Récemment dans la catégorie Réseaux

Pour les passionnés du net et des « cyber-risques », on peut conseiller le visionnage sur internet du documentaire « La guerre invisible » d’Antoine Vitkine. En dehors de l’incontournable « cybertsar » Richard Clarke ce film évite  les travers du cybercatastrophisme habituel et a pour principal mérite de démontrer la dimension à la fois accessible et sophistiquée de ces cyberattaques. La qualité de la plupart des interviewés  et le montage fluide sont pour beaucoup dans la réussite de ce documentaire qui est une introduction honnête à un sujet souvent mal décrypté. Il en ressort notamment que ces cyberattaques s’apparentent avant tout à une guerre informationnelle voire psychologique tant l’impact réel reste peu validé par des sources indépendantes puisque seul des acteurs privés ont – selon Vitkine – la capacité « d’avoir une vue d’ensemble en temps réel » des risques réseaux… Enfin comme le montre par exemple le rôle du virus Stuxnet dans l’attaque des centrifugeuses iraniennes, une nouvelle forme de cyber-risque émerge où une simple clé USB peut s’intégrer à stratégie de destabilisation par les réseaux numériques de matériels industriels sensibles. Le débat qui a suivi sur ARTE a au le mérite de clarifier des concepts parfois complexes de « hackers » et « cybersécurité » (ou disons plutôt de « guerilla électronique » en ce qui concerne les Anonymous) avec en particulier le point de vue argumenté et pédagogique du chercheur Eric Filiol de l’ESIEA.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

A l’occasion du colloque annuel du CDSE (Club des Directeurs de Sécurité des Entreprises), une conférence a été organisée sur le thème de : la « virtualisation » de l’entreprise représente-t-elle un risque ?
Plusieurs points de vue se sont confrontés sur le sujet.
Selon Patrick Pailloux, directeur de l’Anssi : « Il faut couper court à l’idée selon laquelle externalisation et sécurité s’opposent. Cela peut être au contraire un moyen de mieux gérer la sécurité, en cas d’absence de compétence dans l’entreprise. Par exemple, personne n’aurait à l’idée de développer son propre antivirus ». Cela dit le directeur de l’Anssi ajoute que : « L’externalisation est extrêmement mal pratiquée du point de vue de la sécurité » et il cite l’exemple de l’externalisation de serveurs informatiques qui sont parfois partagés avec des entreprises qui ont des exigences de sécurité informatique inférieures, ce qui peut permettre une attaque. Dans ce contexte le « cloud computing » incite à plus de prudence car l’on ne maîtrise pas l’endroit où sont les données.
Pour Vivek Barinath, directeur exécutif d’Orange business services, il y a une « vraie tendance économique à ce que cette technologie se développe ». Cela requiert d’être attentif à « la sécurisation des données au repos et pendant le transfert », à l’ « authentification des utilisateurs », ou encore aux « processus de réponse aux incidents ».
Mais l’avocat Alain Bensoussan, spécialiste du droit numérique, juge que le cloud computing, « ce n’est pas de l’informatique dans les nuages, mais dans le brouillard » : « La virtualisation et l’externalisation préoccupent les spécialistes du droit des contrats ». Selon lui, plusieurs droits doivent être garantis par un contrat d’externalisation, et notamment le droit à la transparence, « pour savoir en temps réel où sont les données », le « droit au contrôle immédiat » ou encore le « droit à la sûreté : le fournisseur doit démontrer que son système est sûr ». Enfin Pascal Brier, directeur adjoint d’Altran, considère que pour l’entreprise il est nécessaire de « définir l’aspect critique de l’élément à externaliser ». Dans cette perspective, son entreprise met en place un « scoring ». Il insiste également sur la dimension « explicite de la sécurité », dont les critères peuvent varier entre donneur d’ordre et prestataire.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

La société de conseil PricewaterhouseCoopers a publié en décembre dernier un rapport  « sur la sécurité de l’information à l’échelle internationale ». Selon cette étude « Les entreprises semblent avoir des difficultés à sortir des schémas traditionnels pour maîtriser les risques liés aux nouvelles technologies (réseaux sociaux, objets nomades et cloud computing) ». Price Waterhouse Coopers a sondé par internet, en février et mars 2010, 12 840 entreprises réparties dans 135 pays, dont 37 % en Asie, 30 % en Europe et 17 % en Amérique du Nord et selon PWC France, « seules 40 % des entreprises (29 % en France) ont mis en place des mécanismes de sécurité pouvant traiter les risques liés aux réseaux sociaux, blogs […] et autres nouveaux médias internet accessibles depuis les entreprises ». « Par rapport à ces risques portant notamment sur la divulgation d’informations sensibles et l’atteinte à l’image de marque, la proportion des entreprises ayant mis en place des mesures de sécurité n’a pas augmenté depuis l’année dernière et diminue même pour la France », relève PWC. Parmi les sociétés sondées, « seules 23 % (12 % en France) » ont en effet affirmé avoir « défini une politique de sécurité prenant en compte l’utilisation de réseaux sociaux ou de technologies web 2.0 ». Cette tendance est stable à l’international, mais en baisse en France : les entreprises étaient 14 % à avoir défini une politique de sécurité en la matière en 2009. « Les impacts liés aux incidents de sécurité (pertes financières, vol de données, compromission de l’image) ont doublé voire triplé sur les quatre dernières années » selon le type d’atteintes, constate PWC France. « En France notamment, les pertes financières ont doublé depuis l’année dernière ». Mais ces évolutions sont à relativiser car : « Les entreprises disposent dorénavant de données plus fiables sur leurs incidents de sécurité, ce qui peut expliquer les progressions croissantes des mesures d’impacts ». Par exemple, 40 % des sondés disaient ignorer le nombre d’incidents de sécurité dont leur entreprise a été victime au cours des douze derniers mois lors de l’enquête réalisée 2007, ils ne sont plus que 23 % en 2010. Autre explication de l’augmentation de l’impact financier des incidents, selon PWC : la professionnalisation de ces attaques, qui relèvent « plus de l’intelligence économique, de l’espionnage industriel, d’actions politiques ou de démarches crapuleuses que d’une volonté de s’amuser ou se faire remarquer, comme cela a pu être le cas il y a quelques années ». Toutefois « Alors que 45 % des entreprises interviewées (43 % en 2009) constatent une augmentation des risques liés à la sécurité de l’information et que les impacts métiers liés aux incidents progressent, près d’une entreprise sur deux a dû restreindre ses investissements et différer des projets sécurité », précise PWC. L’enquête révèle malgré tout que 52 % des sondés se disent « optimistes » quant à l’augmentation de leurs dépenses de sécurité pour les douze mois à venir, contre 38 % lors de la précédente étude. Selon le cabinet cette budgétisation doit d’autre part ne pas « être dans un rôle d’opposant systématique, mais doit se placer en accompagnement » pour le déploiement des technologies liées aux réseaux sociaux et au web 2.0.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

L’Anssi (Agence nationale de la sécurité des systèmes d’information) a publié en décembre un Guide de l’externalisation. Patrick Pailloux, directeur général de l’agence observe « le développement d’offres d’externalisation de plus en plus globalisantes, telles que le cloud computing , ce qui implique une augmentation des risques ». Le risque apparait alors dans le recours à un service informatique sous-traitant et selon Patrick Pailloux « sans prise en compte de la sécurité : aucune règle de sécurité n’est définie, aucun patch [correctif] n’est prévu en cas de problème, il n’est parfois pas possible de joindre le prestataire le vendredi soir, lorsque survient une attaque… ». Le document de l’Anssi liste notamment les principaux « risques inhérents à l’externalisation » dans le domaine informatique, et insiste sur la « prise en compte de la sécurité dans les appels d’offres ». Parmi les risques en question il y a  la « perte de maîtrise » des données confiées : « Un prestataire peut changer d’hébergeur, décider de transférer les données à l’étranger, et ainsi ne plus être conforme au contrat initial, par exemple ». L’intervention à distance peut également être risquée : « Si une entreprise dispose d’un contrat de gestion à distance de son photocopieur, qu’est-ce qui lui garantit que les données photocopiées ne sont pas récupérées par le prestataire ? ».  Pour souligner l’importance du contrat entre donneur d’ordre et prestataire, Patrick Pailloux prend l’exemple du site internet Wikileaks et sa situation d’hébergement au 2/3 décembre : « L’entreprise qui redirigeait l’adresse internet ‘wikileaks.org’ vers les serveurs de Wikileaks a suspendu son service car elle a estimé qu’elle subissait trop d’attaques, et le site n’est plus accessible à partir de cet URL. Wikileaks n’avait donc pas mis de clause de continuité du service dans son contrat ». Face à ces failles, le guide préconise une « étude de risque qui doit permettre de déterminer les objectifs de sécurité permettant de rendre les risques acceptables. » L’Anssi propose également aux donneurs d’ordres d’exiger un « plan d’assurance sécurité » dans leurs contrats d’infogérance : ce « document contractuel […] décrit l’ensemble des dispositions spécifiques que les candidats s’engagent à mettre en œuvre pour garantir le respect des exigences du donneur d’ordre ». « Un exemple de ‘plan d’assurance sécurité’ est proposé dans le guide, il est possible de faire un ‘copier-coller’ ». Le guide de l’Anssi propose également plusieurs « clauses de sécurité » à insérer dans des contrats d’externalisation. « L’idéal, pour nous, serait que les prestataires s’approprient ce guide, et puissent ainsi affirmer que leurs services correspondent aux exigences de sécurité de l’Anssi », note Patrick Pailloux. Selon lui, le guide « a vocation à évoluer. Nous sommes preneurs de l’ensemble des retours sur notre travail ». Le directeur général de l’Anssi indique que cet ouvrage a été élaboré en collaboration avec « les administrations, qui ont reçu un projet guide depuis l’été et ont fait part de leurs commentaires ». En matière d’infogérance, Patrick Pailloux recommande « a minima, de choisir un prestataire européen ». Ainsi, les données stockées seront protégées par la directive européenne sur la protection des données personnelles. Il indique en outre que l’Anssi va mettre au point un label de sécurité a la possibilité de  : « D’ici quelques mois, nous allons mettre en place un dispositif de labellisation des prestations d’audit en matière de sécurité des systèmes d’information, et nous espérons étendre cette démarche. Mais cela demande du temps ».

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

La sécurité informatique a fait récemment l’objet de plusieurs rapports et débats en termes de risques.

Tout d’abord le syndicat informatique le Syntec a publié le 7 décembre 2010 son Libre Blanc « Sécurité du Cloud Computing« . Précisons que le cloud computing, est une sorte de « dématérialisation » de l’hébergement des données et que « le lieu d’hébergement du cloud est généralement multiple, et réparti sur plusieurs data centers, en France et/ou à l’étranger ». Le Syntec distingue dans son Livre Blanc : « Les risques spécifiques liés aux aspects organisationnels, techniques et juridiques du cloud et les risques inhérents à tout projet informatique ». « Lorsque les risques sont transférés à un prestataire de service de cloud, la prise en compte de ces risques par le prestataire, sous forme de service à valeur ajoutée, doit être intégrée dans le contrat ». Mais le Syntec précise que , « le transfert de risque du client au prestataire de services ne peut pas être total. Si un risque conduit à la disparition d’une entreprise, à des atteintes sérieuses à sa réputation ou à des conséquences juridiques graves, il sera difficile voire impossible, pour quelque partie que ce soit, de compenser ces dommages. En définitive, on peut déléguer la responsabilité, mais pas s’en décharger complètement ».

Le Livre Blanc détaille aussi« la perte de maîtrise et/ou de gouvernance » liée au cloud car « comme dans toute externalisation informatique traditionnelle, l’utilisation de services d’un prestataire cloud se traduit d’une certaine manière par un renoncement au contrôle sur son infrastructure, la perte de la maîtrise directe du système d’information, une gestion et une exploitation opaques ». Par ailleurs, il existe « des risques de déficiences au niveau des interfaces », car « le niveau de portabilité actuel des services, des applications et surtout des données est encore peu probante : il y a peu de garanties sur les outils, les procédures, les formats de données et les interfaces de services », précise le Syntec.
D’autre part le cloud pose des défis de risques sur des aspects juridiques avec en particulier « la responsabilité des données et des traitements, la coopération avec les entités légales et de justice (des différents pays), la traçabilité de l’accès aux données, la possibilité de réaliser des contrôles et des audits sur le respect des modes opératoires et des procédures et le respect d’exigences réglementaires métiers ». « La dématérialisation des données sur des sites physiques de stockage différents peut conduire à un éclatement des données et une répartition dans différents pays. Un manque de maîtrise de cette répartition géographique est susceptible de provoquer le non-respect de contraintes réglementaires liées à la localisation des données sur le territoire d’un Etat ».

Enfin La mutualisation des moyens est l’une des caractéristiques fondamentale du cloud. « Mais les risques afférents sont nombreux, souvent liés aux mécanismes de séparation [entre les données des différents utilisateurs] ». Il existe également un risque de perte ou au contraire de non destructions de données. Il est « indispensable d’avoir la garantie de disposer des moyens pour la récupération de données en cas de problèmes ». Se pose aussi la question de l’expertise car  « les architectures de type cloud sont gérées et exploitées par des personnes disposant de privilèges élevés et qui sont donc à risque élevé. Des dommages peuvent être causés par ces spécialistes techniques. Les risques d’accès non-autorisés aux données ou d’utilisation abusive doivent être anticipés. »

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Sofrecom est une filiale de France Telecom qui conduit des missions de conseil dans les nouveaux services innovants en particulier à l’international. Cette démarche de défrichage et de prospective s’exerce notamment dans des projets audio-visuels à une échelle européenne. Un exemple de mise en place de tels services novateurs est le site 2424actu qui propose des informations continues en ligne sous une forme visuelle séduisante et ludique. Plus globalement la démarche novatrice des opérateurs télécoms est désormais concurrencée  par les réseaux sociaux qui ont remis en cause les modèles économiques traditionnels : le monde informatique aurait ainsi pris un avantage stratégique sur le monde télécom dont est issu Sofrecom. Un site comme Facebook par sa dimension conversationnelle et gratuite présente ainsi un risque majeur pour des acteurs télécoms traditionnels.Il est donc probable que l’axe « réseaux » devienne de plus en plus stratégique et que la dimension « télécom » stricto sensu disparaisse d’ici 20 ans. Un enjeu essentiel est de savoir où et comment « ouvrir » les interfaces de programmation (Application Programming Interface ou API) car les nouveaux standards qui émergent à une échelle globale présentent des défis d’un genre inédit. La fragmentation du marché européen face à l’émergence de nouveaux acteurs (réseaux sociaux américains et pays émergents tels que la Chine et l’Inde) oblige aussi les opérateurs télécoms à s’orienter de plus en plus sur des services de communication enrichie interopérables (Rich Communication Suite) censés donner plus de valeur ajoutée à leurs activités.

La Commission européenne met en place un comité des sages qui a pour objectif de formuler des recommandations pour stimuler la numérisation, l’accessibilité en ligne et la conservation des œuvres culturelles en Europe. Les sages examineront un certain nombre de projets en cours, en particulier ceux qui impliquent des partenaires publics et privés (par exemple le projet Google Books) et les problèmes de droit d’auteur afin de trouver des moyens d’accélerer la numérisation des collections complètes détenues par les bibliothèques, musées et archives en Europe.
Pour constituer ce comité de réflexion, elle a fait appel au publicitaire Maurice Lévy (PDG de Publicis), à la présidente de la bibliothèque nationale d’Allemagne Elisabeth Niggemann et à l’écrivain belge Jacques De Decker. Ce comité remettra son rapport courant 2010.
Ces recommandations devront permettre à Europeana, la bibliothèque numérique européenne, de prendre une nouvelle dimension : ouvert en novembre 2008, le portail Europeana offre déjà un accès en ligne à plus de 7 millions de livres, cartes, photographies, extraits de films, peintures et extraits musicaux, mais il ne s’agit là que d’une petite partie de toutes les œuvres détenues par les institutions culturelles européennes.
Pour la Commission, l’objectif est de favoriser la mise en place de stratégies innovantes qui permettent d’accompagner le secteur culturel vers le numérique et d’assurer la pérennité d’acteurs européens par rapport à des entreprises telles que Google.

Magistrat et écrivain, Jean de Maillard signe un ouvrage qui aborde le problème épineux et opaque des dérives des marchés financiers. Si les sciences de gestion ont une tradition dans la maîtrise des risques financiers, de Maillard démontre à quel point la sophistication récente des produits financiers conduit à une course en avant où la vitesse joue un rôle stratégique. Selon de Maillard la gestion du risque serait devenue une « gigantesque industrie à l’échelle de la planète (…) et sa maîtrise deviendrait l’obsession des acteurs impliqués dans la globalisation, d’autant qu’au fur et à mesure de la progression des risques on constate l’effacement des dispositifs étatiques censés les réduire. (…) La dérégulation et la déréglementation ont abouti à une situation où une grande partie du contrôle des activités économiques ont été transférées des Etats aux acteurs privés qui peuvent eux-mêmes mettre en place les règles et normes de fonctionnement de leurs marchés. » Résultat : cette fragilisation de la notion de norme fragiliserait aussi le concept même de fraude qui tendrait à se diluer dans les flux des marchés. En fait le licite se mêlerait en permanence à l’illicite à des degrés divers et en fonction des opportunités du moment : « l’aptitude de l’investisseur consisterait alors à jouer des contradictions entre l’espace et le temps de la mondialisation » pour optimiser ses profits.
Plus globalement, l’auteur voit dans la fraude financière une forme de criminalité intégrée à nos systèmes politiques, économiques et sociaux qui servirait à équilibrer « les mécanismes économiques et financiers (…) comme une variable d’ajustement permanente et non plus comme une simple variable d’ajustement à la marge. » Elle n’a donc plus rien à voir avec l’analyse d’une transgression sociale chère aux criminologues.
Par conséquent l’analyse de la criminalité ne devrait donc plus se faire dans la sphère policière ou judiciaire mais dans une perspective plus large. Le « caractère impersonnel » et la variété des intervenants dans le cadre de cette fraude en quelque sorte systémique rendraient l’évaluation de son risque particulièrement délicat.
Ce type d’ouvrage intègre et argumenté est suffisamment rare dans le paysage éditorial français pour être salué. La complexité du champ de recherche, la frilosité des réflexions critiques des économistes (en amont des risques financiers) ainsi que la difficulté d’accéder à certaines sources n’ont pas empêché l’auteur de conduire une analyse rigoureuse et crédible en ayant recours à des exemples variés tels que Enron ou Goldman Sachs (qui avait participé à la création de la bulle internet et est récemment revenu sous le feu de l’actualité).

Quant au concept de risque systémique abordé par Jean de Maillard dans le secteur financier, il pourrait aussi servir de réflexion à tous les acteurs concernés par les problèmes de gouvernance liés aux réseaux d’information.

L’Arnaque, la finance au-dessus des lois et des règles de Jean de Maillard, Gallimard, 308 p.,18, 50 euros

Un bilan de cette conférence est disponible sur le site ITRnews.

A noter également l’organisation des World e.Gov Forum les 13, 14, 15 octobre 2010 par Acteurs Publics.

Bilan Géostratégie, Les nouveaux rapports de forces planétaires, Le Monde, 188 p., 9, 50 euros