La Lettre Sécurité. Sécurité et BYOD : des solutions existent! Édito. n 28

Transcription

1 n 28 La Lettre Sécurité Édito Nouvelle année, nouvelle stratégie sécurité : priorité à la détection et la réaction! L année 2012 a été marquée par de nombreuses attaques sur les SI. Pour n en citer que quelques unes nous pouvons mentionner : Saudi Amramco, attaques DDOS sur les banques US, Gauss, Red October... Elles ont mis en lumière les limites de la stratégie sécurité en vigueur dans la plupart des entreprises : un focus quasi unique sur la protection. La protection des informations avec les moyens conventionnels connaît des limites que les attaquants savent utiliser. Devonsnous en conclure qu il faut baisser les bras? Non, certainement pas! Il s agit d orienter ses efforts différemment, d accepter ce postulat et de se doter des moyens permettant de limiter l impact des attaques. Leur détection et l identification de réactions appropriées sont à prioriser. Utilisation d outils innovants, externalisation de la protection, renfort des cellules de gestion opérationnelle de la sécurité, outillage de traitement d incidents Toutes ces pistes doivent être étudiées. Bien évidemment, la protection sera toujours utile. Elle permettra de retarder la réussite de l attaque, voire sur certains périmètres et face à des attaquants de niveau intermédiaire, de les bloquer. Mais se baser uniquement sur la protection est illusoire, il est temps d orienter sa réflexion vers la détection et la réaction! Gérôme Billois, Manager au sein de la practice Sécurité & risk management Sécurité et BYOD : des solutions existent! Les questions de sécurité sont parmi les premières abordées lorsque la question du BYOD est évoquée. Pourtant, un certain nombre de solutions existent et permettent de mettre les risques sous contrôle. Quels sont les risques induits par le BYOD? Les risques techniques induits par le BYOD sont en grande partie des risques déjà existants pour la majorité des systèmes mobiles. On peut en distinguer trois types : Les risques de perte ou de vol des données de l entreprise stockées sur les terminaux eux-mêmes. Les risques de capture ou de modification de données sur les réseaux auxquels ils se connectent. Les risques pesant sur le SI lui-même : il pourrait subir différentes attaques amenant à une infection virale, une perte ou un vol de données, voire une coupure de service. La nouveauté réside ici dans le fait que les terminaux sont personnels, et font donc l objet d usages qui amplifient les risques : applications personnelles, configurations non maîtrisées par l entreprise, utilisation en dehors du travail Il apparaît donc nécessaire de trouver des solutions acceptables pour gérer et sécuriser ces usages. Dans le cas du BYOD, l ergonomie est aussi un critère de réussite majeur qui ne peut pas être négligé dans le choix de la solution à mettre en œuvre. L approche sécuritaire : ne rien stocker! Les solutions de déport d écran permettent à tout type de terminal (ordinateur, tablette, smartphone ) de se connecter à un environnement maîtrisé par l entreprise. Aucune donnée n est stockée sur le terminal et les utilisateurs disposent d un environnement adapté à leurs tâches professionnelles. Ces solutions nécessitent la mise en place d une infrastructure assez lourde et requièrent une connexion internet rapide pour fonctionner. Leur ergonomie est très dépendante du terminal à partir duquel on se connecte. Les applications de type web sont également une alternative évitant le stockage de données sur le terminal. Accessibles à l aide d un navigateur à travers n importe quelle connexion internet, elles ont l avantage de ne pas nécessiter d installation. Suite en page 2 DÉCRYPTAGES P4 Protection des données personnelles : la conformité à la loi ne suffit plus! P5 Le marché de l IAM s est-il enfin libéré de son carcan IT?

2 Décryptage Les questions juridiques et RH, freins majeurs au déploiement du BYOD 24% des entreprises interrogées par Solucom considèrent les problématiques RH comme un frein majeur au déploiement de projets BYOD. Elles sont 20% à citer le coût de mise en place ; la complexité juridique arrive en bonne position également, mentionnée par 13% des entreprises. Seules 9% placent les questions de sécurité en première place. Étude réalisée sur la base d une 20aine de grands comptes ayant entamé une démarche BYOD en Cependant, elles offrent une expérience utilisateur limitée à certains usages très spécifiques et ne sont pas adaptées aux terminaux de taille réduite comme les smartphones. L approche pragmatique : sécuriser les usages en contrôlant l ensemble du terminal Il s agit de fournir des solutions permettant de sécuriser les terminaux sans interdire d y stocker des données professionnelles. Elle se décline en deux types de méthodes techniques. parc, largement présentes en entreprise pour les postes de travail. Même si le niveau de sécurité de ces solutions dépend fortement du type de terminal, elles sont aujourd hui industrialisées. Elles ne marquent cependant pas de réelle séparation entre les usages (données) personnels et professionnels. Les restrictions de sécurité étant appliquées indifféremment sur l ensemble du terminal, elles sont perçues par les utilisateurs comme une contrainte imposée dans leur sphère personnelle. À ce titre, elles répondent peu aux problématiques du BYOD. ou en se concentrant sur la partie qui concerne l entreprise L autre méthode de sécurisation des terminaux est plus innovante. Il s agit d isoler les données professionnelles des autres données sur le terminal, au sein d un «silo», qui prend la forme d une application ou d un espace dédié. L entreprise peut ainsi imposer des critères de sécurité adaptés sur ces données et uniquement sur elles : mot de passe obligatoire, chiffrement des données, etc. L utilisateur n est soumis à ces contraintes que dans le cadre de l utilisation professionnelle, l usage du terminal étant tout à fait libre par ailleurs. Ce type de solution a l avantage d être relativement indépendant du type de terminal sur lequel on l installe : le niveau de sécurité est ainsi homogène même sur une flotte hétérogène. D autres bonnes pratiques facilitent le BYOD Quelle que soit l orientation retenue, un certain nombre de bonnes pratiques pour la sécurité des infrastructures restent de mise : le contrôle d accès et de conformité au réseau (NAC), la gestion des traces (par exemple pour les accès internet réalisés avec les terminaux), ou encore l utilisation d un wifi dédié lorsque les collaborateurs sont dans les locaux. Ces infrastructures, si elles ne permettent pas directement la mise en place du BYOD, sont en tout cas des éléments facilitateurs à son adoption et son extension. La première méthode est de maîtriser l intégralité du terminal, à l aide d outils de gestion de flotte (aussi appelés outils de MDM Mobile Device Management). Ces outils s apparentent aux solutions de gestion de Chadi Hantouche, manager chadi.hantouche@solucom.fr 2 La Lettre Sécurité N 28 Janvier 2013

3 Documentation PCA : d un corpus bien pensé à un corpus bien géré Frédéric Chollet, manager frederic.chollet@solucom.fr Comment assurer l accessibilité des documents PCA au quotidien mais aussi et surtout en cas de crise? Au delà de la constitution de cette documentation, se pose la question de sa gestion, avec, en creux, celle du recours à un outilage spécifique. La gestion documentaire : socle historique mais perfectible de l outillage PCA Le PCA a toujours été un grand producteur de documents : en faciliter la gestion a donc naturellement été un des premiers objectifs des progiciels PCA. Ces outils ont, dans les grandes lignes, des fonctionnalités similaires : décrire l organisation, y associer un certain nombre de propriétés (notamment les DIMA et PDMA) et les plans à déclencher lorsqu une ressource ou un processus est touché. Des mécanismes de workflow plus ou moins élaborés sont également disponibles : possibilité de définir des responsables pour chaque document, des dates de revues régulières, voire de lancer automatiquement des campagnes BIA (Bilan d Impact sur l Activité). Si une telle approche et de telles fonctionnalités peuvent paraître séduisantes, elles doivent être considérées avec prudence. En effet, chaque progiciel est construit selon un schéma de pensée (modèle de données, typologie et approche des traitements, hiérarchie des habilitations) pas toujours transposable dans le contexte des organisations. En conséquence, l usage d un outil demande soit d en contourner le fonctionnement optimal, soit de revoir son organisation voire son processus de continuité d activité. In fine, le recours à un outil doit être envisagé en connaissance de cause, conscient de son potentiel facilitateur sur certains aspects (revue des risques, mesure des impacts, recensement des processus, annuaires), mais aussi des lourdeurs et contraintes qu il va imposer, notamment dans son usage de référentiel documentaire. Viser un mode de gestion documentaire simple, déjà ancré dans le fonctionnement de l organisation A défaut d outil PCA, on pourra dans un premier temps s appuyer sur une gestion documentaire traditionnelle : dépôt des documents sur un répertoire partagé et sécurisé, triés selon leurs finalités et accessibles quelles ques soient les conditions rencontrées. Charge alors à l équipe PCA de piloter la maintenance et la révision des documents en mobilisant les différents contributeurs. Les organisations plus complexes pourront envisager le recours à un outil de Gestion Électronique de Documents (GED). Ce type d outil facilite la gestion documentaire en délivrant une meilleure gestion du contenu, de ses révisions et de son indexation. Il fournit également des fonctionnalités plus fines de partage et de modification des documents. Il propose enfin des possibilités de workflow contribuant aux cycles de validation et de révision des documents. Attention toutefois à éviter l écueil de bâtir une GED (Livelink, Sharepoint, ) spécifiquement pour le PCA : on s appuiera plutôt sur un outil existant, déjà adopté par les utilisateurs. Un tel outil étant consulté régulièrement pour d autres besoins, il facilitera la mise à jour des documents PCA. Comment s assurer de disposer des procédures en cas de crise? Au-delà de la mise à jour des documents, l outillage doit être pensé pour la mise à disposition des documents le jour J. Il faut dès lors s assurer, quel que soit le mode de gestion choisi, de sa disponibilité en cas de sinistre. De prime abord, on pourrait penser faire de la solution de gestion documentaire la première application à remonter, à l aider d une procédure qu elle ne doit pas héberger Tentation à repousser tant cette solution crée un important point de blocage potentiel dans le déroulement du plan de continuité! Mieux vaut faire bénéficier la solution de gestion documentaire (outil PCA ou GED) des mêmes garanties de disponibilités que les applications les plus critiques, soit en recourant à une solution hébergée (ce qui nécessite de traiter les problématiques de la confidentialité des données et de la dépendance à l éditeur), soit en tirant partie d un hébergement sécurisé (bi-site ou datacenters éloignés). Il y a toutefois fort à parier que l émergence des offres SaaS par les éditeurs de GED (ex : Sharepoint Online pour Office 365) va certainement modifier en profondeur le mode d hébergement des bases documentaire PCA (hors outils spécifiques). Quel que soit l hébergement, une garantie complémentaire pourra enfin être offerte par la copie régulière sur support amovible, voire l impression, de l ensemble des plans (du moins pour les documents qui ne sont pas souvent modifiés). Un outil pour accompagner un processus rodé En synthèse, qui dit gestion de documentation PCA et mise à disposition le jour J ne dit pas nécessairement outil PCA : comme d habitude, il convient de prendre garde à ne pas se laisser guider par l outil! Avant d envisager un outillage plus évolué que le répertoire partagé, il est nécessaire de roder le cycle de vie du PCA et notamment la mise à jour de sa documentation, qu il sera toujours temps d industrialiser à l aide d un outil. A contrario, le choix précoce d un outil pourra contraindre toute la mise en œuvre du PCA et obérer les chances de déployer un processus véritablement en ligne avec son organisation. Article rédigé en collaboration avec Raphaël Brun, consultant senior. Janvier 2013 La Lettre Sécurité N 28 3

4 Dossier Décryptage Protection des données personnelles : la conformité à la loi ne suffit plus Raphaël Brun, consultant senior raphael.brun@solucom.fr Toutes les organisations sont aujourd hui susceptibles d être concernées pas des failles, voire des attaques, liées aux données à caractère personnel qu elles manipulent. Les multiples exemples relayés ces dernières années par les médias l illustrent : condamnations de la CNIL, failles révélées dans le SI, plaintes d utilisateurs, Même si une application scrupuleuse de la loi participe à la diminution du risque, elle ne peut garantir l absence d incident. De ce fait, les organisations manipulant des données personnelles ne doivent plus se demander si ce type d incident pourrait arriver, mais plutôt quand il va survenir et quels en seront les impacts. La crise «données personnelles» doit être anticipée et préparée Le récent «bug Facebook» l illustre bien, les impacts seront d autant plus importants aujourd hui que le grand public est attentif à ces problématiques. Pour rappel, lors de l activation de la nouvelle page Timeline, certains utilisateurs se sont plaints de la publication de messages privés sur leur mur. Une faille a d abord été soupçonnée... Après enquête de la CNIL, il s agit d anciennes publications de mur à mur que la Timeline a fait ressortir. Quelle que soit la cause, la réaction démesurée des utilisateurs à la possible publication non maîtrisée de données qu ils considèrent comme privées montre bien la sensibilité quasi-épidermique du public sur le sujet. Les multiples prises de position des utilisateurs, de la presse, ainsi que de la classe politique illustrent à quel point cette problématique est devenue médiatique. La ministre déléguée à l économie numérique, Fleur Pellerin, a conseillé hâtivement de porter plainte si la faille était avérée. De son côté la CNIL, considérant que la confusion des utilisateurs est sans doute liée aux changements unilatéraux et récurrents des paramètres de vie privée en 2009 et 2010, a demandé à Facebook de lui transmettre les mesures que l entreprise américaine comptait mettre en œuvre afin de respecter ses recommandations. Facebook s est bien entendu défendu de toute «atteinte à la vie privée», expliquant avant la CNIL l origine de la confusion. La rapidité de la prise de parole n a cependant pas empêché que l image du site et la confiance de certains utilisateurs ne soient entamées. Cet exemple a permis de mettre en lumière que l incident de confidentialité (fuite, mauvais traitements) de données personnelles est devenu un type de crise à traiter par les organisations. Elles doivent dès lors amender leurs dispositifs de gestion de crise afin d y intégrer les dispositions propres à ce type de sujet (processus de détection et de qualification spécifique, experts juridiques mobilisables, ). En particulier, au regard de la nouvelle et forte sensibilité du public, une attention toute particulière devra être portée à la maîtrise de la communication de crise. Le «bug Facebook» l a montré, la crise peut davantage être liée à la communication autour de l évènement qu à la faille en elle-même. Il reviendra alors au Correspondant Informatique et Libertés de mobiliser les différents acteurs concernés (responsable du processus de crise, département relation client, service juridique, experts sécurité) au sein de groupes de travail afin de définir les processus et dispositifs à mettre en place le jour «J» (moyens d alertes, plan de communication, ). Le projet de règlement européen relatif à la protection des données personnelles rendra d ailleurs ces aspects d autant plus essentiels, l obligation de notification de toute fuite de données personnelles devant se traiter au sein d un dispositif ad-hoc impliquant l entreprise mais aussi des acteurs externes, afin d éviter que la crise prenne une ampleur préjudiciable pour les personnes concernées et l entreprise. Seule une analyse de risques permettra d anticiper au mieux la crise Pour anticiper et traiter au mieux ces crises, l organisme devra se poser la question des risques afférents à la manipulation des données personnelles, et construire des plans d actions proportionnels aux impacts anticipés. Cette démarche, en ligne avec les exigences de la loi informatique et libertés (cf. article 34 : «le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement») et certainement du futur règlement européen, pourra être menée à l aide des méthodes classiques d analyse de risques bien connues des Responsable del a Sécurité des SI (les guides «Gérer les risques» et «Mesures pour traiter les risques» publiés par la CNIL pourront également être utilisés). L enjeu vis-à-vis de ces données personnelles ne sera donc plus uniquement de se conformer aux exigences de la loi mais bien d identifier les risques potentiels et les crises probables. Il reviendra alors à l organisme de traiter en priorité les traitements comportant le plus de risques, notamment ceux pouvant la mettre en péril en cas de fuite de données personnelles. A r t i c l e r é d i g é e n c o l l a b o r a t i o n avec Ahmed Sanhaji, consultant. 4 La Lettre Sécurité N 28 Janvier 2013

5 Décryptage Le marché de l IAM s est-il enfin libéré de son carcan IT? Bertrand Carlier, manager bertrand.carlier@solucom.fr Long, cher, compliqué : trois qualificatifs qui façonnent encore l imaginaire autour de l IAM. Si l écart entre les ambitions des projets et les moyens alloués est certainement le premier facteur de cette désillusion, les difficultés historiques du marché à répondre aux nouvelles exigences exprimées par les métiers sont également à incriminer. Les dernières évolutions des acteurs leaders du marché, comme l apparition de challengers innovants, bousculent ces idées reçues et créent une nouvelle dynamique. Un marché historique tiré par des besoins IT mais peu adapté aux utilisateurs métiers Gérer ses identités, prendre en compte les mouvements, donner des habilitations a minima, contrôler les droits d accès aux ressources de l entreprise... Ces attentes ne sont pas une nouveauté. Pour y répondre, les outils historiques ont été conçus, sous l influence des directions IT, pour optimiser les tâches récurrentes à faible valeur ajoutée. Ils se caractérisent donc par des capacités riches d interfaçage avec les ressources existantes dans le SI, sans velléité particulière d offrir des interfaces aux utilisateurs finaux, et souvent au prix d un effort d intégration important. Aussi, l effet de volume de comptes traités est indispensable pour rechercher un équilibre économique. Sous l impulsion des métiers, ce paradigme a été fortement bousculé. En effet, les enjeux visés sont radicalement différents. En premier lieu, redonner aux managers - et aux responsables des données sensibles - la maîtrise de la gestion habilitations. En deuxième lieu, respecter et donner des preuves du respect des cadres réglementaires. Enfin, s inscrire dans une démarche valorisante de maîtrise des risques, c est-à-dire se focaliser sur les identités et les accès sensibles et prendre en compte les exigences du contrôle interne ou de l inspection générale. Face aux attentes des métiers, le marché de l IAM s adapte à marche forcée Au-delà de l effet marketing, l apparition du terme IAG (Identity & Access Governance) symbolise à lui seul les faiblesses de la réponse du marché - et son obligation à évoluer. Pour faire face à ce mouvement, les acteurs historiques ont étoffé leurs offres, au moyen de rachats ou de développements internes. Et si certains acteurs proposent aujourd hui des solutions cohérentes, les résultats sont très contrastés voire parfois même peu convaincants. Comme s ils avaient appliqué une surcouche sur une base non adaptée En parallèle, de nouveaux acteurs challengers se positionnent en misant principalement sur la simplicité et l ergonomie : des moteurs de workflow souples, pouvant s adapter aux différentes organisations d un client ; des interfaces plus ergonomiques, inspirées par exemple du e-commerce ; des tableaux de bord adaptés à l utilisateur connecté (suivi des demandes, des approbations...). Ces solutions permettent généralement de travailler plus rapidement et plus étroitement avec les métiers. Elles peuvent nécessiter moins d effort d intégration mais demandent une réelle expertise fonctionnelle et technique des fonctionnalités et concepts mis en œuvre. Par ailleurs, leur portefeuille de connecteurs est souvent moins riche, mais est-ce une réelle limitation dans la pratique? Enfin, des acteurs de niche apportent des réponses justes et innovantes aux points de faiblesse des solutions historiques : «Gouvernance, Risque, Conformité» est leur crédo. Pour ce faire, ils proposent des solutions peu intrusives sur le SI et à la mise en œuvre rapide. Ils incarnent de réels leviers d amélioration pour les organisations ayant déjà déployé une solution historique sans atteindre pleinement leurs ambitions initiales. Mais ils offrent aussi de nouvelles approches projet en s appuyant sur les droits effectifs sur le SI. En réalisant une photo consolidée du SI, ils permettent à moindre frais d identifier les comptes présents (actifs, inactifs, orphelins...), les droits assignés, les risques liés aux droits incompatibles accumulés par certains utilisateurs... Cette approche peut entraîner la prise de conscience nécessaire au déclenchement d un projet IAM plus vaste. Les enjeux de demain : embrasser les attentes des métiers tout en contribuant à la transformation de l IT Les métiers se sont appropriés les enjeux de l IAM et imposent leurs exigences (interfaces simples, processus calqués sur les organisations, approche par les risques ). Demain, il faudra embrasser pleinement leurs attentes en offrant des solutions simples, rapides d évolution et ergonomiques. Mais aussi des solutions riches fonctionnellement : re-certification, profiling, aide à la détection de fraude, implémentation des règles de contrôles avancées... Ces enjeux cruciaux ne doivent pas masquer la contribution nécessaire de l IAM à la transformation de l IT : la consumérisation des identités, l authentification basée sur les risques (risk-based authentication), la prise en compte du Cloud dans l authentification sans couture ou encore l émergence de l IdM-as-a-service. Un équilibre subtil à trouver, propice à l émergence de nouveaux leaders? A r t i c l e r é d i g é e n c o l l a b o r a t i o n avec Patrick Marache, Manager. Janvier 2013 La Lettre Sécurité N 28 5

6 Décryptage Clickjacking : mais qui a volé ma souris? Arnaud Soullié, consultant arnaud.soullie@solucom.fr Le clickjacking, ou «détournement de clic», est un terme apparu en 2008 pour désigner un type d attaque ciblant les applications web. Ces attaquent visent à tromper l utilisateur sur l élément sur lequel il clique, permettant in fine de lui faire réaliser des actions à son insu. Comment se fait-on «clickjacker»? Pour mener une attaque par clickjacking, un attaquant va procéder de la manière suivante : 1- Il identifie sa cible, une page non protégée contre ce type d attaque, qui permet de réaliser une action en cliquant sur un lien ou un bouton. 2- Il intègre cette page dans une page malveillante qu il maîtrise. 3- Il s arrange pour que, lorsque la victime clique sur un élément de la page, elle clique en réalité sur un bouton ou un lien provenant du site vulnérable. Les exemples les plus fréquents d attaque par clickjacking sont les «likejacking» et «tweetbomb». La première, ciblant le réseau social, a pour objectif de faire «liker» une page, c est-àdire d augmenter sa popularité. La seconde vise à diffuser sur Twitter un message, la plupart du temps publicitaire. Les risques se limitent-ils aux réseaux sociaux? Mais non! Il est important de noter que les enjeux liés à ce type d attaques ne s arrêtent pas à la pollution de réseaux sociaux. De même que les attaques par rejeu de requête (XSRF), les attaques par clickjacking permettent d exécuter des actions à l insu de la victime. Il est donc tout à fait imaginable d employer ce type d attaque afin, par exemple, d ajouter des articles dans le panier des clients d un site de e-commerce. Pour cela, il suffirait à l attaquant de reprendre le scénario précédent, mais de remplacer les boutons «like» de Facebook par le bouton «Ajouter au panier» du site e-commerce. L attaquant pourrait augmenter grandement les ventes de son produit! Comment se protéger efficacement? La protection contre ce type d attaques est à considérer du double point de vue de l utilisateur et du responsable du site internet qui sert involontairement de support à l attaque. La protection idéale nécessite donc sensibilisation et moyens techniques. Pour les utilisateurs finaux en effet, se protéger implique d avoir conscience du risque et de faire preuve de vigilance en surveillant ses fréquentations sur le web! Il convient de rester méfiant à l égard des liens commerciaux et concours qui promettent monts et merveilles. Pour les équipes en charge de la sécurité des applications web, deux éléments sont à considérer pour mitiger le risque lié au clickjacking : l utilisation d en-têtes http spécifiques et l emploi de protections en JavaScript. Utiliser les en-têtes http appropriés pour se protéger Il est d une part possible d utiliser l en-tête http «X-FRAME-OPTIONS», qui va indiquer au navigateur à quelles conditions le contenu du site peut être intégré dans une iframe. Il est possible de lui spécifier trois valeurs : «DENY», qui va interdire l inclusion de la page ; «SAMEORIGIN», qui va autoriser uniquement les sites du même domaine à inclure la page ; «ALLOW-FROM», qui permet de spécifier le ou les domaines autorisés à inclure la page. Utiliser JavaScript pour s assurer que ses pages ne sont pas dissimulées En complément, il est possible d utiliser du code JavaScript pour se protéger. Pour cela, ces codes vont par exemple s assurer que la page est bien au niveau supérieur et qu elle sera visible. Il faut néanmoins reconnaître qu aucun de ces codes n est totalement fiable. La réauthentification, meilleure arme de protection pour les actions sensibles La solution la plus efficace reste de ré-authentifier l utilisateur pour les actions sensibles, par exemple en lui redemandant son mot de passe ou en utilisant un second facteur d authentification, comme cela est l usage sur les sites de banque en ligne. Ces protections sont-elles couramment déployées? En un mot : non. Malheureusement, ce type d attaque n est toujours pas, 4 ans après leur découverte, pris au sérieux par la plupart des développeurs / testeurs / équipes de sécurité, sans doute car elles n ont pour l instant pas été exploitées à grande échelle en dehors des réseaux sociaux. Les protections standards décrites ci-dessus ne sont pas encore déployées systématiquement : près de 70% des 20 sites bancaires les plus fréquentés n implémentent pas de protection efficace contre ce type d attaque. Il est fort à parier que l emploi de ce type d attaque va augmenter et se diversifier à l avenir. En effet, les mesures de protection contre les attaques par rejeu de requête (XSRF) se généralisant, notamment par leur intégration dans les frameworks de développement, les attaquants se tourneront mécaniquement vers d autres vulnérabilités, dont le clickjacking. Anticiper dès à présent reste le moyen le plus sûr d éviter d en être la victime. 6 La Lettre Sécurité N 28 Janvier 2013

7 Témoignage Objets communicants : le futur sera-t-il sans contact? Romain Lecomte, consultant senior romain.lecomte@solucom.fr Vecteurs d efficacité pour les entreprises, simples d usage, ludiques : les objets communicants ont tout pour plaire aux entreprises comme aux particuliers. Peut-on pour autant parler d usages massifs ou reste-t-on toujours au stade de l expérimentation? Qu appelle-t-on un objet communicant? Un objet communicant est un objet doté de la capacité d échanger des informations avec un autre objet. L ensemble des objets communicants constitue ce que l on appelle l internet des objets : un réseau physique connecté d objets portant un certain nombre d informations et capables de les communiquer. Le champ des objets communicants est extrêmement large : de la goutte d eau d evian qui sait quand le stock s épuise et permet de recommander automatiquement de l eau, aux solutions M2M dans l industrie, en passant par les parcmètres intelligents, sans oublier le Nabaztag, qui fut l un des premiers objets communicants orientés grand public, ni les smartphones Quels sont les usages les plus fréquents aujourd hui et quels sont ceux qui sont, selon vous, porteurs d avenir? Aujourd hui, les usages M2M industriels sont les plus avancés : ils permettent de vrais gains de productivité en optimisant les enchaînements des actions nécessaires à la production. Dans le domaine des utilities, les objets communicants vont également être vecteurs d optimisation. Par exemple, le ramassage des ordures ménagères mobilise aujourd hui le même nombre de camions, de pétrole et de personnel chaque jour, quel que soit le taux de remplissage des containers. Demain, des sondes communicantes présentes dans chaque container permettront d optimiser la fréquence de ramassage, l horaire, le trajet effectué par les personnels. Cet exemple ouvre la voie à de nombreuses autres utilisations. Les usages B2C font également de plus en plus partie du quotidien. Selon une étude de l AFMM, 42% des Français ont déjà lu un code barre 2D avec leur mobile pour obtenir une information (sur un produit, un horaire de bus...). Demain, on peut imaginer une densification des usages pour faciliter la vie des consommateurs. Le développement du smart energy permettra à chacun d être acteur de sa consommation via le compteur communicant et le gestionnaire d énergie ; l accès à l information via des tags NFC se généralisera sur un nombre croissant de produits et de sites ; le mobile deviendra le sésame quasi unique permettant de payer, d accéder à son domicile, à son véhicule, aux transports en commun, aux spectacles À la fois clé et portefeuille, il centralisera la majeure partie des expériences quotidiennes de chacun. À moyen terme, l internet des objets s enrichira d une couche d intelligence artificielle / analyse prédictive des comportements, susceptible de doter les équipements d une capacité d autopersonnalisation après «observation» des comportements des consommateurs : séduisant en termes de potentiel, un peu angoissant en termes de dérives possibles! Où en est-t-on dans l adoption de ces objets en entreprise? On assiste depuis quelques années aux premiers déploiements sur le terrain de projets centrés sur les objets communicants. NFC, smart energy, mobilité urbaine, domotique progressent à des vitesses différentes. Dans le B2B, les objets communicants recouvrent un grand nombre d usages, en particulier dans le monde industriel. Des déploiements à large échelle ont été menés avec succès depuis des années. Au niveau B2C, le projet Cityzi de Nice lancé en 2010 a marqué une première étape dans le déploiement du NFC, permettant de tester la mise en œuvre des services sur le terrain, l appétence client et les usages. Depuis ce premier jalon, deux faits marquants ont amorcé un véritable décollage du NFC en France : Le soutien de l État au déploiement d infrastructures dans un certain nombre de «villes NFC», matérialisé par une enveloppe de 20 M au titre des investissements d avenir, L annonce récente des chiffres de clients équipés en mobiles NFC : plus d 1 million en septembre 2012, avec une cible à 2,5 millions à la fin de l année. Ces deux facteurs combinés devraient accélérer nettement les initiatives, et généraliser l usage du NFC auprès du grand public dans les 2 à 3 ans à venir. Janvier 2013 La Lettre Sécurité N 28 7

8 L actualité Solucom Événements Clusif : panorama de la cybercriminalité 2012 (17 janvier 2013) Cette conférence dresse le bilan en matière de cybercriminalité mais également en matière d événements sociétaux et accidentels en relation avec la sécurité de l information. Lors de cette matinée, Solucom a présenté un panorama des incidents de continuité d activité. Présentation par Gérôme BILLOIS Plus d informations : Actualités Solucom S o l u c o m o r g a n i s e a v e c s u c c è s sa première conférence de presse au Maroc 5 ème forum international de la cybersécurité (28 et 29 janvier 2013) Organisé à Lille, ville pionnière en matière de réflexions sur la lutte contre la cybercriminalité, le FIC est un rendez-vous majeur pour les acteurs de la sécurité du cyberespace de par son envergure internationale et les différentes thématiques abordées. Cette édition 2013 s appuie sur le succès rencontré par les éditions précédentes en mettant l accent sur le renforcement des liens entre les acteurs publics et privés. L évènement à deux objectifs : décloisonner le débat sur la cybersécurité en réunissant experts et non-spécialistes et sensibiliser les décideurs aux risques liés aux technologies de l information et de la communication. Solucom y a présenté un panorama des incidents en matière de cybercriminalité. Présentation par Gérôme Billois Plus d informations : Forum international de l assurance : les nouvelles technologies au service de l assurance (18 et 19 avril 2013)... Organisé à Casablanca, le Forum international de l assurance est le rendez-vous annuel des acteurs marocains de l assurance. Son objectif premier est de créer un espace d échange sur des sujets et des thèmes d actualité en relation avec les métiers de l assurance. Anticipant les attentes des opérateurs en matière d évolutions technologiques, le Forum international de l assurance a choisi comme thème, pour sa 2ème édition, «les nouvelles technologies au service de l assurance». Le choix de ce thème s inscrit en phase avec les récentes évolutions réglementaires qu a connues le secteur marocain des assurances, suite à la publication de la circulaire sur la fourniture à distance des opérations d assurance, évolutions qui vont impacter à moyen terme la relation client. A cette occasion, Solucom animera deux présentations sur les thèmes : «vers un multi-canal centré sur le client et la mobilité» et «comment se préparer à la loi sur la protection des données personnelles». Présentations par Céline Rolland et Gérôme Billois... Plus d informations : En mars 2012, Solucom s associait à l AUSIM (Association des Utilisateurs des Systèmes d Information au Maroc) pour réaliser un livre blanc sur «Les données à caractère personnel». La mise en conformité à la loi relative à la protection des données à caractère personnel constituait en effet un défi de taille pour les entreprises et administrations marocaines. Pour expliquer les messages de cette publication auprès du grand public fortement concerné par cette problématique, Solucom et l AUSIM ont organisé fin novembre une conférence de presse, invitant notamment des médias généralistes et financiers. Une première action de notoriété qui a porté ses fruits et témoigne de la volonté de Solucom de poursuivre son développement au Maroc. Le livre blanc est disponible sur notre site internet, rubrique publications : Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Raphaël Brun, Bertrand Carlier, Frédéric Chollet, Chadi Hantouche, Romain Lecomte, Patrick Marache, Ahmed Sanhaji, Arnaud Soullié. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense solucom@solucom.fr abonnement : lettresecurite@solucom.fr