T-Systems Logo

France

Votre recherche

Votre recherche

Graphique

Entretien

Hagen Rickmann, Responsable de l’entité Service de T-Systems, nous livre son expérience en matière de cybercriminalité, de services liés à la sécurité et des solutions de conformité.
plus
Bernt Ostergaard est Directeur de Recherche Services Informatiques de Current Analysis. Il travaille sur l’importance d’une approche holistique de la sécurité informatique, en s’associant avec des partenaires externes.
plus

Réconcilier sécurité et productivité

Près des deux-tiers des dirigeants sont conscients des risques liés aux virus informatiques et à la mauvaise utilisation des données. Il s’agit là d’une des conclusions du rapport de sécurité réalisé en 2011 par l’Allensbach Institute for Public Opinion Research et le Centre de Stratégie et de Leadership (CHSF), sur commande de T-Systems. Selon ce rapport, la sécurité ICT est une priorité de premier ordre pour 67 % des décideurs des plus grandes entreprises (cf. rubrique Aperçu des tendances, page 44). 42 % des personnes sondées pensent que la cybercriminalité, notamment en ligne, va continuer à se développer.
Top Story: Best Practice 4-2011 Top Story: Reconciling security with productivity
« Si vous voulez revoir vos données… saines et sauves, nous réclamons une rançon de 30 millions de dollars, ou bien... » La criminalité en col blanc a coûté 20 milliards d’euros à l’Allemagne en 2010. Le tout dernier « modèle économique » des gangsters du Net est le Cloud-Napping. Cette technique consiste non seulement à voler les données d’une entreprise, mais aussi à les retenir contre le versement d’une rançon. Digital, une publication du secteur IT, a rapporté qu’en avril 2011, les agents chargés de la cybercriminalité au siège d’Interpol à Lyon ont enquêté sur six cas de Cloud-Napping en même temps.
Par le biais de virus et autres logiciels malveillants, les cybercriminels infiltrent et manipulent les serveurs d’un fournisseur de services Cloud. Ils peuvent empêcher une entreprise d’accéder à ses propres données en l’espace de quelques secondes. Ils peuvent retenir les données en otage pendant plusieurs heures voire plusieurs jours, jusqu’à ce que l’entreprise paie la rançon.
Comme l’a expliqué Reinhard Clemens, CEO de T-Systems International et Membre du Board de Deutsche Telekom, « Le nombre croissant d’attaques provenant d’Internet fait du sabotage et de l’espionnage un formidable business, avec des effets dévastateurs pour les entreprises et la société ».
Le déluge de cyberattaques menace l’économie et la sécurité, ce qui en fait un sujet brûlant pour les politiques. Lors de la conférence sur la sécurité de cette année à Munich, la Chancelière allemande Angela Merkel a dénoncé la « course aux armements informatiques ». Sa mise en garde était claire : « la guerre cybernétique est aussi dangereuse que le combat traditionnel ».
L’année dernière, le virus Stuxnet a paralysé les systèmes qui contrôlent les centrales nucléaires iraniennes. Il est, semble-t-il mis en place par des services de renseignement, et représente une menace d’un genre nouveau : il cible les systèmes qui contrôlent les usines et les équipements industriels, par exemple ceux que l’on trouve couramment dans les infrastructures essentielles de production d’énergie et de traitement des eaux. Il y a quelques semaines, l’entreprise de sécurité américaine Symantec a sonné l’alarme à propos de Stuxnet, appelé Duqu, un virus au modus operandi identique à celui de son prédécesseur. Une fois encore, les systèmes de surveillance et de gestion industrielles sont dans la ligne de mire.

L’Europe, une option tentante

Quelle que soit la nature de la menace, cyberattaques ou actes de sabotage commis par les employés, les fournisseurs de services informatiques internationaux tels que T-Systems soulignent l’intérêt croissant des clients pour les offres européennes. Ces clients sont attirés par le niveau élevé de protection des données au sein de l’UE et par la possibilité de conserver leurs bits et leurs octets dans les datacenters du vieux continent. C’est l’une des raisons pour lesquelles Microsoft a récemment décidé d’étendre son partenariat avec T-Systems. L’objectif est de fournir des logiciels comme Exchange et Share-Point via des centres de données allemands. L’une des plus grandes entreprises énergétiques du monde, Shell, profite déjà de cet arrangement. Il s’agit de l’un des plus importants clients de Microsoft en Europe. Shell accède à des solutions Cloud telles que la plate-forme SharePoint. Les données de l’entreprise ne sont toutefois pas conservées dans les datacenters de Microsoft. Elles se trouvent sur les serveurs de T-Systems. Comme tous les clients de T-Systems, Shell peut choisir le pays dans lequel ses données sont stockées.

Les agences gouvernementales sont également visées

Le secteur privé n’est pas le seul à être concerné par la cybercriminalité. En juillet dernier, par exemple, des pirates ont réussi à infiltrer les réseaux hautement sécurisés du Pentagone, et ont volé 24 000 enregistrements de données extrêmement sensibles concernant les composants électroniques d’avions, les technologies de surveillance et les protocoles réseau, sur le serveur d’un fournisseur d’armes.
Même dans le secteur privé, la menace ne se limite pas seulement aux concurrents peu scrupuleux essayant d’obtenir des informations sur les dernières évolutions des produits. Deux incidents majeurs, en avril et mai derniers, visaient à obtenir l’accès à des données précieuses sur les clients. Plus de 100 millions de dossiers de joueurs ont été dérobés sur le réseau Playstation, exploité par le géant des produits électroniques grand public, Sony. Coût estimé : 170 millions de dollars, sans compter les éventuelles indemnisations d’un recours collectif par les utilisateurs lésés, et le tort fait à l’image de la marque. « Vous pouvez voir que le cyberterrorisme agit désormais à l’échelle mondiale », a déclaré le PDG de Sony Howard Stringer à ses actionnaires lorsque le prix des actions s’est effondré. Une seule faille de sécurité a brusquement fait de Sony un candidat inattendu à une acquisition. Mi-octobre, la foudre a frappé une troisième fois. Une fois encore, les pirates ont ciblé les comptes joueurs du service de jeux Sony Online Entertainment (SOE) et du réseau mondial Playstation (PSN). Cette fois, Sony a été plus rapide dans sa réaction. « Seuls » 93 000 comptes ont été piratés avant que les cyberdéfenseurs de l’entreprise ne repoussent l’attaque.
En 2010, la BKA (Bureau de la police criminelle fédérale en Allemagne) a enregistré 250 000 cas de pirates essayant de dérober les identifiants Internet d’utilisateurs. Les experts attribuent cette hausse, une augmentation de 20 %, à l’explosion du nombre d’appareils mobiles. Les serveurs mal protégés ne disposant pas des dernières mises à jour de sécurité, constituent également des proies faciles.
Selon une étude menée par la Communauté de sécurité de la région du Bade-Wurtemberg, 70 % des malfaiteurs sont au sein des entreprises ellesmêmes. En moyenne, ils travaillent pour leur employeur depuis environ dix ans (cf. Un seul problème, deux façons de penser, page 34). « Traditionnellement, les entreprises se sont focalisées sur des malfaiteurs externes » explique Manfred Balz, Membre du Board de Deutsche Telekom, en charge de la confidentialité des données, des affaires juridiques et de la conformité. « Le potentiel des menaces internes a longtemps été sous-estimé ». Cependant, tous les coupables n’ont pas d’intention criminelle, souligne Dieter Kempf, Président de l’Association allemande du secteur IT BITKOM. Souvent, des employés deviennent à leur insu les instruments des pirates.

Petits secrets et gros problème

Pour mettre la main sur des schémas de conception ou des informations de production, et contourner les pare-feux des entreprises, les pirates s’introduisent souvent dans un système par une porte secondaire. Par exemple, en détournant les informations financières personnelles d’un Ingénieur de Projet, en exploitant les messages personnels d’un Responsable de Production ou en tirant profit des démêlés avec les autorités du Conseiller Juridique, accusé de conduite en état d’ébriété. Bagatelles ou problèmes graves ? Plus les individus veulent préserver leurs petits secrets, plus ils courent le risque de devenir complices. Les gens pensent souvent que les données conservées sur leurs appareils personnels, ordinateurs portables ou smartphones n’ont rien d’extraordinaire et sont strictement privées. Mais c’est exactement pourquoi ils deviennent des cibles si intéressantes.
Cette menace a été soulignée par le Président du BKA, Jörg Ziercke, alors qu’il présentait le rapport 2010 de l’agence sur la cybercriminalité en juin dernier : « Les malfaiteurs surveillent étroitement le comportement des utilisateurs. Ils infiltrent des appareils mobiles et des ordinateurs afin d’obtenir des données et des informations à partir de messages textes et de procédures d’authentification réalisés via SMS ».

Sensibiliser le public aux risques

Même les réseaux sociaux comme Facebook et LinkedIn peuvent fournir des informations précieuses sur des cibles potentielles et leur environnement. Bien que les profils puissent être configurés pour préserver la confidentialité des données, peu d’utilisateurs de réseaux sociaux utilisent ces paramètres. La naïveté des utilisateurs crée d’autres dangers. « Un e-mail classique, légèrement personnalisé, est suffisant pour qu’un pirate gagne la confiance des employés qui ne sont pas sensibilisés aux risques » déclare René Reutter, Directeur de la Sécurité ICT chez T-Systems. Ces e-mails incitent les destinataires à ouvrir des pièces-jointes trafiquées ou à accéder à un site Web infecté (on parle aussi d’une « infection par drive-by »).
Selon l’entreprise de conseil et d’audit KPMG, seul un quart des entreprises a sensibilisé son personnel aux technologies et problèmes liés à la sécurité. Seule une sur trois possède un programme de sécurité informatique qui permettrait, de sensibiliser davantage les employés aux risques existants. 37 % des entreprises interrogées ne sauvegardent pas quotidiennement leurs données d’entreprise. 7 %, pour la plupart des petites et moyennes entreprises, ne sauvegardent pas du tout leurs données.
Les fabricants détenant des données R&D inestimables, les banques qui gèrent des transactions financières sensibles et les entreprises dont les informations clients leur attirent des campagnes d’hameçonnage, réalisent progressivement les dangers qui les menacent. Tout comme un nombre croissant de consommateurs : après avoir posté des informations personnelles sur Facebook et autres, de nombreux utilisateurs se demandent à présent : mes données sont-elles vraiment sécurisées ?
Il s’agit là d’une bonne question. Sur les ordinateurs portables et fixes, à la maison ou au bureau, les applications et les données des internautes sont principalement protégées par des antivirus ou des logiciels de sécurité. Mais ils sont peu nombreux à prendre les mêmes précautions pour leurs smartphones et tablettes. C’est l’une des raisons pour lesquelles nos vulnérabilités augmentent en nombre et en diversité, explique Norbert Pohlmann de l’Institut pour la Sécurité Internet de l’Université de Sciences Appliquées de Gelsenkirchen (cf. Livre d’or, p.32).

Eviter les fausses économies

Il s’agit donc de protéger les savoirs et les informations. Toutefois, comme le souligne René Reutter « de nombreuses entreprises n’ont ni l’expertise technique ni les ressources en personnel pour surveiller leurs infrastructures informatiques nuit et jour ».
Mais tous les PDG n’ont pas conscience que se défendre contre ces attaques a un prix. « Dans la plupart des entreprises, les investissements de sécurité proposés font l’objet d’une analyse coût/bénéfice », explique le Dr. Sandro Gaycken, Chercheur en Sécurité Informatique. « Malheureusement, les décideurs ne voient souvent que les coûts concrets découlant du renforcement des mécanismes de protection et non les coûts difficiles à quantifier des dangers qui rôdent sur Internet et les réseaux. » (Cf. Un seul problème, deux façons de penser, p.34).
Pour autant, tout le monde ne succombe pas aux fausses économies. Tandis que l’IT subit des coupes budgétaires dans la quasi-totalité des entreprises, les investissements en sécurité informatique continuent de progresser, même en cette période de ralentissement économique. En 2009, selon l’entreprise d’études de marché Frost & Sullivan, les dépenses ont augmenté de 2 % pour atteindre 50 milliards d’euros. Depuis lors, la progression a été constante, d’environ 6 à 7 % par an.

Une vue d’ensemble

Pour augmenter la productivité et rester compétitifs, de nombreux PDG et DSI se posent les bonnes questions. Comment nos ressources informatiques peuvent-elles être davantage évolutives ? Comment pouvons-nous mieux collaborer avec nos fournisseurs, partenaires et clients ? Comment pouvonsnous fournir des applications mobiles à nos employés sans être en conflit avec nos propres politiques de gouvernance ?
Le Cloud Computing, la Mobilité et la Collaboration sont quelques-unes des technologies qui révolutionnent actuellement le monde professionnel. Mais trop peu de dirigeants établissent des liens entre ces développements et de nouveaux impératifs de sécurité plus exigeants.

Le cloud computing

La livraison de ressources informatiques évolutives via le Cloud est actuellement au centre des débats. Les entreprises exigent de plus en plus que les technologies de l’information soient plus réactives à leurs besoins changeants. Elles veulent convertir les capex en opex et souhaitent éviter d’acheter et entretenir des ressources inutiles pour gérer des pics de charge occasionnels. Forrester prédit l’explosion du marché des services Cloud, qui passeront de 41 milliards de dollars actuellement, à plus de 240 milliards de dollars d’ici la fin de la décennie. Cependant, la législation tient toujours les entreprises pour responsables de la confidentialité des données et de la conformité aux lois, même si elles confient leurs applications et données à un fournisseur de services. Pour cette raison, les décideurs d’entreprise doivent définir une stratégie structurée et holistique en termes de Risques, de Conformité et de Gouvernance. Il est vital de « découvrir et minimiser les attaques en temps quasi-réel », conseille-t-il. À cette fin, les critères de sécurité doivent être pris en compte, dès le départ, et être intégrés à la conception des processus d’entreprise. Comme le souligne Ostergaard : « L’idée que la sécurité peut être ajoutée après coup est fausse ». Parmi les mesures de précaution figurent la gestion de l’identité et de l’accès, ainsi que des mécanismes d’accès et d’authentification basés sur les rôles. Par exemple, en tandem avec son offre de services dynamiques, T-Systems offre des solutions Cloud. Dans les data centers des fournisseurs, les données et les applications des clients sont cryptées et entièrement isolées par le biais de réseaux locaux virtuels (VLAN).
Outre la sélection de l’emplacement géographique du centre de données, les clients peuvent opter pour une stratégie de Sister-Site (Twin-Core), en protégeant leurs données et applications dans un second centre de données parallèle. La synchronisation s’effectue automatiquement. Si un serveur tombe en panne, son « jumeau » prend le pas sans interruption. Des connexions réseau redondantes existent entre les sites, et les données sont transférées de façon cryptée. Toutes les données sont accessibles depuis les deux installations. Des niveaux de service donnent au client un contrôle complet et permanent sur ses données et ses applications, même dans un environnement virtualisé.

Collaboration

La Sécurité – des données, des informations et des processus d’entreprise - joue également un rôle majeur dans la collaboration interentreprises, particulièrement au delà des frontières. Un programme de sécurité complet est indispensable pour régir l’accès aux systèmes. Sans ce programme, les données et connaissances sont vulnérables. Les données sensibles doivent être cryptées et conservées dans des conteneurs de données sécurisés. Les solutions de gestion d’accès et d’identité basées sur les rôles sont un autre élément indispensable. Les partenaires de projet géographiquement dispersés veulent pouvoir communiquer et collaborer en toute sécurité, via des messageries instantanées, des wikis, des systèmes de vidéoconférence ou d’autres outils de réseaux sociaux internes. Des systèmes de sécurité ICT capables de s’adapter à cette façon de travailler, devraient se développer en même temps que la hausse de la demande.

Mobilité

La tendance du Bring-Your-Own-Device (BYOD) est en train d’envahir le marché. Mais, selon un rapport de KPMG sur le crime informatique dans les entreprises allemandes, les gadgets sont le talon d’Achille de la sécurité ICT. Heureusement, les solutions de bout-en-bout, intégrant l’accès basé sur les rôles aident les PDG à intégrer et à gérer la prolifération des appareils mobiles. Enfin et surtout, les décideurs doivent prendre en compte les préférences personnelles des employés. « Les services mobiles sur le lieu de travail (MoWS – Mobile Workplace Services) leur permettent d’identifier les appareils, d’authentifier les utilisateurs et en cas de problème, de déployer des services tels que l’effacement à distance pour neutraliser les appareils suspects », explique Hagen Rickmann, Responsable de l’entité Service chez T-Systems. L’offre garantit que les données stockées sur un appareil sont toujours cryptées de façon sécurisée. Or, la majorité des données et des applications ne sont pas conservées sur ces appareils, mais sur les serveurs de T-Systems. Les employés peuvent utiliser ces applications Cloud avec leurs logiciels personnels grâce à deux profils d’utilisateur, conservés par la filiale de Deutsche Telekom et strictement séparés.
« La sécurité totale n’existe pas », déclare franchement Reinhard Clemens, CEO de T-Systems International et Membre du Board de Deutsche Telekom. Mais il existe tout un éventail de mesures de protection simples à mettre en oeuvre et difficiles à déjouer pour les pirates et espions. Les mécanismes d’authentification biométriques par exemple, comme ceux qui sont actuellement déployés pour des milliers d’employés dans le groupe de services financiers allemand Sparkassen Finanzgruppe (cf. Référence client, page 10). Un autre exemple est l’outil de vérification des signatures électroniques disponible auprès de Software602, un spécialiste tchèque de la gestion de documents électroniques. Il y a également SiMKo, un système de communication mobile sécurisé développé par T-Systems. Outre le gouvernement fédéral allemand, de plus en plus d’entreprises utilisent cette technologie, des fabricants aux banques telles que la Sparkasse Calw-Pforzheim. Une panoplie de solutions de sécurité ICT d’entreprise offre de nouvelles armes pour faire face à la cyberguerre.

Prochaine étape

Video

SiMKo 2

Mobile and secure.
Elargir vidéo

Téléchargements

© 2014 T-Systems International GmbH. All rights reserved.