Les collectivités territoriales et organismes de santé publique sont une cible de choix pour les cybercriminels, en particulier avec la numérisation croissante des données des citoyens et l’évolution de l’UE vers un marché unifié pour l’échange de données de santé (EHDS).

Les hôpitaux continuent d’être la cible d’attaques par ransomware (un autre cas était signalé à la fin du mois d’avril) et les organisations publiques seront de plus en plus responsables de la protection de leurs données, certaines d’entre elles étant déjà condamnées à une amende de la Cnil pour leur manque de mesures de cybersécurité appropriées. La Cnil a par ailleurs publié un guide à destination des élus locaux et des agents territoriaux pour leur rappeler leurs obligations et responsabilités en matière de cybersécurité.

Ces exemples récents montrent que les attaques par ransomwares peuvent prendre de nombreuses formes.

Les différents types d’attaques par ransomware

La méthode Ransomware 1.0 est la plus courante — un type d’attaque assez peu sophistiqué qui peut généralement être traité par des solutions de sauvegarde et de récupération traditionnelles.
En passant à Ransomware 2.0, les attaquants ont d’abord commencé à détruire les sauvegardes, puis à chiffrer les données de production. Ce type d’attaque est conçu pour rendre incroyablement difficile la restauration des données perdues, et il n’y a presque aucun recours pour les récupérer, sauf de payer la rançon. Enfin, et plus récemment avec Ransomware 3.0, les cybercriminels se concentrent sur le chiffrage et l’exfiltration, ou le vol, de données pour les exposer ou les vendre illégalement dans le cadre de stratagèmes de «  double extorsion  ». Une cyberattaque ne compromet pas seulement vos données, mais elle peut causer des dommages durables pour la réputation de votre entreprise.

Par où commencer ?

Les organisations ont tendance à mettre principalement l’accent sur la prévention en matière de sécurité, ce qui est essentiel pour atténuer les risques d’intrusions malveillantes. Mais qui n’est plus suffisant. Il est primordial de se concentrer sur la protection, la détection et la récupération des données, afin de minimiser l’impact d’une attaque lorsque celle-ci est avérée.

Le but est de rendre aussi difficile que possible l’accès aux systèmes d’information et aux environnements critiques. Et surtout, de pouvoir récupérer rapidement les données perdues à partir d’une sauvegarde. Il est également essentiel que les équipes IT et les Responsables de la Sécurité des Systèmes Informatiques (RSSI) travaillent en étroite collaboration, car il ne s’agit pas seulement d’un problème de sécurité ou d’un problème informatique, mais des deux.

Voici les principes de base à considérer :

• Prenez connaissance de vos actifs et de vos données les plus sensibles

• Corrigez les systèmes, modifiez les codes sources, faites les mises à jour essentielles

• Segmentez votre réseau

• Utilisez un processus d’authentification multi facteur

• Appliquez le contrôle d’accès utilisateur

• Éduquez les utilisateurs

• Procédez à des simulations de reprise après sinistre régulièrement et dans des conditions réelles

Vers une gestion des données de nouvelle génération

Bien que les principes fondamentaux décrits ci-dessus soient déterminant pour améliorer la posture de cybersécurité des organisations, ce n’est que la première étape. Ces mesures doivent être accompagnées de capacités de gestion des données de nouvelle génération qui contribuent à assurer une cyber-résilience exceptionnelle — essentielle pour la santé de votre entreprise et son maintien dans un environnement économique et numérique complexe.

Les plates-formes de gestion de données de nouvelle génération peuvent aider les clients à y parvenir de trois manières :

• Protéger — Protégez et défendez vos données de sauvegarde contre la prise en otage grâce à une architecture résiliente, notamment des instantanés de sauvegarde immuables, des algorithmes de chiffrement robustes, une isolation des données hors site basée sur le cloud, un codage d’effacement et la technologie WORM.

• Détecter — Minimisez le risque d’exfiltration de données grâce à la détection précoce des attaques de ransomware. Détectez et identifiez les anomalies en temps quasi réel grâce à la détection basée sur l’IA.

• Répondre — avec une restauration rapide automatisée — essentielle pour restaurer les services et atteindre les objectifs de point de récupération (RPO) et de temps de récupération (RTO) agressifs — qui sont la quantité de temps d’arrêt qu’une entreprise peut tolérer et à partir de quel moment. La vitesse, l’évolutivité et des performances fiables sont obligatoires pour récupérer des milliers de systèmes en quelques heures et quelques jours — et non des semaines ou des mois, ce qui est souvent la norme de l’industrie de nos jours.

L’amélioration d’une stratégie de sécurité axée sur la prévention par une approche de nouvelle génération de la gestion des données, qui met également l’accent sur la protection, la détection et la réponse, aidera les organisations qui gèrent des infrastructures critiques à atténuer l’impact des violations.

Renforcer la cyber-résilience en renforçant la collaboration interne

Afin de réaliser le plein potentiel de la technologie, les équipes des entreprises responsables de la sécurisation, de la protection et de la gestion des données doivent mieux travailler ensemble. Traditionnellement, les équipes IT sont concentrées sur la sauvegarde et la protection des données, et les RSSI sont centrés sur la prévention. _ Les deux fonctions sont fondamentales pour renforcer la cyber-résilience de l’entreprise et assurer la continuité des activités en cas d’attaques, mais trop souvent, ces groupes opèrent de manière décorrélée.

Mieux aligner les fonctions internes à l’entreprise permet d’améliorer leur capacité à limiter l’impact des cyberattaques et à remettre rapidement les systèmes de base en service. Les deux fonctions doivent maintenant travailler main dans la main pour s’assurer que la stratégie de l’entreprise en termes de cybersécurité soit réellement effective.

Retrouvez la publication originale par Brian Spanswick sur Global Security Mag.

L’article Quelles actions pour protéger les infrastructures critiques ? est apparu en premier sur EMATRiX Nova.

Le sujet de la gestion des postes de travail occupe aujourd’hui une place centrale dans les stratégies de transformation digitale des entreprises. En effet, face à la montée en puissance du cloud, de la mobilité et des outils collaboratifs, la gestion traditionnelle d’un parc de PC fixes ne répond plus aux attentes des organisations. Amenées à s’adapter à des mutations profondes des modes de travail ainsi qu’à une évolution toujours plus rapide des usages, bon nombre de structures font alors le choix de se tourner vers l’approche modern workplace, afin de repenser en profondeur la gouvernance des parcs et des environnements de travail avec l’objectif de conjuguer performance et sécurité.

Ne pas aborder le sujet comme un simple projet technique

Le modern workplace est un projet structurant qui ne doit pas être considéré comme une simple évolution d’un existant et qui va prendre en compte différents éléments en intégrant des notions comme le cloud, la sécurité, les usages ou encore les coûts liés à la mise en œuvre. Il est donc crucial d’avoir une vision holistique du sujet, de ne pas s’attacher aux seules fonctionnalités, mais plutôt à la gestion du projet dans son ensemble (points techniques et organisationnels, gestion des processus, etc.).

Ne pas négliger l’héritage legacy

À ce stade, deux cas de figure se présentent.  D’un côté, il faut distinguer les entreprises qui n’avaient pas ou peu d’existant en matière de gestion des postes de travail et qui décident de se tourner vers le cloud pour lancer leur projet. Il s’agit là à la fois de la configuration la plus simple et la plus rare : celle qui permettra de déployer une nouvelle stratégie avec le moins de contraintes possible.

À l’inverse, il est beaucoup plus fréquent de rencontrer des structures qui doivent composer avec un millefeuille de solutions implémentées en urgence durant la crise Covid, et dont l’expertise poste de travail se trouve dangereusement concentrée sur un collaborateur ou une équipe réduite. La transformation peut alors se révéler plus complexe, surtout si la dette technique n’est pas prise en compte. D’où la nécessité de cartographier l’existant afin de veiller à la cohérence et à la durabilité du projet avant de se lancer.

Pas de projet sans sécurité

De par les nouveaux usages en matière stockage, mobilité et collaboration qu’il rend possibles, le modern workplace induit une exposition au cyber risque pouvant, à juste titre, inquiéter les RSSI (fuites de données, piratage de comptes, etc.). Pour s’en prémunir et éviter de potentiels conflits entre l’environnement Microsoft et la politique de sécurité globale, il est donc nécessaire de travailler dès le départ avec les équipes sécurité, avec l’objectif de bâtir ensemble un socle sécurité à 360°.

Accompagner le changement

Au vu du changement technique, organisationnel et humain qu’il implique, tout projet de transition vers le modern workplace doit être consciencieusement anticipé et accompagné et prévoir la montée en compétence des équipes techniques aussi bien run que projet. La meilleure manière de s’assurer de leur adhésion restant encore de les associer au projet de façon pleine et entière dès les premières réflexions.

Bien évaluer le coût et le ROI de son projet

La mise en place d’une stratégie de modern workplace suppose enfin d’y consacrer des budgets significatifs. Et s’il peut paraitre évident d’anticiper les coûts liés à une telle transformation, il reste tout aussi important d’avoir une compréhension réaliste et pragmatique des bénéfices que l’on peut en attendre. À titre d’exemple, migrer ses licences on-premise vers le cloud avec Microsoft 365, engendrera des coûts plus importants. Le ROI de cette opération est alors à considérer sous un autre angle : celui du gain de productivité et de la sécurité. Les collaborateurs pourront en effet accéder à un environnement de travail moderne et fortement accroitre leur efficience et leurs résultats. La notion de ROI direct et immédiat se doit donc d’être challengée pour englober la notion, plus large, de performance humaine, tant individuelle que collective.

Retrouvez la publication originale par Stéphane Anouari sur le Journal Du Net.

L’article 5 points clés pour réussir son projet de modern workplace est apparu en premier sur EMATRiX Nova.

La plupart de ces systèmes contiennent des informations sensibles telles que des données financières, des informations sur les comptes, des informations personnelles, etc. Toutes ces données et informations précieuses doivent être conservées en toute sécurité et n’être accessibles qu’au personnel autorisé, ce qui pourrait s’avérer très préjudiciable, d’où l’avènement de la cybersécurité.

L’une des principales complexités de la cybersécurité est que les menaces évoluent constamment, c’est pourquoi une surveillance continue et des évaluations en temps réel, qui sont des approches adaptatives de la cybersécurité, sont conseillées. La cybersécurité peut être classée en plusieurs catégories, dont quelques-unes :

• Sécurité des applications : Cela vise à protéger les logiciels contre les menaces et l’accès non autorisé aux informations qu’ils contiennent

• Sécurité Internet: Celui-ci porte sur les pratiques adoptées pour la protection des réseaux informatiques et des ressources accessibles par le réseau

• Sécurité des terminaux : Cela implique de protéger le réseau de l’entreprise contre les violations via des appareils distants tels que les téléphones mobiles et les ordinateurs portables

• Gestion des identités : Cela implique d’identifier et de sélectionner des individus ou des groupes pour avoir un accès autorisé aux systèmes, réseaux et informations en émettant des droits d’utilisateur et des restrictions

• Sécurité des bases de données et des infrastructures

• Reprise après sinistre/planification de la continuité des activités

• Sécurité infonuagique

• Formation des utilisateurs finaux

Il existe de nombreuses vulnérabilités, qui sont des faiblesses dans le fonctionnement, le contrôle interne, la conception ou la mise en œuvre d’un système qui peuvent être exploitées par des cyberattaques. Cependant, il y en a un d’un intérêt particulier qui devient une menace croissante de jour en jour, et c’est ce qu’on appelle l’escalade des privilèges.

Escalade des privilèges

L’escalade de privilèges fait référence à une situation dans laquelle une faille dans un réseau ou un programme est exploitée pour obtenir des privilèges ou accéder à des ressources ou des informations qui ne seraient autrement pas disponibles pour cet utilisateur. Ce privilège obtenu permet à l’utilisateur d’effectuer des actions non autorisées non prévues par le développeur ou l’administrateur. La plupart des programmes informatiques sont conçus avec des propriétés de compte multi-utilisateurs, et chaque utilisateur a un niveau d’autorisation qui lui est attribué, ce qui limite les capacités de son compte. L’élévation de privilèges se produit lorsqu’un utilisateur dépasse son niveau d’autorisation à celui auquel il n’a pas droit, lui donnant ainsi des capacités qu’il ne devrait pas posséder. Il existe deux types d’élévation de privilèges, à savoir

• Escalade horizontale : Se produit lorsqu’un utilisateur d’un certain niveau d’autorisation accède à des fonctions ou à un contenu réservé à un autre utilisateur de ce même niveau d’autorisation

• Escalade verticale : cela se produit lorsqu’un utilisateur accède à un contenu ou à des fonctions réservés aux utilisateurs disposant d’un niveau d’autorisation supérieur

Atténuation de l’élévation des privilèges

Il existe plusieurs façons d’empêcher l’escalade de privilèges. Certains d’entre eux incluent :

• Minimiser les vulnérabilités des systèmes susceptibles d’être exploitées lors d’une attaque Web.

• Gestion des sessions privilégiées: Action de surveiller, de contrôler et d’enregistrer des sessions par des comptes privilégiés disposant d’autorisations avancées.

• Cookies infalsifiables : cela implique l’envoi de données de signature numérique. Lorsque les données envoyées sont reçues en retour, la signature numérique est recalculée et tout changement indique que les données ont été falsifiées.

• Cryptage des données.

Retrouvez la publication originale par Papillon Linville sur TechTribune.net.

L’article Sécurité des technologies de l’information est apparu en premier sur EMATRiX Nova.

Un test d’intrusion consiste à simuler une cyberattaque : une équipe interne ou un partenaire joue ainsi le rôle du pirate informatique pour tenter de pénétrer les systèmes d’une entreprise, les données ou les réseaux.

Les tests d’intrusion sont rapidement devenus une procédure opérationnelle standard pour les équipes chargées de la sécurité des informations et des données dans la plupart des industries et dans les secteurs privé et public. Mais alors de quoi s’agit-il exactement ? Quel est leur fonctionnement et leur processus de mise en œuvre ?

En quoi consistent les tests d’intrusion ?

Un test d’intrusion, parfois appelé test de pénétration, est une simulation conçue pour détecter et vérifier les vulnérabilités potentielles avant que des pirates ne puissent les exploiter. Ces tests effectuent des tentatives de violation de données sur plusieurs terminaux ou applications, des API aux serveurs back-end.

Les tests d’intrusion font partie de ce que l’on appelle les attaques éthiques. Aucun dommage n’est subi et l’attaque contribue à la cybersécurité de l’organisation. Un test d’intrusion de malware peut par exemple commencer par une attaque de phishing contre un employé peu méfiant, mais sans qu’aucun code malveillant ne soit libéré si la personne clique sur un lien ou télécharge un fichier.

Après le test d’intrusion, les équipes de sécurité de l’information et de direction passent les résultats en revue et établissent un plan d’action pour améliorer la posture de cyberdéfense et corriger les points faibles en fonction des résultats de l’attaque simulée.

Personnes impliquées dans les tests d’intrusion

Qu’importe le type de test d’intrusion choisi, Voici les acteurs principaux des tests d’intrusion, Les tests d’intrusion peuvent faire intervenir d’autres parties prenantes, mais voilà les groupes principaux à inclure pour parvenir à un test d’intrusion réussi.

• Red Team : il s’agit de l’équipe de pirates éthiques qui mènera la simulation de l’attaque. La Red Team peut être constituée d’experts internes, de personnes auxquelles vous faites appel pour vous aider à exécuter le test ou un mélange des deux.

• Blue Team : il s’agit de l’équipe de cybersécurité interne testée par les pirates. La Blue Team se compose généralement du personnel ou des mesures de cybersécurité déjà en place : leur efficacité et leurs performances sont mises à l’épreuve.

• Équipe de direction : la plupart des entreprises font intervenir la direction lors des tests d’intrusion, qu’il s’agisse du PDG, du directeur technique ou du DSI. Même si la direction n’est pas directement impliquée dans l’exécution du test en lui-même, elle peut intervenir dans la planification, le reporting et l’évaluation.

• Partenaire de test : Il est courant pour les entreprises d’externaliser l’attaque éthique ou une partie des activités de la Red Team pour garantir l’exhaustivité du test d’intrusion. Si votre équipe interne ne dispose pas de l’ensemble des outils ou ressources nécessaires au test d’intrusion, il peut être judicieux de faire appel à un partenaire.

Avantages des tests d’intrusion

Les tests d’intrusion sont principalement conçus pour exploiter les faiblesses potentielles d’un système avant que les vrais pirates ne le fassent. En outre, des attaques éthiques régulières présentent de nombreux avantages. Voici certaines des raisons principales de mener des tests d’intrusion de sécurité :

• Identification des vulnérabilités : les tests d’intrusion vous aideront principalement à identifier les vulnérabilités qui resteraient autrement masquées.

• Tests de la cyberdéfense : vous aurez également un aperçu des capacités de cyberdéfense de votre organisation, des capacités d’alerte en cas de menace et des temps de réponse.

• Évaluation du pare-feu : vous pourrez plus précisément évaluer l’efficacité de votre logiciel et de vos configurations de pare-feu actuels contre les attaques potentielles.

• Détection des nouvelles menaces : les partenaires menant les tests d’intrusion emploient souvent les tactiques de piratage les plus récentes, ce qui vous permet de savoir si vos défenses sont efficaces contre les nouvelles menaces.

• Conformité aux réglementations : les tests d’intrusion vous permettent de vérifier la conformité de vos cyberdéfenses et d’apporter les changements nécessaires, qu’il s’agisse des normes HIPAA, PCI-DSS ou d’autres cadres pertinents.

• Réduction des interruptions de service : en cas d’attaque, les tests d’intrusion permettent à vos Blue Teams de savoir exactement quelle réponse apporter et comment remettre les systèmes en ligne rapidement.

• Priorisation des risques : après votre test d’intrusion, vous aurez une meilleure idée des risques auxquels sont exposés vos données et systèmes, et vous saurez quelle priorité donner à vos ressources pour les atténuer.

• Confiance des clients : la conduite de tests d’intrusion annuelle est un sujet sur lequel vous pouvez communiquer avec vos clients et consommateurs pour renforcer leur confiance.

Test d’intrusion interne et test d’intrusion externe

Pour entrer un peu plus dans le détail, il convient de distinguer tests d’intrusion interne et externe. Pour le premier, l’attaque est conduite au sein du réseau interne d’une entreprise. Cette méthode est particulièrement utile pour déterminer l’étendue des dommages que pourraient causer des menaces internes. Qu’il s’agisse d’un employé mécontent ou d’une victime d’attaque par phishing peu méfiante, les tests d’intrusion internes sont très utiles et ils devraient faire partie de votre routine de test régulière.

Les tests d’intrusion externes simulent une attaque provenant de l’extérieur sur les serveurs d’une entreprise, réseaux et pare-feu. Cette méthode est conçue pour mettre vos mesures de cyberdéfense à l’épreuve. La Red Team conduit généralement l’attaque à partir d’un site distant, hors des bureaux, soit dans un autre bureau, soit dans un van mobile garé à proximité. Les tests externes ciblent généralement les serveurs ou les applications Web dans le but d’extraire des données ou de désactiver des systèmes pour exécuter une attaque par ransomware.

Comment les exploits sont-ils utilisés pendant les tests d’intrusion ?

À des fins de détection des vulnérabilités. Les exploits utilisés pendant les tests d’intrusion sont bien évidemment conçus pour ne pas causer de dommages réels ni compromettre les systèmes. Les entreprises peuvent utiliser des exploits spécifiques, comme le phishing ou les injections de code SQL, qui présentent des risques élevés, afin d’évaluer leur posture de cybersécurité.

Il apparait ainsi que toutes les entreprises ou presque devraient envisager les tests d’intrusion comme une activité obligatoire dans le cadre de leur stratégie en matière de cybersécurité.

Retrouvez la publication originale par Jérôme Soyer sur Informatique News.

L’article Simulations de cyberattaques : le rôle clé des tests d’intrusion. est apparu en premier sur EMATRiX Nova.

D’après le dernier baromètre d’Anozr Way, spécialisé dans la lutte contre le piratage et l’analyse cyber, entre les mois de juillet et novembre 2021, le nombre d’organisations ciblées par des rançongiciels a augmenté de… +200% à travers le monde! Quant à la France, la part des sociétés visées par une cyberattaque est passée de 34 à 49% (selon étude Hiscox récente).

Que ces actes malveillants proviennent d’individus, de groupes ou même d’états souverains, il existe en effet des solutions ad’hoc. Pour relever ces défis, la cybersécurité doit se développer, se moderniser et se structurer. Faute de connaissances, d’évaluation du risque ou par manque de ressources, un grand nombre d’organisations sous-estime malheureusement la menace. Or quand elle se produit, les conséquences d’une cyberattaque sont souvent désastreuses. L’étude de Hiscox et de Forrester Consulting doit être ici rappelée : une entreprise sur six victime d’une cyberattaque déclare avoir risqué la faillite.

Préjugé n°1 : La cybersécurité, c’est pour les grosses entreprises

Il y a encore quelques temps, les assaillants visaient principalement de grandes entreprises pour maximiser leurs profits. Mais depuis, force est de constater que la donne a changé : toutes les structures, quel que soit leur secteur, quelle que soit leur taille, sont aujourd’hui susceptibles d’être hackées.

Pour atteindre leur objectif final (aka “le grand groupe”), les pirates s’en prennent en effet de plus en plus souvent à son écosystème : fournisseurs, clients, prestataires (souvent TPE et PME). Les techniques s’étant modernisées, il leur est également plus facile de multiplier leurs cibles tout en maitrisant leurs coûts. Des modèles comme le RaaS (pour Ransomware as a Service), permettent par exemple de conduire des cyberattaques avec un excellent taux de rentabilité… Partant de ce postulat, toutes les organisations n’ont plus d’autre choix que se protéger. Pour les PME en particulier, soyons honnêtes, cette défense n’est pas neutre : elle engendre un coût financier et humain non négligeable.

Certes, il reste tentant de minimiser le risque, pour éviter un investissement perçu, a priori, comme aussi important qu’inutile. Malheureusement, une fois l’intrusion informatique avérée, les dommages sont irréversibles : plus la taille de l’entreprise est petite, plus grand est le risque de ne pouvoir s’en relever.

Préjugé n°2 : La cybersécurité, on a rien à perdre & rien à y gagner

C’est un fait : il est complexe de savoir pourquoi se protéger avant d’avoir été soi-même victime d’une attaque. La plupart des chefs d’entreprise ont tendance à penser que la cybersécurité ne doit être activée qu’en cas de corruption évidente du système informatique (SI). Toutefois le pari est, à bien des égards, risqué : le coût engagé pour résoudre le problème étant largement supérieur à celui qui aurait permis d’y échapper !

Et plus l’entreprise est petite, plus le montant des pertes est élevé (proportionnellement à sa taille). Nombreux sont les dirigeants piégés qui sous-estiment les dommages occasionnés. Ils se contentent d’une estimation superficielle, prenant généralement en compte les coûts facilement identifiables : frais juridiques, sanctions réglementaires, manques à gagner liés aux interruptions de service… sans forcément percevoir l’intégralité des dégâts engendrés : augmentation de la prime d’assurance, dépréciation de la valeur de l’entreprise, confiance clients en berne, etc.

Préjugé n°3 : la cybersécurité, les salariés y font déjà attention

Selon un rapport IBM, 60% des attaques viennent de l’intérieur. Par malveillance ou par inadvertance. PEBCAK : problem exist between the chair and the keyboard. Il s’agit de se rappeler cet acronyme pour garder à l’esprit qu’une attaque provient souvent d’une défaillance humaine. Employés, consultants ou même stagiaires ont tous un accès administratif, financier, voire social à leur entreprise.

’idée bien entendu n’est pas de supprimer brutalement leurs accès, mais de mettre en place, pour chacun, un cadre sécurisé pour l’exercice de leur activité respective. Un employé occupant un poste stratégique peut notamment faire l’objet d’une attention particulière. Et s’il est quasi impossible de contrecarrer les velléités d’un individu mal intentionné, il sera possible d’y réduire grandement son pouvoir de nuisance. Dans la même optique, se soucier du bien-être des collaborateurs – y compris en cas de départ – est un élément clé pour réduire la probabilité d’actes de sabotage.

Pour le reste, il est nécessaire de mettre régulièrement en place des actions de prévention et de sensibilisation. Le phishing par exemple, est une des techniques les plus utilisées pour collecter des informations ou pour permettre l’installation de logiciels malveillants sur un poste de travail. En cliquant sur un lien provenant d’un e-mail, le salarié peut installer indûment un malware qui récupérera l’ensemble de ses données ou permettra à l’attaquant d’infiltrer le SI de l’entreprise.

Préjugé n°4 : la cybersécurité, un univers exclusivement masculin

Depuis peu, les entreprises ont commencé à s’ouvrir au monde de la cybersécurité, à en comprendre les enjeux, les risques et même à identifier les bénéfices associés. Toutefois, le domaine souffre d’un manque criant de talents et les sociétés peinent à recruter. En ouvrant plus largement leurs portes aux femmes, elles augmente(raie)nt pourtant mécaniquement leurs chances d’attirer les compétences dont elles ont besoin

Faire évoluer les mentalités

Dès le plus jeune âge, les stéréotypes nous conditionnent à l’idée que le monde informatique est réservé aux hommes ; les femmes s’excluant volontairement ou involontairement de ces filières. Trop geeks, trop genrées ; entretenant une spirale infernale où moins il y a de femmes, moins elles se sentent légitimes… Un des premiers axes du changement est donc de mieux informer sur les métiers et les cursus proposés.

Diversifier & développer

La diversité possède un atout majeur : l’augmentation de la performance. Une équipe comportant des profils divers sera plus apte à innover, à s’adapter et à résoudre un problème qu’une équipe composée principalement de clones.

Éduquer & diversifier

Pour inverser la tendance, il convient donc d’activer des leviers tels que l’éducation. L’école est le premier lieu par lequel ce changement (dev)v(r)a s’opérer. Une école qui met l’accent sur les softs skills, qui permet aux étudiants de réussir quel que soit leur niveau de départ, qui propose des programmes sur-mesure, adaptés au profil des uns et des autres et qui ne cesse, en même temps, de les valoriser.

De leur côté, les entreprises ont également leur part à jouer, en mettant en place des campagnes de sensibilisation et en faisant très largement évoluer leurs processus d’embauche.

Retrouvez la publication originale par Patrice Chelim sur Le Journal du Net.

L’article 4 idées reçues sur la Cybersécurité est apparu en premier sur EMATRiX Nova.

La dette technique est devenue un sujet clé pour les directions informatiques et métiers, qui s’appuient sur l’IT pour faire tourner leurs processus et leurs services auprès des clients. Selon le dernier rapport du spécialiste de la dette technique Stepsize, les équipes IT consacreraient en moyenne 33% de leur temps à la maintenance et à la gestion de systèmes hérités, dont 50% dédiés exclusivement à la gestion de la dette technique. Il ressort en outre que plus de 60% des professionnels interrogés estiment que la dette technique est à l’origine d’incidents qui ralentissent le processus de développement.

Le sujet est d’autant plus important car, d’après les estimations d’un certain nombre d’experts, le coût de la dette technique représente à peu près 15% des budgets totaux annuels informatiques. Si l’on remet ce pourcentage au niveau de grandes entreprises du Cac 40, dont un grand nombre dépensent un milliard d’euros dans leurs infrastructures informatiques IT, cela signifie que près de 150 millions d’euros seraient dépensés pour résoudre ou atténuer les conséquences néfastes de la dette technique.

Comprendre la dette technique

La dette technique est un concept issu du monde du développement logiciel, et inventé en 1992 par l’informaticien américain, Ward Cunningham. Ce dernier a repris la notion de dette financière, en l’appliquant au domaine technologique. Il existe deux types majeurs de dettes techniques : le code legacy ou code hérité, d’une part et les applications et services digitaux de mauvaise qualité, d’autre part.

Lorsqu’on parle de code legacy, on entend les applications développées par le passé et qui peinent à évoluer et se moderniser au même rythme que l’écosystème moderne. Ce dernier étant notamment utilisé par les équipes DevOps lors de leur développement (build) et sont ensuite déployées (run).

Autre source de dette, les applications et services développés et de mauvaise qualité. Leur existence est liée au fait que souvent les équipes doivent travailler avec des contraintes de temps, de budget, et développent ainsi sans spécifications et cahiers des charges suffisamment précis. Cela conduit à du code qui génère des erreurs, qui est difficilement malléable, et est peu évolutif.

Dans ces deux cas de figure, le manque d’interopérabilité et d’évolutivité génère d’importants coûts de mise à niveau, ou encore de gestion et peut se révéler chronophage pour les équipes, ce qui contribue à la dette technique.

Surcoûts de maintenance

Lorsqu’une entreprise possède l’un de ces deux éléments dans ses assets digitaux, cela génère alors des surcoûts à deux niveaux : la maintenance corrective et la maintenance évolutive.

Dans le cas de la maintenance corrective, le code hérité et les applications de mauvaise qualité vont générer un nombre anormalement élevé d’incidents, allant des problèmes de fonctionnement, aux erreurs, jusqu’au manque d’agilité. Cela va nécessiter l’intervention d’experts informatiques qui travaillent sur la maintenance applicative afin d’identifier la source de ces problèmes, erreurs, et indisponibilités de services. Ils devront ensuite trouver une stratégie de remédiation optimale, puis la déployer pour éliminer la cause racine du problème et faire en sorte que l’application problématique soit de nouveau disponible sans erreur. Sachant que les budgets maintenance de la SI représentent entre 20 et 30% du budget total de la DSI, le coût d’une telle mobilisation sur une application est élevé et se multiplie selon le nombre d’applications et services – souvent nombreux – à maintenir.

En ce qui concerne la maintenance évolutive, les problèmes sont principalement dus à l’interopérabilité, c’est-à-dire à la difficulté d’intégrer ces services digitaux au sein des écosystèmes modernes qui utilisent des technologies nouvelles. Ces applications et services nécessiteront ainsi la mobilisation d’experts spécialisés qui passeront plus de temps à les intégrer dans l’écosystème de l’entreprise.

Par ailleurs, le développement de nouvelles fonctionnalités applicatives contribue également à la dette technique. En effet, les applications évoluent dans le temps, pour offrir de nouvelles fonctionnalités aux utilisateurs, et mobilisent ainsi les équipes DevOps. Or, si ces dernières utilisent des environnements de DevSecOps trop anciens ou obsolètes, ajouter ces nouvelles fonctionnalités devient alors plus coûteux.

L’une des causes principales de ces développements applicatifs moins qualitatifs repose sur le fait que les ressources IT se font rares, sont chères, ce qui pousse les équipes à bricoler leurs applications, créant ainsi des problèmes à moyen-long terme.

Réduire le coût de la dette technique

Trois bonnes pratiques peuvent être adoptées par les entreprises pour aider à réduire ce coût de la dette technique :

1. S’équiper d’outils adaptés

Déployer des outils adéquats, pour gérer le quotidien, permet aux équipes opérationnelles d’avoir une visibilité et d’une observabilité complètes de tout ce qu’il se passe sur le réseau IT. Elles sont ainsi à même d’identifier rapidement les causes racines des problèmes émergents, tels que la latence, les ralentissements de bande passante, les pannes et incidents, ou encore les activités inhabituelles. Grâce à cela, les équipes peuvent remédier ou éliminer ces problèmes plus rapidement et contribuer ainsi à réduire la dette technique.

2. Tenir un inventaire détaillé

Disposer d’un inventaire automatisé de l’ensemble des actifs informatiques, des infrastructures aux applications, permet aux équipes IT d’avoir une visibilité claire sur ce qu’elles doivent gérer et maintenir. Ces informations doivent être stockées dans une base de données de gestion de configuration (CMDB pour Configuration Management DataBase en anglais) qui permet d’identifier tout ce qui est ancien et de lancer des programmes, afin d’éliminer cette dette technique dans le temps. Cette action est essentielle pour les équipes IT qui ont besoin d’avoir une vision claire des actifs à gérer, et pourront de cette manière, réduire la dette technique.

3. Déployer des processus DevSecOps

L’action la plus importante se situe sans conteste au niveau des processus de DevSecOps. En effet, il y a dix ans encore, le build représentait 30% des process IT, contre 50 à 60% aujourd’hui, soit quasiment le double ; les entreprises investissent de plus en plus dans le développement de nouvelles capacités digitales. Ainsi, si les logiciels sont de bonne qualité, cela va mathématiquement réduire, voire éliminer, la dette technique. Par ce biais, les coûts de maintenance s’en trouveront réduits, la satisfaction des utilisateurs sera quant à elle maximisée puisque ces derniers disposeront d’applications à la fois fonctionnelles, toujours disponibles et ergonomiques. La qualité des processus DevSecOps est donc absolument clé pour réduire et maitriser la dette technique.

Dans ce contexte, l’observabilité est essentielle pour les entreprises qui souhaitent gérer plus efficacement leurs différentes initiatives d’optimisation des coûts, des systèmes, apporter des améliorations, augmenter leur agilité, maximiser la satisfaction client et éliminer la dette technique.

Shadow IT : “utile mal-aimé” de la DSI

Le shadow IT qui consiste en l’utilisation de systèmes, d’appareils, de logiciels, d’applications et de services informatiques qui n’ont pas reçu l’approbation explicite du service informatique contribue également à la dette technique. Si certaines entreprises sont parvenues à l’éliminer complétement, d’autres entreprises choisissent de l’ignorer pour des raisons matérielles ou politiques, et voient par conséquent le taux d’applications et d’instances en shadow IT augmenter. C’est particulièrement problématique car cela coûte très cher et cela constitue également un risque de sécurité pour l’entreprise. En effet, en déployant des outils en parallèle des systèmes officiels, les standards de sécurité sont réduits, et les équipes informatiques perdent l’observabilité et le contrôle des actifs de leurs systèmes, qui se trouvent ainsi vulnérabilisés. D’un point de vue opérationnel, il devient alors impossible de déployer des référentiels communs, partagés par l’ensemble des membres de l’entreprise, ce qui conduit alors à une perte de valeur et complexifie la gestion pour la DSI.

Cette pratique est principalement imputable aux développeurs et au personnel technique qui vont plus naturellement se tourner vers le shadow IT en déployant des outils cloud, IaaS, ou PaaS utiles à leurs activités et vont créer alors des circuits parallèles, hors du périmètre de la DSI, générant ainsi des coûts supplémentaires. Cela contribue à l’accroissement de la dette technique notamment car la DSI perd le contrôle sur les standards, et donc sur la qualité.

Toutefois, le shadow IT a également un impact non négligeable sur l’agilité des entreprises. C’est pour cette raison que certaines directions informatiques sont laxistes sur le sujet et tolèrent ces pratiques. C’est notamment le cas avec celles possédant des bureaux distants sur d’autres continents. Souvent, ils laissent les équipes utiliser les applications et services dont ils ont besoin, pour permettre à celles-ci de mener leur mission à bien. N’ayant pas nécessairement les ressources financières pour soutenir ces besoins ponctuels, ils estiment plus simple de créer du lien avec les outils en place pour assurer le fonctionnement plutôt que d’investir ou de bloquer le recours à des applications en dehors de l’écosystème.

En s’équipant d’outils de découverte automatisée (CMDB), les équipes seront plus à même d’identifier l’ensemble des instances (CI pour configuration items), serveurs ou détails des machines présentes dans les systèmes de l’entreprise. Ils devront également établir des cartographies précises de ce qui existe au niveau de la topologie informatique, et pourront ainsi créer des liens de dépendance entre l’ensemble de ces CI. En effet, les outils de monitoring sont indispensables pour identifier où se trouvent les problèmes, leur raison d’être et la manière de les résoudre ; ces bonnes pratiques, si elles n’annuleront pas la dette technique du jour au lendemain, aideront à identifier les applications et services vieillissants et coûteux et permettront de trouver des solutions pour réduire, et à terme, annuler cette dette.

La question de la dette technique est complexe et n’est pas près de disparaitre, notamment face aux innovations technologiques qui sont développées quotidiennement et à l’accélération de la transformation digitale des entreprises. Les dirigeants et les DSI devront au contraire faire preuve de vigilance et adopter des pratiques leur permettant de suivre attentivement leurs systèmes en place. Ajouter cette question à l’agenda des comités de direction en démontrant l’impact de cette dette sur les performances, contribuera très certainement à renforcer la collaboration entre les directions et les DSI pour résoudre ce problème.

Retrouvez la publication originale par Frédéric Le Saux sur Le Journal du Net.

L’article Dette technique des entreprises : le spleen des DSI, la gangrène de l’agilité est apparu en premier sur EMATRiX Nova.

C’est une guerre permanente. Dans cette partie sans fin entre un chat et une souris cybernétique, les renseignements précis restent le meilleur atout pour battre les attaquants à leur propre jeu. Six principales menaces ciblent aujourd’hui le réseau. Voici des conseils pour les identifier et les éliminer.

1 – Les ransomwares

Les ransomwares sont sans conteste la plus grande menace pour les réseaux, car ils offrent aux attaquants le meilleur rapport qualité-prix, avec une probabilité relativement faible de se faire prendre. « En termes de compétences, le ticket d’entrée pour démarrer dans ce genre d’activité est également peu élevé », a déclaré Andy Rogers, évaluateur principal chez Schellman, une entreprise spécialisée dans la cybersécurité et la conformité. « Les acteurs du « Ransomware-as-a-Service » (RaaS) capables de fournir tous les outils nécessaires à une campagne de ransomware ne manquent pas », a-t-il ajouté. Ces « fournisseurs de services » courent un risque minimal, puisqu’ils ne lancent eux-mêmes aucune attaque. « C’est un marché plutôt intéressant pour eux », a-t-il encore déclaré. De plus, le paiement se fait sous forme de cryptomonnaie, ce qui les rend difficilement repérable.

Du fait de cet anonymat et des gains potentiellement élevés, les ransomwares sont devenus l’une des activités criminelles les plus rentables au monde. « La majorité des récentes attaques, très médiatisées, ayant ciblé les chaînes d’approvisionnement, comme Colonial Pipeline en 2021, sont des attaques par ransomware, où les pirates ont demandé jusqu’à 4,4 millions de dollars de rançon en cryptomonnaies après avoir chiffré des supports de stockage, disque durs et SDD », a indiqué M. Rogers. La mise en place de politiques et de procédures de sécurité solides, y compris une sensibilisation à la sécurité, est le meilleur moyen d’éviter à une entreprise d’être victime de ransomware. Andy Rogers recommande l’application mensuelle de correctifs aux systèmes et aux applications, ainsi que la séparation des systèmes vulnérables et difficiles à corriger, des autres systèmes et données critiques. « Il est essentiel d’effectuer des sauvegardes régulières de ses données, en faisant en sorte qu’elles ne puissent être cryptées par un ransomware », a-t-il ajouté.

2 – Les botnets zombie

Les botnets zombie sont chargés d’exécuter des actions malveillantes spécifiques, par exemple, des attaques par déni de service distribué (DDoS), l’enregistrement de frappe et le spamming. « Ces menaces sont potentiellement dévastatrices, car une seule attaque peut permettre de voler des identités ou de paralyser un réseau entier », a expliqué Eric McGee, ingénieur réseau senior chez le fournisseur de services de datacenters TRG Datacenters. Chaque machine d’un botnet est qualifiée de zombie, car l’ordinateur – et son propriétaire – n’ont pas conscience que celle-ci exécute consciencieusement et sans réfléchir des actions malveillantes. Les appareils intelligents de l’Internet des objets (IoT) sont des cibles particulièrement tentantes pour les botnets zombies. « On néglige facilement la sécurité des appareils IoT…, or ces derniers offrent souvent aux attaquants un accès très facile au système », a mis en garde M. McGee. Pour se prémunir contre les botnets zombie sur les réseaux IoT, ce dernier suggère de limiter la capacité de chaque appareil à ouvrir des connexions entrantes et d’exiger des mots de passe forts sur tous les comptes connectés.

3 – Les processus et politiques obsolètes

Bien que largement répandus, les processus et politiques obsolètes et cloisonnés, appliqués manuellement, représentent une autre menace sérieuse pour la sécurité des réseaux. « Le nombre de vulnérabilités émergentes et d’exploits potentiels augmente de manière exponentielle », a expliqué pour sa part Robert Smallwood, vice-président chargé de la technologie chez General Dynamics (GDIT). « Les processus et les politiques d’une entreprise doivent apporter de l’agilité et de la rapidité pour que celle-ci soit en mesure de pivoter et de répondre rapidement et automatiquement aux menaces émergentes », a-t-il déclaré. Les entreprises qui ont pris du retard, ou celles qui ont complètement négligé leurs processus de modernisation et d’actualisation, risquent d’être lourdement pénalisées par une dette technique qui peut étendre la surface d’attaque d’un réseau.

« Beaucoup d’entreprises continuent à se débattre avec des politiques rigides et obsolètes en se privant des avantages que peuvent apporter les environnements complexes hybrides automatisés d’un réseau moderne », fait remarquer M. Smallwood. « De plus, beaucoup d’entreprises aménagent des exceptions aux politiques pour les protocoles ou les équipements anciens, sans les compenser par des mesures d’atténuation appropriées des menaces, contournant ainsi des mesures de sécurité comme l’authentification à multiple facteur », a-t-il ajouté. Les processus critiques ont besoin d’être révisés régulièrement dans le cadre de la gestion du changement. « Au fil des changements qui ont un impact sur le réseau, il est indispensable de réévaluer les processus et les politiques connexes », a encore expliqué M. Smallwood. Dans certaines entreprises, cela implique une évaluation de tous les processus liés au réseau. « Dans ce cas, il est préférable de commencer par évaluer les pratiques classiques de gestion des services IT… et de tous les processus qui reposent fortement sur des activités manuelles », a-t-il conseillé.

4 – Les attaques de type « man-in-the-middle »

Dans une attaque de type « man-in-the-middle » (MTM), un tiers intercepte la communication entre deux parties non suspectes afin d’écouter ou de modifier les données échangées. Il y a plusieurs manières d’accomplir cette tâche, par exemple en usurpant des adresses IP, en utilisant un serveur proxy malveillant ou en écoutant le WiFi. Une attaque MTM est potentiellement simple, par exemple, en reniflant des informations d’identification afin de voler des noms d’utilisateur et des mots de passe. À un niveau plus élevé, l’attaque MTM peut servir en support d’une action plus sophistiquée, par exemple, rediriger les victimes vers un site Web factice, mais très réaliste, avec un objectif malveillant spécifique. Quelle que soit sa forme, une attaque MTM peut être dévastatrice, car dès que le pirate réussit à s’introduire à l’intérieur d’un réseau, il peut se déplacer latéralement, en commençant par une partie du réseau, puis en découvrant des vulnérabilités qui lui permettront de migrer vers d’autres zones. « Comme les attaquants se connectent avec des informations d’identification « valides », il est souvent difficile de détecter l’intrusion, ce qui leur laisse le temps de s’infiltrer plus profondément dans le réseau », explique pour sa part Benny Czarny, CEO d’OPSWAT, une société spécialisée dans la protection des réseaux d’infrastructures critiques.

« Les attaques MTM sont souvent négligées et sous-estimées », a déclaré Keatron Evans, chercheur principal en sécurité pour l’entreprise de formation Infosec Institute. « Les gens pensent que la menace peut être résolue par le cryptage des données en transit, mais cela ne résoud qu’une petite partie du problème », a-t-il ajotué. Une autre idée fausse est de croire que les menaces basées sur le réseau disparaissent comme par magie, dès qu’une entreprise migre vers un service cloud. « C’est tout simplement faux », a mis en garde M. Evans. « Il faut rester diligent, même quand on a migré vers un service cloud ». Pour parer aux attaques MTM, Keatron Evans recommande d’ajouter une sécurité basée sur les ports avec snooping DHCP et inspection dynamique du protocole de résolution d’adresse (DARP), et de passer à l’IPv6 dès que possible. Il suggère également de remplacer le protocole ARP, l’un des principaux outils des attaques « man-in-the-middle » basées sur le réseau, par un protocole plus récent appelé Neighbor Discovery Protocol (NDP).

5 – La compromission du courrier électronique professionnel

Les entreprises de toutes tailles et de tous secteurs sont confrontées à la compromission du courrier électronique professionnel (BEC). C’est une menace sérieuse pour le réseau. « Alors que les entreprises adoptent de plus en plus des politiques d’accès conditionnel, comme l’authentification unique, la fraude par BEC gagne en portée et en impact financier », a expliqué Jonathan Hencinski, directeur de la détection et de la réponse aux menaces chez Expel, une entreprise de cybersécurité spécialisée dans la détection et la réponse managées. Les attaques BEC mènent directement à la compromission des identifiants. Le type d’attaque le plus difficile à détecter est celui où l’attaquant entre par la grande porte avec des informations d’identification valides. Les attaquants BEC utilisent les VPN et les fournisseurs d’hébergement pour contourner les politiques d’accès conditionnel. « Ces types d’attaques utilisent souvent des protocoles anciens pour contourner l’authentification multifactorielle (MFA) dans Office 365 », a encore expliqué M. Hencinski. « Une fois qu’un attaquant a compromis les informations d’identification et qu’il est dans le réseau, il peut accéder aux contrôles critiques et aux informations sensibles dans toute l’entreprise », a-t-il ajouté.

Les attaques BEC peuvent frapper n’importe quel réseau à tout moment. « Depuis 2019, le recours à des services VPN et à des fournisseurs d’hébergement pour accéder à des comptes compromis a augmenté de 50 % », a encore déclaré Jonathan Hencinski. « L’usage de ces services permet aux attaquants de contourner les politiques d’accès conditionnel qui refusent les connexions à partir de certains pays par des enregistrements géo-IP », a-t-il ajouté. Trois étapes simples permettent de détecter les tentatives de compromission de courrier électronique professionnel. « La première consiste à inspecter les courriels pour prévenir et détecter les courriels de phishing qui tentent de voler les identifiants des employés et repérer si un acteur de la menace utilise le compte d’un employé pour envoyer des courriels de phishing », a encore expliqué M. Hencinski. La seconde consiste à surveiller l’authentification pour détecter l’usage frauduleux d’identifiants d’identification volées. « Enfin, la troisième consiste à surveiller les comptes afin de détecter des signes caractéristiques de prise de contrôle d’un compte BEC », fait-il encore remarquer.

6 – La prolifération des outils

Les responsables IT et les responsables de réseaux s’appuient sur de multiples outils pour gérer des dizaines de technologies différentes de protection des réseaux. Or, cette multiplication peut compliquer le travail de protection de l’entreprise. « La complexité engendrée par la prolifération des outils et la difficulté à gérer simplement la cybersécurité peuvent exposer les équipes IT et de sécurité à des cyberattaques dévastatrices », a mis en garde Amit Bareket, CEO et cofondateur du fournisseur de services de sécurité réseau Perimeter81. Selon une étude réalisée récemment par son entreprise, 71 % des DSI et des cadres concernés ont estimé que le nombre élevé de cyber-outils compliquait la détection des attaques actives ou la défense contre les violations de données. 

Keith Mularski, directeur général de la cybersécurité chez EY Consulting, a affirmé que le respect des pratiques de sécurité de base restait le meilleur moyen de se protéger contre tous les types de menaces réseau. « Il faut isoler les systèmes et les réseaux critiques de l’Internet et contrôler étroitement qui ou quoi y a accès », a-t-il conseillé. « La confiance zéro et la segmentation de tous les systèmes opérationnels s’imposent », a encore recommandé M. Mularski. « Il faut éviter la « confiance implicite » : toute personne accédant au réseau doit être authentifiée, où qu’elle se trouve, quand elle y accède et qui elle est ». Pour améliorer la préparation, M. Mularski suggère également d’effectuer des simulations programmées. « Comme un athlète, il faut entraîner son équipe à exécuter les procédures de réponse afin de réagir plus rapidement et plus intuitivement en cas de violation ou d’incident ».

Retrouvez la publication originale par Jean Elyan sur Le Monde Informatique.

L’article Sécurité : 6 menaces principales et comment les combattre est apparu en premier sur EMATRiX Nova.

Depuis 10 ans, les entreprises ont adopté en masse le principe des API pour faciliter l’intégration avec leur écosystème externe. Face à cet engouement et cette facilité de mise en place, elles ont décidé d’utiliser cette technologie à des fins internes. Mais cela s’est-il fait au détriment de la sécurité ?

En mars dernier, Salt Security présentait un rapport alarmant sur la cybersécurité en pointant du doigt les API. En effet, d’après cette étude, au cours des 12 derniers mois, les attaques contre les API ont augmenté de 681% et sur la même période, un incident impliquant une API est survenu chez 95% des entreprises interrogées. De quoi remettre clairement en cause leur utilisation. Mais à y regarder de plus près, de quels types d’API parlons-nous ? De quelles failles ?

Une brève histoire des API

Les interfaces de programmation sont apparues à l’aube de l’informatique, avant même les ordinateurs personnels. À cette époque, elles étaient surtout utilisées en tant que bibliothèques pour les systèmes d’exploitation. Elles résidaient presque toutes en local sur les systèmes sur lesquels elles s’exécutaient, même si elles transféraient parfois des messages entre les mainframes. Presque 30 ans après, les API sont sorties de leurs environnements locaux. Au début des années 2010, elles sont devenues importantes pour l’intégration des données à distance.

Dans le cadre d’une transformation numérique avec des délais de plus en plus urgents, les API permettent aux entreprises de faire communiquer leurs produits ou services avec d’autres produits et services sans avoir à connaître les détails de leur mise en œuvre. Elles simplifient le développement d’applications, font ainsi gagner du temps et de l’argent et réduisent drastiquement les temps d’intégration.

Bien évidemment, comme ces interfaces ont comme mission de faire communiquer des applications internes à l’entreprise avec des applications externes, les développeurs et autre RSSI ou DSI ont sécurisé ces systèmes afin d’éviter de créer des failles.

Fort du succès de ces API externes, les entreprises ont rapidement vu dans les API un intérêt à usage également purement interne. Ainsi, de multiples API se sont développées pour permettre, par exemple, à un logiciel de ventes de pouvoir communiquer avec un logiciel de stocks – pour savoir ce qu’il y a à vendre -, à un logiciel de gestion RH qui va échanger avec un logiciel de comptabilité  pour générer les fiches de paye-, à un logiciel de facturation….

Mais comme ces API sont à usages internes, chaque service a développé dans son coin ses propres interfaces et comme le risque était minime, leur sécurisation n’a été que très peu prise en compte. Et pourtant…

De vrais risques de failles exploités par les pirates

Pourtant, aujourd’hui, internet est une armurerie à ciel ouvert où les cybercriminels peuvent faire leurs courses. Par exemple, un logiciel « sniffer » se trouve très facilement et gratuitement. Avec cet outil, le malfrat n’a qu’un mail à envoyer à des collaborateurs d’une entreprise pour que l’un d’entre eux l’ouvre, donnant ainsi accès à celui-ci au réseau interne de l’entreprise et donc aux API internes non sécurisées. Il sera alors aisé pour le cybercriminel de pouvoir accomplir le forfait qu’il souhaite.

Et les dégâts qu’il peut faire sont énormes, ils peuvent se chiffrer en millions d’euros, et toutes les entreprises sont concernées quel que soit le secteur d’activité ou quelle que soit la taille de l’organisation.

Le vol de données ou l’espionnage industriel, par exemple, sont des dégâts bien connus. Tout comme l’est le déni de service où le pirate, après avoir pris la main sur un système, va le surcharger de requêtes pour que celui-ci tombe. C’est typiquement le genre d’attaques pratiquées en ce moment avec le conflit russo-ukrainien.

Mais il faut aussi prendre en compte les préjudices légaux qui peuvent aussi faire monter la note. Parmi des exemples récents, on peut citer le cas de l’éditeur Dedalus Biologie qui a écopé d’une amende de 1,5 millions d’euros pour des défauts de sécurité ayant entraîné la fuite de données médicales de près de 500 000 personnes.

Pour comprendre les failles des API internes, il faut comprendre qu’aujourd’hui tout projet informatique qui se lance dans une entreprise est construit sur la base des API. Et si c’est un projet interne, le développeur réalise l’interface le plus souvent sans en prévenir le service en charge de la sécurité.

L’audit API de sécurité, première pierre

La première des démarches de l’entreprise doit donc être de répertorier de façon exhaustive toutes les API au sein de son système d’information.

Solution de niche il y a encore 4 ou 5 ans, l’audit API s’est fortement démocratisé depuis 2 ou 3 ans surtout avec les changements majeurs qui ont suivi l’épidémie de COVID et l’essor du e-commerce qu’elle a provoqué. Le principe de cette pratique est très simple : l’entreprise va déployer sur le réseau des sniffers qui font observer le trafic. Ainsi, ces systèmes vont identifier clairement qui consomme quelle ressource informatique. Pour ce faire, l’entreprise va également utiliser un sniffer qui va identifier toutes les requêtes réseau et les destinations de ces dernières et ainsi fournir une liste d’URI (adresse URL pour les APIs).

Il faut savoir qu’aujourd’hui, dans 100% des audits réalisés de cette façon, on découvre des API non identifiées et non répertoriées, qui sont autant de portes ouvertes offertes aux hackers qui sauraient les trouver.

Pour qu’il soit efficace, cet audit de sécurité doit répondre à différents critères. D’abord, il doit être réalisé sur une période assez longue. En effet, cette procédure va permettre d’observer le fonctionnement du réseau de l’entreprise et répertorier toutes les applications et API qui vont fonctionner durant cette période. Ainsi, si la période d’audit n’est pas assez longue, il est possible de ne pas identifier les API qui ne se seraient pas mises en action. Et cet audit doit être reproduit fréquemment. En effet, certaines API internes ont des fonctionnements cycliques comme la gestion des inventaires (1 fois par an), la production de fiches de paye (1 fois par mois)…

Une fois cela identifié, l’entreprise va devoir dans un premier temps décider si elle conserve une interface, si elle doit la sécuriser, si elle la supprime ou si elle en réduit l’accès. Ensuite, l’équipe de gouvernance API va devoir définir des niveaux de sécurité en fonction des risques, allant du plus simple (mot de passe et identifiant) au plus complexe comme le OAuth2, en passant par un niveau intermédiaire qui permet de générer des mots de passe temporaires pour les propriétaires des APIs.

Le développement responsable, deuxième pierre

Comme indiqué plus haut, une des raisons de ces failles dans les API internes tient dans le fait que ces dernières sont généralement développées par le service informatique de la ligne métier qui va agir en silos et sans concertation avec la direction informatique de l’entreprise. Ainsi, on observe que chaque service dispose de ses propres API internes, reposant sur ses propres standards, indépendamment des autres interfaces utilisées dans l’entreprise.

Il va donc être nécessaire pour l’entreprise de développer ses APIs en prenant en compte dès leur conception la notion de sécurité. Dans l’informatique, il est coutume de rappeler que sécuriser une API coûte 1 centime d’euros dans sa phase de développement, 10 centimes si elle est sécurisée lors de la phase de test et 100 € quand l’API est passée en production.

Une responsabilité à unifier, la dernière pierre ?

Au-delà du développement, le point qui rend la gestion de la sécurité des API internes difficile est l’éparpillement de la responsabilité et des acteurs. Qui pilote et surveille l’ensemble de manière transverse ? Si l’on prend l’exemple d’une grande entreprise du secteur de l’énergie, elle est structurée en 4 grands services : la production, l’éolien, la distribution et la gestion des abonnements. Chacun de ces 4 services fonctionne de façon indépendante et développe donc ses propres API en fonction de ses besoins et de son propre système d’information. Finalement, personne dans l’entreprise n’a de vision générale et globale des API en action dans l’entreprise.

Afin de créer un catalogue exhaustif, il s’agit de définir qui sera la bonne ou les bonnes personnes qui auront cette mission de gouvernance et de coordination. La plupart du temps, la bonne pratique consiste à créer un comité de gouvernance comportant des représentants des différents services et le doter d’un outil de gestion des API.

La vulnérabilité des API ne concerne pas que l’externe : auditez vos API internes ! 

Aujourd’hui, toutes les entreprises, sans distinction de taille ou de secteur, sont concernées par ces attaques sur les API internes. La sécurisation des API relève de la stratégie même de l’entreprise car celles-ci vont faire appel à un nombre de services de plus en plus large, tant en interne qu’en externe. Plus les entreprises opèrent une mutation numérique et se dirigent vers un modèle de plateforme, plus elles vont avoir besoin de se reposer sur une sécurisation opérationnelle et efficace. Et cela ne peut se faire qu’après avoir identifié exhaustivement les API utilisées dans l’entreprise, les avoir sécurisées dès leur création et de mettre en place un dispositif de gouvernance.

Retrouvez la publication originale par Mourad Jaakou sur Le Journal du Net.

L’article Les API internes, parents pauvres de la cybersécurité ? est apparu en premier sur EMATRiX Nova.

Tous les DSI ne peuvent certainement pas en dire autant mais Carrie Rasmussen, SVP et CIO du fournisseur de solutions RH Ceridian, a obtenu une augmentation de 7 % de son budget informatique pour 2022, grâce à la croissance de son entreprise, à sa campagne de numérisation en cours et à son souci de la sécurité. Plus précisément, la CIO a pu accroitre ses dépenses en matière de cybersécurité pour mieux gérer les risques : un élément clé pour l’expansion mondiale prévue de Ceridian. Une partie des fonds supplémentaires sert à consolider les applications et les services, ce que Mme Rasmussen considère comme une mesure d’efficacité « qui libérera de l’argent à réinvestir ».

Elle a également prévu des fonds pour l’automatisation, l’amélioration des processus et les projets de données, qui visent en partie à « éliminer les inefficacités et à aider les travailleurs à être plus productifs », dit-elle. « Lorsque vous vous développez à l’échelle mondiale, vous devez faire preuve d’efficacité pour augmenter vos marges ». Dans l’ensemble, ces initiatives technologiques – ainsi que ses projets de modernisation basés sur le cloud-first/SaaS – aident le fabricant de logiciels HCM à développer ses capacités numériques pour répondre aux besoins croissants des employés et aux demandes des clients, explique Mme Rasmussen.

Un budget représentatif des dépenses des DSI

Le budget de cette CIO de Ceridian est représentatif des dépenses des DSI en 2022, d’après les résultats du rapport CIO.com 2022 « State of the CIO » et d’autres enquêtes sur les dépenses informatiques, qui montrent que les DSI bénéficient généralement d’une augmentation de leurs budgets annuels, les dépenses informatiques devant dépasser les chiffres de l’année dernière. Bien que ces augmentations de budget soient conformes à celles des années précédentes, les impératifs commerciaux qui les sous-tendent sont différents. Les responsables techniques des entreprises constatent que les professionnels de l’entreprise sont de plus en plus nombreux à motiver leurs dépenses, les demandes de cybersécurité accrue et d’amélioration de l’efficacité et de la productivité venant en tête de liste.

Cette évolution intervient après des années où les initiatives de transformation étaient citées comme la principale raison des augmentations de budget. Le rapport sur l’état des DSI, publié au début de l’année, a révélé que le désir de renforcer la sécurité informatique est le premier besoin de l’entreprise qui motive les dépenses technologiques pour l’année en cours, suivi par l’augmentation de l’efficacité opérationnelle et l’amélioration de l’expérience client. La transformation des processus d’affaires existants, l’amélioration de la productivité des employés et l’amélioration de la rentabilité complètent les six premiers besoins.

Rechercher un équilibre entre dépenses et technologies à la pointe

Selon les dirigeants et les analystes du secteur des technologies, ces professionnels reflètent l’équilibre important qui s’est instauré au sein du bureau du DSI : la nécessité de rechercher constamment l’excellence opérationnelle tout en fournissant des services technologiques qui aident à la transformation, le premier élément soutenant le second. « L’informatique est l’un des meilleurs endroits où investir, mais les dirigeants veulent s’assurer que cet argent est dépensé à bon escient et de la bonne manière. Ils font preuve d’intelligence quant à la manière dont ils dépensent leurs dollars technologiques », explique Dan Priest, associé directeur pour le cloud et le numérique au sein de la société de services professionnels PwC.

Selon lui, les responsables d’entreprise ont, dans l’ensemble, cessé de considérer l’informatique comme un centre de coûts pour la considérer comme un outil permettant de rationaliser les opérations, d’améliorer les activités existantes et de contribuer à en créer de nouvelles, ce que reflètent de plus en plus leurs décisions budgétaires. « C’est pourquoi les dépenses informatiques sont aujourd’hui si stratégiques. Les DSI ont des choix importants à faire en ce moment et ils ont des implications à long terme ».

Les 10 principaux besoins de l’entreprise

Le rapport State of the CIO a révélé que 59 % des DSI prévoient de dépenser davantage en 2022 qu’en 2021. Comparez cela aux résultats de l’année dernière, où seulement 49 % des DSI ont commencé l’année 2021 en disant qu’ils prévoyaient d’obtenir une augmentation de budget pour l’année. Interrogés sur les initiatives commerciales qui seraient « les plus importantes pour stimuler les investissements informatiques dans votre organisation », les responsables informatiques ont cité les points suivants :

1. Renforcer les protections en matière de cybersécurité (49%) ;

2. Augmenter l’efficacité opérationnelle (46%) ;

3. Améliorer l’expérience client (42%) ;

4. Transformation des processus d’affaires existants (automatisation, intégration) (41 %) ;

5. Amélioration de la productivité des employés (27 %) ;

6. Amélioration de la rentabilité (24 %) ;

7. Développement de nouveaux produits (22 %) ;

8. Amélioration des technologies de travail hybrides (21 %) ;

9. Augmentation du chiffre d’affaires de l’entreprise (20%) ;

10. Respect des exigences de conformité (19%).

D’autres chercheurs ont constaté des tendances similaires dans les dépenses IT.

Lister les priorités pour rester compétitif

Dans son rapport CIO Priorities 2022, Info-Tech Research Group a constaté que les DSI considéraient l’amélioration des processus métier, la transformation/modernisation numérique, la sécurité et le soutien à la croissance/récupération du chiffre d’affaires comme les principaux impératifs commerciaux à l’origine de l’agenda informatique cette année. En poussant plus loin, Info-Tech a constaté que, en termes de priorités absolues pour être compétitif dans l’économie numérique, les DSI ont énuméré les priorités suivantes :

• Réduire les frictions dans le modèle d’exploitation hybride ;

• Améliorer la préparation aux ransomwares ;

• Soutenir une stratégie de fidélisation centrée sur les employés ;

• Concevoir une plateforme d’automatisation ;

• Se préparer à rendre compte des nouvelles mesures environnementales, sociales et de gouvernance (ESG).

Les chercheurs de Gartner ont fait état de tendances similaires dans leurs prévisions de dépenses informatiques, notamment une hausse de 4 % des dépenses informatiques mondiales cette année, soutenue en grande partie par les investissements dans l’analytique, le cloud computing, l’expérience client et la sécurité.

Les besoins en matière de cybersécurité, moteur des dépenses

Bien sûr, les entreprises ont investi chaque année dans des éléments fondamentaux tels que la cybersécurité, mais une confluence de problèmes a nécessité l’augmentation actuelle des dépenses de sécurité. « Les dépenses de cybersécurité ont toujours augmenté, mais elles sont passées de la sécurité du périmètre à laquelle nous étions habitués depuis 40 ans à une sécurisation accrue du cloud, du travail à distance et des employés distants », explique John Lovelock, vice-président de la recherche et analyste distingué chez Garner. « Les entreprises qui pouvaient auparavant mettre les murs de briques virtuels autour du bâtiment et dire qu’elles sont sécurisées à l’intérieur ont maintenant trop d’ouvertures – vers le cloud, les partenaires, les clients, les employés – pour que cette stratégie soit viable ».

Bien que cette évolution soit en cours depuis de nombreuses années, elle continue néanmoins à entraîner une grande partie des dépenses informatiques liées à la cybersécurité, selon M. Lovelock. « Il s’agit de sécuriser ce qui a évolué au cours des dernières années et ce qui a évolué ». Il en veut pour preuve les chiffres de Gartner dans cet espace : un taux de croissance annuel de 34 % des dépenses pour la sécurité du cloud, qui sont passées de 585 millions de dollars en 2019 à 3,5 milliards de dollars de dépenses prévues d’ici 2025.

Les ransomwares coûtent cher

Les ransomwares sont également une autre raison importante de l’augmentation des préoccupations en matière de cybersécurité et de l’augmentation correspondante des dépenses informatiques, explique Brian Jackson, directeur de recherche dans le domaine des DSI chez Info-Tech. Il explique que les recherches de son entreprise montrent que les entreprises sont plus nombreuses que l’on ne le pense à avoir été touchées par des attaques de ransomware et à être en phase de récupération.

« Et cela peut coûter très cher », ajoute-t-il. Même celles qui n’ont pas été touchées par un ransomware ressentent le besoin impératif de s’armer contre cette éventualité en investissant dans des protections plus solides, y compris, par exemple, de meilleures sauvegardes hors ligne. « Avec les ransomwares, nous parlons de cyberguerre commanditée par des États, et ces entreprises sont prises au milieu de tout cela, et c’est devenu un simple coût pour l’entreprise », ajoute M. Jackson.

Exigences en matière d’efficacité, d’expérience et de productivité

Selon les experts, d’autres grands besoins de l’entreprise à l’origine de l’augmentation des dépenses informatiques – tels que l’amélioration de l’efficacité, de l’expérience client, de la productivité des employés et de la rentabilité – sont également révélateurs de la situation des entreprises en 2022. « Vous avez maintenant une discipline accrue en matière de gestion des coûts et vous savez où dépenser vos dollars technologiques », déclare M. Priest, ajoutant que « c’est l’un des meilleurs endroits pour investir, surtout en période d’inflation ».

Selon lui, les entreprises cherchent à automatiser, à rationaliser les opérations et à réduire les coûts pour faire face à un marché du travail instable, à la pénurie de travailleurs, à l’inflation et à l’incertitude géopolitique. Ces investissements technologiques leur permettent à leur tour de redéployer leurs rares travailleurs (de plus en plus coûteux) vers des tâches à plus forte valeur ajoutée. Ces initiatives technologiques génèrent également des économies, que les entreprises peuvent réinvestir dans des opérations et des initiatives qui soutiennent la croissance du chiffre d’affaires.

Le cloud, toujours au programme

Selon M. Priest, les DSI continuent de consacrer de l’argent à la migration des infrastructures existantes vers le cloud, ce qui leur permet de supprimer les redondances, d’optimiser les performances, d’améliorer les processus et d’éliminer les cloisonnements de données. Ils investissent également dans des projets de données et d’analyse afin de gagner en efficacité, de stimuler la productivité et de soutenir la rentabilité.

Dans sa recherche sur la façon dont les DSI vont dépenser leur temps et leur argent en 2022, PwC a constaté que les cinq principaux domaines prioritaires sont les suivants :

• Raffiner l’informatique pour être plus agile : 43% ;

• Migrer des centres de données traditionnels vers le cloud : 35% ;

• Exploiter les données et les analyses pour prendre des décisions stratégiques : 34 % ;

• Faire évoluer l’informatique pour en faire un partenaire stratégique de l’entreprise : 30% ;

• Réorienter les architectures d’entreprise vers le cloud : 28 %.

Soutenir la croissance et la transformation

Selon Mme Rasmussen, les listes de priorités en matière de dépenses informatiques compilées par les chercheurs reflètent sa propre ventilation budgétaire et s’alignent sur les plans de dépenses qu’elle a également entendus de la part de collègues DSI. « C’est le thème commun à la plupart des leaders technologiques », dit-elle. Carrie Rasmussen et d’autres personnes reconnaissent que la liste des moteurs d’activité de cette année peut sembler en rupture avec les priorités des années précédentes, où la transformation dominait généralement. En effet, l’enquête State of the CIO a révélé que les moteurs de l’entreprise tels que l’introduction de nouvelles sources de revenus numériques et la monétisation des données de l’entreprise – qui font généralement partie des programmes de transformation – figuraient en bas de la liste des initiatives motivant les dépenses informatiques, respectivement aux 11e et 13e rangs.

Mais les experts mettent en garde contre cette hypothèse, affirmant que les décisions en matière de dépenses informatiques visent effectivement à soutenir les initiatives numériques en cours et nouvelles ainsi que les efforts de transformation globaux – même si cela n’est pas nommé. Comme le fait remarquer Carrie Rasmussen, les dépenses en matière d’efficacité « libéreront de l’argent à réinvestir », tandis que les dépenses en matière de sécurité, d’expérience utilisateur, de productivité des employés et autres soutiendront les nouvelles méthodes de travail et d’engagement avec les clients. « Il ne s’agit pas de contrôler les coûts ; nous parlons plutôt d’investissements pour la valeur. Il s’agit d’une stratégie d’investissement et d’une conversation sur l’agilité – l’agilité pour être compétitif sur le marché », ajoute-t-elle.

Les dépenses IT représentent jusqu’à 36% du budget total

Dan Priest convient que cette réorientation vers les fondamentaux peut conduire à des avancées futures, en affirmant que les dépenses informatiques consacrées à la sécurité, à l’efficacité, à l’amélioration des processus et à la productivité peuvent placer les entreprises en position de force, quoi que l’avenir leur réserve, qu’il s’agisse de croissance, d’inflation continue ou même de récession. En outre, les dépenses consacrées aux initiatives de transformation de l’entreprise sont de plus en plus souvent effectuées en dehors du budget informatique et dans les domaines fonctionnels, ajoute Diane Carco, présidente et directrice générale de la société de conseil en gestion Swingtide.

Selon Gartner, le total des dépenses informatiques dirigées par les entreprises représente en moyenne jusqu’à 36 % du budget informatique officiel total. « Nous constatons que les dépenses de transformation sont effectuées dans des départements autres que l’informatique, de sorte que les tendances en matière de dépenses pour les DSI peuvent sembler moins stratégiques qu’elles ne l’étaient il y a cinq ans », précise Diane Carco. « Mais les DSI sont ceux qui dépensent pour s’assurer que [ces initiatives de transformation] sont sûres et sécurisées pour fonctionner ».

Retrouvée la publication orginale par Célia Séramour sur Le Monde Informatique.

L’article 10 priorités de dépenses IT est apparu en premier sur EMATRiX Nova.

Dans le sillage de la pandémie mondiale, et alors que les entreprises et leurs équipes s’adaptaient à une nouvelle façon de travailler, un certain nombre de menaces pour la cybersécurité ont été mises en lumière.

En 2022, ces risques sont liés à l’accélération de la transformation numérique et au nombre croissant de personnes travaillant à domicile, à l’émergence de cyberattaques “intelligentes” et à ce que cela signifie pour la confidentialité des données.

Voici les principaux points en matière de cybersécurité sur lesquels les dirigeants d’entreprises doivent être vigilants :

1. Les projets de transformation numérique se transforment en problèmes de sécurité des données

Alors que les entreprises ont accéléré leurs initiatives de transformation numérique au milieu d’une pandémie mondiale, les équipes informatiques se sont empressées de migrer des mines d’informations dans des lacs de données, avec peu ou pas de visibilité sur ce qui était réellement stocké. Pourquoi est-ce une mauvaise chose ? Parce que ces erreurs se matérialiseront probablement en problèmes plus graves si elles passent inaperçues – mettant en danger non seulement la sécurité des données des entreprise, mais aussi leur réputation.

Faire de la sécurité la responsabilité de chacun au sein des entreprises peut permettre à l’avenir d’atténuer et d’arrêter les violations de données. Les entreprises s’attaquent à ce problème notamment par le biais de centres d’excellence Cloud/API. Ces “groupes de réflexion” au sein des organisations sont constitués d’un groupe interfonctionnel de personnes qui développent des modèles et des tendances pour intégrer la sécurité dans le cycle de vie du développement logiciel.

Cette tendance devrait se poursuivre au fil du temps, puisque Gartner prévoit que d’ici 2025, 40 % des conseils d’administration disposeront d’un comité dédié à la cybersécurité supervisé par un membre qualifié du conseil, contre moins de 10 % aujourd’hui.

2. L’informatique sans serveur devient un terrain de jeu pour les cybercriminels

Alors que les entreprises adoptent l’innovation sans serveur, l’informatique a aveuglément adopté cette innovation du cloud sans impliquer ses pairs en matière de sécurité. Il faut s’attendre à une augmentation des cyber-attaques dans cet espace (telles que les attaques DDoS) visant les environnements informatiques sans serveur.

L’architecture sans serveur est très difficile à protéger pour les entreprises. Sa nature distribuée – essentiellement, la raison de sa flexibilité et de son évolutivité – signifie que les produits de protection traditionnels ne fonctionnent tout simplement pas. Les applications sont passées du statut de fonctions partageant le même espace mémoire à celui de fonctions faiblement couplées et pilotées par les événements. La sécurisation de ces fonctions devrait désormais être prioritaire par rapport à la sécurisation des applications.

Les développeurs étant soumis à une pression croissante pour déployer davantage d’applications, à un rythme toujours plus rapide, il n’est pas étonnant que l’informatique sans serveur devienne rapidement la principale infrastructure dans l’espace de l’architecture logicielle. Mais les entreprises doivent l’aborder de façon constructive. Le code et les fonctions peuvent être vulnérables et ouvertes à l’exploitation, mettant l’intégrité des applications d’une organisation – sans parler de sa réputation – en danger. Il est essentiel que les développeurs comprennent que les équipes de sécurité ont besoin de visibilité – sur chaque fonction, et avec chaque fournisseur. Sans cela, l’informatique sans serveur deviendra rapidement un terrain de jeu pour les cybercriminels.

3. La normalité numérique fait une plus grande place aux micro-services

À mesure que le monde continue de travailler, d’acheter et d’interagir en ligne, la pile informatique traditionnelle va se décomposer, et le développement et le déploiement d’API et de micro-services vont eux aussi se développer pour fournir de meilleurs services plus rapides. Cette évolution s’accompagnera d’une augmentation des fuites et des exfiltrations de données via des API non sécurisées.

À quoi les entreprises doivent-elles penser lorsqu’elles adoptent certains de ces outils ? Elles doivent envisager des cycles de publication plus rapides et la mise à l’échelle d’une partie seulement d’une application, pour n’en citer que quelques-unes. Un autre facteur est que la technologie sans serveur pour les micro-services peut décomposer une application en petites fonctions, et ces fonctions peuvent vivre n’importe où. Pour sécuriser ces environnements, il faut penser à la manière dont les micro-services interagissent. Historiquement, les équipes de sécurité plaçaient la sécurité à l’entrée d’un réseau. Aujourd’hui, elles doivent penser à la communication inter-réseaux entre ces différents micro-services. Il n’y a plus de point d’entrée unique sur le réseau, et un problème courant consiste à contrôler les interactions entre les utilisateurs et les réseaux.

Alors que nous continuons à passer vers un réseau cloud et à un modèle de conception de micro-services, nous devons reconnaître plus de points de contrôle et plus de points focaux pour déterminer quelle architecture de sécurité doit venir en premier. Il s’agissait d’un défi de taille lorsqu’il n’y avait qu’un centre de données. Aujourd’hui, nous devons découvrir et comprendre les environnements de micro-services natifs du cloud et essayer de les sécuriser avant de les déployer, plutôt que de faire de la sécurité une réflexion secondaire.

4. L’émergence de cyberattaques “intelligentes”

La démocratisation de l’apprentissage automatique se traduira par des attaques plus intelligentes, plus difficiles à défendre et à arrêter. Les attaquants sophistiqués concevront des attaques automatisées qui apprendront des défenses de la cible et les optimiseront pour des attaques plus efficaces et implacables. Cela ouvrira une nouvelle ère de cybercriminalité qui nécessitera des renseignements sur les menaces et une couverture de sécurité plus développée.

Imperva Research Labs a publié en 2020 un rapport de renseignement sur les menaces concernant l’état de la sécurité dans le commerce électronique. Le rapport illustre les différents risques d’attaques de cybersécurité auxquels est confronté le secteur du commerce de détail et l’impact de la pandémie mondiale sur le volume des attaques et du trafic web.

Comment les équipes de sécurité peuvent-elles faire face aux besoins de l’entreprise pour réduire le paysage des menaces lorsque l’entreprise se développe plus vite ? La modélisation des menaces est l’une des choses les plus importantes que le personnel de sécurité puisse faire avec une entreprise lorsqu’elle cherche à déployer de nouveaux services.

Examiner le modèle du point de vue de la fraude, en plus de la sécurité, est quelque chose dont beaucoup d’organisations peuvent bénéficier en 2022. Si vous êtes une équipe de sécurité et que vous ne faites pas d’exercices de modélisation des menaces avec vos équipes de développement, il est recommandé de s’y intéresser. Cela peut apporter de grands avantages en apprenant aux équipes de développement à explorer les façons involontaires dont les logiciels peuvent être utilisés de manière abusive.

Retrouvez la publication originale par Gérald Delplace sur Le Journal du Net.

L’article Cybersécurité en entreprise : 4 points sur lesquels les dirigeants doivent agir maintenant est apparu en premier sur EMATRiX Nova.