Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Unisys : les cinq enjeux de sécurité pour 2008

janvier 2008 par Marc Jacob Unisys

Unisys Corporation publie ses prévisions pour 2008 en matière de sécurité. Face à l’évolution rapide de la sécurité dans les entreprises et les administrations, il est essentiel de prévoir les futures risques et tendances afin de planifier, prévenir et gérer les menaces susceptibles de compromettre l’intégrité des actifs d’une organisation. Les menaces émergentes pour la sécurité, conjuguées à l’utilisation accrue de nouvelles technologies, voire leur dépendance vis-à-vis de celles-ci, font peser un certain degré d’incertitude sur les professionnels de l’informatique au sein de nombreuses entreprises et administrations.

« Maintes entreprises ont tendance à regarder la sécurité dans le rétroviseur, se débattant pour trouver une solution à un problème de sécurité après sa survenue. Pour combattre les nouvelles menaces et faire face à l’évolution des demandes de l’utilisateur final, les professionnels de l’informatique doivent convaincre leur employeur de traiter la sécurité comme une fonction stratégique, qui anticipe les besoins des utilisateurs, prévoit les risques futurs et développe des solutions exploitables pour répondre aux événements potentiels dans le domaine de la sécurité », commente Tim Kelleher, vice-président Enterprise Security des entreprises d’Unisys.

Afin d’aider les administrations et les entreprises à se préparer et à gérer les menaces potentielles pour la sécurité en 2008, les experts d’Unisys prévoient les cinq tendances suivantes au cours de cette nouvelle année :

1. La protection des données sur les terminaux mobiles demandera plus d’attention et deviendra de plus en plus difficile

Face à la multiplication exponentielle des terminaux mobiles grand public (téléphones mobiles, PDA…), les entreprises se débattent pour traiter les questions de sécurité au moyen de mots de passe et d’autres mesures de contrôle d’accès. Ce faisant, toutefois, nombre d’entre elles ne s’attaquent pas à la véritable menace. Elles ne voient pas au-delà du terminal physique et négligent souvent de protéger les données stockées sur ce dernier, qui ne sont pas seulement précieuses pour leurs propriétaires mais constituent aussi une cible croissante pour les auteurs d’usurpation d’identité et de vol.

La protection des données représente un souci croissant chez les consommateurs. De fait, l’étude Unisys Security Index révèle que près de 70% des Américains sont très voire extrêmement préoccupés par un accès illicite ou une utilisation abusive de leurs informations personnelles.

« La signature numérique et le chiffrement sont certes cruciaux pour la protection des données, mais ils doivent s’inscrire dans un plan de sécurité global, prévoyant par exemple quand et comment les données peuvent être transmises d’un terminal à un autre. Faute d’un tel plan, l’entreprise s’apercevra que les données résidant sur ses terminaux mobiles sont soit trop vulnérables aux failles potentielles, soit trop sécurisées pour rester exploitables. Il faut donc trouver un juste milieu entre les deux pour obtenir une solution de sécurisation qui préserve la productivité des utilisateurs », explique Tim Kelleher.

2. Les banques vont se trouver confrontées à de sérieux problèmes pour protéger les données et les actifs financiers des consommateurs à mesure que les clients effectuent en nombre croissant des transactions à partir de terminaux mobiles

La banque mobile a le vent en poupe et va continuer de gagner en importance, avec plus de 35% des foyers se servant de terminaux mobiles pour accéder à leur banque en ligne et effectuer des transactions financières à l’horizon 2010, selon une récente étude Celent[1]. La poursuite de cette tendance accentuera les risques pour la sécurité.

C’est particulièrement le cas des téléphones mobiles incorporant des puces radio (RFID) ou sans contact (NFC), permettant d’effectuer une transaction à la manière du franchissement d’un portillon dans le métro au moyen d’un passe. En raison de la conception de la technologie NFC et de la façon dont elle est utilisée par les consommateurs, ces terminaux peuvent être exposés à des attaques de type « phishing » (c.à.d. des messages fallacieux tentant d’amener le titulaire d’un compte à divulguer des données personnelles). Une autre menace réside dans les codes malveillants cherchant à contourner les mécanismes de sécurité pour permettre à des utilisateurs non autorisés de s’approprier les identifiants d’autrui.

De telles attaques contre la banque en ligne pourraient mettre à mal la confiance déjà ébranlée des consommateurs vis-à-vis du secteur bancaire et financier, tout en exposant les banques à un renchérissement de leurs primes d’assurance, les compagnies cherchant à les tenir responsables des failles de sécurité. L’étude Unisys Security Index révèle que 40% des Américains sont très voire extrêmement préoccupés par la sécurité de la banque ou du commerce en ligne.

Alors que les établissements financiers continuent de voir se développer le nombre d’utilisateurs de la banque en ligne, ils doivent mieux intégrer leurs processus et solutions métiers pour prévenir les fraudes et envisager de nouveaux modèles économiques. Les banques doivent nouer des alliances plus efficaces avec les opérateurs de télécommunications et mutualiser leurs connaissances en matière de sécurité au bénéfice de leurs clients. Les prestataires de services doivent également mettre en place des programmes complets et interactifs de sensibilisation des consommateurs aux risques et mesures de protection pour les clients des banques.

3. Les entreprises chercheront à accentuer la convergence de la sécurité physique et électronique (c.à.d. informatique) afin de mieux se protéger contre l’espionnage industriel

La convergence de la sécurité physique et électronique continuera d’engendrer de nouveaux gains d’efficacité économique dans les entreprises tout en renforçant la protection des personnes, des systèmes informatiques et des actifs physiques critiques.

« La convergence est l’un des moyens les plus efficaces de suivre le rythme des menaces les plus susceptibles d’attenter à la sécurité des personnes, des données et des actifs physiques vitaux pour toute entreprise ou administration », souligne Tim Kelleher.

Pour préserver l’identité, l’authenticité et l’intégrité des actifs de l’entreprise, tant physiques qu’électroniques, il est nécessaire de disposer de robustes outils de fusion de données intégrant diverses technologies de détection et de surveillance à distance (authentification instantanée, détecteurs de mouvement, applications vidéo intelligentes, GPS, capteurs environnementaux sans fil, RFID…). Cette convergence se poursuivra pour permettre aux entreprises du secteur public ou privé de gérer et traiter des risques menaçant leur périmètre physique et électronique, leur image de marque, leur identité, leur personnel, leurs produits et autres précieux actifs.

Avec l’extension continue de la chaîne logistique globale, 2008 verra une utilisation accrue des technologies convergentes destinées à sécuriser le périmètre et les points d’accès, à protéger les données sensibles et à réduire les risques d’espionnage industriel. Les entreprises intégreront des dispositifs de sécurité physique et informatique qui, jusqu’à présent, étaient dans une large mesure distincts.

Ces systèmes intégrés de contrôle d’accès peuvent englober des détecteurs de mouvement pour surveiller les locaux, des badges d’accès et identifiants biométriques pour authentifier les collaborateurs, ainsi que des étiquettes RFID, à la fois pour identifier les conteneurs et leur contenu et révéler les atteintes à la sécurité.

Parmi les autres applications convergentes pouvant contribuer à atténuer les menaces face à des enjeux de sécurité complexes, citons le « pedigree » électronique (e-pedigree) garantissant l’intégrité des produits (par exemple pharmaceutiques), les réseaux de détection sans fil à maillage fort pour assurer la sécurité périmétrique ou encore les applications de surveillance intelligente.

4. Les entités du secteur public ou privé accorderont davantage d’attention à leurs documents papier et électroniques

L’économie mondiale est tributaire de la diffusion efficace des documents électroniques ou papier au sein des entreprises ou entre elles. Par exemple, dans le seul secteur des paiements aux Etats-Unis, le nombre de chèques traités sous forme d’images électroniques connaît une croissance mensuelle à deux chiffres. La Réserve fédérale traite aujourd’hui quelque 12,7 millions de chèques électroniques par jour, contre environ 25,3 millions de chèques papier. Selon les prévisions, la proportion devrait quasiment s’inverser d’ici la fin 2008, ces chiffres passant respectivement à 20,5 et 13,5 millions.

La multiplication des échanges électroniques crée des problématiques fondamentales en termes de sécurité. A titre d’exemple, de nombreux individus communiquent facilement des données critiques concernant leur personne ou leur entreprise sans réfléchir aux risques encourus lorsqu’un document passe de mains en mains.

« Nombreux sont ceux qui seraient surpris d’apprendre combien il est fréquent de voir des informations tomber dans de mauvaises mains parce qu’elles ont été communiquées, copiées, imprimées à mauvais escient ou tout simplement oubliées sur un disque amovible ou une imprimante », observe Tim Kelleher.

Tim Kelleher prévoit qu’en 2008, les entreprises mettront davantage de diligence à instaurer un contrôle plus strict de leurs données et documents transmis par voie électronique ou postale. Cela devrait vraisemblablement se traduire par un chiffrement plus systématique des informations sur les lecteurs et disques portables et des investissements accrus dans des solutions de gestion de droits au sein des entreprises. Ces dernières permettent aux propriétaires de données sensibles de les crypter et de contrôler la capacité des utilisateurs à imprimer, transmettre, copier ou modifier un document.

5. Les sites de contacts vont devenir de plus en plus vulnérables aux failles de confidentialité

La généralisation des technologies Web 2.0 va multiplier les risques d’une faille majeure de confidentialité via des sites de contacts tels MySpace, LinkedIn ou Facebook. En 2007, certains d’entre eux, et non des moindres, ont connu leurs premiers déboires dans ce domaine, une tendance qui est sans doute appelée à s’accentuer à mesure que ces sites seront de plus en plus nombreux à interconnecter leurs informations.

Les réseaux « peer-to-peer » (P2P) engendrent une multitude de risques pour la sécurité ainsi des vulnérabilités pour l’utilisateur final. Les partages de fichiers non autorisés, la duplication involontaire de courriels personnels et de carnets d’adresses, les fuites de données, l’interception de mots de passe ou de messages instantanés et l’installation de programmes malveillants via des logiciels clients P2P ne sont que quelques-uns des risques auxquels s’exposent les utilisateurs.

« Avec l’interconnexion de ces sites, il va exister de multiples références croisées entre les identifiants d’un membre. Si un pirate parvient à accéder à un premier compte, il pourra accéder à de nombreux autres. En outre, le caractère social de ces sites en fait un environnement propice à la divulgation, souvent excessive, d’informations », indique Tim Kelleher.

Les utilisateurs de P2P peuvent atténuer les risques en adoptant des mots de passe plus complexes, en mettant en place des mesures de sécurité telles qu’un pare-feu personnel, des outils antispyware, antiphishing et antivirus à jour, et en installant les plus récentes versions et mises à jours des logiciels clients P2P, navigateurs et système d’exploitation utilisés.

Avec les évolutions technologiques, l’utilisateur final pourra réduire les risques grâce à des structures d’annuaire fédéré digne de confiance et à des applications renforcées d’authentification et de chiffrement.

Tim Kelleher note que, même si 2008 apporte des opportunités de mettre à profit les formidables capacités de communication et de collaboration d’Internet et des applications Web, « le défi, comme toujours, consistera à trouver un équilibre entre la liberté d’échange des informations, leur protection et celle de l’identité et de la vie privée des individus. »


A propos de l’étude Unisys Security Index

Réactualisée périodiquement tout au long de l’année, l’étude Unisys Security Index met en lumière l’attitude des consommateurs à travers le monde sur diverses questions liées à la sécurité. Cette enquête est réalisée par ICR (International Communications Research) aux Etats-Unis et en Europe, et par Newspoll en Asie-Pacifique.




Voir les articles précédents

    

Voir les articles suivants