Flux RSS
Biométrie
58 documents trouvés, affichage des résultats 11 à 20.
| < Les 10 documents précédents | Les 10 documents suivants > |
(09/06/2011 11:34:54)
Le marché mondial des logiciels de sécurité a crû de 12% en 2010, selon Gartner
Les ventes de logiciels de sécurité dans le monde ont généré 16,5 milliards de dollars de chiffre d'affaires en 2010, soit une croissance de 12% comparé à l'année précédente, selon le cabinet d'études Gartner. Ces chiffres traduisent un rebond du marché dont la progression était restée limitée à 8% en 2009 après avoir atteint 18,6% en 2008.
Ce retour à une croissance forte l'an dernier fait néanmoins apparaître des différences de maturité entre les catégories de logiciels de sécurité. En effet, les ventes de logiciels de protection des postes de travail et de gestion des accès web n'ont enregistré qu'une hausse à un chiffre. Dans le même temps, les solutions de SIEM (security information and event management, analyse en temps réel des connexions et alertes de sécurité générées par les équipements réseaux et les applications) enregistraient de leur côté une progression à deux chiffres. De même que le segment des passerelles web.
Le n°1 Symantec enregistre une faible croissance
Dans le classement des éditeurs de logiciels de sécurité, Symantec reste toujours, et de loin, le numéro un avec une part de marché de 18,9%. Le fournisseur n'a toutefois enregistré qu'une hausse de 5,8% de ses ventes, un résultat inférieur à la croissance moyenne du marché. Plus dynamique, avec des revenus en hausse de 7,3%, McAfee s'affiche en numéro deux du secteur avec une part de marché de 10,4%. On notera également les bons résultats d'EMC, en cinquième position, qui a vu son chiffre d'affaires croître de 25,6% pour une part de marché de 3,8%. De leur côté, Trend Micro et IBM occupent respectivement la troisième et la quatrième place du classement mondial des éditeurs de logiciels de sécurité établi par Gartner.
Illustration : Le marché mondial des logiciels de sécurité en 2010 selon Gartner (...)
Le Syntec Numérique se penche sur la sécurité du cloud
Psychologique ou réelle, la peur sur la sécurité du cloud effraye les responsables et reste le premier obstacle à son adoption. Conscient de ce problème, le Syntec Numérique, après un premier livre blanc, vient de se pencher sur ce sujet crucial en essayant d'y apporter des réponses. Le fascicule recense tout d'abord l'ensemble des problématiques sécuritaires associées au cloud computing. On peut citer ainsi, quels types d'informations sont accessibles dans le cloud ? Qui peut y accéder et comment sont-elle isolées ? Qui dispose de droit pour envoyer et recevoir des données sensibles ? Le livre blanc répertorie ainsi 9 risques : la perte de maîtrise, des déficiences au niveau des interfaces et des APIs, la conformité, la localisation des données, la ségrégation/isolement des environnements, la perte et destruction maîtrisée des données, récupération des données, malveillance dans l'utilisation et enfin usurpation.
Pour le Syntec Numérique, les mesures à mettre en place sont de 3 ordres, la sécurité physique (contrôle d'accès (système à clé, cartes, digicode), redondance matérielle, résilience), la sécurité logique (protection des serveurs virtuels, une colocation sécurisée (avec les risques du multi-tenants), une segmentation réseau, une interface d'administration protégée). Enfin, le troisième élément est la sécurité des données, avec la responsabilité juridique de la sécurité et de la confidentialité des données dans le cloud, la protection, la récupération, l'intégrité, le chiffrement, l'accessibilité des données aux autorités d'un autre pays et la réversibilité des contrats cloud. Le livre blanc du Syntec Numérique apporte donc des réponses aux inquiétudes des responsables IT encore réticents à migrer certaines activités dans le cloud. Il sera sans doute nécessaire d'évangéliser encore sur les bienfaits du cloud versus les risques ou les menaces.
SafeTIC redevient profitable au 1er semestre
Après une année 2009 difficile, le chiffre d'affaires (CA) avait plongé de 20,9% à 83,5 millions d'euros (ME) du fait des mauvais résultats de l'activité biométrie, SafeTIC (*) retrouve une bonne santé financière. Au 1er semestre 2010, le CA progresse de 26% avec 55,1 ME contre 43,7. Le résultat courant avant impôts passe dans le même temps de -10,9 ME à +1,4 ME. Le résultat net part du groupe suit le même chemin : -8,2 au 1er semestre 2009, + 0,5 ME au 1er semestre 2010.
Pour l'ensemble de l'année 2010, SafeTIC prévoit un CA total de 115 ME mais un résultat courant avant impôts de 3 ME. 2011 s'annonce avec un CA de 160 ME et un résultat courant avant impôts de 15 ME.
(*) SafeTIC, ex EasydenTIC est une société spécialisée dans la protection des accès (biométrie), des biens (visiomobilité), des personnes avec DOC.
3M achète le spécialiste en sécurité biométrique Cogent Systems
3M, entreprise à l'activité très diversifiée, allant du scotch aux circuits électroniques, a décidé d'offrir 943 millions de dollars pour acheter Cogent Systems, spécialisé en solutions de contrôle d'accès biométrique. Cela devrait contribuer à étendre son activité de systèmes d'authentification et de cartes d'accès sur des marchés différents de son coeur de clientèle, les services de frontières et les forces de l'ordre. Les produits de Cogent sont principalement des outils d'identification par empreinte digitale ou palmaire pouvant être utilisés pour protéger l'accès à certains matériels informatiques ou applications.
3M offre 10,50 $ par action, ce qui valorise Cogent à 943 millions de dollars. Mais si l'on considère les réserves d'argent de Cogent, qui s'élèvent à 500 millions de dollars, 3M ne débourse en réalité que 493 millions pour cette acquisition, selon les dires des deux entreprises. Le conseil d'administration de Cogent a recommandé à l'unanimité la transaction à ses actionnaires, et le fondateur et PDG Ming Hsieh a lui-même accepté de céder ses parts. L'acquisition devrait se finaliser durant le dernier trimestre. Le chiffre d'affaire de Cogent, basée en Californie, ne montait l'an dernier qu'à 130 millions de dollars, soit une toute petite part du marché de la biométrie qui est estimé à 4 milliards. Ses solutions entrent en effet en compétition avec celles de L-1 Identity Solutions et de Dermalog Identification Systems.
Illustration : Ming Hsieh, PDG et fondateur de Cogent Systems
Crédit Photo : D.R.
La puce RFID des passeports piratable à 70 mètres
Avec un matériel trouvé dans les rayons de différents magasins et sur eBay, le tout pour moins de 2 500 dollars, le chercheur a pu assembler un système qui, dit-il, lui a permis "de lire les balises contenues dans les puces RFID des passeports à une distance de 70 mètres." Mais celui-ci pense que l'appareil placé dans de meilleures conditions pourrait atteindre les 300 mètres. Chris Paget est même prêt à le prouver au cours de la conférence, si quelqu'un lui donne accès à un toit. "Ces puces RFID sont également utilisées dans les passeports canadiens et les permis de conduire délivrés par l'État de New York," a t-il déclaré. Elles sont aussi utilisées pour le contrôle des stocks chez le leader de la grande distribution Wal-Mart.
Lecture des données cryptées
Le chercheur a indiqué qu'il ne savait pas précisément quelles données étaient stockées sur les puces puisqu'elles sont cryptées avec une clef MZR (Machine-Reable Zone ), mais selon lui, au minimum, il serait possible par recoupement d'identifier la provenance du titulaire du document. Le gouvernement américain déclare que les puces contiennent toutes les informations imprimées sur le passeport, y compris une copie numérique de la photo d'identité. Avec un peu de temps et de la puissance de calcul, la clef MZr peut toutefois être cassée. L'expert en sécurité Bruce Schneier a écrit sur son blog à propos des puces de ces documents: "cela signifie que les détenteurs de passeports diffusent en permanence leur nom, nationalité, âge, adresse et tout ce qui est inscrit sur la puce RFID. Donc, n'importe quelle personne en possession d'un lecteur peut avoir accès à ces informations, à l'insu du titulaire du passeport et sans son consentement. Les pickpockets, les kidnappeurs et les terroristes peuvent facilement - et subrepticement - repérer des ressortissants américains ou d'autres pays utilisant le même système, dans une foule », poursuit-il. Celui-ci a aussi imaginé différents scénarios dans lesquelles ces balises pourraient être utilisées, y compris si les gens étaient porteurs de ces puces de manière plus ordinaire. Par exemple, il a imaginé que les centres commerciaux pourraient balayer les clients et récolter les identifiants des visiteurs dès leur entrée dans le centre afin de les suivre et de créer un profil numérique pour chacun. "Cela pourrait fournir des informations précieuses en matière de marketing," écrit-il.
Une technologie facilement détournable
En général, les puces RFID sont activées par ondes radio. Elles utilisent ensuite l'énergie reçue pour répondre par un signal lui-même capté par un récepteur. «La balise est stimulée par l'onde radio pour être mise en route, puis la puissance diminue," explique Chris Paget. Les puces EPC Gen 2 utilisées dans la démonstration qu'il a faite au Black Hat ajustent le niveau des ondes pour communiquer avec l'émetteur, après avoir absorbé une partie de l'énergie pour alimenter la puce, un peu à la manière dont fonctionnent les radars. Le chercheur a d'ailleurs utilisé les équations qui servent à calculer les performances des radars pour optimiser la norme des transmetteurs/récepteurs RFID qu'il a trouvé dans le commerce. Les puces utilisent la bande de fréquence ISM (Industrie, Sciences, Médecine) à 900 MHz, avec laquelle les opérateurs radio amateurs sont autorisés à communiquer, à condition d'accepter tout brouillage causé par leurs appareils ISM. Selon Chris Paget, « dans les applications RFID, la puissance maximale nécessaire pour transmettre des ondes radio vers les puces est de 1 watt. » Mais en faisant en sorte que l'émetteur se comporte plutôt comme une station radio amateur et en lui appliquant la puissance légale maximum de 1 500 watts, on fait monter la limite théorique supérieure de la plage de lecture de quelques mètres pieds à plus de 3 kilomètres. « Avec de grandes antennes et des émetteurs plus puissants, comme ceux utilisés par l'armée, on pourrait pousser cette limite à une centaine de kilomètres », explique-t-il.
Une sécurité insuffisante
Pour conclure, il est toutefois utile de préciser qu'en théorie, les passeports américains sont équipés d'une trame métallique censée bloquer la lecture de la puce quand le document de voyage est fermé. Ce qui ne semble pas avoir arrêté Chris Paget. Le test n'a pas encore été réalisé avec des passeports européens, mais la technique devrait être parfaitement utilisable à mois que le génie administratif français ait réussi pour une fois à devancer les hackers... De vrais étuis de protection radio faisant office de cage de Faraday sont toutefois commercialisés depuis la diffusion des passeports biométriques RFID. Un achat judicieux pour les vacances, notamment quand on doit patienter de longues heures dans un aéroport.
Crédit photo : D.R.
Google Apps renforce sa sécurité pour conquérir le gouvernement américain
Google a dévoilé une version de ses Apps spécialement conçue pour répondre aux besoins de sécurité des agences gouvernementales américaines. Cette mouture spéciale comprendra Gmail, Talk, Groups, Calendar, Docs, Sites, Video et Postini, et coûtera le même prix que la Premier Edition, à savoir 50 $ par utilisateur et par an. Les données seront stockées exclusivement aux Etats-Unis, et les serveurs qui seront dédiés à cette offre se trouveront séparés de ceux utilisés par les clients non-gouvernementaux.
Le service répond aux impératifs de sécurisation des données tels qu'ils sont présentés dans le Federal Information Security Act, et peut donc être utilisé par les agences concernées par l'acte en question. La version est déjà disponible, et la firme de Mountain View a d'ores et déjà présenté certains de ses clients. Par exemple, Berkeley Labs, qui fait partie du Département de l'Energie, a commencé à utiliser Google Apps plus tôt dans l'année. Plus de 4000 employés et 1000 partenaires de recherche utilisent Docs et Sites pour collaborer, et ils sont au total 4000 à avoir adopté Gmail. Le comté de Larimer, dans le Colorado, s'est lui aussi mis à cette version des Apps.
Un service aussi proposé par Microsoft
Cette année, Microsoft a lui aussi présenté une suite de services sur le cloud à destination des fonctionnaires. Ceux-ci sont hébergés dans des infrastructures spéciales, dont l'accès physique est contrôlé via des systèmes biométriques, et dont les employés sont rigoureusement évalués et vérifiés. Ces services sont alignés sur certaines certifications de sécurité du gouvernement.
L'annonce de Google fait suite à des rapports indiquant que l'entreprise a dépassé la date d'implémentation de ses Apps au sein des services de la ville de Los Angeles. Le délai serait justement dû à quelques inquiétudes concernant la sécurité de l'offre.
Crédit Photo : D.R.
Sécurité informatique : bonne perception, application laborieuse selon le Clusif
Le Club de la Sécurité de l'Information Français a publié son enquête, réalisée tous les deux ans, sur les menaces informatiques et les pratiques de sécurité (MIPS). Cette étude a interrogé 350 entreprises, 151 hôpitaux et 1000 internautes résidentiels. Ce spectre large permet au CLUSIF d'avoir une vision globale de l'appréhension des questions de sécurité aussi bien dans le monde professionnel, que dans la vie quotidienne.
Problèmes budgétaires pour les entreprises.
Si la prise de conscience des problématiques de sécurité au sein des entreprises ne fait aucun doute, le passage à l'acte relève d'un exercice plus difficile. En effet, 73% des sociétés interrogées disposent d'une PSSI (politique de sécurité des systèmes d'information), soit une progression de 14% par rapport à l'étude de 2008. Bon point également sur l'existence de charte SSI (67% en hausse de 17% par rapport à 2008). Le nombre de responsables affectés aux questions de sécurité est en croissance, mais le Club constate une réduction des budgets qui leurs sont allouées. Ces derniers sont d'ailleurs prioritairement orientés vers la mise en place de moyens techniques, plus que sur la sensibilisation des utilisateurs.
En matière technologique, l'anti-virus, le pare-feu et l'anti-spam restent largement en tête. Les systèmes de détection d'intrusion arrivent à maturité avec une intégration dans 34% des entreprises (+11%). Les mécanismes de chiffrement, le NAC (contrôle d'accès au réseau), ainsi que le DLP (récupération des pertes de données) peinent à se déployer. Si plusieurs éléments sont positifs comme la gestion des mots de passe (SSO et Web SSO) ou la mise à jour des correctifs des éditeurs, le CLUSIF souligne que 33% des entreprises ne disposent pas d'un plan de continuité d'activité en cas de crise.
L'Hôpital est un bon élève
L'association a également réalisé un focus sur le secteur de la santé. Après plusieurs évolutions réglementaires et de changement de structure, comme l'Agence des Systèmes d'Information Partagés de santé (ASIP), les directions informatiques des hôpitaux sont de plus en plus convaincues que la sécurité est une valeur à partager lors de la mise en place d'un projet de ce type avec le personnel médical.
[[page]]
La sécurité s'est personnalisée à travers les responsables sécurités des systèmes d'information (RSSI), qui cumulent souvent leur fonction avec celle de Correspondant Informatique et Libertés (CIL).
En 2009, une quinzaine de RSSI hospitaliers existaient et travaillaient sur deux problématiques : l'identifiant patient (dans le cadre du Dossier Medical Personnel) et la gestion des appareils biomédicaux. Si la plupart des établissements de santé ont adopté des politiques de sécurité et des chartes restreignant ainsi certains accès, ils succombent aux besoins de nomadisme (PDA ou smartphone allant de chambres en chambres, besoin de WiFi). Sur le plan de l'équipement anti-viral, les hôpitaux sont mieux lotis que les entreprises, mais demeurent vulnérables. En effet, l'année 2010 a été marquée, notamment, par l'infection massive du vers « Confiker ». Ce malware a infecté près de la moitié des CHU de France avec parfois des interruptions de service quasi-totales pendant des durées pouvant aller jusqu'à 3 semaines.
L'Internaute inquiet de ses données personnelles
La perception de la menace (spam, phishing, intrusion, virus, etc.) est en très lègère diminution. Est-ce que cela implique une baisse de la vigilance ? Non, il y a eu un transfert vers une autre menace, la protection de la vie privée, pour 73% des sondés contre 60% en 2008. On constate aussi que la peur du paiement en ligne diminue. En effet, 90% des Internautes acceptent de le faire, 68% sont attentifs à certaines conditions (https, notoriété du site, label de confiance).
Par contre, des efforts sont encore à réaliser sur les comportements personnels. Seuls 5% d'entre nous protègent leur ordinateur avec un mot de passe. Ils sont en revanche 90% à déployer les mises à jour de sécurité de manière automatique ou manuelle.
Crédit Photo: D.R
(...)(10/06/2010 10:39:02)La CNIL donne son aval pour recourir à la biométrie au parloir
La CNIL autorise la biométrie dans la sécurité carcérale. Depuis la réforme de 2004 de la Loi Informatique et Libertés, les traitements biométriques doivent être expressément autorisés par la CNIL. Celle-ci a toujours été très réticente vis-à-vis de ces technologies très invasives et très risquées pour la vie privée.
Le projet Bioap, mis en oeuvre dans chaque prison au fur et à mesure de son déploiement, comprendre les données suivantes : nom de famille, nom d'usage, alias et prénoms ; numéro d'écrou ; une photographie d'identité numérisée ; un gabarit du contour de la main ; et un suivi des contrôles d'identification. La photographie ne fait pas l'objet d'un processus de reconnaissance automatique. De plus, le contour de la main est plus simple à mettre en oeuvre que le contrôle des empreintes digitales. Surtout, la CNIL a été sensible à la durée et aux modalités de conservation des données : chaque prison aura son propre traitement, et les données ne seront conservées que durant la détention effective dans la prison concernée. Elles seront détruites lors d'un transfert définitif ou d'une libération.
Les moyens mis en oeuvre sont donc compatibles et proportionnées avec les finalités déclarées.
Les restrictions apportées par la CNIL dans un projet relatif aux établissements pénitentiaires sont là pour rappeler aux entreprises privées qu'elles ne peuvent pas mettre en oeuvre des traitements plus invasifs vis à vis de personnes libres.
Prévention contre les pertes de données : un déploiement inégal
Réalisée dans 14 pays (Belgique, Danemark, Allemagne, Finlande, France, Irlande, Israël, Italie, Pays-Bas, Norvège, Portugal, Espagne, Suède et Royaume-Uni) par Quocirca, institut spécialisé dans l'analyse de l'impact des technologies émergentes sur les entreprises et basé au Royaume-Uni, l'étude rappelle que les entreprises ne prenant pas les mesures nécessaires pour identifier l'ensemble de leurs données sensibles et les protéger des pertes et utilisations illégitimes prennent des risques significatifs.
Si la majorité des entreprises interrogées voient dans la « confidentialité des données » un facteur majeur d'évolution réglementaire dans les cinq prochaines années, elles invoquent aussi le manque de temps et de ressources - ainsi que la multitude des processus manuels - pour justifier leur inaction face aux problèmes de conformité qu'elles rencontrent. Pour Shirief Nosseir, directeur du marketing des produits de sécurité EMEA de CA, « l'étude montre clairement que les entreprises ont besoin d'une solution DLP pour assurer la prise en charge de leurs contraintes de conformité, la protection de leur image de marque et l'optimisation de leur compétitivité. »
Des solutions inégalement déployées
Une architecture « orientée conformité » (ou COA pour compliance-oriented architecture) contribuerait à solutionner les problèmes de perte et d'usage non-autorisé des données. « Une solution associant les technologies DLP et IAM offre une combinaison idéale pour aider les entreprises à découvrir, superviser et contrôler les informations critiques, où qu'elles se trouvent, et à s'assurer qu'elles ne sont utilisées que par des personnes autorisées, » a déclaré Shirief Nosseir. Pour être efficace, celle-ci doit notamment inclure une solution complète de gestion des accès et des identités (déployée par seulement 24 % des grandes entreprises européennes) ; un système permettant de localiser et de classer les données (déployé par 50 % des entreprises interrogées) et une technologie DLP (à peine 28 % utilisent actuellement une solution DLP à quelque niveau que ce soit).
[[page]]
Pour Bob Tarzey, Analyste et Directeur de Quocirca, « de récentes fuites de données sensibles montrent que les supports de stockage électronique font souvent l'objet d'une attention insuffisante. Ce manque de protection peut s'avérer coûteux - notamment au regard des amendes aujourd'hui imposées par les pouvoirs publics. Aujourd'hui, des technologies existent pourtant pour corréler l'utilisation des données aux individus concernés. »
Près de 90 % des entreprises, ayant déployé la technologie DLP, indiquent être bien préparées pour protéger leur propriété intellectuelle et leurs données à caractère personnel - et pour assurer leur conformité aux contraintes réglementaires de sécurité, contre 26 % pour les autres. Ces déploiements, principalement mis en oeuvre dans le secteur des télécommunications et des médias (37 %), vraisemblablement en raison de la très forte valeur attachée à un usage sécurisé des données sur ce marché, tombent à 18% seulement dans le secteur industriel et à 26 % chez les prestataires de services financiers. Compte tenu de la responsabilité qu'assument les instances gouvernementales pour la sécurité des données sensibles détenues par ce secteur, le très bas niveau de déploiement devrait, selon le rapport, inquiéter les pouvoirs publics.
Les résultats de l'étude sont disponibles à l'adresse www.ca.com/gb/mediaresourcecentre
| < Les 10 documents précédents | Les 10 documents suivants > |