Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 881 à 890.
| < Les 10 documents précédents | Les 10 documents suivants > |
(01/07/2010 10:16:58)
Des pistes pour rénover le réseau Internet
« L'architecture Internet n'a pas bougé depuis 35 ans... ». Cette phrase de Louis Pouzin, un des fondateurs des protocoles TCP/IP résume bien l'état d'esprit dans lequel s'est ouverte la conférence sur le futur d'Internet le 28 juin 2010 lors du forum Atena. Les pieds du réseau mondial sont fragiles et mal protégés comme le confirme Guy Pujolle, professeur à l'Institut de France : « l'Internet est une roue sur laquelle il n'y a quasiment que des rustines ».
L'enseignant émérite propose de revoir la sécurité du réseau en repartant de zéro ou en améliorant ce que l'on fait déjà. Il préconise en tout premier lieu de passer de la traditionnelle architecture en 7 couches du modèle OSI à une architecture en 7 plans (cloud, sécurité, connaissances, pilotage, management et contrôle, virtualisation et données), ce qui induit une plus grande interactivité entre ces éléments, ainsi qu'une plus grande modularité.
Il suggère par ailleurs une virtualisation intégrale, de disposer d'une intelligence plus collective dans les réseaux. C'est-à-dire de passer à un autopilotage des réseaux et d'axer le développement sur la mobilité.
[[page]]
Guy Pujolle propose également de durcir la sécurité d'entrée sur le web. Plus de login, plus de password mais une clé SSL unique comportant toutes les données de sécurité.
Imaginer l'après IP
La problématique d'une architecture post-IP a également été posée. En effet on considère souvent l'IP comme un système d'adressage efficace. Mais peut-on réellement parler d'adresse quand on parle d'IP ? Une adresse est censée nous renseigner sur où, qui et quoi. Or, l'adresse IP ne se contente que d'envoyer un signal à un serveur. Plusieurs solutions existent pour répondre à un remplacement de l'IP actuel et notamment la solution de migrer vers un réseau pair à pair (P2P). On peut citer aussi le projet ANA (Projet de création d'un réseau autonome), soutenu par plusieurs universités. Ce projet doit permette la formation complètement autonome de noeuds de réseau et de réseaux entiers de manière souple et dynamique.
Une autre réflexion a été émise durant l'événement, celle de la virtualisation totale des réseaux. L'objectif d'une telle évolution serait d'augmenter la modularité des réseaux et donc de rendre la demande de ressources des utilisateurs plus flexibles.
Collecte de données WiFi par Google : la police anglaise s'en mêle
Après la CNIL en France, son homologue en Allemagne, en Espagne, et les justices américaines et australiennes, c'est au tour de la police anglaise de s'intéresser de plus près à la captation de données personnelles circulant en WiFi par les voitures Google Street View. Après une plainte formulée par Privacy International, ONG défendant le droit à la vie privée, la Metropolitan Police, basée à Londres, a décidé de mener son enquête sur les activités de Google. D'après l'entreprise, les données captées provenaient de réseaux WiFi non-sécurisés, et l'ont donc été par inadvertance. Les voitures Google, chargées de prendre les photos, sont équipées d'un système d'enregistrement des réseaux sans fil se trouvant à proximité. Le but étant de fournir ces renseignements à son service de géolocalisation, Google Latitude, qui utilise les points d'accès WiFi, les réseaux GSM et les systèmes GPS afin de localiser les utilisateurs et leur proposer ses services. Dans cette optique, l'équipement de ces voitures change cinq fois par seconde les connexions aux réseaux sans fils, fréquence pourtant jugée suffisante par les organismes de protection de la vie privée, étant donné les débits actuels, pour capter des données personnelles potentiellement sensibles.
Le 4 juin dernier, Google a été obligé, après une mise en demeure de la CNIL, de fournir des données récoltées à la commission. Après analyse, ces informations contenaient non seulement des SSID et des adresses IP, mais aussi des mots de passe réseaux et mails. Des demandes similaires ont été formulées par l'Allemagne et même l'Espagne à l'attention de Google, afin de pouvoir effectuer leurs propres analyses. Le 21 juin, le ministère de la justice du Connecticut a ouvert une enquête pour déterminer le degré d'invasion de la vie privée par Google, relatif à ces données personnelles captées. Cette action en justice fait suite à celle, similaire, lancée en Australie un peu plus tôt en juin.
L'Angleterre s'ajoute donc à la liste des pays s'intéressant de plus près à cette pratique en cours depuis trois ans, d'après l'annonce de Google du 14 mai dernier. Depuis, des investigations émergent de toute part. « Nous souhaitons que ces procédures obligent Google à revoir ses façons de faire. Peut-être qu'à l'avenir la compagnie se reposera moins sur sa communication, et se concentrera sur une meilleure gouvernance », déclare Simon Davies, de Privacy International.
Illustration voiture Street View de Google à Puteaux, crédit photo P.Sayer/IDG NS
(...)(24/06/2010 15:37:30)
20 % des applis Android Market transgressent la sécurité des données personnelles
Editeur de solutions de sécurité pour téléphones mobiles, SMobile a décortiqué plus de 48 000 applications disponibles sur l'Android Market, la plate-forme qui fournit des applications pour les smartphones tournant sous Android de Google, et a analysé comment le système d'exploitation gère les autorisations. Ce sont en effet les autorisations qui permettent aux applications d'exécuter les tâches, y compris celle d'initier les appels téléphoniques, de lire les SMS ou de déterminer la localisation. En principe, elles sont là pour servir de cadre au développement d'applications utiles. Mais, selon SMobile, certaines sont réalisées avec des intentions malveillantes et pour accéder à des données personnelles. « Comme cette application de phishing de coordonnées bancaires publiée par un auteur du nom de Droid09, déposée sur l'Android Market, et retirée depuis, » a t-il dit.
En plus de ces d'applications qui ouvrent à des tiers l'accès à des données personnelles, SMobile a également identifié que certaines applications (5 %) ont la possibilité de faire composer un numéro de téléphone, et 2 % peuvent envoyer un SMS à un numéro surtaxé inconnu, dans les deux cas, à l'insu des usagers.
Le mode de fonctionnement d'Android en matière de sécurité exige que les applications définissent leurs autorisations avant de pouvoir être installées par l'utilisateur. « Un utilisateur averti peut paramétrer ces préférences avant de décider s'il veut ou non installer une application, » a déclaré SMobile. « Cependant, rien ne permet à l'utilisateur de savoir de manière certaine si l'application qu'il vient de télécharger ne fait que ce qu'il est en mesure de voir, » explique SMobile.
Étude Forrester : Développement laborieux des IAM en Europe
D'après l'étude Forrester, les IAM sont considérées par près des deux tiers des entreprises et PME interrogées en Europe comme étant une de leurs préoccupations principales pour 2010, contre 60% en 2009. La crise économique des 18 derniers mois serait la principale raison de cette augmentation, mettant en avant le besoin de sécurité des données des sociétés.
Autant l'étude note qu'il s'agit d'une préoccupation importante, autant elle constate paradoxalement que l'implémentation et l'adoption sont encore très faibles. Aucune des technologies IAM ne parvient à dépasser les 30% d'adoption, et pour certaines, comme l'externalisation de cette gestion des accès et des identités par des entreprises spécialisées, le taux de sociétés n'étant pas équipées et ne souhaitant pas l'être atteint 60%. De même, l'authentification multifacteurs, pourtant reconnue comme bien plus efficace, est, d'après l'étude, étonnamment basse, ne comptant que 20% d'adoption.
Pour autant, la technologie du Single Sign-On (SSO ou authentification unique) est, elle, relativement bien reçue, et séduit 65% des entreprises (E-SSO) qui l'ont ou prévoient de l'implémenter, ainsi que 60% pour le web SSO. La gestion d'utilisateurs privilégiés et le provisioning obtiennent eux aussi une note positive de la part des entreprises européennes, et pourraient atteindre les 50% d'adoption d'ici quelques années, si l'on tient compte des entreprises déclarant vouloir les mettre en place d'ici à un an.
Crédit photo : D.R.
[[page]]
Le point noir de l'étude relève donc de la sous-traitance de la gestion des IAM, et l'étude Forrester en remarque différents facteurs explicatifs. Les problèmes organisationnels que soulève l'externalisation au sein de l'entreprise, et au niveau des services en charge de la gestion des identités des employés (les ressources humaines par exemple), forment un barrage à l'entrée difficile à contourner pour les fournisseurs de services IAM.
L'autre facteur relève d'une offre considérée comme trop floue de la part de ces entreprises. Les clients qui souhaiteraient déléguer l'IAM à un fournisseur de services se retrouvent face à un choix entre des intervenants traditionnels (IBM, CA, Oracle), spécialisés, ou même de niche, sans qu'aucune délimitation concrète des services fournis ne soit établie. Malgré cela, comme le note l'étude, la résistance des entreprises au concept des IAM comme Software-as-a-Service (SaaS) est à la baisse. 41% des entreprises indiquaient en 2006 n'être pas du tout intéressées, tandis qu'au dernier trimestre 2009, elles n'étaient plus que 19%.
L'étude indique enfin que là où l'on pensait que l'obstacle à l'implémentation des IAM était plutôt d'ordre économique, il se trouverait en réalité au niveau des services IT des entreprises. Ce sont eux qui défendent et définissent les projets d'évolution des systèmes dont ils sont en charge, et donc la mise en place des IAM. D'après cette étude, c'est donc eux que les fournisseurs de services IAM doivent informer et convaincre pour assurer l'expansion de ces technologies de sécurité.
Sécurité informatique : bonne perception, application laborieuse selon le Clusif
Le Club de la Sécurité de l'Information Français a publié son enquête, réalisée tous les deux ans, sur les menaces informatiques et les pratiques de sécurité (MIPS). Cette étude a interrogé 350 entreprises, 151 hôpitaux et 1000 internautes résidentiels. Ce spectre large permet au CLUSIF d'avoir une vision globale de l'appréhension des questions de sécurité aussi bien dans le monde professionnel, que dans la vie quotidienne.
Problèmes budgétaires pour les entreprises.
Si la prise de conscience des problématiques de sécurité au sein des entreprises ne fait aucun doute, le passage à l'acte relève d'un exercice plus difficile. En effet, 73% des sociétés interrogées disposent d'une PSSI (politique de sécurité des systèmes d'information), soit une progression de 14% par rapport à l'étude de 2008. Bon point également sur l'existence de charte SSI (67% en hausse de 17% par rapport à 2008). Le nombre de responsables affectés aux questions de sécurité est en croissance, mais le Club constate une réduction des budgets qui leurs sont allouées. Ces derniers sont d'ailleurs prioritairement orientés vers la mise en place de moyens techniques, plus que sur la sensibilisation des utilisateurs.
En matière technologique, l'anti-virus, le pare-feu et l'anti-spam restent largement en tête. Les systèmes de détection d'intrusion arrivent à maturité avec une intégration dans 34% des entreprises (+11%). Les mécanismes de chiffrement, le NAC (contrôle d'accès au réseau), ainsi que le DLP (récupération des pertes de données) peinent à se déployer. Si plusieurs éléments sont positifs comme la gestion des mots de passe (SSO et Web SSO) ou la mise à jour des correctifs des éditeurs, le CLUSIF souligne que 33% des entreprises ne disposent pas d'un plan de continuité d'activité en cas de crise.
L'Hôpital est un bon élève
L'association a également réalisé un focus sur le secteur de la santé. Après plusieurs évolutions réglementaires et de changement de structure, comme l'Agence des Systèmes d'Information Partagés de santé (ASIP), les directions informatiques des hôpitaux sont de plus en plus convaincues que la sécurité est une valeur à partager lors de la mise en place d'un projet de ce type avec le personnel médical.
[[page]]
La sécurité s'est personnalisée à travers les responsables sécurités des systèmes d'information (RSSI), qui cumulent souvent leur fonction avec celle de Correspondant Informatique et Libertés (CIL).
En 2009, une quinzaine de RSSI hospitaliers existaient et travaillaient sur deux problématiques : l'identifiant patient (dans le cadre du Dossier Medical Personnel) et la gestion des appareils biomédicaux. Si la plupart des établissements de santé ont adopté des politiques de sécurité et des chartes restreignant ainsi certains accès, ils succombent aux besoins de nomadisme (PDA ou smartphone allant de chambres en chambres, besoin de WiFi). Sur le plan de l'équipement anti-viral, les hôpitaux sont mieux lotis que les entreprises, mais demeurent vulnérables. En effet, l'année 2010 a été marquée, notamment, par l'infection massive du vers « Confiker ». Ce malware a infecté près de la moitié des CHU de France avec parfois des interruptions de service quasi-totales pendant des durées pouvant aller jusqu'à 3 semaines.
L'Internaute inquiet de ses données personnelles
La perception de la menace (spam, phishing, intrusion, virus, etc.) est en très lègère diminution. Est-ce que cela implique une baisse de la vigilance ? Non, il y a eu un transfert vers une autre menace, la protection de la vie privée, pour 73% des sondés contre 60% en 2008. On constate aussi que la peur du paiement en ligne diminue. En effet, 90% des Internautes acceptent de le faire, 68% sont attentifs à certaines conditions (https, notoriété du site, label de confiance).
Par contre, des efforts sont encore à réaliser sur les comportements personnels. Seuls 5% d'entre nous protègent leur ordinateur avec un mot de passe. Ils sont en revanche 90% à déployer les mises à jour de sécurité de manière automatique ou manuelle.
Crédit Photo: D.R
(...)(17/06/2010 17:55:16)Adobe reproche à Apple de livrer une version obsolète de son lecteur Flash
C'est un autre épisode témoignant de la tension qui existe entre les deux entreprises depuis que le PDG d'Apple, Steve Jobs, a annoncé son refus d'intégrer le lecteur Flash aux appareils mobiles d'Apple au motif qu'il était trop lent, instable et obsolète. Adobe a immédiatement répliqué, faisant remarquer que les correctifs pour Flash qu'Apple avait fourni avec sa dernière mise à jour étaient dépassés. «La mise à jour 10.6.4 de Mac OS X inclut bien le player d'Adobe, mais pas la dernière version, » a déclaré Brad Arkin, directeur de la sécurité et la confidentialité chez l'éditeur, dans un message posté sur Twitter mardi, soit peu après la livraison de la mise à jour de sécurité et de performance par le constructeur.
Chez Adobe, d'autres voix se sont élevées pour dire qu'Apple avait livré la version 10.0.45.2 du lecteur Flash avec Mac OS X 10.6.4, et invitent, comme Brad Arkin les utilisateurs Mac à télécharger la dernière version directement depuis le site de l'éditeur. C'est en février 2010 que ce dernier avait corrigé plusieurs bogues dans Flash Player 10.0.45.2 pour Mac et Windows. La dernière version du lecteur de média est actuellement la 10.1.53.64, après le patch de mise à jour d'Adobe effectué le 10 juin, corrigeant 32 failles dont une faille zero-day exploitée depuis le début du mois par des pirates.
Ce n'est pas la première fois qu'Apple est pris en défaut pour l'application des correctifs sur Adobe Flash Player. Car, contrairement à Microsoft, la firme de Cupertino s'occupe elle-même de la diffusion des mises à jour du player de l'éditeur pour ses utilisateurs, en les intégrant aux mises à jour de Mac OS X. En septembre, ce dernier avait déjà noté qu'Apple avait diffusé une ancienne édition vulnérable de Flash Player pour Mac OS X 10.6, alias Snow Leopard, peu après sa sortie datant d'août 2009. Les chercheurs en sécurité avait alors pointé Apple pour avoir intégré une ancienne version du logiciel d'Adobe dans Mac OS 10.6, signalant même un « déclassement » des éditions plus récentes. Deux semaines plus tard, Apple rafraichissait Snow Leopard en incluant une copie à jour de Flash.
[[page]]
« Les utilisateurs Mac qui ont cette fois mis à jour manuellement le Player Flash en version 10.1.53.64 dès la semaine dernière ne doivent prendre aucune autre mesure, » a déclaré Brad Arkin dans un message sur Twitter. «L'update Mac OS X 10.6.4 ne semble pas déclasser le dernier Flash Player, si bien que les utilisateurs n'ont pas à réappliquer la mise à jour, » a précisé le responsable d'Adobe. Les utilisateurs peuvent vérifier quelle version du Player Flash est actuellement active dans leur navigateur en visitant le site About Flash Player d'Adobe. Ils doivent effectuer cette vérification pour chaque navigateur installé sur leur ordinateur. S'ils ne disposent pas de la version la plus récente, ils peuvent l'installer manuellement en la téléchargeant sur le site d'Adobe.
Sept des 28 failles, soit 25% du total, corrigées par Apple dans Mac OS X 10.6.4 résultent de « l'exécution de code arbitraire, » une façon pour Apple de dire que ces bugs sont critiques et pourraient être utilisés pour infecter la machine avec des logiciels malveillants, y compris des spambots et des keyloggers ou enregistreurs de touches capables de vol d'identité. Parmi les vulnérabilités, hors Flash Player, corrigées par Mac OS X 10.6.4, trois concernent la mise en oeuvre du CUPS (Common Unix Printing System), trois le protocole d'authentification Kerberos, une le client de messagerie instantanée iChat d'Apple, et une autre le logiciel Wiki Server d'Apple.
Mac OS X 10.6.4 met également à jour Safari en version 5, lancé le juin 7 dernier, après un colmatage record de 48 failles. Apple a également corrigé 16 codes non liés à la sécurité, y compris une amélioration de fiabilité pour les connexions VPN (réseau privé virtuel) et a résolu un problème de réponse du clavier. La dernière mise à jour de Snow Leopard, qui date du mois de mai, avait mis fin à un nombre record de 92 failles de sécurité, dont un tiers jugées critiques. Mac OS X 10.5, alias Leopard, a également fait l'objet d'une mise à jour de sécurité hier. Mac OS X 10.6.4 peut être téléchargé depuis le site d'Apple ou installé en utilisant le service de mise à jour intégré au système d'exploitation.
La Cnil épingle Google dans son rapport 2010
Dans une ambiance tendue, Alex Türk, président de la Cnil et sénateur (UMP) du Nord, a présenté devant la presse le 30e rapport d'activité de la commission. Depuis le vote en 2004 de la réforme de la loi Informatique et libertés, la Cnil a perdu une grande partie de ses pouvoirs. Même si ses moyens augmentent régulièrement (14,7 millions de budget en 2010 contre 13 en 2009), elle n'émet plus que de simples avis consultatifs sur les projets de loi du gouvernement et se limitent à des contrôles a posteriori des fichiers publics (Police, Justice, Gendarmerie, Santé...) Alex Türk reste pourtant droit dans ses bottes, « tous les fichiers de Police sont soumis à notre contrôle sinon le Stic [le fichier dit d'antécédents judiciaires] n'aurait jamais été contrôlé... ». Et aujourd'hui la bataille se déplace sur le champ européen avec un projet d'accord qui confierait à Europole la centralisation du contrôle d'accès au Stic réclamé par les autorités américaines. « Nous ne mettons pas en cause le travail d'Europole, qui est un grand professionnel de la Police, mais pas de la protection des données personnelles. Nous avions également compris qu'il y aurait un représentant européen aux États-Unis pour surveiller l'utilisation des accès au Swift [le système d'échange d'informations interbancaires], mais ce point a disparu dans le projet d'accord ! Le Parlement européen a refusé de soutenir le projet (...) Au lieu de répondre au coup par coup aux demandes des autorités américaines, les États-Unis pourraient accéder à de grands blocs de données pour rechercher les informations qui les intéressent.
Jusqu'à 40 000 euros d'amendes
Pour revenir à l'année 2009, la Cnil publie dans son rapport annuel les noms des entreprises sanctionnées financièrement (DirectAnnonces 40 000 €, SPC Huissiers 20 000 €...). Comme le précise Yann Padova, secrétaire général de la Cnil, « 120 à 150 mises en demeure ont été envoyées en 2009, avec à la clef 5 à 10 sanctions, et depuis le 1er janvier 2010, nous sommes déjà à 45 mises en demeures ». On peut notamment citer l'avertissement adressé récemment à Acadomia, l'interruption en urgence d'un système de vidéosurveillance permanente des salariés mise en oeuvre dans une société de transport routier sans informations appropriées à l'égard se son personnel ou , pour la première fois, l'interdiction pour trois mois d'un système biométrique mis en oeuvre dans une société en l'absence d'impératif fort de sécurité. « Nous commençons par une mise en demeure en cas d'infraction à la législation mais si la mise en conformité est rapide, nous arrêtons généralement la procédure », précise Alex Türk.
Illustration Alex Türk, président de la Cnil; crédit D.R.
[[page]]
Une procédure qui ne concerne pas encore Google avec son service Street View. Depuis quelques mois l'Union européenne et le G29 sont en discussion serrée avec la firme de Mountain View au sujet de la collecte d'informations réalisée par les bornes WiFi des Google cars. « Nous n'émettons pas d'opposition de principe au service Street View, mais il doit être possible de réaliser la même chose en respectant les données personnelles ». Le phénomène a commencé en 2008 et depuis le phénomène perdure, précise le président. « Fin mai, nous avons procédé à un nouveau contrôle et mis en demeure Google pour obtenir des informations techniques. Google nous a rapatrié des informations stockées aux États-Unis qui sont en cours d'analyse à la Cnil. Ce que je peux dire pour le moment, c'est que la capture de données inclue des mots de passe et des adresses IP ainsi que des morceaux de messages électroniques contenant parfois des informations bancaires ». Dans le domaine de l'informatique et des libertés, Alex Türk considère qu'il va falloir changer de point de vue et appliquer des sanctions quand les limites ont été franchies. « La simple rectification des fautes n'est pas suffisante. » La procédure concernant Google n'est donc pas prête de s'enterrer.
Accorder le droit à l'oubli sur Internet
Alex Türk a également esquissé les deux principales problématiques de la Cnil en 2010, à savoir la montée en puissance du droit à l'oubli, et dans une vision plus large du droit à l'incognito, et un regard particulier à porter sur les nanotechnologies. « Avec la miniaturisation des composants, les usages vont être bouleversés avec une arrivée massive de ces solutions dans 5 à 10 ans. C'est donc aujourd'hui qu'il faut réfléchir au problème. » Et quant à la protection de la vie privée sur Facebook, le président a engagé une action au niveau européen pour mettre en place un système de protection commun. « Je me pose des questions sur la philosophie même de ce système. La radicalisation de l'exposition de la vie privée et le respect des libertés individuelles ne doivent pas disparaitre au profit du développement des nouvelles technologies.
Pour conclure, La Cnil revient sur ses observations relatives à la loi Loppsi 2, dont le texte a été remanié au Sénat le 2 juin dernier. Notamment un renforcement du contrôle de la vidéosurveillance dont les déclarations de systèmes sont passés de 2 588 en 2008 à 3 054 en 2009. Un amendement adopté en commission des lois devrait ainsi confier à la CNIL un pouvoir de contrôle national sur ces dispositifs.
Pour télécharger le rapport 2010.
Un badge multifonction RFID chez Bouygues Immobilier
Au début du projet, le système d'information de Bouygues Immobilier (filiale du groupe Bouygues comptant environ 1400 employés) avait beaucoup évolué depuis cinq ans en intégrant de nombreuses nouvelles applications. Cette quantité croissante d'information gérée rendait plus sensibles les identifiants/mots de passe correspondants, que les utilisateurs avaient tendance à noter à droite à gauche. Parallèlement, beaucoup d'impressions et d'opérations de numérisation n'étaient pas sécurisées. À l'occasion de l'emménagement dans le nouveau siège GALEO situé à Issy Les Moulineaux, la décision est donc prise de déployer un badge d'entreprise couplé à une solution de signature unique (SSOX de l'éditeur français Avencis).
Un badge couplé à une solution de SSO
Déjà distribué à quelque 500 employés, ce badge offre en réalité plusieurs fonctions complémentaires. Tout d'abord, parce que le format badge permet d'imprimer le logo de Bouygues Immobilier, il renforce le sentiment d'appartenance à l'entreprise. D'autre part, grâce à sa puce sans contact (RFID), il permet l'accès aux bâtiments - siège et sites distants. Il fait également office de porte-monnaie électronique. Enfin, il unifie les accès aux PC et aux applications tout en sécurisant les impressions et numérisations.
« L'adoption de la solution a été facilitée par l'aspect multifonction et par un accompagnement quasiment personnalisé lors du déploiement qui a simplifié l'acquisition d'un nouveau mode de connexion. La gratuité des boissons chaudes lors d'un paiement avec le badge ajoute à l'image positive de la solution», explique Olivier Radix, RSSI de Bouygues Immobilier.
Illustration puce RFID, crédit photo : D.R.
[[page]]
De plus, le niveau de sécurité s'en est trouvé renforcé, puisque l'utilisateur a généralement besoin de conserver sur lui son badge lorsqu'il s'éloigne de son poste de travail (ce qui entraîne le verrouillage automatique de la session) et que la plupart des utilisateurs ne connaissent plus leurs mots de passe (ce qui évite de les noter et de les partager).
Pour l'accès unifié à Windows et aux applications, tous les couples identifiants/mots de passe sont chiffrés et stockés sur la puce du badge, et automatiquement joués lors de chaque tentative d'accès, via un agent installé sur le PC. En fonction des applications et des usages, ces mots de passe peuvent être gérés par l'outil de SSO et non choisis par les utilisateurs (c'est le cas notamment pour le mot de passe Windows). D'autre part, l'usage du badge est protégé par un code PIN d'au minimum 4 caractères alphanumériques, avec un blocage après cinq essais infructueux.
Numérisations simplifiées et impressions sécurisées
Parallèlement, des lecteurs ont été connectés sur les ports USB des scanners. Là où l'utilisateur devait auparavant renseigner ses identifiants et mots de passe Windows pour une numérisation vers son répertoire, il suffit désormais de passer le badge devant le lecteur pour associer la numérisation au bon utilisateur. Basés sur le même principe technique, des tests sont en cours pour la sécurisation des impressions : Lorsqu'une impression est envoyée en mode sécurisé, elle est déclenchée sur n'importe qu'elle imprimante équipée, après passage du badge de l'utilisateur devant le lecteur de l'imprimante. Un déploiement est à l'étude sur les sites concernés d'ici à la fin de l'année.
En cas d'oubli du badge, l'utilisateur ne connaissant plus son mot de passe Windows, deux solutions de secours sont prévues. Tout d'abord, l'utilisateur peut débloquer son PC et ses applications en répondant à des questions préétablies, tandis que l'entrée dans le bâtiment s'effectue comme celle d'un visiteur. Deuxième mode,en cas d'oubli des réponses, l'utilisateur peut obtenir auprès du help desk un mot de passe valable pour la journée.
[[page]]
La suite du projet va maintenant consister à déployer la solution à tous les collaborateurs et à gérer différentes exceptions. Tout d'abord, la synchronisation des mails sur certains smartphones impose encore la connaissance du mot de passe Windows par les utilisateurs concernés. « Nous étudions une solution qui permettrait d'identifier le smartphone via son numéro de série, associé à un mot de passe choisi par l'utilisateur », explique Olivier Radix.
La connexion depuis un PC personnel ou public pourrait pour sa part passer par une version mobile de l'outil de SSO, implémentée sur une clé USB.
Autres cas particuliers à l'étude : Le partage par plusieurs utilisateurs de la même session Windows tout en utilisant leur badge personnel (utilisation ciblée sur quelques postes dédiés à des usages spécifiques tels que scanner applicatif ou accueil) ou, à l'inverse, l'authentification simultanée d'utilisateurs qui accèdent simultanément à plusieurs PC. (...)
Baisse des dépenses de sécurité en 2010 selon Gartner
En 2010, les dépenses en sécurité IT seront en baisse de 5 à 6% par rapport à 2009, estime le Gartner. Avec l'amélioration de la situation économique, les dépenses en sécurité vont reprendre, mais de manière moins rapide que pour les autres dépenses IT. En 2009 pourtant, malgré la crise économique, les entreprises avaient maintenu leurs dépenses en matière de sécurité informatique, alors qu'elles réduisaient d'autres budgets.
La demande change. En 2010, d'après l'auteur de l'étude, Vic Wheatman, directeur de recherche au Gartner, les entreprises clientes recherchent plutôt des plateformes de sécurité comprenant : la sécurité des terminaux, les pare-feu de nouvelle génération, les passerelles de sécurité Web, e-mail et pare-feu multifonctions pour les agences. D'autres cherchent la meilleure solution possible, sans passer par une plateforme, par exemple sur l'évaluation de la vulnérabilité. Le plus souvent, ces clients cherchent aussi des contrats au moindre coût.
De nouvelles dépenses apparaissent également, liées à de nouvelles initiatives commerciales, avec l'identité complexe et la gestion des accès (IAM) ou la prévention des pertes de données (DLP). L'IAM est la priorité de 20% des entreprises interrogées dans l'enquête, en matière d'investissements dans la sécurité. Les quatre suivants sont : la prévention des intrusions, la gestion des correctifs, les DLP, les antivirus et la gestion d'identité. Le Gartner cite d'autres sujets possibles d'investissement en matière de sécurité : la mise en réseau d'hôtes, le télétravail salarié, la sécurisation des réseaux locaux sans fil, les cartes de paiement, les pistes d'audit de consolidation, la sécurité dans la gestion d'événements, les exigences des tests de pénétration, la prévention d'intrusion.
L'Europe est le continent où les entreprises consacrent la part la plus faible de leur budget à la sécurité, 4,3%, contre 5,5% par exemple aux Etats-Unis.
| < Les 10 documents précédents | Les 10 documents suivants > |