Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conférences IDC Sécurité IT 2012 : Nouveaux usages, quelles politiques ?

février 2012 par Marc Jacob Lorraine Herrou

Lors de la journée IDC Sécurité IT, Alain Petrissans, Associate VP consulting,IDC, a présenté les grandes tendances de sécurité sur les marchés informatiques. Puis Loïc Guézo, France Security Leader, Security & Compliance services area manager d’IBM a décrit la stratégie de sa firme en matière de sécurité. François Gratiolet, CSO EMEA de Qualys a décrit le cas d’un de ses clients en matière de gouvernance des risques.

Alain Petrissans, Associate VP consulting,IDC a décrit la croissance pour la dépense IT et Télécom en France qui s’est avérée quasiment nulle. En effet, elle n’est que de 0,4% en 2011 et on ne prévoit que 0,7% en 2012. Sur le marché, cette tendance se poursuit avec 1% pour le matériel IT, 1,1% pour les services IT, 1,6% pour les logiciels, etc. Seule la téléphonie mobile tire son épingle du jeu avec ses 11,1%. Enfin, les services connaissent tout de même une croissance de 10-12%. On obtient donc une croissance moyenne de 9% pour les softwares et services : en 2011, la croissance des softwares était de 4,6% et celle des services est de 7,3%. On prévoit ainsi une croissance de 8,7% pour les softwares et de 9,8% pour les services en 2015.

Quelques tendances 2012-2015 pour divers projets :

- le projet IAM connaîtrait une forte croissance et représenterait ¼ des dépenses grâce à la prolifération des devices et de la consumérisation ;
- le projet SCTM se retrouverait avec la plus faible croissance mais avec, tout de même, 60% des dépenses ;
- le projet SVM connaîtrait une croissance moyenne avec 14% des dépenses ;
- et les autres projets auraient une croissance moyenne ralentie avec 3% des dépenses.

Il existe différents drivers : le Cloud (gestion des identités, gestion des accès privilégiés), la mobilité, le Big Data, la menace sur les systèmes embarqués, et les nouvelles normes :

- concernant le Cloud, 7% des entreprises ne sont pas candidates pour travailler dessus. Le marché est transformé par ce phénomène ;
- concernant la mobilité, on a pu observer qu’il se vend plus de PC mobiles que fixes, ainsi que de plus en plus de smartphones et de tablettes (soit 40% en 2010 et une prévision de 60-65% des dépenses prévues en 2015). Une veille autour de la sécurité sur la mobilité est en train de naître ;
- concernant le Big Data, on a pu constater qu’il n’y avait que 2 zêtaoctets d’informations entre 1986 et 2007 alors que les prévisions pour 2015 indiquent qu’il y aura 7 zêtaoctets d’informations (soit 1021 octets). Face à cela les entreprises doivent trouver des solutions pour améliorer la sécurité.

En 2008, un changement majeur s’opère : le nombre de devices a dépassé le nombre d’internautes. On estime ainsi que d’ici 2020, on aura :
- entre 31 et 50 milliards de devices ;
- 150 milliards d’interactions par jour ;
- 1,3 milliers de milliards de tags ;
- 25 millions d’applications. Les grands constructeurs de voitures travaillent dessus.

Alain Petrissans a présenté un top 10 des prédictions pour 2012, dont 8 sont « quasiment sûres » selon lui : 1. Sécurité de la mobilité… un nouveau monde
→ Plusieurs problèmes se posent (exemples : perte des terminaux, protection de confidentialité des données, etc.)
2. Sécurité en mode SaaS, une solution attractive
3. Un croissance toujours élevée !
4. Plus d’attaques contre les PME
5. Les cybercriminels s’industrialisent
→ Propres softwares
→ Société criminelle qui s’organise (moins de hackers indépendants)
6. La gestion des identités sera au cœur de la sécurité du Cloud
7. De nouvelles approches pour la sécurité de la virtualisation
8. La sécurité va devenir prédictive
9. Les services managés vont aller sur le Cloud
10. La sécurité va être embarquée partout

Security Intelligence – Think Integrated

Aujourd’hui, l’informatique est partout, on parle alors de « smarter planet ». En effet, on remarque que le monde est de plus en plus instrumenté, interconnecté et intelligent. « Tout est partout » comme dirait Loïc Guézo, France security leader – Security & Compliance services area manager, IBM France ; on observe ainsi une frontière entre utilisateurs et fournisseurs du Cloud Computing. Il existe un mouvement continu de l’entreprise vers les nouvelles plates-formes.

La consumérisation de l’informatique est importante avec plus de 500 millions de PC, smartphones, tablettes,… mobiles pour 250 millions de PC traditionnels fixes. On compte donc plus de terminaux que d’utilisateurs. De plus, on existe une explosion des données : c’est l’âge du Big Data.

Le rapport X-Force présente les tendances et les risques en matière de sécurité. On constate une explosion des failles ouvertes, ce serait donc « l’année des failles de sécurité » selon Loïc Guézo. De plus, la présence du Web sécurisé comprend un talon d’Achille sur la sécurité informatiques des économies. En effet, on a pu observer que 40% des sites des entreprises testées par IBM contenaient des vulnérabilités : contenaient des vulnérabilités : exploitation en masse des failles, films et documents malveillants, injection SQL, tampering URL, etc.

De plus, 2011 serait l’année de la « fuite des données » avec de très grosses attaques mais sans grande innovation. Il existe tout de même une sophistication des attaques suivant un schéma simple :
Vulnerability -> Exploit -> Remediation.

Ainsi, la sécurité connaît plusieurs challenges concernant :
- les menaces externes avec une forte hausse des attaques provenant de sources non traditionnelles ;
- les menaces internes avec un risque permanent de négligence de comportements malicieux ;
- et la conformité.

Le champ d’attaques concernant une activité typique grossit de façon exponentielle du fait de l’accroissement du nombre de personnes, de données, d’applications, et d’infrastructures. On constate ainsi que 75% des entreprises estiment que l’efficacité augmenterait avec des solutions bout à bout ; 77% des entreprises ont le sentiment que les cybers attaques sont plus difficiles à détecter et 34% n’ont pas confiance dans leur capacité à prévenir ces attaques.

Alors comment faire face à cette « nouvelle normalité » ? En effet, la protection périmétrique ajoutée au niveau de fonctionnement réactif et manuel ne correspond pas aux besoins d’aujourd’hui. Il existe donc un besoin d’un niveau de fonctionnement proactif et automatisé. Or, pour l’instant, la couverture mondiale et l’expertise sont inégales.

L’exemple de l’IBM Mobile Security Software nous indique une consumérisation de l’IT possible avec le Device Inventory ; le Security Policy Management ; le Device and Data Wipe ; l’Anti-Jailbreak and Anti-Root ; le Lifecycle Management ; l’Endpoint Management ; et le Secure Connectivity.

Retour d’expérience : protection des sites Web : gouvernance, risques et opportunités

François Gratiolet, CSO EMEA de Qualys a présenté en compagnie d’un de ses clients un retour d’expérience. Pour ce dernier, la dualité sécurité/business est très prononcée avec l’agilité, le mono canal, le Net, et l’expérience utilisateur/rapidité de transformations en achat. De plus, la culture de la sécurité, chez ce client, est très profane, d’autant qu’il a peu d’exigences règlementaires. Toutefois, la sécurité est vue comme un argument marketing même si elle n’est pas présente partout.

Plusieurs risques sont à surveiller :

- risques de sécurité liés aux applications Web (attaques Web classiques) ;
- risques de sécurité liés au E-commerce (paiement, comportements liés aux réservations, délivrabilité) ;
- risques liés aux données à caractère personnel (essentiellement des données de membres) ;
- risques de non respect des législations (CNIL, PCI-DSS) ;
- facteurs aggravants : nombreux projets (plus de 300 par an) ; et autonomie des services marketing, création, RH, etc.

Pour la gouvernance SSI, les missions de ce RSSI sont basées sur la gestion du risque avec une revue annuelle, sur une mise en place d’une méthode interne plus simple, et enfin sur une visualisation des risques par la direction générale plusieurs fois par an. La gouvernance et l’organisation SSI sont gérées par quatre personnes en interne dans le développement IT. Elles ont un lien hiérarchique avec la direction générale. La démarche et le processus se déroulent donc de la façon suivante :
- en amont : analyse de risques, développement sécurisé du code, etc. ;
- en aval : contrôle permanent avec Qualys, contrôle périodique, etc. ;
- Framework de développement, bonnes pratiques, formation, WAF, tests d’intrusion.

Les principales difficultés rencontrées sont liées à :
- La sécurité des applications Web avec la diversité, la complexité et la dangerosité croissante des menaces informatiques ;
- Les difficultés à inventorier et à cartographier les sites Web de l’entreprise ;
- La difficulté également à sensibiliser et à communiquer à tous les niveaux ;
- Il faut aussi assurer la conformité aux lois standards et règlements nationaux et internationaux ;
- Et des difficultés concernant l’industrialisation des processus.

Cette démarche présente divers bénéfices. Elle lui a permis de renforcer la confiance des marques/membres ; de maîtriser des coûts liés aux risques identifiés ; d’avoir peu de surprises ; d’obtenir la confiance du Board ; et enfin, d’appliquer la pression adéquate sur l’IT. Or on peut également observer que le niveau de sécurité des applications Web ne progresse pas. Ainsi, 97% des applications Web sont vulnérables. De plus, entre 70 et 90% des attaques se sont concentrées sur ces mêmes applications (tous les secteurs se retrouvent concernés). De ce fait, fort est de constater qu’il existe un manque évident de sensibilisation (les métiers « bypassent » la DSI). De plus, les WAF ne sont pas généralisés ou bien mal maîtrisés et l’automatisation des « scans » Web répond aux besoins de gestion de sécurité des applications Web à grande échelle. Fort heureusement, il y a une récurrence des tests (par exemple, il faut se concentrer sur des mécanismes plus complexes via des tests manuels d’intrusion) mais aussi une industrialisation des tests.

Qualys a donc apporté plusieurs réponses avec une :
- Evaluation des vulnérabilités et du niveau de sécurité des applications Web (externe et interne) ;
- Evaluation de la conformité à la politique de sécurité de l’organisation ;
- Délivrance d’un sceau de confiance à vos clients ;
- Détection des codes malveillants (« malwares ») des sites Web ;
- Evaluation des niveaux de sécurité des navigateurs Web.




Voir les articles précédents

    

Voir les articles suivants