Mise en page 1 - Global Security Mag

Transcription

.....100%
•
intrusion Name: Gs-mag
type: security information
Target: world
Hacker Name: marcus jacobus
S-GPS: LA48.856614 | Lo: 2.352222
code: shakespeare language
status: harmless
PRODUITS
DE SÉCURITÉ
DE DEMAIN
.....97%
•
intrusion Name: K-EYE
type: Malware Spy nivel 7
Target: russia
Hacker Name: black house
HD-GPS: La: 38.8973 | Lo: -77.04005
code: C+x quantic
status: dangerous niv. 3
2%
•
intrusion Name: Brain
type: old stock
Target: unknown
Hacker Name: Alvi
gps: La: 31.512823 | Lo: 74.291965
code: bin
status: harmless
Hors série N°016 - Prix : 7 € - juin 2016
ÉDITORIAL
DE
MARC
JACOB
LA SÉCURITÉ DU FUTUR
SE CONCENTRERA SUR
L’IDENTITÉ NUMÉRIQUE !
L’identité numérique sera la clé de l’homme de demain. Sans elle,
il pourrait devenir un strict inconnu, sans aucune possibilité de vivre
dans l’ère du tout numérique que nous construisons aujourd’hui.
Ainsi, la sécurité devra à l’avenir se concentrer sur la protection de
l’identité. C’est sans doute pour cela que depuis quelques années
les législateurs publient des lois et règlements sur la protection de
cette précieuse identité et des données personnelles qui lui sont
associées. Dans les pays anglo-saxons, différentes législations ont
été promulguées en ce domaine depuis quelques années déjà ;
en Europe, le règlement européen relatif à la protection des
données personnelles sera effectif dans deux ans. Ainsi, les
entreprises seront, enfin, mises devant leurs responsabilités.
Les produits de sécurité de demain devront donc se focaliser sur cet objectif. Certains
éditeurs l’ont bien compris et se sont d’ores et déjà lancés dans cette course à
l’armement. Ils devront être imaginatifs et changer les paradigmes des solutions
d’aujourd’hui en proposant des alternatives toujours plus sûres et transparentes pour les
utilisateurs, intégrant la sécurité et le respect de la vie privée par essence, dès la
conception.
De leur côté, les pirates informatiques ont bien compris les enjeux liés à l’identité.
D’ailleurs, ils multiplient déjà les attaques sur cet or numérique en dérobant les numéros
de sécurité sociale, de cartes d’identité, de passeports… Demain, ils usurperont l’identité
numérique des citoyens, afin de la revendre, d’acheter toute sorte de produits et de
services... L’univers numérique à venir risque donc fort d’être encore plus périlleux que
celui d’aujourd’hui…
LISTE DES ANNONCEURS
Data Center TP
Dell Security
Egerie Software
Eset
4
3ème de couverture
ème
4 de couvreture
19
F-Secure
GS Day
Sophos
Thales
2ème de couverture
10
2
18
Toute reproduction intégrale ou partielle, faite sans le consentement de l’auteur ou des ayants droit ou ayant cause est
illicite. Il en est de même pour la traduction, l'adaptation ou la transformation, l'arrangement ou la reproduction par un
art ou un procédé quelconque. (article L122-4 du code de la propriété intellectuelle).
Cette publication peut être exploitée dans le cadre de la formation permanente. Toute utilisation à des fins commerciales
du contenu éditorial fera l’objet d’une demande préalable auprès du Directeur de la publication.
REVUE TRIMESTRIELLE
Hors Série n°16 – Juin 2016
www.globalsecuritymag.fr et
www.globalsecuritymag.com
ISSN : 1961 – 795X
Dépôt légal : à parution
Editée par SIMP
RCS Nanterre 339 849 648
17 avenue Marcelin Berthelot
92320 Châtillon
Tél. : +33 1 40 92 05 55
Fax. : +33 1 46 56 20 91
e-mail : [email protected]
RÉDACTION
Directeur de la Publication :
Marc Brami
Rédacteur en chef :
Marc Jacob
Rédactrice :
Emmanuelle Lamandé
Ont collaboré à ce numéro :
Bruno Rasle, Antoine Chéron,
Didier Henin, Lazaro Pejsachowicz
et Florent Skrabacz
Assistante :
Sylvie Levy
Responsable technique :
Raquel Ouakil
Photos
Marc Jacob
Comité scientifique :
Pierre Bagot, Francis Bruckmann
Eric Doyen, Catherine Gabay,
François Guillot, Olivier Iteanu,
Dominique Jouniot, Patrick
Langrand, Yves Maquet, Thierry
Ramard, Hervé Schauer, Michel Van
Den Berghe, Bruno Kerouanton,
Loïc Guézo et Valentin Jangwa
In Memoriam, notre regretté
Zbigniew Kostur
PUBLICITE
S.I.M Publicité
Tél. : +33 1 40 92 05 55
Fax. : +33 1 46 56 20 91
PAO
S.I.M. Publicité
Image couverture : ©Milissa4like
IMPRESSION
Imprimerie Hauguel
8-14 villa Léger
92240 Malakoff
Tél. 01 41 17 44 00
Fax 01 41 17 44 09
ABONNEMENT
Prix de ce numéro :
7 € TTC (TVA 20%)
Abonnement annuel :
51 € TTC (TVA 20%)
ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 1
PRODUITS
DE SÉCURITÉ
DE DEMAIN

Sommaire
11
15
16
Édito : La sécurité du futur se concentrera sur l’identité numérique !
Agenda
Données personnelles : « mieux vaut prévenir que guérir »
Par Bruno Rasle, Délégué général de l’AFCDP (Association Française des Correspondants
à la protection des Données Personnelles)
112
Perte de données personnelles : Attention, DANGER !
Par Me Antoine Chéron, Avocat au Barreau de Paris, ACBM Avocats
114
SSI : quel niveau de maturité des entreprises françaises ?
Interview de Didier Henin et Lazaro Pejsachowicz, CLUSIF - Par Marc Jacob et Emmanuelle Lamandé
116
La Confiance dans un monde digital envahi par des Géants
Par Florent Skrabacz, DG de Shadline et Fondateur d’Erium
Guide des solutions
20. THEGREENBOW
21. DOCTOR WEB
22. DELL SECURITY
23. SOPHOS
24. SOPHOS
25. 6CURE
26. BRAINWAVE
27. USERCUBE
28. DIFENSO
29. LOGPOINT
30. ESI GROUP
31. FORCEPOINT
32. ITRUST
www.globalsecuritymag.fr
Espace Saint-Martin - Paris
24 novembre 2016
Le Data Center au cœur
de la société de demain
SMART CITY - ÉNERGIE - SÉCURITÉ - HÉBERGEMENT
DISPONIBILITÉ - COLOCATION - CLOUD - RÉSILIENCE - DCIM - HUB
Crédit image : © Lightspring
DE LA THÉORIE À LA PRATIQUE
COLLOQUE
De la théorie à la pratique
en partenariat avec : CESIT – EUDCA – AN2V – Forum ATENA - CLUSIF
Tarif d’inscription au colloque :
Journée complète inclus les pauses café, le repas du midi et le cocktail de clôture : 120€ HT (TVA 20%)
Déclaration d’activité enregistrée sous le numéro 11 92 17185 92 auprès du préfet de région Ile-de-France
Pour réserver votre place : http://www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/ ■ Attention, le nombre de places est limité.
Contact : Marc Jacob Brami - Tél. : 01 40 92 05 55 - [email protected]
Agenda
4JUILLET
2 - 3 juillet - Paris
Nuit du Hack
www.nuitduhack.com
6 juillet – Paris
Petit déjeuner Ping Identity
Quand Sécurité rime avec expérience utilisateur
et transformation numérique
https://www.pingidentity.com/fr/events/2016/Petitdejeuner-ping-synetis-6-2016.html
12 - 14 juillet - Nairobi (Kenya)
SecProTec East Africa
www.secproteceastafrica.com
26 - 28 septembre - Marseille
World Smart Week
www.worldsmartweek.com
21 - 26 août - Palais des Congrès - Paris
CIGRE
www.cigre.org/Events/Session/Session-2016
27 - 28 septembre - San Francisco (USA)
Structure Security
www.structuresecurity.com
4SEPTEMBRE
27 - 29 septembre - Moscou (Russie)
Infosecurity Russia
www.infosecurityrussia.ru
5 - 7 septembre - Muscat (Oman)
OFSEC
http://muscat-expo.com/ofsec
28 - 30 septembre - Bucarest (Roumanie)
Cyber Intelligence Europe
www.intelligence-sec.com
7 - 9 septembre - Las Vegas (USA)
InterDrone
www.interdrone.com
12 - 17 juillet - Paris
S3C Paris - Smart Countries & Cities Congress
http://s3cparis.com/fr
20 - 22 juillet - Melbourne (Australie)
Security Expo
www.securityexpo.com.au
30 juillet - 4 août - Las Vegas (USA)
Black Hat Briefings & Training Federal
www.blackhat.com
4AOÛT
1er - 5 août - Accra (Ghana)
Audit Risk & Governance Africa
Cyber Crime Africa Summit
www.auditriskgovernanceafrica.com
4 - 7 août - Las Vegas (USA)
DEFCON
www.defcon.org
En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre
commande et sont communiquées aux destinataires la traitant. Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.
7 - 10 août - Seattle (USA)
DFRWS USA
www.dfrws.org/2016
28 - 30 septembre - Singapour
Safety & Security Asia
www.safetysecurityasia.com.sg
20 - 22 septembre - Porte de Versailles - Paris
Salons Solutions
www.salons-solutions.com
29 septembre - 2 octobre - Istanbul (Turquie)
ISAF
www.isaffuari.com/en
21 - 24 septembre - Hanoï (Vietnam)
Secutech Vietnam
www.secutechvietnam.com/en
4OCTOBRE
22 septembre - Londres (UK)
Securing the Law Firm
www.securingthelawfirm.com/event/stlf16
4 - 5 octobre - Paris - Porte Maillot
Microsoft TechDays
www.mstechdays.fr
22 - 23 septembre - La Haye (Pays-Bas)
Hardwear.io
http://hardwear.io
4 - 6 octobre - Rennes
Préventica
www.preventica.com
23 septembre - Paris
Security Tuesday - ISSA France
http://securitytuesday.com/securitytuesday
5 - 7 octobre - Denver (USA)
Virus Bulletin
www.virusbtn.com/conference/vb2016/index
26 septembre - Paris
Trophées de la sécurité
http://tropheesdelasecurite.fr
5 - 8 octobre - Monaco
Les Assises de la Sécurité
www.les-assises-de-la-securite.com
BULLETIN D’ABONNEMENT
❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 51€ TTC (TVA 20%), 72€ hors France Métropolitaine et étranger.
Je recevrai les 4 prochains numéros.
❒ ou je commande le numéro :
au prix unitaire de 19€ TTC (TVA 20%)
❒ Abonnement annuel au format PDF du magazine 33€ TTC (TVA 20%)
❒ ou je commande le numéro :
au format PDF 12€ TTC (TVA 20%)
❒ Abonnement couplé pour une durée d’un an, magazine papier et PDF au prix de 72€ TTC (TVA 20%)
❒ Je souhaite être abonné gratuitement à la News Letter hebdomadaire, voici mon adresse mail :
❒ Je suis RSSI, DSI, Risk Manager, Administrateur Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service
comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag.
En revanche, Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins ma
carte de visite professionnelle (agrafer ici)
et mon adresse mail :
Nom
Adresse
Tél.
Prénom
Fax.
Règlement par chèque n°
A réception de votre règlement une facture acquittée vous sera adressée par retour.
Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant.
Date, Signature et cachet de l’entreprise
Je recevrai par mail une fois par semaine des informations ciblées
Société
E-mail
Tiré sur banque à l’ordre de SIMP
A retourner à :
SIMP
17, av. Marcelin Berthelot
92320 Châtillon
Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91
E-mail : [email protected]
[email protected]
Par Bruno Rasle, Délégué général de l’AFCDP
(Association Française des Correspondants à la protection des Données Personnelles)
DONNÉES PERSONNELLES :
« MIEUX VAUT PRÉVENIR
QUE GUÉRIR »
« Mieux vaut prévenir que guérir ». Cet adage s’applique
à la perfection à la conformité de tout projet manipulant
des données personnelles avec la loi Informatique
et Libertés, et bientôt le règlement européen.
Le rêve de tout Correspondant Informatique et Libertés (métier qui évoluera le
25 mai 2018 en « Délégué à la protection
des données », ou DPO, pour Data Privacy
Officer ou Data Protection Officer) est
d’être consulté très tôt, dès l’initiation
d’un projet. Il peut alors formuler quelques
conseils pour que celui-ci se déroule sereinement, le plus rapidement possible
et en plein respect de la loi, de la doctrine
de la CNIL et des droits des personnes
concernées. Plusieurs exemples concrets
émaillent ce papier et montrent les avantages à impliquer très tôt dans les réflexions cet acteur qui, certes, peut être
amené à matérialiser quelques « lignes
jaunes » à ne pas franchir, mais qui met
toujours un point d’honneur à trouver les
bons équilibres et suggère souvent des
propositions élégantes pour atteindre les
objectifs visés tout en réduisant
les risques juridiques, financiers,
opérationnels, d’image et de réputation
qui pèsent sur le responsable de traitement… c'est-à-dire le chef d’entreprise.
Limiter la conformité aux seuls aspects
techniques est une erreur. De même,
restreindre les volets techniques aux
seuls aspects de sécurité ne répond pas
non plus aux exigences. Mais il est vrai
que c’est un axe majeur de toute analyse
« Informatique et Libertés », dont nous
allons passer en revue quelques-unes
des « règles d’or ».
DATA MINIMIZATION OU
L’ART DE NE TRAITER
QUE LES INFORMATIONS
NÉCESSAIRES
Commençons par celle qui consiste à ne
traiter que les informations strictement
nécessaires (principe de Data minimization). La réflexion va plus loin que la vérification de la pertinence de chaque donnée
traitée par rapport à la finalité poursuivie.
Pourquoi saisir la date de naissance dans
son intégralité si, par exemple, seuls le
mois et l’année sont indispensables au
traitement ? Dans le même ordre d’idée,
pourquoi conserver indéfiniment les données, sans jamais prévoir leur purge ni
les outils qui permettront de la gérer à
moindre charge ? Dès la conception, ces
questions doivent être posées et des exigences injectées dans le cahier des
charges : création d’une zone d’archive
intermédiaire – si nécessaire – et de mécanisme de purge. Dans ce domaine, on
préférera la destruction assistée, avec
décision humaine, plutôt qu’une purge
totalement automatisée (il faut prévoir
les scenarii où les informations doivent
être conservées pour des raisons impé-
rieuses, dans le cas d’une enquête ou
d’un litige par exemple). La détermination
de la durée de conservation, quant à elle,
est du ressort du métier, qui peut s’appuyer
sur les conseils du CIL.
Le règlement nous oblige à passer à la
paille de fer les modalités de recueil des
consentements. Pour les traitements
fondés sur cette base [1], il ne sera plus
possible de se contenter de consentements « passifs » (silence de la personne
informée vaut accord). De plus, il faudra
être en position de prouver le recueil du
consentement. C’est donc la fin annoncée
des cases uniques (par lesquelles
l’internaute donne son consentement à
la fois aux conditions générales de vente…
et au transfert de ses données aux
« partenaires »), des cases déjà cochées,
des cases « qui se recochent toutes
seules » et de l’information censée éclairer
la décision de la personne affichée en
police de petite taille et tout en bas de
l’écran. Naturellement, les pages dans
lesquelles une saisie de données est
possible doivent être en https, et non
en http.
S’il est offert la possibilité aux internautes
de se créer un mot de passe, il conviendra
de parfaire les procédures de création,
de modification, de rotation, de commu-
6 • ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com
PRODUITS DE SÉCURITÉ DE DEMAIN
nication en cas d’oubli, d’exploitation des
traces (dont celles des tentatives infructueuses répétées d’authentification).
Depuis 2014 et la loi Hamon, la CNIL
possède un pouvoir de contrôle à distance :
ses agents peuvent donc, de leurs
bureaux, constater l’absence de mention
d’information, l’envoi en clair, dans un
seul courriel, de l’identifiant et du mot
de passe, et, bien sûr, la présence de
cookies [2]. Le dernier rapport annuel
publié par la CNIL indique que la
Commission en a réalisé 155 en 2015.
Ainsi, par la délibération n°2016-108 du
21 avril 2016, la formation restreinte de
la CNIL a prononcé un avertissement
public à l’encontre d’une société française
qui avait laissé des données clients
accessibles librement sur Internet. Le
site Web proposait aux clients, entre
autres, d’adhérer à un programme de fidélité et de commander des objets promotionnels de la marque. La CNIL avait
observé, en juillet 2015, lors d’un contrôle
en ligne, que les mesures garantissant
la confidentialité des données étaient
insuffisantes. Les contrôleurs avaient, en
effet, pu accéder librement à plusieurs
milliers de données contenues dans les
répertoires du site Web, dont les noms,
prénoms, dates de naissance, adresses
postales et électroniques, numéros de
téléphone, ainsi que des informations
relatives aux cartes bancaires des clients.
Certains de ces répertoires, bien qu’exclus
d’une indexation sur Internet, ne faisaient
pas l’objet de mesures de sécurité
particulières permettant d’en restreindre
l’accès alors qu’ils contenaient de
nombreuses données personnelles.
Immédiatement informée de cette faille
de sécurité, la société avait indiqué avoir
bloqué l’accès aux données, par
l’intermédiaire de son hébergeur. Or, un
second contrôle, réalisé en novembre
2015, a révélé que les données étaient
toujours accessibles. La Présidente de la
CNIL a donc décidé d’engager une
procédure de sanction à l’issue de laquelle
un avertissement public a été prononcé
à l’encontre de la société. Rappelons que
l’une des dispositions actuellement à
l’étude dans le cadre du projet de loi pour
une République numérique donnerait en
sus la possibilité à la CNIL d’obliger le
responsable de traitement à informer
individuellement chaque personne
concernée de tout manquement à la loi
(et pas seulement de ceux relatifs à la
sécurité).
LES MOTS DE PASSE
DOIVENT ÊTRE STOCKÉS
SOUS UNE FORME
ININTELLIGIBLE
Il y a beaucoup à dire sur les mots de
passe [3] et plusieurs délibérations récentes
de la commission restreinte de la CNIL
consolident la doctrine de l’autorité de
contrôle en la matière. Ainsi, suite à des
contrôles effectués courant 2012 au sein
d’une fédération sportive, la délibération
n° 2014-293 du 17 juillet 2014 – qui formalise une sanction de 3 000 euros avec
publicité – indique que « la sécurité du
Système d’Information de la fédération,
qui comprend environ un million de
personnes, et de l’espace de l’athlète sur
le site Web de la fédération était insuffisante », épingle « la robustesse des mots
de passe permettant d’accéder au Système
d’Information » et estime « que la modification des paramètres afin d’imposer
une robustesse et un renouvellement des
mots de passe permettant l’accès aux
Systèmes d’Information sont des mesures
de sécurité élémentaires ».
La composition et la longueur du mot de
passe sont des critères qui ne doivent
pas être analysés de façon isolée. Ainsi,
le code PIN associé aux cartes bancaires
peut apparaître, au regard de la doctrine
de la CNIL (mot de passe de huit caractères a minima, composé d’au moins
trois types différents de caractères,
modification régulière [4]), comme une
faiblesse extrême, mais que d’autres
dispositions viennent équilibrer… comme
le nombre de tentatives limité à trois
avant que le GAB « n’avale » la carte.
C’est donc bien l’ensemble des paramètres
qui doivent être pris en compte pour juger
de la résistance d’un dispositif d’authentification basé sur la production d’un mot
de passe, dont les modalités de transmission, de connexion, de rotation, de
protection, de modification des mots de
passe associés à une liste ou un bloc
d’utilisateurs (en cas d’exfiltration de la
base de leurs empreintes), de revue de
comptes, etc.
Le Correspondant Informatique et Libertés
doit vérifier que les mots de passe sont
bel et bien stockés sous une forme inintelligible (hashés, avec sel). En juillet
2014, la société éditrice du site www.regimeducan.com a reçu un avertissement
public de la part de la CNIL, suite à trois
contrôles sur place. Parmi les griefs
reprochés au responsable de traitement,
on relève que « les mots de passe des
comptes clients étaient conservés en
clair ».
Si besoin, il ne faut pas hésiter à enfreindre
le dogme des « mots de passe de huit
caractères » : comme l'a montrée une
étude publiée en 2011 [5], un mot de
passe de seize lettres présente un bien
meilleur ratio résistance/ergonomie qu'un
mot de passe de huit caractères, composé
avec des lettres minuscules et majuscules,
des chiffres et des signes spéciaux. Avec
une résistance quasiment identique, la
seconde approche fait peser une charge
bien moins lourde sur l'utilisateur.
L’important est de trouver le « bon
équilibre », c'est-à-dire une solution qui
apporte le niveau de sécurité adéquat
sans créer de frustration pour le détenteur
du mot de passe. Des tests ergonomiques
s’imposent pour mesurer les oublis de
mots de passe, les erreurs dans leur
saisie, voire les abandons au moment de
leur création.
Dans les cas où le choix du mot de passe
est laissé à l’utilisateur (mot de passe
personnel), il convient d’afficher un
indicateur de résistance et de rendre
impossibles certaines combinaisons trop
évidentes, qui pourraient être facilement
trouvées par un cybercriminel. Par ailleurs,
nombre de mots de passe de serveurs et
d’autres ressources critiques (routeurs,
proxy, annuaires, etc.) n’ont jamais été
modifiés et correspondent encore aux
mots de passe par défaut qui figurent
dans le manuel d'installation.
Un autre champ mérite réflexion lors de
la conception des applications : la maîtrise
des zones de libre commentaire (ZLC) ou
zones bloc-notes. La CNIL a prononcé
plusieurs sanctions ces dernières années
suite à la découverte, dans ces zones, de
contenus pour le moins non pertinents,
voire choquants. Il faut commencer par
limiter leur emploi au minimum (le CIL
s’assure de leur caractère indispensable
et documente son analyse, au titre du
principe d’Accountability), en leur préférant
une liste à choix avec un choix « autre »
qui génère l’ouverture d’une zone de
saisie uniquement quand il est sélectionné.
On placera en filigrane de la ZLC un
message qui vise à responsabiliser l’utilisateur (le texte qu’il saisit doit pouvoir
être lu par la personne concernée sans
que celle-ci y trouve à redire). Pour faciliter
les indispensables audits, des métadon-
nées doivent enrichir les saisies (horodatage, auteur de chaque commentaire).
Enfin, il faut prévoir des vérifications régulières de conformité, qui peuvent être
réalisées a posteriori, sur un échantillon
ou sur la totalité du stock, par analyse
lexicale (par rapport à un dictionnaire) ou
sémantique (sur base d’algorithmes d’Opinion mining ou de Sentiment analysis),
voire même en temps réel. Il convient de
maîtriser les avantages et les inconvénients de chaque approche. Ainsi les
commentaires suivants, non-conformes,
ont peu de chances d’être détectés par
un dictionnaire : « Il n’a pas inventé l’eau
chaude », « C’est un pisse froid »,
« Il n’est pas piqué des hannetons celuilà », « Elle est moche de chez moche »,
« Il vaut son pesant de cacahouètes »,
« Il est bouché à l’émeri », « Je comprends
pourquoi sa femme l’a quitté ! ».
TRAÇABILITÉ :
DÉTERMINER LES ACTIONS
À ENREGISTRER OU NON
La question cruciale de la traçabilité mobilise également le Correspondant Informatique et Libertés. Trop souvent des
volumes considérables de logs sont collectés et stockés sans que jamais la
question de leur exploitation ne soit évoquée. Au titre de l’article 34 de la loi Informatique et Libertés (article 32 dans le
règlement européen), le responsable de
traitement doit assurer la sécurisation
des données personnelles qu’il traite.
Pour les plus sensibles d’entre elles, la
mise en œuvre d’une supervision, afin de
s’assurer de la légitimité des accès aux
données et de leur bon usage est indispensable (les délibérations de la CNIL de
ces derniers mois y font très fréquemment
référence). Elle s’appuie sur les traces
de bas niveau (connexion, identification,
authentification) et de haut niveau (dossier
client consulté, type d’action réalisée par
l’utilisateur, modification effectuée, etc.).
Il appartient aux directions métier de déterminer les actions les plus « sensibles »
qui nécessitent l’enregistrement de traces
et leur exploitation (par exemple un changement de RIB, dans le cadre d’une
démarche de lutte contre la fraude). La
sélection des traces devant être enregistrées et exploitées en découle. Leur traitement étant soumis à la loi Informatique
et Libertés, le CIL veille à sa conformité
(information des personnes concernées,
voire des instances représentatives du
personnel, durée de conservation limitée
à six mois, protection des traces, mise
au registre, gestion des droits des
personnes).
Le CIL doit aussi veiller au respect des
règles qui encadrent, depuis l'ordonnance
n°2011-1012 du 24 août 2011 (matérialisée
par l'article 32-II de la loi du 6 janvier
1978 modifiée), l’utilisation des cookies
et autres traceurs sur les sites Web [6] (y
compris les solutions de fingerprinting
et de Web bugs).
L’attention des webmasters devra être
attirée sur les risques spécifiques associés
à l’implémentation de certains boutons
sociaux, qui demandent des précautions
particulières [7]. Le bouton I Like est particulièrement problématique au regard
des principes de la loi Informatique et
Libertés, puisque la simple consultation
d’une page le comportant par un internaute qui possède un compte Facebook
génère l’envoi de l’information à la société
américaine. L’initiative malheureuse du
webmaître du site Web de la NHS (l’équivalent britannique de la branche Maladie
de la sécurité sociale) avait défrayé la
chronique en 2010. Grâce à ces boutons,
le réseau social connaissait exactement
les pathologies auxquelles s’intéressent
ses utilisateurs, sans aucun anonymat
(le directeur du National Health Service
avait dû venir s’en expliquer lors d’une
audition publique). On rappellera que tous
ces points peuvent être facilement observés par les agents de la CNIL dans le
cadre de leur procédure de contrôle en
ligne.
LE CIL : UN SOUTIEN
POUR LES DÉVELOPPEURS
D’APPLICATIONS MOBILES
Le CIL doit, en outre, venir en soutien
des développeurs d’applications mobiles.
Si elles doivent – elles aussi – respecter
la « doctrine cookies », il convient surtout
de maîtriser ce que font réellement les
briques logicielles utilisées. Ainsi, en
2013, la société Path a accepté de débourser 800 000 dollars lors d’une transaction auprès de la FTC qui lui reprochait
de télécharger les carnets d’adresses de
ses utilisateurs sans leur consentement.
L’entreprise doit également se soumettre
à un audit annuel durant vingt ans pour
vérifier la bonne application de sa nouvelle
politique de confidentialité. Un chercheur
en sécurité avait révélé que l'application
mobile proposée par Path téléchargeait
les données de localisation embarquées
dans les photos… même si les utilisateurs
avaient désactivé la fonction localisation.
Les dirigeants de Path ont admis qu’ils
ne savaient même pas qu’ils récoltaient
ces données. Il est crucial de se reporter,
sur ces sujets, à l’opinion du Groupe
Article 29 (« Opinion 02 /2013 on apps on
smart devices [8] »). L’étude menée par la
CNIL et l’Inria a mis en lumière l’intrusivité
des Smartphones (projet Mobilitics [9]) :
en l’espace de trois mois, elle avait montré
plus de 76 événements de géolocalisation
par jour et par téléphone, que 9 applications sur 10 accèdent à Internet, souvent
sans aucune justification, que certaines
applications accèdent à des données sans
lien direct avec une action de l'utilisateur
ou un service offert par l'application (récupération de l'identifiant unique, du nom
de l'appareil, de la localisation), le tout
sans une information claire des utilisateurs. Une récente étude publiée par
Stanford, intitulée « Evaluating the privacy
properties of telephone metadata [10] »,
confirme ces constats. Elle démontre la
difficulté à échapper à certaines formes
de surveillance pour les utilisateurs de
téléphones portables. Les auteurs de
l’étude rappellent une citation d'un ancien
directeur de la NSA et de la CIA : « Nous
tuons des personnes sur la base de leurs
métadonnées... ».
PRIVACY BY DESIGN :
UNE RÈGLE D’OR
À INTÉGRER
Concernant les précautions à prendre en
termes de sécurité des données personnelles, on rappellera que le Privacy by
Design (rendu obligatoire par l’article
25 du règlement européen) englobe le
Security by Design (et non pas l’inverse).
Les cycles de vie des projets doivent donc
être modifiés – si ce n’est déjà fait – pour
que soit prise en compte la protection de
la vie privée dès la conception, selon une
approche par les risques. On peut, d’ores
et déjà pour les traitements les plus
sensibles, réaliser des EIVP (Etude d’impact sur la vie privée) en s’inspirant des
guides publiés par la CNIL. L’important
est de garder à l’esprit que c’est bien la
personne concernée qui est au centre du
raisonnement : là où le RSSI donne la
priorité aux risques qui pèsent sur l’entreprise, le CIL (futur Délégué à la protection des données) pense avant tout à
la protection des personnes concernées.
Il met donc l’emphase sur les « événements redoutés » qui pourraient impacter
la vie privée, sociale et professionnelle
de ces dernières.
Actuellement un « art » plutôt qu’une
science, le Privacy by Design peut se
concrétiser techniquement et sur son
volet sécurité par la production d’éléments
de preuve montrant que le développement
est sécurisé (par exemple, en référence
à l’OWASP), par la tokenisation des données les plus sensibles [11] (en GrandeBretagne, les numéros de sécurité sociale
sont systématiquement remplacés par
des tokens au sein des hôpitaux), par la
mise en œuvre de moyens de traçabilité
qui seront indispensables pour gérer les
éventuelles notifications de violations de
données, par le chiffrement ou le hash
de certaines données. Plusieurs domaines
accusent un retard considérable et
devraient appliquer cette approche sans
tarder, dont celui des objets connectés.
LE BIG DATA DOIT FAIRE
L’OBJET D’UNE CHARTE
Ces mêmes principes devraient être suivis
dans tout projet Big Data. Riche de promesses et de potentiels, les mégadonnées
soulèvent des questions d’acceptabilité
sociétale. Il est donc indispensable que
le CIL soit impliqué au plut tôt, afin que
ces technologies se développent de façon
sereine. Plusieurs recommandations commencent à se préciser : la constitution
d’un comité d’éthique – qui se prononcera
principalement dans tous les cas où le
Big data produit un résultat susceptible
de générer des effets juridiques sur une
personne et toute forme de profiling – et
la formulation d’une charte du Big data,
un effort marqué de transparence (qui
ne se limite pas à l’information des personnes mais pourrait aller jusqu’à l’observabilité des algorithmes), la réalisation
d’études d’impacts sur la vie privée et
l’intégration de la sécurité dans la constitution d’un data lake.
Les points suivants devraient être étudiés
à cette étape : Qui aura accès au data
lake ? Le modèle traditionnel de la gestion
des habilitations par rôle est-il adapté à
ce nouveau paradigme ? Certaines données, plus sensibles que d’autres, ne de-
vraient-elles pas bénéficier d’un niveau
de protection supérieur – comme du
chiffrement ou de la tokenisation ? Un
pirate informatique pourrait-il « séquestrer »
le data lake (par exemple en le chiffrant
et en réclamant une rançon pour que
l’entreprise en retrouve la maîtrise) ?
Ou encore injecter des données afin de
« polluer » le lac de données, pour provoquer
des inférences erronées ou de moindre
qualité ? En cas d’intrusion dans notre
lac de données, serons-nous en mesure
d’informer les personnes auxquelles sont
rattachées les 300 To de données qu’il
contient ?
Par ailleurs, le CIL doit se pencher sur
l’implémentation des métadonnées lors
de l’étape T (pour Transform) du modèle
ETL, qui prévaut dans la constitution du
data lake. Il faut qu’elles permettent les
futures purges (si elles ne sont pas
anonymes, les données devront être
détruites à l’issue de la durée de
conservation imposée par la loi), la
production de la preuve du recueil du
consentement de la personne (si les
données sont utilisées pour une finalité
incompatible avec celle pour laquelle elle
a été collectée initialement [12]) et la
gestion des demandes de droit d’accès
(avec le règlement européen, nous
n’aurons plus qu’un seul mois pour y
répondre, au lieu de deux actuellement).
L’un des points les plus délicats est, sans
conteste, le risque de se retrouver dans
le champ de l’article 8 de la loi Informatique
et Libertés (données interdites de traitement, sauf exception), sans que personne
ne puisse expliquer la logique d’un traitement opéré en machine learning. Ainsi,
le débat fait actuellement rage aux ÉtatsUnis sur des outils censés estimer le
taux de récidive, accusés de racisme [13].
Le danger est également de ne pas limiter
ces traitements à une aide à la décision
(l’un des principes fondateurs de la loi
Informatique et Libertés – conservé dans
le règlement – est l’interdiction de toute
décision prise automatiquement sur une
personne et ayant un effet juridique sur
elle). Quand plus personne ne sera capable
de comprendre les algorithmes de deep
learning, l’humain ne sera-t-il pas tenté
de valider systématiquement la proposition
que lui fait la machine ? On commence à
entrevoir l’émergence d’algorithmes
conçus afin de surveiller (a minima pour
essayer d’expliquer le fonctionnement)
de tels traitements.
Les précautions de sécurité doivent s’étendre aux phases de validation, de recette,
de dépannage, de support, de démonstration, de formation. L’enquête publiée
en 2013 par Actusoins (« Des données
médicales confidentielles accessibles sur
le Web [14] ») avait mis en évidence certains
points perfectibles : « Dans les petits
établissements, les logiciels sont parfois
développés par des stagiaires qui partent
ensuite ailleurs, ils font des sauvegardes
et personne ne vérifie ensuite ce qu'elles
sont devenues. C'est de cette manière
qu'on retrouve facilement sur Internet
des bases de données comme des listes
de patients ». Concernant les développeurs, la CNIL conseille de ne mettre
à leur disposition que des données
« banalisées » (anonymisées) et de séparer
les zones de production de celles de
développement.
PRÉPAREZ-VOUS DÈS
À PRÉSENT À LA
NOTIFICATION DES
VIOLATIONS DE DONNÉES
Le règlement introduit maintes nouveautés
qui nécessitent une revue technique des
applications existantes et l’introduction
de nouveaux réflexes dans le cadre des
projets. Mais c’est sans conteste l’obligation de notifier certaines violations de
données – à la CNIL et, éventuellement,
aux personnes concernées – qui nécessite
au plus tôt l’ouverture de chantiers techniques qui peuvent être lourds. Ainsi, il
convient d’étudier les différentes possibilités techniques qui permettraient de
bénéficier de l’exception de notification
aux personnes, afin de les mettre en
œuvre dès la mi-2018, date prévue d’entrée
en vigueur des nouvelles règles. Faut-il
privilégier du chiffrement, du hash, de la
tokenisation ? Et selon quelles modalités
d’implémentation ? Pour être en mesure
de déployer ces solutions en 2018, il faut
les avoir expérimentées en 2017… et donc
avoir obtenu les budgets correspondants
à l’automne 2016, c'est-à-dire demain.
Le groupe AFCDP « Notification des
violations de données » prépare d’ailleurs
une F.A.Q. sur ce thème, ainsi qu’une
procédure type.
Je parie aussi sur un effet de bord vertueux
de ces nouvelles dispositions sur le respect
des durées de conservation. Il est vrai
que la donnée la plus facile à sécuriser
est celle que l’on a purgée (à la réflexion,
celle que l’on n’a pas collectée est encore
LA JOURNÉE FRANCOPHONE DE LA SÉCURITÉ
« CONVAINCRE SANS CONTRAINDRE »*
me
E
É
E
N
N
R
O
É
U
H
T
I
O
J OP UR ION
C C T
9 RANA SÉ RMA
F L FO
è
N
E
I
’
D L
DE
Mardi
28 Mars
Renseignements : Marc Jacob Brami SIMP - 17 avenue Marcelin Berthelot - 92320 Châtillon
Tél. : +33 (0)1 40 92 05 55 - Fax. : +33 (0)1 46 56 20 91
[email protected] - www.gsdays.fr
* citation de Jean-Marc Laloy, ARCSI
2017
Paris
plus sûre). Alors qu’aucune loi ne les y
oblige, les entreprises américaines purgent
d’elles-mêmes leurs informations qui
n’ont plus de valeur commerciale. Elles
ne font qu’appliquer la règle du « shred it
or protect it ». La comparaison est intéressante par rapport à la France où la loi
Informatique et Libertés oblige à définir
une durée de conservation : on sait bien
que c'est là un écart de conformité assez
fréquent [15].
Plusieurs autres nouveautés introduites
par le RGPD demanderont une « traduction technique ». Ainsi, au titre du nouveau
droit à la limitation du traitement (article
18), il faudrait pouvoir interdire à l’application
l’utilisation des données « gelées » jusqu’à
la levée de la limitation. Enfin, au titre du
nouveau droit à la portabilité (article 20),
il faut se préparer à extraire et à transmettre les données personnelles à un
autre responsable de traitement – le plus
souvent un concurrent – « dans un format
structuré, couramment utilisé et lisible
par machine ».
UNE OPPORTUNITÉ SE
CACHE DERRIÈRE CHAQUE
NOUVELLE OBLIGATION
Au final, l’erreur serait de croire qu’il
s’agit là d’une question d’ordre technique,
alors que c’est avant tout un sujet d’ordre
humain : la solution est à trouver du côté
de la sensibilisation, de la responsabilisation, de la formation, de la création de
nouveaux réflexes...
Nombreux sont les Correspondants
Informatique et Libertés qui organisent
des sessions de sensibilisation pour les
MOA, AMOA et chefs de projets. C’est
d’autant plus nécessaire pour les projets
développés en mode agile, dont toutes
les évolutions, au rythme des sprints,
doivent respecter les principes de conformité. Ce serait regrettable qu’un projet,
développé en Scrum pour être mis en
production de toute urgence… nécessite
finalement le dépôt d’une demande d’autorisation auprès de la CNIL (avec les
délais associés) si certaines caractéristiques introduites en cours de développement (interconnexion de fichiers de
finalités différentes, utilisation de la
biométrie, collecte du NIR, etc.) l’exigent.
contentent de répondre strictement aux
rares questions du CIL qui, par manque
de connaissances, en reste à la surface
des choses. De la non-coopération à
l’obstruction en passant par la résistance,
cette attitude des informaticiens s’explique
bien sûr par un sentiment premier de
compétition, là où il ne doit y avoir que
symbiose. Cette synergie est, par exemple,
indispensable pour réaliser les analyses
de risques et les études d’impacts. S’il
appartient au CIL de décider dans quels
cas une telle démarche s’impose, c’est
bien la DSI qui réalise généralement
l’analyse des risques. Mais, au final, c’est
le CIL qui juge de la cotation finale des
risques et si les risques résiduels sont
acceptables, avant de les présenter, pour
décision finale, au responsable de traitement. Sans un minimum de connaissances techniques du CIL, on observe
des EIVP « désincarnées » et peu pertinentes, qui ont été pilotées uniquement
par la technique.
Ces séances de sensibilisation sont également propices à la création d’une synergie entre les CIL (souvent de formation
juridique) et les informaticiens. Si certaines
directions des Systèmes d’Information
sont particulièrement bienveillantes envers
leur CIL, d’autres n’hésitent pas à lui
masquer certaines informations cruciales
derrière un jargon abscons. D’autres se
Pour conclure, si, effectivement, le
règlement européen (et, éventuellement,
les dispositions que pourrait amener le
projet de loi pour une République numérique) va imposer l’ouverture de chantiers
techniques très lourds, il est important
de positiver, en cherchant l’opportunité
qui se cache derrière chaque nouvelle
obligation, afin de créer de la valeur. nnn
[1]
Art. 6.1.a du règlement sur les données personnelles
Naturellement les agents de la CNIL sont tenus de respecter la loi Godfrain (Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique) et ne réalisent pas d’attaques ni d’intrusion. Ils se contentent de réaliser les actions offertes aux internautes. L’accès à contenu
non sécurisé (qui, normalement, n’aurait pas dû être exposé sur la toile), référencé par un moteur de recherche, entre bien, par contre,
dans le champ du contrôle (voir, par exemple, T. Duvernoy et L. Minano, « Enquête : des données médicales confidentielles accessibles
sur le web », Actusoins, 1er mars 2013)
[3]
Le chapitre « Sésame, ouvre-toi ! », de l’ouvrage « Correspondant Informatique et Libertés : bien plus qu’un métier » (AFCDP, 2015), est
dédié à ce sujet.
[4]
On remarquera que le mot de passe « Mot 2 passe » respecte scrupuleusement cette contrainte, tout en présentant une faiblesse
conceptuelle. On se souviendra également que, jusqu’en 2010 (apparition de la version Oracle 11g), les mots de passe acceptés par
Oracle n’étaient constitués que de lettres majuscules.
[5]
« Of passwords and people: Measuring the effect of password-composition policies », Komanduri, Shay, Gage Kelley, Mazurek, Bauer,
Christin, Faith Cranor, Egelman
[6]
https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi
[7]
Voir https://www.cnil.fr/fr/solutions-pour-les-boutons-sociaux
[8]
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_en.pdf
[9]
https://www.cnil.fr/fr/mobilitics-saison-2-nouvelle-plongee-dans-lunivers-des-smartphones-et-de-leurs-applications
[10]
http://techcrunch.com/2016/05/17/stanford-quantifies-the-privacy-stripping-power-of-metadata/
[11]
Le règlement européen met l’emphase sur le recours à la pseudonymisation, comme un moyen de concourir à la sécurisation des données, mais en précisant que cette technique ne permet en aucun cas de « sortir » du champ de la loi, comme le permet l’anonymisation
la plus stricte.
[12]
On rappellera que, durant la phase finale du trilogue, il a été écarté la possibilité de fonder un traitement pour une finalité incompatible
avec celle d’origine sur l’intérêt légitime du responsable de traitement.
[13]
Voir « Machine Bias - There’s software used across the country to predict future criminals. And it’s biased against blacks », par Julia
Angwin, Jeff Larson, Surya Mattu and Lauren Kirchner, ProPublica, 23 mai 2016
[14]
www.actusoins.com/12771/des-donnees-medicales-confidentielles-accessibles-sur-le-web.html
[15]
Cf. « La sécurité des données personnelles enfin prise au sérieux ? », par Bruno Rasle – Mars 2010 (librement accessibles sur
www.afcdp.net)
[2]
Par Me Antoine Chéron, Avocat au Barreau de Paris, ACBM Avocats
PERTE DE DONNÉES PERSONNELLES :
ATTENTION,
DANGER !
Depuis la nuit des temps, les commerçants
enferment leurs stocks, verrouillent les caisses,
cadenassent le matériel. Aujourd’hui, ces actifs
concrets et tangibles sont de moins en moins
importants alors que l’immatériel prend toujours plus
le dessus d’un point de vue quantitatif et financier.
LE RENOUVELLEMENT DES ENJEUX
DE SÉCURITÉ POUR LES ENTREPRISES
En effet, les entreprises sont maintenant devenues dépendantes
des nouvelles technologies qui ont su se rendre indispensables.
Si on continue l’analogie avec les stocks qui peuvent être
détruits par des évènements naturels comme une inondation
ou volés par des criminels, les données collectées par une
entreprise sont susceptibles d’être perdues.
Or, une catégorie de données fait l’objet d’une attention particulière de la part des autorités françaises et européennes. Ce
sont les fameuses « données à caractère personnel », celles
portant des informations qui permettent d’identifier directement
ou indirectement les personnes physiques. C’est une catégorie
très vaste qui va de l’adresse postale à l’adresse IP, en passant
par l’empreinte digitale et les appels téléphoniques.
UNE ILLUSTRATION PARLANTE :
LE SCANDALE ASHLEY MADISON
Il existe de nombreux exemples de piratages informatiques,
mais celui dont a été victime le site Ashley Madison est particulièrement pertinent s’agissant des atteintes à la vie privée
que le piratage peut engendrer. En effet, ce site de rencontres
extra-conjugales très prisé des canadiens et américains a
été piraté en juillet 2015 et les cybercriminels ont menacé
de divulguer le profil et les fantasmes des 37 millions
d’utilisateurs.
Les pirates en question n’ont pas demandé d’argent contre
l’assurance de ne rien divulguer, car leur but était tout
simplement la fermeture de ce site qu’ils considéraient immoral.
Ils voulaient également dénoncer le mensonge de l’entreprise
qui promettait à ses utilisateurs la destruction des données et
de l’historique du client pour le prix de 19 dollars supplémentaires.
Finalement, ils ont tout de même publié le contenu de
33 millions de personnes, ce qui a ruiné leur vie conjugale,
sociale et professionnelle et même entrainé le suicide de trois
personnes.
LA NOTIFICATION DES VIOLATIONS
DE DONNÉES PERSONNELLES À LA CNIL
En 2009, le législateur européen a modernisé les directives qui
constituent le « Paquet télécom ». A l’occasion de leur transposition par une ordonnance du 24 août 2011, il a été imposé
aux fournisseurs de services de communications électroniques
une nouvelle obligation de notification à la Commission nationale
de l’informatique et des libertés (CNIL). Concrètement, il s’agit
d’Orange, SFR, Bouygues Telecom, Free, Numéricable et les
opérateurs locaux.
Ainsi, « toute violation de la sécurité entraînant accidentellement
ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère
personnel faisant l'objet d'un traitement » doit être signalée à
la CNIL, en vertu de l’article 34 bis de la loi du 6 janvier 1978. Si
la violation porte atteinte aux données à caractère personnel
ou à la vie privée d’un abonné ou d’une autre personne physique,
cette même disposition prévoit que le fournisseur doit avertir
sans délai l’intéressé.
Mais cette obligation est limitée aux fournisseurs de réseaux
ouverts au public et ne permet pas de prévenir efficacement
les cyber-risques, ce dont est très consciente l’Union
européenne.
LA DIRECTIVE EUROPÉENNE NIS
EN RÉPONSE AU CYBER-RISQUE
En février 2013, la Commission européenne a proposé aux
États membres et au Parlement d’adopter une directive
« Network Security and Information » (NIS) qui a été approuvée
en décembre 2015 et adoptée en première lecture par le
Conseil de l’Europe en mai 2016. Celle-ci prévoit des mesures
visant à assurer un haut niveau de confiance dans les systèmes
de réseaux et d’informations de l’Union. Pour se faire, elle
prévoit notamment de mettre à la charge des opérateurs et
fournisseurs de services numériques de nouvelles obligations
en matière de cybersécurité.
Cette directive NIS est en fait le support nécessaire du règlement
beaucoup plus général relatif à la protection des personnes
physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données. Le but est à
long terme d’obtenir un espace numérique sécurisé et performant
au sein duquel les États membres coopèrent de manière
harmonieuse pour lutter contre la cybercriminalité.
LA STRATÉGIE DE CYBERSÉCURITÉ
IMPOSÉE AUX ÉTATS D’ICI 2018
• Au niveau national
Les États membres de l’Union européenne devront créer un
organe chargé de collecter les rapports des incidents critiques
émis par les entreprises. Ces rapports seront reçus par une
« Computer Emergency Response Team » (CERT), un centre
d’alerte et de réaction aux attaques informatiques. Les CERTs
auront pour mission de surveiller, analyser et avertir des
risques, mais aussi d’intervenir a posteriori.
• Au niveau communautaire
La directive prévoit la mise en place d’un réseau de communication
interétatique pour le reporting des incidents, appelé CSIRT, qui
sera soutenu par l’Agence européenne chargée de la sécurité
des réseaux et de l’information (AESRI). La coopération sera
faite sur la base du volontariat et du partage d’informations.
Le but est de faire circuler au mieux les alertes et d’y répondre
d’une manière adaptée tout en discutant des stratégies nationales
et de l’efficacité du réseau paneuropéen de CERTs. La directive
prévoit un échange d’informations avec le centre européen
du cyber-crime qui devrait avoir lieu dans le cadre d’une
infrastructure sécurisée.
Elle définit le statut d’OIV comme un opérateur économique
« ayant un rôle primordial pour le fonctionnement de la Nation »,
par exemple dans les secteurs de la gestion de l’eau, de
l’énergie, de la santé, de l’alimentation ou encore des activités
civiles, militaires et judiciaires de l’État.
Initialement, la directive NIS devait simplement étendre cette
obligation à tous les « operator of essential services » (OES),
soit l’équivalent de nos opérateurs d’importance vitale. A la différence près que tous les opérateurs, quelle que soit leur
taille, seront soumis à cette obligation de signalisation de tout
bug informatique comme une perte des données.
La liste s’est ensuite étendue aux « plateformes de contenus et
de services », comme Amazon, Google ou Ebay. Cependant,
leurs obligations seront moins lourdes que pour les acteurs
des secteurs considérés critiques. Mais les réseaux sociaux,
les très petites et micro-entreprises du Web ne sont pas inclus
dans le spectre de la directive NIS.
LA VÉRITABLE SOLUTION :
LES PRODUITS DE SÉCURITÉ DE DEMAIN
La directive encourage les opérateurs économiques qu’elle
vise à développer de nouvelles technologies pour protéger les
droits des individus. En effet, « mieux vaut prévenir que guérir »
et c’est le règlement qui impose à la charge des responsables
de traitement de données à caractère personnel d’agir en ce
sens.
Dès la conception d’un projet, le responsable devra d’ici
2017-18 prendre des mesures techniques et organisationnelles
pour assurer la sécurité des données, c’est le concept de
« Privacy by Design ». Par exemple, le stockage des données
personnelles devra être chiffré automatiquement, tout comme
le mot de passe utilisateur. Cette technique permet de rendre
impossible la compréhension d’un document à toute personne
qui ne possède pas la clé de déchiffrement.
Enfin, on peut également signaler un recours de plus en plus
important des entreprises aux « blockchains ». La « chaîne de
blocs » est une nouvelle forme d’organisation de la base de
données, rendant la falsification des informations impossible.
La blockchain sécurise toutes les transactions effectuées dès
la première d’entre elles. En intégrant les données à caractère
personnel aux blockchains, on limiterait donc de manière
nnn
révolutionnaire le risque de les perdre.
QUELS OPÉRATEURS ÉCONOMIQUES
SONT CONCERNÉS ?
Il existe déjà en France une obligation à la charge des « OIV »
– les opérateurs d’importance vitale – de reporter aux autorités
compétentes toute attaque informatique auprès de l’Agence
nationale de la sécurité des systèmes d’information (ANSSI).
Interview de Didier Henin et Lazaro Pejsachowicz, CLUSIF
Par Marc Jacob et Emmanuelle Lamandé
SSI : QUEL NIVEAU DE
MATURITÉ DES ENTREPRISES
FRANÇAISES ?
Didier Henin
L’usage du numérique, la demande de haut débit, tout
comme la multitude de services désormais disponibles
pour les utilisateurs… sont en constante augmentation. Ce
nouveau besoin se répercute aussi au sein des entreprises,
constatent Didier Henin et Lazaro Pejsachowicz, CLUSIF.
Toutefois, ont-elles la maturité suffisante aujourd’hui pour
sécuriser leurs Systèmes d’Information et appréhender le
degré de sécurité des produits qu’elles utilisent ? Sans
compter l’impact qu’aura le nouveau règlement européen,
relatif à la protection des données personnelles, sur la
sécurité et les solutions dédiées, ainsi que les garanties
exigées par les entreprises auprès des constructeurs…
Le nombre et le niveau d’attaques opérées par des biais
« multicanaux » progressent d’année en année, remarque
Didier Henin, RSSI de BUT International - Membre de l’espace
RSSI du CLUSIF. « Nous constatons, effectivement, une évolution dans la technicité des attaques, passant d’un simple
virus, transmis par support magnétique, il y a quelques
années, à des attaques plus sophistiquées, réalisées à des
fins de destruction, comme Stuxnet et TV5 monde, ou de
fraudes (via des attaques APT par exemple). L’affaire Snowden
a, en outre, dévoilé au grand jour les possibilités immenses
que la technique peut offrir en vue de prendre de l’information
ou de s’introduire dans les Systèmes d’Information. »
UN NIVEAU DE MATURITÉ
DES ENTREPRISES EN DEMI-TEINTE
De son côté, la maturité des entreprises en matière de SSI
est, selon le dernier rapport MIPS du CLUSIF paru en 2014,
en légère progression, la stagnation des budgets ne permettant
pas le décollage de celle-ci. « Pour autant, le nombre de
RSSI est en constante augmentation (62% en 2014 vs 38% en
2008) », explique-t-il. « D’ailleurs, suite aux événements
marquants de vols de données clients (VTECK en fin d’année
2015, l’attaque de TV5 Monde et bien d’autres), le prochain
rapport MIPS risque fort, selon lui, de voir ces chiffres
s’envoler. Une détonation s’est effectivement produite, faisant
prendre conscience aux grandes entreprises (au moins) de
l’urgence de combler ce retard technique et de sensibiliser
leurs personnels. Il est donc fort à parier que les prochains
chiffres liés à la sensibilisation, notamment des VIP (18% en
2012 vs 31% en 2014), fassent un bond très significatif. D’ailleurs, la montée en puissance, en France, de l’ANSSI ces
dernières années est le reflet de l’ampleur du sujet et de la
prise en compte de plus en plus importante par l’État et les
entreprises de la sécurité des Systèmes d’Information. »
A l’heure actuelle, la performance et la pérennité des entreprises reposent effectivement sur la faculté qu’ont ces
dernières à protéger leur patrimoine informationnel, souligne
Lazaro Pejsachowicz, Président du CLUSIF. Toutefois, leur
niveau de maturité en la matière oscille encore largement
selon le type et la taille de l’organisation en question. « Pour
la plupart des grandes entreprises (et même des moyennes),
de réels investissements ont été réalisés dans ce domaine
au cours des dernières années, dont la prise en compte de
standards (normes et méthodes), la mise en place de PSSI,
la revue de chartes informatiques ou encore le recrutement
d’acteurs spécialisés comme les Responsables de la Sécurité
des Systèmes d’Information (RSSI) », constate-t-il. « La
plupart des entreprises ont donc compris l’importance d’une
gouvernance documentée de la sécurité et d’une sensibilisation accrue du
personnel (y compris informatique).
Cette amélioration
de la gouvernance
reste cependant inégale d’une entreprise à l’autre : si
l’on exclut la sphère
militaire, ce sont les
banques et les OIV
(Organismes d’Imp o r ta n ce V i ta le ) ,
Lazaro Pejsachowicz
c ' e st - à - d i re le s
organismes touchés par les réglementations les plus fortes,
qui ont le plus progressé dans la sécurisation de leurs informations et de leurs systèmes informatiques. »
Le CLUSIF constate également que de nombreux investissements (au-delà du simple combo pare-feu/anti-virus) ont été
faits pour renforcer la sécurité périmétrique des entreprises.
La recrudescence d’attaques par courriers malveillants (phishing) et d’installations non désirées de logiciels malfaisants
(trojans) démontrent cependant que cette seule sécurité périmétrique n’est plus suffisante et que le modèle de « Château
fort » associé est d’ores et déjà obsolète. En effet, l’ouverture
technique du SI associée à l’évolution toujours croissante
des nouvelles technologies rendent le périmètre de l’entreprise
de plus en plus difficile à définir. Il n’est donc pas crédible, à
l’heure actuelle, d’imaginer qu’aucune menace ne pourra
réussir à pénétrer, à voler ou à endommager ce dernier.
Le modèle du « Château-fort » doit de ce fait évoluer vers
celui de « la Tour de contrôle », afin de détecter au plus tôt
une intrusion et réagir en conséquence, le plus rapidement
possible.
Cette évolution, bien que nécessaire, n’a pourtant pas encore,
selon lui, dépassé un stade initial pour la majorité des entreprises. Les organisations associatives comme le CLUSIF
s’attèlent à faire comprendre la nécessité de redoubler
d’efforts, afin de leur assurer une meilleure résilience par
rapport à cette situation. De nombreux groupes de travail,
comme par exemple « Comment réussir le déploiement d’un
SOC », « La gestion de la cellule de crise » ou encore
« Cyber-assurance » ont été créés au sein de l’association
pour aider les entreprises françaises à rattraper leur retard
dans ce domaine. Les retours d’expérience et les réflexions
partagées permettent ainsi d’aider ces dernières à établir
les mesures à prendre suite à une attaque : rapidité de détection, exploitation des traces et, donc, réduction de son
impact.
LE RÈGLEMENT EUROPÉEN
SOUMETTRA LES ENTREPRISES À
DES OBLIGATIONS DE RÉSULTATS…
focaliser leurs efforts sur ce modèle de « Tour de contrôle ».
Ce règlement ne sera pas une simple obligation de moyens
comme le sont les législations actuellement en vigueur,
mais soumettra les entreprises à des obligations de résultats
en termes de détection et de suivi d’attaques. En outre, une
notification aux autorités compétentes et parfois même aux
victimes sera obligatoire en cas de fuite d’informations. Ceci
impliquera donc la mise en œuvre d’éléments de protection
dédiés pour éviter, au-delà du préjudice d’image, des sanctions
administratives et financières.
Toutefois, du côté des solutions de sécurité, reprend Didier
Henin, le dernier rapport MIPS a mis en exergue une
augmentation du nombre d’erreurs d’utilisation et de conception
entre 2010 et 2014. Cela doit inciter les utilisateurs et
constructeurs à travailler ensemble, afin d’élever le niveau
de maturité des produits. Les outils de sécurité de demain
devront répondre à des exigences de pertinence, d’efficacité
et de reconnaissance dans le monde des utilisateurs. Même
si le règlement européen sur la protection des données à
caractère personnel n’a pas pour finalité première de donner
ces exigences de sécurité sur les produits en particulier, par
projection, les entreprises devront s’assurer, en fonction de
la finalité déclarée de leurs traitements, que les produits ne
transmettent pas de flux mettant en cause la véracité de
leurs déclarations. L’analyse de risques, rendue obligatoire,
devra d’ailleurs englober la connaissance du produit en
profondeur.
LES PRODUITS DE SÉCURITÉ DE DEMAIN
DEVRONT AIDER LES ENTREPRISES
À AMÉLIORER LEUR RÉSILIENCE
Les produits de sécurité de demain devront, ainsi, nécessairement aider les entreprises françaises à régler leurs
problèmes de résilience, estime Lazaro Pejsachowicz. « L’une
des premières briques permettant de solutionner cela repose
sur la mise en place d’un Security Operation Center, afin de
détecter et réagir en cas d’incident, mais également de
traiter les aspects légaux et financiers afférents. La nomination
d’un Data Protection Officer (DPO) contribuera également à
renforcer les efforts fournis en termes de gestion opérationnelle
de la sécurité. Pour être efficace, ce DPO devra non seulement
disposer de nombreuses connaissances, mais également
entretenir des liens étroits avec les différents acteurs de
l’entreprise. Et certaines obligations, dont notamment les
notifications et autres opérations coûteuses, méritent d’être
analysées pour prendre en compte la possibilité du transfert
de ces coûts vers des Cyber-Assurances.
En conclusion et bien qu’il y ait encore de nombreux axes
d’amélioration pour les entreprises françaises », soulignet-il, « nous observons, au sein des groupes de travail et de
l’Espace RSSI du CLUSIF, une réelle volonté de progresser et
d’innover en matière de sécurité de l’information. Nous continuerons donc à travailler de concert avec les organismes
institutionnels et les entreprises, afin d’aider ces dernières à
tendre vers une sécurité des Systèmes d’Information la plus
nnn
efficace possible. »
Le règlement européen relatif à la protection des données
personnelles appelle également, selon lui, les entreprises à
Par Florent Skrabacz, DG de Shadline et Fondateur d’Erium
LA CONFIANCE DANS
UN MONDE DIGITAL ENVAHI
PAR DES GÉANTS
Différenciation, Transformation, Digital :
des mots qui ont pris leur place dans les
comités de direction des entreprises, et
notamment en France où l’objectif reste de
combler le retard digital. Un retard explicable au moins en partie par la difficulté
de s’imposer dans un monde où les
Géants Digitaux donnent le « La ». Ces
derniers ont redéfini le terrain de jeu de
la concurrence et le rapport entre les
entreprises et les clients finaux avec
lesquels elles ont de moins en moins
de contacts. Dans l’écosystème français,
posons-nous la question : et si l’injection
de la confiance dans le monde numérique
changeait la donne ?
La question peut sembler naïve, et pourtant, elle prend du
sens ramenée à ces 3 paradoxes :
• Une entreprise peut-elle se réinventer en s’appuyant sur
les mêmes solutions que tout le monde, et en faisant de la
rapidité de leur acquisition un élément de réussite ?
• Une entreprise peut-elle préserver son intimité professionnelle lorsqu’elle repose sur des systèmes dépendant
d’acteurs dont le pouvoir dépasse celui de nombreux États ?
• Une entreprise peut-elle véritablement maîtriser sa sécurité
quand elle utilise des sous-systèmes de sécurité dépendant
de systèmes globaux sur lesquels elle n’a aucune prise ?
La concurrence est rythmée par des entreprises (GAFA…) qui
entretiennent une asymétrie de rapports de force exceptionnelle. Dans cet environnement, les nouvelles batailles sont
celles de la maîtrise des données, et plus encore, des points
de contact avec les clients finaux. Elles créent une frénésie
qui ressemble aux bulles spéculatives boursières : elles
rompent lorsque plus personne n’est connecté aux fondamentaux. Or, la confiance est un fondamental, elle a été
négligée dans de nombreux domaines, et elle commence à
se rappeler à l’écosystème des Géants Digitaux.
I – UN MONDE DE GÉANTS
L’histoire des faits économiques retient que les monopoles
vivent souvent des jours heureux, mais jamais éternels. L’un
des exemples les plus emblématiques fut sans doute le
démantèlement des baby-bell en 1987 aux USA par l’application
de la loi antitrust.
Certains monopoles s‘inscrivent dans un segment spécifique,
à savoir les monopoles naturels. Ceux-ci ont pour trait
caractéristique d’afficher des rendements croissants : plus ils
produisent, plus leur rentabilité est élevée. Que penser de
Google et d’Apple dont les rentabilités opérationnelles
avoisinent respectivement 25% et 30% ?
Ils rendent la concurrence presque impossible sur leurs multiples marchés :
aucun acteur économique n’arrive à rivaliser avec leurs économies d’échelle.
 QUELQUES CHIFFRES
En 2016, les GAFA devraient dégager un Chiffre d’Affaires global de
450 Mds USD. Situé entre le PIB de
l’Autriche et de l’Argentine, ce CA
est le double du PIB de la Grèce.
Leur bénéfice net (avant impôts)
avoisinera les 75 Mds USD. Les
GAFA ne sont pas seuls, ils ont
leurs challengers pour chaque catégorie d’activité, certains d’entre
eux ayant déjà été absorbés (Youtube, Uber, Twitter, TripAdvisor,
LinkedIn, Skype, WhatsApp…).
Les GAFA sont tirés par le B2C, mais
des modèles convergents sont en train
de se créer dans le monde du B2B avec,
par exemple, Yammer, Slack ou Skype
for Business. Les interrelations entre
ces applications B2B et le B2C deviennent un enjeu majeur et redéfinissent
la nature des relations entre les entreprises et leurs clients. Dans les situations
de monopole, le pouvoir est strictement
entre les mains du vendeur. Le consommateur est une variable d’ajustement.
Illustrons la réalité par quelques chiffres :
la sécurité de trouver sa place et de
répondre à l’antagonisme un brin
schizophrène de ses missions :
• Sécuriser l’existant et gérer des
co n t r a i n t e s ré g le m e n t a i re s e n
augmentation constante ;
• Prendre le virage de la transformation
digitale pour ne pas se retrouver au
bord de la route.
La pratique de la sécurité dans l’univers
des Systèmes d’Information « régaliens »
est connue. Elle a ses méthodes, ses
pratiques, ses outils et ses experts. Elle
est complexe, challengée quotidiennement par l’actualité des menaces et des
attaques, mais elle est connue.
La pratique de la sécurité dans l’univers
digital doit s’adapter aux maîtres-mots
suivants :
• Accélération : le Digital est une dynamique d’accélération qui inscrit le SI
d’entreprise dans un ensemble Digital
plus global. Cette accélération a pour
finalité un objectif de développement
de parts de marché, d’accroissement
du CA et de la marge. Pour certains,
elle consiste à résister à la cannibalisation, ou à l’ubérisation, de leur marché. La réussite digitale est indispensable aux entreprises, et un esprit de
blocage serait fatal à la sécurité.
• Innovation : l’esprit Digital consiste à
« rechercher une autre voie » en s’appuyant sur des composants de plus
en plus communs à tous et en créant
 DANS LE MONDE DU B2C  DANS LE MONDE DU B2B
• Gmail et Facebook ont dépassé le
milliard d’utilisateurs
• Twitter compte plus de 300 millions
d’utilisateurs
• LinkedIn compte plus de 380 millions
de membres inscrits
• Instagram compte plus de 300 millions
d’utilisateurs actifs
• Amazon, premier site de e-commerce du monde avec plus de 183
millions de produits référencés
• 1 milliard de terminaux mobiles iOS
(iPhone et iPad) activés (fin novembre
2014)
II – UN MONDE DIFFICILE
POUR LA SÉCURITÉ
Il est stratégique, mais complexe pour
• Slack a été créée en 2013 et a une
capitalisation supérieure à 3Mds
d’euros
• Office 365 utilisé par plus de 50
millions de professionnels actifs
mensuels
• HipChat, Trello, Asana… de plus en
plus d’acteurs sur le marché des
solutions collaboratives pour les
entreprises
la couche du haut. Ces composants
communs sont tellement incontournables que la sécurité peut difficilement agir sur leur conception. La sécurité doit trouver des solutions aux
bornes de ces écosystèmes.
• Ouverture : le décloisonnement des
données entre acteurs économiques,
d’intérêts parfois divergents devient
une réalité. Ceci est à la base d’une
guerre de l’accès aux données et de
leur valorisation. Elle percute fondamentalement les politiques de restriction des accès aux données des
modèles de sécurité existants. La sécurité se trouve face à la nécessité
d’intégrer la valeur la plus paradoxale
de toutes : l’ouverture.
Le terrain de jeu de la sécurité est profondément challengé. Il est contraint
par un enchâssement de plus en plus
fort des business modèles de l’entreprise
dans des modèles plus globaux qu’imposent les Géants Digitaux. Les entreprises perdent la relation avec leurs SI,
leurs données et leurs utilisateurs. Les
nombreuses chaînes d’hôtels et de restaurants qui sont devenues les fournisseurs des systèmes de booking sont un
cas d’école, mais tout autant que celles
qui ont trouvé leur autre voie.
III – UN MONDE QUI CHERCHE
LA CONFIANCE
Le nerf de la guerre est désormais celui
de la maîtrise de la relation avec les
consommateurs finaux, in fine des différents segments qui constituent le
Grand Public. Or, même si les usages
digitaux sont addictifs au point parfois
d’ignorer tous les principes de précaution
essentiels, il y a une prise de conscience
progressive des enjeux de la confiance
par le plus grand nombre :
• Les affaires Ashley Madison, Sony Entertainment, Walmart, les fuites de
mots de passe de nombreux réseaux
sociaux, etc., sont médiatisées. Elles
installent une défiance durable, et
pas uniquement pour ceux qui en sont
victimes.
• Des procès sont faits en Europe aux
Géants Digitaux tant pour leurs pratiques de protection des données personnelles que pour certaines pratiques
fiscales. Ils ouvrent des brèches dans
des modèles où la valeur d’image (le
brand equity) est essentielle.
• La réglementation évolue pour encadrer en profondeur les pratiques et
l’éthique des traitements de données
dans le monde digital (Ex : Règlement
européen GDPR, Projet de Loi
pour la République Numérique et renforcement des moyens de la CNIL) et
la protection des systèmes (Directive
européenne NIS, Loi de Programmation Militaire).
Cette évolution diffuse le sentiment d’une nécessaire amélioration.
Ces facteurs contribuent d’une part à installer une certaine
défiance vis-à-vis des acteurs dominants du monde digital,
et d’autre part à créer une attente de changement. Cette
attente ouvre une voie à de nouveaux modèles où le
Digital se construit sur des socles de confiance objective et
vérifiable.
Après avoir parlé d’économie du Partage, parlera-t-on un
jour d’économie de la confiance ? Sous une forme ou une
autre, très certainement : car la confiance est devenue un
bien rare et elle est demandée. Et, si par adage, la confiance
n’a pas de prix, soyons certains qu’elle a une valeur.
En devenant acteur de la nécessité d’une relation forte et
réinventée, par la confiance, entre les entreprises et leurs
clients, la sécurité peut insuffler un potentiel de rupture
positive. Et, au final, dépasser le statut « d’empêcheur de
tourner en rond » de la sécurité… en le revendiquant ? nnn
Cette confiance ne se limite pas à un seul facteur, elle
nécessite, au moins :
• Des pratiques de sécurité au niveau des systèmes ;
• Une éthique des pratiques de traitement et de valorisation
des données personnelles ;
• Un effort de communication et de démonstration des
engagements pris ;
• Une capacité de contrôle par des autorités ou des tiers
non contestables.
La France a su développer un écosystème et un savoir-faire
particulièrement avancé pour donner de la place à ces
facteurs de confiance. Elle bénéficie d’une industrie de la
cybersécurité particulièrement avancée, de start-ups à fort
potentiel sur ces sujets, d’une relation entre les autorités
publiques et le secteur privé qui permet de garantir et d’objectiver la confiance. Elle constitue, par ailleurs, une alternative
géo-stratégique reconnue par rapport aux acteurs dominants
dans de nombreux domaines.
 LES ENTREPRISES FRANÇAISES
ONT PROBABLEMENT BEAUCOUP
À GAGNER EN OSANT LE DIGITAL
PAR LA CONFIANCE
Quelle meilleure différenciation pour une entreprise que
de montrer en quoi la dimension d’intimité et de confidentialité des données personnelles est un sujet majeur,
à l’inverse de ses concurrents ? Chaque entreprise a
aujourd’hui pour enjeu de maintenir un lien direct, actif
et exclusif avec ses clients finaux. La confiance peut
être un discriminant de choix, une griffe de « haute
couture » dans le monde digital.
IV – POUR UNE SÉCURITÉ QUI ENTREPREND
Il est véritablement difficile de passer du rôle de celui qui
coûte au rôle de celui qui investit, de celui qui dit non à celui
qui dit oui, de celui qui gère à celui qui entreprend. Pourtant,
en partant du principe que l’ordre digital n’est pas établi, que
la Confiance peut devenir une nouvelle règle du jeu, la
sécurité peut démontrer qu’elle est une rampe de lancement
pour les stratégies de différenciation et de performance.
Depuis 2014, beaucoup a été écrit sur l’économie du partage :
vue jusqu’à récemment comme la base d’une nouvelle donne,
elle est aussi challengée par certains sur sa viabilité. De
même, l’ubérisation passera le relai à d’autres modèles.
Dans le Digital, il n’y a pas de fatalité et les dogmes ont une
durée de vie parfois courte.
LOGICIELS DE SÉCURITÉ
PUBLI INFO
UNE SOLUTION DE SÉCURITÉ
DIFFICILE À INSTALLER OU À UTILISER
FINIT PAR NE RIEN SÉCURISER
Jérôme CHAPPE,
Directeur Général, TheGreenBow
La protection des données concerne désormais tous les matériels, toutes les
formes de stockage et tous les moyens de communications. Concevoir des
solutions de sécurité fiables, mais surtout ergonomiques pour tous ces
contextes, est le challenge technologique des années à venir.
GS Mag : A quoi ressemblera, selon
vous, l’écosystème des solutions de
sécurité dans les années à venir ?
L'échange de données numériques n'est
plus - depuis de nombreuses années
- l'apanage du monde professionnel. Il
s'est étendu à tout un chacun, via l'usage
des réseaux sociaux, les échanges de mails,
l'utilisation des messageries instantanées,
etc. Les moyens de communications de
données numériques se sont largement
diversifiés : ordinateurs, smartphones, tablettes. Demain - cela a déjà commencé cet échange de données numériques va
continuer de s'étendre aux objets connectés
et aux réseaux industriels.
Autant de communications susceptibles
d'être interceptées, bloquées, perverties,
exploitées. La généralisation des échanges
numériques - depuis les échanges entre
individus jusqu'aux connexions entre objets
connectés - démultiplie mathématiquement
les risques d'attaques de toute nature :
déni de service, phishing, prise de contrôle,
interception, etc.
L'écosystème des solutions de sécurité va
naturellement se centrer sur la protection
des données, quel que soit le moyen par
lequel elles sont transmises (Internet,
réseaux industriels, etc.) et où qu'elles
soient stockées (cloud, supports physiques
divers, etc.). Mais il doit aussi s'orienter
vers la production de solutions de sécurité
ergonomiques, utilisables par tous, voire
invisibles.
On l'a souvent constaté, au cœur de la sécurité de l'information, il y a l'humain : la
sécurité ne peut plus être contraignante.
Les mesures de sécurité contraignantes
sont au mieux rejetées, au pire contournées.
La sécurité des données doit aujourd'hui
être la plus enfouie et la plus "indolore"
20
possible, pour l'utilisateur comme pour
celui qui la met en place. C'est sans doute
un des challenges technologiques des
années à venir.
GS Mag : Qu’en sera-t-il dans votre
domaine d’activité ?
TheGreenBow est éditeur de logiciels de
sécurité. Nous sommes leader mondial du
logiciel Client VPN et nous proposons une
solution de chiffrement de mails. Notre
expertise, au-delà de la compétence cryptographique indispensable à la réalisation
de ce type de solutions, consiste à proposer
des solutions extrêmement fiables (notre
logiciel Client VPN est certifié Critères
Communs EAL3+), qui restent avant tout
particulièrement ergonomiques.
Protéger l'information n'est plus une option.
C'est aujourd'hui obligatoire. Mais si pour
ce faire il faut redéfinir son infrastructure,
changer ses habitudes ou suivre des formations spécifiques de plusieurs jours, les
solutions ne sont pas mises en place ou
mal mises en place, pas utilisées ou mal
utilisées.
La protection des données, de plus en
plus enfouie et de plus en plus ergonomique,
est au cœur de notre développement. Avec
la multiplication des moyens de communications, des populations concernées et
des connexions entre objets eux-mêmes,
nous avons d'ores et déjà de multiples
sujets de développement de notre
activité.
GS Mag : De quelle manière allezvous faire évoluer votre gamme de
solutions en ce sens ?
Toujours plus d'ergonomie, toujours plus
de facilité de mise en œuvre et d'utilisation,
et toujours plus d'exhaustivité dans les
fonctions de sécurité proposées, comme
dans les plateformes adressées. Aujourd'hui
et demain encore plus, tout utilisateur
d'ordinateur, de smartphone ou de tablette
doit obtenir le même niveau de sécurité,
quel que soit le matériel qu'il utilise.
Demain, toute communication devra pouvoir
être protégée facilement et rapidement
que ce soit sur Internet, dans le cloud, au
sein d'un réseau industriel ou entre objets
connectés.
Concevoir et proposer des solutions toujours
plus faciles à intégrer ou à déployer, mais
aussi extrêmement rapides à mettre en
œuvre sont les challenges technologiques
sur lesquels nous concentrons aujourd'hui
nnn
nos efforts.
INFORMATIONS PRATIQUES
Solution phare.
Client VPN universel et Chiffrement
de mails
Téléphone.
+33 (0)1 43 12 39 30
Courriel.
[email protected]
Web.
www.thegreenbow.com
ÉDITEUR DE LOGICIELS ANTIVIRUS
PUBLI INFO
INVESTIR DANS LA RECHERCHE
ANTIVIRALE POUR RELEVER
LES DÉFIS DE DEMAIN
Boris SHAROV, PDG,
DOCTOR WEB, Ltd.
D’un côté, objets connectés et « intelligents », voitures sans conducteurs,
virtualisation des systèmes, demain peut-être, intelligence artificielle,
bio-informatique ; de l’autre, persistance du facteur humain, croissance et
pérennité de l’industrie du cyber crime. Autant de défis qui se présentent
aux chercheurs en virologie informatique, tant en termes technologiques qu’humains, pour mieux connaître les
organisations cybercriminelles et anticiper les menaces de demain.
L'apparition de nouveaux logiciels dans le
domaine de la sécurité informatique reste
une inconnue. C’est plutôt le monde dans
lequel de tels outils seront utilisés qui va
changer. Jusqu'à récemment, nous avons
utilisé les ordinateurs de bureau - généralement assez puissants pour pouvoir y installer
tous les outils de sécurité nécessaires, puis
les tablettes et Smartphones ont vu le jour ces appareils avaient de fortes restrictions
relatives aux actions des outils de sécurité
et la plupart d'entre eux avaient une petite
quantité de RAM et des processeurs faibles.
L'abaissement du coût des équipements numériques et leur miniaturisation ont provoqué l'apparition des gadgets électroniques,
voitures intelligentes, et ont développé l'intérêt des gens pour les maisons intelligentes.
De tels appareils sont trop petits pour y mettre des outils de protection, il ne reste donc
qu'à compter sur les compétences des utilisateurs et sur leur savoir-faire en matière de
configuration, ainsi qu'à espérer qu'il n'y ait
pas de vulnérabilités. Mais ces espoirs sont
utopiques. Dans un avenir assez proche, nous
devons nous attendre à la consolidation de
tous ces composants intelligents dans des
systèmes qui réunissent des structures inter
agissantes. Le défi du futur proche est la
création de systèmes de sécurité permettant
de contrôler la sécurité de l'univers des micro-ordinateurs inter agissants. Et à très long
terme, on peut prévoir l'apparition de bioordinateurs et de l'intelligence artificielle. Si
on voit dès aujourd’hui des systèmes hospitaliers et nucléaires piratés, on doit se rendre
compte du fait que les cybercriminels ne
s'arrêteront pas là, ils n'hésiteront pas devant
le piratage de l'intelligence artificielle. De
même, la virtualisation des systèmes a un
impact sur la sécurité. Mais l’accès à ces
systèmes vient toujours d’un objet physique
(ordinateur, mobile), donc les attaques sur
les supports physiques restent préoccupantes.
C’est bien le nombre de systèmes et objets
différents à protéger qui constitue le défi de
demain.
Par ailleurs, la complexité des attaques, de
plus en plus sophistiquées, reste également
un problème. L’antivirus reste un outil indispensable et cela ne se dément pas avec le
temps. Nous serons toujours obligés de détecter et d’éradiquer les menaces connues,
mais nous voyons clairement le ratio menaces connues versus menaces inconnues
augmenter. De plus, le facteur humain reste
également un impondérable.
À l'heure actuelle, le problème principal de
la sécurité antivirus réside, en effet, dans les
utilisateurs qui négligent les règles de sécurité, persuadés qu'ils sont assez sages et ne
seront jamais contaminés ou - le contraire ils pensent qu'un antivirus une fois installé
les protège contre toutes les menaces. Hélas,
ce n'est pas vrai.
C'est pourquoi nous investissons beaucoup
dans la R&D. D’un côté, nous continuons à
automatiser les processus de détection par
signature, et de l’autre, nous amplifions les
recherches sur la détection sans signature.
C’est le sens de nos recherches sur la sécurité
du système Android, et l’objet de notre
produit Dr.Web pour Katana, un antivirus
pour Windows sans signatures qui neutralise
notamment les Trojans de type « cryptolocker ». Les outils de protection des
systèmes de type Linux sont également une
priorité, car c'est ici que les menaces les plus
dangereuses apparaissent, et qui sont,
malheureusement, souvent sous-estimées
par les utilisateurs.
(antivirus en tant que service), nous offrons,
d’une part, de la flexibilité à nos utilisateurs
qui peuvent gérer eux-mêmes leur protection. D'autre part, les données obtenues par
ce biais nous permettent, ainsi qu’à nos
partenaires, de réagir immédiatement aux
nouvelles menaces, de stopper les épidémies,
mais aussi d'envoyer aux utilisateurs des
notifications urgentes.
Nous mettons beaucoup de ressources
sur l’innovation technique, toutefois
nous aurions également besoin de plus
d’informations concernant les groupes
cybercriminels, les créateurs de virus et ceux
qui les exploitent, leurs intentions et leurs
nnn
objectifs.
Solution phare.
Dr.Web Enterprise Security Suite
Contact.
Pierre CURIEN, Directeur France
Téléphone.
+33 (0)3 90 40 40 20
Courriel.
[email protected]
Web.
www.drweb.fr
Enfin, nous développons l'antivirus en tant
que service, ainsi que des projets éducatifs
comme, par exemple, « Lumières sur la
sécurité ». Avec le service Dr.Web AV-Desk
21
SÉCURITÉ INFORMATIQUE
PUBLI INFO
COMMENT MAXIMISER VOTRE
PROTECTION CONTRE LES MENACES
PERSISTANTES ET AUTRES APTS
Florian MALECKI,
International Product Marketing Director, Dell Security
Pour une protection efficace contre les menaces évoluées, les entreprises
ont besoin de solutions incluant un mécanisme de sandboxing multicouche,
comprenant des techniques de virtualisation et d’émulation complète de
systèmes, capables de détecter les techniques d’évasion évoluées - aujourd’hui et demain !
Une menace persistante avancée est un
ensemble de processus de piratage
informatique discrets et continus, souvent
orchestrés par des agresseurs visant une
entité spécifique. Ces menaces incluent
souvent des programmes malveillants
inconnus et non documentés, notamment
des menaces de type zero-day. Elles sont
conçues pour être évolutives, polymorphes
et dynamiques. Leur objectif est d’extraire ou
de compromettre des données stratégiques,
comme les informations d'identité, d’accès
et de contrôle. Même si ces types d’attaques
sont moins courants que les menaces
automatisées ou standardisées dont la cible
est plus vaste, les APTs représentent une
sérieuse menace.
Pour parvenir à mieux les détecter, les
professionnels de la sécurité déploient des
technologies de détection avancée des
menaces, incluant souvent des sandbox
virtuelles qui analysent le comportement des
fichiers suspects et repèrent des
programmes malveillants dissimulés, jusquelà inconnus. Les menaces sont toutefois de
plus en plus intelligentes, et les techniques
de sandboxing de nombreux éditeurs ne
parviennent pas toujours à s’adapter et
deviennent inefficaces.
Afin de protéger les entreprises face aux
dangers croissants de ces menaces, Dell
SonicWALL Capture Advanced Threat
Protection Service – un service cloud
proposé avec les pare-feux Dell SonicWALL
- détecte et bloque toute menace évoluée
au niveau de la passerelle jusqu’à ce que
l’analyse ait rendu son verdict.
Analyse multi-moteur des menaces
évoluées :
Dell SonicWALL Capture Service complète le
travail de protection du pare-feu en
détectant et prévenant les attaques zeroday. Le pare-feu inspecte le trafic, puis
22
détecte et bloque les intrusions et programmes malveillants connus. Les fichiers
suspects sont envoyés au service cloud
Dell SonicWALL Capture pour être analysés.
La plate-forme sandbox multi-moteur,
qui inclut le sandboxing virtualisé,
l’émulation complète du système et une
technologie d’analyse au niveau de
l’hyperviseur, exécute le code suspect et
analyse son comportement, offrant ainsi une
visibilité complète sur l’activité malveillante,
tout en permettant d’éviter les tactiques
d’évasion et en maximisant la détection des
menaces zero-day.
Analyse de nombreux types
de fichiers de toute taille :
Le service assure l’analyse de pratiquement
tous les types de fichiers, quelle que soit leur
taille, notamment les programmes
exécutables (PE), DLL, PDF, documents MS
Office, archives, JAR et APK, ainsi que de
divers systèmes d’exploitation, comme
Windows, Android et Mac OSX. Les
administrateurs peuvent personnaliser la
protection en sélectionnant ou excluant les
fichiers à envoyer dans le cloud pour
analyse, selon le type du fichier, sa taille,
l’expéditeur, le destinataire ou le protocole.
Ils peuvent aussi soumettre manuellement
des fichiers au service cloud.
Bloquer jusqu’au verdict :
Afin d’empêcher les fichiers potentiellement
malveillants de pénétrer sur le réseau, les
fichiers envoyés au service cloud pour y être
analysés peuvent être retenus à la passerelle
jusqu'à ce qu’un verdict soit rendu.
Déploiement rapide des signatures
correctives :
Lorsqu’un fichier est identifié comme étant
malveillant, une signature est immédiatement mise à la disposition des pare-feux
ayant un abonnement à Dell SonicWALL
Capture pour empêcher toute infiltration
plus poussée. Le malware est alors soumis à
l’équipe Dell SonicWALL d’analyse des
menaces pour y être analysé plus en
profondeur et intégré aux bibliothèques de
signatures de l’antivirus au niveau de la
passerelle et de l’IPS. Il sera, en outre, envoyé
sous 48 heures aux bases de données
d’URL, d’IP et de réputation de domaine.
Reporting et alertes :
Le service Dell SonicWALL Capture fournit
un tableau de bord concis de l’analyse des
menaces, ainsi que des rapports détaillant
les résultats d’analyse des fichiers envoyés
au service. Ils contiennent notamment des
données sur la session et des informations
sur le système d’exploitation, ainsi que sur
l’activité de ce dernier et du réseau. Les
alertes journal du pare-feu notifient l’envoi
de fichiers suspects au service Dell
SonicWALL Capture, avec le résultat de
l’analyse.
nnn
Solution phare.
Dell SonicWALL Capture Advanced
Threat Protection Service
Contact.
David HADDAD
Courriel.
[email protected]
Web.
www.sonicwall.com
PROTECTIONS ENDPOINT ET RÉSEAUX
PUBLI INFO
PROTECTION NEXT-GEN ET SÉCURITÉ
SYNCHRONISÉE POUR BLOQUER APT
ET RANSOMWARE
Michel LANASPEZE,
Head of Marketing – Western Europe, Sophos
La nouvelle génération de solutions de protection Endpoint Sophos dialogue
en temps réel avec les solutions de protection réseaux et de chiffrement
Sophos pour contrer automatiquement les menaces les plus avancées.
L’écosystème des solutions de sécurité se
transforme pour répondre principalement à
trois grandes forces de changement :
• L’évolution des menaces avancées, telles
que les ransomwares et les menaces ciblées,
complexes et à faible diffusion (APT)
• L’évolution des usages, avec en particulier
la mobilité
• L’évolution des technologies
Nous introduisons constamment de nouvelles
technologies de protection au sein de nos
solutions Endpoint. Nous nous sommes ainsi
inspirés de technologies mises en œuvre
dans nos solutions réseaux Next-Gen pour
bloquer les appels vers les centres de commande et contrôle des pirates. Ceci est très
utile contre les ransomwares, dont l’activation
repose sur ce type d’appel.
Face à ces changements, les éditeurs répondent
par l’introduction de nouvelles générations
de solutions et en renforçant la coopération
entre les différents niveaux de protection.
Nous avons récemment fait l’acquisition de
SurfRight, spécialiste de la protection Endpoint
Next-Gen avec son produit phare HitmanPro.
En détectant l’exploitation de vulnérabilités
d’une manière générique et très précise, SurfRight apporte une protection étendue contre
les menaces avancées, qui utilisent souvent
des vulnérabilités Zero Day. Cette acquisition
nous a déjà permis de lancer le nouvel
utilitaire de nettoyage Sophos Clean et fera
l’objet très prochainement d’une intégration
plus large au sein de notre solution de
protection Sophos Endpoint.
Le domaine de la protection des systèmes
Endpoint répond à ces changements d’abord
par l’émergence de nouvelles techniques
de protection Next-Gen, qui contribuent à
améliorer la protection contre les menaces
avancées.
Ensuite, la montée en puissance des mobiles
et des usages tels que le recours au Cloud
entraîne une convergence entre protection
Endpoint et protection des équipements et
des données mobiles.
Enfin, de nouvelles technologies de synchronisation de la sécurité entre réseaux et
Endpoint apparaissent, afin de bloquer les
menaces les plus complexes.
Dans ce contexte d’évolution accélérée, les
utilisateurs sont confrontés à la difficulté de
maîtriser cette complexité croissante avec
des ressources limitées, ce qui entraîne également de nouvelles réponses de la part
d’éditeurs tels que Sophos.
Sophos est également à la pointe de l’innovation dans la synchronisation de la sécurité,
qui permet de faire coopérer étroitement et
en temps réel les protections Endpoint et réseaux. Avec nos nouvelles solutions, le parefeu connaît en temps réel le système et l’utilisateur qui se trouvent derrière une adresse
IP et peut ouvrir automatiquement un dialogue
en temps réel avec le système potentiellement
compromis pour affiner l’analyse et si nécessaire lancer une remédiation sur le poste,
sans aucune intervention de l’administrateur.
système compromis, dès la détection d’une
infection. L’administrateur sécurité pourra
ainsi remédier au problème sans craindre la
fuite de données sensibles.
Pour répondre aux demandes de simplification
et de convergence d’un grand nombre de
nos clients en matière d’administration de
la sécurité, nous intégrons également l’ensemble de nos solutions au sein de la plateforme d’administration Sophos Central. Elle
permet déjà une administration simple et
complète des protections Endpoint et mobile.
Elle va s’étendre très rapidement au chiffrement et à toutes les composantes de la protection réseaux : pare-feu, Email, Web,
Wi-Fi... Notre but est de proposer une
sécurité à la fois modulaire et intégrée, pour
plus de simplicité et plus de protection grâce
à la synchronisation de la sécurité. Nous
aidons également ainsi nos partenaires à
proposer des services de sécurité administrés
nnn
complets à nos clients.
Solution phare.
Sophos Enduser Protection
Contact.
Michel LANASPEZE
Téléphone.
+33 (0)1 34 34 80 00
Courriel.
[email protected]
Web.
www.sophos.fr
C’est le début d’une approche très prometteuse
qui va s’étendre. Nous allons ainsi prochainement lancer une nouvelle version de notre
solution de chiffrement Sophos Safeguard,
qui bénéficiera de cette sécurité synchronisée.
Il sera alors possible de suspendre automatiquement les clés de chiffrement sur un
23
PROTECTIONS ENDPOINT ET RÉSEAUX
PUBLI INFO
SYNCHRONISER
LA SÉCURITÉ POUR BLOQUER
LES MENACES AVANCÉES
Michel LANASPEZE,
Head of Marketing – Western Europe, Sophos
La nouvelle génération de solutions de protection réseaux Sophos dialogue
en temps réel avec les solutions Sophos Endpoint pour contrer automatiquement les menaces les plus avancées.
GS Mag : De quelle manière allez-vous
faire évoluer votre gamme de solutions en ce sens ?
L’écosystème des solutions de sécurité se
transforme pour répondre principalement à
trois grandes forces de changement :
• L’évolution des menaces avancées, telles que
les ransomwares et les menaces ciblées,
complexes et à faible diffusion (APT) ;
• L’évolution des usages, avec en particulier
les nouvelles applications et la mobilité ;
• L’évolution des technologies.
Dans ses dernières générations de solutions,
Sophos a introduit une technique de
synchronisation de la sécurité qui permet de
faire coopérer étroitement et en temps réel
les protections réseaux et Endpoint.
Face à ces changements, les éditeurs répondent par l’introduction de nouvelles générations de solutions et en renforçant la coopération entre les différents niveaux de protection.
Dans le domaine de la protection des réseaux,
après la diffusion de nouvelles techniques de
pare-feu Next-Gen pour mieux combattre les
menaces APT et accompagner les nouveaux
usages, les éditeurs réalisent qu’il est de plus
en plus difficile de progresser sans se coordonner avec les autres niveaux de protection,
et en particulier la protection Endpoint.
Une première réponse consiste à corréler les
événements de sécurité à l’aide de systèmes
de type SIEM. Mais cette approche est réservée aux entreprises qui disposent d’experts
pour analyser les alertes et ne permet pas
d’automatiser la réponse aux attaques.
C’est pourquoi les éditeurs de solutions de
protection réseaux cherchent aujourd’hui à
mettre en place des dialogues et réponses
coordonnés entre solutions de protection
réseaux et Endpoint.
C’est une des voies d’évolution les plus
prometteuses en matière de protection.
24
Ordinairement, quand un pare-feu détecte
un comportement douteux sur un système, il
ne connaît que son adresse IP, et n’est donc
pas capable de déterminer précisément le
système, les processus et l’utilisateur en
cause. Cela limite la précision de son analyse
et laisse à la charge de l’administrateur le
travail d’enquête pour identifier le système
compromis et remédier au problème.
Avec les nouvelles solutions Sophos, le parefeu connaît en temps réel le système et l’utilisateur qui se trouvent derrière une adresse
IP, et peut ouvrir automatiquement un dialogue en temps réel avec le système potentiellement compromis pour affiner l’analyse
et si nécessaire lancer une remédiation sur
le poste lui-même, sans aucune intervention
de l’administrateur. Tous les événements
suspects, aussi bien sur les postes que sur le
réseau, sont corrélés en temps réel pour
identifier les menaces les plus discrètes, telles
que les APTs.
Par ailleurs, nous étendons constamment les
capacités de filtrage de nos solutions réseau,
pour assurer un contrôle granulaire des
nouvelles applications Web qui apparaissent
quotidiennement, et ceci au niveau des utilisateurs, afin d’assurer un contrôle de type
« Layer 8 » et pas juste basé sur les
ressources réseaux. Couplé avec les évolutions du contrôle d’accès réseaux, en particulier pour les mobiles, ceci permet de mettre
en place des politiques de sécurité basées
sur les utilisateurs.
Pour rendre ces technologies accessibles au
plus grand nombre, nous proposons ces technologies avancées non seulement dans nos
appliances pare-feu NextGen dédiées, destinées aux plus grandes entreprises, mais aussi
dans nos solutions UTM. Celles-ci réunissent
pare-feu Next-Gen, protection Email,
protection Web, pare-feu applicatif et accès
WiFi sécurisé dans un seul équipement, avec
une approche modulaire qui permet de
répondre aux besoins des établissements
cherchant à consolider des fonctions sur une
plate-forme évolutive.
Nous proposons la totalité des capacités
fonctionnelles de nos solutions sur l’ensemble
de notre gamme de boîtiers, ainsi que dans
des versions logicielles et virtuelles,
disponibles également à travers Amazon Web
Services et autres fournisseurs de cloud. Cette
flexibilité nous permet de répondre au mieux
à l’évolution des besoins et modèles de
déploiement dans les années à venir. nnn
Solution phare.
Sophos XG Firewall
Contact.
Michel LANASPEZE
Téléphone.
+33 (0)1 34 34 80 00
Courriel.
[email protected]
Web.
www.sophos.fr
SOLUTIONS ANTI-DDOS
PUBLI INFO
LA DISPONIBILITÉ DES DONNÉES,
NOUVEL ELDORADO
DES CYBERCRIMINELS ?
Fabrice CLERC,
C.E.O. de 6cure
Après la confidentialité et l’intégrité des informations, les cybercriminels
s’intéressent désormais à la disponibilité des données, offrant pour eux des perspectives de gains rapides et
faciles. Il faut donc s’appuyer sur des solutions garantissant cette disponibilité, en neutralisant ces nouveaux
types d’attaques.
Cet écosystème va nécessairement devoir
s’adapter à l’évolution fulgurante de celui
des attaques. Les attaquants progressent
tous les jours, leurs actions sont de plus en
plus ciblées, efficaces, et lucratives ; les
moyens dont ils disposent sont de plus en
plus importants et accessibles ; les
organisations cybercriminelles sont de plus
en plus structurées, professionnelles, et
s’appuient de manière croissante sur de
véritables experts. Et puis surtout, leur
logique a changé et leur permet des gains
plus rapides grâce à des actions plus
faciles à réaliser, auxquelles les dispositifs
de défense traditionnels ne sont pas
préparés. De ce point de vue, s’attaquer à
la disponibilité des données et des moyens
de communication s’avère une stratégie
intelligente, qui porte ses fruits.
Les solutions de sécurité de demain
devront donc évoluer très rapidement pour
s’adapter « en temps réel » aux
transformations constantes des menaces,
des infrastructures à protéger, et des
usages.
Elles permettront d’anticiper les attaques,
afin de mieux les neutraliser. Pour
l’utilisateur, elles devront être simples à
utiliser, lui offrir visibilité et contrôle sur
son environnement. Elles agiront de
manière interopérable et collaborative,
pour faire face notamment à des cybermalveillances multiformes, fonctionnant
sur le même mode. Par ailleurs, leurs
modes de déploiement seront variés, sur
site, dans le « Cloud », ou hybride, afin de
combiner au mieux les avantages de la
proximité et le recours possible à une
expertise extérieure.
Enfin et surtout, l’écosystème devra inclure
des solutions de protection adaptées
à cette nouvelle logique, de nature donc
à neutraliser les attaques portant atteinte
à la disponibilité des Systèmes d’Information, et à assurer ainsi la fluidité des
communications et l’acheminement des
flux de données.
Notre domaine d’activité est concerné au
premier chef, puisque les attaques DDoS
que nous neutralisons constituent la
principale menace pour la disponibilité des
données et des Systèmes d’Information. Le
principe de ces attaques n’est pas
nouveau. Ce qui l’est par contre, c’est
l’émergence régulière de nouvelles
attaques de ce type. Les DDoS ne sont plus
seulement volumétriques, ils deviennent
« intelligents », les attaques, quant à elles,
ne sont plus uniquement massives, mais
aussi discrètes, progressives, pulsantes,
amplifiées, lancées par rebond…
Dans ce domaine particulier de la Sécurité,
les solutions devront donc aussi évoluer en
permanence pour s’adapter au paysage
perpétuellement changeant des attaques,
être disponibles selon divers modes (« On
Premise » vs «SaaS »), voire « collaborer »
avec d’autres solutions de sécurité.
l’intégration avec des solutions complémentaires du marché. Nous nous orientons
vers des solutions plus faciles à mobiliser
et à mettre en œuvre rapidement, afin
d’offrir une protection efficace et à coût
maitrisé. Nous nous appuierons pour cela
sur des partenaires technologiques avec
lesquels nous construirons une offre de
service, disponible dans le Cloud. Enfin,
aujourd’hui, mieux se protéger implique
pour les organisations de se rapprocher de
leurs fournisseurs. Nous allons donc
favoriser cette proximité et mettre en place
une véritable stratégie de partage
d'informations entre les utilisateurs de nos
solutions et nos équipes R&D, ainsi
qu’entre les clients partenaires, membres
de cette « communauté d’utilisateurs ».
Cela facilitera une meilleure acuité sur
les attaques, pour une plus grande
nnn
réactivité.
Solution phare.
6cure Threat Protection
Contact.
Fabrice CLERC
Téléphone.
+33 (0)2 50 01 15 09
Courriel.
[email protected]
Web.
www.6cure.com
Nous allons continuer à faire évoluer nos
solutions pour élargir la couverture
fonctionnelle à la protection contre
de nouvelles stratégies d’attaque, et
poursuivre nos travaux en vue d’améliorer
encore l’ergonomie de nos solutions, la
visibilité qu’elles procurent aux utilisateurs,
25
IDENTITY ANALYTICS
PUBLI INFO
LA TRANSFORMATION NUMÉRIQUE
NOUS OBLIGE À REVOIR LE CONCEPT DE
SÉCURITÉ DU SYSTÈME D’INFORMATION
Cyril GOLLAIN,
CEO et Fondateur de BRAINWAVE
Dans un passé pas très lointain pour la majeure partie d’entre nous, le Système
d’Information se devait d’être protégé uniquement sur ses contours. Aujourd’hui,
le SI devient un organisme vivant étendu, collaboratif et ouvert aux employés
devenus mobiles, rejoints par les partenaires ‘business’, les ‘brokers’, les clients...
A cette évolution s’ajoutent la transformation numérique et le recours au Cloud, l’introduction du collaboratif et de
nouveaux usages, avec plus d’utilisateurs et encore plus de données. Le développement de l’IOT est prémonitoire d’une
transformation irréversible de la sécurité informatique. L’imperméabilité du SI et de ses accès a vécu…
A l’instar du système de défense du corps
humain, le Système d’Information doit être
protégé par le respect de règles d’hygiène
simples, avant d’envisager les remèdes de
cheval. Les brèches qui ont défrayé la chronique ces dernières années nous ont
beaucoup appris. Il en résulte que les bases
d’une auto-immunité du SI reposent sur la
capacité de monitorer en continu ce qui s’y
passe, en matière d’applications, de données, de privilèges d’accès, d’utilisateurs et
d’activité.
tendance que nous voyons se confirmer
chez nos clients.
Pour réaliser cette quadrature du cercle, il est
indispensable qu’un écosystème de solutions se forme autour de domaines
spécialisés, où prime l’excellence, et qu’elle
inter-opèrent de concert dans un GSOC
(Governance and Security Operation Center)
pour une efficacité maximale.
Nous avons fait évoluer notre plateforme de
nouvelle génération, Brainwave Identity GRC,
pour qu’elle soit parfaitement adaptée à ce
contexte et aux défis qui l’entourent. Elle s’articule autour de quatre principes : l’inventaire
des accès (qui a accès à quoi), l’automatisation des contrôles sur les accès (qui a accédé
à quoi), l’analyse des usages (qui a fait quoi)
et l’analyse des signaux faibles (analyse comportementale), permettant de détecter tout ce
que les autres dispositifs n’ont pas réussi à voir
en amont.
En outre, elle évalue et identifie les risques
potentiels par rapport aux droits, et caractérise et alerte sur les risques avérés, au travers
d’une analyse des processus de bout en
bout. Cette démarche s’inscrit dans un pilotage optimal de la gouvernance et de la
conformité.
Nous attendons cependant peu de modifications, mais des évolutions. La plus notable
est l’analytique et plus particulièrement la
corrélation et l’analyse des informations
concernant les utilisateurs, leurs responsabilités (au sens métier), comportements (au
travers des logs), droits fins (rôles et permissions) et informations, qui sont hétérogènes
et dispersées dans l’entreprise.
Nous pensons que l’ensemble des solutions
devront collaborer et partager ces données,
afin d’offrir une meilleure efficacité.
Notre domaine spécifique lié à la gouvernance, au contrôle continu, à l’analyse
préventive des risques et à la gestion de la
conformité, s’intègre dans un schéma global
de sécurité et de gouvernance. C’est une
26
Si les risques liés à l’identité n’ont pas foncièrement changé, ils se sont amplifiés par la
transformation numérique. On observe à la
fois une explosion des cyber-risques et des
risques de fraude interne.
Dorénavant, nous devons disposer d’analyses
plus détaillées et embrassant un plus large
spectre, allant jusqu’au niveau des processus
métier. Elles doivent être performantes en raison des volumes importants de données à
analyser.
faire évoluer votre gamme de solutions
en ce sens ?
Ne parlons pas au futur, pour Brainwave, le
travail a déjà commencé depuis trois ans.
Notre portefeuille de solutions est entièrement
fondé sur le concept « Identity Analytics ». Ce
concept a pour valeur, aux yeux des responsables de la sécurité, de l’audit, de la direction
générale et des métiers, de doter leur Système
d’Information d’une capacité à contrôler et
auditer en continu pour renforcer leur sécurité,
leur gouvernance et leur conformité afin d’établir la confiance dans l’ère numérique.
Au demeurant notre R&D s’investit sur 3
domaines prioritaires :
• Tout d’abord celui de l’intégration, au
niveau le plus fin, avec les applications
métier et progiciels de gestion comme SAP.
Cela nous permet de proposer d’étendre
l’analyse, la prévention et la remédiation des
risques au sein des processus métier complexes, reposant sur des applications
multiples.
• Ensuite le «machine learning», pour étendre
les capacités d’auto-apprentissage, corolaire
à l’analyse comportementale fine axée sur
les éventuels usages déviants du SI par les
utilisateurs.
• Enfin, une approche de restitution
des risques adaptée pour les décideurs,
s’appuyant sur une fonction de tableau
de bord personnalisable et dynamique,
ainsi que sur des capacités de « data
nnn
visualisation ».
Solution phare.
Brainwave Identity GRC
Contact.
Cyril GOLLAIN
Courriel.
[email protected]
Web.
www.brainwaveGRC.com/fr
IDENTITY GOVERNANCE AND ADMINISTRATION
PUBLI INFO
USERCUBE, UNE RÉVOLUTION POUR
L’ADMINISTRATION ET LA GOUVERNANCE
DES IDENTITÉS ET DES ACCÈS !
Christophe GRANGEON,
Directeur Général et cofondateur, USERCUBE
Alors que l’offre de cybersécurité ne cesse de s’étoffer, il est frappant de
constater à quel point elle est dissonante par rapport au niveau réel de maturité des clients. Le « back to basics »
de l’ANSSI n’a jamais été aussi vrai et, avant d’investir dans des outils pointus, il est urgent de commencer par
gérer correctement les utilisateurs du Système d’Information, les rôles métiers et les droits applicatifs.
Honnêtement, je suis très perplexe. Je
vends des produits SSI depuis longtemps
et, petit à petit, j’ai acquis la conviction un
peu gênante de participer à un vaste
cirque ambulant. D’une part, la cybersécurité fait la Une des médias, mais d’autre
part tous les vendeurs savent qu’il n’y a
rien de plus difficile à trouver qu’un budget pour un projet de sécurité. Quand vous
ajoutez à cela la richesse technologique
des produits qui ne sont utilisés qu’à une
fraction de leurs capacités et la carence de
compétences pour les mettre en œuvre,
vous comprenez que l’écosystème est
condamné à évoluer. De mon point de vue,
on va basculer d’un marché tiré par des
produits (stratégie de l’offre) vers un marché de services de sécurité managés ou
l’expertise est achetée à la demande sur
un catalogue normalisé (stratégie de la
demande). La bonne nouvelle est que
l’augmentation de la pression règlementaire rend le besoin visible de la Direction
Générale. En outre, en dépit des investissements consentis depuis quelques
années, le niveau réel de sécurisation des
Systèmes d’Information est plutôt faible. Il
y a donc un fort potentiel de marché.
Notre domaine d’activité est impacté
très favorablement par plusieurs facteurs
structurants :
• La réglementation ramène les clients
vers la gestion et la gouvernance des
accès au SI ;
• Les normes sont sectorielles et tirent
donc le besoin au-delà du cercle restreint
des grands groupes ;
• L’échec manifeste des projets de gestion
des identités selon le « syndrome des
trois 3 » (3 ans, 3 millions, 3 connecteurs) appelle à un changement radical
de modèle.
Cet échec s’explique par la divergence
d’intérêts entre les différents acteurs : en
amont, des consultants qui produisent des
cahiers des charges complexes et sans réel
rapport avec le besoin du client, puis des
éditeurs qui dans une stratégie de sur-promesse concluent la vente sur la base de
démonstrations époustouflantes ou de
leur position dans le « Magic Quadrant »
et, enfin, des intégrateurs dont le seul
objectif est de facturer ad vitam aeternam
une configuration ultra spécifique et non
maintenable. Au final, le client a payé très
cher une usine à gaz inutilisable qu’il va
s’empresser de « cacher sous le tapis ».
Le sujet IAM devient soudainement un
tabou alors que le besoin n’est toujours
pas couvert.
Ce modèle n’est plus acceptable en termes
de coûts et de délais, ce qui va induire une
recomposition drastique de la chaine de
valeur.
L’offre est disponible en mode « on
premise » et en mode « SaaS » avec un
hébergement en France et sur AZURE.
C’est la seule solution française nativement conçue pour le SaaS.
Par ailleurs, nous changeons drastiquement les règles du jeu en proposant une
mise en œuvre industrielle qui permet
d’enrichir continuellement le produit avec
notre savoir-faire.
Notre objectif est de continuer à abaisser
significativement le TCO des projets en
réduisant drastiquement la charge de travail coté client et en simplifiant la conduite
du changement. En proposant des services
orientés « métier » en SaaS, nous comptons
véritablement révolutionner les usages pour
toutes les problématiques qui concernent
nnn
l’identité numérique.
Solution phare.
Usercube Identity Governance
and Administration Suite
Contact.
Christophe GRANGEON
Courriel.
[email protected]
Web.
www.usercube.com
USERCUBE propose déjà une proposition
de valeur de rupture avec une réduction
des coûts et des délais d’un facteur 3 à 5
par rapport aux concurrents. Au-delà des
qualités purement techniques, les clients
plébiscitent la richesse fonctionnelle de
la plateforme Usercube qui permet de
couvrir tous les besoins IAM, IAG et Data
Governance avec un seul logiciel.
27
PROTECTION DE LA DONNÉE DANS LE CLOUD
PUBLI INFO
LA MÉTADONNÉE DE DEMAIN VUE PAR DIFENSO
Eric STEFANELLO, Président,
et René-Claude DAHAN, Directeur de la Recherche - Difenso
Difenso a pour objectif de sécuriser
et de mettre en conformité une
grande partie des données sensibles
hébergées dans les environnements
Cloud : depuis les données manipulées
par les applications Métier jusqu’aux
données intégrées dans les fichiers ou dans les e-mails.
Le premier critère clé est la qualification de la donnée, qui doit être
définie/évaluée par son géniteur ou par le régulateur, elle doit être « enrichie »
afin de devenir une Métadonnée « autonome » gérant son cycle de vie. Le
second réside dans la maîtrise de ses clés de chiffrement/déchiffrement par
son propriétaire.
L’expérience montre que, dans le combat du
glaive et du bouclier, les attaquants ont
toujours un coup d’avance. Rajouter comme
on le fait classiquement de multiples produits
de sécurité au sein des SI ne résoudra pas les
problèmes tant les failles de sécurité
potentielles sont nombreuses et pas toutes
connues. Face à ce constat d’échec, Difenso
prend le problème par l’autre bout en se
centrant sur la donnée en la protégeant ellemême. Dans le futur, on peut même imaginer
que la donnée sera « self-protected », voire
« auto-defensive », qu’elle pourra circuler
chiffrée sur Internet dans un simple flux http,
qu’elle sera capable d’identifier un assaillant
et de se donner les moyens de résister, voire
de contre-attaquer avec des fonctions de
défense « auto-adaptatives ». De plus, elle
embarquera des informations concernant
son propriétaire, son niveau de sensibilité, la
gestion de son cycle de vie qui lui permettra
ou non de se dévoiler aux seuls utilisateurs
autorisés et dont les habilitations sont au
« bon niveau ». Lorsque ce sera le cas, des
échanges tracés pourront être établis entre
la métadonnée et « son transporteur » ou
son « hébergeur ». Toutes les transactions
seront historisées et opposables aux tiers.
Les entreprises qui migrent vers des
applications SaaS se trouvent confrontées à
des défis de sécurité liés à l’externalisation
28
de leurs données et devant respecter le cadre
légal des régulateurs.
En effet, le modèle informatique du Cloud est
vulnérable à un ensemble d’attaques
spécifiques. Celles-ci ne sont pas
actuellement totalement traitées par les
technologies de sécurité existantes et l’on
constate généralement :
• Chiffrement systématique des bases de
données : la donnée est protégée quand
elle est stockée. La donnée n’est pas
protégée pendant son transfert ou sa
manipulation, son cycle de vie n’est
jamais traité.
• Gestion des clés de chiffrement : les
données chiffrées, ainsi que les clés de
chiffrement sont détenues par les
opérateurs SaaS ou leurs exploitants.
Je pense que nous sommes dans une
« rupture » fondamentale avec tout ce qui
se faisait jusqu’à présent et que la seule
manière d’investir à long terme sur la
protection de la « valeur » numérique, qui est
devenue incontournable, est de se concentrer
sur la donnée elle-même, un enjeu identifié
par le Gartner et qui va représenter 85% des
actifs numériques en 2020, nous y sommes
donc déjà…
faire évoluer votre gamme de
Difenso va poursuivre ses efforts visant à
sécuriser les données sensibles de ses clients
qui utilisent des services SaaS. Après
Microsoft Office 365 Outlook, Salesforce,
Oodrive et Gmail, nous allons multiplier
les solutions SaaS protégées. Le « Core
System » de Difenso repose sur une brique
cryptographique innovante, qui a une
capacité à agir en temps réel sur des grands
flux de données. Il permet entre autres de
gérer la délivrance de clés uniques aléatoires
et symétriques reposant sur un HSM certifié
par l’ANSSI. Il allie performance et sécurité
auto adaptative indépendante de toute
adhérence avec les services SaaS que nous
sécurisons. En outre, une étude relative à la
mise en œuvre d’un écosystème dédié
déployé en clusters sur au moins 3 plaques
mondiales a été initiée par notre bureau
d’études.
Solution phare.
Difenso Secure Portal
Contact.
Eric STEFANELLO
Téléphone.
+33 (0)6 69 48 79 05
Courriel.
[email protected]
Web.
www.difenso.com
SIEM ET LOG MANAGEMENT
PUBLI INFO
LOGPOINT, LE SIEM AU FUTUR
Frédéric SAULET,
Regional Director South EMEA, LogPoint
Avec le Big Data, le SIEM va devenir une plateforme plus large d'analyse de
données dans les prochaines années. Le marché de la sécurité va encore se
développer avec une demande importante pour les applications très sensibles
des systèmes ERP et SCADA. Pour y répondre, LogPoint s’est tourné vers les
technologies de « machine learning ». Objectifs : performance et simplicité.
Tout produit connecté, qu’il s’agisse de
matériel, de VM ou de logiciel, génère des
logs qui sont collectés et analysés pour
garantir la sécurité de l’information. Dans
les années qui viennent, nous devrons
disposer de capacités d’analyses de plus en
plus performantes en raison des importants
volumes de données du Big Data. Nous
sommes face à des millions de logs et de
données à gérer, avec la nécessité d’en
extraire la bonne information, les
conclusions et les actions utiles à la
sécurité. Le SIEM, l’expérience le montre,
est l’unique moyen automatisé de collecter
les données des logs générés par le réseau
et les outils de sécurité. Dans un
environnement qui évolue sans cesse, les
anomalies sont repérées en temps réel,
permettant aux équipes de sécurité de
réparer les incidents sur-le-champ, avec une
amélioration significative de prévention des
attaques. Si le SIEM détecte, par exemple,
un trafic anormalement important, une
tentative d’exfiltration est peut-être en
cours. L’alerte générée permet d’intervenir
immédiatement.
La sécurité est appelée à se banaliser, mais,
pour couvrir l’ensemble des besoins, il n’est
pas réaliste de croire au guichet unique
d’un seul grand fournisseur ! Les
entreprises veulent le meilleur produit de
chaque catégorie et les solutions proposées
doivent s'interconnecter et coexister. Nous
pensons également que l’externalisation
du management de la sécurité va se
développer ; ce service répond parfaitement aux besoins des entreprises. Pour
des raisons de coût et de rareté des
compétences, toutes ne disposent pas, en
effet, de l’expertise et des ressources pour
faire face aux problèmes essentiels : les
énormes volumes de données, leur
complexité et la maîtrise de leur intégrité
face aux attaques.
De manière générale, à l’avenir, les
solutions SIEM agiront en agrégeant
autant les informations internes qu’externes, comme les bases de données de
Threat intelligence ou de réputation, telles
que les Botnets, etc.
Très peu de solutions sont aujourd'hui
disponibles pour un contrôle proactif de la
sécurité. Il est très intéressant d’observer
que peu d'entreprises exploitent à 100%
le potentiel de leur SIEM en Europe. Sur le
terrain, nos partenaires jouent un rôle
capital. Ils ont acquis la confiance des
clients dont ils connaissent les besoins. Ils
peuvent ainsi faire évoluer la solution si
nécessaire.
Si l’on regarde nos marchés verticaux, les
ERP sont au cœur des attaques. Ils
rassemblent les applications critiques de
l’entreprise qui stockent les IP (Intellectual
Properties) et traitent les nombreuses
données financières si recherchées par les
pirates. Quant aux environnements
SCADA, ils sont en forte demande de SIEM
et de solutions de sécurité.
Notre plateforme est agile et ouverte aux
composants des infrastructures IT
environnantes. Nous pouvons même
coexister avec des concurrents, comme HP,
si le client le demande.
Nous investissons massivement dans les
technologies de « machine learning » pour
analyser « l'inconnu ». Les SIEM actuels sont
généralement basés sur des signatures. C’est
très efficace pour 80 à 90% des besoins du
marché. Mais, il reste l'inconnu. Pour les APT
par exemple, nous avons besoin d’une
technologie qui permette une surveillance et
une détection basées sur des algorithmes de
« machine learning ».
Nous pensons et travaillons pour la
performance. Les technologies de streaming
mises en œuvre par LogPoint s’amplifieront
encore en 2017. La simplicité d'utilisation et
de maintenance est bien sûr la clé de tout ;
dans ce domaine, nous avons très clairement
plusieurs longueurs d’avance.
Notre plateforme multi-tenant va encore
fortement se perfectionner - et ce, à court
terme. Nous concentrons en outre notre
attention sur nos marchés stratégiques, ceux
des entreprises dotées d’ERP sensibles,
comme SAP et Oracle Financials. Enfin,
LogPoint est au cœur du processus de
création d’un centre de R&D sur l’état de
l’art pour la Cybersécurité et le Data
Analytics en Europe, qui devrait être effectif
au cours du premier trimestre 2017... nnn
Solution phare.
LogPoint 5.5.2, certifiée EAL3+
La certification EAL3+ signifie que
le logiciel de LogPoint a été examiné,
vérifié et documenté d’après les
standards des Critères Communs
(www.commoncriteriaportal.org),
également dénommés ISO/IECIS 15408.
Contact.
Frédéric SAULET
Téléphone.
+33 (0)6 48 76 33 24
Courriel.
[email protected]
Web.
www.logpoint.com
29
CYBERSÉCURITÉ / DATA ANALYTICS
PUBLI INFO
LA PROMESSE DU « MACHINE LEARNING »
EN CYBERSECURITÉ N’EST PAS CELLE D’UNE
MEILLEURE AUTOMATISATION
Philippe SAADÉ, « Big Data Analytics » BU Manager,
ESI Group
Il est difficile de résister aujourd’hui aux chants de ces nouvelles sirènes qui
nous promettent l’avènement de la technologie qui rendra la détection des
attaques à la fois extrêmement puissante et parfaitement automatique.
Le « Machine Learning », sorte de Cyber Ecstasy, est cet ingrédient magique
qui permettrait à la machine, en toute situation, d’apprendre toute seule et de détecter la moindre anomalie tout
en ne générant quasiment aucun faux positif…
En dehors des discours marketing simplistes, la réalité qui se dessine dans l’univers de la Cybersécurité est plutôt
celle d’une mutation de l’expertise humaine, avec l’apparition du règne du Security Data Scientist.
La position dominante des SIEM est arrivée
à son terme et leur manque d’efficacité dans
un nombre grandissant de situations rend
inéluctable la transformation de l’écosystème
des solutions de sécurité. Plutôt que de
chercher la nouvelle forme de solution qui
dominera le marché, il est plus prudent de
concevoir qu’une multitude d’outils
provenant d’univers différents (Sécurité, Big
Data, Machine Learning, Analytics, etc.)
devront apprendre à collaborer efficacement
sous la conduite active d’une nouvelle
catégorie d’experts sécurité : les Security Data
Scientist.
L’augmentation rapide des types de sources
de données et d’informations dont il faut
désormais se soucier pour agir efficacement
contre le cyber-risque milite en ce sens. Pour
s’en convaincre, il suffit de rappeler qu’audelà d’une collecte exhaustive de toute la
variété de logs disponibles, les nouveaux
horizons se dessinent en direction du
traitement massif des Threat Intel, des
captures réseaux, des données de capteurs
ou du suivi avancé des utilisateurs à privilèges.
Dans ce contexte, il est difficile de croire qu’il
sera possible de produire, dans les quelques
années qui viennent, une solution intégrée
couvrant l’ensemble de ces sources de données
et leurs technologies dédiées. Par voie de
conséquence, la fonction de management de
cette diversité de solutions spécialisées sera
la clef de voûte d’une gouvernance efficace
en Cybersécurité. Sachant que le Machine
Learning va rapidement être au cœur de
toutes les technologies, on voit bien pourquoi
l’émergence des Security Data Scientists n’est
pas près de s’arrêter.
30
La maîtrise des concepts mathématiques et
scientifiques, aussi bien que la
compréhension de « l’état d’esprit » qui
convient à la manipulation des technologies
du Machine Learning sont des compétences
indispensables pour garder le contrôle sur
des outils qui chercheront toujours plus
d’autonomie.
L’activité de l’équipe INENDI d’ESI Group est
au cœur de ces mutations. Forts d’un bagage
scientifique et mathématique pointu, notre
expertise dans les champs du traitement, de
la visualisation et de l’investigation avancée
de gros volumes de données complexes nous
permet de bien comprendre les enjeux de
cette structuration de la gestion de la
Cybersécurité autour du Security Data
Scientist.
Ayant toujours placé l’humain au cœur de
nos solutions (comme cela peut se vérifier
avec notre outil d’investigation approfondie
INENDI Inspector), nous sommes plutôt
heureux de ces perspectives qui confirmeront
encore plus la pertinence de notre
positionnement.
À cet égard, il est intéressant de rappeler que
l’ANSSI fait régulièrement la promotion de
ce qu’elle appelle fort justement « l’art de
l’étonnement » et qui décrit si bien cette
composante essentielle de l’activité de
Cybersécurité et qui reste, à ce jour, l’apanage
de l’humain et son avantage sur la machine.
En 2015, après avoir fait évoluer très
significativement les capacités de nos
technologies afin de traiter plus rapidement
de plus gros volumes de données, nous
avons engagé en 2016 le travail d’intégration
de méthodes issues du Machine Learning.
Dans ce domaine, notre positionnement est
très précis : nous ne transformons pas les
atouts du Machine Learning pour en faire des
boîtes noires autonomes qui déconnectent
l’utilisateur de ses données. Au contraire,
nous les concevons comme autant d’outils
d’investigation complémentaires qui ont
vocation à rendre l’information cachée plus
visible, l’information complexe plus
intelligible et la démarche d’investigation des
signaux faibles inconnus plus naturelle et
nnn
moins laborieuse.
Solution phare.
INENDI Inspector
Contact.
Henri PAIS
Téléphone.
+33 (0)4 37 24 81 86
Courriel.
[email protected]
Web.
www.esi-inendi.com
CYBERSÉCURITÉ
PUBLI INFO
L’ÉVOLUTION
DES MENACES EN 2016 :
DÉCRYPTAGE ET CONSEILS
David BRILLANT, Senior Manager of Sales Engineering,
Forcepoint
Le rapport 2016 de Forcepoint explore les tendances des cybermenaces qui deviennent de plus en plus redoutables
tandis que les périmètres de sécurité traditionnels se dissolvent. Riche en conseils, il explique comment éviter de
devenir une menace interne par inadvertance et offre une étude de cas très concrète : celle de la société
Forcepoint elle-même dans le cadre d’une acquisition.
En l’espace d’un an, la nature des cyberattaques a profondément changé. Alors
que les logiciels malveillants s’efforcent
toujours à subtiliser furtivement des données, c'est l'autonomie de l'employé moderne qui pourrait bien représenter la
plus grande menace en matière de vol
d’informations. Les ransomwares font
l’affaire d’une nouvelle génération
d’acteurs qui délaisse la furtivité pour
mieux clamer qu'un pirate a chiffré vos
données et vous les échangera contre
une rançon. Le profit est immédiat. Face
aux innovations anti-malwares, les
pirates recyclent de vieilles méthodes :
ils s'appuient sur des fichiers MS® Office
chargés de macros, lesquels atterrissent
sur votre poste de travail. La migration
croissante vers le cloud est accompagnée
de nouveaux défis en matière de
sécurité. En parallèle, de nouveaux botnets mettent à l'épreuve la capacité du
secteur de la sécurité à détecter et à
intercepter les objectifs tant tactiques
que stratégiques de ses adversaires.
Ainsi, il est essentiel d'informer au plus
vite les décisionnaires du contexte
délicat qui entoure ces attaques, qu'elles
aient lieu dans le monde ou au seinmême de leurs réseaux, pour qu’une
majorité du temps et des ressources soit
affectée à la lutte contre les menaces les
plus graves. Fidèles à leur slogan
« Avancez sans crainte », les équipes de
Forcepoint Security Labs, Special
Investigations (SI) et Experts RSSI trient
et analysent la multitude d’informations
générées par les attaques du monde
entier, et identifient les menaces et les
innovations les plus importantes dans le
but de mieux vous guider.
Le rapport Forcepoint 2016 sur les
menaces constitue une analyse complète
des menaces informatiques modernes
présentant des risques significatifs pour
les aspects techniques, opérationnels et
financiers des entreprises touchées. Le
rapport est ponctué de conseils
prodigués par l'équipe de Forcepoint
Security Labs qui vous aideront à mieux
combattre les menaces évoquées.
un changement notable s'est opéré dans
la nature des attaques. La cybersécurité,
qui est bien souvent un domaine où
priment débats techniques, alertes et
problèmes informatiques, est en voie de
devenir une affaire de risques et de
conséquences de premier ordre pour les
cadres de direction, les élus politiques,
les autorités et les dirigeants du monde
nnn
entier.
De nos jours, le Web et la messagerie
électronique sont les canaux de
communication les plus utilisés, et ils
demeurent ainsi les vecteurs d'attaque
principaux des cybercriminels. En 2015,
il ne fait aucun doute que la messagerie
électronique a ainsi servi de point
d'entrée initial dans les entreprises pour
y mener des attaques ciblées à l'aide de
contenu malveillant, dissimulé dans des
documents Office et des fichiers
compressés. Forcepoint Security Labs a
découvert que, par rapport à 2014, le
nombre de courriels contenant des
logiciels malveillants a augmenté de 250 %.
Dridex 27 (une souche de logiciel
bancaire malveillant) ainsi que diverses
campagnes ransomware étaient en
grande partie responsables de cette
augmentation. Les logiciels et les liens
malveillants contenus dans un courriel
peuvent s'appuyer sur les vulnérabilités
d'un ordinateur pour l'infecter via
Internet, puis toucher le réseau tout
entier. En tant que vecteurs d'attaque, la
messagerie électronique et le Web
faisaient l'objet d'une convergence
importante en 2015.
Propos recueillis auprès de :
David Brillant, Forcepoint
Pour télécharger le rapport :
https://www.forcepoint.com
Solution phare.
Plate-forme de sécurité axée sur le
cloud
Contact.
Eric GALLICE
Téléphone.
+33 (0)1 70 92 37 37
Courriel.
[email protected]
Web.
www.forcepoint.com
Le rapport 2016 sur les menaces
confirme qu'au cours de l'année dernière
31
ÉDITEUR EN CYBERSÉCURITÉ
PUBLI INFO
REVEELIUM, L’INTELLIGENCE HUMAINE
À L’ÉCHELLE DE LA MACHINE
Jean-Nicolas PIOTROWSKI, PDG,
Fondateur d’ITrust
Reveelium est un outil d’analyse comportementale nouvelle génération
permettant d’analyser les signaux faibles et de mettre en évidence les anomalies
(malwares, virus inconnus, APT, comportements utilisateurs, extractions de
données, fraudes...) présentes dans les Systèmes d’Information.
Les solutions ont largement besoin d’évoluer afin d’intégrer de l’intelligence à leur
capacité de détection. Les virus et
attaques ont aujourd’hui pris le dessus
parce que les solutions actuelles fonctionnent sur un modèle de signature ou de
sandboxing obsolète.
Avec l’aide de l’analyse comportementale
et l’analytique Big Data, les opérateurs
pourront créer des profils de comportements normaux permettant ainsi de
détecter ceux qui sont suspects ou
déviants.
Aujourd’hui, toutes les entreprises de tous
les secteurs confondus ont pris conscience
de l’importance de la sécurité informatique au sein de leur entreprise, mais ne
mesurent pas encore le risque (financier,
image de marque…) que cela peut leur
porter.
Elles ont malheureusement l’impression
que les solutions actuelles ne détectent
plus les attaques. Elles découvrent qu’il
existe des technologies de rupture innovantes permettant de réduire le retard pris
sur les attaquants.
Nos experts et chercheurs travaillent sur
des algorithmes mathématiques ayant
pour but de déceler les traces de piratages
furtifs et sophistiqués. Ces traces sont visibles dans les données de la machine, mais
difficilement détectables parmi la grande
quantité de données. Les SIEMs ont les
informations, mais ne permettent pas de
remonter et détecter les menaces
modernes inconnues. Les IDS et systèmes
de sandboxing basés sur des modèles de
signature ou de capture réseau ne répondent plus à la problématique. Reveelium
analyse en temps réel les milliards de données du système et les journaux
d'événements. Il identifie les anomalies
dans le comportement du système et
détermine quels sont ceux qui sont susceptibles de constituer une menace de
sécurité.
Reveelium possède actuellement les meilleurs taux de détections sur le marché,
permettant de :
• réduire de 20 mois à quelques jours les
capacités de détection d’attaques,
• diviser par 500 le nombre d’alertes
générées quotidiennement et
• multiplier par 10 la productivité des
équipes de sécurité.
nnn
Solution phare.
Reveelium
Téléphone.
+33 (0)5 67 34 67 80
Courriel.
[email protected]
Web.
https://www.reveelium.com/fr
CYBERSECURITY AS A SERVICE
32

Mise en page 1 - Global Security Mag

Transcription

Documents pareils

Télécharger la fiche produit au format PDF

Séminaire CyberSécurité 2015

Le test d`intrusion une valeur ajoutée

livre blanc - Bitdefender

atemi ju-jitsu - Ecole Atemi jujitsu EAJJ

Judo/ JuJutsu

JEU CONCOURS (2 CPGE ECT Lycée Condorcet (Saint

03_14_Industrie Mag - Kerlink présente à Flottes Autos

Communiqu - La France Gaie et Lesbienne