Article IT

Attention, nouvelle menace de ransomware !

La menace des ransomwares (rançongiciels) est toujours très présente et de nouvelles versions sortent régulièrement. il y a en ce moment une vague très importante d’e-mail contenant des pièces jointes dangereuses.

Depuis mi-février, un nouveau ransomware est apparu : Locky Ransomware.
Ce dernier est distribué par des emails malicieux avec une pièce jointe Word invoice.

En tant qu’entreprise, restez vigilant lors de l’ouverture de vos emails :

• N’ouvrez les pièces jointes suspectes (fichiers .zip, .xls, .doc) que si l’expéditeur est confirmé. A l’ouverture d’un fichier malveillant, l’ordinateur est aussitôt infecté.
• Supprimez le message d’un expéditeur suspect inconnu sans y répondre
• Refusez de confirmer l’accusé de réception dans le cas d’un expéditeur inconnu suspect. Vous risquez de valider et diffuser votre adresse email à votre insu.

Pour rappel :

Ransomware (rançongiciel) est un logiciel malveillant qui bloque l’ordinateur des victimes et réclame le paiement d’une rançon. Ne payez en aucun cas la rançon réclamée.

Les bonnes pratiques pour une sécurité optimale dans votre entreprise

Le développement de nouvelles technologies, la connexion permanente des postes à Internet, le développement de la mobilité et la multiplication des échanges interentreprises rendent le système d’informations vulnérable.

De plus, l’accès au web pose de vrais problèmes de sécurité. Le système est d’autant plus fragilisé qu’il suffit d’un simple clic pour l’infecter. Il est donc vital pour une entreprise de protéger ses données pour éviter toute perte qui pourrait nuire à la bonne marche de l’entreprise.

Cependant, elle ne doit pas aller à l’encontre du développement des usages qui sont nécessaires aux utilisateurs. C’est pourquoi, il est essentiel de définir une politique de sécurité afin que le système puisse être utilisé à son maximum et en toute confiance.

La politique de sécurité et les services associés doivent répondre à 5 critères :

• L’intégrité des données et des échanges
  Lors d’un échange de données, il est important de vérifier que la totalité des données a réellement été échangée et que les données reçues sont identiques à celles envoyées et qu’elles n’ont pas été modifiées au cours de la transaction.

• La confidentialité
  Toute entreprise dispose de données confidentielles et sensibles. Dès lors, elle se doit de les protéger des éventuelles attaques et intrusions que le système pourrait subir.

• La disponibilité du système
  Les pannes informatiques ne constituent pas la seule cause d’indisponibilité du système. Les attaques Internet tel que le déni de service empêchent le système informatique de fonctionner correctement. Ces attaques consistent à inonder d’informations le système et ainsi à le saturer.

• La non-répudiation
  Les entreprises disposant d’un service de commerce en ligne sont particulièrement concernées par ce domaine. Lors d’une transaction, il est important de fournir aux deux personnes qui communiquent un justificatif qui garantit que la transaction a bien eu lieu. Celle-ci ne peut ainsi être niée et évite tout litige si l’un des deux interlocuteurs nie la dite transaction.

• L’authentification
  Pour protéger les informations sensibles, il est important de mettre en place un système d’identification et d’authentification qui consiste à donner un accès à des ressources définies uniquement aux personnes autorisées.

La politique de sécurité doit s’inscrire dans une démarche globale qui doit être rigoureuse, progressive et continue. En effet, pour une sécurisation optimale du système, il faut suivre de près l’évolution de l’environnement. Les étapes à suivre consistent à :

• Réaliser un audit de sécurité pour connaître les besoins en termes de sécurité et identifier les risques informatiques qu’encoure l’entreprise et leurs éventuelles conséquences.
• Définir une politique de sécurité qui englobera tous les moyens à mettre en œuvre. A savoir que plus les ressources à protéger sont importantes, plus les moyens à déployer doivent être conséquents et ceci afin de décourager toute tentative d’intrusion.
• Concevoir une architecture complète combinant les différents éléments techniques de protection de manière cohérente.
• Paramétrer et mettre en œuvre ces éléments techniques.

Conseils pour définir une politique de mot de passe efficace

Protéger les données de votre système d’information passe par une politique de sécurité efficace.
Et l’authentification au moyen d’un mot de passe et d’un identifiant en fait partie !

En tant qu’entreprise, il est important d’intégrer à votre politique de sécurité, une politique de mot de passe reposant sur des bonnes pratiques que les utilisateurs doivent appliquer.

Voici quelques conseils :

• L’utilisateur doit concevoir un mot de passe « fort »
  Deux paramètres important pour un mot de passe fort : sa longueur (minimum 8 caractères) et l’utilisation de caractères spécifiques dans le mot de passe.
  Idéalement, le mot de passe doit être composé de lettres (minuscules et majuscules), de chiffres et de caractères spéciaux (@, *,%, <, #, etc.).Attention, l’utilisateur doit être capable de mémoriser le mot de passe car sinon il sera tenté de l’écrire sur un post-it ou dans un carnet et dans ce cas le mot de passe fort aura perdu tout son sens… Pour cela, plusieurs astuces peuvent être utilisées pour retenir le mot de passe en prenant une phrase dont on extrait la suite alphanumérique, ou encore en gardant les premières lettres d’une phrase.

• L’entreprise doit établir des règles que les utilisateurs devront appliqués
  Voici quelques règles que vous pouvez mettre en place pour une politique efficace :
  –    Demander à l’utilisateur de changer le mot de passe initial qui lui aura été fourni lors de sa première connexion
  –    Proposer de renouveler régulièrement le mot de passe (tous les mois par exemple)
  –    Établir des critères prédéfinis pour le mot de passe (longueur minimale, majuscule et chiffre obligatoire, etc.)
  –    Bloquer les mots de passe qui ont déjà été utilisés, etc.

     Attention, nouvelle variante du virus Cryptolocker

Une nouvelle variante de Cryptolocker prolifère de nouveau. La prudence reste de mise.

En tant qu’entreprise, restez vigilant lors de l’ouverture d’un mail !

Vérifiez tout d’abord le destinataire et dans le doute, n’ouvrez pas l’email et ne cliquez surtout pas sur la pièce jointe.

Pour lutter efficacement contre ces menaces, sécurisez le réseau de votre entreprise avec des solutions professionnelles adaptées à vos besoins.

Pour rappel :

Cryptolocker est un virus qui se propage sous forme de pièce jointe dans les emails. Une fois contaminé, ce virus crypte vos fichiers en local et sur vos partages réseaux. Le but étant de demander une rançon contre un décryptage.
Le seul moyen de récupérer les fichiers cryptés est de s’appuyer sur une sauvegarde.
Environ 625 000 PC ont été infectés dans le monde.

Fin du support de Windows Server 2003 et d’Exchange 2003

Vous utilisez Windows Server 2003 et Exchange 2003 ? Attention à la sécurité de votre entreprise …

Les risques et les enjeux juridiques du Cloud

 Agilité, flexibilité, réduction des coûts, mobilité, productivité… Les avantages du Cloud sont nombreux et offrent de formidables opportunités pour les entreprises. Mais avant de contractualiser une prestation Cloud, il faut se poser les bonnes questions.
En effet, cette transition vers le Cloud peut comporter des risques juridiques en matière de confidentialité et de sécurité des données qu’il est bon de connaître. De même que le prestataire a des obligations réglementaire envers son client.

Ce n’est pas une nouveauté, les problématiques du Cloud ne sont pas différentes des autres contrats informatiques, mais ils sont plus nombreux du fait de la “synergie de technologie” (externalisation du SI, connexion au réseau Internet, etc.).
Il faut donc cadrer les risques en indiquant contractuellement les responsabilités entre le prestataire et le client.

Mais la difficulté réside dans le fait qu’il n’y a pas de cadre légal ou réglementaire propre au Cloud. Il faut se référer à une multitude de dispositions disséminées dans les lois, codes ou textes européens. De plus, il n’existe pas de contrat type du Cloud car il y a une trop grande variété d’appellation Cloud (IaaS, SaaS, PaaS, Cloud privé, public ou hybride).
Enfin, la dernière problématique à prendre en compte est que les leaders du marché du Cloud Computing sont des sociétés américaines. Le cadre légal est différent du marché européen, et bien souvent, pas adapté au système juridique européen (confidentialité des données, conditions particulières, etc.).

C’est pourquoi, il est recommandé pour les entreprises qui souhaitent souscrire à une solution Cloud de privilégier des contrats simples qui ne sont pas soumis à des systèmes juridiques étrangers (hors UE) et d’impliquer un juriste en amont du projet.

Sécurité des données des entreprises clientes dans le Cloud
Bien qu’il n’y ait pas de cadre légal spécifique, il existe des normes sur la sécurité des SI (ISO 27001 et ISO 27000) qui permettent d’évaluer le niveau d’engagement du prestataire. Ce dernier doit s’engager contractuellement sur la sécurité de son infrastructure d’hébergement :

• Confidentialité et intégrité des données : le prestataire s’engage sur des obligations de moyens en mettant des mesures de sécurité adéquates pour protéger ses datacenters.
• La disponibilité des données : le prestataire Cloud s’engage sur une obligation de résultat en garantissant des niveaux de services par des SLA appropriées avec des pénalités en cas de non-respect.

Attention, l’entreprise cliente a aussi une responsabilité en matière de sécurité de ses données.
En effet, le client est responsable dans le cas où il migre des données illicites ou défectueuses chez le prestataire. C’est pourquoi, la sécurité des données doit être traitée dans le contrat dans un “esprit de collaboration” entre les deux parties.

Protection des données des entreprises clientes dans le Cloud
La protection des données fait l’objet d’une réglementation contraignante en France. Ces règles strictes s’appliquent uniquement si le ou les datacenters du prestataire Cloud sont localisés dans l’Union Européenne.
Par ailleurs, le responsable des données est toujours l’entreprise cliente (excepté dans le cas des contrats d’adhésion) car le prestataire n’est qu’un sous-traitant au regard de la loi, responsable en tant que “gardien” des données (loi Informatique et Libertés).
Dans le cas d’un prestataire USA, les transferts de données personnelles d’un pays européen vers les USA sont interdits sauf si :

• Le transfert a été encadré par des clauses spécifiques édictées et autorisées par la CNIL
• Le prestataire USA a adhéré au Safe Harbor Principles

Ainsi, si l’entreprise cliente opte pour un prestataire USA, il doit veiller à renforcer les obligations de protection de données par les clauses types de la Commission Européenne.

Réversibilité et interopérabilité des données
Il n’existe pas de normes dans ce domaine. Le juriste doit simplement veiller à encadrer les modalités de réversibilité (délais, coûts, effacement des données, etc.).

Clauses sur les assurances
Le prestataire doit indiquer dans le contrat qu’il est assuré pour les risques spécifiques au Cloud. Quant au client, il est souhaitable qu’il souscrive à une assurance compte tenu des risques financiers qu’il encourt pour le vol ou la perte de ses données.

Croissance du marché Cloud chez les PME

En cette période de crise économique, le marché du Cloud croît d’année en année. Les PME encore frileuses il y a quelques années sur les solutions Cloud, regardent d’un nouvel œil et y voient de réelles opportunités. Le Cloud se démocratise de plus en plus.

En effet, plusieurs études* révèlent qu’une PME française sur trois utilisera au moins une solution Cloud computing en 2014. Elles étaient une sur cinq en 2012.
Les PME s’intéressent de plus en plus au Cloud et acquiert des connaissances en la matière. 80% d’entre elles déclarent connaitre parfaitement le Cloud computing, contre 56% en 2012.

Pour beaucoup de PME, les avantages d’une solution Cloud sont de simplifier et d’optimiser les infrastructures, mais également de réduire les investissements.
Ces avantages apparaissent très clairement dans les réponses des PME qui utilisent déjà le Cloud.
En effet, 96% des PME ayant une solution Cloud déclarent avoir gagné en sécurité par rapport à leurs solutions d’avant, au niveau des mises à jour, des systèmes et des antivirus, ainsi que de l’émission des bulletins de sécurité.

Les PME gagnent aussi en productivité et en flexibilité (+22% de gain de productivité en télétravail), ce qui leurs permettent d’investir du temps et de l’argent dans le développement de nouveaux produits et innovations.
Ainsi, 71% des PME ont pu développer de nouvelles opportunités en 2013.

Malgré tout, il subsiste encore des freins pour certaines PME face aux solutions Cloud. Les principales craintes restent la sécurité, la localisation des données et la dépendance par rapport au réseau Internet.
Ces craintes diminuent d’année en année, lorsqu’on voit que de plus en plus de PME adopter une solution Cloud et qui en sont très satisfait.

Le marché du Cloud a encore de belles années devant elle et va doubler sa croissance en 2014 par rapport à 2012 en passant de 480 millions d’euros à 700 millions d’euros.

* Sources ComScore, IDC, Markess International

Les PME vont investir de plus en plus dans un service Cloud dans les années à venir

D’après une étude de Parallels, les PME françaises vont se tourner de plus en plus vers des services cloud avec un taux de croissance annuel moyen de 19% sur les trois prochaines années.

Le segment des solutions de communication et de collaboration hébergées sera le plus porteur.
Outre le fait que les entreprises ont encore une connaissance limitée des systèmes de messagerie et de PBX hébergés, ce type de service devrait connaitre une forte progression dans les prochaines années (taux de croissance d’environ 30%).

Le modèle IaaS s’imposera sur le marché français des PME et devrait croître de 14% dans les années à venir. En effet, 75% des PME interrogées qui n’utilise pas encore le modèle IaaS, souhaitent y souscrire.

Les PME françaises vont utiliser principalement les services du cloud en investissant dans les applications professionnelles (CRM et stockage en mode SaaS par exemple) et les applications Web (les outils de SEO et d’optimisation mobile).

Depuis le début, les services cloud ont été facilement adoptés sur le marché français et les PME ne cessent d’investir dans ce secteur. Les investissements progresseront encore massivement dans les prochaines années.

Fin de Windows XP : entreprises, attention aux risques encourus

A compter du 8 avril 2014, Microsoft mettra fin au support technique de Windows XP et cessera les mises à jour de sécurité.

Les entreprises sous cet OS doivent être alertées des risques de sécurité qu’ils encourent. Une migration vers une version plus récente de Windows est vivement conseillée.

Les risques pour les utilisateurs de Windows XP sont :

• Risques d’infections et de piratage des postes de travail

• Incompatibilité avec les dernières versions de logiciels et des périphériques récents (imprimante, souris, Smartphone,…)

• Les applications développées pour XP risquent de ne plus fonctionner correctement

A 8 mois de la fin de Windows XP, l’OS est encore très populaire. Avec Windows 7, ce sont les deux OS les plus utilisés dans le monde.

Pour en savoir plus sur Windows 7, cliquez ici