Global Security Mag Online

Près de 2/3 des français considèrent le télétravail comme une clé de la satisfaction professionnelle, selon GrIDsure

GrIDsure — 2010-09-09T17:49:50Z

GrIDsure dévoile les conclusions d'une enquête sur le télétravail réalisée auprès de plus de 100 employés français qui travaillent sur ordinateur*. L'étude révèle que 64% d'entre eux considèrent le télétravail comme un critère essentiel dans le choix d'un nouvel emploi et un élément primordial dans l'appréciation de leur poste. Pourtant, si le télétravail est fortement plébiscité par les employés interrogés, seuls 7% d'entre eux y ont réellement accès.

« Au cours des cinq dernières années, les employés sont devenus plus mobiles dans leurs habitudes de travail, et il est de plus en plus important pour eux d'avoir accès à des outils et des ressources leur permettant de travailler à distance. Les entreprises françaises doivent pouvoir anticiper les attentes de leurs employés dans ce domaine et mettre à leur disposition des solutions adaptées », commente Stephen Howes, président-directeur général de GrIDsure. « Ce sondage met en lumière l'importance des technologies avancées qui offrent une plus grande connectivité. Ces solutions sont particulièrement importantes dans les structures où le personnel utilise un ordinateur personnel sans authentification pour accéder au réseau - imaginez ce que certains téléchargent par inadvertance sur les serveurs de leur entreprise ! »

Cette enquête nous apprend que :

Satisfaction au travail - 64% des professionnels considèrent le télétravail comme un facteur essentiel dans le choix d'un emploi. Il entre également en ligne de compte dans l'évaluation de leur poste.

Lieu de télétravail – Plus d'un tiers des personnes interrogées travaillent à distance depuis leur domicile (38%) et 7% font du télétravail pendant leurs congés.

Importance du télétravail - Seuls 7% des professionnels ont travaillé depuis leur domicile cet été ; 19% des sondés effectuant des tâches compatibles avec le télétravail souhaiteraient y avoir accès mais leur employeur ne leur offre pas cette possibilité ; 3% des sondés ont travaillé à distance pour la première fois cet été.

Authentification des télétravailleurs - 18% des professionnels se connectent en utilisant un ordinateur professionnel. Cependant, 8% d'entre eux se servent de leur propre ordinateur, et 25% ne possèdent aucune sécurité particulière pour accéder au réseau de leur entreprise.

« Pour permettre à tous leurs employés, quel que soit leur niveau de connaissance technique, d'accéder à distance au réseau et de bénéficier d'une connexion fluide et sécurisée, les entreprises doivent réfléchir à des solutions simples et faciles à mettre en œuvre. Aujourd'hui, beaucoup se contentent de mots de passes alambiqués ou de périphériques externes n'offrent pas toujours un degré de sécurité suffisant. GrIDsure propose des codes logiciels à usage unique simples d'utilisation, garantissant une sécurité renforcée et pouvant être déployés sans frais. Une solution alternative idéale pour les entreprises qui souhaitent assurer des conditions de télétravail optimales à leurs collaborateurs », poursuit Stephen Howes.

*Sondage réalisé par Red Shift Research pour le compte de GrIDsure en août 2010 auprès de 101 professionnels utilisant des PC pour leur travail.

Panda Security publie son baromètre international 2010 de la sécurité des PME

Panda Security — 2010-09-09T12:35:50Z

Pour la deuxième année consécutive, Panda Security publie un baromètre international de la sécurité informatique des PME. Ont participé à cette enquête internationale près de 10 500 entreprises, de 2 jusqu'à 1 000 postes, situées en Europe, Amérique Latine, États-Unis et Canada. Par rapport à l'année dernière, les PME françaises se sont améliorées au niveau de la mise en place de mesures de sécurité et sont maintenant en tête (94% des entreprises françaises disposent d'une solution de sécurité). Cependant, plus d'une PME française sur deux (53%) a subi une infection de virus, contre 49% et 34% respectivement en Europe et Amérique du Nord.

Si la majorité des entreprises ont conscience de l'importance d'avoir une protection, 7% pensent encore que c'est accessoire. En France, seules 6% des entreprises déclarent ne pas avoir installé de système de sécurité, soit bien moins que dans les autres régions du monde (de 11 à 13%). Dans le monde, 17% des petites et moyennes entreprises utilisent des solutions de sécurité gratuites pour se protéger (en France ce sont seulement 2%).

Bien qu'en France un pourcentage élevé d'entreprises sont protégées, un grand nombre a souffert d'infection de virus au cours de l'année précédente (53% en France, 52% dans le reste du monde).

Avec Internet, les emails sont toujours le principal point d'entrée des menaces. Il s'est produit également une hausse significative des infections via des périphériques USB (27% des entreprises ont ainsi été infectés) tandis que le Peer-to-peer et la messagerie ont entraîné un moins grand nombre d'infections par rapport à l'année passée.

La perte de temps et de productivité ainsi que le dysfonctionnement des ordinateurs sont les principales conséquences des infections, devant la perte d'informations.

Globalement, les entreprises déclarent avoir maintenu le même budget sécurité que l'année passée. Par ailleurs, 72% des PME françaises disent disposer d'une personne dédiée à la gestion de la sécurité, contre 67% dans le reste de l'Europe, 68% en Amérique Latine et 60% aux États-Unis et au Canada. Des chiffres en légère augmentation par rapport à l'année dernière.

Vous pouvez télécharger le Baromètre 2010 de la sécurité des PME à l'adresse suivante : http://blog.pandasecurity.fr/doc/Ba...

Etude Check Point - Institut Ponemon : Utilisation des applications Web 2.0, les salariés français ignorent les consignent de sécurité

Check Point® Software et le Ponemon Institute — 2010-09-08T11:16:20Z

Check Point® Software et le Ponemon Institute, un cabinet spécialisé dans le domaine de la gestion et la protection des données, publient les résultats d'une étude internationale sur la Sécurité sur le Web 2.0 en milieu professionnel. Selon cette étude, les réseaux sociaux et les applications Web 2.0 constituent une menace de sécurité pour l'entreprise selon 74% des organisations françaises interrogées. Les administrateurs de la sécurité informatique citent en premier lieu les virus, la baisse de la productivité, la perte de données et les logiciels malveillants comme les principaux risques liés à l'utilisation du Web 2.0 en entreprise. Pas moins de 81% d'entre eux envisagent de déployer une solution ciblée au cours des cinq prochaines années.

Selon l'enquête, menée en France auprès de 400 administrateurs de la sécurité informatique, la majorité des personnes interrogées considère que c'est au personnel des ressources humaines, des services informatiques et aux administrateurs de la sécurité qu'il revient de gérer les risques de sécurité liés à l'utilisation des applications Web 2.0 en entreprise. 52% des répondants considèrent que les utilisateurs ne tiennent pas ou peu compte des risques informatiques lors de leurs échanges professionnels de tous les jours, lorsqu'ils naviguent sur le Web en entreprise, téléchargent des applications, lorsqu'ils ouvrent des liens ou s'aventurent sur des sites de réseaux sociaux. Bien qu'ils offrent une pléthore d'avantages pour les entreprises, les applications du Web 2.0, et les sites tels que Facebook, Twitter, YouTube, les sites de partage de fichiers (peer-to-peer) et autres, constituent néanmoins un vecteur d'attaques pour le moins redoutable pour les entreprises, et jouissent d'une popularité croissante auprès des pirates.

Autres résultats de l'enquête :

· Une préoccupation secondaire - Malgré la forte montée des menaces sur le Web 2.0, les répondants en France se montrent relativement moins préoccupés par la sécurité du Web 2.0, que leurs homologues aux États-Unis, Royaume-Uni, au Japon ou Australie. Seulement 25% des professionnels français interrogés considèrent la sécurité sur le Web 2.0 comme une forte priorité, contre 65% aux Etats-Unis, 69% au Japon, et 43% en Australie et Grande-Bretagne.

· Une responsabilité limitée de l'utilisateur - La majorité des personnes sondées en France estime qu'il revient avant tout aux services du personnel, aux agents informatiques (DSI) et aux responsables de la sécurité (DSSI) de contrôler les risques du Web 2.0 sur la sécurité dans l'entreprise, et non pas aux employés qui les utilisent, ni aux services juridiques de l'entreprise. Leurs homologues aux Etats-Unis, en Australie et Grande-Bretagne pour la plupart considèrent que ce sont au contraire les employés qui devraient être tenus responsables de préserver la sécurité informatique de leur entreprise lors de leur utilisation du Web 2.0.

· Les principaux ennemis – les virus informatiques, la baisse de la productivité au travail et les logiciels malveillants sont cités comme les principales préoccupations relatives à l'utilisation des applications Web 2.0 dans les entreprises françaises. Parmi les autres problèmes cités figurent aussi la perte de données, la saturation de la bande passante, les botnets et les injections SQL.

· Un manque global de conscience sécuritaire – Près de 52% des personnes interrogées aux États-Unis considère que leurs employés prennent rarement ou jamais en compte les questions de sécurité lors de l'utilisation de réseaux sociaux et applications Web 2.0 dans leurs communications professionnelles. Ce chiffre atteint 49% au Royaume-Uni et 48% en Australie.

« Cette enquête révèle un certain décalage dans les organisations françaises entre d'une part le personnel d'entreprise, qui souhaite continuer de profiter des outils Web 2.0, et d'autre part les administrateurs informatiques chargés de garantir la sécurité du réseau et la bonne application des politiques de sécurité » déclare David Darmon directeur général France de Check Point Software. « Souvent les administrateurs manquent de visibilité et n'ont pas les moyens de gérer la sécurité des multiples applications du Web 2.0 déployées sur le réseau. Or mettre en œuvre une solution de sécurité flexible capable d'administrer les outils du Web 2.0 exige davantage de visibilité, ainsi qu'une plus large sensibilisation des utilisateurs et un contrôle granulaire des applications. Il s'agit à la fois d'un défi technologique et d'une question d'éducation des employés. »

Check Point a longtemps protégé les entreprises contre les menaces émergentes. Aujourd'hui, Check Point lance sa nouvelle lame logicielle Contrôle des applications. Basée sur son architecture software blade, cette solution permet aux sociétés de sécuriser et gérer l'utilisation de milliers d'applications Web 2.0 dans l'entreprise. A travers sa technologie novatrice UserCheck,les employés participent au processus de prise de décision, permettant aux administrateurs informatiques d'adapter l'utilisation des applications en fonction de leurs besoins commerciaux spécifiques. La nouvelle lame tire également parti de Check Point AppWiki, la plus grande base de données au monde de classification des applications, qui permet d'examiner plus de 50.000 widgets Web 2.0 et plus de 4.500 applications Internet. Pour de plus amples informations : http://www.checkpoint.com/products/....

Cette étude sur la sécurité du Web 2.0 en milieu de travail a été réalisée indépendamment par le Ponemon Institute en avril 2010, auprès 400 administrateurs en France et plus de 2.100 administrateurs de la sécurité informatique au total, situés aux États-Unis, Royaume-Uni, France, Japon et Australie. L'échantillon de l'enquête représente un large éventail d'organisations de toutes tailles - des petites et moyennes entreprises aux grandes entreprises - et tous secteurs économiques, y compris du secteur financier, industriel, gouvernemental, de la grande distribution, de la santé et de l'éducation.

« Les menaces informatiques provenant des applications Web 2.0 s'intensifient tant dans leur fréquence que dans leur complexité. Il est important que les entreprises françaises reconnaissent le problème pour en faire l'une de leurs priorités, à l'instar de leurs homologues américains ou britanniques. Seuls une sensibilisation accrue des utilisateurs et un meilleur contrôle des applications réalisé par le biais d'une solution performante, permettra aux employés de continuer à bénéficier des outils du Web 2.0 sans pour autant compromettre la sécurité de leur entreprise. Aujourd'hui Check Point offre aux entreprises une approche pratique pour le contrôle des applications qui permet aux employés de continuer àutiliser les outils du Web 2.0, sans pour autant compromettre la sécurité de leur entreprise » conclut David Darmon.

Laurent Dedenis, Acronis : Etude sur les causes de pertes de données informatiques

Laurent Dedenis, Executive Vice President EMEA chez Acronis — 2010-09-07T15:23:23Z

D'après une récente enquête menée à l'échelle mondiale (KrollOnTrack), 40 % des utilisateurs (particuliers, entreprises, gouvernements et distributeurs confondus) pensent que les pertes de données sont principalement dues aux erreurs humaines. 29 % estiment que c'est une panne matérielle/système qui est à l'origine de la perte de données la plus récente dont ils ont été victimes. Alors que plus de 90 % des personnes interrogées ont déjà perdu des données, 18 % reconnaissent « ne pas savoir » à quoi est due cette perte de données.

Quelle que soit l'origine de la perte de données, le résultat est toujours le même ! Selon le type de données, la compilation des données perdues peut nécessiter des heures de travail et dans le pire des cas, les données peuvent être perdues de façon irrémédiable. Avec les données financières et informations relatives à la concurrence et aux clients contenus dans les postes de travail, la perte de données peut « coûter cher » à toute entreprise. Vous devez par conséquent effectuer régulièrement des sauvegardes. C'est indispensable !

Il ne s'agit pas simplement de vous assurer que vous sauvegardez vos données. Vous devez analyser la méthode et la stratégie que vous avez choisies. Attention : une stratégie classique de « sauvegarde en fin de journée » peut poser un certain nombre de problèmes. Si un sinistre se produit cinq minutes avant l'exécution de la sauvegarde (soit 23h55 après le lancement de la dernière sauvegarde), toutes les données créées ou modifiées au cours de la journée seront perdues. En outre, la restauration des données sauvegardées la veille risque de durer plusieurs jours.

Pourtant, la sauvegarde et la restauration ne sont pas nécessairement des tâches complexes à réaliser. Il existe des solutions de sauvegarde et de restauration qui permettent de planifier automatiquement des sauvegardes incrémentielles quel que soit l'environnement informatique, et de gérer de façon centralisée l'ensemble des processus de sauvegarde et de restauration. Ainsi, les erreurs humaines ont un impact moindre : vous êtes protégés contre les pannes de vos systèmes et vos données sont toujours sauvegardées.

Les informations stockées sous format électronique ont un rôle clé dans le traitement des litiges courants, selon une étude Symantec

Symantec — 2010-09-07T12:39:32Z

Symantec Corp. publie les résultats d'une enquête réalisée auprès de 5 000 avocats révélant les difficultés rencontrées par la profession pour gérer le volume considérable d'informations stockées sous format électronique, indispensables pour réunir des preuves dans les affaires juridiques traitées en Europe, au Moyen-Orient et en Asie (EMEA).

Les personnes interrogées dans dix pays ont reconnu avoir perdu un procès, enregistré un retard dans le traitement d'une affaire ou avoir été sanctionnées par un tribunal ou un organisme de régulation au cours des deux dernières années, en raison de leur incapacité à trouver ou à traiter des informations électroniques qu'elles auraient pu produire comme preuve. En France, 56% des personnes interrogées ont fait état de problèmes d'identification et de récupération des données stockées sous format électronique (processus également appelé « e-discovery ») au cours des trois derniers mois, contre 51% dans toute la région EMEA.

L'étude de Symantec a également révélé que les difficultés d'accès à des « preuves numériques » gênaient parfois le traitement d'une affaire, en effet 56% des avocats français interrogés indiquent que ces difficultés d'accès ont engendré des retards ou des sanctions dans les affaires dont ils étaient chargés. Parallèlement, la capacité d'identification et de récupération des informations pertinentes parmi des millions de fichiers électroniques aurait un impact positif sur les affaires traitées en France : 68% des avocats interrogés ont déclaré que « des preuves numériques » identifiées par voie électronique ont joué un rôle déterminant dans la conclusion favorable des dossiers qu'ils avaient traités au cours des deux dernières années.

« Ces résultats démontrent le rôle clé des informations stockées sous format électronique dans le traitement des litiges courants ; 89% des avocats les jugent « critiques » ou « importantes pour leurs activités quotidiennes », explique Vincent Videlaine, Directeur des Technologies de Stockage, Symantec.

Ils sont 45 % dans la zone EMEA et 49% en France à affirmer que le contenu des disques durs individuels représente le type de données électroniques le plus fréquemment recherché pour trouver des informations pertinentes.

Dans le cadre de cette enquête, il a été demandé à des avocats de la zone EMEA comment ils estimaient parvenir à appliquer la recherche électronique à des quantités croissantes de données électroniques ; les réponses ont révélé un écart potentiel entre les intentions et la capacité à mettre en œuvre le processus. En France, plus de 59% des personnes interrogées ont reconnu rencontrer des difficultés à traiter la quantité d'informations à rechercher ; 34% évoquent le manque de temps pour effectuer des recherches approfondies contre 29% pour la zone EMEA. Enfin, 25% des avocats interrogés ont affirmé ne pas disposer d'une technologie de recherche électronique suffisamment élaborée pour répondre efficacement à leurs demandes.

Interrogés sur les moyens à mettre en œuvre pour remédier à cette situation, 57% des avocats ont demandé spécifiquement des « améliorations dans la technologie de recherche utilisée pour identifier, protéger et traiter les données stockées sous format électronique », dans le cadre de mesures telles qu'une nouvelle législation régissant l'administration de la preuve sous format électronique ou une collaboration internationale plus intense.

A la demande de Symantec, cette étude a été réalisée en août 2010 auprès de 5 000 avocats sélectionnés en France, en Allemagne, en Italie, aux Pays-Bas, en Afrique du Sud, en Espagne, en Suède, en Suisse, au Royaume-Uni et aux Emirats arabes unis.

Pertes de données : l'erreur humaine, cause n°1 selon les technophiles

Kroll Ontrack — 2010-09-06T11:13:56Z

Kroll Ontrack publie les résultats d'une étude mondiale portant sur les causes des pertes de données. Il en ressort ainsi que 40 % des passionnés de technologies (qu'ils soient particuliers, professionnels, entreprises, pouvoirs publics ou distributeurs) estiment que l'erreur humaine constitue la principale cause de pertes de données. Ce chiffre est en nette progression par rapport à 2005, où il n'était que de 11 %. Les défaillances matérielles et logicielles représentent une autre part significative des sources d'erreur perçues, ce qui illustre la complexité d'utilisation des technologies de stockage actuelles aux yeux des personnes interrogées.

A l'échelle mondiale, Kroll Ontrack a interrogé plus de 2 000 personnes dans 17 pays. L'étude révèle que :
40 % des personnes interrogées estiment que l'erreur humaine est la cause principale des pertes de donnés, mais seulement 27 % reportent que leur dernière perte est effectivement liée à une erreur humaine.
Ce nombre est pratiquement équivalent aux 29% de personnes qui reportent les défaillances matérielles comme cause de leur dernière perte de données, contre 56 % en 2005 !
Concernant le type de données perdues, 61% des répondants citent des données personnelles, et 19% seulement des données professionnelles.

En France, on apprend que :
42 % des personnes interrogées perçoivent l'erreur humaine comme cause principale de perte de données. Dans la réalité, près de 35 % de ces pertes sont réellement imputables à une erreur humaine.
Les défaillances matérielles sont elles à l'origine de 33% des pertes de données.
L'essentiel des données perdues, 70%, sont personnelles.

Causes perçues des pertes de données en France :

Causes réelles des pertes de données en France :

En France comme au niveau mondial, les pertes de données dues aux virus informatiques et aux causes naturelles restent faibles. L'étude montre ainsi que les pertes de données les plus récentes ont été imputables pour moins de 7 % à des virus informatiques, contre 4 % en 2005. Les catastrophes naturelles sont à l'origine de 3 % des pertes de données dans le monde en 2010. En France, elles représentent moins de 1 %.

Etonnement, si plus de 90 % des personnes interrogées ont déjà perdu des informations, 18 % « ne savent pas » comment cette perte est survenue. Cela démontre le besoin urgent d'informer les particuliers et les entreprises sur les méthodes de récupération des données, sur les outils et stratégies de protection ainsi que sur les protocoles de récupération dans le cas de pertes de données, afin de prévenir tout dommage plus important.

« Alors que les technologies et l'aptitude technologique continuent de progresser d'année en année, il est un fait que les défaillances matérielles et les erreurs humaines restent des facteurs de perte importants », déclare Paul Dujancourt, Directeur Général de Kroll Ontrack. « La perte de données représente une source de stress importante, qu'il s'agisse d'un particulier qui voit ses données endommagées par un virus ou d'une entreprise qui a accidentellement supprimé des fichiers critiques, des volumes de données, des machines virtuelles ou un SAN sans aucun backup ou, pire encore, avec une sauvegarde qui n'est plus à jour ou corrompue. »

Le numéro de juillet/aout 2009 de « Veille internationale Télécoms-Internet » édité par UBIFRANCE est paru

Marc Jacob — 2010-09-03T14:57:36Z

Les marchés de la sécurité...

Tel est le thème essentiel de cette édition double marquant la pause estivale où vous retrouverez en filigrane une sélection d'informations sur le thème de la sécurité des réseaux et des applications (télécoms, informatique, internet, cartes à puce....), révélant les potentiels de certains marchés pour les produits et solutions "made in France".

Des produits et solutions qu'il vous appartiendra de présenter à l'international à l'occasion des événements programmés par nos correspondants des Missions Économiques, comme par exemple les salons BEZPEKA 2010 en Ukraine, SICUREZZA 2010 en Italie, IT SA'2010 en Allemagne, etc.

Ce numéro propose également une vision de la situation des Télécommunications à l'international.

Pour toute information, contacter Gilbert Frontier, Rédacteur en chef

Tél. : 01 40 73 38 19

E-mail : gilbert.frontier@ubifrance.fr

Lien direct :

www.ubifrance.fr/librairie/

Etude BitDefender : Les employés de la sécurité IT seraient les plus enclins à dévoiler des informations confidentielles sur les réseaux sociaux

Marc Jacob — 2010-09-01T11:46:05Z

Une étude conduite par BitDefender révèle que 81% des utilisateurs de réseaux sociaux auraient accepté une demande d'« ami » de la part d'un profil de test, crée pour l'étude, sans prendre de précautions.

BitDefender®, éditeur de solutions de sécurité, met en garde les utilisateurs de réseaux sociaux quant au fait d'être prudent au moment d'accepter une demande d'ami et leur recommande d'être conscients du caractère personnel des informations qu'ils vont partager.

Selon une nouvelle étude menée par BitDefender au cours d'une période de deux semaines, les utilisateurs de réseaux sociaux ne semblent pas se préoccuper de l'identité réelle des personnes qu'ils rencontrent en ligne et des détails qu'ils révèlent, tout en « chattant », avec de parfaits inconnus. L'étude a révélé que 94% des personnes à qui l'on a demandé d'être « ami » avec le profil de test, une jeune femme séduisante inconnue, ont accepté la demande sans savoir qui était véritablement derrière cette demande.

Le panel d'échantillon de l'étude comprenait 2 000 utilisateurs du monde entier, inscrits sur l'un des réseaux sociaux les plus populaires. Ces utilisateurs ont été choisis au hasard pour couvrir le maximum de critères : le sexe (1 000 femmes, 1 000 hommes), l'âge (l'âge de l'échantillon, variant de 17 à 65 ans, avec un âge moyen de 27,3 ans), la profession, etc. Lors de la première étape, il a seulement été demandé aux utilisateurs d'ajouter le profil de test inconnu comme « ami ». Tandis que dans un second temps plusieurs conversations ont été réalisées avec des utilisateurs sélectionnés au hasard pour déterminer quels genres de détails ils seraient enclins à révéler.

L'étude a permis de mettre en avant les résultats suivants :

Plus de 86% des utilisateurs qui ont accepté la demande d'ami du profil de test, travaillent dans l'industrie informatique, dont 31% dans la sécurité informatique.

La raison la plus fréquente de l'acceptation de la demande d'ami de la part du profil de test était son « physique » (53%).

Après une demi-heure de conversation, 10% ont divulgué des informations personnelles sensibles, telles que : adresse, numéro de téléphone, nom des parents, etc. - des informations habituellement demandées lors de la récupération d'un mot de passe perdu.

Deux heures plus tard, 73% des informations récoltées étaient des renseignements confidentiels concernant l'entreprise dans laquelle travaille l'utilisateur, tels que la stratégie de la société, des plans, ainsi que des informations sur des technologies ou des logiciels en cours de développement.

Etude “Les Habitudes du Piratage” de Tufin Technologies : Les réseaux mal configurés sont la principale cause d'intrusions informatiques

Reuven Harrison CTO of Tufin Technologies — 2010-08-31T18:19:12Z

Tufin Technologies a annoncé les résultats de son étude annuelle “Les Habitudes du Piratage”, créée pour mieux comprendre comment les tendances dans la communauté du piratage impactent les équipes de sécurité de l'entreprise. Selon les professionnels de la sécurité informatique qui ont assisté à la conférence DEF CON18 conférence à Las Vegas le mois dernier, et pour plus des ¾ du temps, 73% des délits informatiques sont arrivés à cause d'un réseau mal configuré. Ce qui, selon 76% d'entre eux, était la faille IT la plus facile à exploiter.

Reuven Harrison, Directeur Technique et Co-Fondateur de Tufin Technologies, spécialiste de la Gestion du cycle de vie des politiques de sécurité, a été surpris de découvrir que 58% des professionnels interrogés pensent que les mauvaises configurations se produisent parce que les équipes IT ne savent pas quoi examiner quand ils évaluent le statut des configurations de leur réseau. Il a déclaré que le rapport est édifiant dans la mesure où plus de la moitié de ces répondants travaillent actuellement en tant que professionnels sur le secteur de la IT.

« La grande question posée par cette étude » déclare Reuven Harrison, « est de savoir comment gérer le risque que les entreprises courent avec la complexité qui fait partie des opérations de sécurité de toute PME-PMI ».

L'étude DEF CON18 de Tufin répond à cette question en révélant que :

18% des professionnels pensent que les délais et les budgets sont insuffisants pour conduire des audits et sont donc à l'origine des mauvaises configurations des réseaux. 14% pensent que les audits de compatibilité qui ne prennent pas toujours en compte les meilleures pratiques de sécurité ont joué un rôle dans la mauvaise configuration des réseaux. Et 11% estiment que les vecteurs de menaces qui changent plus vite qu'ils ne peuvent être identifiés, jouent un rôle majeur.

« L'Automatisation de la configuration et de la gestion de la sécurité sont les meilleurs façons de résoudre ce problème », indique Reuven Harrison. Avec un nombre croissant de pirates se décrivant comme des « chapeaux noirs » pour 11% d'entre eux (pirates dont le but est de nuire ou de tirer profit de leurs actes) et des « chapeaux gris » pour 46% d'entre eux (pirates motivés par l'exploit informatique), l'immense majorité des pirates s'est concentrée sur la façon de pénétrer les réseaux – alors que moins de 30% de « chapeaux blancs » sont motivés à remédier aux failles de sécurité.

« Et quand on sait que 60% des sondés du DEF CON18 déclarent qu'ils ont un poste fixe dans le monde de l'entreprise, il est clair que les responsables informatiques ont besoin d'aborder le problème des insuffisances de sécurité de leurs réseaux en réglant la question de sa (mauvaise) configuration. Pour 75% des sondés se déclarant également pirates, il est clair que les managers IT ont besoin de réaliser qu'une mauvaise configuration réseau est un enjeu de sécurité primordial pour les équipes informatiques, » a ajouté Reuven Harrison.

Il est aussi intéressant de noter que pour 43% des participants du DEF CON18, introduire un pirate à l'intérieur même de l'entreprise est une des méthodes de piratage les plus fructueuses. Et quand on sait que la grande majorité des professionnels de la sécurité rencontrent des problèmes de réseaux mal configurés, on commence à réaliser l'ampleur du problème auquel il faut faire face.

"Cette prise de conscience devient aigüe quand on considère que 57% des professionnels de la sécurité sondés déclarent être des « chapeaux noirs » ou des « chapeaux gris » et que 68% des répondants avouent pirater les systèmes juste pour s'amuser », dit-il. Avec des réseaux si facilement pénétrés, ce n'est pas une surprise si 88% d'entre eux croient que la plus grosse menace pour les entreprises est derrière le firewall.

Toutefois, tout n'est pas si noir selon l'étude DEF CON18 : Tufin a découvert que 58% des répondants ne croient pas que le fait d'externaliser la sécurité augmente les chances d'être piraté, et pour presque la moitié des personnes sondées, cela n'influe pas sur les questions de compatibilité et de sécurité qui se posent.

« Cela réfute la théorie généralement tenue selon laquelle les bénéfices de la sécurité informatique outsourcée s'annulent par un éventail encore plus grand de risques. La sécurité informatique externalisée est devenue mature au point que les entreprises peuvent outsourcer tout ou une partie de leurs opérations de sécurité – particulièrement lorsque les opérateurs proposent des outils automatiques pour gérer le réseau et la configuration. Avec le cloud computing arrivant rapidement, c'est une bonne nouvelle » dit Reuven Harrison.

L'étude “les Habitudes du Piratage” a été réalisé avec un échantillon de 100 participants du DEF CON 18. L'étude en 14 questions a été réalisée à l'accueil lors de l'enregistrement des participants et à l'extérieur sur un échantillon de personnes sélectionnées aléatoirement et tout au long de l'événement. Toutes les réponses sont volontaires et complètement anonymes.

Etude Check Point et le Ponemon Institute : les applications Web 2.0 posent un défi pour la sécurité

Check Point® Software et le Ponemon Institute — 2010-08-30T10:59:39Z

Autres résultats de l'enquête :