This can take different forms; the following aspects are usually examined:

• Finance and accounting (auditing, personnel inventory, balance sheet and profit and loss accounts analysis, forecasted business activity, etc.)
• Legal (company statutes, proceedings in process, patent and intellectual property ownership…)
• Strategy (competitor identification, company strengths, distribution channels, etc.)

Although current affairs and news offer plentiful examples of companies that have been impacted by cyberattacks, the issue of cybersecurity is all too often overlooked with regards to mergers and acquisitions.

But mindsets are evolving: in a recent survey conducted by Freshfields Bruckhaus Deringer, specialists in corporate law, 90% of respondents considered that a confirmed cyber-attack could lead to revise the acquisition cost downwards, and 83% of them thought that an attack during the due diligence phase could simply lead to abandon the deal.

Still, the cyber risk is real: as soon as two IT environments are interconnected, the resulting environment often inherits de facto the lowest level of security of the two. Besides, a merger or acquisition can highlight possible compliance gaps, in a context of increasing scrutiny by regulators all over the world.

Is cyber-risk assessment the next pillar of M&A?

Increasingly aware of this risk, companies progressively integrate the notion of “cyber risk” into their reconciliation strategies. The objective is, in principle, simple: to understand whether the merger of two companies, and thus the likely merger of their Information Systems, increases cyber risk.

There is, however, a major difference between standard due diligence and its cybersecurity equivalent. While accounting and legal regulations are clearly understood and shared at the international level, there is as yet no equivalent in the cybersecurity world. Standards are multiplying (by system type, data to protect, industry, country…), but they only remain good practice references which indicate how to properly implement considerations around cybersecurity – not if they actually were implemented properly. There are some notable exceptions, such as PCI-DSS (protection of credit card data) certified environments, or classified, Defense-type environments. These examples, however, are specific, with very restricted scopes.

For the purchaser, acting in good faith and being unaware of security breaches will do nothing to prevent cyberattacks: in cyber risk, we not only endorse responsibility, but directly the risk itself!

In the same manner, it is neither easy (yet, nor impossible) for a company to ensure that its cyber security is “good”. Managing the Information System in line with today’s best practices does not guarantee that its weaknesses will not be exploited tomorrow.

An M&A context is not the only context of interest for examining the IS security aspects through cyber due diligence. For several years, large international insurers have launched their cyber-insurance offers. In this context, they legitimately seek to know the level of information security of companies for which they will provide insurance. At the minimum, insurers seek to know what general level of cyber-risk they will have to cover. Thus, by upstreaming this type of underwriting, cyber-insurers are now supported by IT security experts, whose role it is to carry out due diligence at a fairly high level.

What approach should be taken for cybersecurity due diligence ?

What is security due diligence? It is neither an innovative technology nor a revolutionary method; rather it refers to the balanced and targeted use of different information security tools.

Several approaches are possible:

• A “comprehensive” approach, consisting of both a theoretical and organizational analysis of security, supplemented by penetration tests to gain a vision as closely aligned to reality as possible. This approach, ideal in essence, is often used in the case of start-up buyouts. However, it is almost never used in larger deals, for reasons relating to both cost and a lack of time.
• An “interview” approach, which involves an evaluation of the situation in relation to a known and adapted reference framework during exchanges with security managers at the company in question. The limitation of this approach is that it is based only on statements and declarations. As such, it does not provide any proof of for what is being put forward. Led by a seasoned expert in this activity, this approach nonetheless facilitates a general view of the type of security practices that have been implemented.
• A “questionnaire” approach is offered as a matter of dealing with answers to a series of questions, usually with multiple choice answers. Beyond the lack of depth of such an approach, its outcome strongly depends on the respondents of the questionnaire, and the manner in which the questionnaire is used. Unfortunately, it is often the case that it is barely read or referenced.

Irrespective of the chosen approach, it can be rolled-out at two stages: an initial analysis to provide knowledge and understanding of the security risks, which must feed directly into the “go / nogo” considerations behind the deal. A possible second step involves more detailed analysis for a more precise evaluation of risk(s) in order to determine the corrective actions.

Cyber due diligence as an input for valuation

Whether it is for acquiring a company or assessing the risk taken by cyber insurers, due diligence must serve as a platform for encouraging further reflection on the feasibility of a deal.

It must also constitute an element of added value for the company, to the extent that conforming to and respecting market best practices can prove to be costly.

Finally, cyber due diligence helps to identify the regulatory aspects that must be respected, such as laws affecting Critical Information Infrastructures (USA PCII Program, China’s Cyber Security Law, France’s “LPM”, Singapore’s upcoming New Cybersecurity Act…) and which may require a certain number of adaptations foreseen on the Information System of the company for sale, and / or the purchaser.

Have we ever seen a cybersecurity due diligence lead to the abandonment of a company purchase? Not publicly. We rather witness the rapid correction of the most serious identified vulnerabilities, or sometimes a decision to not connect certain components of the Information Systems.

Will cybersecurity due diligence have any real impact on transactions? To this question, Verizon provided a response with a figure: in February 2017, the operator decreased its offer to purchase Yahoo by US$350 million. This corresponds to more than 7% of the value (US$4.8 billion) initially offered.

Cet article “Cyber” due diligence is the new asset for business valuation est apparu en premier sur RiskInsight.

 AU COEUR DE LA TRANSFORMATION NUMÉRIQUE

Aucune industrie ne peut aujourd’hui ignorer cette tendance et les entreprises voient un intérêt grandissant à s’emparer de ce qu’elles perçoivent comme une véritable opportunité.

Alors que des start-ups conçoivent chaque jour des dispositifs intelligents, des partenariats se mettent en place entre les vendeurs et les industries traditionnelles – tels les secteurs de l’assurance, automobile, administratif, bancaire – afin d’offrir de nouveaux services aux consommateurs grâce à divers éléments connectés.

UNE SURFACE D’ATTAQUE DE PLUS EN PLUS EN PLUS VASTE POUR LES CYBERCRIMINELS

L’essor de cet Internet des Objets n’est pas sans danger, d’autant plus que les risques, qui étaient surtout virtuels, s’étendent au domaine du physique.

Une étude frappante a été menée par HP Fortify en 2014, mettant en avant un constat sans appel : en testant la sécurité des 10 des objets connectés les plus en vogue du moment, une moyenne de 25 vulnérabilités par objet a été trouvée. La plupart d’entre elles sont liées à des problèmes de sécurité basiques, tels que la mauvaise gestion de la confidentialité des données et des droits d’accès, l’absence de chiffrement des flux, une interface d’adminis­tration Web non sécurisée, ou encore une protection générale inadaptée. La suite de cette étude en 2015 a également montré que les 10 smartwatchs et les 10 systèmes de sécurité pour les particuliers les plus vendus présentaient tous des vulnérabilités majeures concernant la confidentialité des données de l’utilisateur.

Ce manque de durcissement augmente le risque de vulnérabilités pouvant affecter toute sorte d’objets : des réfrigérateurs aux toilettes connectées, en passant par les voi­tures et les serrures. L’actualité des derniers mois en est la preuve avec par exemple l’attaque DDoS sur le DNS Dyn avec le botnet Mirai en octobre 2016 ou la prise de contrôle à distance d’une Tesla par une équipe de hackers chinois en septembre 2016.

DANS QUELLE CATÉGORIE DE RISQUES VOUS SITUEZ-VOUS ?

En ce qui concernent les entreprises, les risques dépendent de la posture adoptée. Dans le cas des objets connectés, quatre cas sont possibles. Les différentes postures ont été réunies sous l’acronyme « CARA » (pour Concevoir, Acquérir, Recommander, Accueillir) comme le montre le tableau ci-dessous. Une fois la posture identifiée, il convient de spécifier les risques génériques et les recommandations associées.

Afin d’évaluer le risque, le cabinet Wavestone a développé un outil spécifique, la matrice « heat map ». Elle prend en compte deux dimensions : le niveau de risque et la posture.

UN OUTIL D’ÉVALUATION EFFICACE : LA MATRICE « HEAT MAP »

Le schéma ci-dessous présente l’exemple concret de l’utilisation d’objets connectés pour le secteur bancaire et ses divers ser­vices. Ce contexte présente des contraintes particulières. D’un côté la réalisation d’une transaction financière est plus risquée que la consultation du solde bancaire. Mais d’un autre côté, la personnalisation des fonctions de sécurité sur un appareil appartenant à un employé ou à un client est bien plus compliqué que le durcissement d’un produit choisi par l’entreprise et qui a été acquis à un fournisseur, ou même développé en interne.

Cette matrice permet de réaliser une cartographie des risques qui requièrent la plus grande attention.

DES DISPOSITIFS DE SÉCURITÉ HABITUELS : DE NOUVEAUX MODES D’IMPLÉMENTATION

Une fois la cartographie des risques établie, il faut s’intéresser aux réponses que l’on peut y apporter. Une référence intéressante à ce propos est celle de l’initiative « IoT Project » de l’OWASP (Open Web Application Security Project – organisation à but non lucratif) qui propose notamment une liste de recommandations de sécurité intéressantes et compréhensibles.

La première chose à noter à propos de ce guide est qu’il est divisé en 3 catégories selon les cibles d’audience visées : fabri­cants, développeurs, consommateurs. Cette structure a du sens dans la mesure où la sécurité est partagée entre ceux qui conçoivent les composants (matériel ou logiciel), et ceux qui les utilisent.

Par ailleurs, les dispositifs de sécurité doivent être complets – renforçant non pas les seuls objets connectés, mais aussi toute la sur­face d’une attaque (physique, matériel, logiciel, base de données, local ou à distance, etc.). À cet égard, les mesures de sécurité proposées sont surtout construites sur les bonnes pratiques de l’industrie de la sécurité.

L’Internet des Objets apporte un réel changement dans la mise en œuvre des dispositifs de sécurité.

En effet, plusieurs contraintes liées aux objets connectés sont à prendre en compte :

• Ergonomie : la taille et le design influenceront les mesures de sécurité acceptables par les utilisateurs – par exemple, la taille de l’écran pour taper un mot de passe.
• Puissance : les petits objets embarqués actuels ont une puissance de calcul limitée. Plusieurs opérations ne peuvent être réalisées en même temps dans un laps de temps raisonnable. Par exemple, Apple a conseillé aux développeurs de ne pas implémenter des fonctionnalités nécessitant de long temps d’exécution sur l’Apple Watch.
• Connectivité : l’Internet des Objets utilise généralement du Bluetooth ou des protocoles NFC, deux technologies ayant une portée et un débit limité, ce qui ne permet pas toujours d’embarquer un niveau de sécurité suffisant.
• Durée de vie de la batterie : les algo­rithmes cryptographiques (comme du chiffrement / déchiffrement asymé­trique en temps réel) peuvent affecter durement la consommation énergé­tique, même s’ils permettent de pro­curer un meilleur niveau de protection.
• Gestion des mises à jour : il est indis­pensable de mettre à jour le système, sans interférer avec l’utilisation de l’objet. Cela est particulièrement frap­pant dans le cas des voitures connec­tées que l’on ne peut pas conduire lorsque le logiciel est en train de se mettre à jour. Cela peut prendre plus de 45 minutes.

Au-delà de la sécurité, la confidentialité est également indispensable pour les consommateurs ainsi qu’une exigence pour les autorités. L’implémentation pourrait être complexe, mais plusieurs initiatives pour la confidentialité des objets connectés ont émergé ces dernières années.

Parmi ces initiatives, le projet PRESERVE est un exemple intéressant. Il offre à l’industrie automobile un nouveau moyen d’utiliser les PKI et les certificats numériques pour les voitures et les routes connectées. Le projet utilise des « pseudonymes » modifiés régulièrement afin de garantir que le conducteur reste anonyme tout en assurant que les communications entre les véhicules et l’infrastructure routière sont authentiques et sécurisées.

Nous sommes entrés dans une ère où sécurité et confidentialité des données sont devenues des critères essentiels dans le choix des consommateurs. Cette évolution ne peut plus être ignorée par les acteurs concernés, qu’ils conçoivent, acquièrent, recommandent ou accueillent des objets connectés.

Cet article Objets connectés : les 4 dimensions de la sécurité est apparu en premier sur RiskInsight.

During the 2016 edition of the Cyber Security Summit – one of the main local cybersecurity events – the Hong Kong Monetary Authority (HKMA) announced the launch of its CyberSecurity Fortification Initiative (CFI), a multi-year approach to strengthen the security of local banks.

Here are the main points to keep in mind about this initiative, which brings best-of-breed cybersecurity international practices, but also an innovative approach to cyber threat intelligence.

A three-fold initiative to improve the level of security

The CFI is an initiative on which the HKMA has been working to strengthen cyber-resilience (i.e. the capacity to resist/survive cyber-attacks). It targets all the Authorized Institutions[1] (AIs), in other words the banks of Hong Kong. It is underpinned by three pillars:

1. Cyber Resilience Assessment Framework

This framework will have to be deployed by each bank, thus allowing the HKMA to “get a holistic view of the preparedness of individual AIs as well as the entire banking sector”. It consists of 3 steps:

Cet article Hong Kong launches a major cybersecurity program for its banking industry est apparu en premier sur RiskInsight.

Que sait-on de l’attaque contre TV5Monde ? Qui sont les attaquants ?

Le 8 avril au soir, les comptes de TV5Monde sur les réseaux sociaux diffusent des messages favorables à l’État Islamique. En parallèle, la chaîne arrête d’émettre et les téléspectateurs se retrouvent devant un écran noir. Dès le 9 avril au matin, de nombreux articles manquant de sérieux ont prétendu décrypter l’attaque en détail, et ont malheureusement été repris par de nombreux médias. Peu d’informations sont en fait disponibles publiquement à ce jour, et il faudra sans doute attendre les résultats de l’enquête pour en savoir davantage.

Cela étant, quelques éléments sont déjà connus avec un bon niveau de certitude. Tout d’abord, il s’agit d’une attaque préparée et coordonnée. De nombreuses sources évoquent un mail de phishing ayant piégé un ou plusieurs employés de la chaîne, permettant à des attaquant de prendre le contrôle de leur poste de travail, puis de rebondir à l’intérieur du système d’information. Les premiers comptes compromis ont peut-être été ceux des community managers de réseaux sociaux. Rappelons au passage que même un mot de passe très long et très complexe ne résisterait pas à cette méthode, puisque c’est l’utilisateur qui le « donne » à l’attaquant sans le savoir.

Une fois que les attaquants ont réussi à atteindre les serveurs assurant le multiplexage et permettant d’interrompre la diffusion. Ils ont lancé toutes les actions malfaisantes en parallèle : réseaux sociaux et diffusion. Ces éléments laissent à penser que l’attaque a nécessité une équipe de réalisation composée de plusieurs personnes et compétences. Attention toutefois à une attribution de l’attaque trop hâtive : elle pourrait effectivement avoir été menée par un groupe idéologique, mais elle pourrait également avoir été commanditée à un groupe de « cyber mercenaires » avec une unique motivation financière.

S’agit-il d’une attaque exceptionnelle ?

De ce que l’on sait aujourd’hui, l’attaque n’est pas extraordinaire par son mode opératoire. Les attaquants ont probablement suivi le schéma classique : une phase de reconnaissance, puis d’intrusion, et enfin de propagation jusqu’à atteindre les systèmes ciblés. Son objectif, une destruction à visée idéologique, n’est pas nouveau non plus en soi.

On ne peut pas parler de « cyberguerre » à ce stade, mais plutôt de « cyber-vandalisme », comme l’a fait Barack Obama pour le cas Sony Pictures fin 2014. Si l’attaque a été exceptionnelle, c’est surtout par sa couverture médiatique : tous les médias généralistes ou presque en ont parlé (chaînes télévisées, journaux papiers et web, magazines), en France comme à l’international.

À cela, il y a plusieurs explications. D’une part, l’aspect symbolique et très visible de l’attaque : TV5Monde est une chaîne francophone, diffusée partout dans le monde. Elle porte donc indirectement l’image de la France, et se retrouve au milieu d’une guerre médiatique. D’autre part, l’impact de l’attaque : la chaîne a arrêté d’émettre ses programmes, ce qui est son principal métier. Cela a créé une frayeur dans beaucoup de médias, qui redoutent d’être les prochaines victimes et ont donc tenté de comprendre l’attaque.

Les médias vont-ils devenir une cible privilégiée pour les pirates ? Y a-t-il un moyen pour eux de se prémunir contre ce type d’attaque ?

L’essence d’un média est sa visibilité, ce qui en fait une cible de choix pour qui veut diffuser un message de propagande idéologique. Il est donc aujourd’hui important pour les médias, comme pour beaucoup d’entreprises, de se préoccuper de leur sécurité informatique. C’est tout de même déjà bien souvent le cas, mais nous pouvons rappeler quelques priorités pour réduire la probabilité qu’une telle attaque réussisse.

Tout d’abord, il faut systématiquement faire auditer les infrastructures informatiques exposées sur Internet, et bien sûr corriger les éventuelles faiblesses découvertes. Il est également nécessaire de sensibiliser les collaborateurs aux bonnes pratiques « d’hygiène » en sécurité informatique, en portant une attention particulière aux utilisateurs disposant de données ou de droits particuliers (tels que les community managers de réseaux sociaux, les administrateurs informatiques, et les dirigeants).

Enfin, l’affaire TV5Monde a mis en exergue un point intéressant à garder à l’esprit : il est vital que la cybersécurité soit un domaine de collaboration entre entreprises, et non de compétition ! En particulier, le partage des IOC (indicateurs de compromission permettant de détecter les traces d’une attaque) entre entreprises du même secteur devient une priorité. C’est l’un des axes que l’ANSSI promeut auprès des différents acteurs et qui a été mis en oeuvre lors de cette attaque.

Après une chaîne de télévision, qu’est-ce qui empêche l’attaque d’infrastructures plus critiques de notre pays ?

Les spécialistes de la sécurité n’ont pas découvert l’existence d’attaques avec celle de TV5Monde, loin de là. Des entreprises aux activités sensibles sont attaquées tous les jours, parfois avec succès : ce risque est connu ! C’est bien pour cela que les sociétés concernées travaillent depuis des années sur leur sécurité informatique, et que le sujet est pris de plus en plus au sérieux par les directions générales.

Par ailleurs, l’état se donne aujourd’hui les moyens de sécuriser les infrastructures informatiques les plus sensibles : d’importants budgets sont mis en œuvre pour protéger les services étatiques et accompagner celle des entreprises (Opérateurs d’Importance Vitale en particulier), voire leur imposer dans certains cas.

Une attaque n’est bien sûr pas exclue, et il faudrait idéalement pouvoir en faire davantage sur le sujet de la cybersécurité. Mais la situation va dans la bonne direction et il est important de rester rationnels suite à l’attaque contre TV5Monde, tout en continuant les efforts de sécurisation.

Cet article TV5Monde : une cyberattaque de grande ampleur… médiatique ! est apparu en premier sur RiskInsight.

Très largement déployé dans le monde – Gartner parle de plus de 1,6 milliards de machines depuis son lancement en 2001, dont quelques 500 millions encore en activité –  l’OS équipe encore de nombreux postes de travail en entreprise. Dès lors, il est important de comprendre les enjeux de cette fin de support, et les différentes approches pour y faire face.

Quels sont les systèmes concernés et les conséquences de cette fin de support ?

Comme le montre l’illustration ci-dessous, le système concerné par cette date butoir est Windows XP dans sa version pour PC. . Notons que la version Embedded (pour systèmes embarqués), qui équipe par exemple certains distributeurs automatiques de billets, bénéficiera elle des correctifs jusqu’en janvier 2016.

Au-delà de l’arrêt des mises à jour fonctionnelles, l’arrêt des mises à jour de Windows XP signifie la fin des patches de sécurité : lorsqu’une nouvelle faille sera détectée, elle aura les mêmes impacts qu’une vulnérabilité 0-day. Elle sera donc immédiatement exploitable pour des actions malveillantes, et ne sera pas corrigée.

Microsoft a cependant annoncé récemment que certains produits spécifiques de sécurité pour Windows XP (tels que MSRT, l’outil de suppression des programmes malveillants) continueraient, eux, à recevoir des mises à jour de définition antivirales jusqu’en juillet 2015.

Du point de vue de la gestion des risques et de la sécurité, on peut redouter deux impacts majeurs.

En termes de protection,  les postes sous Windows XP, déjà souvent critiqués pour leur piètre niveau de sécurité, deviendront de réels points de faiblesse dans la durée. Même en faible nombre, ils pourront facilement servir de porte d’entrée et de point de rebond pour une attaque plus large.

La plupart des éditeurs d’antivirus arrêteront d’ailleurs de fournir un support pour leurs versions sous Windows XP lorsque cela deviendra techniquement (et commercialement) déraisonnable, contribuant à augmenter mécaniquement la vulnérabilité de ces postes.

Dans le même temps, les entreprises vont se trouver face à un risque de perte de conformité. En effet, certains standards exigent l’utilisation de systèmes supportés par leur éditeur. Ainsi, il semblerait que les postes sous Windows XP après le 8 avril 2014 fassent perdre la conformité HIPAA (données de santé américaines). Pour l’industrie bancaire, le risque de perte d’une certification PCI-DSS apparaîtra également, la norme exigeant une correction des vulnérabilités critiques impossible dans les faits.

Comment les entreprises peuvent-elle gérer ces risques ?

Pour se parer au mieux à toute éventualité après le 8 avril, plusieurs approches peuvent être adoptées.

1)     La montée de version, solution évidente mais à long terme

C’est la solution la plus évidente et, bien sûr, la plus recommandée par Microsoft. L’éditeur préconise le déploiement de Windows 8.1 Pro, là où beaucoup d’entreprises tentent actuellement de terminer (voire de commencer) leur passage à… Windows 7.

La migration vers un OS moderne est l’approche idéale, mais les retards de migration sont souvent dus à la complexité de portage d’applications historiques, à l’obligation de continuer à utiliser Windows XP car il est le seul OS supporté par une application métier critique, voire à la limitation d’un matériel pas assez puissant pour une version plus récente.

Cette situation n’a pas toujours été anticipée, et il est certain que des postes resteront encore sous XP pendant plusieurs mois, voire plusieurs années.

 2) La (coûteuse) botte secrète Microsoft : le custom support

Si le « support étendu » de Microsoft s’arrête, l’éditeur propose toutefois une alternative, à travers son Custom Support Agreement, ou support personnalisé.

Il s’agit d’un contrat complémentaire, accessible uniquement aux grands comptes, et facturé au nombre de postes que l’on souhaite continuer à couvrir. Les chiffres qui circulent publiquement sont de l’ordre de 200$ par poste pour la première année de support, 400$ la deuxième, et ainsi de suite…

L’objectif est ici d’offrir une porte de secours aux grandes entreprises qui n’ont pas encore migré des systèmes critiques, tout en les poussant à le faire rapidement en rendant le coût de support de plus en plus élevé.

 3) Les solutions dédiées pour sécuriser les postes sous XP

Plusieurs mesures de protection spécifiques peuvent, enfin, être mises en œuvre.

•  Figer le système dans une approche liste blanche

Il est possible de figer les systèmes obsolètes, comme cela a parfois déjà été fait avec les prédécesseurs de  Windows XP. Certains outils du marché, tel qu’Integrity Control de McAfee, permettent en effet de limiter la liste des exécutables autorisés sur un poste donné, vérifiant ainsi que seuls des logiciels approuvés et non modifiés sont utilisés.

Si cette méthode peut s’avérer efficace pour les postes métier ou de production industrielle subissant peu de changements, elle montrera vite ses limites avec des postes de travail bureautiques.

•  Déployer des solutions spécifiques de réduction du risque

Certains éditeurs offrent des solutions ciblées, à l’instar d’Arkoon avec sa solution ExtendedXP. Dans ce cas, il s’agit alors de cumuler un service de veille dédié aux failles touchant l’OS, et un outil de détection d’intrusion (HIPS) sur les postes de travail concernés, afin de réagir en temps réel à toute nouvelle vulnérabilité, d’adapter les règles de détection de l’outil, et de réduire ainsi le risque de compromission ou d’attaque.

•  Se préparer à l’éventualité d’une crise… en attendant la migration

Quelle que soit l’approche retenue, couvrir le risque tout en conservant des postes sous Windows XP sera difficile. Il peut donc être utile d’anticiper une gestion de crise, en intégrant ce cas spécifique aux processus existants : prévention auprès des utilisateurs et du Helpdesk, alerte des équipes IT, et formalisation d’une chaîne d’escalade adaptée.

Ces étapes sont déjà en cours chez nombre de nos clients. Même si elles peuvent représenter des solutions d’attente, la migration est aujourd’hui plus que nécessaire !

Cet article Que devient la sécurité de Windows XP après la fin de son support ? est apparu en premier sur RiskInsight.

Beaucoup ont donc entamé au cours des 18 derniers mois un projet visant à exploiter les logs (ou journaux d’évènements) afin d’anticiper, détecter et diagnostiquer des actes malveillants.

L’objectif est ambitieux : on parle d’abord de log management, puis de corrélation des logs à l’aide d’un SIEM (security information and event management) . Quelle réalité derrière ces principes ? Comment les mettre en place ?

Étape 1 : centraliser les journaux

Une grande majorité de machines (équipements réseau, serveurs, postes de travail), bases de données ou applications d’un SI peuvent aujourd’hui générer des logs. Ces fichiers contiennent, pour chaque machine, la liste de tous évènements qui se sont déroulés : réussite ou échec d’une connexion utilisateur, redémarrage, saturation de la mémoire…

Pour les exploiter, il est possible de se connecter unitairement à chacun des équipements afin d’y observer l’historique. Cette tâche fastidieuse, encore souvent observée sur le terrain, est irréaliste sur des systèmes d’information complexes. Elle est par ailleurs inefficace pour prévenir un incident ou détecter les impacts en temps réel.

La construction d’un « puits de log » est une première brique de réponse : il s’agit de collecter, à l’aide d’un outil automatisé du marché, l’ensemble des journaux d’équipements dans un espace de stockage unique. L’un des critères de sélection de cet outil est justement sa capacité à reconnaître différents formats de logs (syslog, traps SNMP, formats propriétaires…).

Le volume d’information centralisée peut vite exploser : il est important d’éviter la collecte de données inutiles. Par ailleurs, le système peut également être gourmand en puissance de calcul en fonction des périmètres de recherches effectuées.

On parle de log management à partir du moment où les données contenues dans ce puits sont traitées et exploitées, par exemple pour retrouver un élément dangereux (virus, problème de sécurité…), ou un comportement malveillant (fuite d’information, suppression de données…). Il est nécessaire de cadrer en amont les finalités du projet,  qui peuvent être multiples :

• Vérifier que les règles du SI sont appliquées
• Détecter les attaques ou les utilisations frauduleuses du SI
• Permettre les analyses post-incidents (forensics)
• Répondre aux contraintes légales ou de conformité avec la capacité de fournir des éléments de preuve

Pour démarrer, une bonne pratique consiste à s’orienter principalement vers des logs de sécurité et réseau. Certaines applications métiers sensibles pourront ensuite être ajoutées.

Une fois l’espace de stockage cadré, l’archivage amène son lot de contraintes :

• D’un point de vue légal et réglementaire, il faut s’assurer de la licéité des traitements en fonction des informations archivées et de leurs durées de rétention. Une déclaration à la CNIL est à prévoir dans de nombreux cas.  En fonction de leur origine (e-mail, proxy, applications), les périodes de rétention ne sont pas soumises aux mêmes règles. À titre d’exemple, on considère aujourd’hui qu’une durée raisonnable pour l’historique des accès des utilisateurs à internet est de 12 mois.
• En fonction des traitements et du cadre juridique existant dans l’entreprise (par exemple charte incluant la surveillance…), les collaborateurs doivent potentiellement être informés des mesures mises en place. Dans ce cadre la mobilisation des ressources humaines et des instances représentatives du personnel sont à prévoir.
• La gestion des identités et des accès au puits de logs  est, enfin, un sujet crucial. Le volume et la sensibilité des informations qui y sont stockées nécessite d’identifier précisément les personnes habilitées à en faire usage, et de limiter strictement leurs droits au périmètre qui leur incombe. Toute modification des traces doit être interdite (même aux administrateurs),  afin que celles-ci puissent avoir une valeur probante le cas échéant.

Étape 2 : faciliter l’analyse, du SIEM au Big Data

Si des recherches manuelles sont toujours possibles dans un puits de logs, elles ne répondent qu’à un besoin précis et ponctuel.

Pour obtenir une analyse en temps réel avec des remontées d’alertes automatiques, il est nécessaire de passer à l’étape supérieure : le SIEM. Il s’agit à la fois d’une extension et d’une industrialisation de la première étape, souvent offerte par le même outil du marché.

Il s’agit ici de rechercher, à travers les traces, des liens entre des évènements unitaires ayant lieu sur différents éléments du SI, afin d’anticiper, bloquer (en temps réel) ou comprendre une action malveillante.  On parle alors de corrélation de logs.

Pour cela, il est important de définir les types de comportement anormaux à identifier. C’est la principale difficulté : un niveau de sensibilité trop élevé génèrera beaucoup d’alertes sans intérêt, tandis qu’un niveau trop faible ne permettra pas de lever les alertes pertinentes. Cette étape comporte donc une phase d’ajustement et apprentissage qui peut durer plusieurs mois.

Aujourd’hui le marché des SIEM se renouvelle : les solutions sont de plus en plus performantes, utilisent de nouvelles techniques de détection d’attaque, et exploitent de plus en plus la puissance de calcul du Cloud pour la corrélation d’évènements.

Le marché voit également arriver des outils utilisant les principes du Big Data. Plutôt que de rechercher des scénarios connus, l’idée est alors de détecter des anomalies statistiques dans la masse d’information. Cette approche séduisante doit encore être mise à l’épreuve du terrain.

 Ne pas négliger les aspects organisationnels

Enfin, il est nécessaire de s’assurer que les alertes seront traitées par les équipes compétentes. Les procédures et l’organisation associées doivent donc embarquer les équipes sécurité (SOC/CERT), réseau et système et le RSSI. Des réflexions autour de l’externalisation ou de l’internalisation de ces fonctions de surveillance et des liens avec les entités en charge de la gestion des incidents de sécurité sont également essentielles.

Cet article Surveillance sécurité : passer du puits de logs au SIEM (security information and event management) est apparu en premier sur RiskInsight.

Pour autant, même une fois cette démarche menée à bout, plusieurs doutes persistent.

Si l’actualité récente a fait éclater l’affaire PRISM , la réalité des accès aux données est pourtant connue depuis de nombreuses années.

 Les risques d’accès aux données sont réels, depuis longtemps

Les quelques années de recul et d’expérience sur le Cloud montrent que les craintes quant à l’accès aux données hébergées à l’étranger sont justifiées.

L’exemple le plus souvent cité est celui du USA PATRIOT Act : sur requête du gouvernement américain et après contrôle par un juge, toute entreprise américaine, ou située sur le sol américain, ainsi que tout citoyen américain (où qu’il soit), se doivent de fournir aux autorités un accès aux données auxquelles ils ont accès. Dans le cas d’une entreprise de droit américain, l’obligation s’étend en dehors du territoire national : si ses infrastructures sont situées en Union Européenne, la loi s’applique.

Le Syntec Numérique a publié un éclairage intéressant sur le sujet en avril 2013. On y précise notamment  qu’un contrôle par un juge peut être réalisé avant la divulgation des données… Ou après, donc trop tard pour l’empêcher.

Cette loi pose donc  en théorie le problème de la confidentialité des données. Dans la réalité, ces craintes se justifient principalement si les données manipulées ont un niveau de sensibilité très élevé : étatiques (administrations, défense, etc.), stratégiques pour l’entreprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc.

Pour autant, et c’est un aspect moins connu, la majorité des gouvernements mondiaux disposent de prérogatives équivalentes. Le grand cabinet d’avocats Hogan Lovells a publié une étude à ce sujet en 2012, incluant notamment un comparatif des législations de 10 grands pays sur l’accès aux données Cloud : beaucoup (dont la France) disposent de prérogatives similaires, parfois plus larges et moins contrôlées.
Pourquoi alors se focalise-t-on généralement sur le USA Patriot Act ? Principalement car les acteurs majeurs du Cloud sont aujourd’hui américains,  donc soumis à la législation américaine.

Cependant, ne considérer que l’aspect strictement légal est encore trop réducteur : l’entreprise doit également se demander si le pays sur le sol duquel ses  données critiques sont hébergées a des intérêts allant dans le même sens que les siens.

Dans tous les cas, les conseils de juristes spécialisés sont indispensables pour avoir une position précise et adaptée.

 Les fournisseurs français de Cloud computing, solution du problème ?

Sur le papier, stocker ou traiter ses données chez un prestataire de droit français sur le sol français semble la solution idéale…  en théorie seulement.

En effet, de nombreuses fournisseurs français ont des centres de traitement et de stockage dans le monde entier… Même si vos données n’y sont ni stockées ni traitées, ceux-ci pourraient être connectés aux centres situés sur le sol français (et donc permettre d’y donner accès à distance).

Au-delà des données, se pose la question des équipes décentralisées : un Cloud hébergé en France, mais dont les équipes d’administration sont situées aux quatre coins du monde (par exemple pour fournir un support 24/7) doit également faire l’objet d’attentions.

Une fois encore, tous ces risques sont à relativiser : ils ne concernent que les données réellement sensibles.

Entre protections juridiques et solutions techniques, la bonne parade reste encore à trouver

Un moyen de se protéger des divulgations indésirables pourrait consister en l’ajout de clauses contractuelles interdisant à son fournisseur de le faire. Malheureusement, ce dernier risque de ne tenir aucun compte desdites clauses lorsqu’une demande officielle de son gouvernement lui parviendra. Pire, dans le cas des lois américaines, il peut lui être interdit d’avertir le propriétaire des données que celles-ci ont été transmises (il s’agit du principe de gag order).

Dans certains cas, il est possible de prendre certaines précautions très spécifiques. Nous conseillons parfois à nos clients de demander l’isolation de leurs données  dans le datacenter du fournisseur, dans une salle sous alarme dont seule l’entreprise détient la clé. Là encore, cela n’empêchera pas un accès aux données, mais permettra au moins à l’entreprise d’en avoir connaissance.

Une véritable solution pourrait provenir de la technologie : un chiffrement adéquat des données permettrait de s’assurer que même en cas d’accès aux données, celles-ci sont correctement protégées. Cela nécessite des technologies de chiffrement de confiance (par exemple en France, qualifiées par l’ANSSI), afin que les données soient sécurisées sur tout leur parcours : pendant leur transmission sur le réseau, au moment de leur utilisation, et lorsqu’elles sont stockées dans le Cloud.

À ce titre, le chiffrement dit « homomorphique » constitue une perspective d’avenir intéressante…

Cet article Cloud et sécurité : mythes et réalité (partie 2) est apparu en premier sur RiskInsight.

En particulier, la question de la protection des données transmises, traitées et sauvegardées apparaît comme cruciale. Ces points préoccupent aujourd’hui les experts techniques, les managers d’information, et parfois même les directions des entreprises.

Le Cloud est-il sûr ? Que risque-t-on en l’adoptant ? Comment y assurer la sécurité de ses données ?

Un service moins cher n’est pas forcément moins sécurisé

Il faut voir les risques liés au Cloud comme proches de ceux existants sur l’externalisation et la virtualisation avec en particulier la perte de contrôle de ses données et les risques liés aux technologies utilisées (virtualisation des systèmes et des réseaux, automatisation d’un certain nombre de tâches, etc.).

Pourtant, de manière générale, nous constatons en France que le niveau moyen de sécurité des services Cloud est au-dessus du niveau moyen de sécurité des entreprises. Plusieurs facteurs expliquent cela.

Le fait de fournir un service informatique à l’état de l’art (et donc sécurisé) est le métier des acteurs du Cloud. Chez la plupart d’entre eux, la mise en place et le respect des procédures de sécurité fait l’objet d’une attention particulière. Par ailleurs, ils proposent un service industrialisé à de nombreux clients : les bonnes pratiques exigées par l’un peuvent souvent être appliquées à tous.

Ces fournisseurs sont, enfin, plus exposés que la moyenne des entreprises, et ont de vrais enjeux en termes d’image : la découverte de faiblesses de sécurité amène en général à une correction rapide.

Inversement, si un mécanisme de sécurité n’est pas offert par un fournisseur (de base ou en option), il sera malheureusement difficile de l’obtenir : en sécurité comme pour les autres fonctionnalités, les offres Cloud manquent souvent de souplesse.

Attention cependant, contrairement à une idée répandue, toutes les offres Cloud ne se valent pas : de véritables différences peuvent exister d’un fournisseur à un autre.

Des outils dédiés existent pour évaluer ses risques de sécurité

D’un point de vue sécurité, la démarche est celle – classique – de l’analyse de risque. Le but est ici d’accompagner les projets de mise en œuvre ou de migration vers le Cloud, et pas de les interdire.

Dans le cas du Cloud, un outillage spécifique commence à apparaître pour réaliser cette analyse. En France, l’ANSSI (Agence Nationale de  la Sécurité des Systèmes d’Information) a publié  un guide¹ pour accompagner les démarches de type Cloud computing. Au niveau européen, l’ENISA (European Network and Information Security Agency) fournit une analyse² générique mais complète des risques liés au Cloud.

Outre-Atlantique, l’association Cloud Security Alliance regroupant les acteurs majeurs du Cloud a mis au point son outil Cloud Controls Matrix³, qui permet de comparer de nombreux fournisseurs sur des critères de sécurité très précis. Si elle est basée sur les seules déclarations desdits fournisseurs, cette matrice peut néanmoins s’avérer utile.

Les comparaisons théoriques  ne suffisent pas

Il est parfois difficile de distinguer ce qui est présenté de ce qui est fait en réalité en termes de sécurité. Plusieurs critères permettent d’évaluer les fournisseurs.

Ils peuvent tout d’abord se prévaloir de différentes certifications : ISO 27001 (très adoptée et quasiment obligatoire aujourd’hui) et ISAE 3402/SAE 16 (très adoptées également, requises pour les groupes cotés aux États-Unis, dans la ligne de SOX). Des démarches spécifiques existent aussi dans certains domaines, comme pour les données de santé en France, ou PCI-DSS pour les données de cartes bancaires.

Pour autant, ces certifications ne sont pas toujours une assurance d’un niveau de sécurité adapté. Lors de la phase de choix des fournisseurs ou durant le projet, il apparaît nécessaire de poser des questions très précises, sans laisser de place à des réponses trop larges ou ambiguës.

Un certain nombre d’acteurs du Cloud accepteront d’ailleurs de fournir des détails sur le fonctionnement de leur solution, après signature d’un accord de non-divulgation. Des visites de datacenters sont aussi toujours très instructives, et permettent parfois de se forger un avis sur la maturité du niveau de sécurité de l’offre proposée.

Certains fournisseurs sont réticents à fournir des informations très précises préalablement à la signature du contrat, ils peuvent alors proposer l’ajout d’une clause permettant de dénoncer le contrat ultérieurement. Mais attention à ce mécanisme, une fois la mise en œuvre démarrée, faire marche arrière est presque impossible…

Enfin, la possibilité de contrôler le prestataire Cloud est un critère intéressant. Sa capacité à accepter un audit diligenté par ses clients est en effet une preuve de transparence, voire de confiance en son propre niveau de sécurité.

¹ : ANSSI – Externalisation, Cloud Computing : maîtriser les risques pour les systèmes d’information (http://www.ssi.gouv.fr/externalisation/)  

² : ENISA  – Cloud Computing Security Risk Assessment (http://www.enisa.europa.eu/activities/risk-management/)

³ : Cloud Security Alliance – Cloud Controls Matrix (https://cloudsecurityalliance.org/research/ccm/)

Cet article Cloud et sécurité : mythes et réalités (partie 1) est apparu en premier sur RiskInsight.

Certes, les attaques évoluent, exploitant de plus en plus des vulnérabilités non dévoilées (type 0-days), ou faisant appel à des méthodes de phishing avancées contre lesquels les antivirus paraissent bien impuissants.

Même s’ils sont aujourd’hui loin d’être suffisants, leur utilité est pourtant toujours réelle.

 De l’antivirus au client unique de sécurité, les éditeurs ont fait évoluer leur offre

L’outil désigné par « antivirus » couvre en fait, dans la majorité des cas, plusieurs fonctions : antivirus (et de manière plus générale, antimalware), mais aussi pare-feu personnel, Host IPS (HIPS), outil de contrôle des ports USB…

C’est ce que l’on appelle le « client unique de sécurité » sur le poste de travail.

Il constitue aujourd’hui un rempart évident contre les infections, en particulier celles qui sont involontaires (clé USB infectée) ou récurrentes (virus anciens qui réapparaissent ponctuellement).

L’expérience des nombreux audits menés par Solucom montre qu’il protège parfois aussi contre des attaques plus complexes. Il peut par exemple détecter l’ exploitation d’une vulnérabilité pour laquelle le système n’aurait pas reçu le correctif, de type Conficker.

Il suffit d’ailleurs de se connecter à une console antivirus d’entreprise pour s’en convaincre : les détections/suppressions de virus sont encore nombreuses et régulières. En particulier, on constate souvent un pic lors des fameux scans hebdomadaires, souvent décriés par les utilisateurs pour les ralentissements qu’ils provoquent sur les postes (et leur manque d’efficacité supposé).

Plusieurs initiatives de grands comptes visant à diminuer leur fréquence ont d’ailleurs vu le jour.Elles n’ont jamais abouti, tant ces scans paraissent aujourd’hui encore  nécessaires – ne serait-ce que dans un rôle de « voiture-balai » afin de nettoyer le résidu récurrent de logiciels malveillants en tout genre. En revanche, une approche réaliste pour réduire le temps de scan est possible : réaliser un scan différentiel. Seuls les fichiers modifiés par rapport à la semaine précédente sont scannés.

 Le futur des antivirus est… dans le Cloud !

 Pour autant, les limites des antivirus ne font que s’affirmer depuis des années :

•  Les malwares sont de plus en plus complexes, leurs variantes innombrables, et même les éditeurs les plus réactifs ne sont plus capables de suivre la cadence.

• Dans les meilleurs cas, les définitions virales sont mises à jour quotidiennement sur les postes de travail : c’est déjà trop au vu des vitesses de propagation.

Un problème d’historique apparaît également : comment cumuler toutes les définitions de virus anciens et nouveaux, sans que la taille des fichiers contenant ces définitions n’explose, ralentissant encore le poste de travail, tout en nécessitant de plus en plus de temps à déployer ?

Les éditeurs d’antivirus commencent à proposer une réponse à ces problématiques, à travers le Cloud. Plutôt que de scanner un fichier sur le poste de travail, il s’agit d’en faire un hash (empreinte unique pour chaque fichier), qui est envoyé sur un serveur de l’éditeur, dans le Cloud. Il est alors comparé à une base de données mondiale, et peut même faire l’objet d’une note de « réputation » selon sa probabilité d’être ou non malveillant. L’information est alors renvoyée à l’antivirus sur le PC, qui prend les actions nécessaires le cas échéant.

Cette méthode prometteuse a toutefois ses contraintes : la nécessité d’une connexion internet, de qualité et le manque de maîtrise de la réaction de l’antivirus en cas de faux positif.

 Des changements de plateforme structurants

 Un dernier élément vient s’ajouter à la question de l’évolution des antivirus : il s’agit de l’évolution des systèmes d’exploitation eux-mêmes.

Les OS modernes intègrent en effet un certain nombre de mécanismes de sécurité natifs, qui rendent les attaques plus difficiles : isolement inter-applicatif, applications et drivers signés, mécanismes de cryptographie…

 Les deux principales plateformes mobiles en sont un bon exemple : tandis que l’efficacité des rares antivirus reste à démontrer sur Android, ils sont tout simplement interdits par Apple sur iOS. Pourtant, à part quelques vulnérabilités médiatisées, les cas d’infection dans le cadre d’une utilisation normale sont anecdotiques.

Ceci reste cependant à nuancer : les attaquants évaluent au final les coûts/bénéfices de chaque type d’attaque. Lorsque le développement de virus sur smartphone sera plus lucratif que l’exploitation d’une faille de navigateur Web, il deviendra sans doute à la mode…

Le cas de Windows 8 est encore différent : s’il dispose d’un environnement « nouvelle génération » avec les applications du Windows Store, il propose une rétrocompatibilité avec les programmes plus anciens… y compris malveillants.

N’enterrez donc pas tout de suite votre antivirus, il pourrait encore vous servir pendant des années !

Cet article Un antivirus sur votre PC entreprise en 2013 ? Pour quoi faire ? est apparu en premier sur RiskInsight.

L’enthousiasme et scepticisme sont à égalité, entre avantages estimés et interrogations sans réponses, d’un point de vue juridique notamment.

La pression des utilisateurs est bel et bien là, et la DSI se doit d’y répondre ! Comment ? Voici, en images, quelques idées clés pour aborder ce sujet.

Pour en savoir plus, consultez la Synthèse Solucom  : “BYOD : peut-on laisser la sphère privée s’inviter en entreprise ?”

[Par Chadi Hantouche]

Cet article BYOD : 6 idées clés et un impératif pour aborder le Bring your own device est apparu en premier sur RiskInsight.

Quels sont les risques induits par le BYOD ?

 Les risques techniques induits par le BYOD sont en grande partie des risques déjà existants pour la majorité des systèmes mobiles.
On peut en distinguer trois types :

• Les risques de perte ou de vol des données de l’entreprise stockées sur les terminaux eux-mêmes.
• Les risques de capture ou de modification de données sur les réseaux auxquels ils se connectent.
• Les risques pesant sur le SI lui-même : il pourrait subir différentes attaques amenant à une infection virale, une perte ou un vol de données, voire une coupure de service.

 La nouveauté réside ici dans le fait que les terminaux sont personnels, et font donc l’objet d’usages qui amplifient les risques : applications personnelles, configurations non maîtrisées par l’entreprise, utilisation en dehors du travail…

 Il apparaît donc nécessaire de trouver des solutions acceptables pour gérer et sécuriser ces usages.

Dans le cas du BYOD, l’ergonomie est aussi un critère de réussite majeur qui ne peut pas être négligé dans le choix de la solution à mettre en œuvre.

 L’approche sécuritaire : ne rien stocker !

Les solutions de déport d’écran permettent à tout type de terminal (ordinateur, tablette, smartphone…) de se connecter à un environnement maîtrisé par l’entreprise. Aucune donnée n’est stockée sur le terminal et les utilisateurs disposent d’un environnement adapté à leurs tâches professionnelles. Ces solutions nécessitent la mise en place d’une infrastructure assez lourde et requièrent une connexion internet rapide pour fonctionner. Leur ergonomie est très dépendante du terminal à partir duquel on se connecte. Les applications de type web sont également une alternative évitant le stockage de données sur le terminal. Accessibles à l’aide d’un navigateur à travers n’importe quelle connexion internet, elles ont l’avantage de ne pas nécessiter d’installation.

 Cependant, elles offrent une expérience utilisateur limitée à certains usages très spécifiques et ne sont pas adaptées aux terminaux de taille réduite comme les smartphones.

 L’approche pragmatique : sécuriser les usages en contrôlant l’ensemble du terminal…

Il s’agit de fournir des solutions permettant de sécuriser les terminaux sans interdire d’y stocker des données professionnelles. Elle se décline en deux types de méthodes techniques.

La première méthode est de maîtriser l’intégralité du terminal, à l’aide d’outils de gestion de flotte (aussi appelés outils de MDM – Mobile Device Management). Ces outils s’apparentent aux solutions de gestion de parc, largement présentes en entreprise pour les postes de travail. Même si le niveau de sécurité de ces solutions dépend fortement du type de terminal, elles sont aujourd’hui industrialisées.

 Elles ne marquent cependant pas de réelle séparation entre les usages (données) personnels et professionnels. Les restrictions de sécurité étant appliquées indifféremment sur l’ensemble du terminal, elles sont perçues par les utilisateurs comme une contrainte imposée dans leur sphère personnelle. À ce titre, elles répondent peu aux problématiques du BYOD.

 …ou en se concentrant sur la partie qui concerne l’entreprise

L’autre méthode de sécurisation des terminaux est plus innovante. Il s’agit d’isoler les données professionnelles des autres données sur le terminal, au sein d’un « silo », qui prend la forme d’une application ou d’un espace dédié. L’entreprise peut ainsi imposer des critères de sécurité adaptés sur ces données – et uniquement sur elles : mot de passe obligatoire, chiffrement des données, etc.

L’utilisateur n’est soumis à ces contraintes que dans le cadre de l’utilisation professionnelle, l’usage du terminal étant tout à fait libre par ailleurs. Ce type de solution a l’avantage d’être relativement indépendant du type de terminal sur lequel on l’installe : le niveau de sécurité est ainsi homogène même sur une flotte hétérogène.

 D’autres bonnes pratiques facilitent le BYOD

 Quelle que soit l’orientation retenue, un certain nombre de bonnes pratiques pour la sécurité des infrastructures restent de mise : le contrôle d’accès et de conformité au réseau (NAC), la gestion des traces (par exemple pour les accès internet réalisés avec les terminaux), ou encore l’utilisation d’un wifi dédié lorsque les collaborateurs sont dans les locaux.

Ces infrastructures, si elles ne permettent pas directement la mise en place du BYOD, sont en tout cas des éléments facilitateurs à son adoption et son extension.

Cet article BYOD : la sécurité n’est plus un frein ! est apparu en premier sur RiskInsight.

Qu’en est-il des aspects sécurité de la dernière mouture de l’OS ?

Les deux versions précédentes (Vista et Windows 7) avaient fait l’objet d’une communication sécurité appuyée.

Windows 8 ne déroge pas à la règle, et de nombreux détails sont d’ores et déjà connus : Microsoft annonce plusieurs évolutions substantielles des outils de protection, mais ce n’est pas là que se trouve la vraie révolution qui se prépare.

Des évolutions et de nouvelles fonctions de sécurité

Tout d’abord, les mécanismes existants sont presque tous améliorés (chiffrement BitLocker, contrôle des logiciels AppLocker, ainsi que l’ASLR qui charge le système dans des zones mémoire aléatoires pour éviter les attaques). L’antimalware Windows Defender sera capable de détecter de nouveaux types de logiciels malveillants, et le navigateur Internet Explorer 10 gagnera en robustesse.

Ces annonces ne changeront pas à elles seules le paysage sécuritaire de Windows. Une fonction faisant son apparition méritera tout de même une attention particulière : Windows-to-Go.

Elle permettra d’utiliser une version portative du poste de travail Windows 8 de l’entreprise, sur clé USB. Les opportunités d’usage sont multiples : fourniture d’un « poste virtuel » entreprise aux prestataires à moindre coût, tests applicatifs, clés prêtes à l’usage en cas de déclenchement d’un plan de continuité informatique… Il s’agit même d’une réponse possible aux problématiques de BYOD.

Malgré ces évolutions, les cellules de veille et de gestion de la sécurité, ainsi que les éditeurs de solutions ont encore de beaux jours devant eux : les failles de sécurité ne disparaîtront pas par magie à court terme !

Un renouveau par les fondamentaux

La base de l’OS a cependant pris un tournant significatif vers une sécurité plus moderne.

Si l’on peut se féliciter des améliorations apportées aux fonctions de sécurité, il faut reconnaître que d’autres changements touchant au fonctionnement-même de Windows, vont être les porteurs d’une sécurité « by design », moins monolithique, et intégrée au cœur du système.

Windows 8 adopte en effet une approche qui rappelle celles des principales plates-formes mobiles du moment :

• L’utilisation d’un « magasin » d’applications vérifiées, qui va tendre à assainir l’écosystème Windows, en tentant de trouver un équilibre entre contrôle des applications et liberté d’installation.
• Une  isolation inter-applicative permettant d’éviter qu’un programme malveillant en contamine un autre.
• Le Secure Boot, mécanisme n’autorisant Windows à se lancer que si la séquence de démarrage est vérifiée comme étant  intègre, offre une piste de réponse aux rootkits (ces virus furtifs qui s’installent dans les couches basses du système, et qui ont causé des dégâts dans plusieurs grandes sociétés ces dernières années). Windows 8 abandonne par ailleurs l’utilisation du BIOS historique, pour son successeur, l’UEFI.

C’est ici que se joue le futur de la sécurité de l’OS. Microsoft tente ainsi de se mettre à la page, y compris dans le monde de la mobilité après le démarrage poussif de Windows Phone 7.

La disponibilité de Windows 8 sur les PC et tablettes (peut-être les smartphones ?) sera donc un argument de poids, en particulier pour les entreprises souhaitant éviter une trop grande fragmentation de leur parc, et donc de leur sécurité.

Reste un obstacle de taille : la rétrocompatibilité. Même si Microsoft fait des efforts importants dans ce domaine, il faudra a minima des années pour que le parc, matériel mais surtout applicatif (en particulier les applications métier) s’adapte à ce modèle de sécurité, qui est donc plutôt une cible à long terme.

En attendant la sortie du système à l’automne, il est déjà possible de le tester facilement, par exemple sur une machine virtuelle, et se faire son avis sur les avancées et les opportunités à venir !

Cet article Windows 8 : des évolutions sécurité à court terme, une révolution à long terme ? est apparu en premier sur RiskInsight.

Cette révélation pose la question de la validation par Apple des applications pour son écosystème iOS, réputée pointilleuse. Mais que doit-on réellement tirer de la nouvelle ? Faut-il s’alarmer quant au manque de fiabilité du système ?

En réalité, il a toujours été illusoire de penser qu’Apple pouvait procéder à une revue systématique et en bonne et due forme du code de chaque application. Peu d’informations filtrent sur le détail des vérifications qui sont faites, mais les rejets sont généralement plutôt justifiés par des défauts d’ergonomie de l’application, ou le fait que des API non autorisées par Apple sont utilisées.

La grande nouveauté tient dans le fait que Miller ait réussi à publier son application, qu’elle soit restée disponible pendant plusieurs semaines, et qu’elle le serait sans doute restée s’il n’avait lui-même révélé le subterfuge. Il s’agit plutôt d’une confirmation qu’un tel contournement des protections est possible, plutôt qu’une découverte tout à fait inattendue.

Il faut donc tempérer cette révélation : la faille est loin d’être la première sur le système iOS et ne sera certainement pas la dernière. Elle n’est par ailleurs sans doute pas à la portée du premier développeur venu.

L’écosystème d’applications d’Apple reste tout de même relativement robuste d’un point de vue de la sécurité, même si les applications ne font pas l’objet de tests de sécurité poussés au cas par cas. Rappelons enfin que c’est le même Charlie Miller qui vantait récemment cette robustesse de l’App Store, qu’il comparait à l’Android Market, moins sûr selon lui (car plus ouvert).

Beaucoup d’observateurs s’étonnent que la réaction première d’Apple ait été de bannir l’application de son App Store et Miller de son programme pour développeurs. Il s’agit pourtant là d’une violation des règles d’utilisation, et ce dernier savait certainement à quelle sanction il s’exposait.

En tout état de cause, les attaquants souhaitant tirer parti d’applications malveillantes n’auront pas attendu la révélation de cette faille pour tenter de les faire valider. Apple ne pourra dorénavant que redoubler d’effort pour conserver un App Store sain…

Cet article Faille révélée dans le système de validation pour les applications pour iOS : que faut-il en penser ? est apparu en premier sur RiskInsight.

Pas encore connue de tous, une nouvelle tendance se dessine au sein même des entreprises, le Bring Your Own Device.  Le BYOD, c’est la fusion des téléphones personnel et professionnel, ou comment se servir de son propre terminal pour un usage d’entreprise.

Ce phénomène a une explication : l’explosion du taux de pénétration des smartphones sur le marché Grand Public. En 2010, 270 millions de ces smartphones ont été vendus dans le monde, soit 55% de plus qu’en 2009.

Aux États-Unis, ce sont 43 % des cadres des entreprises de plus de 500 salariés qui utilisent déjà des équipements personnels sur les réseaux et les systèmes d’entreprise[1].

Cependant, l’entreprise devra faire face à quelques difficultés…

Du point de vue de l’entreprise, la question de la gestion multi-OS / terminaux pourrait s’avérer délicate et complexe pour les DSI.  Outre l’aspect de la sécurité des informations qui transitent, les mises à jour  des terminaux peuvent être source de grandes difficultés au sein du département télécom qui gère cette flotte. Cependant, des solutions industrielles sont aujourd’hui capables de gérer la diversité des plates-formes et des terminaux mobiles.

Du coté des DSI, 3 points nécessitent d’être traités :

– La sécurité du SI vis-à-vis du terminal (contrôle des accès, chiffrement et contrôle des flux…)

– La sécurité du terminal lui-même (authentification locale, chiffrement des données stockées…)

– La gestion du parc de terminaux mobiles (Mobile Device Management ou MDM)

Comment l’entreprise doit-elle gérer ce phénomène ?

Un grand nombre d’entreprises cherchent à intégrer les iPhone personnels de leurs salariés dans un environnement professionnel. Astra Zeneca, par exemple, estime qu’il lui serait possible de réduire ses coûts de 2 millions de dollars par an, en demandant simplement à ses sous-traitants et à certains de ses employés d’utiliser leurs propres équipements. Les employés qui ont adopté cette « BYOD Attitude » la jugent plus rentable et plus efficace dans leur quotidien.

Face à cette tendance, il existe en réalité trois écoles chez la plupart des responsables Télécom et Sécurité :

– La première prône le « laissez-faire, laissez-passer » : cela consiste à ne mettre aucune barrière dans l’usage professionnel des mobiles personnels des employés. Cette approche peut s’avérer périlleuse car presque aucun contrôle n’est effectué sur les flux entrants et sortants touchant le réseau de l’entreprise. La sécurité des données de l’entreprise, l’un des points d’attention principaux du BYOD,  est alors mise à rude épreuve.

–  La seconde école : celle du « protectionnisme », consiste à interdire le BYOD au sein de l’entreprise. Cette méthode met en avant une sécurité des données intacte et la potentielle perte de productivité générée par l’usage de terminaux personnels au travail. Mais elle fait peu de cas de la réalité des usages et peut déboucher sur la critique par les employés, d’une politique trop rigide, voire suspicieuse de la DSI. Notons que cette approche mène presque toujours à des pratiques « sauvages » hors contrôle.

–  Dernière école, enfin : l’ouverture de l’accès au réseau de l’entreprise de certains types de terminaux / certaines plates-formes uniquement, iPhone et BlackBerry en tête.

Des solutions techniques existent pour gérer le compromis Sécurité / Ouverture…

Des solutions spécialisées existent à date sur le marché pour permettre l’usage professionnel de son terminalpersonnel. Ces solutions reposent sur la mise en place de silos « entreprise » permettant d’isoler les données sensibles dans des espaces spécifiques (applications, boite aux lettres, agenda…).

Certaines consistent à déployer une plate-forme dédiée, entre autres celles de Sybase et de Good Technology. Concrètement, ces suites incluent la gestion centralisée des emails, du calendrier, des contacts, des tâches ou encore l’accès à distance aux applications métiers.

Cette brique technologique peut être adressée au travers de l’opérateur mobile de l’entreprise : il a intérêt à se positionner comme fournisseur de service afin de trouver la solution idoine capable de répondre aux exigences particulières des comptes qu’il gère.

… Mais l’entreprise se doit de statuer sur les points d’attention juridiques et RH générés par la tendance BYOD

Attention : cette mutation de l’usage des Smartphones pour accéder au SI de l’entreprise, est perçue de façon différente par les utilisateurs et les discours divergent :

–  là où certains voient un outil qui leur simplifie la vie…

–  …d’autres perçoivent une contrainte supplémentaire qui les incite à étendre leur travail au-delà des heures de bureau.

A l’heure où de nombreux témoignages rapportent que « l’hyper-connectivité » devient addictive, il est important que les départements RH se positionnent sur plusieurs thèmes :

–  Le fait de lire ses mails professionnels sur ton propre téléphone dans le métro peut-il (ou doit-il) être considéré comme du temps de travail supplémentaire ?

–  Quels sont les impacts de l’usage de son terminal personnel : y-a-t-il un stress induit par le fait d’être connecté en permanence ?

–  Il peut parfois aussi s’avérer important de veiller à ne pas créer de discrimination entre les collaborateurs qui peuvent/veulent acheter un Smartphone et les autres.

L’aspect juridique doit, lui aussi, être clairement défini, et les questions qui sont généralement posées sont les suivantes :

–  Jusqu’où l’entreprise peut-elle maîtriser le terminal personnel de l’utilisateur  (le tracer, effacer son terminal à distance, récupérer certaines données personnelles…) ? N’oublions pas qu’elle reste responsable de l’usage qui est fait par les moyens qu’elle offre à ses employés.

–  Jusqu’où l’usage de l’employé peut-il aller, en particulier concernant des données de l’entreprise ? Il semble clair, aux yeux de la loi, qu’elles restent bien la propriété de cette dernière, même si elles sont stockées sur un terminal personnel.

–  Qu’en est-il de la partie matérielle ? Si un collaborateur casse son Smartphone alors qu’il l’utilisait pour consulter ses e-mails professionnels, qui doit payer la réparation ?

Pour couvrir ces sujets, une modification du contrat de travail semble être une action trop longue et complexe. On lui préfère en général une charte signée par l’utilisateur, et par exemple annexée au règlement intérieur.

Il reste cependant une grande inconnue, sur laquelle il paraît tôt de se positionner : le BYOD va-t-il trouver sa place comme pratique à long terme ? Le phénomène de « consumérisation » fait en effet l’objet de nombreux débats depuis des années, sans que l’on puisse affirmer qu’il a réellement réussi à percer…

Cet article Bring Your Own Device : quelle frontière entre sphère professionnelle et personnelle ? est apparu en premier sur RiskInsight.

Le parc de l’entreprise devient de fait hétérogène, accueillant ces nouveaux terminaux au sein de la flotte de terminaux déployés historiquement. Face à cette situation, le DSI et le RSSI doivent se positionner sur la manière de les y intégrer.

Ces mouvements n’ont bien sûr pas échappé au marché des éditeurs, qui voit une branche de son arbre – la mobilité – bourgeonner, ou plus précisément refleurir.

Ainsi, les fournisseurs de chaque segment tentent de ramener la gestion des « nouveaux terminaux communicants » dans leur escarcelle :

• Les fournisseurs de solutions de mobilité avancent l’argument du « spécifique » : à terminaux particuliers, besoins particuliers. Il faut les administrer avec des produits dédiés, qui prennent en compte les spécificités de chaque type d’OS mobile ; nous retrouvons dans cette catégorie des sociétés telles que RIM, Ibelem, MobileIron, Good Technology ou encore Sybase.
• Les éditeurs historiques de solutions de protection pour les postes de travail (antivirus notamment) mettent en avant leur expertise en termes de sécurité, et la nécessité de ne pas laisser déployer une flotte de terminaux non-maîtrisés qui abaisseraient le niveau de protection global ; citons par exemple McAfee et Sophos.
• Ceux qui proposent des solutions de gestion de parc considèrent, eux, que les smartphones et tablettes ne sont finalement que des « endpoints » comme les autres, et méritent d’être globalement gérés depuis les mêmes consoles que les postes de travail. Microsoft, Symantec ou encore LanDesk ont opté pour cette position.

Ces différents points de vue, qui s’adaptent tour à tour selon le contexte et l’historique d’une DSI, prennent clairement aujourd’hui le chemin vers la convergence qui n’est toutefois pas stabilisée : il est clair que les terminaux communicants doivent s’intégrer à un système de gestion unifié.

Deux exemples paraissent assez représentatifs de la tendance, tant les produits sont déjà implantés en entreprise : Microsoft, d’abord, qui a annoncé il y a peu la prise en charge des plates-formes iOS et Android dans la prochaine version de son outil leader de gestion de parc, SCCM.

RIM, ensuite, qui se prépare à prendre en charge la gestion de ces mêmes plates-formes – en plus de ses incontournables BlackBerry – à travers son serveur BES.

Du point de vue de la DSI, le choix de s’engager dans une optique plutôt qu’une autre peut aujourd’hui réellement poser question : une flotte d’iPad doit-elle être gérée depuis la même console d’administration que les postes de travail, que l’antivirus, ou que les BlackBerry ?

La stabilisation et la convergence des différentes offres donnera sans doute de la lisibilité au marché, et par là-même de la visibilité à la maîtrise du parc, de sa sécurité et de ses coûts !

Cet article Gestion des parcs de smartphones et tablettes : vers une convergence du marché? est apparu en premier sur RiskInsight.