Tendances en matière de sécurité en 2016 : cinq défis

Le fournisseur de sécurité Totemo donne un aperçu du top 5 des menaces en 2016 et explique comment y faire face.

1. les portes dérobées dans les solutions de cryptage

Les attentats comme ceux de Paris créent un climat propice à l'appel à une surveillance accrue. Pourtant, le cryptage systématique des données est la première source d'irritation des fouineurs. Depuis longtemps, Internet et le secteur de la communication ne peuvent plus se passer d'un minimum de telles techniques. Qu'il s'agisse de commerce électronique, de banque en ligne, de mises à jour de logiciels ou de téléchargements d'applications : le monde numérique n'est plus concevable sans cryptage de bout en bout. Mais en ces temps d'incertitudes politiques et de menaces terroristes, des voix s'élèvent régulièrement pour réclamer des portes dérobées qui permettraient aux autorités de sécurité d'accéder à des communications protégées.
Au-delà de la discussion sur la mesure dans laquelle de telles dispositions sapent les droits des citoyens dans certains pays, la véritable menace des portes dérobées du point de vue informatique réside dans le fait qu'elles constituent un point de rupture qui torpille l'ensemble de l'architecture de sécurité. En effet, les clés des portes dérobées ne doivent jamais tomber entre de mauvaises mains - une condition quasiment impossible à remplir dans la pratique pour des procédures utilisées des millions ou des milliards de fois. Les nombreux incidents qui ont compromis la sécurité des serveurs gouvernementaux (on se souvient du piratage du Bundestag) réduisent la confiance dans la capacité des autorités à protéger durablement de telles informations sensibles contre les agresseurs.

2. point faible des collaborateurs

Le site Indice de renseignement sur la cybersécurité d'IBM pour l'année 2015 montre qu'en moyenne 55% de tous les incidents de sécurité survenus l'année précédente étaient le fait d'initiés - parfois à leur insu, mais souvent aussi avec une intention malveillante. En principe, il n'y a pas encore de prise de conscience du fait que les risques proviennent également des accès au sein de l'entreprise. La fuite de données sensibles dans des "canaux obscurs" est favorisée par des consignes de sécurité laxistes comme des mots de passe faibles ou des comptes partagés.
Les violations de sécurité involontaires peuvent être contrées par des mesures qui détectent automatiquement les actions critiques pour la sécurité et les contrecarrent. Par exemple, lorsqu'un utilisateur envoie un document contenant des informations sur sa carte de crédit, un cryptage peut être automatiquement lancé pour protéger le contenu. Le risque de violations involontaires des directives est également réduit par une gestion échelonnée des autorisations : chaque utilisateur ne reçoit que les autorisations dont il a réellement besoin selon son rôle. Ainsi, entre les profils standard "administrateur" et "utilisateur simple", il est judicieux de définir des rôles supplémentaires avec des droits d'accès spécifiques.
De telles mesures mettent déjà des bâtons dans les roues des initiés aux intentions malhonnêtes. Toutefois, d'autres mesures de protection internes sont nécessaires pour se prémunir contre les attaques intentionnelles : il s'agit notamment de crypter les e-mails et autres contenus en interne. En tant que mesure supplémentaire, un logging conséquent peut avoir un effet dissuasif, car toutes les actions sont enregistrées de manière ineffaçable et inviolable - une exigence qui peut déjà survenir dans le cadre des exigences d'audit trail ou des directives de conformité.

3. croissance du Shadow IT

Ce qui s'appelle souvent de manière invitante "Bring your own device" (ByoD), sape aujourd'hui la sécurité informatique des entreprises en tant que mouvement de masse au sens de "ByoX". En effet, outre les appareils personnels, ce sont surtout les applications ou les programmes qui sont de plus en plus utilisés sans la bénédiction des services informatiques et qui génèrent une véritable infrastructure informatique fantôme : selon une enquête de Cisco menée à l'été 2015, les collaborateurs utilisent en moyenne 51 services de cloud externes selon l'estimation de leurs services informatiques - mais en réalité, selon les données de Cisco, ce chiffre est 15 fois plus élevé. Pour la fin de l'année, l'utilisation réelle pourrait même être 20 fois plus importante que ce que les entreprises pensent.
Cette prolifération doit faire réfléchir les responsables informatiques, car elle ouvre non seulement la porte aux attaques, mais elle donne aussi une mauvaise image de leur propre infrastructure informatique. En effet, l'argument des utilisateurs se résume généralement au fait que les solutions non autorisées mènent plus rapidement et plus confortablement au but. Pour les services informatiques, la seule leçon à tirer est d'être plus attentifs aux besoins des collaborateurs, notamment en ce qui concerne les applications critiques pour la sécurité comme le cryptage. En principe, le service informatique devrait se considérer comme un "prestataire de services interne" qui met à la disposition des collaborateurs un catalogue de services informatiques de solutions conviviales parmi lesquelles ils peuvent choisir. C'est la seule façon de garantir que les utilisateurs utilisent réellement les applications validées et ne cherchent pas eux-mêmes d'autres solutions.

4. l'Internet des objets - la communication vulnérable des machines

Tous les signes indiquent une mise en réseau croissante entre les appareils, car dans l'industrie par exemple, l'automatisation au-delà des limites des machines et des installations promet flexibilité et avantages financiers. Dans l'Internet des objets, des protocoles de transmission cryptés devraient en principe être utilisés pour sécuriser la transmission des données. Mais cela ne suffit pas à garantir la protection des données si les fabricants ne se préoccupent pas suffisamment et utilisent par exemple un matériel de clé identique dans leurs appareils. Celui qui possède un de ces appareils avec des clés clonées peut également décrypter les données d'autres appareils en réseau du même fabricant à l'aide de sa clé privée.
Une erreur facile à éviter, pourrait-on penser. Mais le problème fondamental est que les fournisseurs de nombreux appareils connectés sont aujourd'hui issus du secteur de l'électronique et qu'il leur manque à la fois la conscience et le savoir-faire du secteur de la sécurité. Les babyphones et les caméras pour surveiller les rejetons en sont un exemple, ou encore la Barbie qui parle et qui écoute - donc qui écoute - et qui transmet toutes les données à l'entreprise qui la fabrique. Comme l'a montré le test d'une entreprise de sécurité, ces produits sont en outre souvent très faciles à pirater. Les risques sont également illustrés par quelques incidents au cours desquels des pirates informatiques ont d'une part fait écouter des enregistrements audio aux parents et d'autre part mis en ligne sur Youtube des enregistrements vidéo de l'environnement familial. Le problème de ces appareils insuffisamment sécurisés devrait encore s'aggraver, car les idées de produits innovants rencontrent actuellement des parents très occupés qui souhaitent s'assurer du bien-être de leurs enfants sur leur lieu de travail - et qui utilisent pour cela de plus en plus d'appareils en réseau.

5. utiliser le cloud (uniquement) avec précaution

En octobre 2015, l'arrêt "Safe Harbor" de la Cour de justice de l'Union européenne (CJUE) a renforcé les craintes en matière de sécurité concernant le stockage de données en dehors de l'Europe. En effet, la CJUE a décidé que l'accord Safe Harbor ne devait pas neutraliser les dispositions de protection européennes locales. Au cours des 15 dernières années, il avait suffi que des entreprises américaines s'engagent à respecter les règles de la sphère de sécurité - sans autre certification de conformité aux règles européennes - pour leur confier des données. Cependant, suite à l'affaire Snowden, il est clair que les données n'y sont pas en sécurité, car le gouvernement américain est en mesure d'y accéder à tout moment.
Néanmoins, le cloud reste un élément utile de l'infrastructure informatique tant qu'il n'abrite pas de données sensibles - ou du moins pas en clair. Une protection fiable devrait être assurée si les clés ne sont pas soumises à la juridiction américaine, mais sont conservées sur des serveurs locaux en Europe. Dans le cas contraire, le gouvernement américain peut exiger leur remise par les prestataires de services américains. La pratique montre toutefois que les autorités américaines exigent la remise des données à des entreprises américaines, même si celles-ci sont stockées sur des serveurs locaux en Europe. Celles-ci s'y opposent, mais l'évolution juridique du litige jusqu'à présent laisse supposer que les données devront finalement être restituées. Les entreprises du monde entier auront donc encore du pain sur la planche en 2016.

Conclusion : la confiance ne se délègue pas

Les défis aigus actuels pour la sécurité informatique des entreprises montrent avant tout une chose : la confiance ne peut pas être déléguée. Seules celles qui prennent elles-mêmes des mesures efficaces pour garantir leur sécurité sur place sont du bon côté.