www.ecoreseau.fr
n°21
STRATÉGiE & innOVATiOn nuMÉRiQuE Haute résolution - Cybercriminalité l’Homme, ce maillon faible
P Dénideservice,rançonnage,espionnage,piratage...Silessolutionstechniquespourseprotégerexistent, elles doivent être complétées par des solutions humaines...
lus de la moitié – Puis les systèmes d’infor- majoritairement d’individus 55%, c’est la pro- mation des entreprises se isolés, ils sont maintenant portion, impression- sont ouverts aux sous-trai- de plus en plus organisés
nante, d’entreprises qui ont tants, partenaires, collabo- et professionnalisés – consé-
été victimes d’une fraude informatique en 2013 et 2014, selon une étude de Price Waterhouse Cooper publiée à la fin de l’année dernière. Même si, comme le pensent les auteurs de l’étude, c’est là plus l’effet d’une meilleure détection des attaques que de l’aug-
rateurs avec des tablettes ou des ordinateurs porta- bles, objets connectés (dont le nombre et les types ne cessent d’augmenter)... De plus, le système informa- tique lui-même se trouve en plusieurs endroits : dans les bureaux, les usines de production, et dans les pro-
quence de la monétarisation croissante des données.
43% des fraudes reportées par les entreprises françaises ont été repérées grâce à l’analyse de données
DIFFÉRENTS TYPES D’ATTAQUES
« On peut distinguer au- jourd’hui trois familles d’at- taques : le déni de service, les escroqueries et l’espion- nage », énumère Edouard
mentation pure et simple
de leur nombre, c’est un
chiffre qui traduit une trop
forte vulnérabilité. l’inter-
connexion foisonnante des
réseaux, des personnes et
des objets a fait fortement
évoluer la cybercriminalité,
en particulier à l’encontre
des entreprises. Plusieurs
facteurs y contribuent, au
premier rang desquels on
trouve les nouveaux usages
numériques. Au départ, le
réseau de l’entreprise fonc-
tionnait en vase clos : on
pouvait protéger le périmè- évolué. S’il y a quelques
Jeanson, directeur technique Security Global line chez Sogeti, un des leaders des services technologiques et du test de logiciel.
tre relativement facilement. années il s’agissait en
Dématique® & Gouvernance
vec le recul il est curieux de deux extrêmes existe bien sûr tout un en- dernière interrogation pleine de bon sens constater que la grande majorité semble de données/documents intermé- consiste à envisager la mise en place de des systèmes d’archivage électro- diaires. systèmes d’archivage électroniques pro-
duits eux-mêmes de plus en plus souvent, sur diffé- rents serveurs en mode Cloud... « En augmentant le nombre de connexions, en éparpillant les données, on a multiplié la surface d’attaque », explique Sé- bastien Faivre, directeur gé- néral de Brainwave, qui se spécialise dans l’analyse en continu des données sur les droits d’accès aux applica- tions et aux données.
« J’ai envoyé mon mot de passe à tous mes contacts. Malin... Si je ne m’en souviens plus, je n’ai qu’à demander... »
De plus, le profil des pirates a lui aussi considérablement
DROITS D’ACCÈS ET ANALYSE DES DONNÉES
Le paradoxe des systèmes d’archivage électroniques
la première, plus couram- ment appelée DDoS (pour Distributed Denial of Ser- vice), vise à empêcher le site de la victime de fonc- tionner en l’inondant de re- quêtes à un instant précis. Ce sont des attaques assez faciles à réaliser, qui ne de- mandent pas de compétence technique particulière. Elles représentent environ 40%
la deuxième est constituée par les escroqueries : no- tamment le ransomware, où la personne met un piège dans le système informatique – généralement, en chiffrant une partie de vos données – et vous demande une ran- çon pour libérer ce piège. Enfin, l’espionnage cherche à envoyer hors de l’entre- prise des données sensibles. les solutions techniques
wall, canaux de communi- cation séparés, etc., existent. Mais la technique n’est qu’une partie du problème : il faut également penser à l’organisation et au juridique. C’est pourquoi il faut avant tout mener une analyse des risques : qui est intéressé par quelles données, et pour quel usage ? Et décider en- suite de ce que l’on veut protéger. Par exemple,
tre sur le Cloud ? une autre précaution utile est de mettre une clause sécurité dans les contrats avec les partenaires détaillant les responsabilités de chacun. Enfin, pour les risques trop chers à couvrir, il existe des polices d’assu- rance.
Acore des attaques. pour se protéger, type fire- quelles données va-t-on met- une mesure qui concerne
58 Juin 2015
par
un seul et unique niveau de service, sys- tématiquement le plus élevé possible en termes de sécurité en ce qui concerne la disponibilité, l’intégrité, la confidentialité et la traçabilité.
nées/documents avec le même niveau de service/sécurité ? En fait on ne s’est pas vraiment posé la question jusqu’à présent tant l’on se satisfait déjà de savoir gérer et assurer la pérennité des données/docu- ments numériques dans les meilleures conditions possibles. Cependant ce type de raisonnement montre vite ses limites qui sont dictées par un souci évident d’économie : pourquoi payer un service relativement cher pour des données/do- cuments qui ne le nécessitent pas vrai- ment ?
du plus sécurisé au moins sécurisé tout en respectant un niveau acceptable. n’est-ce pas ce dont on dispose déjà en matière de signature électronique qui, autre para- doxe, nous a été imposé dès le départ en regard de la directive européenne de 1999 sans doute pour permettre un développe- ment aussi rapide que possible de la si- gnature électronique tout en évitant une complexité systématique injustifiée ? Force est de constater que le résultat n’est pas au rendez-vous tant pour l’archivage électronique que pour la signature élec- tronique !
Jean-Marc Rietsch
D’où vient le paradoxe, alors qu’à l’inté- rieur d’une organisation quelle qu’elle soit, toutes les données/documents gérés n’ont évidemment pas la même impor- tance, la même criticité, il s’agit là d’une évidence. En effet si l’on peut se permet- tre de « perdre » un bon de livraison, il en va tout autrement s’il s’agit d’un contrat de plusieurs millions d’euros et entre ces
Président de FediSA
la meilleure manière de répondre à cette
niques mis en place proposent à ce jour Alors pourquoi conserver toutes les don- posant différents niveaux de service allant