Genetec : « les réseaux de vidéoprotection doivent tous réaliser une réelle convergence avec les autres réseaux IP avec un très haut niveau de sécurité »

Cyberisques News partner: event Paris le 9 novembre 2017 

 

Genetec : « les réseaux de vidéoprotection doivent tous réaliser une réelle convergence avec les autres réseaux IP avec un très haut niveau de sécurité »

 

 

 

Doit-on considérer les caméras et systèmes IP de vidéoprotection comme des objets connectés a sécuriser d'urgence ? L'équipementier Genetec répond oui sans hésitation et explique comment procéder.

 

 

Ces réseaux pour la plupart fermés hier s'ouvrent progressivement et c'est bien là le nœud du problème. Car avec leur « ouverture » sur Internet si de nouvelles perspectives peuvent apparaître (Cfr section BONUS en fin d'article), la sécurité des caméras IP et autres IoT par ailleurs ne semble pas disposer d'un niveau encore acceptable. Pourtant, ces réseaux vidéo  connaissent une évolution en terme de cybersécurité comparable a celle des systèmes de téléphonie passés durant les années 90 de l'analogique au numérique. Ainsi, le chiffrement préoccupe de plus en plus les ingénieurs de chez Genetec. Ils équipent de solutions crypto plus en plus de caméra en déplacant « l''intelligence » du serveur vers les devices. L'idée étant de ne pas échanger des informations non chiffrées sur le réseau.

 

Genetec-2017

Source : Genetec 2017

 

C'est dans cette perspective qu'un des leaders mondiaux en vidéoprotection et contrôle d’accès IP, Genetec a organisé une table ronde dans le cadre du « Cybersécurité Tour » le 9 novembre dernier à Paris. Animée par Cyberisques News, ce panel réunissait quatre participants représentants les « métiers » de la vidéoprotection, des contrôles d’accès et de la cybersécurité : Francis Lachance, Directeur Groupe Produits Vidéo chez GENETEC, Philippe Collot intégrateur cybersécurité Manhattan, Christian Banken coordinateur région bruxelloise et Gilles Robine Chef du service de protection zonale à la Préfecture de Police de Paris. Un cinquième intervenant a rejoint le « groupe » lorsque le sujet RGPD / GDPR a été abordé : Dominique Legrand, Président de l'Association nationale de la vidéoprotection.

L'une des thématiques essentielles a été les moyens de mettre en place une sécurité « haute » superposée à la sécurité « basique » des composants IoT et autres « devices » IP existants sur les réseaux publics. Plus d'un milliard d'IoT (objets connectés) fonctionnent déjà dans le monde. Gadget ou nouvelles solutions « Pro », impossible d'ignorer via leur présence les risques cyber nouveaux qu'ils peuvent engendrer ; De même que des caméras IP peuvent servir à la constitution de réseaux de botnets les IoT peuvent permettre d'accéder à des réseaux privés, de tracer leurs utilisateurs indépendamment de la taille des entreprises et organisations.

Selon les chiffres cités par Cyberisques News seules 20% des applications de l'Internet des Objets sont aujourd’hui soumises à des tests pour vérifier la présence de vulnérabilités. Près de 2 cyber-attaques réussies sur 3 le sont en raison d'une erreur humaine d'utilisateurs. A noter aussi que certains RSSI et responsables sûreté par crainte de dysfonctionnement hésitent a appliquer les « patch » nécessaires pour réduire l'exploitation de vulnérabilités par des cyber-attaquants. Autre aspect incontournable dans l'évolution des réseaux de vidéoprotection : la compatibilité du traitement des images avec le règlement européen GDPR et leurs stockage et traitement au sein des services Cloud. Rappelons que plus de 70% des budgets informatiques seront consacrés au cloud d’ici 3 ans selon IDC ( rapport FutureScape 2017).

Une analyse que confirme la dernière enquête réalisée par Coleman Parkes en septembre 2017 qui révèle que plus de la moitié des infrastructures informatiques françaises (52%) basculeront dans le cloud d'ici un an (Source Interoute).

 

 

Nécessité de mettre en place une politique de cybersécurité accrue dédiée aux Systèmes de Vidéoprotection et nouvelle génération de « device IP »

L'interconnexion de systèmes auparavant « isolés » du réseau Internet offre désormais avec l'interconnexion au réseau des réseaux une porte d'entrée aux actes de cybermalveillance. D’où la nécessité de mettre en place une sécurité « haute » superposée à la sécurité « basique » des composants et adresses IP existants. Les Systèmes de Vidéoprotection connaissent une évolution en terme de cybersécurité comparable a celle des systèmes Scada depuis leur interconnexion avec Internet. La sûreté de fonctionnement rejoint la cybersécurité des datas et traitements ;

Pour Francis Lachance: «La sûreté de fonctionnement rejoint la cybersécurité des datas. C'est le cas par exemple avec le partage de vidéos. Cette « sûreté » doit être pensée dès la conception du produit. Aujourd'hui la plupart des réseaux étant raccordés à Internet, il est indispensable de faire appel à des solutions d'authentification forte pour « tracer » les données vidéos par exemple. C'est notamment le cas avec les services de gestion de clé pour la gestion des données « vidéos » de plus en plus disséminées notamment chez les hébergeurs « cloud ». Dans un sens on peut dire que le Cloud « enterre » le stockage d'informations vidéo sur les DVD par exemple. »

 

 

Importance économique des nouveaux cadres réglementaires propres à la « data privée» avec la mise en place en mai 2018 du GDPR

Les évolutions en termes de traitement de volume de datas notamment « privées » inquiètent les autorités et la CNIL (en France). Le nouveau règlement européen en vigueur en mai 2018 dresse une liste d'obligations concernant l'ensemble des responsables de traitements de « données à caractère perso ». Nomination d'un DPO et mise en place de process organisationnels, juridiques et techniques pour être « GDPR compliance » via les notions de « privacy by design » réclamées par le GDPR / RGPD. Pour Genetec cette approche se traduit par un procédure de certification en cours auprès de l'ANSSI comme dans d'autres pays (* lire le CP ci dessous) , des solutions de autorisation, cryptographie et certification sur les systèmes et la protection des données « client » à caractère perso sur les clouds des prestataires retenus par l'équipementier. Le GDPR peut constituer également un avantage concurrentiel non négligeable pour les organisations qui seront les plus « compliance ».

Selon Dominique Legrand Président de l' Association nationale de la vidéoprotection AN2V : « Le règlement européen de protection des données à caractère personnel RGPD / GDPR est une opportunité pour tous à commencer par les entreprises qui vont devoir « faire le ménage » dans la gestion de leurs données notamment les données vidéo. Ces dernières en effet sont concernées par le GDPR qui veut davantage protéger les données personnelles. Le rôle du futur DPO a ce titre est essentiel. Je crois aussi que c'est une opportunité pour consolider une prise de conscience au sein de toutes les organisations sur la responsabilité des entreprises et de leurs partenaires dans les traitement de données à caractère personnel. ». Une analyse partagée par Francis Lachance : « Dans le cadre du GDPR / RGPD les notions de type droit à l'oubli nécessitent désormais de retrouver et éventuellement effacer certains informations à la demande de citoyens européens. Cette fonctionnalité suppose le stockage de données sur des infrastructures Cloud. D'une manière plus « globale », pour un équipementier tel que Genetec, le GDPR se traduit sur nos fonctionnalités par la mise en place de services de certificats et de chiffrement. Un seul mot guide notre stratégie : confiance. »

Une confiance qui doit aussi reposer sur l'ensemble des utilisateurs. Le dernier rapport mondial Global State of Information Security Survey dirigé annuellement par PwC qui indique en effet que les incidents externes ont eu tendance à diminuer entre 2016 et 2017 (23% des attaques par des hackers en 2017 contre 26% en 2016 par exemple) alors que le vecteur le plus récurrent demeure interne, les répondants à l’enquête indiquant que 30% des incidents en 2017 ont été provoqués par leurs employés et 26% par des anciens employés.

@jpbichard

 

BONUS :

Iot : Amazon chez Vous ?

https://www.theverge.com/2017/10/25/16538834/amazon-key-in-home-delivery-unlock-door-prime-cloud-cam-smart-lock

 

Genetec :

https://www.genetec.com/fr

https://www.genetec.com/solutions/all-products/omnicast/kiwivision-video-analytics.

 

Encadré 1 : Vidéoprotection et cybersécurité : ce qu'ils en disent

Christian Banken, utilisateur CIRB Bruxelles

« Avec près de 15 000 caméras réparties sur 6 réseaux distincts notre priorité c'est avant tout l'usage de fonctions de traçabilité. Pour Nous, la séparation des réseaux « physiques » liés à la vidéoprotection existe encore par rapport aux réseaux informatiques. Pour le GDPR c'est a Nous d'imposer nos règles notamment sur les interprétations que les juristes à l'origine de ce texte laissent aux services techniques. »

Gilles Robine, utilisateur, Préfecture de Police de Paris

« Avec plus de 3000 caméras dédiées à la protection du public, nous nous refusons pour le moment a introduire des caméras sous IP. Nous fonctionnons en îlot isolé du reste du continent. Toutefois des évolutions telles que celles liées à des nouveaux usages comme les caméras embarquées supposent l'emploi de réseau 4G. Pour l'heure nous n' avons pas identifié d'attaques sur nos réseaux mais je redoute les fuites de données avec des extraits vidéo sur des plates formes de réseaux sociaux. Notre problématique essentielle c'est la traçabilité. Pour le GDPR, je crois que le plus important c'est de ne pas se laisser « brider ».

Philippe Collot, intégrateur cybersécurité Manhattan

« Le objets IP et notamment les IoT offrent de nombreuses failles aux cyber-attaquants simplement parce qu'ils sont très peu protégés. Le meilleur fabricant de caméras IP peut ainsi négliger la sécurité rendant ces équipements par ailleurs excellents au niveau vidéo mais peu crédibles au niveau sécurité. Aujourd'hui en terme de traitement des données, les données vidéo rejoignent dans leur sécurité les obligations « cyber » des données informatiques traditionnelles. La convergence des réseaux vidéos avec les réseaux informatiques traditionnels en termes de cybersécurité est incontournable. »

This email address is being protected from spambots. You need JavaScript enabled to view it.

 

Communication corporate: 

* Le module Genetec Privacy Protector, issu de KiwiSecurity, a été recertifié par l’EuroPriSe, avec le prestigieux label "GDPR-ready"

 

La technologie de masquage et de pixellisation des images intégrée à Genetec Security Center est le seul produit certifié par l’European Privacy Seal (EuroPriSe), pour deux ans, pour la quatrième fois consécutive.

 

PARIS, le 13 novembre 2017 – Genetec Inc.un leader des solutions unifiées de sécurité, de sûreté publique, d’opérations et de business intelligence, annonce aujourd’hui que la solution KiwiVision® Privacy Protector® de KiwiSecurity a été recertifiée par l’European Privacy Seal (EuroPriSe). L’European Privacy Seal récompense les produits informatiques qui sont compatibles avec les lois européennes sur la protection des données, et qui performent en termes de protection de la vie privée. KiwiVision Privacy Protector est le module d’anonymisation des vidéos en temps réel unifié de GenetecTM Security Center, la plateforme de sécurité globale et à architecture ouverture de Genetec, qui combine la vidéosurveillance, le contrôle d’accès, la reconnaissance automatique des plaques d’immatriculation (LAPI), les communications et les analyses.

 

GDPR-ready

 

En plus de cette recertification, l’EuroPriSe Authority (basée à Bonn en Allemagne) a ajouté de nouveaux tests et critères qui assurent la conformité des produits aux nouvelles exigences législatives du Règlement général sur la protection des données (GDPR), qui entrera en vigueur le 25 mai 2018. Les capacités de Privacy Protector en la matière ont été analysées, et le logiciel est le seul du secteur de la surveillance et de la sécurité à avoir réussi le test.

 

« Nous sommes heureux que KiwiVision Privacy Protector, qui est désormais une fonctionnalité intégrante de Genetec Security Center, soit recertifié pour la quatrième fois consécutive par l’autorité de certification de l’European Privacy Seal », déclare Sebastian Meissner, Head of the EuroPriSe Certification Authority. « Cette recertification s’accompagne par ailleurs d’une distinction particulière : Privacy Protector est "GDPR-ready", ce qui signifie que la solution répond aux plus hautes exigences de conformité relatives aux standards de respect de la vie privée de l’Union Européenne (UE). »

 

Pour qu’un logiciel ou un matériel obtienne le label "GDPR-ready" de l’European Privacy Seal, le code source est testé pour s’assurer qu’il ne présente aucune faille qui pourrait être exploitée ou piratée pour compromettre la protection de la vie privée (anonymisation destructive), et qu’il est donc conforme à la GDPR. Le test est conduit par un organisme indépendant et impartial, et tous les critères sont rendus publics. Le label EuroPriSe est valide pour deux ans et doit être repassé après ce laps de temps ; ainsi, la conformité du produit aux dernières politiques et lois sur la vie privée de l’UE est toujours assurée.

 

« Dans le cadre de son engagement à toujours aider ses clients, Genetec prend le respect de la vie privée, l’autorisation, l’encodage et le stockage sécurisé des données très au sérieux », affirme Cyrille Becker, Directeur Général Europe de Genetec. « Nous sommes ravis que KiwiVision Privacy Protector ait à nouveau reçu la recertification EuroPriSe ; cela va permettre à Genetec d’atteindre un niveau encore plus élevé de confiance auprès de ses clients. »

 

 

#DPO_News #cyberisques: Rapport Radware 2017 les données constituent désormais un business lucratif

Corporate Communication: RAPPORT RADWARE 2017  

 

11 janvier 2017

 

 

 

Les données constituent désormais un business lucratif

 

 

 

Dans son rapport annuel, Global Application and Network Security Report 2016-2017, Radware révèle que les demandes de rançon sont la motivation la plus fréquente des cybercriminels, que l’infection par un malware est le type d’attaque le plus courant et que les craintes générées par les botnets IoT vont croissantes.

 

Les données sont un business lucratif estime Radware dans son dernier rapport Global Application and Network Security Report 2016-2017 

 

49% des entreprises interrogées ont confirmé avoir fait l’objet d’une campagne de ransomware en 2016. Interrogés sur leurs préoccupations vis-à-vis des cyberattaques, 27% des professionnels IT évoquent les craintes d’une fuite ou d’une perte de données, quand 19% seulement citent la crainte d’une panne de service, 16% le préjudice de réputation et 9% seulement la perte de client ou de partenaire.

 

RADWARE-3-SIZE-ATTACK-2017

 

  

 

Ce rapport recense les principales tendances observées dans les cyberattaques en 2016, il fait le point sur le degré de préparation de l’industrie et relaye les points de vue de personnes initées. Voici quelques-unes des grandes tendances identifiées pour la période couverte par ce rapport :

 

  • 41% des sondés estiment que la demande de rançon était la motivation principale des cyber-attaques dont ils ont été victimes en 2016, suivie par les menaces internes (27%), le cyberactivisme politique (26%) et la concurrence (26%).

 

  • La moitié de toutes les entreprises interrogées avait expérimenté une attaque de malware ou de bot au cours de l’année précédente, et 37% ont déclaré que l’IoT complique potentiellement leurs capacités de détection ou d’atténuation des menaces en élargissant le périmètre d’attaque.
  • Des attaques DDoS massives ont fait la une des médias en 2016, mais les recherches de Radware ont établi que les attaques de plus de 50 Gbit/s représentent à peine 4% de toutes les attaques.

 

  • Plus de 83% des attaques DDoS signalées par des entreprises étaient inférieures à 1 Gbit/s.

 

  • Les attaques d’envergure peuvent causer des dommages importants : dans 35% l’impact sur les serveurs est important, dans 25% sur la connexion Internet et dans 23% elles impactent le pare-feu. Pour ces sondés, l’impact signifie l’épuisement à 100% conduisant à la panne totale du service.

 

RADWARE-REPORT-2017

 

  • Les entreprises ne sont pas encore préparées à faire face à la diversité des nouvelles menaces :
  •    40% des entreprises n’ont pas encore mis en place de plan d’intervention d’urgence en cas d’;
  •   70% n’ont pas souscrit de cyber-; et
  •   malgré la prévalence des ransomwares, 7% seulement ont des réserves de bitcoins.

 

  •  

A venir ? 

 

  • Le code du Botnet IoT Mirai est disponible publiquement, les hackers novices et aguerris commencent déjà à adapter et « améliorer » les capacités du code selon leurs besoins. En 2017, il faut s’attendre à une augmentation exponentielle du nombre de dispositifs ciblés et asservis par des botnets IoT. Les constructeurs de solutions IoT vont devoir les sécuriser en amont de leur commercialisation, sachant que les attaques de botnet émanant de ces dispositifs peuvent être des attaques de grande ampleur, dépassant facilement 1 Tbit/s. 

 

  • Les cyberattaques de demande de rançon suscitent un fort engouement, tant au niveau de la technique que de la motivation, la plupart des tentatives de phishing comportant désormais un ransomware. Les agresseurs ciblent à présent les smartphones, les PC portables, les PC d’entreprise, et d’autres appareils et terminaux utilisés quotidiennement. A l’avenir, les attaques de logiciel de demande de rançon pourront cibler des appareils médicaux d’urgence, comme les défibrillateurs. 

 

  • Emergence des attaques PdoS (Permanent Denial of Service) de déni de service permanent des datacenters et des opérations IoT : Egalement appelée « phlashing », l’attaque PDoS endommage délibérément un système durant une attaque par DdoS, à tel point qu’il faut opérer des remplacements ou des réinstallations non seulement pour le côté logiciel mais aussi le matériel. Ces attaques connues depuis longtemps ne se produisent que de façon sporadique. Mais les dommages peuvent être terribles. Radware pressent une résurgence des attaques PDoS l’an prochain avec la volonté de détruire les dispositifs ciblés.

 

  • Les attaques TDoS en déni de service téléphonique devraient se multiplier et gagner en sophistication, si bien que beaucoup seront pris par surprise. Le fait de perturber les communications lors de situations de crise compliquerait l’évaluation de la situation par les premiers secours et leur capacité à répondre aux urgences.

 

  • Prise de contrôle des transports publics. Des systèmes entiers de transport sont aujourd’hui autoguidés, c’est le cas de trains, d’avions, de bus et d’automobiles. Cette automatisation vise à accroître la sécurité et la fiabilité, avec des gains d’efficacité à la clé. Ces infrastructures critiques peuvent tenter des agresseurs déterminés à prendre le contrôle des transports publics ou à bloquer le système au moyen de ransomwares. 

 

L’accès à l'intégralité de nos articles : dossiers

"expertises / compliance", enquêtes GDPR : DPO,

interviews exclusives, tendances chiffrées,

retours d'expérience, rapports...  est

réservé à nos abonné(e)s

This email address is being protected from spambots. You need JavaScript enabled to view it.

#Cyberisques

#DPO_News

 

 

BONUS:

http://cyberisques.com/mots-cles-7/623-dpo-news-cyberisques-panorama-clusif-sur-l-annee-2016-l-atteinte-a-la-vie-privee-progresse

 

 

RADWARE-2-RING-TARGET-2017

 

Va t-on laisser s'enfuir nos données par des portes dérobées ?

 

Va t-on laisser s'enfuir nos données par des portes dérobées ?

 

 

Après les données, ce sont les backdoors que les « cyberterroristes » pourraient accéder si les fameuses « portes dérobées » étaient autorisées officiellement comme le demandent aujourd'hui les ministres de l’intérieur Français et Allemands. Ils expliquent que bien évidemment « seuls les services de sécurité pourraient s'en servir ». D'autres comme la CNIL et l'ANSSI émettent de sérieux doutes à ce sujet et s'opposent à cette nouvelle étape qui pourrait au delà des libertés affaiblir le niveau technique des solutions crypto. Ce débat se trouve relancer au moment ou la NSA vient de se faire voler des « cyber-armes » par le groupe « Shadow Broker ». La CNIL rappelle «Avant d’envisager de se doter de nouveaux instruments législatifs, peut-être serait-il judicieux de s’assurer que les services de sécurité exploitent pleinement les nombreuses possibilités qui leur ont été offertes par le législateur ». Débat.

 

Vol-NSA-Aout-2016-The-Intercept

 (Source The Intercept) 

 

Autoriser les backdoors ou pas ? C'est le débat de cette fin d'été 2016. Cette semaine à l’occasion d'une rencontre interministérielle, la France et l’Allemagne via leurs ministres de l'Intérieur envisagent de rendre possible l'autorisation de « backdoors » (portes dérobées) par l'UE dans les logiciels de chiffrement pour faciliter les enquêtes sur le terrorisme notamment.

En Mai 2016, lors d'une audition devant une commission parlementaire française, Patrick Calvar, directeur général de la sécurité intérieure affichait sa volonté de vouloir voir évoluer les accès aux informations chiffrées  en insistant sur la dimension « internationale » du problème :

« nous nous heurtons à un problème bien connu et qui va grandissant : celui du chiffrement. Sans trahir le secret de l’instruction, à travers les investigations opérées à la suite des attentats de Bruxelles, nous nous sommes rendu compte que nous avions affaire à des structures très organisées, très hiérarchisées, militarisées, composées d’individus communiquant avec leur centre de commandement, demandant des instructions sur les actions à mener et, le cas échéant, des conseils techniques. Cette communication est, je le répète, permanente et aucune interception n’a été réalisée ; or même une interception n’aurait pas permis de mettre au jour les projets envisagés puisque les communications étaient chiffrées sans que personne soit capable de casser le chiffrement. Je rappellerai pour mémoire le conflit ayant opposé Apple et le Federal Bureau of Investigation (FBI) ; quand on connaît la puissance de ce dernier, on voit bien que nous sommes confrontés à un problème majeur qui dépasse largement le cadre des frontières nationales »

(cf Section BONUS Cyberisques News en fin d'article).

 

 

« il est techniquement impossible d’assurer que ce dispositif ne bénéficiera qu’aux personnes autorisées »

Autre son de cloche avec Guillaume Poupard ( http://www.cyberisques.com/mots-cles-5/554-guillaume-poupard-directeur-general-de-l-agence-nationale-de-la-securite-des-systemes-d-information-anssi-il-faut-normaliser-le-risque-cyber).

Le patron de l'ANSSI, ancien thésard du « pape » de la Cryptographie en France Jacques Stern (ENS) ne mâche pas ses mots dans un document non classifié publié par Libération début aout (cf notre section BONUS) : « Toute évolution de la législation vers une mesure générale d'obligation de résultat visant à garantir la possibilité d'accéder à des informations protégées aurait pour effet désastreux d'imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques employés ».

L’Anssi affiche clairement ses craintes en cas d’introduction de « backdoors ». Cette modification des programmes de chiffrement « aurait pour effet désastreux un affaiblissement des mécanismes cryptographiques employés. Or il est techniquement impossible d’assurer que ce dispositif ne bénéficiera qu’aux personnes autorisées ».

Le directeur de l'ANSSI n'est pas isolé dans son approche. Isabelle Falque-Pierrotin Présidente de la CNIL a co-signé une tribune dans le Monde du 22 août 2016 (cf Section BONUS) avec d'autres spécialistes pour affirmer que les backdoors autorisés « à tout moment, peuvent devenir de véritables portes ouvertes pour les organisations pirates, mafieuses, et terroristes. Généraliser l’installation de backdoors aurait ainsi pour effet désastreux d’affaiblir la sécurité et les libertés de l’ensemble des utilisateurs. »

 

 

« le chiffrement s'il complique les enquêtes ne constitue pas un obstacle insurmontable »

Bref selon les auteurs de cette tribune, on obtiendrait l'effet contraire à la mesure recherchée. Dans cette tribune, les co-signataires rappellent que le chiffrement s'il complique les enquêtes ne constitue pas un obstacle insurmontable : «  On ne peut raisonnablement affirmer que le chiffrement soit une barrière infranchissable pour les enquêteurs, même si on ne peut nier qu’il puisse compliquer l’accès à certaines informations. D’une part, il est souvent possible de contourner le chiffrement, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. D’autre part, si le contenu des communications est chiffré, les métadonnées, elles, restent le plus souvent en clair : qui échange avec qui ? Quand et combien de temps ? Où était-il ou elle localisé(e) ? Ces données répondent aux questions les plus importantes sur nos habitudes, nos fréquentations, nos centres d’intérêts, nos opinions. Elles sont donc extrêmement sensibles et c’est d’ailleurs la raison pour laquelle les dernières lois antiterroristes, qui en organisent une collecte massive, ont été largement critiquées. Avant d’envisager de se doter de nouveaux instruments législatifs, peut-être serait-il judicieux de s’assurer que les services de sécurité exploitent pleinement les nombreuses possibilités qui leur ont été offertes par le législateur. »

Les signataires de la tribune qui semble également avoir obtenu le soutien d'Axelle Lemaire, secrétaire d'État au Numérique rappelle : «  Seize lois antiterroristes ont été adoptées au cours des trente dernières années – nombre d'entre elles comportant des implications numériques majeures » et dont certaines « ne sont pas encore pleinement mises en œuvre ».

  

Diversité des solutions de "crypto", vente de « 0Day » et vulnérabilités des éditeurs

Étrangement absentes officiellement des débats, d'autres « pistes » existent pour comprendre cette problématique complexe. Ainsi comment "gérer" le nombre important de solutions de mécanismes de chiffrement pas toujours « coordonnées » entre elles ? Laquelle retenir ? Par ailleurs, l'exploitation de failles dites « 0Day » (inconnues des éditeurs mais proposées au black market sur Internet aux plus offrants) permet « d'entrer » dans les systèmes y compris ceux des "cyber-terroristes" et autres attaquants en n'étant pas toujours "gên" par le chiffrement. Enfin, le vol de « cyber-armes » à des services plus ou moins officiels comme ceux de la NSA aux Etats-Unis pose aussi un sérieux problème de « sécurité intérieure ». On vient de le voir encore cet été avec la mise aux enchères « d'outils » dérobés par le groupe "Shadow Broker" (version officielle) aux experts du groupe pirate "Equation" réputé proche de la NSA (cf Section BONUS en fin d'article, l'article dans WIRED et le billet des chercheurs de Kaspersky). n y découvre entre autres les méthodes employées pour intercepter les données comme celle bien connue : Man-in-the-Middle évoquée par The Intercept (cf Section BONUS en fin d'article).

Dernier point, la responsabilité des éditeurs n'est pas neutre dans un telle histoire. Un chercheur réputé affirme à propos de ce vol « que la NSA avait la capacité d’extraire à distance des clés confidentielles des VPN de Cisco depuis plus d’une décennie ». Du coup, Cisco « officialise » un certain nombre d’éléments sur son blog (cf Section BONUS en fin d'article) tout comme d'autres éditeurs : Juniper, Fortinet... Les éditeurs se trouvent en première ligne mais pas toujours en matière d'information. Ainsi, les failles "0Days" connues par certrains services comme ceux de la NSA via le département VEP (Vulnerabilities equities process) ne sont pas toujours transmises aux éditeurs concernés (cf. section BONUS en fin d'article). 

Et si tout cela n'était que de la poudre aux yeux ? En 2013, déjà des révélations de Snowden laissaient entendre que la NSA avait infecté plus de 50 000 machines via un « malware » spécifique (Cf Section BONUS en fin d'article). « l'histoire ne se répète pas » écrivait l'historien Michelet « mais elle bégaie »

Bref, en 2016, en matière de cybersécurité, au delà des discours, si les convictions demeurent, les certitudes s'envolent progressivement.

@ This email address is being protected from spambots. You need JavaScript enabled to view it.

Autres information sur cet article réservées aux

abonnés de Cyberisques News

 

This email address is being protected from spambots. You need JavaScript enabled to view it.  

 

BONUS :

http://www.assemblee-nationale.fr/14/cr-cdef/15-16/c1516047.asp

http://cnnumerique.fr/tribune-chiffrement/

https://www.wired.com/2016/08/shadow-brokers-mess-happens-nsa-hoards-zero-days/

https://theintercept.com/2016/08/19/the-nsa-was-hacked-snowden-documents-confirm/

https://securelist.com/blog/incidents/75812/the-equation-giveaway/

https://blogs.cisco.com/security/shadow-brokers

 

http://www.symantec.com/connect/blogs/equation-has-secretive-cyberespionage-group-been-breached

http://www.nrc.nl/nieuws/2013/11/23/nsa-infected-50000-computer-networks-with-malicious-software-a1429487

https://www.techdirt.com/articles/20151108/18345332759/nsa-pats-self-back-disclosing-vulnerabilities-90-time-doesnt-specify-how-long-it-uses-them-before-doing-so.shtml

 

 

 

 

 

2017: Prévisions Symantec

Communication corporate

 

 

Les prévisions de Symantec pour 2017 

Les experts en cyber-sécurité de Symantec livrent leurs prédictions quant aux tendances qui se développeront à partir de 2017.

 

Chaque année, le secteur de la sécurité est confronté à de nouveaux types de menaces car les cybercriminels ont recours à des stratégies de plus en plus sophistiquées pour accéder aux données des entreprises. Alors que 2017 approche, les spécialistes de la sécurité de Symantec ont examiné attentivement les tendances qui devraient se dégager cette année et au cours des années à venir. Dans un environnement en constante évolution, il est important de prendre du recul et de se demander sur quoi le secteur de la sécurité devra se concentrer dès l’an prochain.

Internet des objets

  • Le développement soutenu de la génération cloud.L’évolution vers un environnement de travail moderne se poursuivra car les entreprises permettent à leurs employés d’introduire de nouvelles technologies, telles que les accessoires connectés, la réalité virtuelle et les équipements IoT, tout en gérant une main-d’œuvre extrêmement mobile grâce aux applications et solutions cloud. Les entreprises devront passer de la protection des terminaux à la protection à la fois des utilisateurs, et des informations de l’ensemble des applications et services auxquels ils accèdent.
  • Des demandes de rançon pour les voitures connectées qui seront prises en otages. Alors que les voitures commencent à être équipées de fonctions connectées, le piratage automobile à grande échelle n’est plus qu’une question de temps. Les risques incluent la prise en otage des voitures en échange d’une rançon, le piratage des véhicules sans chauffeur pour obtenir leur localisation – afin de les détourner, d’opérer une surveillance non-autorisée et de collecter des informations – et bien d’autres menaces ciblant les automobiles. Se posera alors la question de la responsabilité entre l'éditeur de logiciels et le constructeur automobile, ce qui aura des incidences à long terme sur l’avenir des voitures connectées et le secteur de l’assurance.
  • Les équipements IoT seront de plus en plus présents dans l’entreprise. Chargées de repérer les vulnérabilités sur les ordinateurs et les appareils mobiles, les équipes de supports et d’intervention IT devront également prendre en compte de nouveaux et de plus en plus de terminaux connectés qui sont autant de points d’entrée sur le réseau. À l’instar des serveurs d’impression utilisés il y a quelques années pour mener des attaques, quasiment tous les équipements d’une entreprise seront désormais connectés à Internet et devront être protégés.
  • Augmentation du nombre d’attaques DDoS via l’IoT.L’attaque Dyn d’octobre dernier a montré qu’une multitude d’équipements IoT n’étaient pas sécurisés et étaient extrêmement vulnérables. Et avec la multiplication des installations d’équipements IoT sur le marché de la grande consommation, le risque de faille de sécurité va augmenter. Dès lors que des appareils non sécurisés sont disponibles sur le marché, il devient quasiment impossible de résoudre le problème sans les rappeler ou publier des mises à jour de sécurité. Cette absence de sécurité étant appelée à perdurer dans un avenir proche, le nombre d’attaques IoT va augmenter.

La dynamique de la génération cloud façonne l’avenir de l’entreprise

  • Le réseau d’entreprise va s’étendre et ses contours devenir de plus en plus flou et diffus. Avec des collaborateurs plus mobiles que jamais, la nécessité de protéger en priorité un réseau sur site dénotera de plus en plus d’une vue trop restrictive. À quoi sert-il de déployer un pare-feu pour protéger un réseau qui est connecté au cloud ? Les entreprises adopteront la technologie WiFi et les services cloud au lieu d’investir dans des solutions réseau coûteuses et moins pertinentes.
  • Les ransomware attaqueront plus le cloud. Compte tenu de l’adoption massive du stockage et des services cloud, ce dernier devient une cible très lucrative pour les pirates. Puisqu’il n’est protégé ni par des pare-feu, ni par des mesures de sécurité classiques, la sécurisation des données d’entreprise devra s’opérer autrement. Les attaques ciblant le cloud pourraient occasionner des dommages à hauteur de plusieurs millions de d’euros ainsi que des pertes de données stratégiques. Il sera donc impératif de protéger le cloud.
  • L’intelligence artificielle et le machine learning exigeront des fonctions de Big Data sophistiquées. En 2017, le machine learning et l’IA vont continuer à se développer. Selon les prévisions de Forrester, l’investissement dans l’intelligence artificielle augmentera de 300 % rien qu’au cours de l’année prochaine. Cette croissance fulgurante permettra aux entreprises d’exploiter de nouvelles sources d’informations et de développer la collaboration homme-machine. Cette expansion aura de nombreux impacts sur les entreprises en termes de sécurité, notamment sur les points de contact et les mécanismes du cloud. Avec l’émergence de nouvelles formes de machine learning et d’IA, les entreprises devront investir dans des solutions capables de collecter et d’analyser les données des innombrables points de contact et capteurs d’attaque de différents établissements, secteurs d’activité et régions du monde. Ces solutions joueront un rôle décisif pour enseigner aux machines comment agir sur les lignes de front d’une bataille mondiale qui évolue en permanence.

Cybercriminalité

  • Des États voyous se financeront en détournant de l’argent. Il existe un risque que des États voyous collaborent avec le crime organisé pour leur bénéfice personnel, comme nous avons pu l’observer avec les attaques SWIFT. Le fonctionnement des systèmes politiques, militaires ou financiers des pays pourraient alors en être négativement impacté.
  • Le nombre de programmes malveillants sans fichier résident augmentera. Les infections sans fichier – qui sont directement écrites dans la mémoire vive d’un ordinateur sans utiliser de fichier d’aucune sorte – sont difficiles à détecter et échappent souvent aux programmes antivirus et de prévention des intrusions. Ce type d’attaques s’est multiplié en 2016 et continuera à se développer en 2017, très probablement via des attaques PowerShell.
  • Les abus SSL (Secure Sockets Layer) entraîneront une utilisation croissante du protocole HTTPS par les sites de phishing. La popularité croissante des certifications SSL gratuites et la récente initiative de Google de catégoriser comme insuffisamment sécurisés les sites exclusivement HTTP affaibliront les normes de sécurité. Par ailleurs, les pratiques hostiles d’optimisation des moteurs de recherche se traduiront par une hausse du nombre de programmes d’hameçonnage ciblé ou de logiciels malveillants.
  • Les drones pourraient être utilisés pour l’espionnage et les attaques à l’explosif. Ce scénario pourrait se produire dès 2017 mais, plus probablement, dans un avenir plus lointain. D’ici 2025, les « détournements de drone » pourraient s’avérer plus nombreux au vu de leur utilisation croissante : les pirates peuvent intercepter les signaux des drones pour en prendre le contrôle. Face à un tel risque, des technologies de lutte contre le piratage des drones doivent également voir le jour en vue de protéger le GPS et les autres systèmes importants de ces appareils.

Etude Willis Tower Watson et Marsch : le durcissement des lois sur la protectiond e données en EU inquiètent les dirigeants en Europe

 Source : Corporate PR


La Protection des données : un risque majeur pour les entreprises TMT

 

L’indice Technologies, Médias et Télécommunications de Willis Towers Watson classe les

 

principaux risques auxquels est confronté ce secteur

 

 

Une approche confirmée par l'assureur Marsch (cf section BONUS en fin d'article) 

 

 

LONDRES, 23 mai 2016 — Selon la nouvelle étude et le classement publiés par Willis Towers Watson, les

amendes et sanctions réglementaires découlant de violations de la protection des données sont le principal

sujet d’inquiétudes des dirigeants du secteur des Technologies, Médias et Télécommunications (TMT).

 

Le classement de l’indice des risques TMT de Willis Towers Watson, téléchargeable en intégralité ici

montre que les trois principaux risques perçus sont : les amendes et sanctions réglementaires liées à

la protection des données ; les violations des droits de propriété intellectuelle et des brevets ;

et l’examen approfondi de la législation sur la concurrence et l’antitrust. Les deux premiers risques ont

par ailleurs été identifiés comme ceux auxquels le secteur sera le plus exposé dans les 12 mois à venir.

 

Sara Benolken, Responsable du secteur mondial TMT chez Willis Towers Watson, précise :

« Alors qu’une amende au titre d’une violation des données est perçue par le secteur mondial

des TMT comme le risque à éviter en priorité, le trio de tête du classement laisse penser que

l’évolution réglementaire et le risque juridique sont la principale préoccupation de la direction générale. »

 

Selon l’étude, l’importance accordée à la protection des données et aux responsabilités potentielles

s’inscrit dans la lignée d’une tendance mondiale à un durcissement des lois sur la protection

de la vie privée et de la répression. La récente approbation du Règlement général relatif à la

protection des données (GDPR) par le Parlement européen (en avril 2016) – qui alourdit d

e manière significative les sanctions infligées en cas de violations de données et facilite la

procédure d’introduction d’une réclamation pour les personnes – met en exergue le fait que

les entreprises doivent s’adapter au gré des nouvelles exigences réglementaires.

 

Sara Benolken : « S’il est compréhensible que l’évolution réglementaire et le risque juridique

constituent des priorités, aucun des risques identifiés qui se situent à un rang inférieur dans

le classement ne saurait être ignoré, étant donné leur capacité soit à porter préjudice aux entreprises

, soit à contribuer à leur développement»

Malgré la menace que font planer les cyber-attaques, ce risque ne figure pas dans le trio de tête du

secteur des TMT au niveau mondial ( ?)– il se classe cependant au premier rang pour le secteur des

Technologies. Willis Towers Watson recommande vivement aux entreprises de ne pas perdre de

vue que les vulnérabilités liées à la cybernétique peuvent exacerber d’autres risques comme ceux

débouchant sur des amendes et sanctions en matière de protection des données. Selon l’indice,

la numérisation et les avancées technologiques devraient voir leur impact sur le secteur des TMT

croître au cours des dix prochaines années.

 

L’étude mondiale a constaté des différences importantes dans la façon dont les organisations TMT appréhendent le risque selon leur zone géographique : il varie considérablement d’une région à l’autre. En Europe du Nord, la principale source d’inquiétude réside dans la volatilité des devises et l’instabilité des prix, la concurrence déloyale arrive en 2ème position et la cybercriminalité en 3ème position. Les dirigeants d’entreprises TMT en Amérique du Nord sont davantage préoccupés par la menace posée par la législation sur les produits de consommation et les actions en justice. En Europe du Sud, la menace de nouveaux concurrents a été identifiée comme le principal motif d’inquiétude des répondants. Sur le sous-continent indien, la désuétude des systèmes et infrastructures « hérités du passé » est vue comme le principal risque. Quant à la région Asie-Pacifique, les dirigeants considèrent que le manque de compétitivité des dispositifs de rémunération et de récompenses constitue le principal risque.

 

Sara Benolken : « Dans un secteur qui est un véritable laboratoire d’innovations et de stratégies d’entreprise bouleversant la donne, il est important de comprendre les risques auxquels sont actuellement confrontés les Technologies, Médias et Télécommunications et d’avoir une vision de ce que réserve l’avenir. Pour nous et nos clients, les risques sont un levier de croissance. C’est par le biais de l’identification et de la gestion de ceux-ci que les entreprises seront en mesure de prendre davantage de risques et, in fine, de saisir de nouvelles opportunités commerciales. Nous pensons que les enseignements de l’étude permettront aux organisations TMT de reconnaître les défis qui leur sont posés et de les relever avec succès tout en préparant l’avenir. »

 

Notes aux rédacteurs

L’indice des risques TMT 2016 de Willis Towers Watson a été calculé à partir des réponses fournies par 350 hauts dirigeants des trois secteurs, de leurs sous-secteurs respectifs, situés dans 11 pays.

L’intégralité de l’étude, y compris les infographies qui peuvent être reproduites, sont consultables ici.

BONUS: Cyberisques NEWS

https://www.marsh.com/content/dam/marsh/Documents/PDF/UK-en/Adviser%20New%20Data%20Protection%20Law%20in%20Europe.pdf

 

infographie-2

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information