La sécurisation d’Office 365 passe par de nombreuses thématiques à adresser, dont la nécessité d’être en capacité de tracer les actions, afin de détecter des comportements illicites ou de remonter à la cause d’un incident.

En France, de nombreuses entreprises ont cependant des difficultés pour consolider les logs et définir des cas d’usages de supervision. La maîtrise de la journalisation doit être au cœur de cette démarche.

La supervision des actions d’administration, une nécessité

Pour ce décryptage sur la journalisation, prenons le cas des administrateurs de la plateforme.

Comme pour les autres solutions SaaS (Google Cloud Platform, Salesforce, etc.), l’atteinte à l’intégrité ou à la confidentialité des données à la suite d’une erreur ou d’une action malveillante d’un administrateur de l’entreprise se retrouve parmi les risques majeurs identifiés par nos clients

Par définition, les administrateurs Office 365 possèdent des privilèges élevés :

• Configuration des différents services – ou workloads – et des API ;
• Gestion des permissions sur les OneDrive et les boîtes mails des utilisateurs ;
• Gestion du cycle de vie des espaces de collaboration.

Il est facile d’imaginer les conséquences désastreuses qui pourraient résulter d’une utilisation malveillante ou non maîtrisée de ces privilèges. En effet, des paramètres tels que le partage à l’externe de SharePoint Online, les autorisations des API ou la configuration de la messagerie pourraient introduire des vecteurs de fuite de données significatifs.

Les bonnes pratiques du SI on-premise (cycle de vie, principe de moindre privilège, segmentation des droits, authentification forte, just-in-time access etc.) doivent aussi être appliquées sur le Cloud. Le Cloud aussi doit être maîtrisé et contrôlé.

Cependant, l’implémentation des bonnes pratiques  bien que nécessaire, ne suffisent pas. En effet, elles ne permettent pas de s’assurer qu’un administrateur ne réalise pas des actions diminuant le niveau de sécurité ou des actions illicites. On peut donc naturellement se demander comment il serait possible d’auditer les actions effectuées et de lever des alertes le cas échéant.

Quels sont les moyens fournis par Microsoft ? Comment prévenir qu’une personne malveillante n’efface ses traces (ce qui rendrait une attaque plus difficile à détecter et à reconstituer) ?

Afin d’illustrer les différentes possibilités, nous allons suivre les quatres exemples ci-dessous :

Figure 1 – Exemple d’actes d’administration suspects

Quels journaux sont disponibles ?

Unified Audit Logs : journalisation unifiée des différents services

Pour des raisons historiques et techniques, Office 365 possède nativement plusieurs sources de journaux : Unified Audit Logs, Exchange Logs et Azure Logs. Ces sources sont complémentaires et doivent être analysées conjointement afin d’avoir une vision exhaustive des actions d’administration réalisées.

La source de logs la plus couramment citée et utilisée sont les « Unified Audit Logs ». Ces logs centralisent les traces des utilisateurs et celles des administrateurs, pour l’ensemble des services de la plateforme : SharePoint Online, Azure AD, Exchange Online, Teams, Power Platforms. Microsoft intègre progressivement les différentes sources et continue à rajouter des nouveaux logs.

Pour revenir à nos exemples concrets, les logs intéressants sont :

• Modification de la Politique de partage à l’externe de SharePoint Online : SharingPolicyChanged
• Attribution de droits à un OneDrive : SiteCollectionAdminAdded
• Attribution de droits à une boîte mail : AddMailboxPermission
• Modification d’un rôle d’administration : AddMembertoRole

Ces logs sont accessibles et exportables via les Centres de Conformité et de Sécurité, les API Office 365 Management et PowerShell (via la cmdlet Search-UnifiedAuditLog). Notons que la journalisation doit être activée via le Centre de Conformité ou via PowerShell afin de pouvoir enregistrer des logs et permettre la recherche.

Il est possible de configurer directement des alertes liées à l’occurrence de certains logs dans les Centres de Sécurité et de Conformité.

Exchange Logs : journalisation de l’infrastructure de messagerie

La deuxième source de logs intéressante sont les « Exchange Logs ». Ces logs fournissent des informations quant aux actions d’utilisation et d’administration réalisées sur le service Exchange Online ainsi que sur les boîtes aux lettres personnelles ou partagées. Deux typologies de journaux peuvent être distinguées :

• Administrator Audit Logs: Logs d’administration du service ou d’une boîte aux lettres (ex : modification des permissions d’un utilisateur, modification de la durée de rétention de conservation des journaux d’une boîte aux lettres etc.)
• Mailbox Audit Logs : Logs d’utilisation d’une boîte aux lettres par l’utilisateur principal, un utilisateur délégué ou un administrateur de service (ex : accès à la boîte aux lettres, envoi d’un mail à la place de l’utilisateur principal, déplacement d’un élément dans un dossier, suppression définitive, etc.)

Pour revenir à nos exemples concrets, les logs qui vont nous intéresser ici sont :

• Attribution de droits à une boîte aux lettres : AddMailboxPermission
• Accès à un dossier ou à une boîte aux lettres : FolderBind (non activé par défaut):
• Accès à un mail : MailItemAccessed (uniquement pour les utilisateurs ayant une licence E5)

Pour aller plus loin avec les Administrator Audit Logs

Les Administrator Audit Logs sont générés pour toute action d’administration Exchange pouvant être reliée à une cmdlet PowerShell autre que Get, Search ou Test. Ces logs sont liés aux Unified Logs et peuvent être exploités dans le Centre d’Administration Exchange, les Centres de Sécurité et de Conformité, les API Office 365 Management et PowerShell.

Pour aller plus loin avec les Mailbox Audit Logs

Les Mailbox Audit Logs sont la seule catégorie de logs à être configurable (périmètre et granularité). Ces logs permettent de tracer les actions réalisées par un owner (propriétaire), un delegate (utilisateur ayant des permissions) et d’un admin (accès via les outils eDiscovery).

Depuis Janvier 2019, la journalisation des Mailbox Audit Logs est activée par défaut pour l’ensemble des locataires Office 365. A date, si la journalisation est activée par défaut, l’ensemble des boîtes aux lettres sont auditées (même si le paramètre « -AuditDisabled » est à « True »). La seule façon de ne pas journaliser les actions d’une boîte mail est d’implémenter une règle de by-pass avec « Set-MailboxAuditBypassAssociation ».

Il faut toutefois noter que certaines actions ne sont pas auditées par défaut, comme par exemple l’accès d’un delegate ou d’un admin à une boite mail d’un utilisateur. Il est par conséquence primordial d’analyser les journaux à activer, lors de la configuration initiale du service.

Selon le niveau de licences et la configuration, ces logs peuvent être liés aux Unified Logs et être exploités dans le Centre d’Administration Exchange, les API Office 365 Management et PowerShell ou les Centres de Sécurité et de Conformité.

Azure Logs et Rapports : journalisation d’Azure Active Directory

La dernière source de logs, mais pas la moins importante, sont les « Azure AD logs ». Ces logs permettent de fournir des traces complètes pour la brique d’identité d’Office 365 ainsi que sur les actions d’administration associées. Plusieurs catégories de journaux et de rapports sont disponibles :

• Azure Audit Logs: Logs d’administration de la brique d’identification ou de modification des éléments (ex : attribution du rôle « SharePoint Administrator », création d’un utilisateur ou d’un groupe de sécurité, autorisation d’une API, configuration des utilisateurs invités, etc.)
• Azure Sign-in Logs: Logs de connexion à un service Office 365 (ou à des applications / ) avec des informations sur la chaîne de connexion (ex : protocole, adresse IP, terminal, etc.)
• Risky Sign-in: Rapports de connexion avec des indicateurs liés à des connexions suspectes.

Ces logs et rapports sont accessibles et exportables via le portal Azure, les API Graph ou Azure Management et PowerShell. Certains des logs directement liés à Office 365 se retrouvent aussi dans les Unified Audit Logs.

Pour revenir à nos exemples concrets, les logs intéressants sont :

• Modification d’un rôle d’administration : AddMembertoRole
• Ajout d’une application : CoreDirectory – ApplicationManagement – Add service principal / Add application
• Consentement à une application : Core Directory – ApplicationManagement / Add delegated permission grant / Consent to application (ConsentContext.IsAdminConsent)

Figure 2 – Récapitulatif des caractéristiques des logs d’Office 365

En résumé, les Unified Audit Logs apportent une vision consolidée des différents services d’Office 365, mais certaines informations peuvent être manquantes. Il sera nécessaire de s’assurer que les journaux requis soient bien présents, et ensuite d’approfondir une investigation dans les logs et les rapports d’Exchange ou Azure.

Quelle rétention pour les différents journaux d’Office 365 ?

Une fois les logs adéquats identifiés, se pose le défi de la rétention. Comment être sûr que les journaux sont bien conservés sans être altérés, pendant toute la durée requise par la politique de sécurité de l’entreprise et les différentes réglementations, comme la loi anti-terroriste ou le RGPD ?

Par construction, et contrairement aux solutions Exchange and SharePoint on-premise, tous les logs cités précédemment sont inaltérables – c’est-à-dire non modifiables ni supprimables par les administrateurs de l’entreprise. Par ailleurs, les durées de conservation définies par défaut ne peuvent être modifiées (à savoir 90 jours pour les logs Office 365 et 7 ou 30 jours pour les logs Azure avec des licences standards). Ceci à une exception près, un administrateur Exchange a la possibilité d’effacer les journaux des boîtes aux lettres, en modifiant la durée de rétention associée.

Si on reprend nos exemples, on pourrait tout à fait imaginer un administrateur malveillant se donnant des droits pour accéder à une boîte mail, puis regarder les mails et effacer les logs d’accès en fixant une durée de rétention nulle. Dans ce cas, ne serait conservée que l’élévation de privilège réalisée dans les Administrator Audit Logs.

Afin de se mettre en conformité avec les exigences de sécurité ou la réglementation, il pourra de plus être nécessaire de s’assurer que les journaux des différents services soient conservés plus de 7, 30 ou 90 jours.

Quelques étapes pour implémenter une journalisation pertinente au sein d’Office 365

1. Définition et activation des logs nécessaires: les Unified Audit Logs peuvent ne pas être suffisants (suivi des API Office 365 et Azure AD, journalisation des accès des administrateurs aux boîtes aux lettres, etc.)
2. Configuration d’un export automatique des journaux identifiés vers un stockage externe  (via PowerShell ou les API Management) ;
3. Suivi de l’état du tenant : implémentation d’un tableau de bord des paramètres du tenant configuration d’alertes liées à un changement de la configuration des journaux (via le Centre de Sécurité ou Conformité, les API Office 365 Management ou PowerShell), comme la désactivation des Unified logs ou à une modification de la rétention des logs d’une boîte aux lettres ;

Figure 3 – Bonnes pratiques pour la journalisation du tenant

Après avoir réalisés ces trois actions, l’entreprise aura les informations nécessaires pour auditer les actions d’utilisation et d’administration du tenant. Cependant, elles ne répondent pas encore au besoin plus large de supervision des administrateurs. Il pourra être utile de mettre en place des alertes (via le Centre de Sécurité ou de Conformité ou des outils tierces spécialisés).

1. (Pour aller plus loin) Mise en place d’une supervision basique : définition de scénarii de détection sécurité généralistes, identification des logs concernés, activation de l’alerte associée dans les Centres de Sécurité ou de Conformité ;
2. (Pour aller encore plus loin) Mise en place d’une supervision avancée : identification de scénarii liés à un contexte métier, implémentation, définition de la gouvernance associée, amélioration continue.

Quels outils utiliser pour analyser les journaux ? Quels scénarios de détection prioriser ? Quelle gouvernance mettre en place pour définir, implémenter et suivre des alertes ? Autant de questions qui doivent être traitées dans l’implémentation de la supervision de la plateforme de collaboration.

Il faudra également prendre en compte les changements réguliers apportés par Microsoft sur ces services, ainsi que sur la structure des logs et des API. D’autant plus que cohabitent les fonctionnalités en Preview et celles en General Availability.

Cet article Journalisation d’Office 365 : un cas concret avec les administrateurs est apparu en premier sur RiskInsight.

Cette réflexion doit permettre de couvrir les risques principaux que sont la fuite de données et l’accès aux données par des administrateurs, Microsoft et des personnes ou des applications tierces.

Un nouveau modèle de gouvernance imposé par Microsoft

Office 365 est une solution de communication et de collaboration SaaS. En tant que telle, la plateforme est en constante évolution, contrairement aux solutions historiques dites « on-premise » : de nouvelles fonctionnalités ou paramétrages apparaissent, sont modifiés tandis que d’autres disparaissent ; on peut citer la disparition annoncée de Skype en 2021 ou la fin du support de l’authentification legacy pour Exchange Online en 2020. Le rythme de cette livraison continue, « continuous delivery » en anglais, est imposée par Microsoft sans contrôle possible, ce qui nécessite un tout nouveau modèle de gouvernance.

L’intégration des changements ne peut plus se faire en mode projet, mais doit suivre un processus établi. Dans ce modèle, les équipes workplace et sécurité doivent travailler main dans la main et être représentées dans l’ensemble des comités projets et d’architecture, et ce dès la conception des cas d’usages de la plateforme. Ces équipes également auront pour responsabilité commune de veiller à la bonne santé et à la conformité réglementaire de la plateforme.

L’équipe sécurité ainsi voit son périmètre évoluer : elle n’a plus la main sur les outils de sécurité et peut, voire doit, avoir un rôle de business enabler afin d’accompagner la migration vers le Cloud en proposant de nouveaux usages (ex : ouverture d’un service maîtrisé d’échange de fichiers à l’externe). Une organisation adéquate doit être mise en place ; on pourrait même envisager d’avoir un Security officer dédiée à la plateforme au plus près des métiers, ayant pour rôle de conseiller les projets, de suivre la configuration de la plateforme, d’assurer le suivi des alertes de sécurité, etc.

Un autre sujet à traiter concerne la délégation de l’administration. Il n’est pas envisageable d’avoir près de 20 Administrateurs Généraux pour un tenant O365, même si cela n’est pas une situation si rare. La mise en place d’une solution de délégation d’administration des comptes utilisateurs et des objets doit être envisagée, via la mise en place d’une interface ou d’un connecteur basé sur PowerShell ou Graph API. Ce traitement devra permettre de gérer l’ensemble de objets tout en tenant compte des logiques métiers. Autour de cette nouvelle gouvernance, doivent s’articuler les piliers de la sécurité ci-dessous :

• La gestion des identités ;
• La maîtrise des services et des usages ;
• Le contrôle du bon respect des politiques de l’entreprise.

La gestion des identités au cœur du sujet

Dans une solution conçue pour permettre une collaboration interne ou externe, avec une utilisation ATAWAD (Any Time, Any Where, Any Device), la gestion de l’identité et donc des authentifications est le cœur de la gestion plateforme.  Comme pour tout projet, la phase de définition de qui peut accéder à quoi, quand et où est fondamentale.

Sur Office 365, on retrouve trois types d’utilisateurs ayant chacun des niveaux de privilèges différents : les administrateurs, les utilisateurs internes et les invités (externes invités à collaborer sur un fichier ou au sein d’un Groupe O365 ou d’un site SharePoint).

Pour chacun de ces types de comptes, l’implémentation des mesures de sécurité définies va être pleine de défis. Outre l’incontournable authentification multi-facteur, mise en valeur par la fuite de données ayant touché Deloitte en 2017 se posent notamment les problématiques essentielles de la maîtrise des accès des administrateurs (rôles personnalisés ou prédéfinis, accès permanent ou ponctuel etc.) et du cycle de vie des utilisateurs invités (rien n’étant clairement défini par défaut). La question du coût des licences Azure AD Premium ou d’un outil tiers va être élément majeur de la discussion.

À noter également, Office 365 permet à des applications externes, de communiquer avec ses APIs. L’application externe peut alors agir au nom d’un utilisateur avec ses droits propres ou d’un administrateur avec des privilèges plus élevés. Ces applications peuvent provenir de différents magasins d’applications (comme AppSource ou AAD) ou être développées localement. La gestion des permissions accordées à ces applications doit faire preuve d’un point d’attention pour les entreprises. En effet, à travers les APIs, il est très facile d’imaginer une fuite de données massives en cas de dupe d’un utilisateur (ex : cas d’une application requérant des permissions non nécessaires, comme celui de l’accès aux mails).

Une maîtrise des services et des usages indispensable mais délaissée

Une fois les accès à Office 365 sous contrôle, le sujet suivant est de maîtriser l’usage qui en est fait. Il n’est pas rare d’observer que des services, non priorisés lors de la migration vers le Cloud (Power BI, Teams, Flow, accès aux API etc.) sont laissés accessibles avec leur configuration par défaut. Les deux raisons avancées sont généralement de favoriser l’adoption et le manque de temps à consacrer à ces services non prioritaires. En plus du paramétrage du service, il est également indispensable de définir des règles précises autour des usages afin de clarifier qui peut faire quoi et quand (ex : gestion des habilitations SharePoint, création des Groupes). L’idéal étant bien sûr de mettre en place des mesures techniques (paramétrages généraux ou configuration via PowerShell) cohérentes avec la politique définie.

L’absence de sécurisation de ces services laisse toutefois là porte ouverte à de potentielle fuites de données : transfert automatique vers l’extérieur, exposition sur Internet ou encore perte de contrôle la donnée. Comme écrit plus haut, la gouvernance doit prendre en compte la sécurité dès la conception des futurs usages. Les services doivent être analysés et testés sur des populations réduites. En effet, il sera toujours plus facile d’ouvrir une fonctionnalité, que de restreindre un usage déjà bien répandu. Dans le deuxième cas, il sera nécessaire de faire une analyse d’impact, de bricoler une solution de contournement et de sensibiliser largement les utilisateurs. Des actions qui peuvent nécessiter un investissement important et qui pourraient être évitées.

Le suivi des services ne doit pas s’arrêter à la fin de l’adoption des utilisateurs. Les équipes sécurité et workplace auront ainsi la charge de faire un suivi des évolutions d’Office 365 (programme Evergreen, mise en place d’une veille, suivi des blogs Microsoft, …) afin d’évaluer les nouvelles opportunités et menaces.

Le contrôle du bon respect des politiques de l’entreprise

Le dernier pilier, et pas le moindre, consiste en l’implémentation des politiques de sécurité de l’entreprise. Cela passe notamment par la mise en place d’outils de sécurité : protection de l’information, anti-malware, supervision et alerting.

Concernant la sécurité d’Office 365, on peut différencier 3 niveaux de maturité aujourd’hui. Les moyens mis en place vont être conditionnés par les expertises disponibles (les ressources étant limitées sur le marché) et le budget (dépendant notamment de la stratégie de l’entreprise de gestion des licences Microsoft) :

• Niveau 1 – Maîtrise des identités, des services et utilisation du Centre de Sécurité et de Conformité : l’entreprise met en place les solutions de sécurité natives du Security Center et du Compliance Center (incluant notamment Office DLP, Exchange Online Protection, eDiscovery) accessibles avec des licences basiques ;
• Niveau 2 – Développement d’ « outils maisons »: l’entreprise crée un ensemble de scripts simples ou tableaux de bords, en s’appuyant sur Graph API, Security Graph API et PowerShell, pour mettre en place des contrôles et des mesures de sécurité adaptés à son contexte (ex : gestion du cycle de vie des utilisateurs invités) ;
• Niveau 3 –Utilisation d’outils de sécurité avancée : l’entreprise met en place des solutions additionnelles pour renforcer le niveau de sécurité : outils permettant de lutter contre les fuites de données, d’analyser les malwares sur les mails, de revoir les droits, de détecter comportements anormaux ou encore de durcir l’utilisation de la plateforme en fonction du contexte.

La maîtrise des services Office 365, de leurs usages et des fonctionnalités natives de sécurité est indispensable, et doit précéder toute réflexion concernant l’ajout d’un outil de sécurité supplémentaire, qui ne couvrirait pas les failles existantes et ne ferait qu’ajouter de la complexité.

Exemple de contrôles de notre méthodologie d’Audit Office 365

Office 365 est un cas intéressant de l’ouverture des applications métiers sur Internet via le Cloud. Cette évolution requière d’adapter le modèle de sécurité historique de l’entreprise, en tendant vers le modèle de la compagnie aérienne avec l’adoption du Cloud.

La sécurisation d’Office 365 ne doit toutefois pas omettre celle des briques on-premise nécessaires au fonctionnement de la plateforme le cas échéant, comme c’est le cas généralement pour l’authentification qui est portée par l’ADFS.

Cet article Un Office 365 sécurisé, une perle rare ? est apparu en premier sur RiskInsight.

L’ordinateur quantique devient peu à peu réalité

Le domaine de l’informatique quantique a connu de nombreuses avancées depuis les premiers travaux de recherche des années 80, notamment ceux de Richard Feynman, et l’apparition dans les années 90 des premiers algorithmes quantiques. Les premiers prototypes d’ordinateurs quantiques ont vu le jour dans les années 2000, et on constate depuis le début des années 2010 la multiplication d’annonces concrètes et encourageantes en la matière, comme la mise sur le marché par D-Wave Systems du premier ordinateur quantique commercial, la mise à disposition d’un ordinateur quantique dans le Cloud par IBM ou l’annonce récente par Google d’un nouveau processeur quantique. Au niveau européen, on peut également mentionner le lancement du simulateur quantique d’Atos l’année dernière, permettant de tester et d’optimiser des algorithmes quantiques en vue de leur utilisation en conditions réelles.

Comme nous l’expliquions dans un article précédent, la différence fondamentale entre un ordinateur classique et un ordinateur quantique vient de ce que l’ordinateur classique travaille sur une série de bits dont la valeur est soit égale à 1, soit à 0 tandis que l’ordinateur quantique travaille sur des qubits dont la valeur correspond à une superposition d’états. Il est parfois possible, pour un problème donné, d’écrire un algorithme quantique qui, tirant partie de cette superposition d’états et du principe d’intrication quantique, pourra le résoudre plus rapidement qu’un algorithme classique. Cette accélération quantique n’étant valable que pour un ensemble limité de problèmes pour lesquels un tel algorithme peut être écrit, il est vraisemblable que l’ordinateur quantique soit utilisé à l’avenir en complément de l’ordinateur classique, et qu’il ne sera pas amené à le remplacer totalement.

Les ordinateurs quantiques existants ont aujourd’hui une capacité très réduite. Le processeur quantique de Google est de 72-qubits, tandis qu’Intel a récemment annoncé le développement d’un processeur quantique de 49-qubits. A titre de comparaison, Google estime le nombre de qubits nécessaires pour une application réelle entre 1 et 10 millions. La difficulté principale de conception d’un ordinateur quantique de plus grande capacité réside dans le fait que toute interaction avec l’extérieur induit un phénomène de décohérence quantique qui ne permet pas de préserver l’intrication quantique nécessaire à son fonctionnement. Plus le nombre de qubits est élevé, plus il est difficile de maintenir cet état de cohérence. Cela nécessite l’isolation du système à très basse température. On peut estimer, au vu de l’évolution actuelle et des obstacles encore à franchir, être encore loin de toute application pratique des ordinateurs quantiques.

Les applications de la cryptographie classique

Pour saisir les implications que peuvent avoir les ordinateurs quantiques sur la cryptographie, il est important de bien comprendre les principes de la cryptographie classique et ses applications.

La cryptographie classique est composée de différents types d’algorithmes :

• La cryptographie asymétrique (ou à clé publique) utilisée pour établir un canal chiffré entre deux parties, pour l’authentification ou encore la signature électronique (exemples : Diffie-Hellmann, RSA, cryptographie sur les courbes elliptiques). La cryptographie asymétrique est généralement basée sur les problèmes de factorisation d’entiers ou du logarithme discret.
• La cryptographie symétrique (ou à clé secrète) utilisée pour chiffrer efficacement des données, notamment lorsqu’un canal chiffré a été établi au préalable par des algorithmes asymétriques (exemples : AES, DES). La cryptographie symétrique est basée sur les principes de diffusion et de confusion.
• Les fonctions de hachage utilisées pour vérifier l’intégrité d’un fichier ou des certificats électroniques (exemples : MD5, SHA-2). Les fonctions de hachage reposent sur les effets d’avalanche qui font que chaque bit de sortie dépend de chaque bit d’entrée.

En quoi l’ordinateur quantique change la donne

Parmi les algorithmes quantiques les plus connus et les plus anciens, on trouve l’algorithme de Shor permettant de factoriser des entiers ou de résoudre le problème du logarithme discret de façon efficace. Le jour où l’on pourra construire un ordinateur quantique suffisamment large pour traiter des grands nombres en utilisant l’algorithme de Shor, c’est toute la cryptographie à clé publique basée sur ces problèmes qui deviendrait caduque.

Un autre algorithme quantique notable est l’algorithme de Grover, qui permet d’inverser une fonction. Les applications de cet algorithme permettent de chercher des éléments dans une liste non-ordonnée ou dans une base de données non-structurée de façon efficace, ce qu’on peut imaginer être semblable à chercher une aiguille dans une meule de foin. L’algorithme de Grover permet ainsi d’accélérer la recherche d’une clé de chiffrement symétrique, sans pour autant remettre en cause les principes de la cryptographie à clé secrète.

Cryptographie post-quantique

La cryptographie post-quantique désigne des algorithmes cryptographiques qui ne se basent pas sur des problèmes pouvant être résolus plus rapidement par un ordinateur quantique. Ces algorithmes ne seront ainsi pas remis en cause par l’avènement d’un ordinateur quantique pour l’instant hypothétique. Elle ne doit pas être confondue avec la cryptographie quantique qui est une cryptographie exploitant les phénomènes quantiques pour parvenir à ses fins. Le challenge de la cryptographie post-quantique est double :

• Fonder une nouvelle cryptographie à clé publique qui ne se base pas sur les problèmes de factorisation d’entiers ou de logarithme discret ;
• Renforcer la cryptographie à clé secrète pour la rendre résistante aux capacités de recherche de clés des ordinateurs quantiques.

La cryptographie à clé publique devra être repensée entièrement, en employant de nouveaux systèmes cryptographiques basés par  exemple sur les codes correcteurs d’erreurs ou les réseaux euclidiens. Si de nombreuses solutions théoriques existent, des recherches sont encore nécessaires pour les faire déboucher sur des solutions concrètes. Il existe plusieurs initiatives qui visent à stimuler la recherche dans ce domaine, comme la série de conférences PQCrypto qui ont lieu depuis plus de dix ans, ou encore le processus d’évaluation initié récemment par le NIST afin d’aboutir à une standardisation d’un ou plusieurs algorithmes cryptographiques post-quantiques.

La cryptographie à clé secrète est considérée robuste dans un monde post-quantique à condition que la longueur des clés utilisées soit suffisante. Le doublement de la taille des clés est une mesure de sécurité suffisante contre les ordinateurs quantiques. Par exemple, l’algorithme de chiffrement AES verra sa sécurité diminuée mais pourra encore être utilisé avec une taille de clé de 256 bits. La sécurité des protocoles basés sur ces algorithmes, comme Kerberos, ne devrait pas être fondamentalement remise en question.

Quant aux fonctions de hachage, les algorithmes quantiques ne semblent pas permettre de trouver plus rapidement que les algorithmes classiques des collisions qui les remettraient en cause. Les fonctions de hachage resteront donc sûres dans un monde post-quantique.

Une menace encore lointaine

La venue d’un ordinateur quantique d’une capacité suffisante pour poser une menace à la cryptographie classique est encore lointaine. D’ici là, on peut penser que les recherches en matière de cryptographie post-quantique seront bien avancées, et que le changement des constructions cryptographiques pourra être largement anticipé.

Cet article Etat des lieux de la cryptographie post-quantique est apparu en premier sur RiskInsight.

Dans le cadre de cette compétition, les participants, d’origine européenne ou française ont su démontrer une richesse dans leur expertise technologique. Le spectre des thématiques abordées a ainsi permis de mettre en valeur la force de cet écosystème cyber.

On peut ainsi dresser le top 5 des types de solutions les plus présentées parmi les candidats aux concours :

• L’authentification, au cœur du SI, pour moderniser la vérification de l’identité
• La sécurité des infrastructures, la France en particulier se positionne comme un leader sur le sujet
• L’anti-fraude pour contrer le risque majeur que cela présente pour le secteur bancaire
• La sécurité applicative afin d’accompagner la multiplication des supports et des services
• La protection des données, une thématique au cœur de l’actualité avec le RGPD

Au terme d’une sélection difficile, 4 start-ups ont été retenus par les membres du jury et les collaborateurs. Retrouvez en exclusivité une interview croisée de ceux qui construisent la cybersécurité de la banque de demain.

• CopSonic, gagnante du grand prix BCSIA, développe et commercialise une technologie de communication sans contact utilisant les ultrasons comme moyen d’interaction et de transmission de données entre les dispositifs électroniques

(Retrouvez l’interview d’Emmanuel Ruiz ici) 

• GitGuardian récompensée du prix protection des données clients, aide les entreprises à se protéger contre les fuites de données sensibles hébergées dans le cloud. Elle alerte les entreprises lorsque les identifiants à leurs services cloud sont compromis ou utilisés de façon abusive

(Retrouvez l’interview d’Eric Fourier ici)

• ICARE Technologie ayant reçu le prix spécial France, développe une bague intelligente couplée à une application smartphone permettant au porteur de la programmer pour remplacer l’intégralité du portefeuille et du porte-clefs

(Retrouvez l’interview de Georges Bote ici)

• ubble, lauréate du prix IA et lutte contre la fraude, permet aux consommateurs de confirmer facilement et en toute sécurité leur identité en ligne et d’utiliser dans le monde digital leur documents d’identité physique régaliens de façon fiable, pratique, et respectueuse de la vie privée

(Retrouvez l’interview de Juliette Delanoë ici)

 Dans le cadre de la remise des prix une table ronde sur le sujet de la relation entre les grands comptes et les startups a eu lieu. Les intervenants, Guillaume Poupard, Thierry Olivier, Yves Vilaginés, Emmanuel Gras et Gérôme Billois ont évoqué chacun leur point de vue. Voici les principaux messages qui en ressortent :

 Un écosystème cyber qui reste à construire

 Les membres de la table ronde ont mis en avant la difficulté pour un entrepreneur cyber de se lancer. En effet il n’existe pas, à ce jour, de structure officielle pour les accompagner. Par ailleurs, les investissements sont encore insuffisants. L’exemple évoqué était le suivant :  les start-ups cyber en France en 2017 ont levé en moyenne 3,8 millions d‘euros pour un total de seulement 26,2 millions d’euros.

Une concurrence historique, compliquée à challenger

Les participants à la table ronde ont par ailleurs soulevé l’autre difficulté majeure pour les start-ups cyber : des produits à l’innovation parfois insuffisante. De leur point de vue, très peu d’entrepreneurs se lancent dans de nouvelles offres, la plupart préférant réinventer des solutions de sécurité existantes.

Ils en tirent la conséquence suivante : face à des éditeurs historiques de logiciels de sécurité qui sont déjà connus et en place dans des grands groupes, les start-ups peinent à convaincre. Leur compétitivité amoindrie freine donc leur croissance.

La nécessaire réconciliation entre stabilité et innovation

Il a ainsi été argumenté que les start-ups sont face à deux besoins contradictoires. Elles doivent tout d’abord chercher à stabiliser leur produit pour le vendre et ainsi diminuer la pression financière qui pèse sur elles. Et dans le même temps, on exige d’elles qu’elles démontrent une agilité, une innovation permanente pour concurrencer les éditeurs existants, ce besoin les empêchant parfois d’aboutir leur produit.

Cependant, pour les experts présents durant cet échange, ces deux dimensions sont loin d’être irréconciliables. Ils ont ainsi avancé trois pistes pour aider les start-up cyber à innover tout en continuant à croitre.

D’une part, la première solution consiste à impliquer les grands groupes pour accompagner les start-ups en les rémunérant durant leurs tests (Proof Of Concept) contrairement à l’usage actuel qui veut que les POCs soient gratuits alors même qu’ils peuvent durer plusieurs semaines, voire plusieurs mois. En les finançant de la sorte, les grands groupes permettront aux start-ups de démontrer la pertinence de leur produit sans mettre en danger leur pérennité financière.

Ensuite, il convient aussi de les aider à gagner en visibilité : pour cela, les intervenants ont suggéré de développer un incubateur spécialisé en cybersécurité et y dédier des fonds pour structurer l’ensemble du marché.

Enfin le dernier axe concerne les start-ups elles-mêmes : il leur faut prendre du recul sur leur solution et, au-delà de l’aspect technique, tenter de mettre en avant leurs avantages compétitifs pour la vendre de manière globale en se différentiant de leurs concurrents.

Pour conclure, l’ensemble des participants à la table ronde s’est accordé pour dire que le marché est très prometteur : les entrepreneurs cyber ayant dans l’ensemble de bons profils techniques et des idées très intéressantes, il convient de leur donner les clés pour se démarquer dans un écosystème compétitif.

La meilleure solution pour cela restant donc de mobiliser autour des start-ups, des métiers, des RSSIs, des investisseurs mais également des grands groupes ou des experts du secteur afin de leur offrir conseil et visibilité comme dans le cadre des Banking CyberSecurity Innovation Awards. Rendez-vous en 2019 pour la troisième édition !

Cet article BCSIA : ILS CONSTRUISENT LA CYBERSECURITE DE DEMAIN est apparu en premier sur RiskInsight.

Face à cela, les outils historiques ne semblent pourtant que trop peu adaptés aux nouvelles menaces, de plus en plus volatiles (40% des attaques ne s’appuient sur aucun fichier déposé sur un poste compromis, d’après une étude de l’institut Ponemon pour Barkly). En conséquence, un nouveau type de solution de sécurité est apparu, mêlant efficacité de détection et remédiation adaptative, les Endpoint Detection & Response (EDR).

AUX ORIGINES : LES ANTIVIRUS

A l’heure du trentième anniversaire de la première annonce de neutralisation d’un virus, les antivirus figurent aujourd’hui parmi les solutions les plus utilisées dans la protection des équipements terminaux que sont les serveurs et les postes de travail. Seulement, de nouvelles stratégies de défense viennent aujourd’hui consolider les fortifications de nos systèmes d’information, afin de faire face à un spectre plus large d’attaques et de menaces.

Une réponse toujours nécessaire face aux attaques connues

Que ce soit pour nettoyer un support de stockage USB ou un serveur critique, les antivirus bénéficient d’une réputation d’outils indispensables grâce à leur stratégie, allant de la détection de fichiers à signatures virales connues à la remédiation, ainsi qu’à leur faible taux de faux-positif.

Aujourd’hui largement employés par l’ensemble des acteurs numériques, certains antivirus efficaces permettent un investissement minime face à des conséquences majeures. Pour exemple, les coûts de l’attaque massive Wannacry sont estimés à près d’un milliard de dollars – mais la somme aurait pu être beaucoup plus élevée. En effet, comme l’a démontré le groupe de recherche MRG Effitas, certains antivirus peuvent bloquer les attaques les plus notables émanant de la faille EternalBlue, par détection de signatures au travers du réseau.

Partant de ce constat, certaines solutions antivirales semblent répondre à la majorité des attentes d’une entreprise « connectée », à savoir détecter les menaces les plus massives. Cependant, la recrudescence des attaques ciblées et sur-mesure laisse envisager une banalisation du contournement de ces défenses traditionnelles. Ces attaques peuvent conduire à une intrusion dans les  systèmes d’information les plus critiques, dans un environnement où le nombre d’infrastructures augmente et devient par conséquent plus complexe à maitriser. De plus, l’efficacité des antivirus reste dépendante de la multiplicité des attaques, et par conséquent d’une récolte efficace et complète des signatures virales.

Des mécanismes insuffisants face à l’évolutivité des cyber attaquants

Deux limites sont aujourd’hui mises en cause pour juger de la légitimité des antivirus à l’avenir. Elles sont majoritairement liées à la collecte et au stockage des bases antivirales perpétuellement alimentées.

1. Le délai de mise à jour des bases virales
   Dans un environnement constamment modelé par les cyber-attaquants, une première limite est la durée de mise à jour des banques de signatures virales. Comme rappelé par F-Secure à Gartner, « il y aura toujours un délai entre l’acquisition d’un échantillon, son analyse, et la création de la détection ». Il en découle un délai conséquent d’alimentation et d’adaptation des bases de signatures, pouvant conduire à la détection d’un virus plusieurs jours après infection.

2. Une détection principalement basée sur la recherche d’attaques connues
   Les attaques de type zero-day se caractérisent par l’absence de publication et de réponse connue à leur encontre, souvent due à leur récente réalisation. Pouvant pourtant partager des comportements avec des attaques connues, elles ne figurent pas dans le périmètre de détection des antivirus. Et bien que des mécanismes IDS (Intrusion Detection System) et de machine learning se soient greffés afin d’élargir les comportements détectés, ceux-ci ne représentent que peu de challenge pour un attaquant et sont potentiellement sources de faux-positifs.

En définitive, aucun attaquant censé ne s’est jamais entendu dire :

“D*mn there is an antivirus… Oh well too bad…”

Mais comment se prémunir face a ces attaques ?

Annoncée en préambule, la technologie EDR fait son apparition en 2013 et fonde sa stratégie sur la prévention d’attaques avancées, via l’utilisation de schémas de compromission connus. Pour cela, la clé de l’efficacité d’un EDR se trouve dans la collecte d’un maximum d’informations en continu.

A travers ses fonctions principales, un outil de Endpoint Detection and Response répond à trois besoins majeurs des équipes de sécurité des entreprises :

1.Détection    2.Investigation   3. Remédiation

Voici ci-dessous une vue globale des fonctionnalités possibles :

• Une détection intelligente en temps-réel :

• Une investigation intuitive et complète :
  • Recherche exhaustive d’indicateurs de compromission (IOC) sur l’ensemble des équipements terminaux distants (hash, nom de fichiers, date de création, taille, autres attributs) ;
  • Timeline (ou Kill-Chain) des évènements déroulés lors d’une attaque. Elle peut contenir des informations relatives aux augmentations de privilèges, aux escalades horizontales (exécution sur des machines tierces), etc.

Le détail d’un fichier peut être représenté comme suit :

• Une remédiation automatique ou sur demande :

Dans l’objectif de prioriser les interventions des équipes de sécurité, des mécanismes de scoring de la criticité des alertes permettent aux opérateurs de hiérarchiser les actions. Et, même si la suppression automatique de processus malveillants permet une première remédiation facile, d’autres remédiations « on-demand » et réalisables à distance sont envisageables :

A noter que les mécanismes présentés ci-dessus ne sont pas forcément présents dans toutes les solutions se présentant comme EDR. La présence d’un antivirus intégré n’est par exemple pas une garantie, tant l’efficacité des autres mécanismes de détection s’accélère et permet des performances de détection équivalentes.

Suivant le niveau de maturité de chaque solution, il est par conséquent nécessaire d’adopter une stratégie réalisée sur-mesure en regard des ressources matérielles/logicielles, des données métier à protéger et des ressources financières mobilisables.

Contextualisation pour une strategie sur-mesure

Une combinaison entre solutions historiques et innovantes

Puisque les EDR permettent la coexistence d’autres solutions de prévention, il n’est pas nécessaire de se séparer de son actuel antivirus afin de compléter ses défenses. Pour autant, l’aspect financier du maintien de deux solutions distinctes sur le même périmètre peut être un handicap.

De plus, certains EDR peuvent aussi intégrer des antivirus raisonnables, qui deviennent d’autant plus efficaces dans l’investigation des évènements lorsqu’ils sont liés à la même console de supervision. A l’inverse, plusieurs acteurs de solutions antivirales essayent de faire migrer leur solution vers les technologies EDR, ceci afin d’alimenter leur offre de protection Endpoint.

En se concentrant sur des scénarios adressables par la technologie EDR, nous pouvons noter la présence de solutions permettant :

1. L’utilisation d’une console d’investigation et de remédiation centralisée et permettant la protection de sites distants
2. L’interfaçage avec un SIEM ou des outils d’authentification (type Active Directory)
3. La restauration d’un OS infecté par un ransomware vers un état sain
4. L’adaptation de la remédiation opérée, afin qu’elle soit automatique ou manuelle

Des points de vigilance à adresser

Pour autant, un EDR n’est pas à considérer comme une solution miracle car :

• Il peut devenir destructeur entre de mauvaises mains, ce qui nécessite notamment un durcissement de configuration, une revue de la gestion des accès ou encore une procédure de patch management ;
• Certains mécanismes de contournement sont possibles, Wannacry en est un exemple via son utilisation d’un mécanisme de détection d’un environnement sandbox. Si une sandbox était utilisée pour l’exécuter, le virus retardait le lancement de son attaque (le temps que se déroulent les analyses de protection) afin de contourner la défense ;
• Il représente une potentielle surface d’attaque supplémentaire, avec ses propres vulnérabilités logicielles, en raison par exemple du besoin de privilèges élevés des agents déployés sur les postes.

« En 2019, les fonctionnalités des antivirus et des EDR auront fusionné dans une seule et même offre » (Gartner)

L’intérêt que représentent les EDR n’est pas anodin, comme partagé dans une étude Gartner prédisant la fusion de leurs mécanismes de détection, d’investigation et de remédiation avec un socle plus mature, celui des antivirus (source : Gartner, « Magic Quadrant for Endpoint Protection Platforms 2017 », 2017), à partir de 2019.

Le chiffre d’affaires généré par le marché des EDR a doublé entre 2015 et 2016. L’intérêt grandissant de ce domaine d’innovation laisse prédire, selon Gartner, une croissance annuelle de près de 50% du chiffre d’affaires global lié aux EDR jusqu’en 2020.

Actuellement présent sur près de 5% de l’ensemble des équipements compatibles, ce nouvel outil à la mode semble prédisposé à davantage de résonnance dans les stratégies de protection de nos postes de travail, de serveurs mais aussi de nos smartphones.

Les éditeurs

Une liste -non exhaustive- d’acteurs du monde des EDR est renseignée à titre indicatif ci-dessous.

Cet article EDR : Nouveau challenger dans la protection des endpoints est apparu en premier sur RiskInsight.

Qu’est-ce que l’informatique quantique et pourquoi s’y intéresser ?

La manière dont les ordinateurs sont encore très majoritairement conçus aujourd’hui repose sur une architecture principalement séquentielle : les opérations sont effectuées par l’ordinateur les unes après les autres, selon un programme d’instructions écrit par l’homme. Le micro-processeur exécute alors les opérations de façon quasi séquentielle, et c’est ici l’une des principales faiblesses de cette architecture et de ses variantes.

L’informatique quantique viendrait alors combler cette faiblesse en proposant des machines dotées d’une faculté de parallélisme, permettant d’augmenter considérablement la puissance de calculs complexes, la rapidité de traitement et la capacité (théorique) de stockage. Cette technologie s’appuie sur le phénomène de superposition d’états quantiques pour développer des capacités de calcul beaucoup plus importantes que l’informatique classique. En effet, l’information est représentée par des « quantum bits » (qubit) similaires aux bits binaires utilisés dans l’informatique numérique. Pour rappel, le bit peut prendre deux valeurs, 0 ou 1 selon l’état du transistor. Le qubit, peut avoir trois états, le 1, le 0 mais aussi les deux à la fois : c’est ce qu’on appelle la superposition.

Cette capacité de superposition multiplierait le nombre d’opérations complexes réalisables dans un temps limité. Ainsi, là où le traitement d’informations volumineuses peut parfois prendre plusieurs jours, semaines, mois à être traitées par des ordinateurs classiques, les systèmes de l’informatique quantique le traiteraient en quelques secondes.

Malheureusement, cette technologie impose de maintenir l’état quantique pour atteindre de telles capacités de calcul, le problème étant que cet état ne peut être atteint qu’en plaçant l’ordinateur proche du zéro absolu, soit -273 °C, seules températures pour lesquelles le qubit est réellement stable. De manière évidente, il est extrêmement complexe de maintenir de telles températures avec un système simple, peu onéreux et peu encombrant pour une longue période de temps.

L’informatique quantique comme outil de sécurité

Les apports de l’informatique quantique en matière de capacité de résolution et de traitements rapides d’opérations complexes sont très convoités, et principalement dans le domaine de la sécurité informatique, où les mesures de protection et de détection nécessitent de plus en plus de rapidité d’exécution.

Par exemple, la lutte contre la fraude est aujourd’hui l’une des principales problématiques de sécurité du secteur bancaire et a pour enjeu d’exploiter des techniques poussées de détection de fraude, basées sur la collecte, le traitement et l’analyse, en temps réel, de données volumineuses. Ces techniques sont très gourmandes en puissance de calcul et, bien qu’aujourd’hui réalisables par nos ordinateurs les plus performants, elles pourraient être encore plus efficientes avec plus de puissance. Les ordinateurs quantiques, s’ils voient le jour, pourraient ainsi constituer un pilier de la lutte contre la fraude, à travers leur forte capacité (théorique) de stockage et leur rapidité de traitement.

De même, les systèmes quantiques pourraient notamment permettre de détecter et de corriger les erreurs. En effet, le qubit, sur lequel repose tout le fonctionnement de cette nouvelle génération informatique, est en effet très sensible aux perturbations de son environnement (interception, changement de configuration, variations de température, champs magnétiques…). Le qubit peut constituer ainsi, dans ces conditions, un moyen fiable pour garantir l’intégrité des données stockées.

L’informatique quantique comme source de menace

Les communications sécurisées, les systèmes sécurisés de paiements, les transactions financières, les monnaies virtuelles telles que le bitcoin, reposent tous sur des mécanismes cryptographiques, et en particulier sur les protocoles de chiffrement asymétriques. La sécurité de ces protocoles dépend principalement du fait qu’il faudrait plusieurs fois l’âge de la Terre à des ordinateurs classiques pour casser une code par la « force brute ». Pour un ordinateur quantique, ce décryptage est théoriquement réalisable et en très peu de temps. D’où le risque non négligeable pour les systèmes de chiffrement actuels si ces ordinateurs quantiques venaient à être démocratisés.

De plus, plusieurs attaques informatiques telles que les attaques par déni de service (DOS ou DDOS) nécessitent d’exploiter de fortes ressources en termes de traitement informatique qui, à l’aide des futurs ordinateurs quantiques, pourraient devenir facilement exécutables.

C’est précisément pour ces raisons que les instigateurs de l’informatique quantique se focalisent notamment sur le domaine de la sécurité afin de combler les failles qui pourraient potentiellement être occasionnées par l’apparition des ordinateurs quantiques, et espérant ainsi offrir des communications totalement sécurisées aux utilisateurs, en misant sur la cryptographie quantique. En effet, un réseau de communication quantique serait théoriquement inviolable. Toute tentative visant à intercepter la « clé de chiffrement quantique » modifierait l’intégrité physique des données quantiques, changerait alors leurs états (passage au 0 ou au 1 par exemple), et pourraient ainsi déclencher une alerte qui avertirait les personnes concernées. Actuellement, plusieurs laboratoires dans différents pays tentent de tirer le meilleur parti de cette technologie.

Par ailleurs, l’histoire nous a montré que lorsqu’un protocole de chiffrement était devenu « cassable », des solutions de chiffrement plus sécurisées voyaient le jour au même moment. On peut donc imaginer que si un jour un ordinateur quantique permet de casser un chiffrement « classique », une solution de chiffrement plus robuste, potentiellement basée sur la cryptographie quantique, sera disponible.

L’informatique quantique, concrètement…

Dans l’état actuel des recherches, tous ces concepts restent théoriques et seuls quelques embryons d’ordinateurs quantiques existent dans le monde, confinés encore à des laboratoires académiques, au sein des institutions les plus prestigieuses. Une quête dans laquelle IBM et Google se sont déjà lancés depuis plusieurs années. Intel a également rejoint la course à l’informatique quantique en annonçant investir 50 millions de dollars sur le sujet. La France n’est pas en reste, avec notamment le Laboratoire Kastler Brossel qui a reçu récemment un troisième Prix Nobel pour des travaux allant dans ce sens.

Du reste, les avis divergent sur cette nouvelle génération de l’informatique : Le National Institute of Standards and Technology (ou NIST) américain a prévenu que les différentes agences gouvernementales devront être prêtes à adopter de tels systèmes en 2025.  La NSA, l’agence nationale de la sécurité, conseille de mettre en place des processus de sécurité quantique aussi rapidement que possible. A l’opposé, certains cryptographes ne partagent pas cet avis, et ont déclaré lors de la dernière Conférence RSA qu’ils doutent que les progrès dans le calcul quantique et l’intelligence artificielle transformera réellement la sécurité informatique. Aussi, Eleni Diamanti, chercheuse au CNRS et membre de Paris Center for Quantum Computing, affirme pareillement que « même si un qubit est plus puissant qu’un bit, il en faut au moins un millier pour concurrencer les machines actuelles », ce qui est loin d’être concrétisé aujourd’hui, au vu de la complexité de création d’un qubit et de maintien dans des conditions stables.

Cet article Informatique quantique et sécurité : menace ou opportunité ? est apparu en premier sur RiskInsight.

Un constat pour le moins mitigé

Malgré les évolutions technologiques, il reste toujours difficile d’insérer correctement une application métier dans le système d’information d’une entreprise. Cela est en partie dû au fait que les métiers souhaitent souvent aller au-delà de leur attribution en ne s’intéressant pas uniquement au « Quoi ? » mais aussi au « Comment ? ». Cet état de fait provient d’une sorte de « syndrome du métier roi », qui peut conduire à des extrêmes comme la mise en service d’applications sans que la DSI soit prévenue (le shadow IT). Cela peut notamment être le cas lorsque les règles et processus ne sont pas jugés pertinents ou trop lents par le métier.

En conséquence, de nombreuses spécificités apparaissent et ne sont pas toujours résorbées : non-respect des normes internes et réglementaires, non-utilisation des infrastructures et offres de services présentes, perpétuelle « réinvention de la roue » …

Ce phénomène implique des pertes de temps et des surcouts qui pourraient être évités. Il implique aussi des risques pour le bon fonctionnement et la sécurité du SI car la maitrise des applications est moindre.

Tout d’abord, cadrer

La mise en place d’un cadre clair et cohérent décrivant le SI est un prérequis fort de la bonne intégration des applications métiers dans le SI. Il doit être conçu pour s’appliquer également aux applications métiers basées sur des composants physiques industriels.

Ce cadre s’appuie sur la rédaction de politiques, que ce soit pour les infrastructures (positionnement des applications, gestion de la disponibilité, piles systèmes et logicielles préconisées …), pour le réseau (règles de raccordement, gestion du dimensionnement des échanges …) ou pour la sécurité (gestion de la confidentialité et de l’intégrité des données, gestion des authentifications et habilitations …), avec en particulier l’analyse des risques associés aux données et à leurs traitements. L’inclusion du cadre réglementaire et légal (réglementations informatiques et libertés, loi de programmation militaire …) est nécessaire.

De même, toutes les infrastructures et les services qu’elles rendent doivent être présentées sous forme d’offres de services, incluant les contraintes d’acceptation et dès que possible, les couts et délais associés à leurs utilisations, d’autant plus si le système s’oriente vers une approche micro-services et repose sur des API.

Tous ces éléments doivent être intégrés dans le schéma d’urbanisme du SI.

Une fois défini, le cadre est à dériver sous forme de toolkits permettant aux métiers d’identifier rapidement leurs besoins, afin d’intégrer les contraintes associées dans leurs pré-études et leurs appels d’offres.

Puis, fonctionner en mode processus

Le cadre mis en place doit s’accompagner d’un ensemble de processus facilitant la conception et la mise en place des applications métiers.

Les processus accompagnant la conception applicative sont, de loin, les plus importants, puisqu’ils amènent aux architectures applicatives à déployer. Ils doivent intégrer, dès les premières phases, l’exploitant ainsi que les équipes gérant le réseau et la sécurité du SI, qui sont amenés à faire partie de l’instance de validation des architectures applicatives.

Dans un cycle projet traditionnel, il est préférable de découper l’étude et la validation de l’architecture des applications en deux parties.

La première partie, doit traiter l’architecture fonctionnelle uniquement. Celle-ci commence par la fourniture des besoins par le métier : population cible, données utilisées et traitements associés. Une étude de ces besoins vis-à-vis du cadre défini permet alors de déterminer les contraintes imposées à l’architecture et les offres de services pouvant répondre au besoin métier. Cette étude passée, l’architecture fonctionnelle peut être définie par le métier et validée par l’instance de validation des architectures applicatives.

La seconde partie, qui s’intéresse à l’architecture technique, favorise l’utilisation des offres identifiées précédemment. L’architecture proposée peut enfin être validée en impliquant dans cette décision les responsables des offres de services retenues.

Et le plus important… faire appliquer !

La mise en application du cadre et des processus associés est à faire étape par étape.

Il convient, en premier lieu, d’identifier au moins un correspondant métier au sein de la DSI moteur et connaisseur de l’organisation, afin de tester et de rôder le cadre et les processus. Une fois ce premier test effectué, il peut être étendu au sein de la DSI, en commençant sur une base de volontariat, et ce, avec l’appui du DSI.

La dernière phase, l’extension du processus à l’ensemble des métiers, est plus complexe en ceci qu’elle nécessite un sponsor au sein de la direction générale permettant son application.

Cette mise en application peut être facilitée par une communication régulière aux différents interlocuteurs sur les gains en termes de cout et de délais associés à l’application du cadre et des processus et par la priorisation des projets les appliquant par rapport aux projets réticents (« politique de la carotte et du bâton »).

Enfin, tout au long de cette mise en place, il est nécessaire de prendre en compte très rapidement tout retour.

Les outils clés

Afin d’assurer la réussite du processus, celui-ci doit être accompagné d’un certain nombre d’éléments.

Les offres de services doivent donner la priorité au respect des standards et contraindre le sur-mesure à des études supplémentaires. Chaque « standard » d’une offre de service est à associer à un template de configuration permettant de limiter les couts et délais de préparation des environnements des applications, ainsi que les couts d’exploitation, mais aussi de limiter le risque d’incidents par la maitrise de la configuration. La mise à disposition de modèles types de supervision des services applicatifs est également un point à ne pas négliger.

Le processus de demande de mise en place d’une architecture validée doit être le plus simple possible pour le métier, le nombre d’informations, minimisé, et la complexité sous-jacente à la demande, masquée. Au besoin, cela passe par la mise en place d’une entité chargée de traduire rapidement une demande de mise en place ou d’évolution de l’existant issue du métier en un ensemble de demandes techniques ciblant les besoins (installation de serveurs, mise en place de machines virtuelles, configuration réseau, ouverture de flux, configuration des équipements de sécurité applicative …).

L’objectif est de rendre attractif le suivi de l’offre standard en le rendant plus simple, plus rapide et moins couteux.

Il ne faut par contre pas bloquer la spécificité si elle ne remet pas en cause le bon fonctionnement ou la sécurité du SI. Elle peut en revanche être plus longue et plus couteuse à insérer, cela se justifiant par les études permettant sa bonne intégration.

Cadrer l’historique pour poser les bases du futur

La bonne gestion de l’insertion d’une application dans un SI passe par un cadre clair et partagé de tous, des processus et outils simples et acceptés, un accompagnement de proximité, facilitant la vie des responsables d’applications jouant le jeu des normes propres SI et reportant le cout de toute complexité sur le métier responsable, sans bloquer les spécificités.

Et ce mode de fonctionnement, bien adapté à une gestion classique des développements applicatifs, peut être une base pour entamer des réflexions sur le mode agile où la définition d’un cadre et la priorisation de l’utilisation des standards restent de bonnes pratiques.

Cet article De la bonne insertion d’une application métier dans le SI est apparu en premier sur RiskInsight.

Un concours digne d’une compétition sportive

Au Paris Hotel de Las Vegas, Nevada, s’est déroulé en août 2016 cet étrange concours digne d’une compétition sportive. Pendant près de 12 heures, d’imposantes machines, appelées Cyber Reasoning Systems se sont affrontées dans l’arène devant un public de 3000 personnes, auquel les présentateurs expliquaient les tentatives d’attaques et les corrections de vulnérabilités grâce à des représentations en 3D très parlantes. Organisé par la DARPA, ce concours avait un double but : valider le concept de cyberdéfense automatisée et stimuler la recherche en offrant 4 millions de dollars de prix, dont 2 à l’équipe vainqueur.

Selon Mike Walker, responsable du programme du Cyber Grand Challenge, les failles de sécurité exploitées dans la nature le seraient pendant 312 jours en moyenne avant leur détection et le temps médian de correction après détection serait de 24 jours. Un délai très long pendant lequel les systèmes restent vulnérables et que la DARPA souhaiterait voir réduit à quelques minutes ou secondes, en confiant aux machines la tâche de détecter et de corriger elles-mêmes ces failles de sécurité.

Depuis l’annonce du concours en 2013, la DARPA qui prend le sujet très au sérieux, y a investi 55 millions de dollars. 7 équipes aux propositions intéressantes ont été invitées à participer au concours en recevant une aide financière mais l’entrée restait ouverte à toute équipe auto-financée souhaitant relever le défi. En juin 2015, les qualifications ont eu lieu sur Internet pendant 24 heures au cours desquelles les équipes devaient trouver le maximum de vulnérabilités affectant 131 programmes. Sur plus de 100 équipes les 7 meilleures se sont qualifiées pour l’événement final, touchant 750.000$ au passage afin de s’y préparer. Parmi elles, 3 équipes financées par la DARPA et 4 équipes auto-financées.

Au bout de 12 heures de compétition acharnée, c’est Mayhem, le CRS de l’équipe ForAllSecure qui a remporté la victoire malgré une difficulté technique qui l’a empêché de soumettre des correctifs pendant une partie de l’épreuve. Mayhem a eu le privilège de pouvoir concourir au concours « normal » de la conférence DEFCON où s’affrontaient les meilleures équipes de hackers du monde entier. Mayhem est arrivé bon dernier de ce concours, mais à quelques points seulement de la dernière équipe humaine. Ce résultat peut être comparé à la progression des machines contre les humains aux échecs en conditions de tournoi : entre les premières victoires des machines contre des maîtres au début des années 80 et le moment où les machines parvenaient à battre des grands maîtres de façon régulière au milieu des années 2000, 25 ans se sont écoulés.

Si les machines talonnent aujourd’hui les meilleures équipes de hackers, de quoi seront-elles capables dans 10 ou 20 ans ?

Vers un monde plus sûr ?

David Brumley, CEO de ForAllSecure spinoff de l’université Carnegie Mellon, souhaite que dans le monde ultra connecté qui est le nôtre, chacun puisse avoir la garantie que les objets et les applications que nous utilisons soient sûrs, sans s’en remettre uniquement à leurs développeurs. Mais si le développement d’une cyberdéfense automatisée est une aubaine pour la société civile, on peut bien imaginer quelles implications offensives ces recherches pourraient avoir. Découvrir rapidement et en grande quantité des bugs dans des programmes fournirait autant de munitions à un état décidé à attaquer des systèmes d’organisations ou d’autres nations n’étant pas alignées avec ses intérêts. Et l’on peut être sûr que la DARPA, dont la vocation première est militaire, en a parfaitement conscience.

Cet article Et si les machines assuraient leur propre cyberdéfense ? est apparu en premier sur RiskInsight.

Un modèle de sécurité en château fort qui a atteint ses limites

Historiquement, le système d’information a été construit de manière à être isolé de l’extérieur via une muraille constituée des équipements de sécurité (pare-feu, reverse-proxy, DMZ etc.). Il repose  sur un espace de confiance quasiment unique, à l’intérieur du périmètre, avec un accès facile aux ressources de l’entreprise.

Par analogie, ce modèle historique est associé à un château-fort : entouré de murs renforcés, il dispose d’un seul point d’entrée surveillé mais ensuite le circulation est libre dans la la cité.

Ce modèle ne peut plus accompagner l’évolution des cyberattaques, plus précises et pointues. Elles savent viser directement le cœur du SI en pénétrant directement les ordinateurs des collaborateurs sans être arrêtées par la muraille, tel le cheval de Troie de la Grèce antique.

Ce modèle ne permet pas non plus de tirer tous les fruits de la transformation numérique. Celle-ci a amené les entreprises à changer fondamentalement leur conception du Système d’Information : elles sont passées d’un modèle fermé  vers l’extérieur à ouvert. D’un point de vue client et partenaires, certaines informations sont directement accessibles via Internet et les applications mobiles.  D’un point de vue du SI, l’externalisation est une réalité du quotidien, poussé encore plus aujourd’hui par le mouvement vers le cloud. D’un point de vue utilisateur, les collaborateurs utilisent de plus en plus d’outils personnels : BYOD, webmails personnels et applications personnelles sur les smartphones s’invitent dans l’environnement de travail. Toutes ces évolutions inéluctables rendent caduque la notion de périmètre.

Place à un nouveau modèle : l’aéroport

L’évolution du modèle de sécurité est donc nécessaire. Pour répondre à ces nouveaux enjeux, le modèle qui est aujourd’hui le plus adapté est celui de l’aéroport. Un aéroport est composé de zones d’accueil ouvertes au public permettant d’informer les clients ou encore de réaliser des ventes avec un niveau de contrôle minimum et adapté au contexte du pays. L’aéroport contient aussi des zones beaucoup plus sécurisées et en accès limité comme le tarmac ou les avions. Les contrôles sont de plus en plus poussés au fur et à mesure que l’on accède à des zones plus sensibles.

En sécurité de l’information, cela se traduit par des mesures de sécurité telles que des contrôles d’authentification plus ou moins élaborées (authentification forte, usage de la biométrie…), des contrôles d’intégrité et de bons usages (IDS/IPS, DLP…) afin de maitriser les accès aux zones contenant les informations sensibles de l’entreprise, et maîtriser leur manipulation.

Dans le modèle de l’aéroport, en plus des mesures de protection, il est essentiel de pouvoir détecter les éventuelles anomalies ou incidents et d’être en capacité de réagir rapidement et efficacement. C’est le rôle de la tour de contrôle, qui a pour mission de regarder au plus près (ce qui se passe dans le périmètre de l’aéroport) mais aussi au loin (les avions en approche). La tour de contrôle est capable réagir rapidement en cas de problème et d’apporter une réponse adaptée, voire d’appeler des renforts si besoin. Dans l’entreprise, ce rôle de surveillance doit être tenu par le SOC (Security Operation Center), avec si besoin le d’équipes dédiées  à la gestion de crise cyber.

Pour que ce modèle reste viable dans le temps et afin d’être efficace face à l’évolution de la menace, la revue régulière de ces mesures de sécurité est essentielle. Les avions avant de décoller subissent un contrôle de leur niveau de sécurité et les pannes sont anticipées avec la maintenance préventive, il doit en être de même pour les mesures de sécurité : habilitations, contrôles, mise à jour doivent être en continuelle évolution.

Un projet de transformation à part entière

L’enjeu majeur de cette évolution ne sera par l’acquisition de nouvelles solutions de sécurité, bien souvent les pierres du château-fort pourront être utilisées pour bâtir l’aéroport. L’enjeu sera avant tout de structurer un vrai programme de transformation pour la sécurité du SI.

Programme mêlant des évolutions technologiques (souvent principalement autour de la détection des attaques), organisationnelles (responsabilisation des équipes en particulier de maitrise d’ouvrage et de développement, intégration des nouveaux processus de contrôle…) mais aussi qui devra diffuser dans tous les projets SI les principes d’évaluation des risques et d’architectures associés. La tentation est parfois grande de mettre des systèmes sensibles mais non sécurisés directement dans le hall de l’aéroport accessibles à tous…

Le pilotage irréprochable de ce programme et la démonstration de son efficacité par la réduction des risques seront les facteur clé de la réussite de cette transformation !

Cet article L’évolution du modèle de sécurité : du château-fort à l’aéroport est apparu en premier sur RiskInsight.

Très largement déployé dans le monde – Gartner parle de plus de 1,6 milliards de machines depuis son lancement en 2001, dont quelques 500 millions encore en activité –  l’OS équipe encore de nombreux postes de travail en entreprise. Dès lors, il est important de comprendre les enjeux de cette fin de support, et les différentes approches pour y faire face.

Quels sont les systèmes concernés et les conséquences de cette fin de support ?

Comme le montre l’illustration ci-dessous, le système concerné par cette date butoir est Windows XP dans sa version pour PC. . Notons que la version Embedded (pour systèmes embarqués), qui équipe par exemple certains distributeurs automatiques de billets, bénéficiera elle des correctifs jusqu’en janvier 2016.

Au-delà de l’arrêt des mises à jour fonctionnelles, l’arrêt des mises à jour de Windows XP signifie la fin des patches de sécurité : lorsqu’une nouvelle faille sera détectée, elle aura les mêmes impacts qu’une vulnérabilité 0-day. Elle sera donc immédiatement exploitable pour des actions malveillantes, et ne sera pas corrigée.

Microsoft a cependant annoncé récemment que certains produits spécifiques de sécurité pour Windows XP (tels que MSRT, l’outil de suppression des programmes malveillants) continueraient, eux, à recevoir des mises à jour de définition antivirales jusqu’en juillet 2015.

Du point de vue de la gestion des risques et de la sécurité, on peut redouter deux impacts majeurs.

En termes de protection,  les postes sous Windows XP, déjà souvent critiqués pour leur piètre niveau de sécurité, deviendront de réels points de faiblesse dans la durée. Même en faible nombre, ils pourront facilement servir de porte d’entrée et de point de rebond pour une attaque plus large.

La plupart des éditeurs d’antivirus arrêteront d’ailleurs de fournir un support pour leurs versions sous Windows XP lorsque cela deviendra techniquement (et commercialement) déraisonnable, contribuant à augmenter mécaniquement la vulnérabilité de ces postes.

Dans le même temps, les entreprises vont se trouver face à un risque de perte de conformité. En effet, certains standards exigent l’utilisation de systèmes supportés par leur éditeur. Ainsi, il semblerait que les postes sous Windows XP après le 8 avril 2014 fassent perdre la conformité HIPAA (données de santé américaines). Pour l’industrie bancaire, le risque de perte d’une certification PCI-DSS apparaîtra également, la norme exigeant une correction des vulnérabilités critiques impossible dans les faits.

Comment les entreprises peuvent-elle gérer ces risques ?

Pour se parer au mieux à toute éventualité après le 8 avril, plusieurs approches peuvent être adoptées.

1)     La montée de version, solution évidente mais à long terme

C’est la solution la plus évidente et, bien sûr, la plus recommandée par Microsoft. L’éditeur préconise le déploiement de Windows 8.1 Pro, là où beaucoup d’entreprises tentent actuellement de terminer (voire de commencer) leur passage à… Windows 7.

La migration vers un OS moderne est l’approche idéale, mais les retards de migration sont souvent dus à la complexité de portage d’applications historiques, à l’obligation de continuer à utiliser Windows XP car il est le seul OS supporté par une application métier critique, voire à la limitation d’un matériel pas assez puissant pour une version plus récente.

Cette situation n’a pas toujours été anticipée, et il est certain que des postes resteront encore sous XP pendant plusieurs mois, voire plusieurs années.

 2) La (coûteuse) botte secrète Microsoft : le custom support

Si le « support étendu » de Microsoft s’arrête, l’éditeur propose toutefois une alternative, à travers son Custom Support Agreement, ou support personnalisé.

Il s’agit d’un contrat complémentaire, accessible uniquement aux grands comptes, et facturé au nombre de postes que l’on souhaite continuer à couvrir. Les chiffres qui circulent publiquement sont de l’ordre de 200$ par poste pour la première année de support, 400$ la deuxième, et ainsi de suite…

L’objectif est ici d’offrir une porte de secours aux grandes entreprises qui n’ont pas encore migré des systèmes critiques, tout en les poussant à le faire rapidement en rendant le coût de support de plus en plus élevé.

 3) Les solutions dédiées pour sécuriser les postes sous XP

Plusieurs mesures de protection spécifiques peuvent, enfin, être mises en œuvre.

•  Figer le système dans une approche liste blanche

Il est possible de figer les systèmes obsolètes, comme cela a parfois déjà été fait avec les prédécesseurs de  Windows XP. Certains outils du marché, tel qu’Integrity Control de McAfee, permettent en effet de limiter la liste des exécutables autorisés sur un poste donné, vérifiant ainsi que seuls des logiciels approuvés et non modifiés sont utilisés.

Si cette méthode peut s’avérer efficace pour les postes métier ou de production industrielle subissant peu de changements, elle montrera vite ses limites avec des postes de travail bureautiques.

•  Déployer des solutions spécifiques de réduction du risque

Certains éditeurs offrent des solutions ciblées, à l’instar d’Arkoon avec sa solution ExtendedXP. Dans ce cas, il s’agit alors de cumuler un service de veille dédié aux failles touchant l’OS, et un outil de détection d’intrusion (HIPS) sur les postes de travail concernés, afin de réagir en temps réel à toute nouvelle vulnérabilité, d’adapter les règles de détection de l’outil, et de réduire ainsi le risque de compromission ou d’attaque.

•  Se préparer à l’éventualité d’une crise… en attendant la migration

Quelle que soit l’approche retenue, couvrir le risque tout en conservant des postes sous Windows XP sera difficile. Il peut donc être utile d’anticiper une gestion de crise, en intégrant ce cas spécifique aux processus existants : prévention auprès des utilisateurs et du Helpdesk, alerte des équipes IT, et formalisation d’une chaîne d’escalade adaptée.

Ces étapes sont déjà en cours chez nombre de nos clients. Même si elles peuvent représenter des solutions d’attente, la migration est aujourd’hui plus que nécessaire !

Cet article Que devient la sécurité de Windows XP après la fin de son support ? est apparu en premier sur RiskInsight.

Après ces révélations, 2014 devra être une année de progression pour la communauté dans son ensemble. Les directions sont connues et les principes partagés. Néanmoins, leur promotion et leur application se feront sur  2014 !

2013 aura fait avancer la prise de conscience… Que peut –on souhaiter à la sécurité de l’information 2014 ?

Une sécurité plus transparente

C’est possible ! L’exemple de l’intégration de la reconnaissance biométrique à l’iPhone 5S le montre. Même si la solution n’est pas parfaite, elle a permis d’augmenter significativement le niveau de sécurité des personnes  qui n’utilisent pas de code de verrouillage en raison de la gêne qu’il représente. Au premier rang desquelles on peut citer la PDG de Yahoo, Marisa Meyer…

 Une sécurité plus ancrée dans le quotidien de la DSI

Un chemin important reste à parcourir pour maintenir une hygiène de base dans le SI. La question de l’application des correctifs et des mises à jour en est un exemple frappant. L’ANSSI pousse dans ce sens avec ses 40 règles d’hygiène. Le vote de la loi de Programmation militaire ne fera que renforcer cette orientation pour les structures concernées. Et rappelons que même les structures les plus visés par des attaques ne sont pas encore toutes au point sur ces sujets !

Une sécurité mieux appropriée par les métiers

Nous avons assisté en 2013 à une multiplication des attaques informatiques visant des activités métiers – comme les fraudes dans les agences Santander ou RBS, le premier malware visant SAP ou encore les attaques ciblées sur les systèmes gérant les plafonds de paiements de carte bancaire. Elles montrent aux métiers que lorsqu’un incident survient, certes le SI est touché, mais les cibles finales sont bien les données des métiers ! Ces cas entraînent des prises de conscience fortes. Nous ne pouvons évidemment pas souhaiter d’en voir plus, mais espérer que ces incidents auront été des aiguillons suffisamment forts pour montrer aux métiers, au-delà même des entreprises touchées, l’importance de leur implication au quotidien.

Une sécurité plus à même de détecter et de réagir en cas d’incidents

2013 aura connu son lots d’incidents. Toutes les menaces ont été mises sur le devant de la scène. États avec le rapport APT1 et les révélations sur la NSA, cybercriminels avec l’arrestation du plusieurs profils de haut niveau (Paunch par exemple) et des attaques destructrices (Corée du Sud) ou paralysantes (Cryptolocker). Tout ceci montre clairement que les incidents peuvent se produire et qu’il n’est pas toujours possible de les éviter. Il faut donc se préparer à réagir efficacement !

Une sécurité qui anticipe les innovations

Les évolutions se succèdent dans la société et la sécurité doit les accompagner si elle n’arrive pas à les devancer. Les objets connectés sont aujourd’hui au cœur de toutes les attentions, et 2013 nous a montré leurs vulnérabilités. Lunettes Google Glass, voiture Ford ou Toyota, ampoules Philips Hue, drone Parrot, tous ces systèmes ont été piratés. Et sur ce volet, les efforts de sécurité doivent être réalisé en amont, en effet, il sera très complexe de les mettre à jour une fois distribués sur le terrain !

La plupart des membres de la communauté de la sécurité de l’information partagent déjà ces orientations, mais il est bon de les rappeler et de les confirmer afin qu’elles guident nos actions sur 2014 !

Cet article Que souhaiter pour la sécurité de l’information en 2014 ? est apparu en premier sur RiskInsight.

Certes, les attaques évoluent, exploitant de plus en plus des vulnérabilités non dévoilées (type 0-days), ou faisant appel à des méthodes de phishing avancées contre lesquels les antivirus paraissent bien impuissants.

Même s’ils sont aujourd’hui loin d’être suffisants, leur utilité est pourtant toujours réelle.

 De l’antivirus au client unique de sécurité, les éditeurs ont fait évoluer leur offre

L’outil désigné par « antivirus » couvre en fait, dans la majorité des cas, plusieurs fonctions : antivirus (et de manière plus générale, antimalware), mais aussi pare-feu personnel, Host IPS (HIPS), outil de contrôle des ports USB…

C’est ce que l’on appelle le « client unique de sécurité » sur le poste de travail.

Il constitue aujourd’hui un rempart évident contre les infections, en particulier celles qui sont involontaires (clé USB infectée) ou récurrentes (virus anciens qui réapparaissent ponctuellement).

L’expérience des nombreux audits menés par Solucom montre qu’il protège parfois aussi contre des attaques plus complexes. Il peut par exemple détecter l’ exploitation d’une vulnérabilité pour laquelle le système n’aurait pas reçu le correctif, de type Conficker.

Il suffit d’ailleurs de se connecter à une console antivirus d’entreprise pour s’en convaincre : les détections/suppressions de virus sont encore nombreuses et régulières. En particulier, on constate souvent un pic lors des fameux scans hebdomadaires, souvent décriés par les utilisateurs pour les ralentissements qu’ils provoquent sur les postes (et leur manque d’efficacité supposé).

Plusieurs initiatives de grands comptes visant à diminuer leur fréquence ont d’ailleurs vu le jour.Elles n’ont jamais abouti, tant ces scans paraissent aujourd’hui encore  nécessaires – ne serait-ce que dans un rôle de « voiture-balai » afin de nettoyer le résidu récurrent de logiciels malveillants en tout genre. En revanche, une approche réaliste pour réduire le temps de scan est possible : réaliser un scan différentiel. Seuls les fichiers modifiés par rapport à la semaine précédente sont scannés.

 Le futur des antivirus est… dans le Cloud !

 Pour autant, les limites des antivirus ne font que s’affirmer depuis des années :

•  Les malwares sont de plus en plus complexes, leurs variantes innombrables, et même les éditeurs les plus réactifs ne sont plus capables de suivre la cadence.

• Dans les meilleurs cas, les définitions virales sont mises à jour quotidiennement sur les postes de travail : c’est déjà trop au vu des vitesses de propagation.

Un problème d’historique apparaît également : comment cumuler toutes les définitions de virus anciens et nouveaux, sans que la taille des fichiers contenant ces définitions n’explose, ralentissant encore le poste de travail, tout en nécessitant de plus en plus de temps à déployer ?

Les éditeurs d’antivirus commencent à proposer une réponse à ces problématiques, à travers le Cloud. Plutôt que de scanner un fichier sur le poste de travail, il s’agit d’en faire un hash (empreinte unique pour chaque fichier), qui est envoyé sur un serveur de l’éditeur, dans le Cloud. Il est alors comparé à une base de données mondiale, et peut même faire l’objet d’une note de « réputation » selon sa probabilité d’être ou non malveillant. L’information est alors renvoyée à l’antivirus sur le PC, qui prend les actions nécessaires le cas échéant.

Cette méthode prometteuse a toutefois ses contraintes : la nécessité d’une connexion internet, de qualité et le manque de maîtrise de la réaction de l’antivirus en cas de faux positif.

 Des changements de plateforme structurants

 Un dernier élément vient s’ajouter à la question de l’évolution des antivirus : il s’agit de l’évolution des systèmes d’exploitation eux-mêmes.

Les OS modernes intègrent en effet un certain nombre de mécanismes de sécurité natifs, qui rendent les attaques plus difficiles : isolement inter-applicatif, applications et drivers signés, mécanismes de cryptographie…

 Les deux principales plateformes mobiles en sont un bon exemple : tandis que l’efficacité des rares antivirus reste à démontrer sur Android, ils sont tout simplement interdits par Apple sur iOS. Pourtant, à part quelques vulnérabilités médiatisées, les cas d’infection dans le cadre d’une utilisation normale sont anecdotiques.

Ceci reste cependant à nuancer : les attaquants évaluent au final les coûts/bénéfices de chaque type d’attaque. Lorsque le développement de virus sur smartphone sera plus lucratif que l’exploitation d’une faille de navigateur Web, il deviendra sans doute à la mode…

Le cas de Windows 8 est encore différent : s’il dispose d’un environnement « nouvelle génération » avec les applications du Windows Store, il propose une rétrocompatibilité avec les programmes plus anciens… y compris malveillants.

N’enterrez donc pas tout de suite votre antivirus, il pourrait encore vous servir pendant des années !

Cet article Un antivirus sur votre PC entreprise en 2013 ? Pour quoi faire ? est apparu en premier sur RiskInsight.

HTTPS ou le règne de “la confiance aveugle”

Lorsqu’un utilisateur se connecte à un site internet via le protocole chiffré HTTPS, c’est le protocole SSL (Secure Socket Layer) qui se charge du chiffrement. Pour ce faire, des mécanismes de cryptographie asymétrique sont employés.

Le navigateur web de l’utilisateur va tenter de vérifier l’identité du serveur auquel il se connecte. Pour cela, le serveur présente au navigateur un certificat X.509, contenant notamment sa clé publique et une signature. Le navigateur va alors vérifier la validité de la signature, puis utiliser la clé publique afin d’échanger une clé de session qui sera utilisée pour chiffrer l’ensemble des communications de manière symétrique.

Le navigateur vérifie ensuite la validité de la signature en s’assurant de l’existence d’une chaîne de confiance (chain of trust) entre le certificat et l’une des autorités de certification de confiance. Qui sont ces autorités de confiance ? C’est en tentant de répondre à cette question que l’on réalise la fragilité du système actuel.

Pour que le navigateur accepte la connexion, il va remonter la chaîne de confiance jusqu’à l’autorité de confiance racine et s’assurer que celle-ci est présente dans le magasin de certificats.

Le navigateur Firefox, par exemple, dispose de son propre magasin de certificats auxquels il fait confiance. D’autres, comme Internet Explorer ou Chrome, se basent sur le magasin de certificats du système d’exploitation.

Et par défaut, ces magasins regorgent d’autorités de certification, de tous pays ! Le navigateur Firefox en compte plus d’une centaine.

Il suffit donc qu’une seule de ces autorités de certification délivre, par erreur ou plus vraisemblablement suite à une attaque, un certificat valide pour “*.google.com” pour que des attaquants puissent mener une attaque de type Man-in-the-Middle. En se faisant passer pour un serveur légitime de Google, ils pourront intercepter et déchiffrer les échanges entre le navigateur et le serveur… Cette menace ne relève malheureusement pas du domaine de la science-fiction, comme le prouve l’exemple de Diginotar en 2010.

De plus, dans le cas d’échanges d’informations stratégiques, la menace étatique doit être prise en compte. Que se passerait-il si le gouvernement d’un pays demandait à l’une des autorités de certification de ce pays, faisant partie de la liste des autorités de confiance racine de Firefox, de signer un certificat valide pour mail.google.com ? Cette société serait-elle en position de refuser, ou de communiquer à ce sujet ? La réponse est, sans doute, non ; dans ce cas, le navigateur accepterait le vrai-faux certificat et n’afficherait aucune alerte à l’utilisateur.

Limiter la confiance dans les autorités de certification

Afin de se prémunir des deux scénarios envisagés, il est possible d’utiliser le protocole SSL d’une autre façon, en créant une association entre le nom de domaine d’un site (www.google.com) et le certificat ou l’autorité de certification attendus. Ainsi, seul le certificat attendu ou un certificat signé par l’une des autorités de certification attendues sera accepté et une alerte sera levée si un autre est présenté.

Il est alors nécessaire de disposer d’un référentiel de ces associations (site internet / certificat) valides, ou de le construire au fur et à mesure de la navigation sur les sites. Malheureusement, ce type de mécanisme n’est pas réellement pris en compte par les navigateurs. Il peut cependant se faire au moyen de modules additionnels, comme Certificate Patrol pour Firefox.

Google Chrome réalise déjà une validation de ce type, pour un nombre limité de sites. Le fichier qui contient la liste blanche des sites pour lesquels HSTS est activé par défaut contient également la liste des sites pour lesquels le pinning est activé :

{
   "pinsets": [
 […]
     {
       "name": "google",
       "static_spki_hashes": [
         "VeriSignClass3",
         "VeriSignClass3_G3",
         "Google1024",
         "Google2048",
         "GoogleBackup1024",
         "GoogleBackup2048",
         "EquifaxSecureCA",
         "GeoTrustGlobal"
       ],
       "bad_static_spki_hashes": [
         "Aetna",
         "Intel",
         "TCTrustCenter",
         "Vodafone"
       ]
     },

[…]

"entries": [
     // Dummy entry to test certificate pinning.
     { "name": "pinningtest.appspot.com", "include_subdomains": true, "pins": "test" },

     // (*.)google.com, if using SSL, must use an acceptable certificate.
     { "name": "google.com", "include_subdomains": true, "pins": "google" },

Extrait du fichier transport_security_state_static.json

Google Chrome va donc vérifier, lors de la connexion à un site du type “google.com”, que le certificat est valide et qu’il est signé par une des autorités de certification autorisées. Il semblerait de plus que cette information soit remontée aux serveurs de Google : c’est ainsi qu’a pu être découvert et rendu publique le cas du certificat intermédiaire distribué par Turktrust.

L’utilisation du pinning est la plupart du temps observée dans le cas d’applications mobiles, puisqu’il est alors facile pour le développeur d’inclure le certificat attendu dans le paquet de l’application. Pour les navigateurs internet, seul le recours aux modules additionnels est possible, à moins de modifier le fichier source en extrait ci-dessus et de recompiler, ce qui n’est sans doute pas la solution la plus simple.

L’OWASP a récemment publié une cheatsheet, ainsi qu’un article plus détaillé, sur la mise en œuvre technique du pinning, notamment dans le contexte du développement d’applications mobiles.

Bien que difficile à généraliser, l’utilisation du pinning semble une évolution logique pour répondre aux risques liés aux hiérarchies de confiance. Cette initiative est à conseiller pour les systèmes bien maîtrisés, comme les applications mobiles et les VPN.

Pour le déploiement dans les navigateurs internet, il faudra malheureusement attendre que les principaux acteurs intègrent cette fonctionnalité. On pourrait imaginer, dans un contexte professionnel, pouvoir indiquer au navigateur de n’accepter que les certificats issus de la PKI interne pour les sites d’entreprise.

Cet article Épinglez vos certificats ! est apparu en premier sur RiskInsight.

Pourquoi a-t-on besoin de HSTS ?

Malheureusement, l’utilisation de HTTPS n’est souvent pas exclusive, ouvrant la voie à trois types de menaces :

• Attaques réseau passives sur des flux non-chiffrés

Il arrive fréquemment que seule une partie des requêtes au serveur web soient chiffrées, par exemple l’authentification. Une fois authentifié, les requêtes suivantes sont en clair. Un attaquant capable d’intercepter les flux réseau (sur un Wifi ouvert, au Starbucks, par exemple), pourra alors analyser les requêtes non-chiffrées, qui contiennent les cookies de session de l’utilisateur. Il pourra ainsi usurper son identité.

• Attaques réseau actives pour détourner le trafic et l’intercepter

Il n’est pas rare de rencontrer des sites proposant une connexion sécurisée mais également une connexion HTTP traditionnelle. Il est alors possible, pour un attaquant capable d’intercepter les flux réseau, de modifier à la volée les données envoyées par le site et de remplacer les liens « https://www.site.com » par des liens vers la version en clair « http://www.site.com ». Des outils permettent d’automatiser cette tâche, comme sslstrip : à nouveau l’attaquant pourra intercepter les cookies et usurper l’identité de la victime. L’attaquant pourrait aussi bien tenter de faire accepter à l’utilisateur un certificat invalide, afin de pouvoir déchiffrer les échanges SSL à la volée.

• Erreurs de développement

Il est également possible que, volontairement ou non, certaines requêtes soient effectuées en clair, par exemple pour charger des images ou un contenu vidéo. Si les images sont hébergées sur le même serveur, les cookies seront envoyés avec la requête et là encore, l’attaquant pourra dérober les cookies et usurper l’identité de la victime.

La solution proposée par HSTS : forcer l’utilisation de HTTPS

HSTS se propose de parer à ce type d’attaques en permettant aux sites web d’indiquer au navigateur qu’il ne doit accepter d’ouvrir que des liens HTTPS vers ce site.

Pour cela, un en-tête HTTP spécifique doit être envoyé au navigateur, qui n’acceptera alors que des liens https:// pour le site en question, et ce pour un temps donné.

De plus, si une erreur de validation de certificat survenait, le navigateur refuserait d’ouvrir la page en question ; en cas d’utilisation de HSTS, l’utilisateur n’a plus la possibilité de passer outre un message d’erreur de validation du certificat : voilà une avancée judicieuse ! HSTS permet donc un premier niveau de protection contre les attaques de type Man-in-the-middle (homme du milieu).

Implémenter HSTS en ajoutant les bons en-têtes

La syntaxe de l’en-tête HTTP est la suivante :

Strict-Transport-Security: max-age=XXX; includeSubDomains

Où :

• Strict-Transport-Security : indique l’utilisation de HSTS
• max-age= : définit la période durant laquelle le navigateur doit forcer l’utilisation de HTTPS, en secondes
• includeSubdomains : permet d’indiquer que la politique s’applique également à l’ensemble des sous-domaines ; cette directive est optionnelle

Dans le cas d’un serveur web Apache, il convient d’insérer les commandes suivantes dans la configuration du site :

Header set Strict-Transport-Security "max-age=XXX"

Header append Strict-Transport-Security includeSubDomains

Il est également conseillé de paramétrer la directive « max-age » de manière dynamique, de façon à la faire coïncider avec la date d’expiration du certificat

HSTS recommande également l’utilisation d’une liste prédéfinie de domaine HSTS par les navigateurs (comme Gmail, Facebook, etc …). Ainsi, on couvre le risque de la première connexion non-chiffrée.

Il est important de noter que les en-têtes HSTS ne sont pris en compte par les navigateurs que si le certificat présenté par le site est signé par une autorité de certification racine présente dans le magasin de certificats, excluant de fait le cas des certificats auto-signés.

Tous les navigateurs sont-ils compatibles HSTS ?

Les mécanismes HSTS sont supportés depuis plusieurs années par Chrome, Firefox et Opéra, qui intègrent désormais une liste par défaut de sites HSTS.

En revanche, les navigateurs Internet Explorer de Microsoft et Safari d’Apple sont à la traîne et n’implémentent pas encore ces protections.

HSTS apporte donc une avancée significative dans la sécurisation des échanges sur Internet, et ce de manière transparente pour le grand public. En imposant la sécurité (en ne leur proposant pas d’accepter un certificat invalide), on se prémunit d’un maillon faible, l’utilisateur, qui peut permettre la réalisation d’attaques de type man-in-the-middle comme ce fut récemment le cas pour le site Github en Chine.

Cependant, d’autres menaces subsistent : on pense notamment aux fréquentes faiblesses dans le choix des protocoles et algorithmes de chiffrement. De plus, la problématique des autorités de certification, qui sont garantes des identités sur internet, reste ouverte, comme le rappellent les cas de Diginotar ou plus récemment de Turktrust.

La sécurisation des échanges sur internet reste une problématique qui requiert de l’expertise dans son implémentation, ainsi que des contrôles réguliers pour assurer la confidentialité et l’intégrité des données échangées vis-à-vis des nouvelles menaces.

Cet article HTTP Strict Transport Policy, une avancée dans la sécurisation des échanges sur Internet ? est apparu en premier sur RiskInsight.

Quels sont les risques induits par le BYOD ?

 Les risques techniques induits par le BYOD sont en grande partie des risques déjà existants pour la majorité des systèmes mobiles.
On peut en distinguer trois types :

• Les risques de perte ou de vol des données de l’entreprise stockées sur les terminaux eux-mêmes.
• Les risques de capture ou de modification de données sur les réseaux auxquels ils se connectent.
• Les risques pesant sur le SI lui-même : il pourrait subir différentes attaques amenant à une infection virale, une perte ou un vol de données, voire une coupure de service.

 La nouveauté réside ici dans le fait que les terminaux sont personnels, et font donc l’objet d’usages qui amplifient les risques : applications personnelles, configurations non maîtrisées par l’entreprise, utilisation en dehors du travail…

 Il apparaît donc nécessaire de trouver des solutions acceptables pour gérer et sécuriser ces usages.

Dans le cas du BYOD, l’ergonomie est aussi un critère de réussite majeur qui ne peut pas être négligé dans le choix de la solution à mettre en œuvre.

 L’approche sécuritaire : ne rien stocker !

Les solutions de déport d’écran permettent à tout type de terminal (ordinateur, tablette, smartphone…) de se connecter à un environnement maîtrisé par l’entreprise. Aucune donnée n’est stockée sur le terminal et les utilisateurs disposent d’un environnement adapté à leurs tâches professionnelles. Ces solutions nécessitent la mise en place d’une infrastructure assez lourde et requièrent une connexion internet rapide pour fonctionner. Leur ergonomie est très dépendante du terminal à partir duquel on se connecte. Les applications de type web sont également une alternative évitant le stockage de données sur le terminal. Accessibles à l’aide d’un navigateur à travers n’importe quelle connexion internet, elles ont l’avantage de ne pas nécessiter d’installation.

 Cependant, elles offrent une expérience utilisateur limitée à certains usages très spécifiques et ne sont pas adaptées aux terminaux de taille réduite comme les smartphones.

 L’approche pragmatique : sécuriser les usages en contrôlant l’ensemble du terminal…

Il s’agit de fournir des solutions permettant de sécuriser les terminaux sans interdire d’y stocker des données professionnelles. Elle se décline en deux types de méthodes techniques.

La première méthode est de maîtriser l’intégralité du terminal, à l’aide d’outils de gestion de flotte (aussi appelés outils de MDM – Mobile Device Management). Ces outils s’apparentent aux solutions de gestion de parc, largement présentes en entreprise pour les postes de travail. Même si le niveau de sécurité de ces solutions dépend fortement du type de terminal, elles sont aujourd’hui industrialisées.

 Elles ne marquent cependant pas de réelle séparation entre les usages (données) personnels et professionnels. Les restrictions de sécurité étant appliquées indifféremment sur l’ensemble du terminal, elles sont perçues par les utilisateurs comme une contrainte imposée dans leur sphère personnelle. À ce titre, elles répondent peu aux problématiques du BYOD.

 …ou en se concentrant sur la partie qui concerne l’entreprise

L’autre méthode de sécurisation des terminaux est plus innovante. Il s’agit d’isoler les données professionnelles des autres données sur le terminal, au sein d’un « silo », qui prend la forme d’une application ou d’un espace dédié. L’entreprise peut ainsi imposer des critères de sécurité adaptés sur ces données – et uniquement sur elles : mot de passe obligatoire, chiffrement des données, etc.

L’utilisateur n’est soumis à ces contraintes que dans le cadre de l’utilisation professionnelle, l’usage du terminal étant tout à fait libre par ailleurs. Ce type de solution a l’avantage d’être relativement indépendant du type de terminal sur lequel on l’installe : le niveau de sécurité est ainsi homogène même sur une flotte hétérogène.

 D’autres bonnes pratiques facilitent le BYOD

 Quelle que soit l’orientation retenue, un certain nombre de bonnes pratiques pour la sécurité des infrastructures restent de mise : le contrôle d’accès et de conformité au réseau (NAC), la gestion des traces (par exemple pour les accès internet réalisés avec les terminaux), ou encore l’utilisation d’un wifi dédié lorsque les collaborateurs sont dans les locaux.

Ces infrastructures, si elles ne permettent pas directement la mise en place du BYOD, sont en tout cas des éléments facilitateurs à son adoption et son extension.

Cet article BYOD : la sécurité n’est plus un frein ! est apparu en premier sur RiskInsight.

Qu’en est-il des aspects sécurité de la dernière mouture de l’OS ?

Les deux versions précédentes (Vista et Windows 7) avaient fait l’objet d’une communication sécurité appuyée.

Windows 8 ne déroge pas à la règle, et de nombreux détails sont d’ores et déjà connus : Microsoft annonce plusieurs évolutions substantielles des outils de protection, mais ce n’est pas là que se trouve la vraie révolution qui se prépare.

Des évolutions et de nouvelles fonctions de sécurité

Tout d’abord, les mécanismes existants sont presque tous améliorés (chiffrement BitLocker, contrôle des logiciels AppLocker, ainsi que l’ASLR qui charge le système dans des zones mémoire aléatoires pour éviter les attaques). L’antimalware Windows Defender sera capable de détecter de nouveaux types de logiciels malveillants, et le navigateur Internet Explorer 10 gagnera en robustesse.

Ces annonces ne changeront pas à elles seules le paysage sécuritaire de Windows. Une fonction faisant son apparition méritera tout de même une attention particulière : Windows-to-Go.

Elle permettra d’utiliser une version portative du poste de travail Windows 8 de l’entreprise, sur clé USB. Les opportunités d’usage sont multiples : fourniture d’un « poste virtuel » entreprise aux prestataires à moindre coût, tests applicatifs, clés prêtes à l’usage en cas de déclenchement d’un plan de continuité informatique… Il s’agit même d’une réponse possible aux problématiques de BYOD.

Malgré ces évolutions, les cellules de veille et de gestion de la sécurité, ainsi que les éditeurs de solutions ont encore de beaux jours devant eux : les failles de sécurité ne disparaîtront pas par magie à court terme !

Un renouveau par les fondamentaux

La base de l’OS a cependant pris un tournant significatif vers une sécurité plus moderne.

Si l’on peut se féliciter des améliorations apportées aux fonctions de sécurité, il faut reconnaître que d’autres changements touchant au fonctionnement-même de Windows, vont être les porteurs d’une sécurité « by design », moins monolithique, et intégrée au cœur du système.

Windows 8 adopte en effet une approche qui rappelle celles des principales plates-formes mobiles du moment :

• L’utilisation d’un « magasin » d’applications vérifiées, qui va tendre à assainir l’écosystème Windows, en tentant de trouver un équilibre entre contrôle des applications et liberté d’installation.
• Une  isolation inter-applicative permettant d’éviter qu’un programme malveillant en contamine un autre.
• Le Secure Boot, mécanisme n’autorisant Windows à se lancer que si la séquence de démarrage est vérifiée comme étant  intègre, offre une piste de réponse aux rootkits (ces virus furtifs qui s’installent dans les couches basses du système, et qui ont causé des dégâts dans plusieurs grandes sociétés ces dernières années). Windows 8 abandonne par ailleurs l’utilisation du BIOS historique, pour son successeur, l’UEFI.

C’est ici que se joue le futur de la sécurité de l’OS. Microsoft tente ainsi de se mettre à la page, y compris dans le monde de la mobilité après le démarrage poussif de Windows Phone 7.

La disponibilité de Windows 8 sur les PC et tablettes (peut-être les smartphones ?) sera donc un argument de poids, en particulier pour les entreprises souhaitant éviter une trop grande fragmentation de leur parc, et donc de leur sécurité.

Reste un obstacle de taille : la rétrocompatibilité. Même si Microsoft fait des efforts importants dans ce domaine, il faudra a minima des années pour que le parc, matériel mais surtout applicatif (en particulier les applications métier) s’adapte à ce modèle de sécurité, qui est donc plutôt une cible à long terme.

En attendant la sortie du système à l’automne, il est déjà possible de le tester facilement, par exemple sur une machine virtuelle, et se faire son avis sur les avancées et les opportunités à venir !

Cet article Windows 8 : des évolutions sécurité à court terme, une révolution à long terme ? est apparu en premier sur RiskInsight.

L’ouverture sous toutes ses formes

Tout d’abord, l’ouverture vers de nouveaux métiers et de nouveaux partenaires est essentiel pour réussir dans un monde aujourd’hui friand d’alliances parfois improbables entre secteurs (qui aurait imaginé, par exemple, que les banques vendraient un jour des  forfaits de téléphonie ?).

L’ouverture, c’est également un élan vers de nouveaux horizons de développement, par exemple à l’international ou vers les nouveaux marchés émergents, relais de croissance essentiel.

L’ouverture, c’est aussi promouvoir de nouveaux usages et de nouvelles manières de faire. L’arrivée en force des smartphones et des tablettes l’illustre bien. Le cloud computing, vecteur de réduction des coûts mais aussi de la création de SI plus souples, a commencé à démontrer ses bienfaits.

L’ouverture est d’ailleurs de plus en plus exigée par les utilisateurs eux-mêmes. Les réseaux sociaux, publics ou d’entreprise, la volonté d’utilisation d’équipements personnels des collaborateurs (le fameux BYOD « Bring Your Own Device ») seront certainement des sujets d’actualité en 2012.

Maîtriser l’ouverture du SI

Bien évidemment, l’actualité récente et les différents incidents de sécurité majeurs rencontrés à l’étranger comme en France, nous rappelle que l’ouverture doit être raisonnée et réfléchie. Il ne s’agit pas d’ouvrir sans contrôle un SI au cœur de la performance de l’entreprise et de laisser en libre accès des informations confidentielles.

Dans ce contexte, il est crucial de bien maîtriser les fondamentaux de la protection de l’information. Savoir où sont les informations sensibles, qui les possède, comment elles sont utilisées sont des éléments clés ! Cette connaissance permet de protéger de manière adéquate les informations les plus sensibles tout en autorisant de nouveaux usages sur le reste du système d’information, moins sensible.

Transformer son SI pour tendre vers l’ouverture

Pour autoriser l’ouverture, des mouvements de fonds dans le SI doivent être envisagés. Les priorités de 2012 seront certainement la création de « sanctuaires » pour protéger les informations les plus sensibles de manière avancée, le renforcement de la sécurité des applications (à la fois lors de l’expression des besoins, mais aussi et surtout du développement et des recettes) et finalement la création de systèmes de gestion d’identité et d’accès qui seront capables d’interagir avec les services du cloud pour garantir la continuité de la protection. La surveillance du SI et l’adaptation des processus de gestion de crises et d’incidents aux nouvelles menaces seront aussi des éléments clés.

L’ouverture est essentielle pour accompagner et développer nos organisations et les rendre compétitives tout en préservant leurs ressources ! 2012 sera sans conteste l’année de l’ouverture, comme un levier de réduction des coûts et d’émergence de nouveaux services. Un incontournable pour assurer le développement des grandes organisations !

Cet article OUVERTURE – La clé du développement des grandes organisations est apparu en premier sur RiskInsight.