La sécurité du cloud computing

12 avril 2010

Le cloud computing a été désigné comme l’une des technologies et des priorités des entreprises pour 2010-2011.

Pour autant, comme toute nouvelle technologie elle ne va pas sans risque.  L’article de Global Security Mag revient sur une étude de Symantec Corp et Ponemon Institute : « Moins d’une entreprise sur dix évalue les mesures de sécurité des fournisseurs de services de cloud computing ou forme son personnel dans ce domaine ».

Selon cette enquête, la plupart des entreprises n’ont pas les procédures, règles et outils nécessaires pour garantir la sécurité permanente des informations sensibles stockées dans le « cloud ». Malgré les problèmes de sécurité et le développement attendu du cloud computing, seulement 27 % des entreprises interrogées ont mis en place des procédures de validation des applications de cloud computing utilisant des informations sensibles ou confidentielles. Force est de constater que, dans la plupart des entreprises, l’évaluation des fournisseurs de services de cloud computing n’est pas du ressort des responsables informatiques et de la sécurité qui devraient, en principe, s’en charger : 68 % des entreprises interrogées ont déclaré qu’elle incombait à des utilisateurs finaux et des directeurs d’unités métier. Seulement 20 % des sondés ont indiqué que leur équipe en charge de la sécurité de l’information était régulièrement impliquée dans le processus de prise de décision et environ un quart ont déclaré qu’elle n’y avait jamais participé. Cela dit, 69 % des sondés préféreraient voir le personnel interne en charge de la sécurité de l’information ou de l’infrastructure informatique diriger ce processus décisionnel.

Il ressort de l’enquête que les employés prennent des décisions sans avoir le point de vue de leur département informatique ou sans une parfaite maîtrise des risques de sécurité associés au cloud computing. Seulement 30% des sondés évaluent les fournisseurs avant de déployer leurs produits.

– Autres résultats de l’enquête :

· Pour évaluer des services de cloud computing, les entreprises s’appuient sur le bouche à oreille (65 %), ainsi que les dispositions contractuelles et les garanties du fournisseur (55 % et 53 %, respectivement). Seulement 23 % exigent une preuve de conformité aux normes de sécurité telles que SAS 70, 18 % s’appuient sur des évaluations de sécurité internes et seulement 6 % sur des évaluations effectuées par des experts en sécurité ou des auditeurs.

· Pour plus de 75 % des sondés, la migration vers le cloud computing s’effectue dans des conditions pour le moins insatisfaisantes, et ce pour plusieurs raisons : manque de contrôle des utilisateurs finaux, ressources insuffisantes pour procéder à des évaluations correctes, pas de supervision du processus et évaluations figurant en bas de la liste des priorités.

· Seulement 19 % des entreprises interrogées proposent une formation générale sur la sécurité des données, couvrant les applications de cloud computing. Par ailleurs, 42 % des entreprises qui proposent une formation générale sur la sécurité des données n’y abordent pas spécifiquement les applications de cloud computing.

Retrouvez la suite de l’article et les recommandations sur le site du magazine.

Retrouvez également le point de vue de Microsoft dans le livre blanc que le géant de l’informatique vient de sortir.


Parad’IT : les scarewares

12 octobre 2009

Après les virus, chevaux de Troie, vers, clickjacking, Spyware, et autres malwares voici le … « Scareware » !!! En avez-vous déjà entendu parler ? Savez-vous ce que c’est ? S’agirait-il d’un « logiciel effrayant » ?

L’idée est presque bonne. Il s’agit en fait de jouer avec la peur des virus des internautes. Une fenêtre pop-up apparait sur l’écran indiquant à l’internaute qu’un virus (imaginaire) a été détecté, ou infecte son ordinateur, et vous recommande d’acheter un logiciel proposé pour l’éliminer. Bien sure, il n’y a pas de virus.

Les auteurs

  • Les éditeurs de solutions antivirus
  • Les hackers ou cybercriminels

Les cibles

Les buts

  • Augmenter la vente de (prétendus) logiciels de protection contre les logiciels malveillants et autres virus
  • Faire du Phishing
  • Conduire l’internaute à un site malveillant

Les risques

  • Télécharger des Spywares et malwares
  • Télécharger de faux antivirus. Exemple : Twitter a été la cible de scarewares redirigeant ses utilisateurs vers des sites infectés
  • Cliquer sur un lien conduisant à un site malveillant
  • Donner accès à vos données personnelles
  • Payer pour une solution inefficace voir un malware

Les solutions

  • Ne pas cliquer sur la fenêtre pop-up
  • Ne pas télécharger le logiciel proposé
  • Ne pas donner l’autorisation d’effectuer un scan de son disque dur
  • Microsoft s’est lancé dans une lutte acharnée contre ces pratiques
  • Google quant à lui banni les sites responsable de scarewares de l’indexation du moteur

Quelques éditeurs de scarewares à éviter

  • Registry Cleaner XP
  • Antivirus 2009
  • Malwarecore
  • WinDefender
  • WinSpywareProtect
  • Winfixer appelé aussi : ErrorSafe, WinAntiVirus, ou encore DriveCleaner
  • XPdefender

Si vous voyez apparaître une fenêtre pop-up avec le nom de l’un de ces éditeurs faites bien attention. Si vous avez été victime de l’un d’entre eux ou d’autres ne figurant pas sur cette short-list, n’hésitez pas à nous en faire part.


Parad’IT : La sécurité mobile en entreprise

4 octobre 2009

Le risque

Il existe plusieurs risques liés à l’utilisation des Smartphones pour l’entreprise.

  • Piratage de conversation
  • Piratage de SMS
  • Piratage voix (i.e. écoute)
  • Attaque réseau
  • Vol
  • Virus et autres vers

Une autre menace provient de l’iPhone. En effet ce Smartphone populaire possède de nombreuses failles :

  • Possibilité  d’accéder aux données sensibles de l’entreprise (fuite de données importante)
  • Possibilité de contourner facilement le mot de passe
  • Possibilité de contourner le chiffrement en exploitant une erreur de conception de la fonction de sauvegarde des données, durant la synchronisation avec le PC
  • Impossibilité de bloquer le téléphone à distance
  • Impossibilité de chiffrer les données sur le téléphone

Les solutions

Il existe cependant des solutions de sécurisation, en voici quelques unes.

– Utiliser des terminaux ultra sécurisés comme le Sectera Edge de General Dynamics C4 System (équipant la NSA et le Président Barack Obama) (pas vraiment bon marché…)

– Équiper tous les téléphones et Smartphone de fonction de l’entreprise d’un spyware :

  • Cryptosmart Mobile par Ercom : il s’agit d’une carte micro SD qui utilise la technologie de chiffrement multi réseau et stocke les clés de chiffrement et les éléments de sécurité. Cette carte crypte les conversations, quel que soit le réseau utilisé et peut être utilisée indifféremment et successivement sur un téléphone chiffrant, un réseau privé virtuel, un modem sécurisé de télémaintenance ou un système de bureau mobile sécurisé avec messagerie en mode push. Elle est compatible avec Windows Mobile (mais pas l’iPhone)
  • Cryptosmart Gateway : gère l’authentification et la sécurisation des flux entre les terminaux en dehors de l’entreprise et l’infrastructure informatique et téléphonique de l’entreprise
  • Pour l’iPhone : DeviceLock 6.4 de DeviceLock, permet aux entreprise de contrôler l’utilisation professionnelle quotidienne de l’iPhone, à savoir définir des autorisations pour le transfert des données iPhone/PC, auditer gérer les accès, encryptage de données sur support mobile…
  • iAnywhere Mobile Office : permet, en cas de perte ou de vol, de bloquer le terminal à distance et d’administrer les paramètres de sécurité, et de stocker les données de l’entreprise dans des conteneurs chiffrés.

– Utiliser un système d’authentification forte :

– Exiger des salariés de ne stocker aucune donnée de l’entreprise sur le Smartphone (un peu radical).

Si vous connaissez d’autres failles et d’autres solutions moins couteuses n’hésitez pas à nous en faire part.


Parad’IT : Cyber-sécurité et automatisme : dispositif en vigueur et solutions possibles de protection (2)

28 septembre 2009

Constat : La gestion des systèmes physiques par des systèmes informatiques est de plus en plus répandue. D’abord les services publics, les infrastructures critiques et de maintenant les industries traditionnelles. D’où un accroissement des risques liés aux systèmes programmés de contrôle de procédés, notamment, les SCADA, Supervisory Control and Data Acquisition (Système d’acquisition et de contrôle des données, utilisées pour commander et surveiller l’application de protocoles industriels tels que le déclenchement d’approvisionnement en eau, la génération d’énergie électrique…). Vulnérabilité soulevé lors du « 2009 SCADA and Process Control Summit » organisé par le SANS Institute.

Il existe déjà un dispositif de normes en vigueur et des solutions de sécurisation à appliquer dans le cadre de la protection de ces systèmes de contrôle, l’appareil réglementaire est cependant insuffisant. C’est pourquoi des organismes tels que l’International Society for Automation, réfléchissent à des solutions toujours plus poussées pour protéger les systèmes d’automatisme.

Les normes  en vigueurs

Les acteurs de la sécurité des systèmes industriels informatisés

Les acteurs actifs dans l’étude de la protection des systèmes informatisés des infrastructures critiques et la normalisation
  • IEC : International Electrotechnical Commission
  • ISA : International Society for Automation
  • AGA : The American Gas Association
  • NIPC : National Infrastructure Protection Center (USA)
  • CNPI : Centre for the protection of national infrastructure (UK)
Quelques éditeurs de solutions de protection

Solutions possibles pour les entreprises

  • Utilisation de logiciels de protection spécialisé d’un des acteurs mentionnés ci–dessus
  • Définition d’un Cyber-Security Management System (CSMS) par les entreprises (système de gestion de la cyber-sécurité)

La problématique de la sécurité des systèmes informatisés des infrastructures critiques ne cesse d’évoluer et, est un sujet complexe. Si vous avez de plus amples informations sur le sujet, n’hésitez pas à nous en faire part.


Parad’IT : Cyber-sécurité et automatisme : approche (1)

20 septembre 2009

Une problématique rarement soulevée est celle de la vulnérabilité des systèmes d’automatismes. En effet, le monde industriel, et les applications de la vie quotidienne en générale, notamment les sites sensibles et les infrastructures stratégiques telles que les équipements aéroportuaires, portuaires, les moyens de transports, réseaux électriques et de télécommunication  … utilisent des systèmes de contrôle pour fonctionner or, ces installations peuvent être victimes de cyberattaques.

La nécessité de la protection de ces procédés est apparue évidente depuis les attentas du 11 septembre 2001. Prise de conscience selon laquelle il était possible pour des terroristes de prendre le contrôle sur le pilotage de ces infrastructures stratégiques et sites symboliques, et par conséquent de bloquer soit les moyens de transports, soit la distribution des eaux, les réseaux de télécommunications ou encore l’éclairage public et la signalisation… ce qui entraînerait la paralysie d’un État.

L’évolution de l’informatique et des systèmes d’informations ces dernières années a accru cette vulnérabilité, car on utilise de plus en plus les réseaux et l’informatique dans les systèmes de contrôle et d’automatisme. Ce constat a fait l’objet d’une étude de l’Instrumentation Systems and Automation Society (ISA) sur La cyber-sécurité dans les systèmes d’automatismes et de contrôle des procédés.

Plusieurs failles possibles

  • Les bandes ouvertes de fréquences ou réseaux sans fil : Wifi, Bluetooth…
  • Le manque de sécurisation des systèmes informatiques
  • Le défaut de contrôle d’accès
  • Le défaut de protection des équipements terminaux au profit des équipements centraux
  • Le défaut de sensibilisation des professionnels de l’automatisme aux problématiques d’intrusion et de sécurité informatique

Les cibles

  • Les entreprises
  • Les institutions financières
  • Les médias et télécommunications (presse, télévision, opérateur téléphoniques et autres FAI)
  • Les services de santé publique et de secours (hôpitaux, pompiers, police…)
  • Les services publiques (banques, sécurité sociale, ministères…)
  • Les installations de gestion des télécommunications (centrales téléphoniques…)
  • Les sites de productions et de distribution d’énergie (eau, électricité, nucléaire…)
  • Sites portuaires et aéroportuaires
  • Les réseaux de transports
  • Les réseaux de signalisations (feux tricolore, ponts, barrières ferroviaires…)
  • Les infrastructures de produits pétroliers (plateforme offshore, raffinerie, réseaux de stations services

Les auteurs

  • Hackers
  • Concurrents
  • Ancien salarié mécontent
  • Terroristes

Les causes

  • Malveillance (concurrence, acte de vengeance)
  • Espionnage (concurrence)
  • Cyber-terrorisme

Les conséquences

  • Atteinte à la sécurité de la santé publique, des salariés, ou des usagers
  • Atteinte à la sécurité nationale
  • Atteinte à la réputation d’une entreprise
  • Perte de production
  • Perte ou détournement d’informations sensibles ou de données personnelles
  • Paralysie de l’infrastructure
  • Violation des dispositions réglementaires

Parad’IT : Cybercriminalité en entreprise

30 août 2009

Tous les professionnels de la sécurité sur Internet s’accordent sur le fait que les menaces en provenance d’Internet ne cessent de s’accroître depuis le début de l’année. D’abord, le rapport 2009 sur la sécurité de Sophos. L’éditeur de solutions de sécurité fait état de la recrudescence des attaques ayant presque doublé depuis juin 2008 : 22,5 millions de malwares différents, une nouvelle page infectée découverte toutes les 3,6 secondes, 89% des courriers professionnels étant du spam. Ensuite, G Data qui, quant-à lui, a identifié 663 952 programmes malveillants pour le 1er semestre 2009… Sans compter la part majeur que prennent les réseaux sociaux dans le danger du web pour les sociétés, principaux acteurs de la montée de la cybercriminalité en entreprise !

Qu’est-ce que la cybercriminalité ?

Il s’agit de l’ensemble des activités criminelles commises par, avec, ou au moyen des nouvelles technologies de l’information, généralement un système informatique relié à un réseau. Il existe plusieurs définitions, les plus communément admises étant celles de l’Organisation pour le développement et la coopération économique (OCDE) « tout comportement illégal ou contraire à l’éthique ou non autorisé, qui concerne un traitement automatique de données et, ou de transmissions de données ». et celle de l’Organisation des Nations unies (ONU) « tout fait illégal commis au moyen d’un système ou d’un réseau informatique ou en relation avec un système informatique ».

Les faits constitutifs :

  • TIC outil : Spam, Phishing, vol de données, social engineering, fraude, usurpation d’identité, pornographie, pédopornographie, cybersquatting…
  • TIC cible : Attaque par déni de service (DOS), Logiciels malveillants : malware, spyware, virus, ver, cheval de Troie…

Quels dangers pour les entreprises ?

  • On parle principalement de la perte, de la détérioration ou du vol de données. Dommage considéré comme étant celui qui coûte le plus cher, car il est souvent difficile d’évaluer la valeur d’une données.
  • L’utilisation des réseaux sociaux comme vecteurs d’attaques du réseau ou du parc informatique de l’entreprise. (Exemple de Twitter, Facebook ou MySpace pour diffuser des logiciels malveillants)
  • L’usurpation d’identité et la fraude nuisent gravement à la réputation d’une entreprise, notamment la contrefaçon de marque et le cybersquatting.

Quelles sont les solutions à préconiser par les entreprises ?

  • Une solution de protection totale (anti malware, antispyware, antiphishing, anti spam…). Les solutions actuellement adoptées par la majorité des entreprises et plus ou moins efficaces sont celles d’éditeurs tels que Check Point Software, numéro un mondial des pare-feux, McAfee, Kaspersky Lab, F-Secure, Trend Micro
  • Tous bons logiciels qu’ils soient ils comportent des failles. Il faut donc les assortir d’une politique de sécurité à respecter, la principale menace venant de l’intérieur. Ne pouvant pas empêcher les salariés d’utiliser les réseaux sociaux, au moins en contrôler les accès et l’utilisation, éviter de cliquer sur des liens suspects…
  • Utiliser des outils de cryptage et chiffrement des données, mettre en place un système de classification, verrouiller les dossiers clés présents sur les ordinateurs à l’aide d’un mot de passe, faire régulièrement des backups (sauvegardes).
  • L’éditeur de solutions de sécurité RSA a l’intention de sortir une console capable d’harmoniser les différentes politiques de sécurité, l’Information Risk Management (IRM) qui sera combinée à la suite RSA DLP. Cette solution permettra de tracer, classifier, et protéger l’information, ainsi que surveiller tout élément suspect non conforme aux politiques de sécurité. Avec par un exemple un processus d’authentification pour accéder aux données sensibles, ou encore le chiffrage automatique de données.

Avez-vous d’autres astuces ou techniques afin d’éviter aux entreprises d’être la cible des cybercriminels ?


Parad’IT : la sécurité des données en entreprise

16 août 2009

La sécurité des données en entreprises est un sujet récurent revenant fréquemment ! Parce que… TRÈS important. Entre la perte ou le vol des outils de travail (ordinateur portable, PDA, téléphone mobile, clé USB…), les virus et autres pathologies informatique, … la vulnérabilité ne cesse de s’accroître.

En cause :

Face à cela, nombreux sont ceux qui proposent de nouvelles solutions et de nouveaux projets, ayant pour but soit de protéger les données de l’entreprise, soit de protéger le réseau, le parc informatique et le SII de l’entreprise. Citons par exemple :

  1. Microsoft Office Isolated Conversion Environnement (MOICE) : permet d’ouvrir des documents Office suspects de manière sécurisée.
  2. Microsoft Security Update Guide : livre blanc permettant aux entreprises d’évaluer les risques d’intrusion, de faille, et de vulnérabilité afin de les aider à déterminer les mises à jour adaptées.
  3. Project Quant : projet (en version d’évaluation depuis juin 2009) qui permettra aux entreprises d’ajuster leur politique de sécurité à leurs besoins et à leurs ressources
  4. Microsoft Office Visualization Tool (OffVis) : logiciel d’audit  capable de détecter et détruire les vulnérabilités et les attaques visant les documents Microsoft office en « .doc », «  xls », « .ppt »…
  • Un nouveau modèle d’ordinateur Fujitsu : qui sera équipé d’un Personal Handy Phone System (PHP) pouvant être commandé par téléphone pour supprimer les données qui y sont stockées. Ces informations seront effacées sans possibilité de les récupérer même si l’ordinateur est éteint.
  • La centralisation du contrôle sur un serveur externe : initiative des groupes Hitachi et NEC grâce à laquelle les machines accèdent directement aux informations par le biais d’un client.

Avez-vous déjà été utilisateur d’une de ces solutions ? Si oui N’hésitez pas à nous en parler et nous faire part de vos impressions (forces, faiblesses, avantages, inconvénients).