Ils parlent de Parad’IE

31 juillet 2009

Parad’IE a fait son entrée depuis quelques semaines sur le site d’Orca Security suite à sa rencontre avec Laurent Schmitte. (cf billet du 13 mai 2009)

Nous le remercions pour ce geste et la place qu’il nous a offerte dans l’onglet « partenaires institutionnels ».


Les dossiers du mois

28 juillet 2009

Les dossiers du mois :

  • L’étude sur les mots de passe (rue89): difficile d’avoir un mot de passe parfaitement sécurisé quand on apprend qu’une entreprise impose, en moyenne, 10 mots de passe à chaque employé (Ces derniers ayant également une vie privée remplie de mots de passe). L’environnement avec identification unique se développe dans les sociétés. Alors en attendant que tout cela se concrétise, essayez d’être original et évitez le trop simple « 123456 » ou encore « azerty »
  • L’étude Websense sur la sécurité informatique des entreprises, qui parle notamment de la confiance surement trop grande des managers vis-à-vis de cette sécurité.

Les chiffres du mois

28 juillet 2009
  • L’étude de Trend Micro met également en évidence l’absence d’inquiétude des directeurs d’entreprise face à la sécurité informatique. La plupart d’entre eux craignent plus la faillite (43%) ou la mauvaise réputation (20%) que le vol de données (10%). En termes de priorité, l’ordre n’est pas surprenant. Par contre même si l’on n’en fait pas sa priorité on peut être très inquiet par de tels résultats en terme de prévention et de sensibilisation.
  • etude kapersky
  • Les principales inquiétudes des dirigeants d’entreprises (DCRI)

.


Le mois de parad’IE

28 juillet 2009

Alors que Parad’IE se reposait quelques jours, la vulnérabilité des entreprises n’a cessé d’être mise en avant. Retour sur l’actualité de la sécurité économique.

Ils ont fait la une des médias, des blogs et de nos flux le mois dernier et méritaient une attention particulière !

Au centre de l’actualité :

  • la protection des données personnelles, notamment sur les lieux de travail :
    • La conservation indéfinie des données des personnes désinscrites de Facebook vient d’être sanctionnée par la justice canadienne. Quand on connaît la loi de la CNIL pour la protection des données personnelles, cette décision, bien qu’internationale devrait faire jurisprudence. En attendant, prudence !
    • Hadopi ou Facebook qui contreviennent à la sécurité des données et qui est une entrave à la vie privée ! Vaste blague pour cette ville du Montana qui demande directement les login et mots de passe de ses futurs employés pour s’assurer de leur intégrité. Est-ce que l’intégrité des uns ne s’arrête pas là où commence celle des autres ??
    • Cette disposition est d’autant plus grave que 74% des employés ne semblent pas maîtriser réellement les risques liés aux réseaux sociaux et cette difficulté risque de s’accentuer puisque les entreprises consentent de plus en plus à laisser les employés utiliser le web 2.0 sur leur lieu de travail. « 90% des responsables  informatiques des grandes entreprises considèrent que les anciens employés ne représentent aucun danger pour la sécurité du système » Eh bien, il faudrait leur envoyer plus souvent les résultats d’enquêtes et les billets de certains blogueurs. La réalité les surprendrait sûrement.
  • Et l’élaboration à différents échelons de solutions :
    • MAM et NKM organisent la réunion d’un comité scientifique qui devra élaborer le livre blanc sur la cybersécurité. Sortie prévue en Septembre !!
    • NKM souhaite également voir se développer une charte d’authentification sur Internet afin de lutter contre l’usurpation d’identité.
    • Https généralisé ! En effet, face à la prolifération des données circulant sur le web, et notamment des informations sur les entreprises, Google a décidé de développer ce protocole de sécurité à tous ses outils et logiciels. Cela évitera surement à Twitter de voir la boite email de ses employés piratée et les comptes récupérés !
  • Le monde de la finance touché par l’espionnage :
    • La Suisse, un paradis fiscal, victime des espions. Ces actions, organisées semble–t-il par des pays de l’Est, ne semblent pas nouvelles. Pour Jürg Bühler, elles sont de plus en plus en augmentation constante.
    • Les traders en ont pris pour leurs grades ces dernières semaines avec les sauts d’humeur de la bourse. La stabilité et la sécurité du système boursier et bancaire ont été largement critiquées. Sergei Aleynikov offre une nouvelle raison d’être inquiet. En effet, cet immigré russe, naturalisé américain est accusé d’avoir volé à son employeur le code source d’un logiciel de trading, capable de générer automatiquement plusieurs ordres de change. De quoi provoquer de nouveaux rebondissements !

Dans le reste de l’actualité :

  • 300 000 pages de données sensibles volées. Cela été un joli coup, mais l’ingénieur chinois de 73 ans a été rattrapé par la justice américaine.
  • « 3000 firmes françaises victimes d’ingérence économique ». D’espionnage vous voulez dire ??? Oui sauf que dans la plupart des cas mentionnés par la DCRI, il s’agit de « modes opératoires légaux » alors la différence est peut être subtile mais ce n’est pas de l’espionnage. Dans ce cas on parle d’intelligence économique !!
  • Bruxelles point d’orgue des politiques européens, place d’affaires où les grandes entreprises européennes n’hésitent pas à faire valoir leurs intérêts, haut lieu de lobbying est aussi le repère des espions étrangers, intéressés par les futures dispositions européennes. Il semblerait que leur travail soit facilité par la faiblesse du système informatique et par le manque d’assiduité dans le respect des protocoles de sécurité.
  • Cette histoire est particulièrement intéressante car elle montre à toute les entreprises, grandes et surtout petites qu’elles sont aussi confrontées à la guerre économique.
    • Le lieu : Nice, promenade des anglais
    • Les protagonistes : M Gwen Le Jolivet, nouveau gagnant du marché public du petit train et Mme Eisenreich, l’ancienne exploitante, nouvelle perdante !
    • Quand : cet été
    • Pourquoi : parce que la saison touristique bat son plein et que leurs chiffres d’affaires respectifs en dépend.
    • Comment : Promotion anticoncurrentielle, armada de femmes espions, armées de radios qui surveillent les allées et venues de la concurrence, appel devant le tribunal administratif, saisine de la préfecture.

C’est sûr, cette année, le feuilleton de l’été se jouait dans la baie des anges !!!


Parad’IT : l’ANSSI à l’assaut des cybers-attaques… contre l’État

12 juillet 2009

Le Livre Blanc sur la défense et la sécurité nationale du 17 juin 2008 prévoyait la création d’une Agence Nationale de Sécurité des systèmes d’informations (ANSSI) devant succéder à la Direction Centrale de la Sécurité des Systèmes d’informations (DCSSI), eh bien voilà qui est chose faite !!! L’ANSSI, qui comme son prédécesseur sera placée sous la tutelle du Secrétariat général à la défense national (SGDN) et du premier ministre, a été lancée le mardi 8 juillet 2009.

Ses missions :

–       La défense informatique

  • La sécurisation des réseaux de l’État
  • Responsable des réseaux interministériels sécurisés (RIMBAUD et ISIS)
  • Le déploiement d’un système de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de l’État : « service de veille, de détection, d’alerte et de réaction aux attaques informatiques »
  • La création d’un centre de détection précoce des attaques informatiques (CERTA)

–      Le développement de produits de très haute sécurité et des réseaux de confiance

–      Conseil aux administrations et au secteur privé

–      Développement de la sécurité dans la société de l’information via le portail de la sécurité informatique

Assurer la continuité des missions de DCSSI :

–      La labellisation des produits de sécurité

–      La création d’un réservoir de compétence pour les administrations et les opérateurs

–      Chargée de la promotion des technologies, des systèmes et des savoir-faire nationaux en technologie numérique

Présenté ainsi, cela à l’air d’un conte merveilleux : la solution aux cybers menaces et cybers attaques aurait-elle été trouvée ? Avec cette double compétence préventive (grâce au centre de détection des cybers menaces, aux produits de sécurités labellisé, à la sensibilisation de la société de l’information) et défensive (protection des réseaux d’État).

Juste deux questions : où se trouve le volet offensif de ses missions ? Ah… il n’y en a pas. Et à part l’État, peut-il s’occuper de moi ou de mon entreprise ? Pas encore ? Encore un organisme non seulement dépourvu de force contraignante, mais en plus réservé aux ministres… En effet, si l’ANSSI collabore avec la police pour exercer son mandat, il ne s’agit pas pour autant d’un organisme de lutte contre la cybercriminalité (pas encore), de plus elle ne peut pas disposer d’un droit de regard sur ce qui se passe au niveau des DNS, ni obliger les entreprises victimes d’attaques à lui en communiquer les détails.

Quelle sera la prochaine étape de la lutte contre les cybers menaces (pas seulement au niveau gouvernemental), et surtout en matière de cybercriminalité ? Peut-être que cette fois ci se seront ces organismes qui passeront à l’attaque et peut-être que toute la société de l’information (opérateurs privés, particuliers, entreprises et… organismes étatiques) pourront en profiter. On pourra enfin parler de « traque » des cybercriminels ou des potentiels cybers menaces…


Parad’IT : Pèriclès : la chasse aux criminels à portée de clic !!!

6 juillet 2009

Avez-vous entendu parler de la cousine d’EDVIGE, l’Application judiciaire dédiée à la révélation des crimes et délits en séries (AJDRCDS), communément appelé PERICLES?

Le principe, à peu près le même que celui d’EDVIGE, sera posé dans la Loi de programmation et d’orientation pour la sécurité intérieure numéro 2 (LOPPSI 2) prévoyant toute une série de mesures de protection de l’internaute. Il s’agit d’un moteur de recherche spécialement élaboré permettant de recouper les informations de divers ordinateurs, diverses bases de données (permis de conduire, cartes grises…), fichiers d’antécédents judiciaires (STIC, JUDEX), bases de données administratives (sécurité sociale, fisc…), systèmes d’informations d’opérateurs privés (banques, FAI, opérateurs téléphoniques…) et… nouveauté : la prise en compte de sources ouvertes, recherches basiques sur Google et les réseaux sociaux (Facebook, Twitter…). « Plus Périclès intègre de fichiers interopérables », plus les chances de recoupement sont élevées et le processus efficace.

Cela semble utopique posé ainsi, une méthode efficace pour retrouver les auteurs de crimes et délits ; la protection ? Oui ! Mais à quel prix ? PERICLES est remis en cause, car, comme EDVIGE, il soulève un problème éthique, celui de la liberté individuelle. En effet, non seulement, le fichier collecte des données faisant parties du quotidien de chacun (factures, permis de conduire, n°  de Carte Bleue…) aussi bien suspect comme victime quel que soit son âge, mais en plus, selon ses résultats, il sera possible de mettre des chevaux de Troie dans les ordinateurs avec l’accord d’un juge, ou encore, de procéder à des écoutes téléphonique !!!

Après STIC, HADOPI, CRISTINA, et HERISSON, quel sera l’avenir de PERICLES ? Son efficacité sera-telle prouvée ou remise en cause ?