Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

En 2015, quelle sera votre stratégie pour parer les attaques informatiques ?

En 2015, quelle sera votre stratégie pour parer les attaques informatiques ?
2015-03-132015-03-13sécurité du poste de travailfr
Comment allez-vous protéger votre entreprise et vos clients contre les pirates informatiques en 2015 ? Une chose est sûre : si vous n'avez pas établi une politique de sécurité claire, robuste et applicable suite aux nombreuses attaques hautement médiatisées de 2014, vous êtes une victime potentielle
Publié le 13 Mars 2015 par Jon Evans dans sécurité du poste de travail
En 2015, quelle sera votre stratégie pour parer les attaques informatiques ?

Comment allez-vous protéger votre entreprise et vos clients contre les pirates informatiques en 2015 ? Une chose est sûre : si vous n'avez pas établi une politique de sécurité claire, robuste et applicable suite aux nombreuses attaques hautement médiatisées de 2014, vous êtes une victime potentielle. Voici quelques suggestions pour vous aider à vous protéger.

Les failles de sécurité n'ont jamais autant fait les gros titres qu'en 2014 et ces attaques sont de plus en plus sophistiquées. Les coordonnées bancaires de 40 millions de clients ont été rendues vulnérables lorsque des pirates informatiques ont exploité le système  de la chaîne de magasins Target. Ces attaques massives ne sont que la partie émergée de l'iceberg – une étude réalisée par Ponemon Institute indique que 43% des entreprises ont subi une fuite de données en 2014.

La majorité de ces attaques visent les données détenues au sein de l'entreprise. Cela inclut les données commerciales, historiques et transactionnelles. Elle comprend les données que vous êtes légalement tenu de garder confidentielles et de protéger, conformément à la législation sur la protection des données. C'est un problème soulevé notamment dans le cadre des services Cloud.

Tokenization ou chiffrement ?

Toutes les données visibles peuvent être piratées, il est donc logique de les garder cachées. La tokenization et le chiffrement de données peuvent permettre de faire la différence :

  • la tokenization permet de remplacer les données sensibles par une valeur que l'on appelle un token. Les données sont ensuite restaurées dans leur état d'origine. Les données en cours de transmission ne sont d'aucune utilité sans le code de jeton.
     
  • le chiffrement utilise des algorithmes pour transformer  les données. Les datas sont récupérées grâce à la bonne clé de chiffrement.

protéger les données dans le cloud

L'entreprise américaine de conseil et de recherche Gartner a récemment publié un rapport mettant en lumière l'augmentation de l'utilisation de CASB (Cloud Access Security Brokers) pour faire appliquer les politiques de sécurité de l'entreprise pendant le transfert des données dans le Cloud. Notamment en protégeant les données lorsqu'elles sont téléchargées ou envoyées dans le Cloud.

Outre la protection des données, les entreprises doivent garantir que leurs solutions sont dotées de la certification adéquate, comme par exemple les normes de sécurité HIPAA, CJIS ou PCI DSS. Il est également important de veiller sur la performance des solutions que vous mettez en place. Le cadre de la cybersécurité du NIST (National Institute of Standards and Technology) offre un ensemble de recommandations à destination des fournisseurs d'infrastructures critiques. Pour finir, il est recommandé de mettre en place un chiffrement systématique des données.

cibler l'erreur humaine

L'entreprise Experian indique que plus de 80% des failles qu'elle tente de résoudre ont pour origine la négligence des employés. En d'autres termes, l'erreur humaine fragilise la sécurité. Parmi les erreurs courantes qu'il faut veiller à ne pas commettre figurent :

·      le partage de mots de passe

·      la perte de matériel

·      une sécurité insuffisante au niveau des locaux

·      des attaques par hameçonnage ciblées

·      l'utilisation de solutions de stockage de fichiers non prévues pour l'entreprise

Il ne faut pas attendre qu'une faille de sécurité survienne pour commencer à former les employés à la sécurité et mettre en place de bonnes pratiques en matière de mots de passe.

contrôler les bugs

En entreprise, les utilisateurs doivent également se préparer à faire face aux vulnérabilités identifiées. L'année 2014 a été balayée par les faiblesses exploitées des bugs Heartbleed et Shellshock. Ces problèmes sont inhérents à la structure d'Internet, ce qui signifie que les fournisseurs de matériel et de systèmes d'exploitation sont les premiers à réagir à ces menaces au fur et à mesure qu'elles apparaissent.

Pour les utilisateurs cela signifie :

·      observez les bulletins de sécurité 

·      assurez-vous d'avoir toujours la dernière version de l'OS et les derniers correctifs de sécurité sur vos systèmes

·      préservez l'intégrité des logiciels du système à l'aide des dernières mises à jour

·      dressez l'inventaire de tous les appareils et systèmes sur votre réseau.

Disposez-vous toujours de vieux PC connectés à votre réseau qui exécutent des systèmes pas à jour ? Ce sont des vecteurs d'attaque potentiels qui doivent être mis en quarantaine ou remplacés.

planifier

Chaque entreprise doit définir et revoir régulièrement un plan d’intervention pour être prêt en cas d’attaque. Cela concerne le stockage, l’accès au service Cloud, mais aussi les pratiques des employés.

Experian indique que 27% des entreprises n'ont toujours par de plan d'intervention en place en cas d'atteinte à la sécurité des données. Ne rien faire face à un problème d’une telle importance revient à tendre le bâton pour se faire battre. Si vous ne prenez pas de mesures pour vous protéger, pourquoi vos employés prendraient-ils le temps de se former aux risques de sécurité ?

évolution permanente

La technologie est un moteur de changement rapide dans toute l'entreprise. D'un côté il y a les changements de mode de travail  soutenus par le BYOB (Bring Your  Own Device), la mobilité et l'évolution des services Cloud, et de l'autre, les évolutions des systèmes d'exploitation, comme la fin de XP, le lancement de Windows 10 et les mises à niveau annuelles iOS d'Apple. Les défis se succèdent à un rythme soutenu et l'environnement évolue rapidement.

Résoudre les défis lorsqu’ils se présentent ne suffit pas. Il faut au contraire prendre en compte la sécurité des données comme une évolution constante, en véritable acteur du changement.

Jon Evans

Lire cet article en anglais.

1 Commentaire

  • 17 Avril 2015
    2015-04-17
    par
    Nadine Vermont.
    On aurait tord de penser que seules les grosses entreprises sont la cible de piratages. Les petites également sont en danger, car bien souvent leur méthode de protéger sont bien moindres et en font des proies de choix. Notre entreprise dans le secteur de l'immobilier affiche un effectif d'une vingtaine d'employés, et autant de postes informatiques connectés en permanence au web. Plusieurs fois nous avons été la cible de tentative de piratage et depuis deux ans, le mot d'ordre est effectivement de sécuriser nos données, protéger les agences immobilières partenaires avec nous. Sans investir une fortune et embaucher une équipe d'informaticiens il est déjà possible d'apporter une sécurité de base à son parc informatique. Ne serait-ce que par le Cloud, des plus simples et efficaces. Ainsi que l'installation et la bonne mise à jour d'applications pour se protéger des virus et autres malwares.
    De simples gestes qui peuvent sauver une entreprise de la catastrophe.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage