Flux RSS
Securite
4762 documents trouvés, affichage des résultats 1 à 10.
| Les 10 documents suivants > |
(24/04/2014 17:14:39)
Heartbleed force les grands acteurs IT à s'allier autour d'OpenSSL
En réaction à Heartbleed, la faille d'OpenSSL qui vient d'affecter de très nombreux systèmes d'information et sites web dans le monde, 13 acteurs de l'informatique, dont Google, IBM, Microsoft, Intel, VMware et Facebook, soutiennent une démarche de la Fondation Linux visant à renforcer les projets Open Source considérés comme primordiaux pour l'industrie. Ils apportent à la fois leur soutien financier et leur expertise. La « Core Infrastructure Initiative » représentera un financement de plusieurs millions de dollars, indique la Fondation Linux sur son site.
« Nous étendons le travail que nous faisons déjà pour le noyau Linux à d'autres projets qui pourraient avoir besoin de support », explique notamment Jim Zemlin, directeur exécutif de la Fondation Linux, qui rappelle -si besoin était- que les systèmes d'information au niveau mondial reposent sur de nombreux projets Open Source.
OpenSSL au 1er rang des priorités
Comme on pouvait s'y attendre, OpenSSL est le projet qui figure en haut de ses priorités. La faille découverte au début du mois dans la bibliothèque de chiffrement, utilisée par des millions de sites web pour chiffrer leurs communications via SSL (Secure Sockets Layer) et TLS (Transport Layer Security), a plongé l'ensemble de l'industrie informatique dans l'urgence. Tous les fournisseurs ont l'un après l'autre publié des correctifs et continuent à travailler d'arrache-pied pour corriger ceux de leurs produits qui prêtent encore le flanc à la vulnérabilité. Si elle est exploitée, la faille permet à un attaquant de voler des données sensibles sur les systèmes affectés, tels que les identifiants des comptes et les mots de passe. En début de semaine, les 1 000 premiers sites web au niveau mondial avaient été patchés mais un certain nombre d'autres sites devaient encore appliquer des correctifs.
Les projets Open Source comme OpenSSL sont élaborés par des communautés de développeurs volontaires et les équipes qui travaillent à plein temps sur ces logiciels sont souvent réduites. C'était le cas avec OpenSSL. La Fondation Linux explique que la bibliothèque de chiffrement pourra recevoir des fonds pour que les développeurs clés et d'autres ressources puissent en améliorer la sécurité. AWS, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace et VMware ont déjà rejoint la Core Infrastructure Initiative.
(...)(24/04/2014 10:26:15)Le coût des actions anti-piratage de la BSA a crû de 30% en 2013
Le piratage, c'est mal. Et se faire prendre, ça fait mal. C'est là le double message qu'adresse régulièrement la BSA (Business Software Association), « The Software Alliance ». Ce syndicat d'éditeurs de logiciels réalise des campagnes de sensibilisation des entreprises et des particuliers mais veille aussi à défendre les intérêts de ses membres en justice. Les actions ayant abouti en 2013 ont permis au syndicat de récupérer auprès des entreprises fautives 1,3 million d'euros en licences et indemnisations diverses. Ce montant est en croissance de 30% par rapport à 2012 tandis que le nombre de litiges ne s'est accru que de 7%. La France représente 12% des montants récupérés en justice par la BSA en Europe.
Le record est détenu par une entreprise qui, à elle seule, a dû acquitter 371 000 euros. La BSA note que les plus gros montants redressés concernent les villes de Paris(*), Lyon et Bordeaux. Les secteurs les plus touchés par le piratage sont les cabinets d'ingénierie, ceux d'architecture et de design et enfin ceux du BTP et de la construction.
Bien que la BSA n'indique pas en détail les types de logiciels concernés, on peut remarquer que les entreprises visées sont celles qui utilisent des logiciels de dessin technique et de CAO. Les logiciels commerciaux de ce type sont très onéreux et les entreprises clientes plutôt petites. Celles-ci ignorent probablement l'existence de logiciels libres comme FreeCAD, LibreCAD, QCAD, SagCAD ou LignumCAD. Pour la bureautique, des logiciels et suites libres telles que Thunderbird (messagerie), GIMP (dessin et retouche photo) et LibreOffice ou OpenOffice (traitement de texte, tableur, présentation...), permettent également de s'affranchir de licences payantes pour un niveau de service comparable à leurs équivalents commerciaux (Microsoft Office, Adobe Photoshop...). Les entreprises piratant de tels logiciels commerciaux n'ont donc effectivement aucune excuse.
Notons enfin que la BSA lance régulièrement des appels à délation. Des entreprises se séparant d'employés dans des conditions jugées injustes par ceux-ci prennent donc des risques considérables si elles piratent des logiciels. Il en est de même si ne pas payer de logiciel permet de baisser ses prix face à des concurrents malheureux. La BSA n'indique pas le taux de redressements effectués après dénonciation.
(*) En revanche, sur l'ensemble de la région Ile-de-France, le taux d'utilisation de logiciels non conformes est de 34% contre 37% pour la moyenne nationale. (...)
Biométrie : Nec déverrouille les PC par reconnaissance faciale
Nec a lancé un système de sécurité biométrique utilisant la reconnaissance faciale pour déverrouiller les PC. NeoFace Monitor est présenté comme une alternative aux mots de passe qui peuvent être oubliés, volés ou devinés. Les utilisateurs doivent simplement fixer la webcam de leur PC pour le débloquer. Le système utilise la technologie de reconnaissance faciale que Nec développe depuis 20 ans environ. Elle s'appuie sur un logiciel qui utilise la webcam des ordinateurs pour vérifier l'identité de l'utilisateur en comparant les éléments du visage avec ceux de l'image stockée. « Nous avons travaillé sur cette technologie pour la police et nous voulons maintenant la proposer à nos clients en entreprise », a indiqué Naoko Ozeki, porte-parole de la société japonaise.
Nec assure avoir le moteur de reconnaissance faciale le plus précis en se référant à la dernière évaluation faite par l'Institut national des normes et de la technologie (NIST), connue sous le nom de « Multiple Biometric Grand Challenge ». Le taux d'erreur du fabricant, dans le cadre de ce test qui mesure la capacité de l'algorithme à comparer des images compressées d'images de visage, a été de 0,3%. Les taux obtenus par ses concurrents les plus proches étaient de 2,5% et 3%, souligne Nec.
Les pupilles, le bas du nez, les coins de la bouche
Lors d'une présentation à la presse aujourd'hui, au siège social de Nec, à Tokyo, les équipes du groupe japonais ont effectué plusieurs démonstrations avec des ordinateurs portables équipés de webcams. Le système a reconnu leur visage en une demi-seconde environ et leur a permis d'accéder à leur PC. Dès qu'ils quittaient leur poste, l'ordinateur se verrouillait automatiquement.
NeoFace Monitor utilise des algorithmes de traitement d'image pour suivre les traits du visage tels que les pupilles, la partie inférieure du nez et les coins de la bouche. NEC n'a pas voulu révéler le nombre exact de points examinés sur le visage. Le programme peut reconnaître une personne même si elle n'est pas directement face à la caméra, si elle s'est fait pousser la barbe ou si elle porte des lunettes. En revanche, les masques chirurgicaux que de nombreux Japonais portent pour se protéger du pollen et des germes dans l'air ambiant doivent être enlevés pour que celui qui les porte puisse être identifié. Bien que les images du visage soient stockées sur un serveur, le système peut également travailler hors connexion en utilisant le cache d'un PC.
NeoFace Monitor fonctionne sur Windows 7 et 8 et peut être utilisé avec la solution d'annuaire Active Directory de Microsoft pour gérer les utilisateurs. NEC envisage d'ajouter le support pour Android ainsi que des smartphones dans le futur.
(...)(22/04/2014 16:49:46)Un malware vole les identifiants Apple sur les terminaux iOS jailbreakés
Un malware d'origine encore inconnue infecte les iPhone et iPad jailbreakés pour dérober les identifiants du compte à partir du trafic SSL chiffré. La menace a été découverte après que certains utilisateurs ont rapporté au site communautaire Reddit le plantage de certaines applications causé par un add-on à MobileSubstrate appelé Unflod. MobileSubstrate, désormais dénommé Cydia Substrate, est un framework pour terminaux jailbraikés qui permet aux développeurs d'élaborer des modifications pour iOS. Ce substrat permet d'étendre le comportement d'iOS dans des directions interdites par Apple, en utilisant autrement certaines fonctions systèmes, de façon quelquefois dangereuse, rappelle dans un billet Paul Ducklin, responsable Asie-Pacifique du fournisseur d'antivirus Sophos.
Ce nouveau malware visant iOS est parfois appelé Unflod, parfois Baby Panda. Il semble que quelqu'un ait créé une bibliothèque dynamique pour Cydia Substrate qui intercepte la fonction SSLWrite d'iOS pour lire les données avant qu'elles ne soient chiffrées et envoyées sur une connexion SSL sécurisée. La bibliothèque malveillante est dénommée Unflod.dylib, mais des instances portant le nom framework.dylib ont également été trouvées. Des chercheurs de la société de conseil en sécurité SektionEins, basée en Allemagne, indiquent que le choix du nom a peut-être quelque chose à voir avec l'existence d'une véritable modification appelée Unfold. Dès lors, il s'agirait de faire en sorte que le nom n'apparaisse pas clairement.
Peut-être une connexion chinoise
Après avoir intercepté la fonction SSLWrite, le malware surveille le trafic pour détecter des demandes d'authentification vers les services d'Apple. Il extrait alors les identifiants Apple et les mots de passe des données et les envoie vers une adresse IP. Il n'a pas été clairement établi de quelle façon la bibliothèque Unflod.dylib s'installait sur les terminaux jailbreakés, mais les utilisateurs et les chercheurs en sécurité ont émis l'hypothèse que des packages venant de référentiels non officiels soient à la source de l'infection. Certains indices pointent aussi vers une connexion chinoise, la bibliothèque étant signée numériquement avec le certificat légitime de développeur délivré par Apple en février à une personne du nom de Wang Xin. Il peut s'agir d'une fausse identité, soulignent les chercheurs de SektionEins, mais Apple devrait pouvoir enquêter à partir de cette information et fermer ce compte développeur. Quoiqu'il en soit, que le certificat soit valide ou pas importe peu parce que le code malveillant n'a pas besoin de signature numérique pour fonctionner sur les terminaux jailbreakés.
Pour l'instant, la communauté jailbreak pense qu'il suffit de supprimer le code binaire d'Unflod.dylib/framework.dylib et de changer les mots de passe et identifiants Apple pour parer à l'attaque. Toutefois, comme on ne sait toujours pas comment la bibliothèque arrive sur les terminaux et si elle transporte d'autres malwares, le seul moyen sûr de s'en débarrasser est d'effectuer une restauration complète, ce qui signifie la suppression et la perte du jealbreak, indiquent les chercheurs.
(...)(22/04/2014 12:28:43)Heartbleed : la plupart des sites ont corrigé la faille, mais pas tous
Selon l'entreprise de sécurité californienne Sucuri Security, les 1000 sites en tête de l'Internet au niveau mondial ont été patchés pour protéger leurs serveurs contre la vulnérabilité Heartbleed. Mais à la fin de la semaine dernière, encore 2 % sur le premier million restaient vulnérables. Jeudi, l'entreprise de sécurité basée à Menifee a scanné le premier million de sites classés par Alexa Internet, une filiale d'Amazon qui recueille des données sur le trafic web. « Sur les 1000 sites classés en tête par Alexa, tous étaient protégés ou avaient été corrigés avec les dernières bibliothèques OpenSSL », a confirmé dimanche par courriel le CTO de Sucuri, Daniel Cid.
Une faille qui affecte OpenSSL
Heartbleed est le nom donné à la faille découverte dans la bibliothèque Open Source OpenSSL début avril par un ingénieur en sécurité de Google, Neel Mehta, et par des chercheurs de l'entreprise de sécurité Codenomicon. Cette bibliothèque est à la base des chiffrements SSL (Secure Sockets Layer) ou TLS (Transport Security Layer) qui servent à sécuriser les échanges sur Internet. Cette vulnérabilité, affecte le protocole OpenSSL depuis fin 2011. Un très grand nombre de sites web utilisent OpenSSL et beaucoup comptent sur le protocole pour chiffrer le trafic entre leurs serveurs et les clients. Du fait de la nature très furtive de cette faille, les experts en sécurité ont estimé que des cybercriminels ont pu voler, ou pourraient subtiliser des identifiants, des mots de passe et même les clés de chiffrement utilisées par les serveurs des sites.
Le 7 avril, le projet OpenSSL a livré un correctif pour patcher ce bug, et nombre de services informatiques se sont précipités pour corriger le logiciel sur les serveurs et dans certains systèmes d'exploitation client. « Le 17 avril, une grande majorité des serveurs exposés avait été corrigés », avait déclaré Sucuri Security dans un billet de blog ce jour-là. Mais, si la totalité des 1000 premiers sites classés par Alexa étaient à l'abri, Sucuri a trouvé de plus en plus de sites exposés au fur et à mesure qu'elle élargissait son balayage. Ainsi sur les 10 000 premiers sites, 0,53 % étaient vulnérables, sur les 100 000 premiers, le taux passe à 1,5 %, et sur le premier million, Sucuri arrive à 2 % de sites vulnérables.
Mise à jour des certificats SSL et clefs de chiffrement
D'autres entreprises de sécurité ayant effectué des scans arrivent aux mêmes résultats. Vendredi, Websense, une entreprise basée à San Diego, a déclaré que 1,6 % des 50 000 meilleurs sites classés par Alexa étaient encore vulnérables à la faille Heartbleed. Les experts en sécurité estiment que, dans la mesure où les clés de chiffrement de certains sites ont probablement été compromises, les propriétaires de sites web doivent impérativement renouveler leurs certificats SSL et leurs clefs de chiffrement, et ils conseillent aux internautes de se méfier des sites qui ne sont pas à jour.
« Sucuri n'a pas vérifié si les certificats des sites étaient à jour », a déclaré son CTO. Mais l'entreprise procèdera sans doute à un autre scan au cours de la semaine. « Je crains que, sur la mise à jour des certificats, les résultats soient beaucoup moins bons », a déclaré David Cid. On trouve sur le web plusieurs outils permettant de détecter les sites vulnérables à la faille Heartbleed, comme celui que fournit l'entreprise de sécurité Qualys. Selon l'outil de Qualys, lundi, un site de vente de vêtements en ligne classé au 49 000 rang par Alexa, était toujours vulnérable.
(...)(22/04/2014 10:40:03)Gestion de crise ou reprise d'activité, la dimension humaine est primordiale
Le Clusif (Club de la Sécurité des Systèmes d'Information Français) et le CCA (Club de la Continuité d'Activité) se sont récemment associés pour organisé un événement, le 10 avril 2014, consacré aux plans de gestion de crise (PGC), de reprise d'activité (PRA) ou de continuité d'activité (PCA). Lors de cette manifestation, six intervenants ont partagé leurs expertises et retours d'expérience : Lazaro Pejsachowicz (Clusif), Nicolas de Thoré (CCA), Stéphanie Ruelle (CCA), Thierry Autret (Groupement des Cartes Bancaires), François Tête (Devoteam), Vazrik Minassian (Adenium) et, en animateur de la table ronde, Jean-Marc Gremy (Clusif).
Prenant appui sur un exemple datant du 11 septembre 2001, Lazaro Pejsachowicz a d'abord insisté sur la dimension humaine des PRA, PGC et PCA. En l'occurrence, les employés d'une entreprise située dans le World Trade Center de New-York n'ont pas été touchés par l'attentat ayant détruit la tour avant leur arrivée. Mais le PRA reposait sur un site peu distant, une autre tour. Les premiers redémarrages de systèmes ont pu avoir lieu sur ce site de repli dans les trois jours comme prévu. Mais devoir travailler dans une autre tour juste après l'attentat a déclenché une psychose parmi les collaborateurs. L'emploi d'une cellule psychologique, seule, a permis un vrai redémarrage de l'entreprise.
Les risques doivent être gérés de façon transverse
De façon générale, le déclenchement puis le suivi des plans va être le fait d'hommes et de femmes en situation de stress réagissant en fonction d'un vécu antérieur, éventuellement traumatique. L'une des grandes difficultés est l'aveu ou le déni d'incompétence. Refuser de s'avouer dépassé par une situation problématique, et donc refuser de lancer la procédure de secours adéquate, peut aboutir à une vraie crise à partir d'un simple incident.
PRA, PGC et PCA ont chacun leur rôle dans la continuité d'exploitation. Mais chacun doit prévoir toutes les dimensions nécessaires : organisationnelles (qui décide le déclenchement ?), technologiques, logistiques, humaines... Les risques doivent être gérés globalement et de façon transverse. Cela nécessite que les utilisateurs soient impliqués dans la gestion d'incident.
Que ce soit pour réussir cette implication ou simplement vérifier le bon fonctionnement des procédures, la réalisation d'exercices réguliers est indispensable. (...)
Tor bloque certains relais à cause de la faille Heartbleed
Tor Project a identifié 380 relais vulnérables à la faille critique Heartbleed et a bloqué leur accès au réseau d'anonymisation, réduisant ses capacités d'entrée et de sortie. Roger Dingledine, chef de file du projet Tor, a modifié l'autorité d'annuaire de Tor, un serveur qui gère la liste des noeuds dont il a la responsabilité. D'autres opérateurs de l'autorité d'annuaire devraient faire de même.
Les 380 noeuds indésirables sont habituellement considérés comme des relais de confiance. Ils agissent comme des gardes pour contrôler l'entrée et la sortie des relais. « Ce blocage a entraîné une réduction immédiate de la capacité du réseau de 12 % », a déclaré mercredi Roger Dingledine dans un courriel adressé à la liste de diffusion des relais Tor. De façon générale, la circulation du trafic à travers le réseau Tor se fait en trois étapes : il entre d'abord par un relais de garde, puis traverse un relais de sortie, avant d'être retourné vers Internet pour atteindre sa destination.
De nombreux relais sont gérés par des bénévoles
Cette réduction de 12 % ne semble pas très élevée, mais les noeuds de garde et de sortie jouent un rôle important sur le réseau et ne sont pas faciles à remplacer. De nombreux relais sont gérés par des bénévoles. Ils doivent être sûrs et doivent disposer d'une bande passante suffisante pour prendre en charge le trafic de plusieurs clients. « Pendant un moment, je pensais qu'il suffirait de les marquer comme invalides au lieu de les rejeter purement et simplement, mais de cette manière, ils auraient eu des avertissements dans leurs logs », a indiqué le chef de file du projet. L'interdiction pourrait être permanente. En effet, Roger Dingledine a déclaré qu'il n'autoriserait pas le retour de ces relais sur le réseau Tor, même s'ils ont mis à jour leurs versions d'OpenSSL parce que leurs opérateurs ont omis de corriger la faille dans un délai suffisant.
La vulnérabilité Heartbleed, découverte le 7 avril, affecte les versions 1.0.1 à 1.0.1f de la bibliothèque OpenSSL sur laquelle repose le protocole de communication chiffré TLS (Transport Layer Security) utilisé par de nombreux systèmes d'exploitation, serveurs web, navigateurs Internet, applications desktop et mobiles pour sécuriser les communications sur le Web. La faille permet aux pirates d'extraire des informations de la mémoire d'une application client ou serveur qui utilise l'OpenSSL pour ses communications TLS.
1000 autres relais également vulnérables
Les clients et les relais Tor sont potentiellement vulnérables si la bibliothèque OpenSSL n'est pas mise à jour sur le système d'exploitation sous-jacent. « Les relais et les ponts Tor ont peut-être été modifiés pour livrer leurs clefs Onion à moyen terme (elles changent toutes les semaines), ou les clés d'identification de relais à long terme », a écrit Roger Dingledine dans un billet de blog la semaine dernière après l'annonce de la faille Heartbleed. « Un attaquant qui s'emparerait de la clé d'identification du relais et de la clé Onion pourrait intercepter les flux du trafic au niveau de votre adresse IP et prendre la place de votre relais (même si, en raison de sa conception, l'attaque d'un relais Tor sur le trajet du client n'est pas très efficace) », explique-t-il en ajoutant « dans tous les cas, la meilleure chose à faire est de mettre à jour votre pack OpenSSL, de jeter tous les fichiers keys/ dans le DataDirectory, et de redémarrer Tor pour générer de nouvelles clés ».
Par ailleurs, en plus des 380 relais de gardes et de sortie interdits, 1000 autres relais également vulnérables devraient être bientôt ajoutés à la liste.
(...)(18/04/2014 14:10:15)Une start-up israélienne teste un système de détection des attaques Stuxnet
L'attaque informatique furtive des installations nucléaires iraniennes en 2010 par le malware Stuxnet a permis de réaliser que les systèmes industriels critiques étaient vulnérables aux cyberattaques. Aujourd'hui, une start-up israélienne aidée par General Electric (GE) teste une technologie de sécurité qui permettrait de détecter des attaques similaires à celles du ver Stuxnet sur les systèmes d'infrastructures critiques dans le secteur de l'énergie.
Le système utilise les algorithmes inventés par deux professeurs d'université, Amir Averbuch de l'Université de Tel-Aviv, et Ronald Coifman de Yale. Leurs formules mathématiques permettraient de détecter les logiciels malveillants furtifs ciblant les systèmes industriels et d'aider à la surveillance des réseaux. L'an dernier, les deux universitaires ont créé avec le CEO Mark Gazit, une start-up nommée ThetaRay basée à Tel-Aviv pour développer une technologie serveur spécialisée dans la surveillance des installations de production d'électricité, les systèmes industriels SCADA et autres infrastructures critiques. La technologie, qui devrait être au point début septembre, pourrait également être appliquée à d'autres secteurs, comme les services financiers.
Détecter l'amorçage d'une attaque
« L'appliance de sécurité de ThetaRay, déployée sur site, examine les données opérationnelles des systèmes industriels - les contrôles SCADA par exemple - et les compare simultanément avec les données du trafic sur le réseau et les paramètres de sécurité, comme ceux des pare-feu », a expliqué Mark Gazit. L'appliance confronte des centaines de paramètres concernant le fonctionnement des systèmes opérationnels et des réseaux, et crée une sorte d'image « hyperdimensionnelle du comportement normal » afin de repérer les anomalies qui pourraient révéler une attaque. L'appareil de ThetaRay analyse lui-même le contexte pour déterminer s'il y a ou non des anomalies, par exemple la baisse ou la hausse soudaine des données sous surveillance pourrait indiquer une cyber attaque en cours. Le système ne peut pas bloquer l'attaque, mais il peut en détecter l'amorçage.
De fausses bases de donnnées
Le ver Stuxnet, très sophistiqué et complexe, aurait été mis au point par les services de renseignement américain et israélien pour perturber le travail des centrifugeuses dans une installation nucléaire iranienne soupçonnée de développer une arme nucléaire. Pendant longtemps, le ver a réussi à passer inaperçu : il interférait avec les automates programmables et créait de fausses données qui n'éveillaient pas les soupçons. Stuxnet a la réputation d'être une arme informatique dangereuse, incontrôlable, aux conséquences inconnues. Et depuis que le ver a été démasqué, toutes les installations de production d'énergie à travers le monde sont en état d'alerte.
ThetaRay affirme que sa solution est capable de détecter ce type d'attaques dans les systèmes industriels. Elle est actuellement testée dans une centrale électrique de l'état de New York. ThetaRay a reçu l'appui financier de plusieurs partenaires, dont Jerusalem Venture Partners et General Electric. Mais la start-up n'a pas dévoilé le montant de ces contributions, ni expliqué comment le GE comptait déployer sa technologie de surveillance. Les systèmes de sécurité de ThetaRay seront disponibles partout à partir de l'automne. Leur tarif sera de l'ordre de « plusieurs centaines de milliers de dollars », a déclaré le CEO.
(...)(18/04/2014 07:42:23)Sécurité, les menaces externes priment encore sur les internes selon une étude
Alors que l'erreur humaine est la plus grosse source de risques pour le système d'information selon 51% des responsables interrogés, elle n'est prioritaire que dans 13% des budgets de la sécurité informatique. Cette dichotomie entre la gravité des risques et l'affectation des budgets est le centre d'une récente étude publiée par l'éditeur BalaBit IT Security à l'occasion du Gartner Identity & Access Management Summit 2014.
Les menaces à auteurs externes sont ainsi jugées comme les menaces principales par 18% des répondants à l'étude mais sont prioritaires dans 30% des budgets sécurité. Enfin, les menaces à auteurs internes sont prioritaires pour 15% et drainent 13% des priorités budgétaires.
Les risques liés à l'infrastructure sont également sur-représentés dans les priorités budgétaires par rapport aux risques prioritaires : les dysfonctionnements du système sont prioritaires du point de vue des menaces dans 9% des cas mais du point de vue des budget dans 28% des cas. Les attaques automatiques sont jugées comme des menaces prioritaires dans 7% des cas mais comme des budgets prioritaires dans 17%.
Concernant le cas particulier des « utilisateurs à privilèges », les plus susceptibles de commettre des erreurs ou des fautes à fortes conséquences, 83% des répondants ont admis que ces utilisateurs bénéficiaient d'une réduction des mesures de sécurité. Cette réduction serait obligatoire dans de nombreux cas, les solutions de sécurité étant souvent insuffisamment flexibles pour s'adapter aux besoins ponctuels.
La gestion des risques sera l'objet de la prochaine conférence stratégique CIO le 20 mai 2014. En amont de cette conférence, CIO réalise une enquête sur la gestion des risques.
(...)
L'affaire Snowden a changé la perception de la sécurité dans le cloud
Les révélations d'Edward Snowden sur l'espionnage aiguë de la NSA ont finalement causé beaucoup de tort au développement du cloud computing. Selon une étude réalisée par NTT Communications, beaucoup de DSI accordent aujourd'hui une attention toute particulière à la localisation de leurs données stockées dans le cloud. Dans son panel de 1 000 décideurs IT interrogés au Royaume-Uni, aux États-Unis, à Hong Kong, en France et en Allemagne, NTT Communications a constaté que neuf DSI sur dix indiquent que l'affaire Snowden a eu un certain impact sur leur approche du cloud.
La moitié des personnes interrogées déclarent qu'elles accordent une plus grande attention à l'endroit où les données sont stockées, et un peu plus de la moitié ont décidé de reporter des projets cloud pour verrouiller ce point précis. Environ 35% du panel indiquent avoir changé de fournisseurs de services cloud et 62% affirment avoir cessé de transférer leurs solutions IT dans le cloud.
Une méfiance devenue naturelle
Donc si l'affaire Snowden a bien affecté le comportement des décideurs IT, il reste encore difficile de comprendre si une partie de cette méfiance n'est pas tout simplement naturelle depuis que les informaticiens se sont familiarisés avec les risques inévitablement liés aux fournisseurs de services cloud.
Par exemple, 97% des répondants ont dit qu'ils préféraient stocker leurs données dans leur propre région, un point particulièrement important pour les entreprises de l'Union Européenne. Mais ce point correspond également à des questions de souveraineté et de conformité; même sans l'affaire Snowden, la conservation de données sensibles - comme dans les banques et les services publiques - est assujettie à une législation précise et les pratiques de la NSA ont simplement mis en avant la nécessité de renforcer les procédures de sécurité. Le point de vue de certains fournisseurs de services cloud est que le chiffrement suffit pour renforcer la sécurité des données, mais ce n'est pas toujours facile à mettre en oeuvre. Il est également coûteux et s'accompagne souvent d'une baisse des performances.
Une chance pour les acteurs européens
« Les décideurs IT n'ont pas tardé à tirer des leçons de la crise actuelle et commencent à scruter d'un autre oeil leurs fournisseurs. Des fournisseurs qui peuvent parfaitement s'accommoder d'exigences accrues en matière d'intégrité des données, de gouvernance et de sécurité pour retrouver le sourire dans le monde de l'après-Snowden », notent les auteurs de NTT Communications.
Si les révélations d'Edward Snowden ont amené beaucoup de questions sur la table et enterré quelques certitudes sur la sécurité des réseaux et, donc, du cloud, ce sera peut-être encore au final très bénéfique pour l'industrie IT. Certaines entreprises européennes pourraient tirer leur épingle du jeu au détriment de sociétés américaines pourtant archidominantes sur le marché du cloud. Dans tous les cas, un examen encore plus minutieux des conditions d'exploitation et de réversibilité est devenu incontournable.
| Les 10 documents suivants > |
