Sceptique ? Votre banquier n’a pas les mêmes capacités qu’Harrison Ford ? Entre mythe et réalité, revue des concepts de la cybersécurité au cinéma.

L’image du hacker : cool et sexy

Tapant plus vite que son ombre et utilisant un maximum de termes techniques dans la même phrase (un savant mélange de « chiffrement », « pare-feu » et « adresse IP »), le hacker est un personnage type du cinéma défini par un certain nombre de caractéristiques : un anti-héros intelligent, solitaire et en décalage avec la réalité, contrastant avec les gros bras musclés du cinéma des années 80 (imaginez Clint Eastwood ranger son Magnum pour pianoter sur son clavier d’ordinateur).

Néo, personnage principal de Matrix, en est le parfait exemple : programmeur de jour, hacker de nuit, reconnu pour ses talents au point de se faire remarquer par Morpheus. Dans un style plus punk, et amplifiant par un autre cliché la caractéristique antisociale du hacker, Lisbeth Salander dans Millenium est un archétype du personnage : elle survit grâce à ses talents en piratage informatique. Une enfance chaotique, une vie sociale inexistante en dehors de son ordinateur et une certaine aversion pour la violence.

Si on retire l’image caricaturale du hacker, Hollywood dépeint surtout le côté hacktiviste du hacker, qui milite pour ses idéaux au travers d’actions visibles et politisées. Et notons d’ailleurs que les hacktivistes lui renvoient l’ascenseur : le symbole des hacktivistes est clairement inspiré du film V pour Vendetta (le masque est tout de même plus joli que celui de Zorro). Clairement, les attaquants aux cibles purement lucratives  (vols de données personnelles, vols de cartes bancaires… à l’image des attaques subies par Target aux États-Unis ou encore Orange en France) sont beaucoup moins représentés à l’écran

Le cinéma a donc une vision idéaliste, et avouons-le beaucoup plus « sexy » du hacker, plus proche du héros hollywoodien se battant pour ses idées que d’une bande organisée utilisant ses talents informatiques dans un objectif de gain.

Cyberguerre, terrorisme, impacts majeurs… le cinéma dans la surenchère !

Première règle d’un film Hollywoodien : il faut que ça « explose de partout ». Les attaques cybercriminelles au cinéma ne font pas exception à la règle : « une ligne de code peut être dévastatrice », pourrait en résumer la bande annonce. Cependant, même si ces attaques sont clairement amplifiées par la magie des effets spéciaux, Hollywood n’est finalement pas si éloigné que ça des attaques réelles.

Prenons Die Hard 4 où les dangers du tout connecté sont mis en scène quand un virus contamine le système d’information national des États-Unis (communications, transports, énergies, etc.). Vague de chaos sur le pays, et une fois de plus seul Bruce Willis est en mesure de sauver le pays (en explosant une voiture sur un hélicoptère. certes). Sabotages, attaques de systèmes industriels, pollution du programme nucléaire… Stuxnet ou Havex n’auraient-ils finalement pas eu leur place dans le film ? Clairement les attaques réelles montrent à quel point une attaque informatique peut désormais avoir des impacts et des répercussions économiques et industrielles importantes, et la réalité n’est pas si éloignée de la fiction.

Et si on continuait dans la surenchère ? Autant s’attaquer directement aux institutions gouvernementales ! Et à ce sujet, comment ne pas citer James Bond et Jack Bauer ? Rappelez-vous : dans Skyfall, le siège du MI6 explose à la suite d’une intrusion dans le système d’information des services secrets, et dans la dernière saison de 24, des drones militaires sont détournés suite à une attaque informatique. Si de telles attaques n’ont heureusement jamais eu lieu en réalité, les attaques réelles n’épargnent pas vraiment les institutions ! L’Élysée n’a t-il pas été victime d’attaques informatiques à plusieurs reprises ?

Espérons à ce stade que le cinéma n’est pas totalement visionnaire… comme il le fut pour l’affaire Snowden ! En effet, Ennemi d’État racontait dès 1998 la traque d’un homme en possession de documents confidentiels de la NSA. 15 ans plus tard, la réalité a clairement dépassé la fiction, et les moyens d’espionnage utilisés par la NSA dans le film sont finalement très crédibles.

L’humain au cœur de la cybercriminalité

Les techniques d’attaques sont  probablement un des sujets casse-tête des réalisateurs. Un personnage écrivant des lignes de code sur son ordinateur risque rapidement de faire fuir les téléspectateurs. Et c’est pourquoi, mis à part quelques rares exceptions (comment ne pas évoquer nmap utilisé plusieurs fois dans Matrix), le cinéma préfère clairement se focaliser sur les personnages à l’origine des attaques et non sur la technique.

Dès 1995, Hackers (cultissime !) illustrait parfaitement l’exploitation du facteur humain dans les attaques informatiques. Dans ce film, une poignée de protagonistes se faisaient passer pour des réparateurs informatiques afin de s’introduire dans le système d’information d’une entreprise. Le réalisateur pourrait exiger des copyrights : en 2013, cette technique d’ingénierie sociale a été utilisée par des cybercriminels se faisant passer pour des membres du support informatique pour infiltrer la banque Barclays et détourner près de 1,25 millions de livres. Et si vous recherchez une définition précise de l’ingénierie sociale, inutile d’ouvrir un dictionnaire, visionnez plutôt Catch Me If You Can, un vrai film de hacker … sans aucune attaque informatique !

Continuons sur l’importance du facteur humain à Hollywood. En cherchant bien, on peut même trouver un enseignement dans Jurassic Park. En effet, le point de départ de l’intrigue est la désactivation du système de sécurité par un programmeur du parc pour s’emparer d’un échantillon d’ADN et le revendre. Certes, avec moins de dinosaures mais autant d’argent, les exemples d’attaques dont l’origine provient d’un employé malveillant, frustré ou appâté par le gain sont multiples. Maîtriser les comptes à privilèges, n’est-ce pas une des bases de la cybersécurité ?

En conclusion

Le hacker reste au cinéma un héros hollywoodien comme un autre : il ne doit pas être proche de la réalité, seulement correspondre à la représentation collective admise. Et il faut du spectacle et du suspense : une intrusion dans un système d’information pour voler des informations est moins distrayante qu’une attaque explosive sur tout Manhattan. Les films sur la cybersécurité respectent les codes du cinéma. Inutile de chercher trop d’enseignement dans ces films, même si certaines situations nous rappellent aujourd’hui clairement que la réalité rattrape la fiction.

Après le cinéma, c’est désormais au tour de la télévision et des jeux vidéos de sortir leurs blockbusters cybersécurité. Impossible en effet de conclure cet article sans évoquer le phénomène Watchdogs, ou l’arrivée prochaine de la nouvelle série Les Experts-Cyber, qui risque de nous fournir encore quelques belles répliques. « Je vais la distraire. Ping son adresse IP pour la localiser ».

Cet article Cybersécurité au cinéma : la fiction est-elle à la hauteur de la réalité ? est apparu en premier sur RiskInsight.

Les acteurs du digital sont-ils une menace pour le secteur de l’énergie ? A quoi pourront servir les objets connectés dans la maison de demain ? Les grandes entreprises sont-elles armées face à la révolution numérique ? L’attitude de la G7 face à un nouvel acteur digital ?

Cet article Solucom interviewe Fred Potter (Netatmo) sur le numérique est apparu en premier sur RiskInsight.

Quels sont les objectifs de la compagnie ? Comment s’est déroulé le projet ?

Cet article Solucom présente le projet iDBUS est apparu en premier sur RiskInsight.

Cet article Parlons peu, mais parlons bien ! est apparu en premier sur RiskInsight.

Cet article Une relation client bousculée par les réseaux sociaux est apparu en premier sur RiskInsight.

Force est de constater que la sécurité n’est plus un frein à sa propre externalisation. Les principaux risques que craignaient les RSSI il y a encore quelques années peuvent désormais être maîtrisés.  À condition bien entendu de respecter quelques règles d’or acceptées par la plupart des fournisseurs : engagement de réversibilité, clauses d’audit, mécanismes de suivi des SLA et certifications des fournisseurs …

Le RSSI n’a que l’embarras du choix : il est aujourd’hui possible d’externaliser quasiment tous les services imaginables en termes de sécurité opérationnelle. Mais alors que doit-on externaliser, et pourquoi ?

Externaliser pour rationaliser

Depuis des années, les entreprises font appel aux MSSP (Managed Security Service Providers) pour gérer leurs infrastructures sécurité : management du parc de firewalls, surveillance des consoles anti-virus et des IDS…

Ces fournisseurs, tirant partie de leurs nombreux retours d’expérience, proposent aujourd’hui des offres totalement packagées et industrialisées. La mutualisation de leurs ressources et processus permet d’optimiser les coûts, à tel point qu’aujourd’hui les business case penchent quasi-systématiquement en faveur de l’externalisation !

Et l’industrialisation pourrait encore aller plus loin… avec le marché des SecAAS (Security-as-a-Service). Ces « nouveaux entrants » ne se limitent pas à la gestion des infrastructures, mais fournissent directement des mesures de protection dans le Cloud (filtrage web, messagerie sécurisée, authentification forte…). Leurs clients peuvent ainsi bénéficier de tous les avantages hérités du Cloud (mutualisation, optimisation, flexibilité…) tout en réduisant le coût de l’exploitation de leur infrastructure.

Externaliser pour mieux se protéger

Paradoxalement, l’externalisation peut même avoir comme objectif premier d’augmenter le niveau de sécurité… en tirant partie de la vision globale, inter-clients, des MSSP.

Il s’agit de confier à un MSSP la surveillance de l’infrastructure sécurité, qui lui-même dispose d’une vue sans pareille sur l’actualité du monde de la cybercriminalité. En effet, les grandes entreprises doivent désormais connaître les nouvelles menaces en temps réel et être en capacité de réagir en cas d’attaque. Une conséquence évidente de l’évolution des attaques constatée ces dernières années.

Les MSSP leaders du marché ont compris l’importance de ce changement et ont structuré leurs offres autour de leurs connaissances du monde de la cybercriminalité (affiliation aux réseaux de CERT, présence sur les forums underground, déploiement de réseaux de sondes dans le monde…).

La surveillance des infrastructures de leurs clients ne se limite plus à l’administration d’outils SIEM (Security Information and Events Management) : les filtres de surveillance sont mis à jour au fil de l’actualité, sans se limiter aux comportements définis préalablement avec leur client. De même, les activités historiques de veille et de tests de vulnérabilités sont largement complétées : les vulnérabilités des clients sont désormais analysées en connaissance des menaces réelles et la surveillance peut être adaptée tant que la vulnérabilité n’est pas corrigée.

La valeur ajoutée sécurité est évidente : les clients bénéficient d’une mise à jour constante de leur niveau de sécurité. Bien entendu, plus le nombre de clients du MSSP est élevé, plus le service devient pertinent. Il n’est donc pas surprenant que le marché soit aujourd’hui dominé par les grands fournisseurs anglo-saxons. Mais peut-être pas pour longtemps, ces derniers étant bousculés depuis quelques temps par les groupes Indiens qui tendent aujourd’hui vers des services performants avec des prix plus compétitifs.

Externaliser pour encore plus de valeur ajoutée

Les services proposés par les MSSP tendent à s’homogénéiser… voire même à se standardiser. Il est de plus en plus complexe de négocier des SLA particuliers, ou d’exiger des ressources spécifiques ou dédiées.

Cette approche mutualisée est très efficace tant que les services portent sur la sécurité des infrastructures, cependant elle est fortement limitée lorsqu’il s’agit de protéger les besoins métiers spécifiques. Le « sur-mesure » est indispensable pour lutter contre les menaces les plus avancées et pour protéger de manière fine les applications critiques de l’entreprise.

Aujourd’hui il n’existe pas d’acteurs majeurs capables de surveiller les applications ou de détecter les fuites d’information avec une vision métier. Peut-être ce marché est-il à la portée des MSSP français qui restent assez proches de leurs clients, avec des offres encore adaptables ?

Il est donc à la fois possible d’optimiser ses coûts et d’augmenter son niveau de sécurité en externalisant la sécurité des infrastructures. En revanche, sur le terrain de la sécurité applicative… les clients devront encore attendre ! Les fournisseurs externes sont en effet encore trop loin des enjeux métiers de leurs clients.

Cet article Externaliser la sécurité, oui mais dans quel objectif ? est apparu en premier sur RiskInsight.

Cet article Gestion des risques : de la perception à la réaction … est apparu en premier sur RiskInsight.

Pour en savoir plus sur le big data, vous pouvez consulter les articles suivants :

Qu’est-ce que le Big Data ?

Quel est le paysage technologique du Big Data ?

Comment faire face à l’émergence du phénomène Big Data ?

Cet article Big is beautiful est apparu en premier sur RiskInsight.

Cet article BYOD : Bring your own device est apparu en premier sur RiskInsight.

Le concept de virtualisation existe depuis plus de 40 ans (avec les mainframe et systèmes IBM), mais s’est véritablement démocratisé dans les années 2000 lorsqu’il est devenu possible d’exécuter simultanément plusieurs systèmes d’exploitation sur un même poste de travail. C’est essentiellement grâce à la virtualisation système (Microsoft, VMware) qu’il est aujourd’hui connu et son succès a atteint des sommets avec le développement du « cloud computing » (Amazon, Google Apps…).

La virtualisation consiste à faire fonctionner sur une machine physique unique plusieurs systèmes comme s’ils fonctionnaient sur des machines physiques distinctes. Ceci repose sur un concept simple : des instances virtuelles sont orchestrées par un hyperviseur, garant de l’accès, la répartition des ressources et l’isolation entre les instances.

La virtualisation doit avant tout son utilisation aux gains financiers qu’elle apporte en favorisant la consolidation des infrastructures et l’optimisation des ressources utilisées. Elle engendre en même temps des bénéfices opérationnels importants en permettant la mise en place rapide de solutions en haute disponibilité : le passage au « tout logique » apporte une facilité de déploiement et une souplesse de provisionning non offerts dans le monde physique.

En 40 ans, au vu de ces bénéfices, les technologies de virtualisation se sont orientées vers des utilisations diverses, s’étendant à d’autres composants du SI que les systèmes d’exploitation d’origine : postes de travail (sessions virtuelles, VDI…), réseaux (VDC, VRF…), équipements de sécurité (Firewalls, IDS-IPS…).

Des risques technologiques … à relativiser !

Les premières craintes des entreprises vis-à-vis de la virtualisation sont liées à la fiabilité des nouveautés technologiques impliquées : les nouveaux composants introduits, en particulier l’hyperviseur, me garantissent-ils l’étanchéité des systèmes supportés par une même machine physique ?

Il existe effectivement un certain nombre de vulnérabilités exploitables sur ces technologies… mais les risques associés sont finalement peu rencontrés : les technologies phares du marché sont des technologies éprouvées et ces risques peuvent être traités, comme pour tout système, par des mesures de gestion opérationnelles de la sécurité qui sont déjà en place dans les entreprises (patch management, durcissement…). Attention cependant ces processus doivent fonctionner avec efficacité vu l’impact en cas d’incident sur les infrastructures de virtualisation.

Des risques humains … à ne pas négliger !

Si les risques les plus courants de la virtualisation ne proviennent pas de la technique elle-même, ils se situent plutôt dans la gestion de ces nouvelles technologies. La virtualisation introduit dans le SI de nouveaux composants (hyperviseur, consoles…), de nouvelles notions d’infrastructure (réseau virtuel…) et les principaux risques de la virtualisation sont le plus souvent issus d’un défaut d’encadrement liés à ces nouveautés :

• Mauvais usage des consoles d’administration, avec des impacts immédiats « effet boule de neige » en cas de mauvaise configuration : arrêt multiple d’instances, activation de fonctions de décloisonnement…
• Mauvaises pratiques de gestion de la plate-forme de virtualisation, notamment sur les aspects de gestion des inventaires et de capacity planning qui doivent être redéfinis.
• Défaut de séparation des tâches entre les équipes système et réseau, avec tous les risques d’erreur, voire de malveillance, dus à la concentration de ces responsabilités.

Les risques « humains » (erreur, malveillance, absence de séparation des responsabilités) prédominent donc sur des risques « technologiques » relativement moins probables et pouvant être limités grâce à des recommandations classiques.

Un projet de sécurisation de la virtualisation, c’est donc bien entendu un projet d’intégration des nouvelles technologies dans la gouvernance opérationnelle de la sécurité pour traiter les risques techniques liés à son utilisation… Mais aussi et avant tout un projet de réflexion sur les rôles, les responsabilités et les compétences de ses administrateurs, afin de traiter les principaux risques de la virtualisation, à savoir les risques humains ! 

Cet article La virtualisation ne virtualise pas les risques humains ! est apparu en premier sur RiskInsight.

Le 29 novembre dernier, Solucom organisait une table ronde à Lyon sur le thème de la relation MOA – DSI. A cette occasion, les Mutuelles Adréa sont intervenues pour apporter leur retour d’expérience sur la conduite récente de ce programme de transformation structurant, mené en collaboration avec Solucom. Emmanuel Guillaumeau, manager au sein de la practice Transformation SI, et en charge du projet, a interviewé Gratien Atchrimi et Eric Chevallereau.

E.G. (Solucom) : Pouvez-vous nous décrire le contexte de ce projet de fusion, la stratégie retenue et l’impact sur la DSI et les métiers ?

E.C (DSI Adréa) : Adréa est composée historiquement de 8 mutuelles distinctes qui ont décidé de fusionner afin d’atteindre une taille critique sur le marché. La fusion sera effective juridiquement au 1^er janvier 2012. Une vingtaine de chantiers de travail ont été engagés afin d’assurer cette fusion. Au titre de ces chantiers et non des moindres, la fusion des SI actuellement en cours.

G.A. (DOMOA Adréa) : Pour dessiner la stratégie, plusieurs scenarii se sont présentés. Fusionner conjointement back et front office, d’abord le back office ou plutôt prioritairement le front office. Le 1er scenario a été exclu car pressenti comme trop compliqué. Des 2 suivants, il a été décidé d’appuyer la fusion par les SI front office (de relation clients). Cette stratégie permettait de capitaliser sur les outils et bonnes pratiques de certaines des mutuelles et présentait l’avantage de proposer à tous les collaborateurs un référentiel unifié des clients.

E.C : En terme d’impact sur la relation DSI / métiers, la réorganisation a posé les bases d’un fonctionnement unifié en créant une DSI groupe et en professionnalisant la fonction de MOA à travers la création d’une DOMOA. Si la DSI rapporte directement à la Direction Générale, la DOMOA est rattachée à la Direction des Assurances où se trouvent représentées toutes les directions métier. Dans les faits, DSI et DOMOA agissent de concert  et leur création a accompagné efficacement le Comité de Pilotage de la convergence des SI.

E.G : En quoi cette organisation peut-elle être considérée comme efficace plutôt que, par exemple, en rattachant la fonction MOA à la DSI ? 

E.C : La question du rattachement à la DSI s’est posée. Mais dans ce contexte de fusion, nous avons privilégié le message de l’importance stratégique de la fonction (rattachée à des métiers donneurs d’ordres eux-mêmes en cours de structuration) tout en insistant sur sa professionnalisation (création d’une Direction de la DOMOA dédiée).

G.A: Mais il ne se limite pas à cela bien sûr. La DSI a été « rassemblée » à partir d’éléments plus ou moins structurés et mutualisés préalablement (GIE, responsables informatiques locaux…). Ces composantes de DSI n’avaient pas forcément de poids stratégique dans la prise de décision par les DG. La création d’une DSI rattachée directement à la Direction Générale, et son pendant côté MOA métier, permet de peser efficacement dans le devenir des SI uniques. Les 2 entités se sont dotées d’instances de pilotage du portefeuille du projet et mènent (ou mèneront) en parallèle des projets de structuration des savoir-faire et de partage d’une méthode projet commune. Il faut bien comprendre que, pour nous, rattacher la MOA à la DSI n’aurait pas engendré ou engagé le même type de dynamique pour contribuer au projet de fusion. La MOA aurait peut-être été vue en opposition aux métiers.

E.G : Où en êtes-vous aujourd’hui, DSI et DOMOA, et comment / en quoi Solucom vous a-t-il accompagné sur ce projet ?

E.C : DSI et DOMOA ont un peu moins d’un an d’existence. Tout n’est pas calé, loin de là. Néanmoins 2 facteurs clés peuvent être mis en avant. Tout d’abord, DSI et DOMOA ont été créées « pour le mieux ». Les informaticiens sont satisfaits  de la direction prise par la DSI et du poids nouveau qui lui est accordé. Côté métier et DOMOA : les collaborateurs invités à rejoindre la DOMOA sont fiers des responsabilités qui leurs sont confiées. La 2^ème raison tient, à mon avis, au fait que DSI et DOMOA ont tout de suite su travailler ensemble.

G.A : Dans ce contexte, Solucom a accompagné la DG pour la définition du projet stratégique et la mise en œuvre de l’organisation unique. C’est surtout lorsqu’il a fallu engager la fusion des SI front office que l’on a fait appel à l’expertise de Solucom. Une étude préalable a permis de définir le référentiel des besoins et a chiffré une trajectoire de mise en œuvre du projet SI front office « Tangram ». Ce projet de plusieurs milliers de jours hommes est un laboratoire permanent du bon fonctionnement entre DSI et DOMOA. Il est sous la responsabilité de sponsors métier et d’un chef de projet MOA et d’un chef de projet SI. Solucom continue d’y jouer un rôle important en animant les instances métier du projet que l’on a baptisées « comité de validation managériale » et qui permettent aux principaux managers commerciaux, marketing et de gestion concernés d’être représentés.

ADREA est une mutuelle de 1000 collaborateurs, un million de personnes protégées et principalement présente dans le grand Sud-Est et dans le Nord-Ouest de la France. En savoir plus : http://www.adrea.fr

Retrouvez tous nos articles sur le secteur de l’assurance et des mutuelles sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Relation MOA – DSI : quelle organisation pour quelle efficacité ? Interview des Mutuelles Adréa est apparu en premier sur RiskInsight.

Une fois de plus les Assises sont un succès, un succès à la fois grâce à une organisation de grande qualité mais aussi du fait de la présence de l’ensemble de la communauté française. RSSI, responsables des risques, DSI, éditeurs, constructeurs et cabinets de conseil, tous étaient là dans une optique de partage et d’échange toujours aussi fructueuse.

Quels sont les sujets d’actualités et les nouveautés rencontrées ?

Les sujets ont tellement été diversifiés qu’il est quasiment impossible de tous les citer. Si je devais le résumer les 3 mots clés les plus rencontrés, je dirais : cloud, consumersation et cybercriminalité. Ils ont été largement débattus et ont fait l’objet de nombreuses annonces innovantes. A l’inverse, je noterais une  plus faible représentation des sujets attenant à la sécurité applicative, pourtant au cœur de la protection aujourd’hui. Enfin, des sujets plus atypiques et prospectifs comme l’IPv6, ont fait leur apparition.

Finalement la gestion de risques et l’évolution du rôle du RSSI ont, une fois de plus, été l’objet de nombreuses discussions dans plusieurs ateliers, dont celui animé par Solucom. Le débat s’est élargi, touchant alors à des problématiques hors « sécurité », avec notamment une intervention de premier plan de Luc Ferry sur la multiplication des peurs dans notre société. J’en retiendrai que la peur ne doit pas être le premier élément de nos réflexions et que la gestion du risque ne doit pas être un frein au développement ou à l’innovation !

L’ANSSI a animé une plénière pour alerter la communauté et lui demander de revenir aux fondamentaux de la sécurité, quelle est votre analyse ?

Je pense qu’aujourd’hui la communauté sécurité connaît bien ces fondamentaux (gestion d’identité, correctifs, antivirus, durcissement…), mais elle est confrontée depuis plus d’une dizaine d’année à la difficulté de les faire appliquer. Les équipes techniques et les métiers rechignent, les directions ne comprennent pas.

Cet état de fait a amené la communauté à s’orienter d’une part autour de la gestion des risques, afin de  concrétiser et d’expliciter en termes « métier » les impacts potentiels, mais aussi d’autre part dans la publication de nombreuses normes ou réglementations pour aider ou « forcer » l’application de ces mesures. Pourtant, cela n’a marché qu’un temps et la plupart de ces initiatives se sont transformées en sécurité « cache sexe » comme le disait Patrick Pailloux. Cela est un vrai drame car ces démarches pourtant de qualité sont trop souvent dévoyées !

A mon sens, aujourd’hui, la communauté sécurité manque de leviers pour convaincre les directions et les métiers. Elle manque également de support managérial pour réellement sanctionner et faire évoluer des pratiques déviantes souvent rencontrées. Les récents incidents médiatiques sont une aide mais la logique du « cela n’arrive qu’aux autres » est encore trop répandue

L’ANSSI, grâce à son message « back to basics », joue un rôle de premier plan. Mais elle pourrait aller plus loin en faisant part régulièrement de leur « thermomètre » du risque tel qu’évoqué durant la plénière afin de faciliter la sensibilisation des donneurs d’ordre.

Il faut arrêter de minimiser l’exposition de la France aux menaces cybercriminelles. L’illusion de sécurité est bien trop répandue aujourd’hui et j’espère que  les messages forts de la plénière aideront à changer cette situation.

Cet article Trois questions à Gérôme Billois sur les Assises 2011 est apparu en premier sur RiskInsight.

La télévision connectée est un téléviseur qui, directement ou via un équipement tiers, se connecte à internet. La télévision connectée permet au téléspectateur d’accéder à des services au-delà de son bouquet de chaînes traditionnel. Ces services peuvent se classer en 3 catégories :

• Les services de contenus vidéo comme Youtube ou Netflix dont l’usage concurrence potentiellement les chaînes de télévision
• Les services de télévision enrichie, qui offrent au téléspectateur des fonctionnalités étendues vis-à-vis du contenu qu’il regarde (exemple : j’achète en un clic la robe de l’héroïne de la série que je regarde)
• Tous les autres services, nativement décorrélés de l’usage télévisuel mais qui ont vocation à se retrouver sur tous les écrans connectés, comme par exemple les services d’information

En quoi cela révolutionne la télévision que l’on connait ?

L’analogie souvent utilisée pour décrire le changement qui nous attend est celle de la révolution apportée par l’iPhone (et les smartphones de façon générale) à l’univers du mobile.

Comme ce fut le cas pour l’iPhone, la télévision connectée bouscule le référentiel actuel :

• Elle remet en cause les usages actuels basés sur le broadcast (le même contenu diffusé pour tout le monde) en proposant une consommation principalement à la demande
• Elle contraint l’écosystème télévisuel, fortement régulé, à répondre aux défis de nouveaux acteurs issus d’un écosystème qui l’est très peu : Internet
• Elle fragilise la position des chaînes qui jouent aujourd’hui un rôle central

Quel visage aura la télévision de demain ?

Les ventes décevantes de la Google TV lancée en 2010 en partenariat avec Sony ont démontré un point important : même connectée, la télévision reste un media à part qui ne saurait se satisfaire d’une réplication brute des paradigmes du web.

Les services web déportés sur la télévision tentent se rapprocher au plus près des habitudes de consommation des téléspectateurs, en témoigne la fonctionnalité de leanback qui permet aux utilisateurs de Youtube de consommer de façon passive sur la TV une succession de contenus sélectionnés automatiquement par la plateforme. Youtube propose ainsi une expérience plus proche de la chaîne de télévision, à une rupture majeure près : le flux broadcast traditionnel, diffusé pour tous à l’identique, est remplacé par un flux nouveau propre à chaque téléspectateur, basé sur le profil connu ou appris de celui-ci.

S’il est encore tôt pour définir avec certitude le visage de la télévision de demain, nous pouvons dès aujourd’hui prédire qu’elle associera la richesse d’internet, en termes de personnalisation, d’ouverture et d’interactivité, à la simplicité d’usage de la télévision traditionnelle.

Pour en savoir plus, consultez le livre blanc co-écrit par l’AFMM et Solucom ou encore notre blog telcospinner, rubrique Foyer connecté

Cet article Télévision Connectée : une révolution porteuse de nouveaux défis est apparu en premier sur RiskInsight.

Les cartes de paiement ont envahi notre quotidien, que ce soit pour les achats en magasin comme pour la vente à distance en particulier via internet Pour autant, cette généralisation de l’utilisation de la carte de paiement a entrainé une augmentation du montant total de la fraude de 9,8% par an en moyenne, pour atteindre 342,3M€ en 2009*. Les grands émetteurs de cartes comme Visa et Mastercard  se devaient de réagir et de proposer de nouvelles mesures de sécurité.

PCI DSS, un standard de sécurité exigeant…

Pour contrer cette augmentation des fraudes, les acteurs majeurs des cartes de paiement ont défini le standard de sécurisation PCI DSS, dont les objectifs sont les suivants :

• Réduire les risques de fuite de données bancaires en renforçant et uniformisant à l’échelle mondiale leur sécurisation
• En cas de fraude, déplacer les responsabilités des sociétés de cartes de paiement vers les garants de la certification PCI DSS (banques et sociétés d’audit)

Le standard adresse 12 thèmes classiques de la sécurité. Mais il est particulièrement exigeant ! Toutes les règles doivent être appliquées et elles sont précises. Durcissement des serveurs, revue quotidienne des logs, détection des points d’accès wifi pirates, sont autant de chantiers complexes à adresser dans le cadre d’une mise en conformité. D’autant plus que leur application est contrôlée à travers des audits annuels pour les sociétés réalisant plusieurs millions de transactions par an.

Quelle stratégie de mise en conformité ?

Au vu de cette complexité, notre recommandation est d’initier tout projet de mise en conformité PCI DSS par la réduction du périmètre d’application du standard. Pour cela, plusieurs méthodes se détachent :

• Aligner le périmètre applicatif avec les besoins métiers réels. Cet exercice  consiste à supprimer les données de cartes bancaires partout où leur présence n’est pas justifiée par un besoin métier réel.
• Désensibiliser les données de cartes bancaires. Il est possible de remplacer les données bancaires par une donnée non exploitable en cas de fraude –  troncature, hash, ou identifiant unique (token) – différente de la donnée bancaire. Des éditeurs se positionnent sur la fourniture de solutions de désensibilisation.

Cette étape effectuée, le périmètre d’application du standard PCI DSS se résume alors aux applications restantes et aux services d’infrastructures sous-jacents (réseau, postes de travail concernés, sauvegardes, base d’identifiants uniques…). C’est a priori sur ce périmètre que s’appliqueront donc les exigences de PCI DSS.

Sauf si…  la réduction de périmètre se poursuit à travers l’externalisation de ces ressources applicatives. Et cette externalisation pourrait même servir à améliorer les services offerts…

L’externalisation : une solution à PCI DSS ?

Historiquement implantés dans beaucoup d’entreprises pour assurer un rôle d’intermédiaire avec les banques, les PSP (Payement Service Providers) peuvent jouer un rôle majeur dans une stratégie de mise en conformité, dans la mesure où toutes leurs offres sont proposées en standard sur des environnements entièrement certifiés PCI DSS.

En particulier, les PSP sont aujourd’hui en mesure de proposer l’externalisation de tous les composants de la chaîne de liaison paiement par internet ou par téléphone : collecte des données, demandes d’autorisation et de paiement, contrôles anti-fraude avancés…

Et l’externalisation peut aller encore plus loin ! Les PSP proposent dorénavant des tables de correspondance « tokenizer » facilitant la désensibilisation des données carte de paiement. Lors de la collecte de données, un identifiant unique, personnalisable, est renvoyé à l’entreprise et peut donc circuler dans le SI sans aucune contrainte vis-à-vis de la norme PCI DSS.

L’externalisation permet ainsi de réduire de manière conséquente le périmètre applicatif, mais attention… ce n’est pas la solution ultime pour être conforme à PCI DSS.  Certaines populations conservent souvent le besoin d’accéder au numéro de carte depuis leur poste de travail, pour des raisons réglementaires, entre autres. Nous pouvons par exemple citer les services de lutte anti-fraude ou les téléconseillers, dont les terminaux devront sans doute rester dans le périmètre PCI DSS. Il est donc difficile de penser qu’aucun composant du SI ne manipulera de données cartes surtout dans une grande entreprise.

Mais bien plus qu’un simple levier de mise en conformité PCI DSS, un projet d’externalisation peut devenir stratégique pour l’entreprise en lui permettant de développer de nouveaux moyens de paiements (ex : cartes cadeaux), de nouveaux marchés internationaux (facilités de connexions aux acquéreurs étrangers) ou de nouvelles fonctionnalités (ex : paiement one-click sans renseignement des données CB). Le recours à ces acteurs peut aider à la conformité mais aussi faciliter de nouveaux usages.

*Ces statistiques sont issues du rapport d’activité annuel 2009 de l’Observatoire de la sécurité des cartes de paiement publié en Juillet 2010

Cet article PCI DSS : l’externalisation est-elle une solution ? est apparu en premier sur RiskInsight.

Exemple en images : à  l’occasion des 10 ans de son site internet, une grande marque de la mode offre à ses clients une expérience grandeur nature de réalité augmentée réalisée à partir de vidéo mapping.

Cet article La réalité augmentée aux portes du web est apparu en premier sur RiskInsight.