Views
1 year ago

Cybersecurity 2020

  • Text
  • Informatique
  • Contre
  • Salle
  • Suisse
  • Ainsi
  • Swiss
  • Attaques
  • Solutions
  • Cyber
  • Entreprises

CHIFFREMENT Evitez les

CHIFFREMENT Evitez les mauvaises économies: le chiffrement des données est impératif Perdus, oubliés, volés: les ordinateurs portables professionnels disparaissent plus vite et plus souvent qu’on ne le souhaiterait. Chiffrer l’appareil est la seule façon d’éviter que les informations sensibles qui y sont stockées ne tombent entre de mauvaises mains. Une mesure plus importante qu’il n’y paraît. Image: art-sonik/iStock.com L’auteur Michael Klatte, Journaliste IT DACH, Eset Allemagne Rien que dans les aéroports européens, 3300 ordinateurs portables sont égarés chaque jour. Le laptop y est ainsi l’un des dix objets les plus perdus, juste derrière les lunettes de soleil et les porte-clés. D’abord simplement gênante, la perte physique de l’appareil apparaît vite comme un événement grave, tant pour les indépendants que pour les entreprises. Outre les coûts liés à un nouvel achat, des conséquences potentiellement catastrophiques incluent la perte d’un savoir-faire précieux, d’informations opérationnelles importantes et de l’accès aux réseaux et aux comptes, ou encore la perte de données des clients. La connexion à Windows est peu sécurisée Afin de protéger un capital numérique de connaissances contre les regards indiscrets, impossible de se passer de solutions de chiffrement professionnelles. Or, certains utilisateurs de Windows préfèrent se fier à une sécurité trompeuse: la procédure d’authentification par nom d’utilisateur et mot de passe. Malheureusement, il ne s’agit pas tant de protéger les données que de gérer les différents profils d’utilisateurs. Avec les outils appropriés, des utilisateurs dotés de connaissances avancées accéderont facilement au système ou seront capables de copier l’intégralité du disque dur. Le chiffrement est sous-estimé Dans ce contexte, il est d’autant plus surprenant que le chiffrement ne soit pas encore aussi largement adopté que les logiciels antivirus, par exemple. Les raisons invoquées sont presque toujours les mêmes quelle que soit la taille de l’entreprise: tout cela est trop compliqué, trop cher et difficile à administrer. Et les données seront de toute façon perdues si l’on oublie son mot de passe ou si l’on égare la clé de décryptage. Comme bien souvent, les mythes ont la vie dure même si les faits les contredisent depuis longtemps. Des logiciels de chiffrement sont disponibles de longue date, pour tous les budgets, et peuvent même être utilisés intuitivement par les utilisateurs sans connaissances préalables. Il existe également sur le marché diverses solutions spécialisées pour protéger les réseaux et les données des entreprises. Et le développement de ces solutions progresse à grands pas. En outre, les fabricants de solutions de sécurité proposent également des outils de chiffrement et les intègrent dans une stratégie de sécurité globale, où la protection contre les malwares, l’authentification à deux facteurs et le chiffrement vont de pair – les experts parlent alors des «trois piliers de la sécurité informatique». Pas de cyberassurance sans chiffrement Pour s’épargner des investissements coûteux dans les technologies de sécurité, des petits malins penseront peut-être avoir trouvé une bonne astuce en se contentant de souscrire à la place à une cyberassurance. Quelle meilleure protection contre les dommages causés par les pirates informatiques et les criminels qu’une police d’assurance ... Mais ici, les fournisseurs exigent que le destinataire du service adopte certains standards de sécurité. Et c’est précisément là que le chiffrement – souvent associé à un contrôle d’accès par authentification à deux facteurs – joue un rôle crucial. Sans cette mesure de protection, le client risque de se reposer sur ses lauriers si un contrat est conclu. Au final, une cyber-police doit être considérée comme la cerise sur le gâteau dans la mise en place d’un système de sécurité complet. Elle couvre les risques résiduels et permet au moins de limiter l’impact financier des pannes informatiques. 18

Les applications d’entreprise sont truffées de code open source vulnérable Aujourd’hui largement présents dans le code des applications d’entreprise, les composants open source cachent fréquemment des vulnérabilités, prévient un rapport publié par Synopsys. En cause, des bouts de code devenu obsolète et des correctifs non appliqués. Yannick Chavanne DÉVELOPPEMENT Les composants open source sont aujourd’hui omniprésents dans le développement logiciel. Les développeurs utilisent en effet régulièrement le code de référentiels open source pour l’intégrer dans les applicatifs métiers. Dans ce contexte, il est crucial de comprendre en quoi cette réalité impacte la gestion de la sécurité. Le Cybersecurity Research Center de l’éditeur Synopsys publie dans cette optique le rapport «Open Source Security and Risk Analysis», dont l’édition de 2019 examine les résultats de plus de 1200 audits d’applications d’entreprise et de bibliothèques. Image: Lisa Fotios / Pexels.com Beaucoup de bouts de code obsolète Alors que les composants open source constituaient pas moins de 96% des bases de codes auditées en 2018, près de deux tiers contenaient au moins une vulnérabilité. L’utilisation de bouts de code obsolète et non maintenu est fréquente. 85% du code audité était en effet désuet depuis plus de quatre ans ou n’avait connu aucun développement au cours des deux dernières années. «Si un composant est inactif et que personne ne l’entretient, cela signifie que personne ne s’occupe de ses vulnérabilités potentielles», souligne Synopsys. Mais même quand des patchs sont livrés, beaucoup d’entreprises n’appliquent pas la mise à jour nécessaire. Le taux de vulnérabilités découvertes dans les composants open source reste faible par rapport à celui des logiciels propriétaires. De moins en moins de composants open source vulnérables Le rapport montre que l’âge moyen des vulnérabilités relevées en 2018 était de 6,6 ans, soit un peu plus qu’en 2017. En dépit de ce constat, la division cybersécurité de Synopsys estime que les entreprises s’améliorent dans la gestion des vulnérabilités de leurs composants open source. Car en 2017, 78% du code audité était vulnérable, contre 60% en 2018. Synopsys souligne que le taux de vulnérabilités découvertes dans les composants open source reste faible par rapport à celui des logiciels propriétaires. Et seule une poignée de vulnérabilités open source – comme celles affectant Apache Struts ou OpenSSL – sont susceptibles d’être exploitées à large échelle. Mettre en place une politique pour l’application des correctifs L’éditeur recommande aux entreprises de mettre en place une politique en matière d’application des correctifs. Il convient de patcher les applications, en définissant les priorités en fonction de l’importance commerciale du système, de la criticité de l’actif et du risque d’exploitation de la faille. Il est aussi important de s’assurer que les correctifs open source proviennent soit du projet racine, soit du canal de distribution où ils ont été obtenus. Contrairement aux logiciels commerciaux, les composants open source ne font souvent pas l’objet de mises à jour de sécurité automatisées. Il est dès lors recommandé de se tenir au courant de nouvelles mises à jour ou meilleures pratiques auprès des communautés en charge des projets open source. 19