Nouveaux modes de travail, réorganisation des entreprises : autant de réalités inédites qui transforment et étirent les contours traditionnels du monde de l’entreprise. Afin de faire face aux menaces croissantes que sont la cybercriminalité et la fraude, la sécurité informatique se doit d’être à la fois flexible et extensible.
Le Data Security Confidence Index (DSCI) publié par Gemalto en 2015 énumère les nombreux défis posés par les mutations des systèmes informatiques et infrastructures technologiques. À l’heure actuelle, 30% des responsables informatiques admettent que leurs entreprises ont été victimes d’une faille de sécurité. 33% d’entre eux considèrent que des utilisateurs non-autorisés sont toujours en mesure d’avoir accès à leur réseau. Enfin, 34% d’entre eux ne pensent pas que les données de leur entreprise soient en sécurité en cas d’attaque ou de faille.
Selon un rapport de 2014 publié par le Center for Strategic and International Studies, la cybercriminalité représente un coût global annuel de plus de 445 milliards de dollars.
De même, le Breach Level Index (BLI) de Gemalto, indique que plus de 1500 brèches de sécurité ont compromis la sécurité de plus d’un milliard de données au cours de l’année 2014. Ces chiffres font état d’une augmentation de 49% du nombre de failles de sécurité, ainsi que d’une hausse de 78% du nombre des données volées ou perdues par rapport à 2013.
Surveiller au-delà de nos murs
Les mutations des services informatiques ont rendu obsolètes les protections traditionnelles que sont les anti-virus et les firewalls. De fait, le secteur semble s’orienter vers la prévention des menaces et le développement de solutions de sécurité de nouvelle génération.
Protéger les données s’avère être un défi d’autant plus grand que le Cyber Security Intelligence Index de IBM indique qu’en 2014, 95% des incidents de sécurité impliquaient une erreur humaine.
Pourtant, si l’on en croit Daniel Ives, consultant pour FBR Capital Markets, seules 10% des entreprises et agences gouvernementales ont migré vers des solutions de nouvelle génération : firewalls capables de détecter et bloquer les menaces au niveau des applications ou se servant de l’analyse du big data pour améliorer la sécurité des systèmes. Selon M. Ives, « le marché pour ces softwares représente un potentiel de 15 à 20 milliards de dollars pour les trois prochaines années. »
La nouvelle génération d’entreprises est d’autant plus fragile à l’égard des menaces qu’elle se pare de solutions de sécurité d’un autre âge. La question des mots de passe est particulièrement évocatrice. Une récente enquête indique que 70% des 2000 personnes interrogées au Royaume-Uni et aux États-Unis n’ont pas confiance en leurs mots de passe. Dans le même temps, les spécialistes du phishing sont devenus de plus en plus doués pour pousser les utilisateurs les moins attentifs à les partager.
Dans cette perspective, il devient pertinent de déployer plusieurs couches successives de sécurité autour de chaque actif de l’entreprise. L’authentification multi-facteurs et l’Identity Federation constituent les deux remparts indispensables au château-fort que doit être FutureSec.
(Identity Federation est une sorte de connexion Facebook pour utilisateurs corporate. L’authentification est partagée entre plusieurs domaines, ce qui permet à divers utilisateurs provenant de diverses entreprises d’avoir accès aux informations dont elles ont besoin.
L’authentification multi-facteurs pourrait prendre la forme de l’utilisation combinée d’un mot de passe fort et d’une identification biométrique (à l’image du système Apple Pay) ou encore d’un geofencing ou d’une vérification par adresse IP. Une telle complexité peut paraître contre-intuitive, mais étant donné que de nombreuses personnes utilisent le même mot de passe pour l’ensemble de leurs accès, offrir une protection de fer via une porte d’entrée unique et infranchissable est tout à fait pertinent.
Au mois d’avril, de nombreux spécialistes ont toutefois souligné que « les mots de passe ou les jetons d’authentification sont facilement modifiés une fois que leur sécurité est compromise, alors que les traits biométriques sont inhérents et inchangeables, ce qui signifie que les données biométriques sont irrévocables. » Ils interpellent donc sur la nécessité de mettre en place des mécanismes alternatifs en cas de piratage de données biométriques.
Le chemin à parcourir s’annonce encore long. « Les entreprises attachent encore trop d’importance à la notion de périmètre de sécurité, alors qu’elle est aujourd’hui inadaptée, conclut Tsion Gonen, Vice-Président – Stratégie d’identité et de protection des données pour Gemalto. Les responsables devraient accorder plus d’importance aux données consommateurs et adopter une approche basée sur la notion de « faille de sécurité » : celle-ci s’attacherait à protéger les données après qu’une intrusion ait été détectée. Les responsables doivent donc sécuriser les données en soi, à l’aide d’authentifications multi-facteurs et du cryptage des données, en sécurisant tout particulièrement les clefs de cryptage. De cette façon, les données resteraient inutilisables même si elles venaient à être volées. »
Bien que conscientes de ces menaces, de nombreuses entreprises sont sous-équipées pour y faire face. Selon Peninsula Press, un projet du département des études en journalisme de l’université Stanford, plus de 209 000 emplois restent vacants dans le secteur de la cybersécurité aux États-Unis. Et le pire est encore à venir : la demande de professionnels spécialisés en sécurité de l’information devrait croître de 53% d’ici à 2018.
D’ici 2018, Gartner anticipe que de nombreuses entreprises vont externaliser tout du moins une part de leur politique de sécurité grâce à l’expertise d’entreprises spécialisées en protection de données, en gestion des risques et en gestion des infrastructures.
Dans l’optique de proposer une solution nouvelle, Orange Business et Gemalto ont récemment uni leurs efforts et intégré l’offre de Gemalto, SafeNet Authentification Service, au cloud sécurisé d’Orange Business, Business Virtual Private Network (VPN) Galerie. Cette solution unique permettra aux entreprises de bénéficier d’une authentification multi-facteurs pour l’ensemble de leurs applications, infrastructures et services cloud.
Jon Evans.
Traduit par Julia Osseland.
Pour aller plus loin :
Orange Business et Gemalto s'allient pour offrir un accès hautement sécurisé aux applications cloud
Journaliste professionnel dans le domaine de la technologie depuis 1994.