Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La sécurité informatique en 2010 : Selon Stonesoft, les risques sont très élevés

février 2010 par Stonesoft

Début 2010, le bug ayant touché des milliers de cartes de crédit allemandes a mis en lumière la fragilité de ce système. Parfois, un seul petit zéro dans l’écriture de l’année peut empêcher des millions de consommateurs d’utiliser ce moyen de paiement électronique. Stonesoft recommande non seulement aux établissements financiers mais également à l’ensemble des entreprises et des organisations publiques la plus grand prudence en termes de gestion des données bancaires. La société finlandaise leur conseille également d’être extrêmement attentifs aux politiques de sécurité en vigueur dans leur établissement ainsi qu’aux systèmes de sécurité réseaux.

L’augmentation des attaques ciblant les données bancaires ne représente qu’une infime partie des problèmes de sécurité identifiés par les expert Stonesoft cette année.

Les prédictions en matière de sécurité informatique révèlent des risques considérables liés aux médias sociaux, au Cloud Computing et à la mobilité pour 2010. Stonesoft affirme que le nombre d’attaques sur les réseaux des particuliers et des entreprises va augmenter en 2010. Même si les connaissances des utilisateurs en termes de sécurité informatique deviennent de plus en plus importantes, elles n’évoluent pas aussi rapidement que les nouvelles menaces, ce qui constitue un véritable problème.

La plupart du temps les menaces ne sont pas nouvellement crées, ce qui évolue, en revanche ce sont les façons dont elles se répandent. Avec l’externalisation, les réseaux sociaux sur internet et la multiplication des appareils mobiles, voler des données ou usurper une identité n’a jamais été aussi facile. De plus, les frontières entre les systèmes particuliers et professionnels deviennent de plus en plus floues. Les employés mettent à jour leur profil Facebook via leur ordinateur professionnel, réservent leurs prochaines vacances à partir de leurs Smartphones ou encore se connectent à des sites web via des blogs internes.

Les experts en sécurité de chez Stonesoft conseillent aussi bien aux entreprises qu’aux particuliers de bien tenir compte de la sécurité de leurs Smartphones, particulièrement lorsqu’il s’agit de nouvelles applications ou services.

Les principaux dangers en 2010

Données bancaires – une protection de l’identité insuffisante

Pour une entreprise, perdre des données clients est également synonyme de perte de crédibilité. De nombreuses entreprises protègent les données bancaires de leurs clients contre les abus en installant un firewall mais cela ne fournit pas une protection adaptée contre les tentatives malveillantes des pirates. En 2010, les entreprises devraient plutôt investir dans des mécanismes complets de sécurité et équiper leurs réseaux d’une couche de protection supplémentaire comme un IPS (Intrusion System Prevention). Désormais le Payment Card Industry Data Security (PCI-DSS) est effectif et obligatoire pour toute entreprise qui reçoit, traite et transmet des données bancaires.

L’IPS détecte les intrus avant même que ces derniers n’atteignent une zone stratégique du réseau ; le système nettoie automatiquement les vers, spywares et autres programmes malveillants. Parallèlement, les rapports aident les administrateurs à déterminer qui a accès à quoi et à quel moment. Cela permet à la fois une meilleure défense contre les attaques et une identification, à temps, des éventuels problèmes par les départements concernés. Afin de fournir une protection contre les détournements de données, les organisations doivent s’équiper d’un IPS.

Les médias sociaux – le fléau des réseaux

De plus en plus de médias sociaux, offrant à tous des moyens de communication faciles et rapides, attirent les utilisateurs. Un portail utilisateur attractif et une diffusion des messages extrêmement rapide sont des facteurs très tentants – mais cela pose également de nombreux risques. Les utilisateurs eux-mêmes sont responsables de la majorité de ces risques.

Plus il est facile et rapide de publier des informations sur internet, plus les utilisateurs doivent être prudents en ce qui concerne les médias sociaux. Une fois qu’une information a été publiée sur le net, il est presque impossible de la faire entièrement disparaître. Même lorsque le fichier original a été effacé ou écrasé, l’information reste bien souvent disponible dans les archives via les moteurs de recherches. Les entreprises doivent faire un véritable effort pour informer leurs employés au sujet de ces dangers et mettre en place certaines règles quant à l’utilisation des médias sociaux.

L’une des plus grandes menaces de cette année 2010 sera liée au « social engineering ». Les pirates identifient les environnements informatiques personnels des victimes et font un usage criminel de leurs identités numériques. Même les messages provenant d’amis ou de proches peuvent contenir des logiciels malveillants sans que le destinataire s’en aperçoive. Début 2009, le ver Conficker a infecté environ 50 millions d’ordinateur en Allemagne. Cette année encore, les experts de la sécurité devront faire face à ce genre de menaces.

A l’avenir, les pirates trouveront de plus en plus de moyens pour attaquer les réseaux privés et ceux des entreprises. Les e-mails internes présentent autant de risques que les services de messageries privées sur les médias sociaux. Les utilisateurs doivent impérativement être attentifs à ces problèmes.

Cloud Computing – Le côté obscur du Cloud

Le Cloud Computing offre aux entreprises des avantages attractifs dans le sens où elles peuvent confier des opérations IT coûteuses et des tâches d’administration à des prestataires externes. Les parties peuvent s’entendre sur un contrat particulier dans le cadre duquel l’entreprise cliente paye ponctuellement et uniquement pour le service dont elle a besoin, ce qui élimine les dépenses informatiques inutiles. Dans un tel contexte, la sécurité informatique du centre dans lesquelles sont externalisées les données est essentielle. Hors les gens ne prêtent pas suffisamment attention à cela. Ce qui est une erreur pouvant se révéler fatale au fur et à mesure que le nombre de contrats d’externalisation continue de croître.

Lorsqu’une entreprise externalise ses services informatiques, elle confie également sa confidentialité, son intégrité et la disponibilité de ses données. La plupart des hébergeurs vendent à leurs clients un package complet. Bien que la qualité de service soit garantie par « service level agreement » (SLA), ces labels couvrent très peu souvent les aspects de sécurité informatique. La sécurité des données et souvent incluse dans un package globale et le client signe souvent le tout inconsidérément et « à la va-vite ». Les besoins actuels de l’entreprise ne sont pas pris en compte. Lors de la sélection du partenaire, les décisionnaires devraient faire plus attention à leur système de sécurité existant. Le système proposé répond-il aux besoins spécifiques de l’entreprise ? Quelles sont les garanties proposées par le prestataire ? Le système de rapport est-il complet ? Que se passe-t-il en cas d’abus ou de vol des données ? Qui est responsable ?

Les experts de Stonesoft s’attendent à ce que le Cloud Computing prenne encore plus d’ampleur en 2010. Le risque est que seuls les pertes ou vols de données les plus importants attireront l’attention sur les problèmes de sécurité dans le Cloud alors qu’il y a d’ores et déjà un besoin urgent en ce domaine. Les entreprises elles mêmes sont responsables de ce fait. A l’avenir, il faut que ces dernières demandent à leurs prestataires de leur fournir des solutions dans lesquelles la sécurité est adaptée à leurs besoins spécifiques.

Les mobiles – Des petites aides dangereuses

Les appareils mobiles tels que les Smartphones ou PDA ont depuis longtemps trouvé leur place dans le monde du travail et permettent l’accès à des données sensibles. Cependant, bien souvent, ils n’offrent pas le même niveau de protection que les PC. C’est pour cette raison que les mobiles deviennent de plus en plus intéressants pour les pirates.

Les menaces ciblant les mobiles ne sont pas nouvelles ; elles sont identiques à celles visant les ordinateurs portables. La première différence concerne la violabilité des mots de passe dont les utilisateurs se servent pour leurs mobiles. Il est en effet plus difficile de taper un mot de passe sur un mobile que sur un clavier d’ordinateur. De plus, les employés font de leur mobile un usage à la fois professionnel et privé, et négligent parallèlement de mettre à jour leurs anti-virus et firewall. Partant de ce constat, un virus peut donc facilement infecter le système de l’utilisateur mais aussi le réseau de l’entreprise tout entière. A l’avenir, pour éviter ces dangers, les entreprises devraient pouvoir gérer les mobiles d’un point central. Cela permettrait d’être certain que la mise à jour des anti-virus est régulièrement faite.

Cependant la réalité est tout autre. « La plupart des entreprises ignorent les dangers liés à la mobilité croissante des employés. Tandis que la demande des Smartphones et PDA ne cesse d’augmenter, les fonctions de sécurité de ces appareils restent inadéquates. Ce qui est une belle ouverture pour les pirates », déclare Léonard Dahan, Country Manager France et Benelux. « C’est seulement lorsque les utilisateurs seront pleinement conscients des dangers qui les guettent que la demande d’une sécurité meilleure grandira. Jusqu’à ce que cela arrive, nous pouvons nous attendre à voir une augmentation des attaques de mobiles ».

Stonesoft, le Gartner et VMware vous donnent rendez-vous le 6 avril pour une journée exceptionnelle, consacrée à la sécurité des environnements virtuels :

Pour vous pré-inscrire, connectez-vous à l’adresse suivante :

http://www.stonesoft.com/fr/formati...




Voir les articles précédents

    

Voir les articles suivants