents MS Office, archives, JAR et APK, ainsi que de divers systèmes d’exploitation, comme Windows, Android et Mac OSX. Les administrateurs peuvent personnaliser la protection en sélectionnant ou excluant les fichiers à envoyer dans le cloud pour analyse, selon le type du fichier, sa taille, l’expéditeur, le destinataire ou le protocole. Ils peuvent aussi soumettre manuellement des fichiers au service cloud. Bloquer jusqu’au verdict : Afin d’empêcher les fichiers potentiellement malveillants de pénétrer sur le réseau, les fichiers envoyés au service cloud pour y être analysés peuvent être retenus à la passerelle jusqu'à ce qu’un verdict soit rendu. Déploiement rapide des signatures correctives : Lorsqu’un fichier est identifié comme étant malveillant, une signature est immédiatement mise à la disposition des pare-feux ayant un abonnement à Dell SonicWALL Capture pour empêcher toute infiltration plus poussée. Le malware est alors soumis à l’équipe Dell SonicWALL d’analyse des menaces pour y être analysé plus en profondeur et intégré aux bibliothèques de signatures de l’antivirus au niveau de la passerelle et de l’IPS. Il sera, en outre, envoyé sous 48 heures aux bases de données d’URL, d’IP et de réputation de domaine. Reporting et alertes : Le service Dell SonicWALL Capture fournit un tableau de bord concis de l’analyse des menaces, ainsi que des rapports détaillant les résultats d’analyse des fichiers envoyés au service. Ils contiennent notamment des données sur la session et des informations sur le système d’exploitation, ainsi que sur l’activité de ce dernier et du réseau. Les alertes journal du pare-feu notifient l’envoi de fichiers suspects au service Dell SonicWALL Capture, avec le résultat de l’analyse. nnn INFORMATIONS PRATIQUES Solution phare. Dell SonicWALL Capture Advanced Threat Protection Service Contact. David HADDAD Courriel. [email protected] Web. www.sonicwall.com PROTECTIONS ENDPOINT ET RÉSEAUX PUBLI INFO PROTECTION NEXT-GEN ET SÉCURITÉ SYNCHRONISÉE POUR BLOQUER APT ET RANSOMWARE Michel LANASPEZE, Head of Marketing – Western Europe, Sophos La nouvelle génération de solutions de protection Endpoint Sophos dialogue en temps réel avec les solutions de protection réseaux et de chiffrement Sophos pour contrer automatiquement les menaces les plus avancées. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? GS Mag : De quelle manière allezvous faire évoluer votre gamme de solutions en ce sens ? L’écosystème des solutions de sécurité se transforme pour répondre principalement à trois grandes forces de changement : • L’évolution des menaces avancées, telles que les ransomwares et les menaces ciblées, complexes et à faible diffusion (APT) • L’évolution des usages, avec en particulier la mobilité • L’évolution des technologies Nous introduisons constamment de nouvelles technologies de protection au sein de nos solutions Endpoint. Nous nous sommes ainsi inspirés de technologies mises en œuvre dans nos solutions réseaux Next-Gen pour bloquer les appels vers les centres de commande et contrôle des pirates. Ceci est très utile contre les ransomwares, dont l’activation repose sur ce type d’appel. Face à ces changements, les éditeurs répondent par l’introduction de nouvelles générations de solutions et en renforçant la coopération entre les différents niveaux de protection. Nous avons récemment fait l’acquisition de SurfRight, spécialiste de la protection Endpoint Next-Gen avec son produit phare HitmanPro. En détectant l’exploitation de vulnérabilités d’une manière générique et très précise, SurfRight apporte une protection étendue contre les menaces avancées, qui utilisent souvent des vulnérabilités Zero Day. Cette acquisition nous a déjà permis de lancer le nouvel utilitaire de nettoyage Sophos Clean et fera l’objet très prochainement d’une intégration plus large au sein de notre solution de protection Sophos Endpoint. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? Le domaine de la protection des systèmes Endpoint répond à ces changements d’abord par l’émergence de nouvelles techniques de protection Next-Gen, qui contribuent à améliorer la protection contre les menaces avancées. Ensuite, la montée en puissance des mobiles et des usages tels que le recours au Cloud entraîne une convergence entre protection Endpoint et protection des équipements et des données mobiles. Enfin, de nouvelles technologies de synchronisation de la sécurité entre réseaux et Endpoint apparaissent, afin de bloquer les menaces les plus complexes. Dans ce contexte d’évolution accélérée, les utilisateurs sont confrontés à la difficulté de maîtriser cette complexité croissante avec des ressources limitées, ce qui entraîne également de nouvelles réponses de la part d’éditeurs tels que Sophos. Sophos est également à la pointe de l’innovation dans la synchronisation de la sécurité, qui permet de faire coopérer étroitement et en temps réel les protections Endpoint et réseaux. Avec nos nouvelles solutions, le parefeu connaît en temps réel le système et l’utilisateur qui se trouvent derrière une adresse IP et peut ouvrir automatiquement un dialogue en temps réel avec le système potentiellement compromis pour affiner l’analyse et si nécessaire lancer une remédiation sur le poste, sans aucune intervention de l’administrateur. système compromis, dès la détection d’une infection. L’administrateur sécurité pourra ainsi remédier au problème sans craindre la fuite de données sensibles. Pour répondre aux demandes de simplification et de convergence d’un grand nombre de nos clients en matière d’administration de la sécurité, nous intégrons également l’ensemble de nos solutions au sein de la plateforme d’administration Sophos Central. Elle permet déjà une administration simple et complète des protections Endpoint et mobile. Elle va s’étendre très rapidement au chiffrement et à toutes les composantes de la protection réseaux : pare-feu, Email, Web, Wi-Fi... Notre but est de proposer une sécurité à la fois modulaire et intégrée, pour plus de simplicité et plus de protection grâce à la synchronisation de la sécurité. Nous aidons également ainsi nos partenaires à proposer des services de sécurité administrés nnn complets à nos clients. INFORMATIONS PRATIQUES Solution phare. Sophos Enduser Protection Contact. Michel LANASPEZE Téléphone. +33 (0)1 34 34 80 00 Courriel. [email protected] Web. www.sophos.fr C’est le début d’une approche très prometteuse qui va s’étendre. Nous allons ainsi prochainement lancer une nouvelle version de notre solution de chiffrement Sophos Safeguard, qui bénéficiera de cette sécurité synchronisée. Il sera alors possible de suspendre automatiquement les clés de chiffrement sur un 23 PROTECTIONS ENDPOINT ET RÉSEAUX PUBLI INFO SYNCHRONISER LA SÉCURITÉ POUR BLOQUER LES MENACES AVANCÉES Michel LANASPEZE, Head of Marketing – Western Europe, Sophos La nouvelle génération de solutions de protection réseaux Sophos dialogue en temps réel avec les solutions Sophos Endpoint pour contrer automatiquement les menaces les plus avancées. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? GS Mag : De quelle manière allez-vous faire évoluer votre gamme de solutions en ce sens ? L’écosystème des solutions de sécurité se transforme pour répondre principalement à trois grandes forces de changement : • L’évolution des menaces avancées, telles que les ransomwares et les menaces ciblées, complexes et à faible diffusion (APT) ; • L’évolution des usages, avec en particulier les nouvelles applications et la mobilité ; • L’évolution des technologies. Dans ses dernières générations de solutions, Sophos a introduit une technique de synchronisation de la sécurité qui permet de faire coopérer étroitement et en temps réel les protections réseaux et Endpoint. Face à ces changements, les éditeurs répondent par l’introduction de nouvelles générations de solutions et en renforçant la coopération entre les différents niveaux de protection. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? Dans le domaine de la protection des réseaux, après la diffusion de nouvelles techniques de pare-feu Next-Gen pour mieux combattre les menaces APT et accompagner les nouveaux usages, les éditeurs réalisent qu’il est de plus en plus difficile de progresser sans se coordonner avec les autres niveaux de protection, et en particulier la protection Endpoint. Une première réponse consiste à corréler les événements de sécurité à l’aide de systèmes de type SIEM. Mais cette approche est réservée aux entreprises qui disposent d’experts pour analyser les alertes et ne permet pas d’automatiser la réponse aux attaques. C’est pourquoi les éditeurs de solutions de protection réseaux cherchent aujourd’hui à mettre en place des dialogues et réponses coordonnés entre solutions de protection réseaux et Endpoint. C’est une des voies d’évolution les plus prometteuses en matière de protection. 24 Ordinairement, quand un pare-feu détecte un comportement douteux sur un système, il ne connaît que son adresse IP, et n’est donc pas capable de déterminer précisément le système, les processus et l’utilisateur en cause. Cela limite la précision de son analyse et laisse à la charge de l’administrateur le travail d’enquête pour identifier le système compromis et remédier au problème. Avec les nouvelles solutions Sophos, le parefeu connaît en temps réel le système et l’utilisateur qui se trouvent derrière une adresse IP, et peut ouvrir automatiquement un dialogue en temps réel avec le système potentiellement compromis pour affiner l’analyse et si nécessaire lancer une remédiation sur le poste lui-même, sans aucune intervention de l’administrateur. Tous les événements suspects, aussi bien sur les postes que sur le réseau, sont corrélés en temps réel pour identifier les menaces les plus discrètes, telles que les APTs. Par ailleurs, nous étendons constamment les capacités de filtrage de nos solutions réseau, pour assurer un contrôle granulaire des nouvelles applications Web qui apparaissent quotidiennement, et ceci au niveau des utilisateurs, afin d’assurer un contrôle de type « Layer 8 » et pas juste basé sur les ressources réseaux. Couplé avec les évolutions du contrôle d’accès réseaux, en particulier pour les mobiles, ceci permet de mettre en place des politiques de sécurité basées sur les utilisateurs. Pour rendre ces technologies accessibles au plus grand nombre, nous proposons ces technologies avancées non seulement dans nos appliances pare-feu NextGen dédiées, destinées aux plus grandes entreprises, mais aussi dans nos solutions UTM. Celles-ci réunissent pare-feu Next-Gen, protection Email, protection Web, pare-feu applicatif et accès WiFi sécurisé dans un seul équipement, avec une approche modulaire qui permet de répondre aux besoins des établissements cherchant à consolider des fonctions sur une plate-forme évolutive. Nous proposons la totalité des capacités fonctionnelles de nos solutions sur l’ensemble de notre gamme de boîtiers, ainsi que dans des versions logicielles et virtuelles, disponibles également à travers Amazon Web Services et autres fournisseurs de cloud. Cette flexibilité nous permet de répondre au mieux à l’évolution des besoins et modèles de déploiement dans les années à venir. nnn INFORMATIONS PRATIQUES Solution phare. Sophos XG Firewall Contact. Michel LANASPEZE Téléphone. +33 (0)1 34 34 80 00 Courriel. [email protected] Web. www.sophos.fr SOLUTIONS ANTI-DDOS PUBLI INFO LA DISPONIBILITÉ DES DONNÉES, NOUVEL ELDORADO DES CYBERCRIMINELS ? Fabrice CLERC, C.E.O. de 6cure Après la confidentialité et l’intégrité des informations, les cybercriminels s’intéressent désormais à la disponibilité des données, offrant pour eux des perspectives de gains rapides et faciles. Il faut donc s’appuyer sur des solutions garantissant cette disponibilité, en neutralisant ces nouveaux types d’attaques. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? Cet écosystème va nécessairement devoir s’adapter à l’évolution fulgurante de celui des attaques. Les attaquants progressent tous les jours, leurs actions sont de plus en plus ciblées, efficaces, et lucratives ; les moyens dont ils disposent sont de plus en plus importants et accessibles ; les organisations cybercriminelles sont de plus en plus structurées, professionnelles, et s’appuient de manière croissante sur de véritables experts. Et puis surtout, leur logique a changé et leur permet des gains plus rapides grâce à des actions plus faciles à réaliser, auxquelles les dispositifs de défense traditionnels ne sont pas préparés. De ce point de vue, s’attaquer à la disponibilité des données et des moyens de communication s’avère une stratégie intelligente, qui porte ses fruits. Les solutions de sécurité de demain devront donc évoluer très rapidement pour s’adapter « en temps réel » aux transformations constantes des menaces, des infrastructures à protéger, et des usages. Elles permettront d’anticiper les attaques, afin de mieux les neutraliser. Pour l’utilisateur, elles devront être simples à utiliser, lui offrir visibilité et contrôle sur son environnement. Elles agiront de manière interopérable et collaborative, pour faire face notamment à des cybermalveillances multiformes, fonctionnant sur le même mode. Par ailleurs, leurs modes de déploiement seront variés, sur site, dans le « Cloud », ou hybride, afin de combiner au mieux les avantages de la proximité et le recours possible à une expertise extérieure. Enfin et surtout, l’écosystème devra inclure des solutions de protection adaptées à cette nouvelle logique, de nature donc à neutraliser les attaques portant atteinte à la disponibilité des Systèmes d’Information, et à assurer ainsi la fluidité des communications et l’acheminement des flux de données. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? Notre domaine d’activité est concerné au premier chef, puisque les attaques DDoS que nous neutralisons constituent la principale menace pour la disponibilité des données et des Systèmes d’Information. Le principe de ces attaques n’est pas nouveau. Ce qui l’est par contre, c’est l’émergence régulière de nouvelles attaques de ce type. Les DDoS ne sont plus seulement volumétriques, ils deviennent « intelligents », les attaques, quant à elles, ne sont plus uniquement massives, mais aussi discrètes, progressives, pulsantes, amplifiées, lancées par rebond… Dans ce domaine particulier de la Sécurité, les solutions devront donc aussi évoluer en permanence pour s’adapter au paysage perpétuellement changeant des attaques, être disponibles selon divers modes (« On Premise » vs «SaaS »), voire « collaborer » avec d’autres solutions de sécurité. GS Mag : De quelle manière allezvous faire évoluer votre gamme de solutions en ce sens ? l’intégration avec des solutions complémentaires du marché. Nous nous orientons vers des solutions plus faciles à mobiliser et à mettre en œuvre rapidement, afin d’offrir une protection efficace et à coût maitrisé. Nous nous appuierons pour cela sur des partenaires technologiques avec lesquels nous construirons une offre de service, disponible dans le Cloud. Enfin, aujourd’hui, mieux se protéger implique pour les organisations de se rapprocher de leurs fournisseurs. Nous allons donc favoriser cette proximité et mettre en place une véritable stratégie de partage d'informations entre les utilisateurs de nos solutions et nos équipes R&D, ainsi qu’entre les clients partenaires, membres de cette « communauté d’utilisateurs ». Cela facilitera une meilleure acuité sur les attaques, pour une plus grande nnn réactivité. INFORMATIONS PRATIQUES Solution phare. 6cure Threat Protection Contact. Fabrice CLERC Téléphone. +33 (0)2 50 01 15 09 Courriel. [email protected] Web. www.6cure.com Nous allons continuer à faire évoluer nos solutions pour élargir la couverture fonctionnelle à la protection contre de nouvelles stratégies d’attaque, et poursuivre nos travaux en vue d’améliorer encore l’ergonomie de nos solutions, la visibilité qu’elles procurent aux utilisateurs, 25 IDENTITY ANALYTICS PUBLI INFO LA TRANSFORMATION NUMÉRIQUE NOUS OBLIGE À REVOIR LE CONCEPT DE SÉCURITÉ DU SYSTÈME D’INFORMATION Cyril GOLLAIN, CEO et Fondateur de BRAINWAVE Dans un passé pas très lointain pour la majeure partie d’entre nous, le Système d’Information se devait d’être protégé uniquement sur ses contours. Aujourd’hui, le SI devient un organisme vivant étendu, collaboratif et ouvert aux employés devenus mobiles, rejoints par les partenaires ‘business’, les ‘brokers’, les clients... A cette évolution s’ajoutent la transformation numérique et le recours au Cloud, l’introduction du collaboratif et de nouveaux usages, avec plus d’utilisateurs et encore plus de données. Le développement de l’IOT est prémonitoire d’une transformation irréversible de la sécurité informatique. L’imperméabilité du SI et de ses accès a vécu… GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? A l’instar du système de défense du corps humain, le Système d’Information doit être protégé par le respect de règles d’hygiène simples, avant d’envisager les remèdes de cheval. Les brèches qui ont défrayé la chronique ces dernières années nous ont beaucoup appris. Il en résulte que les bases d’une auto-immunité du SI reposent sur la capacité de monitorer en continu ce qui s’y passe, en matière d’applications, de données, de privilèges d’accès, d’utilisateurs et d’activité. tendance que nous voyons se confirmer chez nos clients. Pour réaliser cette quadrature du cercle, il est indispensable qu’un écosystème de solutions se forme autour de domaines spécialisés, où prime l’excellence, et qu’elle inter-opèrent de concert dans un GSOC (Governance and Security Operation Center) pour une efficacité maximale. Nous avons fait évoluer notre plateforme de nouvelle génération, Brainwave Identity GRC, pour qu’elle soit parfaitement adaptée à ce contexte et aux défis qui l’entourent. Elle s’articule autour de quatre principes : l’inventaire des accès (qui a accès à quoi), l’automatisation des contrôles sur les accès (qui a accédé à quoi), l’analyse des usages (qui a fait quoi) et l’analyse des signaux faibles (analyse comportementale), permettant de détecter tout ce que les autres dispositifs n’ont pas réussi à voir en amont. En outre, elle évalue et identifie les risques potentiels par rapport aux droits, et caractérise et alerte sur les risques avérés, au travers d’une analyse des processus de bout en bout. Cette démarche s’inscrit dans un pilotage optimal de la gouvernance et de la conformité. Nous attendons cependant peu de modifications, mais des évolutions. La plus notable est l’analytique et plus particulièrement la corrélation et l’analyse des informations concernant les utilisateurs, leurs responsabilités (au sens métier), comportements (au travers des logs), droits fins (rôles et permissions) et informations, qui sont hétérogènes et dispersées dans l’entreprise. Nous pensons que l’ensemble des solutions devront collaborer et partager ces données, afin d’offrir une meilleure efficacité. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? Notre domaine spécifique lié à la gouvernance, au contrôle continu, à l’analyse préventive des risques et à la gestion de la conformité, s’intègre dans un schéma global de sécurité et de gouvernance. C’est une 26 Si les risques liés à l’identité n’ont pas foncièrement changé, ils se sont amplifiés par la transformation numérique. On observe à la fois une explosion des cyber-risques et des risques de fraude interne. Dorénavant, nous devons disposer d’analyses plus détaillées et embrassant un plus large spectre, allant jusqu’au niveau des processus métier. Elles doivent être performantes en raison des volumes importants de données à analyser. GS Mag : De quelle manière allez-vous faire évoluer votre gamme de solutions en ce sens ? Ne parlons pas au futur, pour Brainwave, le travail a déjà commencé depuis trois ans. Notre portefeuille de solutions est entièrement fondé sur le concept « Identity Analytics ». Ce concept a pour valeur, aux yeux des responsables de la sécurité, de l’audit, de la direction générale et des métiers, de doter leur Système d’Information d’une capacité à contrôler et auditer en continu pour renforcer leur sécurité, leur gouvernance et leur conformité afin d’établir la confiance dans l’ère numérique. Au demeurant notre R&D s’investit sur 3 domaines prioritaires : • Tout d’abord celui de l’intégration, au niveau le plus fin, avec les applications métier et progiciels de gestion comme SAP. Cela nous permet de proposer d’étendre l’analyse, la prévention et la remédiation des risques au sein des processus métier complexes, reposant sur des applications multiples. • Ensuite le «machine learning», pour étendre les capacités d’auto-apprentissage, corolaire à l’analyse comportementale fine axée sur les éventuels usages déviants du SI par les utilisateurs. • Enfin, une approche de restitution des risques adaptée pour les décideurs, s’appuyant sur une fonction de tableau de bord personnalisable et dynamique, ainsi que sur des capacités de « data nnn visualisation ». INFORMATIONS PRATIQUES Solution phare. Brainwave Identity GRC Contact. Cyril GOLLAIN Courriel. [email protected] Web. www.brainwaveGRC.com/fr IDENTITY GOVERNANCE AND ADMINISTRATION PUBLI INFO USERCUBE, UNE RÉVOLUTION POUR L’ADMINISTRATION ET LA GOUVERNANCE DES IDENTITÉS ET DES ACCÈS ! Christophe GRANGEON, Directeur Général et cofondateur, USERCUBE Alors que l’offre de cybersécurité ne cesse de s’étoffer, il est frappant de constater à quel point elle est dissonante par rapport au niveau réel de maturité des clients. Le « back to basics » de l’ANSSI n’a jamais été aussi vrai et, avant d’investir dans des outils pointus, il est urgent de commencer par gérer correctement les utilisateurs du Système d’Information, les rôles métiers et les droits applicatifs. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? Honnêtement, je suis très perplexe. Je vends des produits SSI depuis longtemps et, petit à petit, j’ai acquis la conviction un peu gênante de participer à un vaste cirque ambulant. D’une part, la cybersécurité fait la Une des médias, mais d’autre part tous les vendeurs savent qu’il n’y a rien de plus difficile à trouver qu’un budget pour un projet de sécurité. Quand vous ajoutez à cela la richesse technologique des produits qui ne sont utilisés qu’à une fraction de leurs capacités et la carence de compétences pour les mettre en œuvre, vous comprenez que l’écosystème est condamné à évoluer. De mon point de vue, on va basculer d’un marché tiré par des produits (stratégie de l’offre) vers un marché de services de sécurité managés ou l’expertise est achetée à la demande sur un catalogue normalisé (stratégie de la demande). La bonne nouvelle est que l’augmentation de la pression règlementaire rend le besoin visible de la Direction Générale. En outre, en dépit des investissements consentis depuis quelques années, le niveau réel de sécurisation des Systèmes d’Information est plutôt faible. Il y a donc un fort potentiel de marché. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? Notre domaine d’activité est impacté très favorablement par plusieurs facteurs structurants : • La réglementation ramène les clients vers la gestion et la gouvernance des accès au SI ; • Les normes sont sectorielles et tirent donc le besoin au-delà du cercle restreint des grands groupes ; • L’échec manifeste des projets de gestion des identités selon le « syndrome des trois 3 » (3 ans, 3 millions, 3 connecteurs) appelle à un changement radical de modèle. Cet échec s’explique par la divergence d’intérêts entre les différents acteurs : en amont, des consultants qui produisent des cahiers des charges complexes et sans réel rapport avec le besoin du client, puis des éditeurs qui dans une stratégie de sur-promesse concluent la vente sur la base de démonstrations époustouflantes ou de leur position dans le « Magic Quadrant » et, enfin, des intégrateurs dont le seul objectif est de facturer ad vitam aeternam une configuration ultra spécifique et non maintenable. Au final, le client a payé très cher une usine à gaz inutilisable qu’il va s’empresser de « cacher sous le tapis ». Le sujet IAM devient soudainement un tabou alors que le besoin n’est toujours pas couvert. Ce modèle n’est plus acceptable en termes de coûts et de délais, ce qui va induire une recomposition drastique de la chaine de valeur. GS Mag : De quelle manière allezvous faire évoluer votre gamme de solutions en ce sens ? L’offre est disponible en mode « on premise » et en mode « SaaS » avec un hébergement en France et sur AZURE. C’est la seule solution française nativement conçue pour le SaaS. Par ailleurs, nous changeons drastiquement les règles du jeu en proposant une mise en œuvre industrielle qui permet d’enrichir continuellement le produit avec notre savoir-faire. Notre objectif est de continuer à abaisser significativement le TCO des projets en réduisant drastiquement la charge de travail coté client et en simplifiant la conduite du changement. En proposant des services orientés « métier » en SaaS, nous comptons véritablement révolutionner les usages pour toutes les problématiques qui concernent nnn l’identité numérique. INFORMATIONS PRATIQUES Solution phare. Usercube Identity Governance and Administration Suite Contact. Christophe GRANGEON Courriel. [email protected] Web. www.usercube.com USERCUBE propose déjà une proposition de valeur de rupture avec une réduction des coûts et des délais d’un facteur 3 à 5 par rapport aux concurrents. Au-delà des qualités purement techniques, les clients plébiscitent la richesse fonctionnelle de la plateforme Usercube qui permet de couvrir tous les besoins IAM, IAG et Data Governance avec un seul logiciel. 27 PROTECTION DE LA DONNÉE DANS LE CLOUD PUBLI INFO LA MÉTADONNÉE DE DEMAIN VUE PAR DIFENSO Eric STEFANELLO, Président, et René-Claude DAHAN, Directeur de la Recherche - Difenso Difenso a pour objectif de sécuriser et de mettre en conformité une grande partie des données sensibles hébergées dans les environnements Cloud : depuis les données manipulées par les applications Métier jusqu’aux données intégrées dans les fichiers ou dans les e-mails. Le premier critère clé est la qualification de la donnée, qui doit être définie/évaluée par son géniteur ou par le régulateur, elle doit être « enrichie » afin de devenir une Métadonnée « autonome » gérant son cycle de vie. Le second réside dans la maîtrise de ses clés de chiffrement/déchiffrement par son propriétaire. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? L’expérience montre que, dans le combat du glaive et du bouclier, les attaquants ont toujours un coup d’avance. Rajouter comme on le fait classiquement de multiples produits de sécurité au sein des SI ne résoudra pas les problèmes tant les failles de sécurité potentielles sont nombreuses et pas toutes connues. Face à ce constat d’échec, Difenso prend le problème par l’autre bout en se centrant sur la donnée en la protégeant ellemême. Dans le futur, on peut même imaginer que la donnée sera « self-protected », voire « auto-defensive », qu’elle pourra circuler chiffrée sur Internet dans un simple flux http, qu’elle sera capable d’identifier un assaillant et de se donner les moyens de résister, voire de contre-attaquer avec des fonctions de défense « auto-adaptatives ». De plus, elle embarquera des informations concernant son propriétaire, son niveau de sensibilité, la gestion de son cycle de vie qui lui permettra ou non de se dévoiler aux seuls utilisateurs autorisés et dont les habilitations sont au « bon niveau ». Lorsque ce sera le cas, des échanges tracés pourront être établis entre la métadonnée et « son transporteur » ou son « hébergeur ». Toutes les transactions seront historisées et opposables aux tiers. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? Les entreprises qui migrent vers des applications SaaS se trouvent confrontées à des défis de sécurité liés à l’externalisation 28 de leurs données et devant respecter le cadre légal des régulateurs. En effet, le modèle informatique du Cloud est vulnérable à un ensemble d’attaques spécifiques. Celles-ci ne sont pas actuellement totalement traitées par les technologies de sécurité existantes et l’on constate généralement : • Chiffrement systématique des bases de données : la donnée est protégée quand elle est stockée. La donnée n’est pas protégée pendant son transfert ou sa manipulation, son cycle de vie n’est jamais traité. • Gestion des clés de chiffrement : les données chiffrées, ainsi que les clés de chiffrement sont détenues par les opérateurs SaaS ou leurs exploitants. Je pense que nous sommes dans une « rupture » fondamentale avec tout ce qui se faisait jusqu’à présent et que la seule manière d’investir à long terme sur la protection de la « valeur » numérique, qui est devenue incontournable, est de se concentrer sur la donnée elle-même, un enjeu identifié par le Gartner et qui va représenter 85% des actifs numériques en 2020, nous y sommes donc déjà… GS Mag : De quelle manière allez-vous faire évoluer votre gamme de solutions en ce sens ? Difenso va poursuivre ses efforts visant à sécuriser les données sensibles de ses clients qui utilisent des services SaaS. Après Microsoft Office 365 Outlook, Salesforce, Oodrive et Gmail, nous allons multiplier les solutions SaaS protégées. Le « Core System » de Difenso repose sur une brique cryptographique innovante, qui a une capacité à agir en temps réel sur des grands flux de données. Il permet entre autres de gérer la délivrance de clés uniques aléatoires et symétriques reposant sur un HSM certifié par l’ANSSI. Il allie performance et sécurité auto adaptative indépendante de toute adhérence avec les services SaaS que nous sécurisons. En outre, une étude relative à la mise en œuvre d’un écosystème dédié déployé en clusters sur au moins 3 plaques mondiales a été initiée par notre bureau d’études. INFORMATIONS PRATIQUES Solution phare. Difenso Secure Portal Contact. Eric STEFANELLO Téléphone. +33 (0)6 69 48 79 05 Courriel. [email protected] Web. www.difenso.com SIEM ET LOG MANAGEMENT PUBLI INFO LOGPOINT, LE SIEM AU FUTUR Frédéric SAULET, Regional Director South EMEA, LogPoint Avec le Big Data, le SIEM va devenir une plateforme plus large d'analyse de données dans les prochaines années. Le marché de la sécurité va encore se développer avec une demande importante pour les applications très sensibles des systèmes ERP et SCADA. Pour y répondre, LogPoint s’est tourné vers les technologies de « machine learning ». Objectifs : performance et simplicité. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? Tout produit connecté, qu’il s’agisse de matériel, de VM ou de logiciel, génère des logs qui sont collectés et analysés pour garantir la sécurité de l’information. Dans les années qui viennent, nous devrons disposer de capacités d’analyses de plus en plus performantes en raison des importants volumes de données du Big Data. Nous sommes face à des millions de logs et de données à gérer, avec la nécessité d’en extraire la bonne information, les conclusions et les actions utiles à la sécurité. Le SIEM, l’expérience le montre, est l’unique moyen automatisé de collecter les données des logs générés par le réseau et les outils de sécurité. Dans un environnement qui évolue sans cesse, les anomalies sont repérées en temps réel, permettant aux équipes de sécurité de réparer les incidents sur-le-champ, avec une amélioration significative de prévention des attaques. Si le SIEM détecte, par exemple, un trafic anormalement important, une tentative d’exfiltration est peut-être en cours. L’alerte générée permet d’intervenir immédiatement. La sécurité est appelée à se banaliser, mais, pour couvrir l’ensemble des besoins, il n’est pas réaliste de croire au guichet unique d’un seul grand fournisseur ! Les entreprises veulent le meilleur produit de chaque catégorie et les solutions proposées doivent s'interconnecter et coexister. Nous pensons également que l’externalisation du management de la sécurité va se développer ; ce service répond parfaitement aux besoins des entreprises. Pour des raisons de coût et de rareté des compétences, toutes ne disposent pas, en effet, de l’expertise et des ressources pour faire face aux problèmes essentiels : les énormes volumes de données, leur complexité et la maîtrise de leur intégrité face aux attaques. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? De manière générale, à l’avenir, les solutions SIEM agiront en agrégeant autant les informations internes qu’externes, comme les bases de données de Threat intelligence ou de réputation, telles que les Botnets, etc. Très peu de solutions sont aujourd'hui disponibles pour un contrôle proactif de la sécurité. Il est très intéressant d’observer que peu d'entreprises exploitent à 100% le potentiel de leur SIEM en Europe. Sur le terrain, nos partenaires jouent un rôle capital. Ils ont acquis la confiance des clients dont ils connaissent les besoins. Ils peuvent ainsi faire évoluer la solution si nécessaire. Si l’on regarde nos marchés verticaux, les ERP sont au cœur des attaques. Ils rassemblent les applications critiques de l’entreprise qui stockent les IP (Intellectual Properties) et traitent les nombreuses données financières si recherchées par les pirates. Quant aux environnements SCADA, ils sont en forte demande de SIEM et de solutions de sécurité. GS Mag : De quelle manière allez-vous faire évoluer votre gamme de solutions en ce sens ? Notre plateforme est agile et ouverte aux composants des infrastructures IT environnantes. Nous pouvons même coexister avec des concurrents, comme HP, si le client le demande. Nous investissons massivement dans les technologies de « machine learning » pour analyser « l'inconnu ». Les SIEM actuels sont généralement basés sur des signatures. C’est très efficace pour 80 à 90% des besoins du marché. Mais, il reste l'inconnu. Pour les APT par exemple, nous avons besoin d’une technologie qui permette une surveillance et une détection basées sur des algorithmes de « machine learning ». Nous pensons et travaillons pour la performance. Les technologies de streaming mises en œuvre par LogPoint s’amplifieront encore en 2017. La simplicité d'utilisation et de maintenance est bien sûr la clé de tout ; dans ce domaine, nous avons très clairement plusieurs longueurs d’avance. Notre plateforme multi-tenant va encore fortement se perfectionner - et ce, à court terme. Nous concentrons en outre notre attention sur nos marchés stratégiques, ceux des entreprises dotées d’ERP sensibles, comme SAP et Oracle Financials. Enfin, LogPoint est au cœur du processus de création d’un centre de R&D sur l’état de l’art pour la Cybersécurité et le Data Analytics en Europe, qui devrait être effectif au cours du premier trimestre 2017... nnn INFORMATIONS PRATIQUES Solution phare. LogPoint 5.5.2, certifiée EAL3+ La certification EAL3+ signifie que le logiciel de LogPoint a été examiné, vérifié et documenté d’après les standards des Critères Communs (www.commoncriteriaportal.org), également dénommés ISO/IECIS 15408. Contact. Frédéric SAULET Téléphone. +33 (0)6 48 76 33 24 Courriel. [email protected] Web. www.logpoint.com 29 CYBERSÉCURITÉ / DATA ANALYTICS PUBLI INFO LA PROMESSE DU « MACHINE LEARNING » EN CYBERSECURITÉ N’EST PAS CELLE D’UNE MEILLEURE AUTOMATISATION Philippe SAADÉ, « Big Data Analytics » BU Manager, ESI Group Il est difficile de résister aujourd’hui aux chants de ces nouvelles sirènes qui nous promettent l’avènement de la technologie qui rendra la détection des attaques à la fois extrêmement puissante et parfaitement automatique. Le « Machine Learning », sorte de Cyber Ecstasy, est cet ingrédient magique qui permettrait à la machine, en toute situation, d’apprendre toute seule et de détecter la moindre anomalie tout en ne générant quasiment aucun faux positif… En dehors des discours marketing simplistes, la réalité qui se dessine dans l’univers de la Cybersécurité est plutôt celle d’une mutation de l’expertise humaine, avec l’apparition du règne du Security Data Scientist. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? La position dominante des SIEM est arrivée à son terme et leur manque d’efficacité dans un nombre grandissant de situations rend inéluctable la transformation de l’écosystème des solutions de sécurité. Plutôt que de chercher la nouvelle forme de solution qui dominera le marché, il est plus prudent de concevoir qu’une multitude d’outils provenant d’univers différents (Sécurité, Big Data, Machine Learning, Analytics, etc.) devront apprendre à collaborer efficacement sous la conduite active d’une nouvelle catégorie d’experts sécurité : les Security Data Scientist. L’augmentation rapide des types de sources de données et d’informations dont il faut désormais se soucier pour agir efficacement contre le cyber-risque milite en ce sens. Pour s’en convaincre, il suffit de rappeler qu’audelà d’une collecte exhaustive de toute la variété de logs disponibles, les nouveaux horizons se dessinent en direction du traitement massif des Threat Intel, des captures réseaux, des données de capteurs ou du suivi avancé des utilisateurs à privilèges. Dans ce contexte, il est difficile de croire qu’il sera possible de produire, dans les quelques années qui viennent, une solution intégrée couvrant l’ensemble de ces sources de données et leurs technologies dédiées. Par voie de conséquence, la fonction de management de cette diversité de solutions spécialisées sera la clef de voûte d’une gouvernance efficace en Cybersécurité. Sachant que le Machine Learning va rapidement être au cœur de toutes les technologies, on voit bien pourquoi l’émergence des Security Data Scientists n’est pas près de s’arrêter. 30 La maîtrise des concepts mathématiques et scientifiques, aussi bien que la compréhension de « l’état d’esprit » qui convient à la manipulation des technologies du Machine Learning sont des compétences indispensables pour garder le contrôle sur des outils qui chercheront toujours plus d’autonomie. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? L’activité de l’équipe INENDI d’ESI Group est au cœur de ces mutations. Forts d’un bagage scientifique et mathématique pointu, notre expertise dans les champs du traitement, de la visualisation et de l’investigation avancée de gros volumes de données complexes nous permet de bien comprendre les enjeux de cette structuration de la gestion de la Cybersécurité autour du Security Data Scientist. Ayant toujours placé l’humain au cœur de nos solutions (comme cela peut se vérifier avec notre outil d’investigation approfondie INENDI Inspector), nous sommes plutôt heureux de ces perspectives qui confirmeront encore plus la pertinence de notre positionnement. À cet égard, il est intéressant de rappeler que l’ANSSI fait régulièrement la promotion de ce qu’elle appelle fort justement « l’art de l’étonnement » et qui décrit si bien cette composante essentielle de l’activité de Cybersécurité et qui reste, à ce jour, l’apanage de l’humain et son avantage sur la machine. GS Mag : De quelle manière allez-vous faire évoluer votre gamme de solutions en ce sens ? En 2015, après avoir fait évoluer très significativement les capacités de nos technologies afin de traiter plus rapidement de plus gros volumes de données, nous avons engagé en 2016 le travail d’intégration de méthodes issues du Machine Learning. Dans ce domaine, notre positionnement est très précis : nous ne transformons pas les atouts du Machine Learning pour en faire des boîtes noires autonomes qui déconnectent l’utilisateur de ses données. Au contraire, nous les concevons comme autant d’outils d’investigation complémentaires qui ont vocation à rendre l’information cachée plus visible, l’information complexe plus intelligible et la démarche d’investigation des signaux faibles inconnus plus naturelle et nnn moins laborieuse. INFORMATIONS PRATIQUES Solution phare. INENDI Inspector Contact. Henri PAIS Téléphone. +33 (0)4 37 24 81 86 Courriel. [email protected] Web. www.esi-inendi.com CYBERSÉCURITÉ PUBLI INFO L’ÉVOLUTION DES MENACES EN 2016 : DÉCRYPTAGE ET CONSEILS David BRILLANT, Senior Manager of Sales Engineering, Forcepoint Le rapport 2016 de Forcepoint explore les tendances des cybermenaces qui deviennent de plus en plus redoutables tandis que les périmètres de sécurité traditionnels se dissolvent. Riche en conseils, il explique comment éviter de devenir une menace interne par inadvertance et offre une étude de cas très concrète : celle de la société Forcepoint elle-même dans le cadre d’une acquisition. En l’espace d’un an, la nature des cyberattaques a profondément changé. Alors que les logiciels malveillants s’efforcent toujours à subtiliser furtivement des données, c'est l'autonomie de l'employé moderne qui pourrait bien représenter la plus grande menace en matière de vol d’informations. Les ransomwares font l’affaire d’une nouvelle génération d’acteurs qui délaisse la furtivité pour mieux clamer qu'un pirate a chiffré vos données et vous les échangera contre une rançon. Le profit est immédiat. Face aux innovations anti-malwares, les pirates recyclent de vieilles méthodes : ils s'appuient sur des fichiers MS® Office chargés de macros, lesquels atterrissent sur votre poste de travail. La migration croissante vers le cloud est accompagnée de nouveaux défis en matière de sécurité. En parallèle, de nouveaux botnets mettent à l'épreuve la capacité du secteur de la sécurité à détecter et à intercepter les objectifs tant tactiques que stratégiques de ses adversaires. Ainsi, il est essentiel d'informer au plus vite les décisionnaires du contexte délicat qui entoure ces attaques, qu'elles aient lieu dans le monde ou au seinmême de leurs réseaux, pour qu’une majorité du temps et des ressources soit affectée à la lutte contre les menaces les plus graves. Fidèles à leur slogan « Avancez sans crainte », les équipes de Forcepoint Security Labs, Special Investigations (SI) et Experts RSSI trient et analysent la multitude d’informations générées par les attaques du monde entier, et identifient les menaces et les innovations les plus importantes dans le but de mieux vous guider. Le rapport Forcepoint 2016 sur les menaces constitue une analyse complète des menaces informatiques modernes présentant des risques significatifs pour les aspects techniques, opérationnels et financiers des entreprises touchées. Le rapport est ponctué de conseils prodigués par l'équipe de Forcepoint Security Labs qui vous aideront à mieux combattre les menaces évoquées. un changement notable s'est opéré dans la nature des attaques. La cybersécurité, qui est bien souvent un domaine où priment débats techniques, alertes et problèmes informatiques, est en voie de devenir une affaire de risques et de conséquences de premier ordre pour les cadres de direction, les élus politiques, les autorités et les dirigeants du monde nnn entier. De nos jours, le Web et la messagerie électronique sont les canaux de communication les plus utilisés, et ils demeurent ainsi les vecteurs d'attaque principaux des cybercriminels. En 2015, il ne fait aucun doute que la messagerie électronique a ainsi servi de point d'entrée initial dans les entreprises pour y mener des attaques ciblées à l'aide de contenu malveillant, dissimulé dans des documents Office et des fichiers compressés. Forcepoint Security Labs a découvert que, par rapport à 2014, le nombre de courriels contenant des logiciels malveillants a augmenté de 250 %. Dridex 27 (une souche de logiciel bancaire malveillant) ainsi que diverses campagnes ransomware étaient en grande partie responsables de cette augmentation. Les logiciels et les liens malveillants contenus dans un courriel peuvent s'appuyer sur les vulnérabilités d'un ordinateur pour l'infecter via Internet, puis toucher le réseau tout entier. En tant que vecteurs d'attaque, la messagerie électronique et le Web faisaient l'objet d'une convergence importante en 2015. Propos recueillis auprès de : David Brillant, Forcepoint Pour télécharger le rapport : https://www.forcepoint.com INFORMATIONS PRATIQUES Solution phare. Plate-forme de sécurité axée sur le cloud Contact. Eric GALLICE Téléphone. +33 (0)1 70 92 37 37 Courriel. [email protected] Web. www.forcepoint.com Le rapport 2016 sur les menaces confirme qu'au cours de l'année dernière 31 ÉDITEUR EN CYBERSÉCURITÉ PUBLI INFO REVEELIUM, L’INTELLIGENCE HUMAINE À L’ÉCHELLE DE LA MACHINE Jean-Nicolas PIOTROWSKI, PDG, Fondateur d’ITrust Reveelium est un outil d’analyse comportementale nouvelle génération permettant d’analyser les signaux faibles et de mettre en évidence les anomalies (malwares, virus inconnus, APT, comportements utilisateurs, extractions de données, fraudes...) présentes dans les Systèmes d’Information. GS Mag : A quoi ressemblera, selon vous, l’écosystème des solutions de sécurité dans les années à venir ? Les solutions ont largement besoin d’évoluer afin d’intégrer de l’intelligence à leur capacité de détection. Les virus et attaques ont aujourd’hui pris le dessus parce que les solutions actuelles fonctionnent sur un modèle de signature ou de sandboxing obsolète. Avec l’aide de l’analyse comportementale et l’analytique Big Data, les opérateurs pourront créer des profils de comportements normaux permettant ainsi de détecter ceux qui sont suspects ou déviants. GS Mag : Qu’en sera-t-il dans votre domaine d’activité ? Aujourd’hui, toutes les entreprises de tous les secteurs confondus ont pris conscience de l’importance de la sécurité informatique au sein de leur entreprise, mais ne mesurent pas encore le risque (financier, image de marque…) que cela peut leur porter. Elles ont malheureusement l’impression que les solutions actuelles ne détectent plus les attaques. Elles découvrent qu’il existe des technologies de rupture innovantes permettant de réduire le retard pris sur les attaquants. GS Mag : De quelle manière allezvous faire évoluer votre gamme de solutions en ce sens ? Nos experts et chercheurs travaillent sur des algorithmes mathématiques ayant pour but de déceler les traces de piratages furtifs et sophistiqués. Ces traces sont visibles dans les données de la machine, mais difficilement détectables parmi la grande quantité de données. Les SIEMs ont les informations, mais ne permettent pas de remonter et détecter les menaces modernes inconnues. Les IDS et systèmes de sandboxing basés sur des modèles de signature ou de capture réseau ne répondent plus à la problématique. Reveelium analyse en temps réel les milliards de données du système et les journaux d'événements. Il identifie les anomalies dans le comportement du système et détermine quels sont ceux qui sont susceptibles de constituer une menace de sécurité. Reveelium possède actuellement les meilleurs taux de détections sur le marché, permettant de : • réduire de 20 mois à quelques jours les capacités de détection d’attaques, • diviser par 500 le nombre d’alertes générées quotidiennement et • multiplier par 10 la productivité des équipes de sécurité. nnn INFORMATIONS PRATIQUES Solution phare. Reveelium Téléphone. +33 (0)5 67 34 67 80 Courriel. [email protected] Web. https://www.reveelium.com/fr CYBERSECURITY AS A SERVICE 32