Les solutions de sécurité sont-elles bien adaptées au cloud.

Les entreprises ont compris, dans leur grande majorité, l’opportunité que représentait le cloud pour innover rapidement et à coûts maîtrisés dans une économie numérique qui ne laisse aucune place à l’immobilisme. Cette adoption grandissante du cloud, qui prend généralement la forme de cloud hybride et qui tend à devenir multi-cloud, impose de reconsidérer les stratégies de sécurité pour ne pas subir de graves déconvenues.

La sécurité doit être efficace sans être contraignante.  La sécurité du cloud est confrontée à un environnement particulièrement changeant de par la nature même du cloud et de par le nombre et la sophistication des menaces auquel il doit faire face. Il n’y a pas encore si longtemps toutes les entreprises imposaient des mesures extrêmement strictes à leurs employés pour garantir un maximum de sécurité. L’ordinateur portable était fourni par l’entreprise qui contraignait son utilisation à un usage purement professionnel. Elle imposait l’utilisation de logiciels dument validés avec des versions rarement récentes. Il était assez simple d’appliquer des solutions de sécurité périmétriques qui considéraient que tout ce qui résidait dans ce périmètre était sûr et les accès pouvaient en être aisément contrôlés. Ce monde rassurant est en voie disparition. La sécurité ne peut être contraignante au point d’imposer un style de vie, ou un mode de travail, qui soit à des années lumières de ce qu’offre la technologie aujourd’hui. Les utilisateurs sont devenus nomades et varient les modes de connexion à des applications dans le cloud au gré des usages n’hésitant pas à emprunter à l’occasion des wifi gratuits non sécurisés pour transmettent des données personnelles et professionnelles. Pour gagner en agilité, les entreprises ont tourné le dos aux applications monolithiques et développent les nouvelles applications nativement pour le cloud. Elles utilisent des microservices pour assurer un développement et une intégration continue qui ne nécessitent aucune interruption de service. Les applications peuvent ainsi s’adapter en permanence au besoin du marché mais en revanche leur évolution constante oblige à s’interroger sur leur niveau de vulnérabilité. Le rapport SOSS (State of Software Security ) de Veracode montre que le nombre d’applications vulnérables reste élevé et que les composants open source représente un risque significatif pour l’entreprise. Le recours aux APIs se révèle d’une grande aide pour faciliter l’intégration entre logiciels et applications à condition que ces APIs soient elles-mêmes sécurisées. Les déboires d’Intel en 2018 avec les failles de sécurité  Spectre et Meltdownpuis Foreshadow ont montré que les puces équipant les serveurs informatiques n’était pas à l’abri des menaces. Dans un tel contexte assurer une sécurité à toute épreuve tient de la gageure et les solutions périmétriques ne peuvent se suffire à elle-même.

Il est illusoire de prétendre être en mesure de se prémunir contre toutes les attaques.De par sa vocation le cloud est un environnement hautement connecté qui offre une surface d’attaque importante. Les menaces sont de plus en plus en plus nombreuses et les vecteurs d’attaques s’attachent à exploiter toutes les failles possibles. De nombreux exemples récents de vols de données ont montré que l’entreprise s’aperçoit trop tard qu’elle a été victime d’une attaque. Une étude de Ponemon Institutemenée pour IBM Security a chiffré le coût d’une violation de données à environ 3,86 millions $ par entreprise et par an. Si on ne peut bloquer toutes les attaques il faut éviter leur propagation et en limiter les effets en se concentrant sur la protection des données et des applications. Cela passe par des solutions de chiffrement pour stocker les données et les transférer. Le mot de passe reste d’une efficacité extrêmement limitée s’il ne s’accompagne pas d’autres facteurs d’authentification (un jeton ou une carte à puce, des données biométriques). Pas suffisant malgré tout puisque un outil de test d’intrusion (Modlishka)publié par un chercheur en sécurité a réussi à contourner des protections à double facteurs !! Pour rationaliser les processus et réduire les erreurs humaines l’automatisation est incontournable. Intégrer la sécurité dans les approches DevOps (DevSecOps) peut être salutaire. D’après le rapport SOSS les entreprises utilisant activement des approches DevSecOps corrigent les failles 11,5 fois plus rapidement que les autres en raison de l’analyse accrue du code lors de la fourniture en continue de versions de logiciels. Comme il est impossible de connaitre immédiatement la nature de toutes les nouvelles menaces les solutions de sécurité doivent être capables de déceler toute variation par rapport à un comportement dit normal d’un utilisateur, d’un équipement ou d’une application.

La sécurité confrontée au cloud hybride et au multi cloud. Sécuriser un cloud est déjà un vaste programme. Les solutions se composent de différents produits qui doivent collaborer efficacement pour couvrir tous les aspects de la sécurité. La tâche n’est déjà pas si simple mais elle se complique encore des lors qu’il s’agit de protéger un cloud hybride ou un multi-cloud. Il n’est pas question de mettre en cause les moyens de sécurité des fournisseurs de cloud publics. Des sociétés comme AWS utilisent le machine learning pour détecter automatiquement les menaces (Amazon GuardDuty) ou classifier les données en fonction de leur valeur (Amazon Macies). Google dispose de tout un arsenal documenté dans des livres blancspour assurer l’authentification multi facteurs, le chiffrement des données et l’intrusion des données. Azure et IBM ont des approches similaires. Le problème tient davantage dans la juxtaposition de clouds provenant de fournisseurs différents utilisant des infrastructures, matérielles et logicielles, et des outils de sécurité qui leur sont propres. Dans un environnement aussi complexe il faut s’assurer que l’entreprise garde la visibilité sur l’ensemble des clouds utilisés et sur la localisation de ses données. Malgré le nombre d’acteurs impliqués l’entreprise doit malgré tout veiller à la cohérence et à la consistance des politiques la sécurité sur l’ensemble. Le partage des responsabilités est aussi un sujet qui doit être abordé  tout particulièrement pour être entre conformité avec la RGPD.

Les dépenses en matière de sécurité ne cessent d’augmenter selon le Gartner (101 milliards en 2017, 114 en 2018 et 124 prévus en 2019 mais l’efficacité n’est pas garantie pour autant. A l’ère du cloud il ne suffit plus d’empiler les solutions, il faut être capable de se remettre en cause et utiliser de nouvelles approches qui à leur tour atteindront leurs limites car la sécurité est une course sans fin.

 

 

#IoT: Les objets connectés détournés par les cybercriminels

Les objets connectés sont porteurs de belles promesses pour améliorer notre monde moderne (Les objets connectés sont l’avenir du 21 ème siècle). Ces promesses sont réalistes mais dans l’euphorie qui entoure les innovations portées par les objets connectés il faudrait voir à ne pas oublier les questions essentielles de sécurité. La récente attaque DDoS (déni de service) subie par l’hébergeur OVH nous alerte sur la sécurité des objets connectés.

cyber-iot

Les objets connectés utilisés comme arme par les cybercriminels. Le 20 septembre le journaliste Brian Krebbs a brusquement pris conscience du rôle que les objets connectés pouvaient jouer dans une attaque DDoS (Distributed Denial of Service ) contre son site hébergé chez un fournisseur externe. C’était ensuite au tour de l’hébergeur OVH de subir le même type d’attaque d’une ampleur sans précédent. Pour faire simple, les pirates utilisent des objets connectés infectés formant un « botnet » ( un réseau de machines utilisées à des fins malveillantes à l’insu de leurs propriétaires) pour créer une surcharge d’activité telle que le site ne réussit à la supporter et se bloque. Ce type d’attaque n’est pas nouveau en soit mais jusqu’à maintenant on infectait des serveurs en nombre pour provoquer cet afflux d’accès sur le site ciblé. Ce qui est nouveau aujourd’hui c’est l’utilisation ddos-ovhd’objets connectés pour le faire. Dans le cas d’OVH ce sont des caméras de vidéosurveillance qui ont été impliquées. D’autres attaques ont montré la vulnérabilité potentielle de véhicules connectés dont on pourrait prendre le contrôle à distance. Quand on sait que déjà dans le domaine industriel une multitude de capteurs sont utilisés pour contrôler et mesurer les équipements on a besoin d’être rassuré. Et ce ne sont pas les nouvelles séries américaines comme « CSI : Cyber » ou « Mr Robot » qui vont nous aider à mieux dormir.

Dès qu’un objet est connecté à Internet on doit s’inquiéter de la sécurité. Dans un billet daté du 23 septembre, quasiment simultanément avec l’attaque du site du journaliste, le spécialiste de la sécurité Symantec alertait sur les risques liés aux objets connectés. Ce n’est pas réellement le propriétaire de l’objet qui est visé, mais l’objet est utilisé à des fins d’attaques cybercriminelles. A partir du moment ou un équipement est connecté à Internet, la question de la sécurité se pose, quel que soit sa taille et son usage personnel ou professionnel. Les risques sont multiples. On pense bien sûr aux vols de données collectées, à la prise de contrôle de l’objet lui-même (camera, voiture connectée ..) mais également à la diffusion de logiciels malveillants en servant d’un objet connecté comme point d’entrée et aux attaques massives de type DDoS pour créer via de multiples objets infectés une activité massive sur un site qui va exploser sous a charge.

Les objets connectés doivent être « secured by design ». Notre société est tellement dépendante d’internet que la cyber sécurité est un sujet qui préoccupe, ou qui devrait préoccuper, toutes les entreprises. Ce domaine évolue constamment pour s’adapter aux cybercriminels. On cloisonne les environnements avec de la micro segmentation pour éviter que les logiciels malveillants puissent se propager et l’intelligence artificielle commence à entrer en jeu pour déceler les comportements suspects. Toutes les mesures que les entreprises prennent pour une meilleure protection vont dans le bon sens mais cela ne doit pas masquer la racine du problème lié aux objets connectés : leur faible niveau de sécurité. Les explications ne doivent pas servir d’excuses pour agir. Beaucoup d’objets connectés sont dotés d’operating systems et de processeurs aux capacités limités qui ne permettent pas d’intégrer des fonctions de sécurité très sophistiquées. Bien souvent il n’existe pas de mise à jour des microcodes ou bien les propriétaires des objets ne les activent pas. C’est ainsi qu’on se retrouve avec des objets infectés sans que personne ne s’en rende compte.

La sécurité des objets connectés doit être envisagée dès la conception, le manque de standard et l’écosystème important qui rentre en jeu ne facilitent certes pas la tâche mais raison de plus de s’y atteler sans tarder pour ne pas faire capoter cette nouvelle révolution industrielle qu’on annonce avec les objets connectés.

Moins de 2 ans pour se conformer à la General Data Protection Régulation européenne GDPR

La nouvelle réglementation européenne sur la protection des données GDPR laisse moins de 2 ans aux entreprises pour s’y conformer. Au-delà de la contrainte réglementaire c’est aussi une formidable opportunité de gagner la confiance des clients et des consommateurs en renforçant sa politique de sécurité

GDPR site

Concilier potentiel économique et respect de la vie privée. Les données personnelles sont devenues un enjeu économique extrêmement important. L’économie numérique repose largement sur cette notion de services contre l’échange de données à caractère personnelle. Avec l’utilisation des smartphones et des applications chacun d’entre nous produit constamment des données qui sont autant d’informations sur notre mode de vie et nos comportements. Les données massives (big data) représentent un formidable vecteur de croissance pour l’économie moderne que le foisonnement des objets connectés dans tous les secteurs va continuer à accentuer. Le développement de l’intelligence artificielle ouvre des possibilités quasiment illimitées sur l’exploitation de toutes ces données.  Le potentiel économique de ses données est de nature à aiguiser les appétits et à faire fi du respect de notre intimité dans un univers numérique ou les frontières se sont nettement estompées et complique la réglementation.

Quatre ans pour aboutir à une réglementation européenne sur la protection des données personnelles. Il aura ainsi fallu 4 ans de préparation et de débats pour que finalement une réglementation européenne voie le jour. C’est la fameuse GDPR (General Data Protection Regulation) qui a été approuvée le 14 avril 2016 et qui remplace la directive 95/46/EC. Tous les états membres de la communauté européenne devront s’y conformer d’ici le 25 mai 2018. Cette réglementation européenne a pour objectifs d’harmoniser les lois sur les données personnelles en Europe, de protéger les données personnelles des citoyens européens et de réformer la manière dont les organisations approchent les données personnelles.

Moins de deux ans pour se conformer à la GDPR. Cette réglementation  s’applique de manière uniforme à tous les membres de l’union européenne indépendamment de leur localisation que le traitement des données soit exécuté en Europe ou non. Les entreprises et les organisations européennes ont désormais moins de deux ans pour se conformer à cette réglementation sous peine d’amendes qui peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. Il n’y a donc pas de temps à perdre car la tache peut s’avérer ardue et nécessite de la méthode et de la préparation. Mais plutôt que la sanction les entreprises peuvent y trouver une autre source de motivation. La confiance des consommateurs est souvent remise en question par des craintes sur la sécurité. Voici donc une belle occasion de renforcer cette sécurité indispensable à l’économie numérique et d’augmenter par la même occasion la confiance des consommateurs. La transparence est de rigueur avec la GDPR et la notification de failles de sécurité sera impérative et obligatoire dans un délai de 72h après la détection de la faille. La GDPR est un argument de plus pour pousser les entreprises à mettre en œuvre de véritables politiques de sécurité  et à se préparer activement aux cyberattaques.

Le GDPR a le mérite de clarifier les choses sur  de nombreux points tels que consentement, droit à l’accès aux données, droit à l’oubli, portabilité des données ou bien encore nomination d’un Data Protection officer (DPO). Je ne saurai trop recommander aux entreprises de rapidement se pencher sur cette réglementation et de se rapprocher des experts qui pourront les accompagner efficacement dans la mise en conformité. Reste à voir également comment le Royaume uni se comportera vis-à-vis du GDPR suite au Brexit ….

Lire également GDPR : Pas de conformité sans sécurité des données personnelles, pas de sécurité sans respect de la vie privée

site GDPR : http://www.eugdpr.org/eugdpr.org.html

 

La sécurité dans un monde numérique: rencontre avec le DG de Check Point France

 Yves Rochereau, le nouveau Directeur Général de Check Point, a bien voulu partager avec moi sa vision de la sécurité dans un contexte de transformation numérique. Mobilité et menaces inconnues sont pour lui de nouveaux défis pour la sécurité. Voici ce que j’en ai retenu.

 Yves Checkpoint

La transformation numérique accentue la pression sécuritaire

Si l’informatique remplit à merveille son rôle d’automatisation des process des entreprises, elle est aujourd’hui grandement challengée par le numérique. En exploitant les nouvelles technologies, le numérique propose d’innombrables nouveaux usages et nouveaux services. Ces nouveaux usages exercent des pressions sur les systèmes informatiques traditionnels et accentuent les problèmes de sécurité.

Avec la transformation numérique la sécurité est devenue « cybersécurité ».

Selon Yves Rochereau, récemment nommé Directeur Général de Check Point France, les Yves seulapproches traditionnelles de la sécurité doivent être repensées dans le contexte du numérique. La technique qui consistait à additionner des produits de sécurité, adaptés aux différents risques, atteint ses limites quelle que soit la qualité des produits. La complexité induite et le manque de cohérence deviennent incompatibles avec les exigences de sécurité d’aujourd’hui

Il faut être capable d’avoir une approche globale et cohérente de la sécurité. Yves Rochereau considère que le métier de Check Point n’est pas uniquement de proposer des produits de sécurité mais surtout d’aider les clients à se sécuriser tout au long de leur transformation numérique.

Deux enjeux principaux pour la sécurité : mobiles et menaces non répertoriées.

Comment sécuriser des environnements mobiles et comment traiter efficacement des menaces inconnues ? Lire la suite