Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Grandes tendances du net : ce qu'on attendait et ce qui s'est-il vraiment passé

Sécurité du Cloud, cybersécurité, failles du net, internet des objets... Avec l'émergence de nouvelles tendances sur le net, les grands acteurs de la sécurité informatique ont dû s'adapter, et faire évoluer leur approche. Le spécialiste américain des équipements de sécurité du net Blue Coat dresse un bilan des quatre évolutions majeures qui ont eu lieu entre 2012 et aujourd'hui.

S’il y a bien un univers qui s’est considérablement transformé au cours des dernières années, c’est bien celui du net. Une quantité de nouvelles fonctionnalités, de nouvelles plateformes, logiciels, services ont fait leur entrée sur la toile et ont totalement changé la donne du marché global. Ces évolutions technologiques ont transformé en profondeur notre quotidien. Tant au niveau des moyens de communications, que des outils de travail ou encore de notre style de vie. Cependant, ces refontes majeures apportent aussi leur lot d’ennuis.

A chaque émergence d’un nouveau service, ce sont les hackers qui les premiers se frottent les mains. Les entreprises, qui ont gagné en flexibilité, en réactivité grâce aux progiciels de gestion intégré devenus incontournables, sont confrontées à des failles de sécurité d’autant plus grandes. Idem pour les utilisateurs qui prennent de plus en plus de risques de voir leur données privées subtilisées et utilisées à mauvais escient. Et ne parlons même pas des données ultraconfidentielles recelées par les gouvernements…

Côté législatif, les relations progressent entre l’Union européenne et les Etats-Unis. Le 6 Octobre 2015, la justice européenne invalidait l’accord  »Safe Harbor » ou  »sphère de sécurité » en français qui encadrait le transfert des données personnelle de l’Union Européenne vers les Etats-Unis. Suite aux révélations d’Edward Snowden, en 2013, sur les programmes de surveillance de masse de la NSA, la Cour de justice européenne (CJUE) estimait que les USA ne présentaient pas les garanties suffisantes pour la protection de la vie privée et a donc fait annuler cet accord.
Echec donc diplomatique. Depuis le 2 février 2016, la Commission Européenne et les États-Unis se sont finalement accordés sur un nouveau cadre pour les transferts transatlantiques de données, le «bouclier vie privée UE-États-Unis» ou « E.U.-U.S. Privacy Shield » avec des réglementations beaucoup plus strictes sur la résidence et la souveraineté des données. Dans ce contexte, le spécialiste américain des équipements de sécurité du net Blue Coat vient de présenter son analyse de l’impact des grandes tendances sur la sécurité du web, et comment notre approche a évolué depuis 2012.

Le Cloud, de l’usage restrictif à une redéfinition des frontières légales. Service le plus massivement utilisé et dédié au stockage des données, le Cloud a bénéficié d’un engouement dès son apparition et ce, jusqu’à ce qu’apparaisse le déferlement d’une vague de cyberattaques APT (menaces persistantes avancées). En ligne de mire les grandes enseignes et les administrations publiques qui depuis, ont fait preuve d’une certaine frilosité à l’égard de ce service. Redoutant que les hackers ne recommencent de plus belle en 2012.
Mais ce phénomène n’est pas resté sans conséquence avec le développement des nouvelles technologies et l’évolution des solutions de sécurisation des applications dans le Cloud. Lesquelles conduisent à redessiner les limites de ce nuage de données, plutôt que de prôner un usage restrictif. Parmi ces solutions, la tendance qui retient le plus l’attention est celle des Cloud Access Security Brokers (CASB). Cette dernière consiste à déployer dans l’entreprise et dans le Cloud, des points de concentration entre les utilisateurs et les services du Cloud afin d’appliquer les politiques de sécurité de l’entreprise en divers endroits. Authentification, autorisation d’accès, SSO, tokenisation, chiffrement… sont autant de réponse que devraient réclamer les CASB. « Les frontières entre les applications et les processus opérationnels compatibles avec le Cloud feront l’objet d’une nouvelle délimitation. Les entreprises utiliseront plus volontier le Cloud là où cela aurait été considéré comme inconcevable il y a quelques années » affirme le rapport.

 

Washington s’attèle enfin à la législation de la sécurité informatique. L’année 2012 s’était soldée par un échec avec le rejet par le Sénat du projet de loi Cybersecurity Act. Une initiative qui avait été manquée de peu, avec un vote de 52 voix contre 46.  »A ce moment, nombreux sont ceux qui pensaient que ce rejet empêcherait l’adoption de la moindre législation en matière de cybersécurité pour le reste de l’année, voire pour les années à venir » commente le rapport. Cette année, la situation a nettement évolué puisqu’un projet de loi sur le partage d’information des sécurités informatiques a été adopté par le Sénat, à 74 contre 21 voix. Ce qui est une nette victoire ! Avec en prime, un plan d’actions national en matière de cybersécurité (CNAP) afin de renforcer les systèmes de protection numérique des États-Unis.

Si les données financières sont mieux protégées, l’usurpation d’identité dans le secteur médical reste de taille. L’année 2012 a connu un véritable essor du piratage des données. Entreprises, Etats, simples utilisateurs… les victimes ont été comptées par millions. Avec pour principal cible des hackers les informations relatives aux cartes de crédit, qu’ils obtenaient et revendaient ensuite sur le marché noir. Hameçonnage, cheval de Troie, ver, logiciel espion, attaque par déni de service, spoofing, attaque par rebond… les attaques des hackers ont considérablement évolué depuis quatre ans. Il devient même quasiment impossible pour une entreprise de savoir quand a-t-elle été attaquée. Et les branches les plus durement touchées restent le secteur financier et médical.
Côté finances, un avantage reste de mise car les données financières, à partir du moment où elles ont été dérobées, deviennent inexploitables une fois que la victime s’aperçoit de la fraude et fait opposition sur sa carte. Dans le secteur médical il n’en va malheureusement pas de même… En effet, il est pratiquement impossible de changer un numéro de sécurité sociale, et l’on sait tous ô combien les administrations de sécurité sociales sont longues à réagir ! Il en va de même avec les dossier médicaux et pharmaceutiques. Sans compter les arnaques aux assurances santé…

L’internet des objet, coeur de cible des attaques par des machines « zombies ». En 2012, l’IdO ou internet des objets n’en était qu’au stade embryonnaire, même s’il bénéficiait déjà d’une grande popularité auprès des utilisateurs et des entreprises. Surtout en ce qui concerne la tendance du bring your own device (BYOD) qui consiste à autoriser les employés à apporter leur propre ordinateur pour travailler au bureau. Bien sûr, cette nouvelle vague a aussi apporté son lot de vulnérabilité informatique puisque de fait, les employés accèdent à des données professionnelles privées sur leurs appareils personnels.
Cette tendance suscite aujourd’hui de vives inquiétudes, notamment avec l’apparition des attaques par machines zombies. Un stratégie qui consiste à contrôler un ordinateur à l’insu de son propriétaire et qui cause des dégâts irréparables. De plus, selon le cabinet d’étude Gartner, les appareils connectés connaîtront cette année une hausse de leur nombre de 30%, les faisant passer à plus de 6,8 milliards ! De quoi réjouir les hackers et affoler une fois de plus, l’opinion publique…

Ségolène Kahn

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.