Risk05, zone à risques - Le blog des nouveaux risques de l'économie et du numérique

Cyberguerre : documentaire et débat sur ARTE

Eric Przyswa — Fri, 10 Jun 2011 18:51:20 +0000

Pour les passionnés du net et des « cyber-risques », on peut conseiller le visionnage sur internet du documentaire « La guerre invisible » d’Antoine Vitkine. En dehors de l’incontournable « cybertsar » Richard Clarke ce film évite les travers du cybercatastrophisme habituel et a pour principal mérite de démontrer la dimension à la fois accessible et sophistiquée de ces cyberattaques. La qualité de la plupart des interviewés et le montage fluide sont pour beaucoup dans la réussite de ce documentaire qui est une introduction honnête à un sujet souvent mal décrypté. Il en ressort notamment que ces cyberattaques s’apparentent avant tout à une guerre informationnelle voire psychologique tant l’impact réel reste peu validé par des sources indépendantes puisque seul des acteurs privés ont – selon Vitkine – la capacité « d’avoir une vue d’ensemble en temps réel » des risques réseaux… Enfin comme le montre par exemple le rôle du virus Stuxnet dans l’attaque des centrifugeuses iraniennes, une nouvelle forme de cyber-risque émerge où une simple clé USB peut s’intégrer à stratégie de destabilisation par les réseaux numériques de matériels industriels sensibles. Le débat qui a suivi sur ARTE a au le mérite de clarifier des concepts parfois complexes de « hackers » et « cybersécurité » (ou disons plutôt de « guerilla électronique » en ce qui concerne les Anonymous) avec en particulier le point de vue argumenté et pédagogique du chercheur Eric Filiol de l’ESIEA.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Sécurité informatique (4) : conférence CDSE

Eric Przyswa — Mon, 17 Jan 2011 19:24:55 +0000

A l’occasion du colloque annuel du CDSE (Club des Directeurs de Sécurité des Entreprises), une conférence a été organisée sur le thème de : la « virtualisation » de l’entreprise représente-t-elle un risque ?
Plusieurs points de vue se sont confrontés sur le sujet.
Selon Patrick Pailloux, directeur de l’Anssi : « Il faut couper court à l’idée selon laquelle externalisation et sécurité s’opposent. Cela peut être au contraire un moyen de mieux gérer la sécurité, en cas d’absence de compétence dans l’entreprise. Par exemple, personne n’aurait à l’idée de développer son propre antivirus ». Cela dit le directeur de l’Anssi ajoute que : « L’externalisation est extrêmement mal pratiquée du point de vue de la sécurité » et il cite l’exemple de l’externalisation de serveurs informatiques qui sont parfois partagés avec des entreprises qui ont des exigences de sécurité informatique inférieures, ce qui peut permettre une attaque. Dans ce contexte le « cloud computing » incite à plus de prudence car l’on ne maîtrise pas l’endroit où sont les données.
Pour Vivek Barinath, directeur exécutif d’Orange business services, il y a une « vraie tendance économique à ce que cette technologie se développe ». Cela requiert d’être attentif à « la sécurisation des données au repos et pendant le transfert », à l’ « authentification des utilisateurs », ou encore aux « processus de réponse aux incidents ».
Mais l’avocat Alain Bensoussan, spécialiste du droit numérique, juge que le cloud computing, « ce n’est pas de l’informatique dans les nuages, mais dans le brouillard » : « La virtualisation et l’externalisation préoccupent les spécialistes du droit des contrats ». Selon lui, plusieurs droits doivent être garantis par un contrat d’externalisation, et notamment le droit à la transparence, « pour savoir en temps réel où sont les données », le « droit au contrôle immédiat » ou encore le « droit à la sûreté : le fournisseur doit démontrer que son système est sûr ». Enfin Pascal Brier, directeur adjoint d’Altran, considère que pour l’entreprise il est nécessaire de « définir l’aspect critique de l’élément à externaliser ». Dans cette perspective, son entreprise met en place un « scoring ». Il insiste également sur la dimension « explicite de la sécurité », dont les critères peuvent varier entre donneur d’ordre et prestataire.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Sécurité informatique (3) : rapport PricewaterhouseCoopers

Eric Przyswa — Mon, 10 Jan 2011 17:09:38 +0000

La société de conseil PricewaterhouseCoopers a publié en décembre dernier un rapport « sur la sécurité de l’information à l’échelle internationale ». Selon cette étude « Les entreprises semblent avoir des difficultés à sortir des schémas traditionnels pour maîtriser les risques liés aux nouvelles technologies (réseaux sociaux, objets nomades et cloud computing) ». Price Waterhouse Coopers a sondé par internet, en février et mars 2010, 12 840 entreprises réparties dans 135 pays, dont 37 % en Asie, 30 % en Europe et 17 % en Amérique du Nord et selon PWC France, « seules 40 % des entreprises (29 % en France) ont mis en place des mécanismes de sécurité pouvant traiter les risques liés aux réseaux sociaux, blogs […] et autres nouveaux médias internet accessibles depuis les entreprises ». « Par rapport à ces risques portant notamment sur la divulgation d’informations sensibles et l’atteinte à l’image de marque, la proportion des entreprises ayant mis en place des mesures de sécurité n’a pas augmenté depuis l’année dernière et diminue même pour la France », relève PWC. Parmi les sociétés sondées, « seules 23 % (12 % en France) » ont en effet affirmé avoir « défini une politique de sécurité prenant en compte l’utilisation de réseaux sociaux ou de technologies web 2.0 ». Cette tendance est stable à l’international, mais en baisse en France : les entreprises étaient 14 % à avoir défini une politique de sécurité en la matière en 2009. « Les impacts liés aux incidents de sécurité (pertes financières, vol de données, compromission de l’image) ont doublé voire triplé sur les quatre dernières années » selon le type d’atteintes, constate PWC France. « En France notamment, les pertes financières ont doublé depuis l’année dernière ». Mais ces évolutions sont à relativiser car : « Les entreprises disposent dorénavant de données plus fiables sur leurs incidents de sécurité, ce qui peut expliquer les progressions croissantes des mesures d’impacts ». Par exemple, 40 % des sondés disaient ignorer le nombre d’incidents de sécurité dont leur entreprise a été victime au cours des douze derniers mois lors de l’enquête réalisée 2007, ils ne sont plus que 23 % en 2010. Autre explication de l’augmentation de l’impact financier des incidents, selon PWC : la professionnalisation de ces attaques, qui relèvent « plus de l’intelligence économique, de l’espionnage industriel, d’actions politiques ou de démarches crapuleuses que d’une volonté de s’amuser ou se faire remarquer, comme cela a pu être le cas il y a quelques années ». Toutefois « Alors que 45 % des entreprises interviewées (43 % en 2009) constatent une augmentation des risques liés à la sécurité de l’information et que les impacts métiers liés aux incidents progressent, près d’une entreprise sur deux a dû restreindre ses investissements et différer des projets sécurité », précise PWC. L’enquête révèle malgré tout que 52 % des sondés se disent « optimistes » quant à l’augmentation de leurs dépenses de sécurité pour les douze mois à venir, contre 38 % lors de la précédente étude. Selon le cabinet cette budgétisation doit d’autre part ne pas « être dans un rôle d’opposant systématique, mais doit se placer en accompagnement » pour le déploiement des technologies liées aux réseaux sociaux et au web 2.0.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Sécurité informatique (2) : rapport de l’Anssi

Eric Przyswa — Sun, 02 Jan 2011 23:21:19 +0000

L’Anssi (Agence nationale de la sécurité des systèmes d’information) a publié en décembre un Guide de l’externalisation. Patrick Pailloux, directeur général de l’agence observe « le développement d’offres d’externalisation de plus en plus globalisantes, telles que le cloud computing , ce qui implique une augmentation des risques ». Le risque apparait alors dans le recours à un service informatique sous-traitant et selon Patrick Pailloux « sans prise en compte de la sécurité : aucune règle de sécurité n’est définie, aucun patch [correctif] n’est prévu en cas de problème, il n’est parfois pas possible de joindre le prestataire le vendredi soir, lorsque survient une attaque… ». Le document de l’Anssi liste notamment les principaux « risques inhérents à l’externalisation » dans le domaine informatique, et insiste sur la « prise en compte de la sécurité dans les appels d’offres ». Parmi les risques en question il y a la « perte de maîtrise » des données confiées : « Un prestataire peut changer d’hébergeur, décider de transférer les données à l’étranger, et ainsi ne plus être conforme au contrat initial, par exemple ». L’intervention à distance peut également être risquée : « Si une entreprise dispose d’un contrat de gestion à distance de son photocopieur, qu’est-ce qui lui garantit que les données photocopiées ne sont pas récupérées par le prestataire ? ». Pour souligner l’importance du contrat entre donneur d’ordre et prestataire, Patrick Pailloux prend l’exemple du site internet Wikileaks et sa situation d’hébergement au 2/3 décembre : « L’entreprise qui redirigeait l’adresse internet ‘wikileaks.org’ vers les serveurs de Wikileaks a suspendu son service car elle a estimé qu’elle subissait trop d’attaques, et le site n’est plus accessible à partir de cet URL. Wikileaks n’avait donc pas mis de clause de continuité du service dans son contrat ». Face à ces failles, le guide préconise une « étude de risque qui doit permettre de déterminer les objectifs de sécurité permettant de rendre les risques acceptables. » L’Anssi propose également aux donneurs d’ordres d’exiger un « plan d’assurance sécurité » dans leurs contrats d’infogérance : ce « document contractuel […] décrit l’ensemble des dispositions spécifiques que les candidats s’engagent à mettre en œuvre pour garantir le respect des exigences du donneur d’ordre ». « Un exemple de ‘plan d’assurance sécurité’ est proposé dans le guide, il est possible de faire un ‘copier-coller’ ». Le guide de l’Anssi propose également plusieurs « clauses de sécurité » à insérer dans des contrats d’externalisation. « L’idéal, pour nous, serait que les prestataires s’approprient ce guide, et puissent ainsi affirmer que leurs services correspondent aux exigences de sécurité de l’Anssi », note Patrick Pailloux. Selon lui, le guide « a vocation à évoluer. Nous sommes preneurs de l’ensemble des retours sur notre travail ». Le directeur général de l’Anssi indique que cet ouvrage a été élaboré en collaboration avec « les administrations, qui ont reçu un projet guide depuis l’été et ont fait part de leurs commentaires ». En matière d’infogérance, Patrick Pailloux recommande « a minima, de choisir un prestataire européen ». Ainsi, les données stockées seront protégées par la directive européenne sur la protection des données personnelles. Il indique en outre que l’Anssi va mettre au point un label de sécurité a la possibilité de : « D’ici quelques mois, nous allons mettre en place un dispositif de labellisation des prestations d’audit en matière de sécurité des systèmes d’information, et nous espérons étendre cette démarche. Mais cela demande du temps ».

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Sécurité informatique (1) : rapport du Syntec

Eric Przyswa — Wed, 29 Dec 2010 12:36:55 +0000

La sécurité informatique a fait récemment l’objet de plusieurs rapports et débats en termes de risques.

Tout d’abord le syndicat informatique le Syntec a publié le 7 décembre 2010 son Libre Blanc « Sécurité du Cloud Computing« . Précisons que le cloud computing, est une sorte de « dématérialisation » de l’hébergement des données et que « le lieu d’hébergement du cloud est généralement multiple, et réparti sur plusieurs data centers, en France et/ou à l’étranger ». Le Syntec distingue dans son Livre Blanc : « Les risques spécifiques liés aux aspects organisationnels, techniques et juridiques du cloud et les risques inhérents à tout projet informatique ». « Lorsque les risques sont transférés à un prestataire de service de cloud, la prise en compte de ces risques par le prestataire, sous forme de service à valeur ajoutée, doit être intégrée dans le contrat ». Mais le Syntec précise que , « le transfert de risque du client au prestataire de services ne peut pas être total. Si un risque conduit à la disparition d’une entreprise, à des atteintes sérieuses à sa réputation ou à des conséquences juridiques graves, il sera difficile voire impossible, pour quelque partie que ce soit, de compenser ces dommages. En définitive, on peut déléguer la responsabilité, mais pas s’en décharger complètement ».

Le Livre Blanc détaille aussi« la perte de maîtrise et/ou de gouvernance » liée au cloud car « comme dans toute externalisation informatique traditionnelle, l’utilisation de services d’un prestataire cloud se traduit d’une certaine manière par un renoncement au contrôle sur son infrastructure, la perte de la maîtrise directe du système d’information, une gestion et une exploitation opaques ». Par ailleurs, il existe « des risques de déficiences au niveau des interfaces », car « le niveau de portabilité actuel des services, des applications et surtout des données est encore peu probante : il y a peu de garanties sur les outils, les procédures, les formats de données et les interfaces de services », précise le Syntec.
D’autre part le cloud pose des défis de risques sur des aspects juridiques avec en particulier « la responsabilité des données et des traitements, la coopération avec les entités légales et de justice (des différents pays), la traçabilité de l’accès aux données, la possibilité de réaliser des contrôles et des audits sur le respect des modes opératoires et des procédures et le respect d’exigences réglementaires métiers ». « La dématérialisation des données sur des sites physiques de stockage différents peut conduire à un éclatement des données et une répartition dans différents pays. Un manque de maîtrise de cette répartition géographique est susceptible de provoquer le non-respect de contraintes réglementaires liées à la localisation des données sur le territoire d’un Etat ».

Enfin La mutualisation des moyens est l’une des caractéristiques fondamentale du cloud. « Mais les risques afférents sont nombreux, souvent liés aux mécanismes de séparation [entre les données des différents utilisateurs] ». Il existe également un risque de perte ou au contraire de non destructions de données. Il est « indispensable d’avoir la garantie de disposer des moyens pour la récupération de données en cas de problèmes ». Se pose aussi la question de l’expertise car « les architectures de type cloud sont gérées et exploitées par des personnes disposant de privilèges élevés et qui sont donc à risque élevé. Des dommages peuvent être causés par ces spécialistes techniques. Les risques d’accès non-autorisés aux données ou d’utilisation abusive doivent être anticipés. »

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Services secrets pour les fêtes

Eric Przyswa — Fri, 24 Dec 2010 14:50:42 +0000

Avec l’arrivée de Noël et de 2011, une idée de cadeau avec un livre sur … les services secrets. Un travail éditorial de grande qualité avec des documents inédits fort justement salué par de nombreux media. De la fiche de renseignement sur Hitler (1924) en passant par des séductrices de légende (Mata Hari, Josephine Baker) jusqu’aux innovations technologiques, l’ouvrage fourmille de très belles photos et de textes accessibles.

Dans les archives inédites des Services Secrets de Bruno Fuligni, Collectif, Editions de l’Iconoclaste, 350p., 69 euros

Propriété intellectuelle et contrefaçon, conférence de Guilhem Fabre

Eric Przyswa — Sun, 19 Dec 2010 12:42:53 +0000

A l’occasion d’une conférence à l’EHESS le 14 décembre, le sinologue et socio-économiste Guilhem Fabre est revenu sur son ouvrage Propriété intellectuelle, contrefaçon et innovation. Il a constaté que depuis 25 ans les droits de propriété intellectuelle ont pris une importance croissante et que la révolution technologique (biologique, informatique) et la mondialisation des années 90/2000 ont donné un rôle encore plus stratégique aux droits en question. La transnationalisation des entreprises a également amplifié le phénomène avec l’importance des actifs intangibles. Le rôle des droits de propriété intellectuelle a évolué car s’ils étaient à l’origine prévus pour « réserver un marché à une entreprise avec une limite spatiale et temporelle », leur rôle s’assimile désormais à « un outil d’accumulation et de conquête des marchés ». Avec Internet et la mondialisation, la chaîne de valeur des entreprises a été bouleversée et a créé de nouvelles tensions Nord/Sud et Producteur/Consommateur. Guilhem Fabre a insisté sur le rôle des blockbusters dans les domaines pharmaceutique et cinématographique au sein desquels les droits de propriété intellectuelle sont stratégiques. Mais ces blockbusters rencontrent plusieurs limites comme la facilité des copies à coût bas et l’arrivée des pays émergents qui participent en général à la sous-traitance des dits produits. Guilhem Fabre a aussi à juste titre insisté sur la maîtrise des réseaux de distribution et le marché gris des importations parallèles qui sont souvent en fait les vrais enjeux de la contrefaçon.

Propriété intellectuelle, contrefaçon et innovation de Guilhem Fabre, Publications des Universités du Rouen et du Havre, 180 p., 16 euros

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Cyberwhat ?

Eric Przyswa — Sat, 18 Dec 2010 15:54:20 +0000

Dans un petit article de bas de page, Le Monde du 8 décembre dernier rapportait des propos de l’ambassade américaine de Tallinn en Estonie par l’intermédiaire du site Wikileaks. Selon des experts américains les célèbres cyberattaques de 2007, qualifiées non sans démagogie de première cyberguerre par de nombreux media internationaux, ont eu des résultats bien plus mitigés qu’annoncés à l’époque. En effet les serveurs les plus stratégiques n’auraient pas été menacés et la Russie pas clairement impliquée. Un point de vue qui confirme les analyses de l’expert français Eric Filiol qui reconnaissait, dans une relative indifférence générale, que « ces attaques n’avaient mobilisé que 3 000 ordinateurs dans le monde et que 25% des ordinateurs relais étaient en fait domiciliés aux Etats-Unis ». Ce directeur de recherche à l’ESIEA indiquait également « qu’aucun élément de preuve formelle n’existait prouvant que l’Etat russe était à l’origine des cyberattaques. L’un des objectifs des autorités estoniennes était de profiter de ces attaques pour faire financer par l’OTAN, la mise en place du Cooperative Cyber Defence Center of Excellence à Tallinn dont le budget était en suspens depuis 2006″.Ceci explique peut-être la « paranoïa » du gouvernement estonien décrite par les experts américains. Dans le domaine de la cybersécurité, le déficit d’expertise indépendante et l’opacité des analyses semblent dominer ce qui laisse la porte ouverte à toutes sortes d’approximations (du secteur privé ou du secteur institutionnel). A noter que le CERI organise le 21 janvier 2011 une journée conférence sur ce sujet. Peut-être l’occasion de mieux comprendre des débats débarassés de tout « techno-catastrophisme » et sans doute plus banals qu’il n’y paraît.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Commentaires sur le verdict eBay/l’Oréal

Eric Przyswa — Mon, 13 Dec 2010 11:03:36 +0000

Contrefaçon : La justice européenne ne blanchit pas complètement eBay (cliquez sur le lien pour lire l’article)

- Après quelques annonces spectaculaires, les décisions des juges semblent s’orienter sur des verdicts de plus en plus modérés. Ainsi comme dans le cas du dernier verdict du procès LVMH/ eBay * : les deux parties se déclarent officiellement « satisfaits ».
- Il est difficile de connaître la réalité de l’impact économique pour l’Oréal de ventes de parfums contrefaits par l’intermédiaire d’eBay car il n’existe pas à ma connaissance d’étude indépendante sur le sujet. On peut par ailleurs relever que l’Oréal et eBay communiquent très prudemment en externe sur l’impact réel et validé d’un éventuel préjudice subit ou causé.
- Les actions se sont essentiellement orientées sur des procédures juridiques longues et coûteuses et on peut se demander si l’esprit de modération prôné à juste titre par les juges aujourd’hui n’aurait pas pu se mettre en place par les différents acteurs dès le début sans cette juridiciation… Mais les industriels ont souvent tardé à s’adapter aux défis d’internet et les entreprises de la nouvelle économie ont dans de nombreux cas méprisé l’impact de leur stratégie sur des entreprises de l’économie « traditionnelle ».
- Enfin on peut aussi supposer que les procès autour de l’enjeu de la contrefaçon sur internet sont aussi une manière pour certains industriels de vouloir contrôler leur réseau de distribution et les modes de consommation qui se trouvent perturbés par les nouveaux acteurs du net plutôt qu’une lutte véritable contre « des faux produits vendus sur le web ».

Eric Przyswa, risk05

* La condamnation d’eBay au bénéfice de LVMH a été ramenée de 38 millions d’euros en juin 2008 à 5,7 millions d’euros par la Cour d’appel de Paris le 3 septembre 2010.

Etude de Transparency International

Eric Przyswa — Sat, 11 Dec 2010 23:46:13 +0000

L’ONG Transparency International basée en Allemagne a communiqué les résultats de son dernier baromètre réalisé entre le 1er juin 2010 et le 30 septembre 2010 auprès de 91.000 personnes dans 86 pays et territoires. Parmis les résultats les plus significatifs on peut noter une hausse globale de la corruption depuis 2006 pour 60% des sondés et le fait que la police est l’institution la plus souvent citée en termes de corruption. Près d’un tiers des personnes ayant eu contact avec la police dans le monde déclare avoir payé un pot-de-vin et au sein de l’Union Européenne 7% des sondés déclarent avoir corrompu des services douaniers. Mais l’UE serait une zone relativement privilégiée si on en juge par les taux de corruption en Afrique subsaharienne (44%), dans les pays de l’ex-URSS (38%) ou au Moyen-Orient (37%).
Environ la moitié des personnes interrogées mentionne avoir payé un bakchich pour « éviter les problèmes avec les autorités » et considère que les moyens de répression sont mal adaptés. Le secrétaire général d’Interpol Ronald K. Noble considère également qu’il faudrait renforcer le partenariat public/privé pour mieux lutter contre ce phénomène. Interpol a ainsi mis en place une plateforme dédiée pour permettre l’échange d’informations entre les agences qui agissent contre la corruption. L’agence a aussi participé à hauteur de 250 000 dollars à la création de la première « académie internationale contre la corruption » qui a ouvert à Vienne (Autriche) en septembre sur l’initiative des Nations Unies. L’objectif de cette académie est de « trouver des standards et des bonnes pratiques » en matière de justice internationale,d’éducation, de formation.