La sécurité informatique et le stockage

La sécurité informatique et le stockage
28 octobre 2015 emsi

definition

Avec le développement de l’utilisation d’internet, les entreprises partagent leur système d’informations avec leurs collaborateurs, partenaires et fournisseurs. Il est donc primordial de savoir quels éléments protéger et gérer les profils ayant accès aux données et encore plus lorsque les données sont disponible sur le web.

Par ailleurs, avec la mobilité croissante des salariés, les personnels sont amenés à « transporter » une partie du système d’information hors de l’infrastructure sécurisé de l’entreprise. Le risque en termes de sécurité est généralement caractérisé par l’équation suivante :

La menace (en anglais « threat ») représente le type d’action susceptible de nuire dans l’absolu, tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brèche) représente le niveau d’exposition face à la menace dans un contexte particulier. Enfin, la contre-mesure est l’ensemble des actions mises en œuvre en prévention de la menace.

Les contre-mesures à mettre en œuvre ne sont pas uniquement des solutions techniques, mais également des mesures de formation et de sensibilisation à l’intention des utilisateurs, ainsi qu’un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d’identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l’ennemi.

Quelles sont ces menaces potentielles et qui en est à l’origine ? L’homme représente-t-il un danger pour la sécurité informatique ?

himmeaucoeur

cloud-computing-securite-donnees-personnelles

En matière de sécurité informatique, l’homme est souvent le maillon faible du dispositif.

Les malwares deviennent de plus en plus élaborés. Malgré cela, les cybercriminels cherchent souvent à exploiter les faiblesses humaines pour diffuser leurs codes malveillants. Cela n’a rien d’étonnant : l’être humain représente la plupart du temps le maillon faible de tout système de sécurité. C’est pourquoi une si grande part de la cybercriminalité repose sur des techniques de social engineering, qui consistent à inciter les internautes à faire quelque chose qui met en danger la sécurité en ligne, que ce soit la leur ou celle de leur employeur.

Les utilisateurs sont vulnérables pour une multitude de raisons. Soit, ils n’ont tout simplement pas conscience du danger, soit ils sont aveuglés par l’appât du gain, soit ils pèchent par excès de facilité, par exemple en utilisant le même mot de passe pour tous leurs comptes en ligne. Malheureusement, les entreprises négligent souvent la dimension humaine concernant la sécurité de leurs informations, en consacrant la majeure partie de leur budget au système informatique en lui-même.

On peut citer par exemple l’affaire expliquée par Bruce Schneier dans son ouvrage intitulé « Secret and Lies » : « In 1994, a French hacker named Anthony Zboralski called the FBI office in Washington, pretending to be an FBI representative working at the U.S. embassy in Paris. He persuaded the person at the other end of the phone to explain how to connect to the FBI’s phone conferencing system. Then he ran up a $250,000 phone bill in seven months. »

L’Homme est donc incontestablement la faille majeure de la sécurité informatique. Dans un contexte de développement du cloud computing, l’Homme sera davantage exposé aux risques de cyber attaques, ce qui représente une forte inquiétude pour les entreprises ayant recours au cloud pour stocker leurs données.

cloudsolution

images (2)

Cloud ? Le terme est tellement à la mode de nos jours qu’il est essentiel de préciser à quoi il renvoit. Le cloud computing est le stockage de serveurs informatiques distants par l’intermédiaire d’un réseau, généralement l’internet. Ces serveurs étant loués à la demande, le plus souvent par tranche d’utilisation selon des critères techniques (puissances, bande passante, etc.), mais également au forfait.

Par conséquent, cela permet aux entreprises d’accéder à leurs applications par un navigateur, sans installation au préalable. Les données et les applications sont ainsi hébergées sur les serveurs de l’éditeur.

Ceci a bien évidemment un impact sur le fonctionnement des Directions de Systèmes d’information des entreprises car elles se trouvent confrontées à 2 choix :

  • le cloud via (SAAS)
  • continuer à maintenir leurs applications et leurs données en interne.

 

Le second choix implique la mobilisation de diverses problématiques, dont l’évolution du stockage nécessaire (l’achat de nouveaux serveurs locaux par ex, combien ?) ou concernant les fonctionnalités (mise à jour, annuelle ?mensuelle ?).

Dans la majeure partie des cas, la décision est généralement prise en priorisant le coût de chaque solution. Acheter des licences de logiciel revient-il vraiment moins cher que s’abonner aux services cloud ? Le SaaS permet-il vraiment aux DSI d’économiser ?

Une étude, réalisée par Computer Economics sur 7 entreprises est arrivée à la conclusion que ces entreprises avaient en moyenne pu économiser plus de 15 % dans leurs dépenses informatiques par utilisateur en migrant vers le cloud. Dès lors, se pose un problème crucial, celui de la sécurité.

solutionsansdanger

images (3)

Cette solution, bien qu’étant économique pour les entreprises, pose un certain nombre de questions en terme de sécurité. Bien souvent, nous ne savons pas où ni comment sont hébergées nos données dans le cloud. C’est pourquoi certaines entreprises préfèrent conserver la main sur leurs données afin de pouvoir ajuster le niveau de sécurité au détriment d’une économie financière. En effet, de nombreuses affaires ont montré que les données sur le cloud ne sont pas intouchables.

En 2012, certains utilisateurs de Dropbox ont eu une mauvaise surprise. Le service de cloud computing, qui fait partie des plus connus, a été victime de piratage. Certains noms d’utilisateurs et mots de passe ont été dérobé, les « pirates » ont pu avoir accès aux documents que les utilisateurs avaient stocké sur les serveurs de Dropbox.

En 2014, c’est le géant Apple qui est pointé du doigt. Des cas manifestes de piratages sont en effet apparu sur des comptes en Australie : des appareils iOS et des Mac se retrouvaient bloqués contre rançon. Le pirate, qui se présentait sous l’identité « Oleg Pliss », s’était débrouillé pour verrouiller les appareils avec un code PIN. En échange d’une somme allant de 50 à 100 dollars et payable via PayPal, il débloquait les machines. Il était rapidement apparu que le pirate s’était directement servi des comptes iCloud pour verrouiller de cette manière.

En plus des questions de sécurité des données hébergées sur le cloud s’ajoutent les questions de législation. En effet, si des pays comme la France placent la protection des données au centre de leurs préoccupations, d’autres pays comme les États-Unis présentent une législation tout autre. Il suffirait donc de choisir le pays où seront hébergées les données pour s’assurer une protection optimale. Cependant, il s’avère plus compliqué que cela de protéger ses données.

images (1)

Par exemple, si vous faites appel à un hébergeur de données français, rien n’empêche ce dernier de sous-traiter le service à un partenaire qui lui, héberge les données aux États-Unis. Ainsi, les informations que vous pensiez protégées par la législation française sont en réalité soumises à la loi américaine.

Au regard de la croissance exponentielle des échanges des données dans le monde, quelles solutions juridiques sont proposées ? Une harmonisation est-elle en étude ? Est-elle possible ? C’est à ce sujet crucial que nous vous proposons de nous attelez dans la prochaine partie.

 

0 Avis

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*