Sécurité. Tendance technologique



Documents pareils
Présenté par : Mlle A.DIB

Protection pour site web Sucuri d HostPapa

Trusteer Pour la prévention de la fraude bancaire en ligne

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Connaissez les risques. Protégez-vous. Protégez votre entreprise.

Internet haute vitesse - Guide de l utilisateur. Bienvenue. haute vitesse

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

La gestion des risques en entreprise de nouvelles dimensions

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Document de présentation technique. Blocage du comportement

SÉCURITÉ DES MOYENS D ACCÈS ET DE PAIEMENT

Politique de sécurité de l information

Club des Responsables d Infrastructures et de la Production

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Surveillance de réseau : un élément indispensable de la sécurité informatique

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Politique sur les outils informatiques et de communication de la Conférence régionale des élus de la Vallée du Haut Saint Laurent

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

La sécurité informatique

Solutions de sécurité des données Websense. Sécurité des données

Projet Sécurité des SI

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Cybercriminalité. les tendances pour 2014

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Améliorez la sécurité en matière de soins de santé et de soins aux patients grâce à la VDI avancée d Imprivata

Audits Sécurité. Des architectures complexes

7.1.2 Normes des réseaux locaux sans fil

Mail-SeCure sur une plateforme VMware

Les vols via les mobiles

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Une approche à multiples niveaux en matière de sécurité des cartes de paiement

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

Catalogue «Intégration de solutions»

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Banque en ligne : guide des bonnes pratiques

Gestion des mises à jour logicielles

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

La sécurité IT - Une précaution vitale pour votre entreprise

Politique de sécurité de l actif informationnel

Liens de téléchargement des solutions de sécurité Bitdefender

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Achats en ligne - 10 re flexes se curite

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Découvrir les vulnérabilités au sein des applications Web

Catalogue Audit «Test Intrusion»

Règlement Internet Banking. Helpdesk Internet Banking: ou

Progressons vers l internet de demain

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Cours CCNA 1. Exercices

Attention, menace : le Trojan Bancaire Trojan.Carberp!

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Gestion du risque numérique

Cisco Certified Network Associate

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Fiche Technique. Cisco Security Agent

Symantec Endpoint Protection Fiche technique

Guide de démarrage rapide

La sécurité des systèmes d information

Cybercriminalité. les tendances pour 2015

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Tableau Online Sécurité dans le cloud

10 problèmes de réseau courants que PRTG Network Monitor vous aide à résoudre

ACHATS EN LIGNE 10 RÉFLEXES SÉCURITÉ. Le site pratique pour les PME. N 2 LES GUIDES SÉCURITÉ BANCAIRE

Coupez la ligne des courriels hameçons

KASPERSKY SECURITY FOR BUSINESS

Webroot SecureAnywhere. Foire aux questions

Sécurité sur le web : protégez vos données dans le cloud

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Skype est-il su r pour les juges?

Livre Blanc Network Access Control (Contrôle d accès au réseau)

Lignes directrices à l intention des praticiens

Bureau du commissaire du Centre de la sécurité des télécommunications

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION

Meilleures pratiques de l authentification:

La surveillance réseau des Clouds privés

Formation continue. Politique de publicité sur le portail de formation continue. Projet LMS. Le 24 novembre 2011

SÉCURITÉ, BANQUE ET ENTREPRISES. Prévention des risques de fraudes

CHARTE INFORMATIQUE LGL

CONTRIBUTIONS EN LIGNE des membres des AA Directives et conseils généraux pour faciliter l utilisation par les membres 7 juin 2010

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Critères d évaluation pour les pare-feu nouvelle génération

les prévisions securité 2015

CHARTE WIFI ET INTERNET

Transcription:

Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction non autorisés. Au fil des ans, les fournisseurs ont fait beaucoup de progrès en remédiant aux vulnérabilités des logiciels et en améliorant l efficacité de la sécurité des logiciels d application et des logiciels de base. De nouveaux produits de gestion de l identité et de l accès sont arrivés sur le marché. Ils renforcent le contrôle d accès grâce à l authentification électronique et à la gestion des autorisations. Les entreprises ont bénéficié de ces avancées et certaines équipes de direction pensent pouvoir maintenir la sécurité de leur environnement technologique. Or, celui-ci n est pas figé, mais dynamique, et il doit évoluer pour s adapter à l évolution de la technologie, aux attentes des utilisateurs et aux besoins des entreprises. Aujourd hui, le défi en matière de sécurité consiste à définir et à implanter un système de sécurisation efficace dans un environnement qui change sans cesse. Les médias font régulièrement état de vols de données, d atteintes à la vie privée, d attaques informatiques financées par un État et du rôle du crime organisé dans la diffusion de maliciels complexes. Les pratiques actuelles en matière de sécurité informatique doivent tenir compte de ces menaces, entre autres pour protéger la réputation et le capital intellectuel des entreprises, la vie privée de leurs clients et l intégrité de leurs systèmes. Le présent document, initialement publié par l Institut Canadien des Comptables Agréés en 2012, a été mis à jour par les Comptables professionnels agréés du Canada. 1

Description Appareils mobiles La protection contre les menaces préoccupe de plus en plus les entreprises à mesure que les appareils mobiles se répandent dans les environnements d affaires. Les risques de perte ou de vol des appareils, de contamination d un appareil par un maliciel et de contagion dans l infrastructure technologique de l entreprise augmentent. Appareils appartenant au personnel Utilisation en toute sécurité des appareils appartenant au personnel à des fins professionnelles (voir le Mode PAP). Cybercriminalité Menaces liées à une attaque par piratage psychologique (souvent appelé «ingénierie sociale»). Menaces évoluées Il s agit d une nouvelle catégorie de menaces plus raffinées. Contraintes économiques liées à la sécurité Investissement insuffisant pour protéger les ressources d information de l entreprise. Importance Appareils mobiles Les nouvelles technologies telles que les téléphones intelligents, les tablettes, les points d accès sans fil et les applications à télécharger font maintenant partie de la vie courante. Toutefois, les technologies mobiles sont relativement récentes et la sécurité n a pas encore eu le temps d atteindre un degré de maturité satisfaisant. Les utilisateurs, surtout lorsqu ils accèdent à divers réseaux pour échanger de l information avant de se connecter au réseau de l entreprise, doivent être vigilants à propos des risques potentiels. Appareils appartenant au personnel L utilisation des appareils appartenant au personnel est largement différente de celle des appareils appartenant à l entreprise; il en va de même des contrôles qui y sont associés. Les appareils appartenant à l entreprise sont configurés et tenus à jour pour effectuer des fonctions professionnelles, sont reliés à un réseau d entreprise et sont généralement dotés de contrôles sur l utilisation d Internet et du courrier électronique. En général, les appareils appartenant au personnel ne sont pas dotés de tels contrôles. En plus de servir à des fins professionnelles, ils permettent à leurs propriétaires de se brancher sur Internet directement ou en passant par un routeur domestique et d utiliser leurs ordinateurs pour leur divertissement, par exemple pour jouer à des jeux, regarder des vidéos, faire des achats et communiquer avec des amis sur les médias sociaux. Les propriétaires sont libres de télécharger et d installer des logiciels d application et de transférer des fichiers entre des sources externes. Ces différents modes d utilisation signifient que les appareils appartenant au personnel ont tendance à être exposés à une combinaison distincte de menaces informatiques comparativement aux appareils appartenant à l entreprise. Cybercriminalité Les cybercriminels utilisent depuis longtemps l ingénierie sociale pour tromper les utilisateurs et les amener à divulguer leurs renseignements personnels ou à installer un logiciel malveillant en totalité ou en partie ou qui exploite les vulnérabilités d un logiciel déjà installé. La cybercriminalité, l utilisation de maliciel, l hameçonnage et d autres techniques ont contribué à une augmentation récente de la cybercriminalité. Les menaces de cyberattaques visant les organisations et les personnes s accentuent. 2 Sécurité

Cyberespionnage Ce type d attaque informatique diffère des attaques opportunistes habituelles en vue d un gain financier, politique ou autre. Une telle attaque a pour but de demeurer dans le système pendant longtemps sans être détectée afin de permettre de voler la propriété intellectuelle d une organisation pour le compte de l auteur de l attaque ou celui d un concurrent. Dans son édition du 6 décembre 2011, le Globe and Mail a fait état d une attaque de ce genre concernant la proposition d acquisition de Potash Corp. de Saskatchewan par la société australienne BHP Billiton Ltd. Les auteurs de ces attaques sont hautement qualifiés, bien organisés et bien financés, par des États étrangers aux dires de certains. Contraintes économiques liées à la sécurité L incertitude économique des quatre dernières années a engendré des contraintes budgétaires, car les organisations réduisent leurs dépenses et leurs immobilisations dans presque tous les secteurs. En revanche, les cybercriminels sont de plus en plus habiles et mieux financés par des éléments du crime organisé ou, comme les médias l ont récemment rapporté, par des États. Avantages commerciaux Les avantages commerciaux d un programme efficace de sécurité sont souvent difficiles à mesurer : à combien de virus l entreprise a-t-elle échappé, combien d intrusions ont échoué ou combien de reconstitutions de base de données ont été évitées? Les statistiques sectorielles sont difficiles à obtenir ou les événements ne sont pas nécessairement signalés. Néanmoins, les situations suivantes jetteraient sans doute un éclairage peu flatteur sur l entreprise et amèneraient les parties prenantes à évaluer leur position et leurs options : la publicité négative à la suite d une brèche de sécurité touchant des renseignements personnels; la perte ou le vol de renseignements sur les clients; les fuites de propriété intellectuelle confidentielle de l entreprise relative à ses plans d avenir. Enjeux et risques Appareils mobiles Les employés qui utilisent les technologies mobiles pour avoir accès à des données sensibles de l entreprise sont vulnérables au piratage. Les organisations font face au risque accru de traiter des transactions de sources frauduleuses utilisant des authentifiants volés à des employés ou des clients valides. Les employés autorisés à utiliser «raisonnablement» les technologies mobiles professionnelles à des fins personnelles peuvent introduire des maliciels dans l environnement de l entreprise. Depuis l avènement des paiements mobiles au Canada, les organisations n ont pas le choix de traiter les risques de sécurité liés aux appareils d extrémité. Les paiements mobiles représentent une première phase seulement ultérieurement, les documents sources des transactions seront complètement dématérialisés. Tester et déployer les mises à jour de sécurité dans les appareils mobiles. Fournir un accès protégé aux systèmes et aux données de l entreprise en passant par un réseau privé virtuel (VPN), des canaux chiffrés et des environnements de virtualisation comme ceux qu offrent VMware et Citrix. Exiger l authentification à deux facteurs pour l accès à distance aux systèmes de l entreprise. Mettre en œuvre des procédures pour désactiver l utilisation et supprimer les données dans les appareils mobiles perdus ou volés. Établir des politiques qui définissent le comportement attendu ainsi que les conséquences de tout manquement aux politiques. Encapsuler ou cloisonner les applications d entreprise, pour les isoler des applications et des données des utilisateurs. Sécurité 3

Appareils appartenant au personnel Il se peut que les employés ne se soucient pas suffisamment de la sécurité et de la protection des renseignements personnels lorsqu ils utilisent des appareils qui leur appartiennent à des fins professionnelles. Les procédures de sécurité et de contrôle qui s appliquent à l utilisation et à la maintenance des appareils appartenant au personnel ne respectent pas les normes de l organisation. Élaborer et faire respecter une stratégie de sécurité relative à l utilisation par les employés des appareils personnels, des appareils mobiles et des médias sociaux. Veiller à ce que les appareils appartenant au personnel soient protégés par des mesures de sécurité et des mots de passe approuvés par l entreprise. Fournir un soutien approprié et des directives sur les pratiques exemplaires de sécurité aux propriétaires d appareils personnels pour les aider à résoudre rapidement les problèmes que pose cette technologie. Améliorer la capacité de l organisation à prendre en charge la diversité des technologies non standards appartenant aux utilisateurs. Fournir des méthodes protégées, comme la mise en quarantaine des adresses Web, permettant aux propriétaires d appareils personnels d interagir avec les systèmes et les données de l entreprise. Former les employés pour leur faire comprendre les menaces liées à l utilisation des appareils qui leur appartiennent, les normes de contrôle de l organisation, leur responsabilité à l égard de la protection des données de l entreprise sur ces appareils et les procédures de recours hiérarchique en cas de détection d une brèche de sécurité. Encapsuler ou cloisonner les applications d entreprise, pour les isoler des applications et des données des utilisateurs. Établir des politiques qui définissent les normes de contrôle et le comportement attendus ainsi que les conséquences de tout manquement aux politiques. Former les employés sur ces politiques et leur faire signer une attestation. Lors de la connexion au réseau de l entreprise, il faut vérifier la configuration des appareils par rapport aux normes de l entreprise et/ou effectuer des vérifications régulières ou en continu, et pouvoir corriger les paramètres avant d autoriser la session à se poursuivre. 4 Sécurité

Cybercriminalité L employé est amené par tromperie à télécharger un faux logiciel antivirus. L employé fournit ses authentifiants en réponse à un canular envoyé par courriel. L employé suit un hyperlien dans une page Web ou dans un message reçu par courriel qui mène vers une page qui tente d exploiter les vulnérabilités du navigateur pour installer un maliciel. Bloquer l accès par Internet aux sites connus d hameçonnage ou d attaques informatiques. Mettre en œuvre le filtrage des sites Web fourni par les moteurs de recherche ou installer un logiciel de filtrage additionnel pour détecter les sites malveillants. Limiter la capacité des utilisateurs à télécharger et à installer des logiciels ou des mises à jour logicielles. Tester et déployer les mises à jour de sécurité de tous les fournisseurs de logiciel. Veiller à ce que les équipes de développement et de maintenance suivent la méthodologie officielle associée au cycle de vie des systèmes. Limiter le nombre des comptes d utilisateur puissants et leurs privilèges d accès dans l organisation. Fournir de tels comptes uniquement aux personnes qui doivent avoir accès à des ressources spécifiques et limiter l accès à ces ressources. Auditer les propriétaires des comptes d utilisateur puissants et l utilisation qu ils en font. Former les employés pour leur faire comprendre les menaces que présente l ingénierie sociale, les techniques employées pour mener de telles attaques, la manière de résister à ces attaques et les procédures de recours hiérarchique lors de la détection de telles attaques. Établir des politiques qui définissent le comportement attendu ainsi que les conséquences de tout manquement aux politiques. Sécurité 5

Cyberespionnage Trafic chiffré inattendu sortant de l organisation. Transferts sortants de gros volumes de données par HTTP/HTTPS. Ouverture de session dans un appareil réseau crucial qui n est pas attribuable à un employé autorisé. Activité inexpliquée d accès à distance. Communications Web, résolution de DNS ou chaînes d agent utilisateur inhabituelles. Tester et déployer les mises à jour de sécurité de tous les fournisseurs de logiciel. Effectuer des tests d intrusion périodiques. Mettre en œuvre une technologie de gestion de l identité et de l accès. Offrir aux employés des programmes de sensibilisation à la sécurité. Centraliser le processus de gestion de l information de sécurité. Sauf s il s agit d un serveur Web, examiner tout appareil qui envoie de gros volumes de données à l extérieur par HTTP ou HTTPS pour voir s il a été compromis. Consigner dans un journal tous les événements d ouverture de session, qu ils réussissent ou non. Examiner ces journaux à intervalle régulier. Les hôtes qui tentent d établir un canal de communication à l aide de demandes DNS à des serveurs DNS inconnus, qui tentent de se connecter directement plutôt que de passer par un mandataire Web de l entreprise, ou qui utilisent des chaînes d agent utilisateur non standards incluant notamment le nom de l hôte interne, peuvent suggérer la présence de menaces évoluées persistantes et doivent faire l objet d une investigation. Lors de la connexion au réseau de l entreprise, vérifier la configuration des appareils par rapport aux normes de l entreprise et/ou effectuer des vérifications régulières ou en continu et, le cas échéant, modifier les paramètres avant d autoriser la session à se poursuivre. 6 Sécurité

Contraintes économiques liées à la sécurité Investissement insuffisant pour maintenir les capacités essentielles de sécurisation de l information de l organisation. Élaborer une vision et une stratégie pour maintenir une fonction de sécurité efficace au sein de l organisation. Évaluer objectivement la valeur de l information pour l entreprise par rapport à la force des activités de sécurité, et combler les écarts trop grands pour être tolérés. Mettre en œuvre des stratégies qui s appuient sur la collaboration entre les principaux secteurs d activité que sont la conformité, l audit et la gestion de la sécurité et des affaires pour en tirer des synergies additionnelles. Les tableaux correspondant à chacune des tendances technologiques sont conçus pour éveiller l intérêt et faire connaître certains des avantages, des risques, des enjeux ainsi que des stratégies et techniques d atténuation des risques, mais ils ne visent pas à présenter une liste exhaustive des enjeux, des risques ou des solutions. Le lecteur est prié de faire appel à des professionnels pour l aider à gérer ces technologies. 2012 L Institut Canadien des Comptables Agréés Sécurité 7

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back