vendredi 3 octobre 2014

Digital certificates are not rocket science !


We believe digital certificates should be easy to manage and cost effective. What do you think ?


A partner of mine told me a few weeks ago "- Digital certificate are not rocket science". From a technical approach, I fully agree with him. Well... Let's put aside the fact that it may be not that simple to be trusted by all the browsers and reliable enough to run a 24/7 worldwide service... But OK, once in place, this is a pretty simple technology.

In the customer's shoes


What business issue does digital certificates solve? If we are honest, we would be more than happy to keep running our business as usual without worrying with the fact that the server we want to address may not be the real one. Or that this email we've just received may be sent by a different person than what the sender's box is claiming. So far, I’ve never heard of someone saying joyfully "Yes, today I am going to renew my digital certificate before it expires!»

But what if I don’t renew it? - Thinking about it, how many certificates do I have? For which purpose? How much does it cost? - Should I spend some time to find cheaper certificates? - Or what would be my risk if I were to go for self-signed certificates?

All these questions are difficult to answer for any company. Buying certificates is easiest part; Dealing with them (deploying, renewing and revoking) could be very challenging if your company uses both SSL certificates and personal certificates.

What would be your preferred solution?


At UDITIS, we’ve been gathering some insight on this topic from our existing customers. We also performed some external research and our conclusion is :
  1. Security vendors offer Managed PKI solutions, but these are so expensive that small & medium size companies (SME) can usually not afford them. Or respectively do not want to spend money for such an obscure purpose...
  2. Not having a Managed PKI solution prevent the use of personal certificates to sign corporate emails.
  3. SSL certificates are more and more requested in today’s technologies. However system administrators buy them on a standalone basis without considering the impact of their management over the years.
We don't think this should discourage you. Do you believe like us that the use of certificates should be democratized ? If yes, which issue should be addressed first?
Thank you for telling us what you think and sharing your ideas or experience.

jeudi 22 mai 2014

Fuite en avant

Suis-je en train de développer une névrose obsessionnelle  vis-à-vis de l'information? Aujourd'hui, il me semble que tout est lié à ce terme : Nous vivons dans la société de l'information, nous utilisons les technologies de l'information, parfois même nous empruntons les autoroutes de l'information.  On confond  "information" et "informatique" puisque tout ou presque se digitalise et se numérise... Le besoin de protéger l'information,  que celle-ci soit liée à notre sphère privée ou de nature sensible pour notre entreprise, se ressent toujours plus.  Arrive alors la question de "Comment la protéger ?" - Rapidement remplacée par la question de "Qui devrait le faire ?" En effet, au vu de la complexité du sujet, est-ce bien de ma responsabilité ou devrais-je laisser ce privilège à d'autres ?

Agaçant, embêtant ou réellement problématique

Pendant que l'on se questionne, l'information, elle, fuit. Gentiment mais inexorablement, par simple mégarde ou par pure malveillance. Peu importe,  le résultat est le même: On ne sait pas ce que l'on a laissé partir ni ce qui a été pris. C'est pour le moins agaçant, parfois embêtant et, un jour peut-être, extrêmement problématique. (Important ces trois degrés, à garder en tête...on en aura besoin plus tard).  Est-ce une fatalité ?

J'ai envie de répondre par l'affirmative. A tout le moins tant et aussi longtemps que nous appliquerons les méthodes de protection issues du monde physique à celui du virtuel.  Prenons un exemple:

  • Jusqu'à ce jour, quelle a été la principale  réponse des entreprises face à la menace de perte d'information ?
         - Renforcer la sécurité des infrastructures qui les hébergent.
Certes, les attaques externes requièrent la meilleure des parades. Mais, lorsqu'on y réfléchit, comment les données quittent-elles vraiment l'entreprise ? Sommes-nous véritablement la cible quotidienne de hackers surentraînés et fermement décidés à nous dérober nos données ? - Force est de reconnaître que la majeure partie des fuites proviennent de l'interne. Je me souviens d'une étude d'un grand cabinet d'audit qui mettait en évidence que plus de 75% des employés admettaient avoir déjà quitté un emploi en prenant des données de leur ex-employeur et qu'au moins 50% d'entre eux avouaient les avoir utilisées dans leur nouveau job !  Ce qui revient à dire que les entreprises dépensent des fortunes pour la sécurité de leurs infrastructures mais s'en remettent à l'espérance et à la foi vis-à-vis du comportement de leurs employés.

Tous fraudeurs ?

Et justement, qu'est-ce qui fait la différence entre le vol d'un bien physique et celui plus virtuel comme le vol de données ? La thèse criminologique dite du passage à l'acte nous aide à y répondre. Celle-ci prétend que nous sommes tous des délinquants potentiels pour autant que l'on réunisse trois conditions: une opportunité, une motivation et une justification. (Relis cette dernière phrase et prends deux minutes pour essayer de l'appliquer à un exemple concret. Ca fonctionne ?)

L'antithèse de la dissuasion nous dira quand à elle que nous ne passerons pas à l'acte du moment que l'on risque d'encourir une peine, que celle-ci soit sévère et prononcée rapidement. Je prétends que ces deux thèses se vérifient plutôt bien dans le monde physique mais en aucun cas dans le monde virtuel. En effet, pour dérober un bien physique, je vais devoir prendre certains risques, m'exposer personnellement et, si je suis découvert, devrai rapidement en subir les conséquences.
Par contre, les multiples identités que je peux emprunter dans le monde virtuel constituent un facteur d'anonymisation désinhibant vis-à-vis de l'acte et de surcroît très complexifiant pour une éventuelle autorité de poursuite. A cela s'ajoute que l'immatérialité du bien peut inciter à se l'approprier: "Tout compte fait, ce n'est qu'une copie" ou "Tout le monde le fait" dans le cas du téléchargement illégal par exemple. Du côté du lésé, il ne s'en apercevra bien souvent pas ou alors que bien plus tard. Si d'aventure, il devait me poursuivre, les conséquences ne seraient probablement que lointaines, les circonstances difficiles à prouver et la peine éventuelle peu sévère.

Renseigner pour protéger

On le voit, la thèse de la dissuasion fonctionne mal pour protéger l'information. Alors que faire ? Premier constat, il est illusoire de vouloir tout sécuriser. Ceux qui pensent avoir résolu le problème en chiffrant toutes leurs données n'ont en fait qu'appliqué une sécurité "physique' qui au mieux paralysera leur opérationnel quotidien et, au pire, leur fera perdre des données si les clés de chiffrement/déchiffrement devaient être mal gérées; Ce qui, dit en passant, n'est pas une sinécure dans une organisation de grande taille.
Il faut donc raréfier l'information à protéger. Savoir ce que l'on a, pourquoi on l'a, où cela doit se trouver, qui peut l'utiliser et comment. Parallèlement, une analyse des risques business doit permettre de définir ce qui est réellement vital à la mission de l'entreprise, embêtant si on devait ne plus l'avoir ou simplement irritant de ne pas pouvoir le retrouver ou reconstituer facilement. (Là.., tu te souviens les trois degrés du début ?). Cela doit permettre la mise en place d'un schéma de classification à trois niveaux, extrêmement simple à appréhender par chacun des acteurs de l'entreprise. Sur ces bases, il devient plus facile d'apporter le niveau de protection adéquat à chaque criticité d'information.

"Oui mais on a déjà essayé et ça n'a pas marché" est la remarque usuelle à ce stade. La différence est qu'aujourd'hui, les technologies de sécurité orientées contenu (e-discovery, DLP, classification, DRM, etc..) ne sont plus des outils exclusivement réservés à l'IT mais viennent aider les utilisateurs et propriétaires de données à gérer efficacement leur information. Par conséquent, d'un point de vue du plan de sécurité global, cela contribue à changer des paradigmes aussi importants que:

  • augmenter les risques perçus et les efforts requis pour subtiliser des données, 
  • réduire les bénéfices attendus 
  • supprimer les justifications 
Certes, cela ne se fait pas en deux semaines ni sur l'initiative d'une seule personne. Mais le chemin existe. L'obstacle le plus important consiste en fait à renoncer à la fatalité et accepter ce changement de mentalité nécessaire à la protection de l'information d'aujourd'hui et de demain.  

 

samedi 19 avril 2014

Le BigMac de l'information



Ce n’est qu’en mordant pleinement dans un burger que l’on apprécie (ou pas..) son goût; Même un enfant ne le mangerait pas couche par couche!
Il devrait en être de même pour tout système d'information: la cohérence des différentes strates ne s'obtient que grâce à l'équilibre des technologies qui le compose et de processus qui le gouverne. De nos jours, il ne suffit plus d'empiler de l'infrastructure technique ni de préparer d'insipides charges informatiques ou autres fades règlements.  La bonne gestion de l’information s’obtient par un dosage subtil de son renseignement; Tout comme le bon assaisonnement d'un plat en détermine sa saveur...

Renseigner pour mieux protéger


Au vu de l'explosion du volume des données à gérer ainsi que des exigences de mobilité toujours plus élevées des utilisateurs, il est illusoire pour les entreprises de vouloir protéger l'ensemble des informations. Il est par contre nécessaire d'utiliser les technologies mentionnées dans l'infographie ci-dessus pour restreindre le volume à protéger et automatiser les contrôles de sécurité.

Cela présuppose toutefois un changement de paradigme important: accepter l'idée d'une protection orientée sur le contenu et non plus seulement liée à l'infrastructure. Autrement dit, en matière d'information, savoir ce que l'on a, pourquoi on l'a, où et qui peut l'utiliser. 

Des questions basiques mais auxquelles seule une bonne collaboration entre le business et l'IT est susceptible d'apporter des réponses utiles à la bonne gouvernance du système d'information.

NB: participez au sondage en répondant à la question liée à cet article (à droite de l'écran, dans le menu déroulant).

mardi 1 avril 2014

1st benchmark protection CID is out !

UDITIS a réalisé un canevas d'auto-évaluation permettant aux Chief Information Officer et Chief Risk Officer des banques suisses d'évaluer le degré de maturité actuel + souhaité de leur établissement vis-à-vis des exigences de la FINMA relatives à la protection des données clients (CID).


Une dizaine de banques ont fourni la synthèse de leurs scores actuels et souhaités à moyen terme permettant de réaliser la comparaison ci-dessous


Simple, rapide et accessible, le canevas d'évaluation vous permet d'établir un tableau de bord pertinent afin de fixer vos objectifs et orienter vos actions de compliance. La comparaison avec les autres établissements valide la pertinence de vos choix.

Confidentialité et sécurité des échanges garantis. Pour plus d'informations +41 32 557 55 01 ou stephane.droxler(at)uditis.ch


Articles liés:


mercredi 15 janvier 2014

Intéressante infographie sur les brèches de sécurité 2013

Bon... vous me direz qu'à ce niveau là, ce n'est plus de la "brèche" de sécurité mais plutôt du gouffre, voire de l'abîme ! Il n'empêche que cette manière de présenter le sujet démontre que les attaques ciblées touchent tous les secteurs de l'économie: les réseaux sociaux évidemment, mais aussi le secteur public, les banques, les entreprises de placement de personnel, de location de limousines (!) et même l'épicerie en ligne !

Intéressant également de noter que l'obligation - en vigueur dans certains pays anglo-saxons - d'annoncer les cas de fuites d'information permet un niveau de transparence inconnu pour les consommateurs suisses.

Source: Marble Security

Biggest Security Breaches of 2013

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?