Très récemment, les services de santé français et le secteur britannique de la finance ont été victimes de fraudes ou de vols d’informations numériques.
Faudra t-il créer un service Interpol à ce sujet ? Des outils peuvent être mis en place pour réduire ces actions. EMC recommande aux entreprises d’étudier attentivement le choix d’une politique par rapport aux risques. Les accès aux réseaux constituent des points vulnérables et les actions conjointes des exploitants et des utilisateurs paraissent aujourd’hui nécessaires afin d’assurer leur sécurité. L’informatique professionnelle propose des outils adaptés à la sécurisation des messages dont le contenu est le plus sensible.
L’Etat doit renforcer la sécurité des échanges de données
Les six Ordres médicaux français déplorent les incertitudes et les lenteurs institutionnelles au sujet de la politique de confidentialité des données de santé. Le 29 Octobre dernier, un cambriolage perpétré dans un cabinet médical picard a entraîné la disparition d’au moins 10 000 dossiers médicaux nominatifs non protégés. Un espace de confiance rigoureux devrait être ménagé dans le domaine des données du patrimoine sanitaire de citoyens. Cette condition constitue un préalable à l’appropriation, par les professionnels de santé et par les patients, d’un partage d’information au service de la collectivité. La CNIL et les organisations responsables se doivent d’agir sur ce plan dans les délais les plus brefs.
[www.lesiss.org/publications/20081030conf]
Le Royaume-Uni enregistre une fâcheuse remontée des vols d’informations numériques et le ce que l’on appelle l’activité du Cybercrime dans le domaine financier s’est encore augmentée de 20 % en 2008, alors que sa croissance n’était que de 9 % en 2007. La société Garlick a comptabilisé 250 000 incidents frauduleux dans le courrier électronique en 2007. La fraude financière en ligne se professionnalise et ses experts témoignent d’une grande habileté dans ce domaine, n’hésitant pas à vendre à bon prix des informations personnelles. Cependant, les organismes spécialisés fondent de grands espoirs sur l’emploi d’outils nouveaux, mis au point avec le concours de l’entité PCEU (Police Central E-crime Unit), qui permettent d’enregistrer les paramètres des actions délictueuses et de remonter ainsi jusqu’aux machines informatiques utilisées sur Internet. L’usurpation d’identité semble pouvoir être ainsi rendue décelable. Il a été relevé une réduction des usurpations d’identité de 8 % dans le domaine bancaire depuis la mise en service de ce nouvel outil.
Faut-il créer un "Internetpol"
Le dernier bilan de F-Secure sur la sécurité informatique souligne la difficulté de poursuivre en justice des criminels en informatique comme l’illustre plusieurs affaires récentes. Les autorités policières de la plupart des pays ne disposent souvent que de ressources limitées pour les enquêtes. La création d’une version en ligne d’Interpol - "Internetpol" - spécifiquement chargé d’enquêter et de cibler le sommet de la chaîne criminelle paraît indispensable. Parmi les autres sujets du bilan trimestriel figurent l’utilisation de la crise bancaire internationale par des "hameçonneurs" afin d’attaquer des consommateurs, l’utilisation de l’élection présidentielle américaine dans une campagne de spams visant à propager un programme malveillant, et le retour de l’utilisation de la pièce jointe malicieuse pour infecter les ordinateurs. [www.f-secure.com/2008]
La sécurité, vue par Eric Baize, de chez EMC
Selon Eric Baize, directeur sécurité "senior" chez EMC, compte tenu de la multiplication des points d’accès aux systèmes d’information, les entreprises doivent recentrer leurs politiques de sécurité sur les utilisateurs, et non plus uniquement sur leurs infrastructures. Le monde de la sécurité évolue vers le risque. Ce qui se passe aujourd’hui sur les places financières est une démonstration du résultat que peuvent avoir des stratégies dans lesquelles les risques ne sont pas pris en compte. Lorsque l’on voit des compagnies valant des centaines de milliards de dollars qui investissent peut être 1% de leurs revenus sur des activités à très hauts risques et qui au final vont droit à la faillite, on voit bien qu’elles ont pris des risques inconsidérés. Ce qui se passe sur les places financières offre un exemple de l’importance de la gestion du risque.
L’évolution de l’industrie de la sécurité montre que cette dernière s’est concentrée sur le contrôle de l’accès de l’utilisateur aux informations depuis un quart de siècle. C’est toujours l’objectif final. On a un utilisateur, une information et une infrastructure pour gérer cette information, entre l’utilisateur et l’information. Cette infrastructure devient virtuelle. On ne parle plus d’applications, mais de services à la demande ou de "cloud computing". Autrefois, l’infrastructure était utilisée pour appliquer la sécurité sur l’information. Or, cette infrastructure est en train de disparaître. Maintenant, tout se porte donc d’un côté sur l’utilisateur et de l’autre sur l’information. Le choix d’une politique par rapport aux risques qui vous sont propres sera le point déterminant à partir duquel vous commencerez à classifier votre information et à découvrir les points sensibles de votre environnement.
Les contraintes risquent d’évoluer, mais l’objectif final reste le même. Toutes les réglementations qui existent aujourd’hui se focalisent sur le contrôle de l’accès des utilisateurs à l’information et le fait de pouvoir le prouver. La notion de preuve est très importante. On peut s’attendre à un durcissement de ces demandes, mais toujours dans la même direction.
[www.usinenouvelle.com]
Sécurité des accès
Le Dossier Technologique N°38, dédié à la sécurité des échanges, rappelle qu’un réseau qui dispose d’une forte redondance présente une forte disponibilité d’utilisation, mais un faible taux de rentabilité économique. Les belles théories d’hier se sont effacées avec le temps, tout comme s’est évanouie la notion de service public. Il existe donc aujourd’hui des réseaux de sécurité avec des autonomies confortables (GSM Rail : 8h minimum ; Acropole : 12 heures ; Signalisation SNCF : 12 heures, Plan Antarès : 24 heures). Par contre, des stations de base GSM n’offrent que 15 à 30 min, et des NRA ou DSLAM 4 heures seulement. En revanche, les Centres d’appel et les plateformes de service VoIP disposent de chaînes d’alimentation dupliquées, pour une disponibilité maximale. Les critères de qualité se sont alignés sur les centres de profit. Et pour très bientôt, des pannes à répétition en prévision !
Et aux Etats-Unis ?
Il n’existe pas à proprement parler, de règles définies par la FCC pour limiter les temps d’indisponibilité des équipements de réseau en cas de panne de secteur. En général, l’industrie fournit des équipements qui sont capables de fournir un service pendant 8 heures sans faiblir, même en cas de panne de courant. Aujourd’hui, ce sont les clients qui assurent eux-mêmes leur secours, grâce à des équipements divers et des abonnements supplémentaires vers d’autres compagnies exploitantes de réseau. Verizon fournit une batterie à ses abonnés du réseau FTTH en fibre optique, de sorte que la maintenance de cette batterie doit être assurée par les clients eux-mêmes. En cas de panne du réseau, les systèmes FTTH de Verizon peuvent tenir 7 heures de façon continue et une heure supplémentaire en cas d’urgence pour des appels manuels sortants. Ainsi, ce sont au total 7 heures d’appels vocaux et d’usages vers les services de secours qui sont garantis, sous réserve que l’ONT (l’équipement optique intermédiaire) dispose d’une batterie ou d’une alimentation secteur. Les exploitants disposent techniquement d’une possibilité de sélection de la zone dont il convient de prolonger la durée d’exploitation et les services de données et de vidéo peuvent bénéficier de quelques secondes ou de plusieurs minutes de grâce avant la coupure. La réglementation est muette sur ces aspects pratiques. L’exploitant doit prévoir des options de prolongation de services, mais les détails sont laissés à sa discrétion. Quant à l’utilisateur personne n’a sollicité son avis, ni par courrier postal, ni par Internet, sur ce qu’il désire sauvegarder en téléphonie, en accès Internet ou en vidéo, lorsqu’il se produit une panne d’énergie au central.
La sécurité multi canal chez Barclays
La Banque Barclays se prépare à l’ouverture d’un système de messagerie bancaire à haute sécurité en 2010 pour quatre millions de ses clients. Cette messagerie sécurisée et personnalisée est en cours de mise en place par la société KANA. Cette société utilise à cet effet un système sécurisé de communication multi canal qui devrait recueillir le maximum de satisfaction de la part de ses utilisateurs et augmenter également les ventes. Les portails de la Toile seront sécurisés, ce qui évitera aux abonnés d’utiliser de complexes systèmes de cryptographie. Selon KANA, les utilisateurs disposeront de la visibilité de l’établissement de la communication sécurisée et ils pourront, si nécessaire, commuter sur un autre canal de transmission au cours de la connexion s’ils le souhaitent. KANA est devenu l’expert mondial des connexions sécurisées en mode multi canal. Il dessert six cents compagnies de taille mondiale. [www.kana.com]
La sécurité s’améliore sur la Toile
Près de 68 % des personnes interrogées estiment qu’elles s’y connaissent un peu mieux en matière de sécurité dans les technologies de l’information et environ 46 % déclarent être prêtes à investir dans ce domaine dans les douze mois à venir. . 24 % des personnes interrogées expriment leurs ignorances et leurs doutes en sécurité informatique. Les virus viennent en tête des craintes des utilisateurs de systèmes informatiques (36 %), suivis par les attaques relatives aux données personnelles (20 %). On note des fortes inquiétudes relatives à la sécurité des transactions bancaires ou d’achats sur la Toile. [www.bitdefender.co.uk]
Normes d’essais pour les antivirus
L’entité de normalisation AMTSO (Anti-Malware Testing Standards Organization), spécialisée dans le domaine des antivirus informatiques, se propose de mettre au point des outils de mesure de l’efficacité de ces produits. En effet, les entreprises qui utilisent les antivirus les jugent à la fois onéreux, incomplets et quelquefois défectueux (par exemple, incompatibles avec l’usage de certaines applications). Constituée récemment par des entités privées et publiques qui s’intéressent aux logiciels, l’AMTSO travaille avec la société "AV-Test.org" qui effectue les mesures. Les sociétés utilisatrices sont quelque peu désorientées par les conclusions des mesures effectuées, car le nombre des options offertes par les antivirus en compétition ne clarifie pas le débat. AMTSO devrait rendre disponible en fin d’année des documents apportant un peu plus de clarté dans un domaine qui semble réservé à des spécialistes de haut niveau. [www.amtso.org]
CIEN 2012 – RF & Hyper, Du 24 au 26 Octobre 2012 à Paris Expo Porte de Versailles., Le prochain CIEN, carrefour ... [suite]
Premier congrès francophone des applications des fibres optiques, Les 23, 24 et 25 Octobre 2012, à Paris, Porte de Versailles Hall 1, Le Premier congrès francophone ... [suite]
