Chacun souligne l’absence de mesures de précautions dans la gestion des communications sur les réseaux radioélectriques (très vulnérables), sur la Toile et en messagerie. Les navigateurs des nouveaux terminaux portables ont des faiblesses. Mais devant tout ce désordre, il existe quand même des solutions et des Codes de Bonne Conduite. Encore faut-il veiller à mettre en œuvre les bonnes pratiques.
Les entreprises négligent la sécurité de leur WLAN
Une enquête, menée par Motorola auprès de 400 responsables informatique d’entreprises de plus de 1 000 employés en France, au Royaume Uni, aux Pays Bas, en Allemagne, en Italie, en Espagne et dans les pays scandinaves, montre que moins d’une entreprise européenne sur deux chiffre ses données transmises sur réseau local d’entreprise sans fil. Cette enquête révèle que plus de la moitié des grandes entreprises utilisent les mêmes mesures de sécurité pour leurs réseaux avec et sans fil. Bien que les réseaux LAN avec et sans fil soient soumis à divers types de menaces et faiblesses, seules 47 % des entreprises utilisent sur leurs réseaux sans fil le chiffrement WEP (Wired Equivalent Privacy, protocole de chiffrement des données transmises par radio sur les réseaux 802.11 qui n’apporte pas le degré de sécurité souhaité) ou WPA2 (Wi-Fi Protected Access, mécanisme qui respecte la norme IEEE802.11i, mais ne peut pas être implémenté sur les matériels Wi-Fi anciens). Moins d’un tiers d’entre elles utilisent un système de prévention des intrusions.
Les équipes informatiques font aujourd’hui face à des problématiques de sécurité très variées pour les réseaux avec et sans fil. Près de 80 % des organisations promeuvent de bonnes pratiques en matière de sécurité par le biais de règles de conduites informatiques pour toute l’organisation. Cependant, l’enquête montre que 51 % des entreprises ne disposent d’aucun moyen pour mettre ces règles en pratique sur l’ensemble de leurs réseaux. Les données de l’entreprise sont souvent transmises sur des réseaux sans fil insécurisés, comme les bornes Wi-Fi dans les cafés, au lieu d’utiliser les VPN d’entreprise.
Les entreprises perdent souvent leur temps à mener des tâches manuellement alors qu’elles pourraient être automatisées. Les normes de sécurité des données des cartes de paiement nécessitent de fortes mesures de sécurité sans fil pour tous les points de conformité. Les entreprises doivent investir dans une infrastructure WLAN solide avec une assistance 24/24 pour une sécurité sans faille et une conformité réglementaire rentable. [www.motorola.com]
Succès de la cyber-fraude
La crise économique alimente la fraude sur la Toile, parce que certains Internautes sont attirés par l’argent facile et sans risque et parce que les entreprises ou d’autres Internautes économisent sur les achats des protections les plus élémentaires. Selon l’"Internet Crime Complaint Center", les plaintes pour malversations en ligne ont augmenté de 33 % en 2008 pour dépasser les 275 000 déclarations. Les pertes des victimes s’élèveraient à 264 millions de dollars, soit une moyenne de 960 dollars de perte par plainte enregistrée. Les données de l’étude sont fournies par le site "IC3.gov", géré par le FBI, le "Bureau of Justice Assistance" et le "National White Collar Crime Center". On estime qu’environ 15 % des délits sur Internet sont signalés sur IC3. Parmi les fraudes les plus courantes, on relève la non-livraison de biens (33 %), les enchères en ligne (25%), les abus de confiance et les fraudes à la carte de crédit.
Faiblesses et insécurité des réseaux
A l’époque bénie de l’Information, l’infrastructure de nos réseaux de communication n’offre pas la sécurité qui serait nécessaire pourtant à notre économie et à nos entreprises. Nos réseaux n’ont pas le niveau de fiabilité convenable pour les communications liées à la téléprésence, au télétravail ou à la téléconférence. Les extensions d’applications mises en place sur Internet et les augmentations successives des débits d’accès rendent le système de plus en plus complexe à contrôler. Une réduction de la qualité de service est observée au fur et à mesure que le nombre de fonctionnalités augmente sur la Toile. N’est-il pas temps d’arrêter cette inflation de records techniques et de se concentrer sur la qualité de service et la sécurité de fonctionnement ?
L’insécurité des messageries
Si la fraude utilise souvent la messagerie, la plupart des actions délictueuses emploient les formes de communications qui sont les moins surveillées par les fournisseurs d’accès à Internet (FAI), comme le Web.2, le bavardage sur Facebook ou via Skype (lequel chiffre la conversation de bout en bout), P2P, les réseaux sociaux et la messagerie en temps réel (Instant Messaging, ou IM). Un acte réglementaire ou législatif devrait mettre fin à cette situation en astreignant les FAI à contrôler ces accès. [www.facetime.com]
Problèmes des navigateurs des terminaux mobiles
Les navigateurs des nouveaux terminaux mobiles posent des problèmes de sécurité qui sont de même nature que ceux posés par les navigateurs des ordinateurs et des difficultés inattendues lorsqu’ils sont connectés à l’Internet, car la plupart d’entre eux ne disposent pas de protection et d’antivirus. D’autre part, les informations sur ce thème sont rares. Selon l’information qui est téléchargée, le navigateur peut interpréter de façon erronée les informations reçues, qu’elles soient envoyées normalement, accidentellement ou de façon frauduleuse. Dans certains cas, le terminal se bloque, dans d’autres, des données de l’entreprise sont compromises. Les défauts proviennent assez souvent des "widgets" de la Toile, des données ou de logiciels de téléchargement qui ne sont ni contrôlés ou même contrôlables. Les entreprises ne doivent faire confiance qu’au système d’exploitation et à l’architecture proposée par le constructeur du terminal mobile.
Sécurité des documents PDF
Le document PDF, aujourd’hui soutenu par la norme ISO32000, a la particularité d’être accessible par l’ensemble des ordinateurs du marché. Son succès est également lié à son format qui respecte la "continuité d’usage" dans la dématérialisation des documents papier.
Les sociétés Keynectis et Adobe ont conclu un partenariat pour proposer la solution "K.Sign® for PDF" permettant d’ajouter des signatures électroniques aux documents PDF en leur garantissant la même valeur et la même ergonomie qu’un document papier signé. La solution "K.Sign® for PDF" de Keynectis est une solution "poste client" qui permet d’équiper une population d’utilisateurs désirant utiliser les mécanismes de signature électronique au sein de leurs processus métiers. Le contrôle et la visualisation de la signature sont assurés à l’aide d’Adobe Reader 6+ sur toute la durée de vie du document, dans toutes les langues sans investissement pour le destinataire. La signature est générée aux moyens de ressources cryptographiques certifiées, en respect de la certification ETSI TS 101- 456. K.Sign® for PDF apporte une identification électronique du signataire au travers d’un certificat X.509, reconnu universellement et un outil de signature électronique, matérialisé par une clé USB cryptographique, permettant la signature de certification (Adobe Acrobat) ou la signature d’approbation (Adobe Reader extension). [www.keynectis.com/]
Guide d’information sur la sécurité
Le Consortium désigné par le sigle ISCau carré (ISC2) est en réalité le "The International Information Systems Security Certification Consortium". Cette entité américaine est active dans les domaines de la sécurité et de sa normalisation. Près de 60 000 experts lui sont attachés dans 130 pays et participent à la rédaction des actes d’accréditation associés à la sécurité (Certified Information Systems Security Professional, CISSP), etc., en liaison avec les normes ANSI/ISO/IEC Standard 17024. (ISC)2 vient de rédiger un manuel intitulé “Resource Guide for Today’s Information Security Professional, Global Edition” qui est disponible sur la Toile.
[www.isc2.org] [https://resourceguide.isc2.org]
Chiffrement des données informatiques personnelles
La société américaine BeCrypt, spécialisée en sécurisation des données sur disque dur, a reçu l’agrément de la FIPS (Federal Information Processing Standard) pour son procédé de protection des données sur disque, référencé "Disk Protect 140-2". DISK Protect comprend un support le chiffrement de média amovible et un système sécurisé d’effaçage qui simplifie les opérations de gestion. La norme FIPS 140-2, qui a reçu l’accord du gouvernement américain en 2001, est utilisée par toutes les entreprises qui ont des contacts avec les autorités fédérales. La certification de cette norme a été validée par le NIST pour les Etats-Unis te par le CSE pour le Canada, conjointement. [www.becrypt.com]
Contre la perte ou le blocage de données médicales !
A la suite d’incidents survenus au sein des services de santé britanniques (NHS), la société Lumenson est parvenue à répondre à la demande des agents hospitaliers afin de sécuriser les données des patients sans pour cela les rendre inaccessibles par perte du mot de passe ou blocage des accès USB, effacer définitivement ces données ou permettre leur lisibilité à tout un chacun. La meilleure méthode consiste à établir des règles de sécurité applicables par tous et de ne pas laisser chaque intervenant inventer ses propres pratiques. L’architecture informatique des services de santé britanniques est relativement complexe. Dans certains départements à caractère scientifique, des microscopes sont connectés aux ordinateurs par des prises USB et il n’est pas question d’obliger l’utilisateur à utiliser immédiatement un chiffrement sur ces accès. Le centre hospitalier concerné emploie 25 000 personnes et dispose de 11 000 équipements. Les règles d’emploi doivent être à la fois strictes et claires, faute de quoi, la sécurité ne sera pas présente ou bien les terminaux informatiques seront bloqués.
Crestel - Evénement partenaire, Le 13 Octobre 2010, Espace Hamelin, 17 rue de l’Amiral Hamelin, Paris., Les Rencontres de l’Usine (...) ... [suite]
Edition 2010 de l’Ecole Systèmes de Systèmes 2010, Les 12 et 13 Octobre 2010, à l’ENSTA, 32 boulevard Victor, Paris, Partage mutuel des expériences ... [suite]
