DÉCIDEURS, CECI VOUS CONCERNE! - Clusis
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Internet of Things
BYOD
Internet of Things
Big Data
BYOD Secure web et/ou médical
Hackers Corner
Techline
SecureSmartphone
web et/ou médical
Droit des robots
Hackers Corner
Alternative tracks
Smartphone
DÉCIDEURS,
CECI VOUS
CONCERNE!
CAMPUS
Association suisse de la sécurité de l’information: www.clusis.ch
2 Journée stratégique du Clusis 2015 Journée stratégique du Clusis 2015 3
Table de matières Introduction
3 Introduction Madame, Monsieur,
Mme Sylvie Perrinjaquet membres du Clusis,
Conseillère nationale
En ce début d’année 2015, le contenu Afin de protéger les composants
Open Source
4 de la journée stratégique Clusis-Cam- stratégiques de notre sécurité
Leur travail de l’ombre pus, aux vues des événements qui se nationale, ces derniers doivent être
est indispensable succèdent dans le monde prend un accompagnés d’une démarche d’an-
Timothée Guillemin sens encore plus pertinent. Vous avez ticipation qui permette de prévenir
su anticiper une problématique, qui les méthodes d’attaques de tiers.
Internet des objets – IOT
6 attaque de plein fouet les individus, Aujourd’hui la menace de cyber-
Demain la révolution l’économie, nos libertés individuelles attaques est réelle et non plus vir-
Maurice Satineau et la sécurité intérieure du pays. tuelle, si je peux me permettre cette
comparaison.
8 B
ig Data La présence de l’informatique dans
Comment le Big Data change notre vie de tous les jours, l’utilisation Je souhaite que cette journée ren-
notre rapport au numérique des réseaux sociaux, la conservation force l’échange d’information, per-
Melissa Jacquemod des données sensibles sont autant de mette l’émergence d’un protocole qui
problématiques qu’il s’agit de proté- serve de référence à tous. La problé-
10 Bring
your own device – BYOD ger par des méthodes et des procé- matique part du cantonal et devient
BYOD et sécurité: jamais l’un dures claires et précises, connues des internationale! Tous les acteurs de
sans l’autre spécialistes que vous êtes et suivies notre société, qu’ils soient politiques,
Cathy Crausaz par les utilisateurs que nous sommes. économiques, administratifs, sociaux,
culturels, sont concernés. Le choix
Hackers corners
12 En ce qui concerne la Suisse, cette des intervenants de la journée le
Hacking: trouver la faille dernière s’est dotée de moyens légis- démontre.
Camille Andres latifs cantonaux et fédéraux qu’il
s’agit d’appliquer de manière per- Je remercie les membres du Clu-
tinente. La loi sur le renseignement sis pour leur engagement et l’orga-
Comité de rédaction qui sera votée au Parlement durant la nisation de cette journée. Je vous
Jacqueline Reigner, Dr ès sciences, Présidente du Clusis session de mars, renforcera les pro- souhaite des échanges denses et
Enrico Viganò, Vice-président du Clusis cédures et dotera le pays de moyens constructifs dans l’intérêt de la sécu-
Giovanna Di Marzo Serugendo, Professeure à l’Université de Genève d’investigation plus pointus. rité de la Suisse et de ses institutions.
Brian Henningsen, MBA, M. Sc.
Mme Sylvie Perrinjaquet
ISBN: 978-2-9700837-2-6 Conseillère nationale
© Copyright 2015 Clusis - association suisse de la sécurité de l’information.
Utilisation autorisée avec citation du Clusis et de l’auteur.
Clusis
Association suisse de la sécurité de l’information www.clusis.ch4 Journée stratégique du Clusis 2015 Journée stratégique du Clusis 2015 5
Timothée Guillemin
Open Source Journaliste RP
Leur travail de l’ombre ronnement très compliqué, où les
menaces sont sérieuses. Vous pou-
Le « requin »
a soif de sang
son océan, avec efficacité, rapidité et
simplicité. Pas de pitié pour les enva-
est indispensable
vez vous dire que je parle un peu à hisseurs naviguant en eaux troubles.
la légère, que je noircis le tableau. Il indésirable et
n’en est rien. Nous ne sommes pas
à l’abri d’une cyber-attaque, j’en
traque les activités Autre animal agile pour débus-
quer les ennemis, le Suricata! Julien
veux pour preuve l’année 2013, lors inhabituelles Bachmann est expert en sécurité
Chaque entreprise est virtuelle- Ce qui se cache derrière ces deux
de laquelle de nombreuses entités
suisses, réelles ou virtuelles, ont été
dans son océan, chez Kudelksi et a toujours été inté-
ressé par les questions d’attaque et
ment vulnérable. Souvent plus que mots anglais en apparence com- atteintes. Nous sommes aujourd’hui avec efficacité, de défense. Pour lui, Suricata est le
ne le croient ses décideurs, d’ail-
leurs, même quand ceux-ci croient
préhensibles de tous ? Un concept
génial, qui désigne un logiciel ouvert
en plein dans une guerre de commu-
nication.» Son message ? « Messieurs
rapidité et must. Propriété d’une fondation sans
but lucratif, ce logiciel est lui aussi
avoir tout mis en œuvre pour que à tous. Pas de licence protégée, pas les programmeurs, pensez à votre simplicité. évidemment Open Source, d’où sa
leur sécurité informatique soit assu- de secret de fabrication jalousement métier, à vos armes. Mais n’oubliez présentation en ce jour de séminaire
rée. Dans un contexte toujours plus gardé: ici, dans ce monde merveilleux, pas de développer le volet straté- consacré à cette technologie-là.
agressif, la lutte contre les intrusions tout est ouvert, les programmeurs gique. » Une guerre se gagne d’abord
malveillantes devient une priorité. collaborent main dans la main pour se par le cerveau, surtout quand elle est La journée s’est terminée avec la
Pour assurer l’hermétisme complet partager leurs découvertes. Pour le virtuelle. l’immense majorité des attaques se présentation de Zap proxy, un outil
de chaque société, les responsables plaisir? Pour la sécurité, surtout. Car font « au hasard », 12% d’entre elles destiné à l’analyse de sites particuliè-
de la sécurité informatique s’appuient le monde des programmeurs est la Les « soldats du bien », heureusement, sont ciblées. Dans ce pourcentage-là, rement vulnérables. Une bonne idée,
sur plusieurs armes, dont l’Open cible constante d’attaques. Dans cet sont nombreux, à l’image d’Alain Sul- clairement, les espions en ont après tout comme celle présentée par Alain
Source. univers-là, on ne parle pas de kalach- lam, expert en sécurité informatique des données clairement définies à Hugentobler, responsable de la sécu-
nikov ou de machettes, mais d’«intru- depuis plus de dix ans. Actuellement l’avance. Cela peut être la concur- rité informatique à l’Université de
Ces hommes-là sont redoutables. sion malveillante», de «hackers» et responsable de ce secteur bien spé- rence, des organismes étrangers Genève. Leur noms? Tails and Tor,
Tous habillés très élégamment, ils de « cyber-terroristes ». Et là, on ne cifique dans une société lausannoise ou même… des attaques venant de un système qui permet à chacun, via
vous parlent un langage que vous rigole plus, car ces problématiques employant près de 200 avocats, il proches. une simple clef USB, d’utiliser internet
n’avez que peu de chances de com- vous concernent. Oui, vous, qui ne commence par mettre tout le monde de manière anonyme et de détour-
prendre. Debout face à vous, ils comprenez rien à ce dont parlent les en garde contre l’excès de confiance. Les solutions existent, évidemment, ner la censure, ainsi que de ne lais-
vous expliquent tout sur les botnet, gens devant vous. « Le problème, c’est qu’on se croit et les compétences sont énormes ser aucune trace sur l’ordinateur que
les spywares et les dumb network. souvent plus forts que l’on n’est vrai- en Suisse dans ce domaine. Cuckoo vous venez d’utiliser. Le plus beau ?
Autour de vous, tout le monde La conseillère nationale Sylvie Per- ment. Quand vous parlez aux déci- Sandbox, démontré par Alain Sul- Tails and Tor crypte immédiatement
acquiesce, mais vous, vous n’y com- rinjaquet, invitée d’honneur de la deurs, dans les entreprises, ils vous lam, analyse automatiquement les chaque dossier, e-mail et message
prenez rien. Quand enfin votre oreille journée stratégique Clusis-Campus, disent bien souvent, chiffres à l’ap- malwares. Wireshark, un analyseur envoyé depuis l’ordinateur équipé
reconnaît un mot ami, la déception organisée le 23 janvier dernier à pui, qu’il ne peut rien arriver de grave. de protocole Open Source, présenté de ce logiciel!
est de mise: les strings évoqués par Genève Unimail, ne le sait que trop Tout le monde se croit à l’abri, mais par Jean-Roland Schuler, professeur
l’orateur n’ont qu’un (très) lointain bien. La conseillère nationale est il n’en est rien. » Une preuve ? « Très à l’Ecole d’ingénieurs de Fribourg. Ce Un outil à ne pas mettre entre toutes
rapport avec ceux auxquels vous en effet membre de la commission régulièrement, ce sont les services système fonctionne sous Windows, les mains, mais que chacun se ras-
pensez. Et quand Zeus est invo- de sécurité du Parlement, et, à ce de police qui informent les sociétés Mac et Linux et est très efficace pour sure : les intentions des experts invi-
qué, ne croyez pas que la foudre va titre, est parfaitement consciente qu’elles sont victimes d’une attaque. capturer des trames et détecter tés en cette journée stratégique par
s’abattre sur l’auditoire. En fait de des enjeux débattus en ce vendredi. Alors qu’elles ont un département toute trace de trafic indésirable. Le Clusis sont pures. Ils travaillent dans
dieu grec, il ne s’agit que d’un virus «Ce dont nous parlons aujourd’hui censé lutter contre les intrusions, bien « requin » a soif de sang indésirable et l’ombre, au quotidien, pour assurer
malveillant. Bienvenue dans le monde concerne notre sécurité. Nous nous souvent elles ne remarquent rien. » Si traque les activités inhabituelles dans votre sécurité.
de l’Open Source. trouvons aujourd’hui dans un envi-
Clusis
Association suisse de la sécurité de l’information www.clusis.ch6 Journée stratégique du Clusis 2015 Journée stratégique du Clusis 2015 7
Maurice Satineau
Internet des Objets - IOT
Demain la révolution lanceurs d’alerte en faisant remon-
ter des informations ou acteurs en
ils sont déjà largement émetteurs de
messages. Et bien sûr, à partir d’une
Nos bureaux sont-
ils sous influence ?
agissant sur leur environnement. connection à l’imprimante à l’insu de
Contrairement aux humains, la plu- son propriétaire, un malfrat aura la
part des choses communiquant entre possibilité d’intercepter des docu-
elles n’auront pas besoin d’un signal ments en toute discrétion.
permettant de couvrir de longues
distances. Chez OrbiWise, l’intérêt Avec les objets connectés, la notion
C’est une révolution annoncée, aussi Du pragmatisme se porte donc sur les réseaux basse de contrôle d’accès se modifie au
importante que l’invention du télé- Les entreprises ont tout intérêt à consommation à couverture globale, sein des firmes. Outre les accès
phone. Les objets communicants être pragmatiques, y compris hors une infrastructure cellulaire utilisant physiques aux points sensibles, les
vont changer à la fois les compor- de leurs locaux. Par exemple, elles des bandes sans licence. Sur le ter- accès utilitaires sont répertoriés via
tements individuels et la manière de doivent s’interroger sur de poten- rain, par exemple, l’optimisation le réseau ou le cloud: qui utilise tel
vivre ensemble et de travailler. Pour tielles failles de sécurité dans les d’une collecte de déchets n’exige que outil et de quelle façon. La machine
les particuliers comme pour les entre- systèmes électroniques de leur flotte l’émission périodique de données sur se met à parler de son collaborateur.
prises. de véhicules. «Le système multimédia de courtes distances. Le robot est par définition un objet
d’une voiture contrôle en fait beau- programmé et piloté, Internet per-
Tout dispositif équipé d’un proces- coup d’autres paramètres» constate De la prudence met son guidage à distance, comme
seur est connectable, mais 0,1 % Paul Such (SCRT). Chez certaines Le téléphone portable est désormais le montrent les travaux du profes-
seulement le sont dans le monde en marques, on retrouve même le nom un outil banal. C’est avant tout l’un seur Giovanna Di Marzo (université
2015. Du compteur d’eau à la montre d’ingénieurs informatiques cachés des premiers objets connectés, et l’un de Genève). Cette innovation offre
en passant par le téléviseur, l’auto- sur le disque dur de la voiture. Celle- des premiers récepteurs de menaces. de nouvelles possibilités de produc-
mobile et la santé, la croissance s’an- ci peut être programmée pour se Pour le chef d’entreprise, la marge de tion et de réaction à distance, tout en
nonce fulgurante. Dans cinq ans, ils connecter automatiquement dans manœuvre est étroite. Il s’agit d’un étant conscient que cette conduite
occuperont 35% des communications des zones wireless sans l’accord du objet personnel, voire intime, appar- va obligatoirement attirer des ten-
«On mettra gratuitement à disposi- conducteur. tenant à ses collaborateurs, le patron tatives malveillantes sur la toile. Ce
tion certains objets car la vraie créa- en possède lui-même un exemplaire. développement web est pourtant
tion de valeur sera dans l’exploitation Dans la masse de données en cir- Ce bataillon de smartphones peut séduisant par son apparente simpli-
des données qu’ils génèreront», selon culation, détecter les éléments pré- se transformer en armes contre cité, pour le consommateur comme
Xavier Maumon (Kondor SA). Ces flux curseurs d’un problème devient sa société, quel que soit le modèle pour l’industriel.
inédits font intervenir des nouveaux indispensable. Pris isolément, ils utilisé. «Nous avons détecté 4,64
acteurs mettant à disposition des paraissent souvent insignifiants, millions d’interventions mal inten- Le passage à l’usage massif des
réseaux innovants, le défi encore à mais corrélés entre eux, ces indices tionnées sur des mobiles l’année der- objets connectés posera néanmoins
surmonter étant l’interopérabilité. Il prennent une signification particu- nière», confie Dirk Kolberg (Kaspery de vraies questions de gouvernance.
faut en outre avoir à l’esprit que les lière d’alerte. Cette démarche sera Lab). Dans ce volume, il y en avait C’est un nouveau défi pour l’éco-
systèmes de communication sans fil d’autant plus complexe que les forcément beaucoup qui visaient des nomie nationale, entre le design,
évoluent vers le haut débit, alors que objets connectés seront de plus en firmes et non des individus. Avec un les compétences informatiques, les
les objets connectés ont besoin d’un plus divers. Ils pourront être tour à peu d’expérience, un téléviseur ou normes environnementales et le
débit modéré. tour victimes, en étant manipulés, ou une imprimante peut être trafiqué, cadre légal pour l’utilisation.
Clusis
Association suisse de la sécurité de l’information www.clusis.ch8 Journée stratégique du Clusis 2015 Journée stratégique du Clusis 2015 9
Melissa Jacquemod
Big Data Etudiante en journalisme
Le Big Data, du particulier au des données est importante pour
une bonne protection mais un bon
Comment le Big mis en place: les accès aux informa-
tions personnelles des patients sont
chef d’entreprise, une affaire archivage est essentiel. Le stockage
des données est important dans les
entreprises, notamment lorsqu’elles
Data change
notre rapport au
protégées par des doubles codes,
le patient contrôle et gère seul ses
données en ligne avec l’aide du
numérique
de tous! le sont sur le «cloud». Verena Kantere,
intervenante de l’atelier «Cloud ser-
vices for Big Data management and
médecin... Mais il persiste quelques
problèmes liés au Big Data dans la
santé, Paolo Masci les illustre dans
Le Clusis-Campus du 23 janvier der- données sont donc essentiels, Sté- analysis» explique qu’il faut se méfier n’est pas adéquate. Il est donc diffi- son projet de recherche CHI+Med.
nier a présenté un cycle de cinq ate- phane Droxler, intervenant de l’ate- de ce genre de stockage, surtout si cile de convaincre les internautes de Ce projet veut améliorer les appa-
liers sur le thème du Big Data. Pour lier «Contrôle des données» explique il est gratuit car toute structure de volontairement partager ces don- reils médicaux pour éviter les erreurs
bien comprendre les enjeux de sécu- les risques liés à une éventuelle perte stockage a un coût, une gratuité de nées. Plusieurs solutions existent humaines notamment en informant
rité informatique liés au Big Data il de données: «les enjeux de la sécurité stockage doit paraître suspecte au pour clarifier le statut légal de cette le corps médical. L’exemple phare
faut d’abord comprendre ce terme. concernent toute l’entreprise car ils RSSI. La destruction automatique des technologie mais aucune n’est réelle- de ces erreurs est la pompe à injec-
Il regroupe plusieurs modifications peuvent concerner la réputation de données lors de leur perte permet ment sûre pour l’instant. tion: l’écran de contrôle qui permet
liées à l’avancée technologique de l’entreprise, ses clients, qui sont libres d’éviter leur utilisation par des tiers. d’entrer les paramètres de la perfu-
ces dernières années: la massifica- de partir du jour au lendemain ou la Pour protéger au mieux les données il Big Data et milieu hospitalier sion pose des problèmes d’utilisation,
tion du nombre de données dispo- propriété intellectuelle». Tous les sec- faut donc les comprendre: savoir qui Le Big Data dans le cadre de la santé l’entrée des valeurs ne respecte pas
nibles en ligne, la façon dont elles teurs de l’entreprise peuvent donc les a créées, qui les utilise, qui en est et des hôpitaux est très complexe la logique première «mathématique»
sont structurées et stockées, l’aug- être touchés: le CIO, le marketing, le propriétaire et qui les lie? et diverge énormément en fonction de l’être humain et peut facilement
mentation des échanges... Mais le Big la recherche et le développement... des états. John Gunson explique entraîner des erreurs surtout dans
Data n’engendre pas seulement des C’est pour cela que le responsable de Pour comprendre les différentes uti- que dans le domaine de la santé, un contexte stressant. Une mauvaise
innovations et des améliorations mais sécurité des systèmes de l’informa- lisations possibles de ces données, tout est «donnée»: les informations entrée sur ce genre d’appareils peut
modifie aussi grandement les risques tion ou responsable informatique doit Laura Georg apporte un éclairage sur sur les patients, les caméras de engendrer des conséquences graves
et les enjeux liés à ces progrès. avoir les cartes en main pour informer le mobile crowd sensing, c’est à dire surveillance dans les hopitaux, les sur les patients. Le CHI+Med orga-
ses collègues: ils sont tous concernés. l’utilisation des données émises par ordonnances, les valeurs collectées nise des séances d’informations au-
Big Data et protection Ce besoin d’information prend tout les smartphones. L’exemple type de sur les patients par les capteurs, près des infirmières et du personnel
des données en entreprise son sens lorsque l’on sait que dans mobile crowd sensing sont les don- les échanges médecins-patients... mais les hopitaux doivent également
Dans le cadre d’une entreprise le Big 61% des cas de pertes de données, nées GPS des téléphones, on peut les Le système de santé dicte la façon signaler ce genre de problèmes aux
Data regroupe les e-mails, les don- la cause est une erreur interne à l’en- utiliser dans le cadre de la circulation dont ces données sont gérées, aux fabricants des appareils. L’innovation
nées stockées ou produites dans treprise elle-même : une publication automobile. Dans ces cas-là, la pro- Etats-Unis les patients doivent payer vient avant tout des personnes qui
l’entreprise par n’importe lequel des accidentelle, une perte de laptop ou tection des données est encore dans pour tout type de traitement, cette l’utilisent au quotidien.
employés, les bases de données, une fraude. une zone de législation dite «grise». transaction donne de la valeur aux
l’intranet... La cybercriminalité peut Le mobile crowd sensing donne accès données mais le système Obama- Le Big Data est une problématique
être intéressée par ces informations, Le RSSI* doit également identifier ce à des informations non interprétables care tente de pallier à ce problème. centrale pour toutes les entreprises
qui peuvent notamment être utilisées que l’entreprise veut protéger pour par le biais d’Internet, des réseaux En revanche en Suisse, l’état investi et il est important que celles-ci adap-
pour défendre des idéaux (comme pouvoir le faire de façon optimale, sociaux, des voitures connectées, des énormément dans la santé et sait se tent leurs habitudes de travail pour
le fait le groupe Anonymous), pour comment bien protéger une donnée objets de smart home... Cela peut se poser les questions liées au Big Data. protéger leurs données et leurs colla-
obtenir de l’argent ou du pouvoir. si on ne connaît pas sa valeur? La révéler très utile mais aussi très dan- Grâce à cela, en Suisse le système de borateurs tout en pouvant bénéficier
La protection et le contrôle de ces limitation des accès et des usages gereux si l’utilisation qui en est faite e-Health (santé connectée) est bien des améliorations que cela apporte.
* RSSI Responsable de la Sécurité des
Systèmes d’Information
Clusis
Association suisse de la sécurité de l’information www.clusis.ch10 Journée stratégique du Clusis 2015 Journée stratégique du Clusis 2015 11
Cathy Crausaz
Bring your own device – BYOD Journaliste RP
BYOD et sécurité: jamais l’un l’entreprise de faire appel à un spé-
cialiste, soit nommer un DPO (délé-
de Temanco SA, chaque entreprise
doit faire son propre bilan avant de
book. En d’autres mots, il ne sert à
rien de blinder la porte si on laisse la
sans l’autre.
gué à la protection des données) ou prendre une décision, sachant que fenêtre ouverte.»
recourir à un prestataire externe. Elle gérer signifie réduire les coûts et la
recommande également de mettre en charge de travail, et que la mise en La protection de l’information
place un règlement interne qui porte place de toute nouvelle solution a en mobilité
sur l’utilisation d’Internet, des outils un prix. «La plupart des entreprises Les premières attaques sur les télé-
bureautiques et du matériel à dispo- a une très mauvaise connaissance et phones mobiles remontent à 2004.
Le BYOD offre Le BYOD est une nouvelle techno- La protection des données sition, ainsi que sur sa surveillance. gestion des coûts télécom, et gas- Les premiers «malwares» datent de
logie considérée comme incontour- Une solution BYOD implique une Ce règlement précisera clairement pille de l’argent.» Implémentation de 2010. Aujourd’hui, environ 30% des
de nombreuses nable par la communauté des experts perte de contrôle sur les appareils. les règles d’utilisation, les mesures BYOD ou non, des services de type parents laissent leurs enfants jouer
opportunités aux de la sécurité de l’information. Abré- Les utilisateurs intègrent l’entreprise de surveillance et les sanctions. Au TEM (Telecom Expense Manage- avec leur appareil professionnel, alors
viation de l’anglais «Bring Your Own non seulement avec leur propre niveau technique, l’entreprise devra ment) aident à bien gérer et à réduire que plus de 70% des adultes dans le
hackers de violer Device», soit littéralement «apportez matériel, mais également avec leurs intervenir sur l’infrastructure (amé- d’environ 20% les frais globaux, selon monde ont un compte Facebook, et
la sécurité des vos propres appareils» en français, données personnelles. «L’entreprise liorer le serveur FTP, travailler sur le le spécialiste. le consultent avec leur smartphone.
cette pratique - qui séduit de plus en se doit de protéger non seulement Firewall...), renforcer l’authentifica- Inutile de dire que les risques de vol
entreprises. plus d’entreprises - consiste à utiliser ses propres données, mais également tion (signer les messages), ou encore La mise en œuvre pragmatique de données et d’infection d’appa-
ses équipements personnels (télé- celles de chacun des collaborateurs», définir la sécurité, par exemple en Comment choisir le bon outil pour reils informatiques de l’entreprise,
phone, ordinateur portable, tablette rappelle Henri Severac de Stradefi ségrégant les données sensibles. «La gérer le BYOD? Selon Stéphane sont importants. Comment sécuriser
électronique) dans un contexte pro- SA. Mais qu’est-ce qu’une donnée sécurité, c’est tous les jours. Il faut Zwettler de SZ Informatique, les l’information une fois qu’elle quitte
fessionnel. Si elle facilite l’accès aux personnelle? Un numéro de télé- donc être proactif, mais également possibilités sont vastes, et la mise l’entreprise? Pour Arnaud Simon de
informations et aux applications de phone, une date de naissance, une réactif», résume Henri Severac. en place complexe. Cette dernière CheckPoint Europe, trois points clés
l’entreprise, tout en répondant à des adresse, un mot de passe, des pho- implique un certain nombre de sont à mettre en œuvre: 1) Protéger
besoins de mobilité, de collabora- tos, un numéro de compte bancaire, Le bilan financier réflexions préalables sur le besoin de ses documents et le cœur de l’entre-
tion et de confort, elle n’est pas sans un acte judiciaire, le montant d’un La gestion des coûts est au cœur mobilité dans l’entreprise, les aspects prise (seuls les utilisateurs autorisés
risque; elle pose en effet des ques- salaire, etc., soit toutes les informa- du BYOD. Certaines études préten- juridiques, le niveau de sensibilité des peuvent y accéder). 2) Faire de la
tions relatives à la sécurité de l’infor- tions qui permettent d’identifier une dent qu’il permet d’économiser des informations à partager, le confort de ségrégation entre privé et profes-
mation et à la protection des données. personne de manière directe ou indi- milliers de francs par an et par uti- l’utilisateur, etc. M. Zwettler conseille sionnel. 3) Protéger les appareils des
Qu’est-ce que le BYOD peut appor- recte. Pour Isabelle Dubois, première lisateur. D’autres enquêtes mettent de chercher une cohérence avec menaces. M. Simon préconise d’ap-
ter à mon entreprise? Est-ce que je préposée genevoise à la protection en garde contre une augmentation l’existant, de traquer les incompatibi- pliquer la même politique sur tous
vais économiser de l’argent? Quels des données, aujourd’hui experte en des factures de 20% à 50%. Quel est lités, d’évaluer les intégrateurs et de les appareils (smartphone, tablette,
sont les pièges à éviter? Comment protection des données personnelles l’impact du BYOD sur les finances de réaliser des essais complets. Pour le PC) et tous les systèmes (iOS, Mac,
assurer une protection complète des au sein d’AD HOC RESOLUTION, «les l’entreprise? Pour répondre à cette choix du partenaire, mieux vaut privi- Android, Windows). «L’enjeu est de
données, quel que soit l’endroit où données sensibles (religion, ethnie, question, il est nécessaire de prendre légier les leaders. «Ne cédez pas à la permettre aux employés de travailler
elles se trouvent? Lors de la journée santé, poursuite, saisie sur salaire, en compte toutes les implications psychose et soyez cohérent», préco- sans tout bloquer, et tout en leur
stratégique 2015 du Clusis, plusieurs etc.) sont, de par la loi, davantage que le BYOD aura sur la manière de nise le directeur de SZ Informatique. offrant une sécurité suffisante».
experts ont apporté leur éclairage à à protéger que les autres données». gérer la mobilité et sur les coûts liés «Inutile par exemple de protéger des
ces questions. Pour ce faire, l’avocate conseille à aux activités. Pour Toni Lazazzera photos qui sont publiées sur Face-
Clusis
Association suisse de la sécurité de l’information www.clusis.ch12 Journée stratégique du Clusis 2015 Journée stratégique du Clusis 2015 13
Camille Andres
Hackers Corner Journaliste indépendante
Hacking : trouver la faille Le piratage n’obéit pas
toujours à une stratégie définie
Pourquoi toutes
les entreprises
a développé «Sunrise DDOS pro-
tection» qui permet de faire face
Si les grandes organisations sont en direct à une attaque web ciblée.
évidemment très exposées, tous les seront piratées. Et Utile lorsqu’on propose des services
pirates n’ont pas forcément une proie
et une stratégie définies. Ils peuvent
Comment chacune en ligne. «A mon avis tous les héber-
geurs, les intégrateurs, tous ceux qui
agir sur n’importe quelle entité, par peut se défendre. fournissent des accès Internet à des
pure opportunité, comme le rap- tierces parties devraient s’assurer de
La meilleure protection contre le hac- ne sont plus simplement des férus pelle Dominique Cimenti. Ce dernier tels services», explique Julien Fiches,
king? Connaître ses propres vulnéra- de sécurité informatique, mais des pratique depuis dix ans le hacking responsable des clients profession-
bilités et la logique de l’adversaire. groupes malveillants organisés, des à des fins de sécurité informatique: nels de Sunrise.
Dans une cyberguerre, l’objectif pour agences gouvernementales, des «quand on découvre une faille dans
une entreprise n’est pas de vaincre activistes parfois radicalisés... Plus un système, on fait des efforts pour Les solutions existent. L’idéal étant Autre mesure possible: pratiquer
ses ennemis, mais avant tout de réus- nombreux, plus professionnels, ils y rester». Un hacker, par définition, de prendre le problème à la source, régulièrement l’audit d’une applica-
sir à protéger, en permanence, ses agissent aussi selon des motivations est un joueur. Il tâtonne, essaye diffé- et faire développer ses applications tion ou un test d’intrusion. Les tests,
données et ses systèmes. toujours plus diverses: nuire à l’image rentes stratégies pour voir jusqu’où le par des personnes qui comprennent lorsqu’ils sont pratiqués sur la base
d’une organisation, la rançonner, mèneront ses tentatives. Parfois, des les enjeux de sécurité, et les intè- de scénarios réalistes, «permettent
«Toutes les entreprises et tous les obtenir ses informations sensibles, données récupérées de façon éparse grent immédiatement aux produits souvent de découvrir des menaces
pays seront victimes de hacking», détruire ses systèmes ou simplement peuvent faire sens, et permettre une qu’ils créent. Si cette option est trop ou des failles jamais prises en compte
a prévenu John Chambers, CEO de s’entraîner. Parfois même les raisons attaque sérieuse une fois réunies. coûteuse, la maintenance des sys- auparavant», remarque Dominique
Cisco, au Forum économique mondial restent totalement inconnues pour tèmes informatiques, en particulier Cimenti.
de Davos. «Le cyberterrorisme existe, la cible visée ! C’est le cas de 40% D’où la nécessité de développer les plus anciens, et l’application de
il est présent, quotidien» a renchéri la des attaques D-DOS menées dans le une politique de sécurité à plusieurs «patchs» pour corriger les vulnéra- Le risque principal reste finalement
conseillère nationale Sylvie Perrinja- monde, selon l’entreprise Arbor, spé- niveaux. Et d’être conscient de ses bilités apparaît comme un minimum l’inaction, au motif, maintes fois
quet lors de la journée stratégique du cialisée en sécurité. propres failles. vital. Firewalls et antivirus à jour doi- entendus que «mon entreprise n’a
Clusis du 23 janvier. Le ton est donné, vent équiper tous les ordinateurs y pas de données sensibles» ou «je
appuyé par quelques faits marquants Les risques sont donc multiples, éle- Ces dernières touchent toutes enti- compris ceux dédiés au télétravail. n’ai rien à cacher». Toute entreprise,
en ce début d’année 2015: rançon- vés, et autrement plus nuisibles qu’un tés, sans distinction. La vulnérabi- y compris une PME, est une richesse,
nage de la BCGE, multiplication des cambriolage: dégât d’image, perte lité est, par définition, inhérente aux Le risque principal: l’inaction par son ancienneté, son expérience,
cyberdjihadistes. de clients actuels ou futurs, coûts systèmes informatiques. «Une erreur Si les grandes entreprises disposent son savoir-faire, son fichier clients. La
liés aux dédommagement des par- humaine, une erreur de logique, c’est de leur «security operation center», première des vulnérabilités est finale-
Si les cyberattaques ne sont pas tenaires lésés et, on l’oublie souvent, statistique: il y a en moyenne deux permettant de surveiller en perma- ment de ne pas être conscient de sa
un phénomène récent, elles sont à la gestion et à la réparation des bugs sur 500 000 lignes de code nence leur parc informatique et de propre valeur.
aujourd’hui «plus nombreuses et tou- dégâts d’une attaque en elle-même: selon la formation et la compétence réagir immédiatement en cas d’at-
jours plus sophistiquées», comme le communication et réponses aux du développeur» rappelle Dominique taque, les entités plus petites peu-
fait remarquer Dominique Vidal, CEO clients, diagnostic de sécurité, régé- Vidal. Et plus le système est com- vent se raccorder à des services
de SecuLabs SA, à Montricher (VD). nération du système et des données, plexe, plus les vulnérabilités seront proposés par certains opérateurs.
Les hackers ont changé de profil, ce enquête interne... nombreuses. Ainsi l’opérateur télécom Sunrise
Clusis
Association suisse de la sécurité de l’information www.clusis.ch14
Clusis - Association suisse de la sécurité de l’information
c/o Jacqueline Reigner, Avenue Reymondin 15, 1009 Pully
Tél.: +41 79 436 74 60 - Site: www.clusis.ch - info@clusis.chVous pouvez aussi lire
