top of page

65 éléments trouvés pour «  »

  • Où en sommes-nous avec la Sécurité du Cloud Computing ?

    Avec l’utilisation du cloud, de nombreuses entreprises peuvent se développer sans avoir à investir dans de nouvelles infrastructures, des licences de logiciels ou dans la construction de grands Datacenter. Mais il y a un revers à la médaille, tous ces progrès se font au détriment de la sécurité des données. Les entreprises perdent en effet la gouvernance sur leurs propres données et traitements. Nous ne pouvons que supposer que les fournisseurs de cloud utilisent des mécanismes de sécurité de base pour protéger les données dans le stockage, le traitement et la communication, puisque le cloud propose des ressources que beaucoup d’entreprises ne pourraient se permettre. Lorsqu’on envisage de passer au cloud computing, les clients doivent avoir une compréhension claire des avantages potentiels et des risques liés au cloud computing. Il faut alors qu’ils établissent des attentes réalistes avec leur fournisseur de cloud. Le cloud présente des défis de sécurité bien différents de ceux que nous avons connus jusqu’à présent. Il ne s’agit plus simplement de sécuriser le périmètre, de créer une zone démilitarisée (DMZ) ou d’utiliser les dernières solutions antivirus. Dans un rapport élaboré par l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information), les menaces susceptibles d’atteindre la sécurité du Cloud Computing peuvent être catégorisées comme suit: Quels sont donc les défis du Cloud Computing ? – Les violations des données Les violations des données, c’est quand des informations sensibles, protégées ou confidentielles sont diffusées, vues, volées ou utilisées par une personne qui n’est pas autorisée à le faire, via une attaque ciblée, une erreur humaine, une vulnérabilité dans l’application ou tout simplement de mauvaises pratiques de sécurité. Bien évidemment, cela implique une violation des paramètres de sécurité, d’intégrité et de confidentialité. Dans ce contexte les entreprises peuvent se voir infliger d’importantes amendes selon les pays où les données ont été hébergées. Elles peuvent également être soumises à des poursuites civiles et, dans certains cas, à des accusations criminelles. La meilleure protection contre la violation des données est d’adopter un programme de sécurité efficace. Il faut noter qu’il existe deux mesures de sécurité importantes qui peuvent aider les entreprises à rester sécurisées sur le cloud, le cryptage multifactoriel et l’authentification, ce qui nous ramène au second défi du Cloud Computing. – Fragilité dans la gestion des accès et des identités Les organisations qui prévoient de fédérer leur identité avec un fournisseur de cloud doivent comprendre le niveau de sécurité à atteindre autour de la solution apportée sinon, et en cas de manque de systèmes évolutifs de gestion de l’accès à l’identité, elles risquent de : • Lire, exfiltrer, modifier et supprimer des données; • « Snooper » sur les données en transit ; • Accéder sans autorisation aux données sensibles de l’entreprise. Ainsi, des dommages catastrophiques peuvent atteindre les organisations ou les utilisateurs finaux en matière de confidentialité et d’intégrité, ce qui peut impacter l’image de marque des entreprises ainsi que leurs finances. Parmi les contremesures de ce problème de sécurité, il faut mettre en place une infrastructure à clé publique bien sécurisée et des systèmes d’Authentification multifactorielle (carte à puce),OTP et authentification par téléphone. Les Systèmes d’identité doivent être adaptés pour gérer le cycle de vie pour des millions d’utilisateurs. A noter que tous les mécanismes cryptographiques utilisés doivent être changés périodiquement pour renforcer la sécurité. – Exploit de vulnérabilités des systèmes et des applications Les vulnérabilités du système sont des bugs exploitables dans les programmes que les attaquants peuvent utiliser pour infiltrer un système informatique pour voler des données, prendre le contrôle du système ou interrompre les opérations du service. De telles attaques peuvent être atténuées par des processus informatiques de base: L’analyse régulière de la vulnérabilité, le suivi des menaces système signalées et l’installation de correctifs ou de mises à jour régulières de sécurité en fournissant les meilleurs exemples. – Déni de services (DoS) DoS est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources. L’idée, pour le pirate, est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services. Ce qui résulte des coupures de services, ainsi que l’attaquant qui consomme des cycles de calcul. Et pourtant, ce sont les utilisateurs paient la facture ! Il faut mettre en place des plans de continuité et reprises de services afin d’être mieux équipé pour pouvoir atténuer les attaques DoS. Le phénomène du Cloud Computing est inéluctable. Beaucoup de responsables informatiques se méfient de la gestion de la sécurité nécessaire pour le Cloud Computing. Toutefois, ces risques sont éttouffés par les avantages apportés par cette infrastructure. Les économies de coûts est l’argument favorisée par les PDG et directeurs financiers. Le responsable sécurité n’a plus qu’à résoudre les différents risques de sécurité du Cloud Computing ! Le Cloud n’est pas une technologie nouvelle, mais une nouvelle façon de faire les choses en matière de technologie de l’information. Résister au changement est toujours difficile. Des spécialistes de la sécurité de l’information doivent accompagner le développement du Cloud en matière de sécurité, afin de permettre à ses usagers de bénéficier des avantages qu’offre ce dernier, et pour éviter que les gains potentiels de la migration vers un service cloud ne soient ternis par une menace de sécurité. Loubna

  • Les violations de données impliquant des tierces parties continuent de faire la une des journaux !

    Le 4 octobre, le Pentagone découvre que les historiques de voyage de plus de 30 000 employés militaires et civils américains ont été divulgués par l’intermédiaire d’un fournisseur commercial qui gère les voyages de ses collaborateurs. Nombreuses sont les entreprises victimes de failles de sécurité impliquant des parties externes. En France, on se souvient notamment de l’attaque de TV5 Monde, mais le signal d’Alarme (avec un grand « A ») a été lancé chez Universal Music Group (UMG) quand leur prestataire de cloud n’a pas pu protéger un de ses serveurs Apache Airflow exposant les informations d’identification du protocole de transfert de fichier (FTP) interne, les clés secrètes AWS et les mots de passe, ainsi que le mot de passe « root » interne et SQL. Il n’est donc pas surprenant que ces violations constituent désormais les incidents les plus coûteux pour les entreprises et les PME. Ainsi, en 2018, l’impact moyen d’une faille de sécurité atteint 1,23M$ pour les grandes structures et 120K$ pour les PME, soit 36% de plus qu’en 2017 (88K$). Comment s’en protéger ? D’après une étude des Echos, 32% des menaces « internes » sont le fait de fournisseurs (contre 30% le fait d’employés). Bien sûr, cela ne signifie pas qu’ils sont à l’origine de la cyberattaque, mais plutôt qu’ils en sont les vecteurs. Or le développement des entreprises les oriente de plus en plus vers des fournisseurs spécialisés, proposant des services adaptés aux besoins de leurs Métiers. Pour se protéger de ce type de failles, les Acheteurs ont bien sûr un rôle à jouer et devraient se rapprocher du RSSI pour s’assurer de la fiabilité de leurs fournisseurs. Par ailleurs, l’ANSSI prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Fournisseurs de service numérique (directive NIS). Ainsi, les Fournisseurs de service numérique devront : Analyser les risques sur ses systèmes d’information Prendre des mesures techniques et organisationnelles dans chacun des domaines suivants : La sécurité des systèmes et des installations ; La gestion des incidents ; La gestion de la continuité des activités ; Le suivi, l’audit et le contrôle ; Le respect des normes internationales. Déclarer tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. Être soumis à des contrôles de sécurité. Bien que cette règlementation ne concerne pas l’ensemble de vos sous-traitants (place de marché en ligne, moteurs de recherche, cloud), il est possible de s’en inspirer pour intégrer la sécurité dans le choix d’un fournisseur. Il vous est également possible de vous renseigner en demandant, par exemple, des référents ou des retours d’expériences de la part des clients ayant bénéficié de leurs services. Loubna

  • Pleine lumière sur le Shadow IT

    Moteur d’innovation pour les collaborateurs, source de vulnérabilités pour les DSI, le Shadow IT n’en finit plus de se diviser au sein des entreprises. Cette pratique s’accompagne de risques réels pour le SI des entreprises et la multiplication des services cloud facilement accessibles n’est pas pour endiguer ce phénomène, bien au contraire. Que faire face au Shadow IT, dans ce cas ? Aux racines du Shadow IT Shadow IT est un terme désignant tous les systèmes d’information, de communication ou les logiciels exploités au sein d’une organisation sans l’approbation de la DSI, d’où son autre appellation, plus rare, Rogue IT. Le Shadow IT peut donc désigner un document Excel exploitant des macros, des solutions cloud de type Dropbox, Google Drive ou WeTransfer, des recours à son ordinateur personnel pour effectuer des tâches de travail, et la liste est encore longue. L’essor des solutions cloud et la pratique de plus en plus présente du BYOD (Bring Your Own Device) sont des raisons qui ont fait croître la pratique du Shadow IT dans les entreprises. Le Shadow IT : un dispositif risqué Et oui ! Le Shadow IT expose les entreprises à plus de risques car la multiplication des canaux de communications et des dispositifs utilisés fait qu’il est plus difficile de sécuriser le tout, et c’est d’autant plus compliqué quand on ne connait pas l’existence du dispositif mis en œuvre. Les risques sont nombreux avec un impact plus ou moins sévère, parmi lesquels on peut citer : La fuite de données : En hébergeant des données sur des services cloud publics, on s’expose forcément à un plus grand risque de fuite de données, sachant que ces plateformes sont souvent prises pour cible par les hackers. Dropbox, notamment, s’est fait dérober les identifiants de 68 millions de comptes en 2016. La perte de contrôle sur la gestion des attaques : Une bonne gestion des attaques nécessite une bonne connaissance de son réseau et de ses vulnérabilités. Le recours au Shadow IT fait que l’entreprise perd le contrôle de l’infrastructure employée. En effet, rien ne dit qu’un laptop personnel sera efficacement protégé contre des malwares ou si les services Cloud utilisés sont suffisamment protégés contre les attaques externes. La malveillance interne : Un ancien employé en quête de vengeance peut télécharger des données confidentielles sur leur espace cloud personnel et continuer à y avoir accès, même après l’interruption de leur contrat de travail, et l’entreprise n’a, bien évidemment, aucun moyen d’effacer ces données. Les problématiques de conformité : Utiliser des sources détournées pour générer des données ou les héberger sur un cloud public peut poser un problème d’un point de vue de conformité légale et aux standards en vigueur. Au moment où le RGPD est au cœur de toutes les attentions, il est très important de savoir où se trouvent les données et quels sont les traitements qui les exploitent. Que faire face au fantôme du Shadow IT ? Malgré les risques que nous venons d’évoquer, le Shadow IT connait un beau succès, et pour cause ; les métiers ne pensent pas avoir les bons outils à leur disposition. Par ailleurs, il leur parait fastidieux de suivre des procédures qui peuvent, dans certains cas, être particulièrement rigides. Le recours à des moyens « détournés » est donc une manière d’augmenter leur efficacité au travail. C’est là que réside tout le paradoxe du Shadow IT. Difficile à combattre, véritable concentré de risques mais un atout lorsqu’on l’utilise à bon escient. On aurait tendance à dire que le mieux serait de le bannir, étant donné que le risque 0 est une douce utopie, la meilleure alternative serait d’encadrer cette pratique, les mesures suivantes pouvant être un premier pas dans cette direction : Contrôler son réseau : une première mesure serait d’analyser les logs des firewalls et d’identifier les flux sortant les plus critiques. Ainsi, les échanges d’information sont filtrés en fonction de leur criticité Gérer les accès : La mise en place de services de gestion des accès et des droits pour les données et fichiers peut réduire le recours abusif aux services de cloud publics. De plus en plus de services offrent la possibilité de gérer les droits d’accès aux données en se basant sur l’Active Directory. Ces services permettent de gérer finement les droits d’accès, mais aussi de chiffrer les données, voire d’empêcher leur copie vers des supports externes Ecouter : Si les métiers ont autant recours au Shadow IT c’est qu’il y a anguille sous roche. Il est fort possible que les besoins des collaborateurs soient éloignés de ce que propose la DSI. Une manière de faire serait de se rapprocher d’eux afin d’avoir une meilleure compréhension de leur besoin et donc une meilleure appréhension des outils qui leur sont nécessaires. Sensibiliser : Il est important que les collaborateurs soient conscients des risques qu’engendre cette pratique du Shadow IT. Il n’est pas réaliste d’avoir des chargés de sécurité surveillant les utilisateurs à tout instant. Il est, de fait, important de sensibiliser les métiers aux bonnes pratiques et leur offrir les moyens de discerner les utilisations risquées du Shadow IT de celles qui ne le sont moins. Les CASB (Cloud Access Security Broker) : Un CASB est un logiciel qui s’insère entre l’infrastructure de l’entreprise et l’infrastructure Cloud. Il permet d’appliquer les politiques de sécurité en vigueur au sein de son organisation aux services Cloud. Tous les flux transitant par un CASB doivent donc se conformer aux règles et politiques de sécurité en vigueur. Par conséquent, il s’agit d’un moyen de s’assurer que les données de l’entreprise sont chiffrées de bout en bout. Ainsi, il s’agit d’une manière de s’assurer que les données sur les applications SaaS sont bien protégées conformément à votre politique de sécurité Véritable cauchemar à son émergence, le Shadow IT est mieux encadré aujourd’hui du fait de la multiplication des outils permettant de contrôler ses données plus efficacement. Il reste, cependant, nécessaire de faire preuve de vigilance et de bien connaître les risques de cette pratique pour que le Shadow IT soit un rayon de soleil plutôt qu’une ombre menaçante. Mehdi

  • Zoom sur le Big Data

    Popularisé dans les années 2000 avec l’explosion des nouvelles technologies, le terme de Big Data est maintenant connu par tous. Cependant, savons-nous réellement ce que c’est ? Le Big Data, C’est quoi ? En français, Big Data signifie « mégadonnées » ou « données massives ». Pourtant, le Big Data répond à plusieurs critères au-delà du Volume, notamment : Variété : Les données proviennent de différentes sources Vélocité : Les données sont créées, collectées et partagées de manière fréquente et permanente Ces données peuvent être de tout type (textes, chiffres, géolocalisation, reconnaissance vocale ou faciale, vidéo, audio, etc.) et proviennent de différentes sources (capteurs, ordinateurs, smartphones, tablettes, objets connectés, etc.). Disposer de ces données est un véritable atout, mais stocker une grande quantité de données sans les analyser ne sert, à proprement parlé, à rien. Ce qui est important, c’est de les analyser pour en ressortir une vision globale et réelle, c’est-à-dire, en extraire de la valeur (qualitative, monétaire, éthique, etc.). Pour cela, on applique à ces données des algorithmes, des modèles statistiques. L’intelligence artificielle, la machine Learning et le Deep Learning sont ainsi de plus en plus utilisés dans l’analyse et l’interprétation des données. En entreprise, le Big Data est surtout utilisé pour : Analyser le comportement de leurs clients et prospects afin de leurs proposer des services ou produits qu’ils seraient susceptibles d’acheter Réaliser des prédictions permettant de rationnaliser les centres de coût. Par exemple, il est possible de prédire le stock que doivent contenir des entrepôts, de prédire les pannes du matériel industriel, etc. Il s’agit de projets « en vue », fortement intégrés à la stratégie de l’entreprise. Pourtant, le Big Data peut être utilisé dans de nombreux domaines : La recherche médicale : Les maladies sont mieux connues et les médecins peuvent en trouver plus facilement des traitement grâce à l’analyse de données (nombre de personnes touchées, résultats d’analyse, etc.). La lutte contre la criminalité : Le gouvernement et les services de sécurité ont recours au Big Data pour cerner les criminels (utilisation de CB, recherches web, etc.). Si c’est si génial, pourquoi tout le monde n’utilise pas le Big Data ? Le principal souci du Big Data est son coût de mise en place. En effet, le Big Data nécessite l’utilisation de technologie généralement coûteuse. De plus, pour lancer un projet Big Data, il ne suffit pas de lancer un logiciel. Il faut mener une étude préalable : Quel est l’objectif du projet ? De quelles données vais-je avoir besoin ? Où puis-je le trouver ? Un projet Big Data repose essentiellement sur une bonne maitrise du patrimoine informationnel ! C’est pour cela que ce sont essentiellement les grosses entreprises telles que Facebook, Google, Netflix ou Amazon qui utilisent cette technologie. Et la sécurité alors ? Le principal risque engendré par le Big Data concerne la protection de la Vie Privée des personnes. En effet, en complément des risques perte de confidentialité des données confiées (vente, fuite de données), le Big Data permet la création de nouvelles informations sur une personne. Alors, je me lance ? Avant de se lancer dans le Big Data, il faut s’assurer de deux choses : La maitrise de votre patrimoine informationnel. Et pour vous aider à maitriser ce patrimoine, rien ne vaut une cartographie de vos données. La définition d’un objectif clair, en adéquation avec les besoins de vos Métiers. A vous de jouer ! Manon

  • NFC : Vers un avenir 100% sans contact ?

    Les technologies sans fils n’ont cessé de prendre de l’ampleur à partir des années 2000. Elles occupent désormais une place incontournable dans notre quotidien. Cependant qu’en est-il de l’aspect sécurité ? Nous allons nous focaliser sur une technologie en particulier qui est très répandue et devenue centrale dans le milieu du paiement depuis environ 10 ans : la technologie NFC. Le principal intérêt de la technologie NFC réside dans le fait de transmettre des informations sans effectuer d’actions de vérification. Parmi les usages les plus connus se trouve le paiement sans contact, l’autorisation d’accès dans les transports publics via une carte d’abonnement (métro, bus, etc..). Cela tombe bien car nous allons en parler dans l’exemple suivant. La SNCF souhaite lancer dès 2019 une application permettant de réserver, payer et valider plusieurs moyens de transport comme les VTC, Taxi, Train, Métro, etc.. Le principe est simple : l’utilisateur entre un itinéraire dans l’application, celle-ci calcule le temps de trajet pour différents transports. Une fois le moyen de transport choisi, l’utilisateur accède à la réservation puis obtient un ticket pour le transport désiré. Cette application se base sur la technologie NFC pour dématérialiser les titres de transports et ainsi, gagner du temps lors de la vérification du titre de transport qui seront tous stockés dans le smartphone. Peut-on s’attendre au fait que la technologie NFC soit présente dans tous les aspects de notre quotidien ? Comment sont échangées les données entre deux appareils ? La technologie NFC intègre la RFID (Radio-Identification) utilisée pour mémoriser et capter des données à distances à l’aide de marqueurs spéciaux : les tags RFID. Ce sont des étiquettes composées de puces magnétiques intégrées dans divers objets. NFC est un ensemble de protocoles de communication permettant à deux appareils de communiquer entre eux en les rapprochant d’une distance d’au minimum 4cm. Evidemment, les données ne doivent pas être transmises en clair sinon cela serait extrêmement nuisible à la confidentialité des données. Les données sont donc chiffrées avant d’être envoyées. Mais à quel prix ? Cette technologie présente néanmoins quelques failles. Etant donné qu’elle se propage dans l’air, si un pirate se trouve proche, par exemple dans le métro, et qu’il possède un smartphone Android, il peut valider une transaction en utilisant une faille du protocole EMV (Europay Mastercard Visa) qui est la norme en vigueur pour toutes les cartes de paiement. Cette faille a été trouvée par cinq chercheurs en sécurité de l’université de Newcastle. Depuis cette découverte, la faille a été réparée, néanmoins de nouvelles failles sont découvertes chaque année. Par ailleurs, tous les commerçants ne sont pas dotés de terminaux NFC pour le paiement sans contact. En France, on en dénombrait 600 000 en 2017. Les utilisations de cette technologie peuvent également être menaçantes pour notre santé, tel que l’implant sous cutanée d’une puce NFC. L’intention de départ est louable puisqu’il s’agit de faciliter les interventions médicales en ayant un descriptif médical du patient (allergies, antécédents, traitement en cours) cependant elle est sujette à de nombreux problèmes. En effet, elle peut causer des problèmes de santé (cancers, brulure) mais aussi des risques de sécurité étant donné que la majorité des puces ne sont pas cryptées. Quel avenir pour cette technologie ? Bien qu’elle fût controversée à ses débuts, la technologie NFC est au cœur de nombreuses transactions. L’année dernière, le cap du milliard d’euros de transaction réalisé par le paiement sans contact a été franchi. Les avantages étant plus nombreux que les inconvénients dans le secteur bancaire, un taux de défaillance de 0,02%* ayant été relevé, les transactions ne vont cesser de se multiplier au cours des années à venir et il faut savoir que les taux de défaillance du NFC sont plus bas que ceux dénombrés pour les transactions en ligne (0,23%*). De plus en plus d’applications vont transmettre des données personnelles via cette technologie mais il faut avant tout veiller à ce que la santé de l’être humain soit préservée. * : D’après le rapport annuel de l’Observatoire de la sécurité des moyens de paiement Ismail

  • Shodan, le Google du hacker

    Qu’est-ce que Shodan ? Non, Shodan n’est pas une divinité de la Chine antique, il s’agit d’un moteur de recherche orienté hacking. A la différence de Google, Shodan ne référence pas des sites web mais des objets connectés (webcam, IoT, routeurs, interfaces web, interfaces industrielles, etc..). Shodan effectue des scans de ports sur le réseau internet et va ensuite indexer les résultats (les bannières) sur son site. L’outil est disponible à l’adresse suivante : https://www.shodan.io Mais à quoi ça sert ? En principe Shodan est utilisé par les hackers afin de trouver et d’exploiter des vulnérabilités sur des cibles « faciles ». L’utilisation la plus fréquente est la recherche de webcams peu sécurisées. En effet il suffit de taper le mot-clé « webcam » dans la barre de recherche afin d’identifier les webcams non sécurisées accessibles sur internet. Exemple d’une webcam IP ouverte sur internet où l’on identifie clairement le poste de travail d’une agence. Mais là où Shodan devient intéressant c’est qu’il permet à une entreprise de surveiller et de sécuriser son infrastructure. Mise en situation Mettons-nous dans le rôle de Serge Guidon, RSSI de la société « Guidon Corp. Celui-ci aimerait avoir une vision globale de son infrastructure exposée sur internet. Il pourrait évidemment utiliser une solution telle que Qualys ou Nessus mais ces solutions sont orientées « réseau interne ». Shodan, lui, permet d’identifier les infrastructures explosées sur internet et visibles par tous. Serge renseignera par exemple dans la barre de recherche les termes : « org:”Guidon Corp” country:FR ». Cette recherche va identifier dans la base de données Shodan toutes les informations sur l’organisation « guidon corp » localisée en France. La recherche ici : org:société country:FR Le nombre de résultats de la requête Des informations sur les résultats La liste des résultats. Serge Guidon constate un nombre conséquent de résultats concernant son entreprise. A partir du tableau de bord fourni par Shodan, Serge va pouvoir télécharger les résultats et les analyser afin de vérifier si l’ensemble de ces interfaces ouvertes sont légitimes, sécurisées et maîtrisées. Pour aller plus loin Voici des mots-clés qui permettront d’affiner vos recherches : Filtrage par ville : « city:paris » Filtrage par pays : « country:FR » Filtrage par nom de domaine : « hostname:societe.com » Filtrage par organisation : « org :societe » Filtrage par port : « port :8080 » Filtrage par adressage IP : « net:10.10.10.10 » Filtrage par produit : « product:apache » Filtrage par système : « os:windows » Filtrage par le titre de la page web : « title:”hacked by” » Shodan propose aussi des recherches préétablies créées par ses utilisateurs : https://www.shodan.io/explore/tag/webcam Yoann

  • EBIOS se met au régime !

    Lors des assises de la sécurité organisées du 10 au 13 Octobre à Monaco, L’ANSSI a annoncé le lancement de la nouvelle version de sa méthodologie d’analyse de risques : EBIOS Risk Manager. L’ambition de cette nouvelle version est de mettre au goût du jour cette méthodologie, qui a plus de 20 ans maintenant, et qui a été revue la dernière fois en 2010. Mais quelles sont alors les nouvelles tendances de cette méthodologie ? Travailler sur les basiques A première vue, on reste sur les fondamentaux de la méthodologie : on part toujours du contexte, qui s’appelle maintenant « socle de sécurité », pour identifier les évènements redoutés et les scénarios de menace afin d’aboutir à une appréciation des risques et une identification des mesures de traitement des risques. On retrouve aussi le souci de convergence avec les méthodologies et normes internationales, avec des références aux normes ISO27001/2/5- Management de la sécurité de l‘information et ISO31000 – Management du risque. Alléger l’approche et responsabiliser tout le monde Mais là où la méthodologie proposait une approche exhaustive et complète, quitte à être perçue comme lourde et technicienne, cette nouvelle version s’affranchit de ce cadre pour miser sur une approche collaborative en ateliers. Le Responsable de la Sécurité n’est plus dans sa tour d’ivoire à apprécier des risques que lui seul – et son cercle d’initiés – peut comprendre. Maintenant, l’approche se base sur l’implication, dès le début de la démarche, des Dirigeants et des Directions Métiers. L’objectif est de démystifier le sujet et de le rapprocher des problématiques stratégiques et opérationnelles en s’appuyant sur une approche par les processus et par la valeur Métier. Nous voyons aussi ce changement de paradigme dans l’approche par des scénarios de risques stratégiques qui sont décomposés par la suite en risques opérationnels. Par exemple : Scénario de risque stratégique : un concurrent qui pourrait voler des informations en espionnant les travaux de R&D en vue d’obtenir un avantage concurrentiel. Mode opératoire opérationnel : l’attaquant s’introduit dans le système d’information par une attaque ciblée sur la messagerie, qui lui permet de rebondir sur les réseaux internes. Cette dualité permet de rapprocher les risques numériques des enjeux Métiers et en même temps d’apprécier les risques opérationnels et de proposer des mesures techniques et fonctionnelles pour y remédier. Est-ce que ça va marcher ? Cette version en est à ses débuts et elle devra faire ses preuves et s’améliorer dans le temps, mais ce qui est sûr c’est qu’elle embarque des enjeux que nous rencontrons déjà depuis quelques années chez nos clients ; les principales sont : Comment intéresser mes dirigeants à ces risques (mais les ransomwares Wannacry et NotPetya, entre autres, s’en sont aussi chargés au passage) ? Comment expliquer clairement ces risques aux Métiers ? Nous voyons aussi l’émergence des notions de conformité, de plus en plus reliées à la sécurité numérique, que ce soit par le RGPD ou la Loi de Programmation Militaire (LPM). Je pense d’ailleurs que la notion de conformité a été introduite et renforcée dans cette version d’EBIOS pour répondre aux attentes des Opérateurs d’Importance Vitale (OIV), qui sont les premiers « clients » de l’ANSSI et ceux qui appliquent ses méthodes et référentiels. Une vision plus haut niveau des risques, une implication plus forte des métiers et un allègement de la démarche, tels sont les ingrédients sur lesquels mise l’ANSSI pour faire adopter sa nouvelle version de la démarche. L’intention est louable et s’inscrit à mon avis dans l’évolution du Métier de la Sécurité, mais c’est peut-être l’allègement de la démarche qui pourrait poser problème à ceux qui souhaitent appliquer l’approche. Certains regretteront donc le cadre exhaustif de l’ancienne version. En effet, l’allègement de la démarche exige une prise de hauteur par rapport au métier de la sécurité. Alors, on s’y met tous, et au régime, EBIOS ! Nidhal

  • Petit focus sur le marché de l’Informatique en France

    Le paysage économique français connait un renouveau depuis maintenant deux décennies. En effet Le digital et les nouvelles technologies ont réussi petit à petit à s’immiscer dans notre quotidien, pour devenir aujourd’hui primordial, tant au niveau personnel, que dans nos habitudes professionnelles. Cette révolution technologique n’a épargné aucun secteur d’activité, les professionnels ont donc dû s’adapter à cette nouvelle demande en réinventant leur méthode de travail. Mais on note surtout l’émergence d’un nouveau marché porteur et à forte perspective de croissance : les technologies de l’information (IT). Cependant on s’aperçoit que le fort développement de l’IT n’a pas que des aspects positifs sur le marché. Certains domaines souffrent d’une pénurie des compétences, quand d’autres sont saturés par l’abondance des ressources humaines. Tendance actuelle du L’IT en France Quand on sait que les entreprises matures sur leur digitalisation et sur les métiers de l’IT ont une croissance six fois plus élevée que les entreprises les plus en retard, il est logique que ces sujets deviennent incontournables dans la stratégie de chaque entreprise. L’IT est utilisé en sous toutes ses formes pour améliorer la compétitivité de l’entreprise. Le marché français reste dominé par le conseil et les services. Ces prestations comptent pour 61% des revenus du secteur, devant l’édition logicielle (21%) et le conseil en technologie (17%). Le marché de l’édition de logiciel s’élève tout de même à 11 milliards d’euros en 2016. Le SaaS (tel que les logiciels CRM, les ERP, ou les SCM) se porte tout aussi bien. Néanmoins le SaaS n’est pas l’unique accélérateur de croissance du marché de l’IT en France. En effet la digitalisation a poussé plus de 76% des entreprises à effectuer leur transformation numérique afin d’améliorer leur efficacité opérationnelle, de réduire leurs coûts et d’améliorer l’expérience utilisateur. Aussi, le cloud joue le rôle de nouveau moteur des investissements dans les services IT en générant près de 3,5 milliards d’euros de recettes, grâce à une croissance estimée à 18%. Quelques mauvaises notes Le marché de l’IT français, considéré comme « rigide » est très en dessous des moyennes de ses concurrents en termes d’environnement entrepreneurial et innovation. Au-delà ces difficultés, un paradoxe existe belle et bien au sein du marché de l’I.T et plus particulièrement au niveau de l’emploi. En effet, malgré une activité économique en hausse du fait de la transformation numérique, le nombre de chômeurs dans l’IT n’a jamais été aussi important. *Source pôle emploi Au vu de ces chiffres on peut logiquement se demander si la transformation numérique ne détruit pas des emplois plus vite qu’elle n’en crée. On peut déjà remarquer que tous les métiers du numérique ne sont pas logés à la même enseigne. Une étude de Jobintree montre clairement des disparités entre les fonctions. Si les profils de techniciens et de responsables informatiques sont nombreux sur le marché, les entreprises sont peu en demande. À l’inverse, les développeurs et les responsables d’exploitation informatique sont chouchoutés par les recruteurs. Un exemple criant peut en témoigner, si pour une offre d’emploi de développeur, un employeur reçoit en moyenne moins de trois CV, c’est plus de 58 CV qui sont envoyés pour des postes de responsables informatiques. Avec un marché du travail qui pousse les plus jeunes à s’orienter vers le digital et les nouvelles technologies, il est nécessaire de mettre en place des dispositifs d’accompagnement permettant à ces futurs professionnels de bien déchiffrer les différents métiers de ce secteur d’activité pour créer une main d’œuvre compétente mais surtout variée, et ainsi limiter le risque d’encombrement dans des domaines où le besoin n’est pas forcément très important. L’importance réside dans la vision à moyen et à long terme car les besoins d’aujourd’hui ne seront certainement pas les besoins de demain. Il est donc nécessaire d’avoir une formation efficace et évolutive, car l’IT est le domaine où l’obsolescence de compétence deviendra l’une des préoccupations les plus récurrentes. Et la sécurité dans tout ça ? En raison des attaques toujours plus nombreuses, la cybersécurité s’impose comme un segment dynamique du secteur IT. Les nouvelles règlementations comme la RGPD contribuent à la croissance de ce marché. Mais tout ceci masque d’importantes disparités selon les segments et les profils d’acteurs identifiés comme par exemple les : Éditeurs de logiciels comme Symantec, Géants du numérique (IBM, Atos…) Start-up française. Dans le même temps, le big data et le cloud computing aident au renouvèlement des solutions de cybersécurité. Et l’arrivée de nouveaux entrants, attirés par les belles perspectives du marché, complexifie encore un marché ou l’intensité concurrentielle reste très élevée. Florian

  • Les Smart Cities sont-elles RGPD-compatibles ?

    La démocratisation de l’internet des objets a eu pour effet d’accroître l’intérêt des grandes métropoles pour les concepts de Smart City au vu de tout l’apport et l’impact positif que cela pourrait avoir sur le quotidien des habitants et l’optimisation des services rendus. Ainsi, de nombreuses villes se sont lancées dans l’expérimentation, à différentes échelles, de ce concept de ville intelligente, parmi lesquelles la ville de Santander en Espagne qui, à ce jour, exploite le plus grand réseau de capteurs sans fils ou encore Rennes, pionnière de l’Open Data en France et met en place depuis 2014 un réseau Smartgrid pour un meilleur pilotage de la consommation électrique. Cela dit, l’entrée en vigueur prochaine du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) risque d’être un frein au développement des Smart Cities, celles-ci se nourrissant essentiellement des données des citoyens. GDPR sera-t-il de nature à ralentir l’expansion des Smart City ? Quels changements et impacts le règlement peut-il apporter ? Le concept de Smart City : Commençons par le commencement : qu’est-ce qu’les Smart Cities ? Il s’agit d’une aire urbaine utilisant les technologies de l’information et de la communication (TIC) dans le but d’améliorer la qualité des services urbains et d’en réduire les coûts. Une meilleure compréhension de l’IoT (Internet des objets) a permis un déploiement à grande échelle de réseaux de capteurs électroniques capables de collecter et transmettre des informations en temps réel. Cela comprend des données collectées au travers de dispositifs mécaniques, d’actifs ou auprès des citoyens avec pour visée une meilleure gestion du trafic routier, de réseaux d’approvisionnement, de centrales électriques, etc. Les applications d’itinéraires comme Google Maps ou Waze vont déjà en ce sens en calculant à intervalles courts et réguliers, le chemin optimal à prendre en fonction du trafic actuel, des accidents, des travaux ou des intempéries qui pourraient impacter l’itinéraire habituel de l’utilisateur. On peut, aussi, évoquer les réseaux Smartgrids qui permettent d’ajuster sa consommation en temps réel en fonction des besoins énergétiques, minimiser les pertes en ligne d’énergie ou encore d’optimiser la production d’énergie. Tout cela a un prix, celui d’utiliser les données personnelles des citoyens, car sans cela, les Smart Cities n’auraient ni le même rendement, ni le même intérêt. De fait, nous sommes en droit de nous poser la question suivante : vivre dans une Smart City signifie-t-il sacrifier ses données personnelles ? GDPR, qu’est-ce que ça va changer pour les Smart Cities ? L’entrée de vigueur prochaine de GDPR sera synonyme de nouveaux de challenges en termes de conformités pour les Smart Cities. En effet, ce règlement vise à renforcer la protection des données personnelles pour les individus, tout en responsabilisant les entités et acteurs ayant recours à des traitements de ce type de données. Ainsi, au vu de la nature des données exploitées par les villes intelligentes (données de géolocalisation, identification d’appareils, suivi détaillé de la consommation électrique…), celles-ci devront obligatoirement se conformer à GDPR, et cela implique nécessairement une redistribution des cartes. La personne concernée reprendra le contrôle sur ses données, là où c’est actuellement les exploitants des Smart Cities qui ont la main mise dessus. Et donc, que peut-on faire pour s’assurer de la conformité d’une smart city avec GDPR ? Les Smart Cities devront obligatoirement mettre la protection de ces données au centre de leurs attentions durant le traitement. Cela peut être facilité par un certain nombre de notions qui auront pour conséquence de faire un pas vers la protection des données personnelles. En voici quelques-unes : Privacy By Design: le concept de Privacy by Design implique que les projets intègrent la notion de protection des données dès la conception. En incluant ce concept dans tous les projets de Smart Cities, un pas de plus est fait pour gagner la confiance des utilisateurs. Les études d’impact: une mesure pouvant être préconisée est de mener une étude d’impact de chaque projet sur la vie privée, permettant ainsi d’en voir la visée et d’optimiser les efforts sur comment réduire cet impact. Le droit à la portabilité: le droit de pouvoir récupérer ses données, en totalité ou en partie, dans un format ouvert et lisible par machine, montrant une réelle maîtrise des données utilisées des entités exploitantes. Le consentement: il est obligatoire de recueillir le consentement pour pouvoir exploiter les données collectées. Il faut pour cela identifier de nouvelles mesures pour obtenir le consentement. Si celui-ci ne peut être recueilli facilement, il faut mettre en œuvre des moyens qui empêchent la réidentification des personnes, comme des mesures d’anonymisation. Bien entendu, toutes ces mesures vont de pair avec une sensibilisation des citoyens afin qu’ils aient réellement conscience de l’enjeu autour des leurs données personnelles. En effet, 26% des personnes interrogées perçoivent le développement du numérique peut représenter une éventuelle atteinte à la vie privée. Une relation de confiance doit être instaurée entre les différentes parties prenantes de la Smart City pour déboucher sur une ville plus intelligente et respectueuse de la vue privée. Mehdi

  • Cybersécurité, ne soyons pas alarNIST !

    NIST Cybersécurité Framework, approche d’analyse de risques sécurité Découvrir le NIST* Cybersécurité Framework Le NIST Cybersécurité Framework est un cadre conçu par le gouvernement américain, dédié aux institutions publiques et privées, avec pour objectif d’améliorer leur capacité à identifier, détecter et réagir en cas d’incidents de nature cyber. Ce Framework aide les institutions dans la protection de leurs actifs/ biens qui sont classés sensibles et / ou critiques. Il faut noter que le NIST CSF* n’est pas une règlementation imposée aux entreprises et n’est pas conçu pour remplacer les standards opérationnels existants tels que COBIT ou ISO 2700x. Il s’agit d’un référentiel de « best practices », capable d’évaluer de point de vue processus la maturité de l’organisation en termes de cybersécurité. Les 5 fonctions du Framework Le cycle de vie proposé par le NIST CSF, s’articule autour de 5 fonctions représentant un ensemble de critères relatifs aux différents aspects de la cybersécurité (22 critères au total), notamment la « gestion des actifs », la « gouvernance », la « gestion des risques », le « contrôle des accès », la « sécurité des données » et le « plan de reprise ». Ces éléments mettent à disposition 98 points de contrôle SSI concernant différents acteurs au sein de l’entreprise (RSSI, DSI, Contrôleurs interne, Administrateur…). Cette évaluation doit permettre de mettre en place les plans d’actions et les politiques nécessaires au niveau de maturité et de résilience des infrastructures critiques souhaité. Identifier (Identify) : la première fonction du NIST CSF réclame une compréhension complète et avancée de la gestion des risques cybersécurité affectant les systèmes, les actifs, les données et les ressources. Les organisations doivent identifier et gérer les actifs et les systèmes conformément à leur niveau de sensibilité, définir les rôles et les responsabilités des acteurs de la gestion risques et cybersécurité et maitriser le risque auquel s’exposent les activités métiers. Protéger (Protect) : après avoir identifié les actifs sensibles et maitrisé les risques cybersécurité, les organisations doivent maintenant protéger leur environnement en mettant en œuvre les mesures appropriées. Cette fonction préconise ainsi de contrôler les accès aux actifs, programmer des séances de sensibilisation et de formation, protéger les données et les technologies et déployer des politiques et des procédures pour maintenir les SI. Détecter (Detect) : pour répondre à la fonction « détecter », l’entité doit être en mesure d’identifier la probabilité de survenance d’un évènement cyber. Elle doit être munie d’un ensemble de moyens qui lui permettront d’anticiper ces incidents à travers des systèmes d’alertes et de disposer des compétences nécessaires. La veille fournit un moyen très efficace de prévention contre les menaces potentielles. Répondre (Respond) : l’entité doit être en mesure de déployer les mesures appropriées, immédiatement lors de la détection d’évènements cyber. Elle doit notamment élaborer un plan de réaction, établir les communications nécessaires entre les acteurs concernés, analyser les incidents, limiter leur propagation dans le réseau de l’organisme, mitiger le risque résultant et intégrer le retour d’expérience dans les prochaines stratégies d’intervention. Se rétablir (Recover) : cette dernière famille de critères de sécurité propose de définir et de déployer les actions nécessaires à la maintenance des plans de résilience et au rétablissement des ressources et services affectés par un incident cyber. L’entité doit mettre en place un plan de reprise et de continuité d’activité et maintenir à jour sa stratégie de reprise. Implémenter le NIST Cybersécurité Framework Périmètre d’application Le CSF est en lui-même une approche d’analyse de risques cybersécurité, développé par des intervenants du gouvernement américain et des experts sécurité civile pour compléter et améliorer les activités métiers et les procédures existantes de cybersécurité. Il a été utilisé et adapté par de nombreuses organisations dans le secteur privé, telle que Intel mais également dans le secteur public, comme les gouvernements américain et italien. D’après une étude de Gartner, 30% des organisations ont opté pour le CSF en 2015 et 50% d’organisations vont l’implémenter en 2020. Implémentation Dans son Framework, NIST associe ses points de contrôle (ce qu’on appelle aussi « sous-catégories ») à différents référentiels tels que : CCS CSC, COBIT 5, ISA 62445, ISO/IEC 27001, NIST SP 800-53 Rev.4. Le CSF peut être aussi personnalisé et adapté au contexte de l’entité concernée afin qu’il soit compatible avec son niveau de maturité. Pour une implémentation efficace du CSF, l’entité doit préalablement fixer les objectifs qu’elle voudrait atteindre. En d’autres termes, elle doit identifier ses infrastructures critiques, préciser le niveau de risque qui serait acceptable par tous ses départements et clarifier son niveau de maturité actuelle. L’étape suivante consiste à adapter le Framework au contexte de l’entité ; garder ou changer les 22 catégories cybersécurité selon les besoins et les activités métiers, identifier les niveaux d’évaluation des processus (Point de contrôle) par critère. Ainsi, pour le compte de l’un de nos clients, nous avons effectué une évaluation à trois dimensions : Une évaluation qualitative sur la maturité du processus, Une évaluation qualitative sur le périmètre d’application du processus, Une évaluation quantitative du point de contrôle par KPI*. A la suite de cette évaluation, le client est en mesure d’élaborer des tableaux de bords des indicateurs de performances collectés et de présenter les résultats obtenus dans les comités concernés. Il possède ainsi une visibilité sur ses risques cybersécurité, leurs niveaux de criticité et les écarts avec les objectifs qui ont été fixés avant le déploiement du Framework et peut maintenant mettre en œuvre les actions nécessaires pour les atteindre. Le déploiement du CSF peut être effectué dans un premier temps sur un petit périmètre afin de tester son efficacité, d’identifier les obstacles rencontrés et les actions nécessaires pour réussir le déploiement à grande échelle. *National Institute of Standards and Technology *Cybersecurity Framework *Key Performance Indicator Loubna

  • Cloud & Cybersécurité

    Le cloud computing s’est largement démocratisé au point de s’imposer comme étant la forme de stockage des données de notre époque. Visée et mise à mal par les cyberattaques qui n’ont pas cessé de déferler dernièrement, le cloud a montré qu’il n’était pas aussi sécurisé que ce que l’on pourrait penser. MAIS AU FAIT, C’EST QUOI LE CLOUD COMPUTING ? Le cloud computing est un ensemble de matériels et de services informatiques mis à disposition d’un individu ou d’un collectif via Internet dans le but de les exploiter. Parmi ses applications concrètes, on peut citer Google Drive ou Office 365. Le cloud computing est essentiellement un ensemble de services commerciaux proposés à des individus ou entités externes et décliné sous trois offres distinctes : IaaS (Infrastructure as a Service) : le service fournit au client un parc informatique virtualisées. Il est principalement à destination des centres de traitement des données PaaS (Platform as a Service) : le service fournit l’infrastructure, le système d’exploitation et les outils, tandis que le client contrôle ses applications et peut ajouter des outils. Ce cas est similaire à l’hébergement web SaaS (Software as a Service) : le service fournit les applications au client qui peut les gérer à parti d’un navigateur web ou d’une interface graphique installée en local. Les services de messagerie électronique en sont un exemple. QUELS SONT LES PRINCIPAUX RISQUES DE SÉCURITÉ ? Les attaques dans le cloud peuvent prendre plusieurs formes et peuvent viser le fournisseur de services tout comme le client. Les plus courantes et compromettantes sont les suivantes : L’attaque par Déni de Service (ou attaque DDoS) : consiste à rendre un service temporairement indisponible un service en innondant un serveur de requêtes. L’attaque par balayage de ports : elle touche particulièrement les cloud publics, l’hacker cherche un port de communication ouvert exploitable. L’attaque du Man In The Middle : Il s’agit d’une attaque dans laquelle un hacker réussit à s’insérer dans une communication entre le serveur et le client et se fait passer pour les deux parties afin d’intercepter et échanger des données potentiellement altérées. QUELLES MESURES A ENVISAGER POUR LES FOURNISSEURS ? Quand on opte pour un fournisseur de cloud, ce dernier s’engage tacitement à sécuriser les données qu’il va héberger. Voici quelques points sur lesquels le prestataire doit s’engager pour assurer la sécurité du cloud : La sécurité physique de l’infrastructure : Cela peut paraître saugrenu mais un cloud nécessite une infrastructure physique conséquente. Les datacenters doivent être sous vidéosurveillance, vérifier les logs d’accès au centre, respecter que la structure est en conformité avec les normes anti-incendie. Il est aussi important que le fournisseur ait plusieurs datacenters à sa disposition, en cas de compromission de l’un d’eux. Afin d’assurer au mieux la sécurité physique de l’infrastructure, il est essentiel de la faire auditer régulièrement, voire en continu. La sécurité des données hébergées : Sur les cloud partagés, les données doivent être cloisonnées, afin de garder leur intégrité, en ayant recours à des VLAN ségrégés, des tables de routage et des firewalls dédiés. Quand cela est requis, le fournisseur doit crypter les données qu’il héberge et identifier la personne en charge de la gestion des clés de cryptage. De même, le transport des données entre le datacenter et l’extérieur doit être sécurisé recours à des tunnels et connexions chiffrés, par exemple. Contrôler les accès : Le fournisseur doit être en possession de moyens permettant de réglementer l’accès au cloud et maintenir des logs de connexion à jour. La réversibilité : Si vous prend l’envie de changer de fournisseur de cloud, ce dernier se doit de détruire toutes les données transférées chez un nouveau prestataire. Une fois ces points remplies, le client devrait avoir une meilleure visibilité et une maîtrise plus complète de ses données sur le cloud.

  • L’« IoT » au service des individus et des entreprises

    L’« IoT » au service des individus et des entreprises : L’Internet des objets sert principalement de passerelle entre le monde numérique et le monde physique, dans un objectif de faciliter le quotidien de l’Homme. Les véhicules connectés, les maisons connectées, les moniteurs de santé et les dispositifs médicaux implantables en fournissent les meilleurs exemples. Si on me disait, il y a une vingtaine d’années, que je peux verrouiller ma maison ou allumer le chauffage de ma chambre avec un seul clic depuis mon smartphone et à 10km de distance de chez moi, je me dirais qu’on s’est inspiré d’un film de science-fiction où les progrès scientifiques exposés sont physiquement impossibles. Grâce à l’énorme émergence que connaît le monde des technologies de communication en ce moment (l’Internet, le RFID, le Bluetooth, le Wi-Fi, le ZigBee…), les appareils et les systèmes intelligents interagissent et commencent à frapper le grand public. Des études ont estimé que plus de 40 Milliards dispositifs intelligents seront connectés en 2020 (20 Milliards sont connectés en 2018). Quant aux entreprises qui sont mises sous pression de la concurrence internationale, elles commencent à ouvrir la voie au digital et à l’automatisation des services et des processus afin d’améliorer la qualité et les performances. Beaucoup d’entre elles tentent, via l’intégration des solutions « IoT », d’accroître le rendement de leurs activités et de gonfler leurs profits. La question qui se pose ainsi, ces entreprises font elle de la résistance face à la transformation digitale ? En dépit de tous ces avantages et objectifs que les organisations cherchent à atteindre, l’ « IoT » présente un large spectre de problèmes de sécurité, y compris le risque d’endommager les systèmes physiques, de produire des pannes industrielles et de permettre des fuites des données. Les appareils intelligents comprennent un certain nombre de vulnérabilités potentielles qui menacent grandement la sécurité et la confidentialité des données personnelles. Ceci suscite actuellement l’intérêt et l’inquiétude des organisations. La protection des données personnelles fait partie intégrante des obstacles majeurs qui constituent un frein pour leur croissance dans le marché. Les vulnérabilités de l’IoT offrent de nouvelles opportunités aux hackers ; ces derniers peuvent éventuellement s’infiltrer dans les systèmes avancés des victimes pour les infecter via des cyberattaques. Toute machine connectée au réseau constitue une faille face aux potentielles attaques qui la menacent si elle n’est pas sécurisée. Ceci peut engendrer l’exfiltration des données, l’exécution de commandes et la perturbation du fonctionnement du système ciblé. Outre la cybercriminalité, le règlement général pour la protection des données à caractère personnel (GDPR) vient pour mettre en conformité en matière de sécurité des données personnelles toute entreprise et organisation qui propose des services aux citoyens de l’union européenne, quelle que soit son origine. Ces nouvelles restrictions sont au centre des préoccupations des entreprises puisqu’elles imposent des pénalités et amendes sévères allant jusqu’à 4% du chiffre d’affaires sur celles qui ne la respectent pas. Les menaces coexisteront toujours avec l’IoT, elles doivent cependant être écartées pour un monde connecté et sécurisé. On renforce la sécurité des environnements de l’IoT en utilisant des techniques tels que, le chiffrement des données, l’authentification à double/ triple facteurs des utilisateurs, les pen-tests sur les applications validées … Les bonnes pratiques préconisent l’intégration de la sécurité et les techniques que je viens de citer, dans tous les niveaux de vos systèmes IoT. Les éditeurs de logiciels par exemple, doivent s’assurer de la fiabilité et la résilience du code utilisé en respectant les normes de développement avant de mettre en production leur solution. Certes, il est difficile de se protéger complétement contre les menaces, mais ce n’est pas impossible ; il s’avère indispensable de mettre en application ces contremesures afin de répondre positivement entre autres, aux exigences appliquées à la protection des données personnelles en partie et confidentielles en général. Loubna

bottom of page