La démocratisation de l’internet des objets a eu pour effet d’accroître l’intérêt des grandes métropoles pour les concepts de Smart City au vu de tout l’apport et l’impact positif que cela pourrait avoir sur le quotidien des habitants et l’optimisation des services rendus. Ainsi, de nombreuses villes se sont lancées dans l’expérimentation, à différentes échelles, de ce concept de ville intelligente, parmi lesquelles la ville de Santander en Espagne qui, à ce jour, exploite le plus grand réseau de capteurs sans fils ou encore Rennes, pionnière de l’Open Data en France et met en place depuis 2014 un réseau Smartgrid pour un meilleur pilotage de la consommation électrique. Cela dit, l’entrée en vigueur prochaine du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) risque d’être un frein au développement des Smart Cities, celles-ci se nourrissant essentiellement des données des citoyens. GDPR sera-t-il de nature à ralentir l’expansion des Smart City ? Quels changements et impacts le règlement peut-il apporter ? Le concept de Smart City : Commençons par le commencement : qu’est-ce qu’les Smart Cities ? Il s’agit d’une aire urbaine utilisant les technologies de l’information et de la communication (TIC) dans le but d’améliorer la qualité des services urbains et d’en réduire les coûts. Une meilleure compréhension de l’IoT (Internet des objets) a permis un déploiement à grande échelle de réseaux de capteurs électroniques capables de collecter et transmettre des informations en temps réel. Cela comprend des données collectées au travers de dispositifs mécaniques, d’actifs ou auprès des citoyens avec pour visée une meilleure gestion du trafic routier, de réseaux d’approvisionnement, de centrales électriques, etc. Les applications d’itinéraires comme Google Maps ou Waze vont déjà en ce sens en calculant à intervalles courts et réguliers, le chemin optimal à prendre en fonction du trafic actuel, des accidents, des travaux ou des intempéries qui pourraient impacter l’itinéraire habituel de l’utilisateur. On peut, aussi, évoquer les réseaux Smartgrids qui permettent d’ajuster sa consommation en temps réel en fonction des besoins énergétiques, minimiser les pertes en ligne d’énergie ou encore d’optimiser la production d’énergie. Tout cela a un prix, celui d’utiliser les données personnelles des citoyens, car sans cela, les Smart Cities n’auraient ni le même rendement, ni le même intérêt. De fait, nous sommes en droit de nous poser la question suivante : vivre dans une Smart City signifie-t-il sacrifier ses données personnelles ? GDPR, qu’est-ce que ça va changer pour les Smart Cities ? L’entrée de vigueur prochaine de GDPR sera synonyme de nouveaux de challenges en termes de conformités pour les Smart Cities. En effet, ce règlement vise à renforcer la protection des données personnelles pour les individus, tout en responsabilisant les entités et acteurs ayant recours à des traitements de ce type de données. Ainsi, au vu de la nature des données exploitées par les villes intelligentes (données de géolocalisation, identification d’appareils, suivi détaillé de la consommation électrique…), celles-ci devront obligatoirement se conformer à GDPR, et cela implique nécessairement une redistribution des cartes. La personne concernée reprendra le contrôle sur ses données, là où c’est actuellement les exploitants des Smart Cities qui ont la main mise dessus. Et donc, que peut-on faire pour s’assurer de la conformité d’une smart city avec GDPR ? Les Smart Cities devront obligatoirement mettre la protection de ces données au centre de leurs attentions durant le traitement. Cela peut être facilité par un certain nombre de notions qui auront pour conséquence de faire un pas vers la protection des données personnelles. En voici quelques-unes : Privacy By Design: le concept de Privacy by Design implique que les projets intègrent la notion de protection des données dès la conception. En incluant ce concept dans tous les projets de Smart Cities, un pas de plus est fait pour gagner la confiance des utilisateurs. Les études d’impact: une mesure pouvant être préconisée est de mener une étude d’impact de chaque projet sur la vie privée, permettant ainsi d’en voir la visée et d’optimiser les efforts sur comment réduire cet impact. Le droit à la portabilité: le droit de pouvoir récupérer ses données, en totalité ou en partie, dans un format ouvert et lisible par machine, montrant une réelle maîtrise des données utilisées des entités exploitantes. Le consentement: il est obligatoire de recueillir le consentement pour pouvoir exploiter les données collectées. Il faut pour cela identifier de nouvelles mesures pour obtenir le consentement. Si celui-ci ne peut être recueilli facilement, il faut mettre en œuvre des moyens qui empêchent la réidentification des personnes, comme des mesures d’anonymisation. Bien entendu, toutes ces mesures vont de pair avec une sensibilisation des citoyens afin qu’ils aient réellement conscience de l’enjeu autour des leurs données personnelles. En effet, 26% des personnes interrogées perçoivent le développement du numérique peut représenter une éventuelle atteinte à la vie privée. Une relation de confiance doit être instaurée entre les différentes parties prenantes de la Smart City pour déboucher sur une ville plus intelligente et respectueuse de la vue privée. Mehdi

NIST Cybersécurité Framework, approche d’analyse de risques sécurité Découvrir le NIST* Cybersécurité Framework Le NIST Cybersécurité Framework est un cadre conçu par le gouvernement américain, dédié aux institutions publiques et privées, avec pour objectif d’améliorer leur capacité à identifier, détecter et réagir en cas d’incidents de nature cyber. Ce Framework aide les institutions dans la protection de leurs actifs/ biens qui sont classés sensibles et / ou critiques. Il faut noter que le NIST CSF* n’est pas une règlementation imposée aux entreprises et n’est pas conçu pour remplacer les standards opérationnels existants tels que COBIT ou ISO 2700x. Il s’agit d’un référentiel de « best practices », capable d’évaluer de point de vue processus la maturité de l’organisation en termes de cybersécurité. Les 5 fonctions du Framework Le cycle de vie proposé par le NIST CSF, s’articule autour de 5 fonctions représentant un ensemble de critères relatifs aux différents aspects de la cybersécurité (22 critères au total), notamment la « gestion des actifs », la « gouvernance », la « gestion des risques », le « contrôle des accès », la « sécurité des données » et le « plan de reprise ». Ces éléments mettent à disposition 98 points de contrôle SSI concernant différents acteurs au sein de l’entreprise (RSSI, DSI, Contrôleurs interne, Administrateur…). Cette évaluation doit permettre de mettre en place les plans d’actions et les politiques nécessaires au niveau de maturité et de résilience des infrastructures critiques souhaité. Identifier (Identify) : la première fonction du NIST CSF réclame une compréhension complète et avancée de la gestion des risques cybersécurité affectant les systèmes, les actifs, les données et les ressources. Les organisations doivent identifier et gérer les actifs et les systèmes conformément à leur niveau de sensibilité, définir les rôles et les responsabilités des acteurs de la gestion risques et cybersécurité et maitriser le risque auquel s’exposent les activités métiers. Protéger (Protect) : après avoir identifié les actifs sensibles et maitrisé les risques cybersécurité, les organisations doivent maintenant protéger leur environnement en mettant en œuvre les mesures appropriées. Cette fonction préconise ainsi de contrôler les accès aux actifs, programmer des séances de sensibilisation et de formation, protéger les données et les technologies et déployer des politiques et des procédures pour maintenir les SI. Détecter (Detect) : pour répondre à la fonction « détecter », l’entité doit être en mesure d’identifier la probabilité de survenance d’un évènement cyber. Elle doit être munie d’un ensemble de moyens qui lui permettront d’anticiper ces incidents à travers des systèmes d’alertes et de disposer des compétences nécessaires. La veille fournit un moyen très efficace de prévention contre les menaces potentielles. Répondre (Respond) : l’entité doit être en mesure de déployer les mesures appropriées, immédiatement lors de la détection d’évènements cyber. Elle doit notamment élaborer un plan de réaction, établir les communications nécessaires entre les acteurs concernés, analyser les incidents, limiter leur propagation dans le réseau de l’organisme, mitiger le risque résultant et intégrer le retour d’expérience dans les prochaines stratégies d’intervention. Se rétablir (Recover) : cette dernière famille de critères de sécurité propose de définir et de déployer les actions nécessaires à la maintenance des plans de résilience et au rétablissement des ressources et services affectés par un incident cyber. L’entité doit mettre en place un plan de reprise et de continuité d’activité et maintenir à jour sa stratégie de reprise. Implémenter le NIST Cybersécurité Framework Périmètre d’application Le CSF est en lui-même une approche d’analyse de risques cybersécurité, développé par des intervenants du gouvernement américain et des experts sécurité civile pour compléter et améliorer les activités métiers et les procédures existantes de cybersécurité. Il a été utilisé et adapté par de nombreuses organisations dans le secteur privé, telle que Intel mais également dans le secteur public, comme les gouvernements américain et italien. D’après une étude de Gartner, 30% des organisations ont opté pour le CSF en 2015 et 50% d’organisations vont l’implémenter en 2020. Implémentation Dans son Framework, NIST associe ses points de contrôle (ce qu’on appelle aussi « sous-catégories ») à différents référentiels tels que : CCS CSC, COBIT 5, ISA 62445, ISO/IEC 27001, NIST SP 800-53 Rev.4. Le CSF peut être aussi personnalisé et adapté au contexte de l’entité concernée afin qu’il soit compatible avec son niveau de maturité. Pour une implémentation efficace du CSF, l’entité doit préalablement fixer les objectifs qu’elle voudrait atteindre. En d’autres termes, elle doit identifier ses infrastructures critiques, préciser le niveau de risque qui serait acceptable par tous ses départements et clarifier son niveau de maturité actuelle. L’étape suivante consiste à adapter le Framework au contexte de l’entité ; garder ou changer les 22 catégories cybersécurité selon les besoins et les activités métiers, identifier les niveaux d’évaluation des processus (Point de contrôle) par critère. Ainsi, pour le compte de l’un de nos clients, nous avons effectué une évaluation à trois dimensions : Une évaluation qualitative sur la maturité du processus, Une évaluation qualitative sur le périmètre d’application du processus, Une évaluation quantitative du point de contrôle par KPI*. A la suite de cette évaluation, le client est en mesure d’élaborer des tableaux de bords des indicateurs de performances collectés et de présenter les résultats obtenus dans les comités concernés. Il possède ainsi une visibilité sur ses risques cybersécurité, leurs niveaux de criticité et les écarts avec les objectifs qui ont été fixés avant le déploiement du Framework et peut maintenant mettre en œuvre les actions nécessaires pour les atteindre. Le déploiement du CSF peut être effectué dans un premier temps sur un petit périmètre afin de tester son efficacité, d’identifier les obstacles rencontrés et les actions nécessaires pour réussir le déploiement à grande échelle. *National Institute of Standards and Technology *Cybersecurity Framework *Key Performance Indicator Loubna

Qu’est-ce que Shodan ? Non, Shodan n’est pas une divinité de la Chine antique, il s’agit d’un moteur de recherche orienté hacking. A la différence de Google, Shodan ne référence pas des sites web mais des objets connectés (webcam, IoT, routeurs, interfaces web, interfaces industrielles, etc..). Shodan effectue des scans de ports sur le réseau internet et va ensuite indexer les résultats (les bannières) sur son site. L’outil est disponible à l’adresse suivante : https://www.shodan.io Mais à quoi ça sert ? En principe Shodan est utilisé par les hackers afin de trouver et d’exploiter des vulnérabilités sur des cibles « faciles ». L’utilisation la plus fréquente est la recherche de webcams peu sécurisées. En effet il suffit de taper le mot-clé « webcam » dans la barre de recherche afin d’identifier les webcams non sécurisées accessibles sur internet. Exemple d’une webcam IP ouverte sur internet où l’on identifie clairement le poste de travail d’une agence. Mais là où Shodan devient intéressant c’est qu’il permet à une entreprise de surveiller et de sécuriser son infrastructure. Mise en situation Mettons-nous dans le rôle de Serge Guidon, RSSI de la société « Guidon Corp. Celui-ci aimerait avoir une vision globale de son infrastructure exposée sur internet. Il pourrait évidemment utiliser une solution telle que Qualys ou Nessus mais ces solutions sont orientées « réseau interne ». Shodan, lui, permet d’identifier les infrastructures explosées sur internet et visibles par tous. Serge renseignera par exemple dans la barre de recherche les termes : « org:”Guidon Corp” country:FR ». Cette recherche va identifier dans la base de données Shodan toutes les informations sur l’organisation « guidon corp » localisée en France. La recherche ici : org:société country:FR Le nombre de résultats de la requête Des informations sur les résultats La liste des résultats. Serge Guidon constate un nombre conséquent de résultats concernant son entreprise. A partir du tableau de bord fourni par Shodan, Serge va pouvoir télécharger les résultats et les analyser afin de vérifier si l’ensemble de ces interfaces ouvertes sont légitimes, sécurisées et maîtrisées. Pour aller plus loin Voici des mots-clés qui permettront d’affiner vos recherches : Filtrage par ville : « city:paris » Filtrage par pays : « country:FR » Filtrage par nom de domaine : « hostname:societe.com » Filtrage par organisation : « org :societe » Filtrage par port : « port :8080 » Filtrage par adressage IP : « net:10.10.10.10 » Filtrage par produit : « product:apache » Filtrage par système : « os:windows » Filtrage par le titre de la page web : « title:”hacked by” » Shodan propose aussi des recherches préétablies créées par ses utilisateurs : https://www.shodan.io/explore/tag/webcam Yoann

Le paysage économique français connait un renouveau depuis maintenant deux décennies. En effet Le digital et les nouvelles technologies ont réussi petit à petit à s’immiscer dans notre quotidien, pour devenir aujourd’hui primordial, tant au niveau personnel, que dans nos habitudes professionnelles. Cette révolution technologique n’a épargné aucun secteur d’activité, les professionnels ont donc dû s’adapter à cette nouvelle demande en réinventant leur méthode de travail. Mais on note surtout l’émergence d’un nouveau marché porteur et à forte perspective de croissance : les technologies de l’information (IT). Cependant on s’aperçoit que le fort développement de l’IT n’a pas que des aspects positifs sur le marché. Certains domaines souffrent d’une pénurie des compétences, quand d’autres sont saturés par l’abondance des ressources humaines. Tendance actuelle du L’IT en France Quand on sait que les entreprises matures sur leur digitalisation et sur les métiers de l’IT ont une croissance six fois plus élevée que les entreprises les plus en retard, il est logique que ces sujets deviennent incontournables dans la stratégie de chaque entreprise. L’IT est utilisé en sous toutes ses formes pour améliorer la compétitivité de l’entreprise. Le marché français reste dominé par le conseil et les services. Ces prestations comptent pour 61% des revenus du secteur, devant l’édition logicielle (21%) et le conseil en technologie (17%). Le marché de l’édition de logiciel s’élève tout de même à 11 milliards d’euros en 2016. Le SaaS (tel que les logiciels CRM, les ERP, ou les SCM) se porte tout aussi bien. Néanmoins le SaaS n’est pas l’unique accélérateur de croissance du marché de l’IT en France. En effet la digitalisation a poussé plus de 76% des entreprises à effectuer leur transformation numérique afin d’améliorer leur efficacité opérationnelle, de réduire leurs coûts et d’améliorer l’expérience utilisateur. Aussi, le cloud joue le rôle de nouveau moteur des investissements dans les services IT en générant près de 3,5 milliards d’euros de recettes, grâce à une croissance estimée à 18%. Quelques mauvaises notes Le marché de l’IT français, considéré comme « rigide » est très en dessous des moyennes de ses concurrents en termes d’environnement entrepreneurial et innovation. Au-delà ces difficultés, un paradoxe existe belle et bien au sein du marché de l’I.T et plus particulièrement au niveau de l’emploi. En effet, malgré une activité économique en hausse du fait de la transformation numérique, le nombre de chômeurs dans l’IT n’a jamais été aussi important. *Source pôle emploi Au vu de ces chiffres on peut logiquement se demander si la transformation numérique ne détruit pas des emplois plus vite qu’elle n’en crée. On peut déjà remarquer que tous les métiers du numérique ne sont pas logés à la même enseigne. Une étude de Jobintree montre clairement des disparités entre les fonctions. Si les profils de techniciens et de responsables informatiques sont nombreux sur le marché, les entreprises sont peu en demande. À l’inverse, les développeurs et les responsables d’exploitation informatique sont chouchoutés par les recruteurs. Un exemple criant peut en témoigner, si pour une offre d’emploi de développeur, un employeur reçoit en moyenne moins de trois CV, c’est plus de 58 CV qui sont envoyés pour des postes de responsables informatiques. Avec un marché du travail qui pousse les plus jeunes à s’orienter vers le digital et les nouvelles technologies, il est nécessaire de mettre en place des dispositifs d’accompagnement permettant à ces futurs professionnels de bien déchiffrer les différents métiers de ce secteur d’activité pour créer une main d’œuvre compétente mais surtout variée, et ainsi limiter le risque d’encombrement dans des domaines où le besoin n’est pas forcément très important. L’importance réside dans la vision à moyen et à long terme car les besoins d’aujourd’hui ne seront certainement pas les besoins de demain. Il est donc nécessaire d’avoir une formation efficace et évolutive, car l’IT est le domaine où l’obsolescence de compétence deviendra l’une des préoccupations les plus récurrentes. Et la sécurité dans tout ça ? En raison des attaques toujours plus nombreuses, la cybersécurité s’impose comme un segment dynamique du secteur IT. Les nouvelles règlementations comme la RGPD contribuent à la croissance de ce marché. Mais tout ceci masque d’importantes disparités selon les segments et les profils d’acteurs identifiés comme par exemple les : Éditeurs de logiciels comme Symantec, Géants du numérique (IBM, Atos…) Start-up française. Dans le même temps, le big data et le cloud computing aident au renouvèlement des solutions de cybersécurité. Et l’arrivée de nouveaux entrants, attirés par les belles perspectives du marché, complexifie encore un marché ou l’intensité concurrentielle reste très élevée. Florian

L’« IoT » au service des individus et des entreprises : L’Internet des objets sert principalement de passerelle entre le monde numérique et le monde physique, dans un objectif de faciliter le quotidien de l’Homme. Les véhicules connectés, les maisons connectées, les moniteurs de santé et les dispositifs médicaux implantables en fournissent les meilleurs exemples. Si on me disait, il y a une vingtaine d’années, que je peux verrouiller ma maison ou allumer le chauffage de ma chambre avec un seul clic depuis mon smartphone et à 10km de distance de chez moi, je me dirais qu’on s’est inspiré d’un film de science-fiction où les progrès scientifiques exposés sont physiquement impossibles. Grâce à l’énorme émergence que connaît le monde des technologies de communication en ce moment (l’Internet, le RFID, le Bluetooth, le Wi-Fi, le ZigBee…), les appareils et les systèmes intelligents interagissent et commencent à frapper le grand public. Des études ont estimé que plus de 40 Milliards dispositifs intelligents seront connectés en 2020 (20 Milliards sont connectés en 2018). Quant aux entreprises qui sont mises sous pression de la concurrence internationale, elles commencent à ouvrir la voie au digital et à l’automatisation des services et des processus afin d’améliorer la qualité et les performances. Beaucoup d’entre elles tentent, via l’intégration des solutions « IoT », d’accroître le rendement de leurs activités et de gonfler leurs profits. La question qui se pose ainsi, ces entreprises font elle de la résistance face à la transformation digitale ? En dépit de tous ces avantages et objectifs que les organisations cherchent à atteindre, l’ « IoT » présente un large spectre de problèmes de sécurité, y compris le risque d’endommager les systèmes physiques, de produire des pannes industrielles et de permettre des fuites des données. Les appareils intelligents comprennent un certain nombre de vulnérabilités potentielles qui menacent grandement la sécurité et la confidentialité des données personnelles. Ceci suscite actuellement l’intérêt et l’inquiétude des organisations. La protection des données personnelles fait partie intégrante des obstacles majeurs qui constituent un frein pour leur croissance dans le marché. Les vulnérabilités de l’IoT offrent de nouvelles opportunités aux hackers ; ces derniers peuvent éventuellement s’infiltrer dans les systèmes avancés des victimes pour les infecter via des cyberattaques. Toute machine connectée au réseau constitue une faille face aux potentielles attaques qui la menacent si elle n’est pas sécurisée. Ceci peut engendrer l’exfiltration des données, l’exécution de commandes et la perturbation du fonctionnement du système ciblé. Outre la cybercriminalité, le règlement général pour la protection des données à caractère personnel (GDPR) vient pour mettre en conformité en matière de sécurité des données personnelles toute entreprise et organisation qui propose des services aux citoyens de l’union européenne, quelle que soit son origine. Ces nouvelles restrictions sont au centre des préoccupations des entreprises puisqu’elles imposent des pénalités et amendes sévères allant jusqu’à 4% du chiffre d’affaires sur celles qui ne la respectent pas. Les menaces coexisteront toujours avec l’IoT, elles doivent cependant être écartées pour un monde connecté et sécurisé. On renforce la sécurité des environnements de l’IoT en utilisant des techniques tels que, le chiffrement des données, l’authentification à double/ triple facteurs des utilisateurs, les pen-tests sur les applications validées … Les bonnes pratiques préconisent l’intégration de la sécurité et les techniques que je viens de citer, dans tous les niveaux de vos systèmes IoT. Les éditeurs de logiciels par exemple, doivent s’assurer de la fiabilité et la résilience du code utilisé en respectant les normes de développement avant de mettre en production leur solution. Certes, il est difficile de se protéger complétement contre les menaces, mais ce n’est pas impossible ; il s’avère indispensable de mettre en application ces contremesures afin de répondre positivement entre autres, aux exigences appliquées à la protection des données personnelles en partie et confidentielles en général. Loubna

Un rôle stratégique pour la sécurité La sécurité est aujourd’hui autant une évidence qu’une nécessité : quelle entreprise peut aujourd’hui se passer d’antivirus sur les postes de travail, de tests d’intrusion sur ses sites marchands ou de mettre en place de certificats sur ses sites web ? Si ces principes paraissent si évidents, cela veut aussi dire que nous sommes passés de la sécurité opérationnelle à la sécurité stratégique. La question n’est alors plus « comment dois-je installer mon antivirus ? » mais « comment puis-je protéger mes utilisateurs ? » et ce changement de prisme donne une toute autre dimension au rôle du Responsable de la Sécurité au sein de l’Entreprise : le RSSI. Le RSSI : un luxe ? Le poste de RSSI dans les entreprises est devenu la norme aujourd’hui. Cet acteur est maintenant incontournable dans la vie de l’Entreprise et dans son évolution. Il est là pour apporter un cadre sécurisé pour le développement de l’entreprise et des gages de gestion des risques informationnels en interne et en externe. Les RSSI ne peuvent plus se contenter d’avoir des profils techniques et pointus, discutant uniquement avec leurs congénères techniciens ; ils doivent aussi (et surtout !) être en mesure de prendre en compte les enjeux stratégiques de l’entreprise, discuter avec tous les Métiers de l’Entreprise pour leurs apporter les meilleures solutions de maîtrise des risques et adapter les bonnes pratiques de gouvernance de la sécurité à leur contexte de travail. Cette évolution « culturelle » a permis au RSSI de passer un cap mais a aussi rendu ce genre de profils rare et très recherché. Les grandes entreprises se sont dotées de ce poste et ont réussi en majorité à pourvoir les postes ouverts, mais pour les petites et moyennes entreprises c’est une autre histoire. Ce que nous remarquons globalement dans les PME Françaises, c’est que les principes de sécurité opérationnelle sont appliqués à différents niveaux de maturité, mais que le RSSI est la plupart du temps absent : la fonction est alors cumulée par une autre fonction (DSI, Responsable d’Exploitation, etc.) de manière ponctuelle et compensatoire. Avoir un poste dédié pour la sécurité est alors vu comme un luxe, pas tant par les services informatiques, qui en voient la nécessité, mais par le management de l’Entreprise. Du moins, tel est le cas, jusqu’à la première attaque Malware ou défacement de site web. Mais alors le jeu vaut-il vraiment la chandelle de courir un tel risque ?  Ou alors les PME sont-elles condamnées à courir ce risque en permanence ? La solution du CISOaaS Le RSSI (en anglais CISO) peut lui aussi suivre la mode de la mutualisation : Quoi de mieux que de disposer d’un expert en sécurité, qui connait votre Entreprise et qui peut intervenir à la demande selon vos besoins en termes de sécurité. Les besoins de sécurité pour les PME peuvent être ponctuels par exemple : Je dois rédiger une politique de sécurité ou une charte informatique pour mes employés. Je veux mettre en place un site web et j’aimerais valider les mesures de sécurité. Les besoins peuvent aussi être urgents : J’ai une attaque Malware, je fais comment ? Un de mes clients me demande un Plan d’Assurance Sécurité avant de contractualiser avec nous. Pour tous ces besoins de sécurité, il important de disposer d’un service flexible et efficace qui repose sur un ou des experts en sécurité qui connaissent l’organisation et qui peuvent intervenir à la demande. Chez Actinuance, nous mettons à disposition des PME notre expertise en sécurité pour les accompagner au mieux de leurs besoins de ressources. Cet accompagnement s’articule autour : D’une prise de connaissance de l’organisation pour bien connaître les enjeux et le contexte de l’entreprise et être à même d’intervenir rapidement dans l’organisation D’un support de conseil pour répondre aux questions organisationnelles, fonctionnelles et techniques liées à la sécurité des SI D’une base de méthodologie, de benchmark de sécurité et de livrables-types que nous avons constitué tout au long de nos missions D’outils de pilotage de risques, d’aide aux choix solutions de sécurité et de cartographie de données sensibles Pour plus d’informations sur notre offre « CISOaaS », rendez-vous sur notre site internet : https://www.actinuance.com/cisoaas/ Nidhal

Le cloud computing s’est largement démocratisé au point de s’imposer comme étant la forme de stockage des données de notre époque. Visée et mise à mal par les cyberattaques qui n’ont pas cessé de déferler dernièrement, le cloud a montré qu’il n’était pas aussi sécurisé que ce que l’on pourrait penser. MAIS AU FAIT, C’EST QUOI LE CLOUD COMPUTING ? Le cloud computing est un ensemble de matériels et de services informatiques mis à disposition d’un individu ou d’un collectif via Internet dans le but de les exploiter. Parmi ses applications concrètes, on peut citer Google Drive ou Office 365. Le cloud computing est essentiellement un ensemble de services commerciaux proposés à des individus ou entités externes et décliné sous trois offres distinctes : IaaS (Infrastructure as a Service) : le service fournit au client un parc informatique virtualisées. Il est principalement à destination des centres de traitement des données PaaS (Platform as a Service) : le service fournit l’infrastructure, le système d’exploitation et les outils, tandis que le client contrôle ses applications et peut ajouter des outils. Ce cas est similaire à l’hébergement web SaaS (Software as a Service) : le service fournit les applications au client qui peut les gérer à parti d’un navigateur web ou d’une interface graphique installée en local. Les services de messagerie électronique en sont un exemple. QUELS SONT LES PRINCIPAUX RISQUES DE SÉCURITÉ ? Les attaques dans le cloud peuvent prendre plusieurs formes et peuvent viser le fournisseur de services tout comme le client. Les plus courantes et compromettantes sont les suivantes : L’attaque par Déni de Service (ou attaque DDoS) : consiste à rendre un service temporairement indisponible un service en innondant un serveur de requêtes. L’attaque par balayage de ports : elle touche particulièrement les cloud publics, l’hacker cherche un port de communication ouvert exploitable. L’attaque du Man In The Middle : Il s’agit d’une attaque dans laquelle un hacker réussit à s’insérer dans une communication entre le serveur et le client et se fait passer pour les deux parties afin d’intercepter et échanger des données potentiellement altérées. QUELLES MESURES A ENVISAGER POUR LES FOURNISSEURS ? Quand on opte pour un fournisseur de cloud, ce dernier s’engage tacitement à sécuriser les données qu’il va héberger. Voici quelques points sur lesquels le prestataire doit s’engager pour assurer la sécurité du cloud : La sécurité physique de l’infrastructure : Cela peut paraître saugrenu mais un cloud nécessite une infrastructure physique conséquente. Les datacenters doivent être sous vidéosurveillance, vérifier les logs d’accès au centre, respecter que la structure est en conformité avec les normes anti-incendie. Il est aussi important que le fournisseur ait plusieurs datacenters à sa disposition, en cas de compromission de l’un d’eux. Afin d’assurer au mieux la sécurité physique de l’infrastructure, il est essentiel de la faire auditer régulièrement, voire en continu. La sécurité des données hébergées : Sur les cloud partagés, les données doivent être cloisonnées, afin de garder leur intégrité, en ayant recours à des VLAN ségrégés, des tables de routage et des firewalls dédiés. Quand cela est requis, le fournisseur doit crypter les données qu’il héberge et identifier la personne en charge de la gestion des clés de cryptage. De même, le transport des données entre le datacenter et l’extérieur doit être sécurisé recours à des tunnels et connexions chiffrés, par exemple. Contrôler les accès : Le fournisseur doit être en possession de moyens permettant de réglementer l’accès au cloud et maintenir des logs de connexion à jour. La réversibilité : Si vous prend l’envie de changer de fournisseur de cloud, ce dernier se doit de détruire toutes les données transférées chez un nouveau prestataire. Une fois ces points remplies, le client devrait avoir une meilleure visibilité et une maîtrise plus complète de ses données sur le cloud.

Actinuance Consulting vous souhaite à tous de très bonnes fêtes de fin d’année et une belle année 2018 ! Merci à tous ceux qui nous ont suivi et aidés tout au long de cette année 2017. Grâce à vous tous, aujourd’hui, Actinuance c’est : 1 000 capsules Nespresso (what else?) 146 croissants et pains au chocolat 4 Team Building (dont un lancer de haches – eh oui !) 1 Paella, 1 Fondue (on s’est arrêtés là : il faut continuer à rentrer dans le costume et ne pas être trop épais) 4 gâteaux d’anniversaire (bon en fait, on ne s’est pas arrêtés là) Mais on a encore des progrès à faire, parce que Actinuance c’est aussi : 1 vitre cassée 1 plante qui n’a pas survécu Merci à tous et continuez à nous inspirer !

Bitcoin est un système de paiement peer-to-peer qui s’est fortement démocratisé depuis une dizaine d’années. Son principe consiste à se dispenser des tiers de confiance habituels, en faisant reposer la confiance sur la preuve cryptographique. Bitcoin est donc une forme de monnaie numérique, créée et tenue par voie électronique et non-contrôlée par les organismes habituels. Les Bitcoins ne sont pas imprimés, comme les monnaies traditionnelles, mais produits par des personnes ou des entreprises. Cette monnaie est utilisée dans l’achat et la vente en ligne. Cependant, sa caractéristique la plus importante, et ce qui la différencie de l’argent conventionnel est qu’elle soit décentralisée. La blockchain est sans doute l’innovation la plus importante introduite par Bitcoin. On ne peut pas parler du Bitcoin sans mentionner cette technologie de registre visible publiquement qui permet des transactions transparentes tout en préservant l’anonymat de ses utilisateurs. La blockchain est essentiellement une base de données distribuée traçant toutes les transactions Bitcoin depuis son apparition, le 3 janvier 2009. Il s’agit du socle qui rend possible les monnaies numériques peer-to-peer distribuées. D’un point de vue sécurité, le système Bitcoin garanti la disponibilité et l’intégrité via l’utilisation de la technologie Blockchain. La confidentialité est assurée par l’anonymat de l’utilisateur et des transactions effectuées : une adresse différente est générée lors de chaque transaction afin de ne pas associer la transaction à un utilisateur. Par ailleurs, le système Bitcoin exige un accès physique ce qui tend à sécuriser l’authentification de l’utilisateur. En supprimant l’intervention des tiers de confiance, le système Bitcoin offre une certaine liberté à ces utilisateurs, mais tend également à les responsabiliser. Ainsi plusieurs changements sont notables par rapport aux systèmes classiques : Le système, purement peer-to-peer, interdit l’intervention (interruption des transactions, gel des comptes) et le contrôle d’établissements financiers ou étatiques Les transactions Bitcoin sont plus rapides et généralement moins coûteuses que les transferts d’argent classiques. La transaction Bitcoin est irréversible : les transactions étant anonymes, il est impossible de revenir en arrière. L’authentification et les mesures à mettre en place pour la garantir sont laissées à la responsabilité de l’utilisateur : sécurité physique des « devises » et disponibilité de ces devises.

Les années 90 ont marqué l’histoire en introduisant une technologie jugée révolutionnaire : « Internet ». Aujourd’hui c’est la « Blockchain » qui prend la relève, une nouvelle technologie qui permet de se passer de tout intermédiaire. Mais que veut dire « Blockchain » ? En effet la blockchain peut être définie comme un registre de compte important sur lequel tout le monde peut y avoir accès et où chaque page représente un bloc. Les individus appelés « Mineurs » se chargent de valider ces blocs qui par la suite ne pourront subir aucune modification. Ainsi la blockchain permet de stocker une donnée dans un réseau public tout en étant certain que personne n’aura la capacité de la supprimer ou de la modifier. Et alors … ?! Imaginons que vous souhaitez envoyer de l’argent à une personne qui habite dans un autre pays. Pour réaliser cette transaction vous êtes dans l’obligation de passer par une banque, de payer des frais importants mais aussi d’attendre plusieurs jours avant que l’argent soit arrivé chez votre destinataire. Ainsi, avec la technologie blockchain vous avez la possibilité de réaliser la même transaction en limitant ces contraintes (suppression des intermédiaires, diminution des frais et allègement des délais). De plus, la blockchain est constituée d’une autre application qui est celle de la protection de la propriété (numérique et intellectuelle). En effet, cette-dernière est capable de stocker des « Blueprint » qui jouent le rôle de brevets et qui serviront donc de preuve en cas de litige. Focus sur la cybersécurité Dans une aire où les attaques se multiplient, la sécurité informatique semble jouer un rôle de plus en plus important au sein des entreprises. Celle-ci est déclinée en quatre grands axes : Disponibilité Intégrité Confidentialité Traçabilité La première analyse de la technologie blockchain permet de comprendre qu’elle possède la capacité à répondre à trois des quatre grands axes de la sécurité informatique : Disponibilité : à travers son caractère distribué (voir exemple ci-après), Intégrité : à travers l’impossibilité de modifier les données stockées sur la blockchain, Traçabilité : à travers l’enregistrement et l’accessibilité de toutes les transactions et évènements dans le monde entier. Néanmoins, le premier challenge de la blockchain en termes de sécurité sera de trouver une réponse à l’axe de la confidentialité qui représente un besoin primaire pour les entreprises gérant des données à caractère sensible. Et si la Blockchain devenait « Mainstream » ! Le 10 Mai dernier, un « aiguilleur du Net » français (Cedexis) a subi une attaque de déni de service distribué (DDoS) entrainant dans son sillage plusieurs grands sites d’informations français (Le Figaro, Le Monde, Le Parisien ou encore L’Équipe), les mettant alors hors service. L’attaque par saturation de requêtes DNS ciblait le réseau DNS Anycast, son impact pour une grande partie des sites a duré entre 5 et 53 minutes, une durée d’indisponibilité très importante. Figure 1 : Attaque DDoS (DNS classique) Ainsi, imaginons une situation où les enregistrements DNS sont sauvegardés sur la Blockchain. Grâce à celle-ci le niveau de sécurité s’améliorera de façon considérable car elle pourra réaliser le scénario suivant : Remplacer le DNS classique centralisé par un DNS distribué qui pourra faire face aux attaques DDoS en supprimant la cible unique que les hackers peuvent attaquer pour compromettre l’ensemble du système. Figure 2: Attaque DDoS (DNS distribué) Aymen

Avec l’arrivée du Règlement Européen relatif à la protection des données à caractère personnel dans moins de neuf mois et l’augmentation des montants de sanctions, de nombreuses entreprises désirent se mettre en conformité. Cette mise en conformité peut parfois s’avérer coûteuse pour les entreprises dotées d’une organisation complexe. Il est donc important de prioriser les actions de mise en conformité et de focaliser ces efforts sur les thématiques critiques. Pour déterminer ces « thématiques critiques », nous vous proposons une étude sur les sanctions attribuées par la CNIL sur ces sept dernières années. Source : https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil Cette étude a pour but d’analyser : Le type de sanction (simple avertissement ou sanction financière) Les causes de ces sanctions LES TYPES DE SANCTION Les sanctions attribuées par la CNIL sont de quatre types : Avertissement non-public Avertissement public Sanction pécuniaire non-publique Sanction pécuniaire publique Voici la répartition de ces sanctions depuis 2011 : Les sanctions de la CNIL peuvent avoir deux types d’impact sur une entreprise : Impact sur l’Image de l’entreprise Impact Financier Il est à noter que les sanctions pécuniaires sont actuellement limitées à 150 000 €, ce qui ne sera plus le cas avec le RGPD. LES CAUSES DE SANCTION Les principales causes de sanction CNIL sont : Le Traitement illicite de données à caractère personnel Les manquements de Sécurité Le non-respect des droits des personnes concernées La non-coopération avec la CNIL Il est néanmoins à noter que tous ces manquements ne sont pas équivalents et ne sont pas sanctionnés de la même manière par la CNIL. Ainsi, si la sécurité représente 29% des motifs de sanctions, elle ne représente que 19% des sanctions pécuniaires. Le principal motif de sanction reste le traitement illicite, avec en particulier le défaut d’information des personnes concernées et le défaut de collecte du consentement. Pour ce motif, la CNIL n’hésite pas à attribuer la sanction maximale, ce qui a été le cas pour un célèbre moteur de recherche ou encore pour un célèbre réseau social récemment. Le second motif de sanction pécuniaire est le non-respect des droits des personnes, avec en particulier le non-respect des droits d’opposition et d’accès. Si ce motif est encore peu regardé par la CNIL (15% des sanctions), les sanctions attribuées sont à plus de 75% d’ordre pécuniaire. La sécurité est un domaine auquel la CNIL s’intéresse de plus en plus. En effet le nombre de sanctions CNIL liées à un manquement de sécurité a augmenté de 450% en 7 ans, soit en moyenne plus de 50% par an. NOS PRÉCONISATIONS Sachez où sont vos données et ce que vous en faites ! Disposer d’une cartographie de vos Données à caractères personnel et de vos Traitements vous permettra : D’informer les personnes concernées des Traitements réalisés : Une fois les Traitement cartographiés, vous connaissez les données utilisées, et la finalité du Traitement. Reste à rédiger un message d’information et à le diffuser. D’être en capacité de respecter les droits des personnes : Vous savez où sont les données de chaque personne et vous êtes en capacité de les lui communiquer, de les modifier, de les effacer sur l’ensemble de votre SI ou de justifier pourquoi ce n’est pas possible. Reste à déterminer les conditions auxquelles vous accepter d’accéder à la demande. De sécuriser votre SI : savoir quelle sont les données à protéger est la première étape vers la sécurisation de votre SI Réaliser cette cartographie vous semble compliqué ? Nous pouvons vous y aider grâce à notre outil IT Maps, qui scan votre SI et cartographie vos données et traitements IT. Une fois que vous disposez d’une telle cartographie, il vous faut encore analyser chaque Traitement afin de vous assurer de sa licéité. Enfin, il vous faudra adapter les processus de votre entreprise, mais cela fera l’objet d’un autre article. Aymen

La restriction de l’accès n’est pas suffisante pour empêcher un acteur malveillant de s’introduire dans les systèmes. Comment les entreprises peuvent-elles donc mieux gérer leurs comptes d’utilisateurs (à privilèges, administrateurs, clients, maintenance…), contrôler l’accès et surveiller les actions d’accès non autorisées ? C’est maintenant le moment d’examiner vos politiques de sécurité et votre système de contrôle d’accès afin de vous assurer qu’ils répondent bien à vos besoins et qu’ils sont conformes aux normes internationales de sécurité. Règle N° 1 : Dotez votre entreprise d’un système de sécurité efficace Votre entreprise doit se doter d’un système de sécurité qui utilise des niveaux de sécurité qui sont adaptés à chaque environnement de travail et à chaque fonction. Pour cela, il est nécessaire d’identifier vos données sensibles et d’évaluer vos activités en termes d’exigences de sécurité. Par ailleurs, la réalisation d’une analyse annuelle du système de contrôle d’accès est une étape critique dans la création d’un processus systématique d’évaluation de la sécurité de votre organisation et c’est le principe de la meilleure pratique qui fournit un cadre pour toutes les autres règles qui vont suivre dans cet article. Règle N° 2 : Implémentez un système d’authentification fort (minimum à trois facteurs) Pour sécuriser l’accès aux sources d’informations de l’entreprise et s’assurer qu’un utilisateur est bien celui qu’il prétend être. Pour certaines activités critiques, il est fortement conseillé de mettre en œuvre au moins 3 techniques de pré-authentification. Certes, l’authentification à deux facteurs (mot de passe et carte à puce ou token…) peut protéger sur le périmètre de travail, mais elle doit être associée à des couches supplémentaires de sécurité en matière d’authentification en dehors. On utilise par exemple une reconnaissance avec un mot de passe, une smartcard et une caractéristique personnelle comme une empreinte digitale ou d’autres facteurs pour s’assurer plus sur l’identité de l’utilisateur qui est autorisé à accéder à une source de données quelconque. Cela augmente la protection contre la violation de données et contre toute attaque extérieure qui pourrait menacer l’intégrité de l’organisme. Règle N° 3 : Si vous n’avez pas besoin de travailler avec cela, vous ne devriez pas y avoir accès C’est bien naturel de n’affecter aux utilisateurs, quelles que soient leurs fonctions, que les droits d’accès dont ils auront besoin, ni plus ni moins. Ce qu’on appelle en anglais Doctrine of Least Access : Les auditeurs ont toujours recours à cette philosophie pour bien définir les contrôles d’accès et restreindre au minimum les droits du personnel IT, administration, maintenance et auxquels s’ajoutent les clients ou les fournisseurs en cas d’existence. En particulier, il faut contrôler le plus les accès des employés informatiques puisqu’ils disposent généralement des droits d’accès qui peuvent engendrer un maximum de dégâts en cas d’utilisation frauduleuse. Nombreuses sont les entreprises qui ont été victimes d’une action interne malveillante provenant d’un personnel IT et qui par la suite l’ont payé cher. Règle N° 4 : Surveillez les activités des comptes Il est conseillé de suivre une réalisation régulière des revues de comptes sur le périmètre des directions, incluant l’identification des comptes contrôlés, les comptes en anomalie et le contrôle de la correction des anomalies (comptes orphelins, à privilèges, comptes dormants, etc.). Votre plan d’action va se baser sur une revue d’habilitation qui permet de valider si le profil a des droits en accord avec sa fonction, si le profil est toujours en activité et si la politique des mots de passe suivie est conforme à la politique de sécurité (exemple : Transmission du mot de passe, changement du mot de passe lors de la première connexion, déblocage ou réinitialisation par un administrateur dûment habilité, complexité des mots de passes, etc.). La correction des anomalies doit être immédiate ; il faut demander des dérogations ou suppression du compte. Règle N° 5 : Sensibilisez de façon permanente vos employés Il suffit qu’un seul employé ouvre une pièce jointe infectée par un virus malveillant pour être victime d’une attaque de phishing et permettre aux attaquants de s’introduire dans votre réseau. Vous devriez impérativement programmer des séances de sensibilisation pour l’ensemble du personnel et leur faire comprendre les enjeux de la sécurité informatique pour l’entreprise et pourquoi pas présenter des exemples pratiques pour éviter de tomber dans de tels incidents. Il faut sensibiliser également vos partenaires / fournisseurs et clients en cas d’existence, dont généralement impliquent différentes exigences d’accès et différents niveaux de confiance. Loubna