Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Oracle Security Day : prévention, détection et application de bonnes règles de sécurité

janvier 2015 par Marc Jacob

Pour sa première édition des Oracle Secuity Day, cet événement a regroupé plus d’une centaine de clients ; Au menu, un panorama des menaces, un point sur la législation, les réponses d’Oracle et des témoignages de clients. Selon les données d’Oracle en matière de cybercriminalité, le nombre de victimes dépasserait la population de l’Europe soit 556 millions, ce qui fait 18 victimes par seconde dans le monde. 40% d’entre elle travaillerait sur des plateformes collaboratives ! Face à ce tableau noir les réponses techniques, organisationnelles et juridiques existent comme l’ont expliqué les intervenants de cette journée. Il ressort de cette journée que les entreprises doivent faire de la prévention, de la détection et appliquer de bonnes règles de sécurité.

Dominique Perrin, directrice solution de sécurité en France d’Oracle

Dominique Perrin, directrice solution de sécurité en France d’Oracle a introduit cette journée en insistant sur la complexité de l’IT. Elle a rappelé que la sécurité est une longue histoire pour Oracle car ces deux premiers clients étaient la NSA et la Défense américaine.... Selon Larry Ellison la sécurité est clé pour Oracle ainsi 1500 personnes travaillent dans ce domaine dans le monde. Elle a conclu son intervention par : « la sécurité est notre ADN et aujourd’hui c’est une obligation ! ». Puis elle a cédé la parole à Naresh Persaud, senior Director Security d’Oracle.

Naresh Persaud, senior Director Security d’Oracle

Naresh Persaud a évoqué en préambule les dernières cyberattaques et les pertes financières qu’elles ont entrainées. Aujourd’hui selon lui 70% des ressources sont consacrées à la sécurité périmétrique alors qu’il y a une augmentation des risques sur les outils de mobilité, le Cloud…. Par contre, le chiffrement commence à se démocratiser, ainsi, cette année il a eu plus de 200.000 installations de solutions de chiffrement. Même les pirates informatique en utilisent par exemple avec Crypto Locker qui chiffrait les données et demandait une rançon. Puis, il a rappelé que le marché du piratage a rapporté 288 milliards de dollars en 2014 dont 114 milliards en provenance du vol de numéros de cartes de crédit. Il a rappelé qu’entre 2007 et 2013 le cyber crime a eu une croissance de 1600%. Dans ce tableau, l’injection SQL (13%) et le vol de credential (50%) remportent la palme avec 63% des attaques recensées. En 2013, le Top des actions concernait, le vol de credential, le phishing, l’injection SQL, l’envoi de malware... Dans le même temps, le périmètre de la sécurité à évoluer en allant de plus en plus vers les personnes, les données et les devices. Dans ce cadre Oracle a une approche par niveau qui vont des applications au stockage en passant par la sécurité des bases de données, de la mobilité, des OS, des serveurs... et bien sûr via la gestion des identités.

Maître Marcel Moritz avocat chez LLC Associés Avocats

Puis Maître Marcel Moritz, avocat chez LLC Associés Avocats, a rappelé qu’il existe en droit différents types de données utilisées par les entreprises : les données personnelles (nom, prénom, etc.), les données personnelles sensibles (religion, fichier de santé…) et les données non personnelles (une documentation technique par exemple). Pour ces dernières il n’y a pas d’obligation spécifique de protection, à l’exception par exemple des règles applicables aux OIV. Cependant, leur protection est naturellement essentielle, notamment d’un point de vue économique.

Pour les données à caractère personnel, elles sont protégées par la loi de 1978 modifiée et leur protection échoit au responsable du traitement. Ce dernier est soumis à certaines obligations : effectuer les déclarations ou demander les autorisations préalables, prendre toute les précautions utiles pour protéger les données, etc. En cas de non respect de ces exigences, des sanctions administratives et pénales sont prévues, même si elles sont relativement rarement appliquées. Par contre, l’enjeu lié à l’e-réputation est pris au sérieux par les entreprises. Par ailleurs, un nouvel élément a changé la donne : un arrêt de 2013 qui a posé le principe de l’incessibilité des données non déclarées. En effet, la Cour de Cassation a affirmé pour la première fois qu’un fichier non déclaré à la CNIL - alors qu’il aurait dû l’être - ne peut faire objet d’une cession. Cela implique qu’en l’absence de déclaration auprès de la CNIL, un tel fichier ne peut être cédé car il n’est pas sensé exister donc il ne peut pas faire l’objet d’une transaction commerciale. De plus,depuis un second arrêt plus récent, un traitement non déclaré alors qu’il aurait dû l’être ne constitue plus une preuve recevable. Puis il a mentionné rapidement les obligations spécifiques sectorielles comme dans le domaine des télécommunications, du médical, des OIV. Aujourd’hui pour ces derniers on attend les décrets d’application. D’ores et déjà, il faut noter que dans le cas des OIV, la simple négligence sera sanctionnée. D’un point de vue technique, il a rappelé la nécessité de chiffrer les données, de gérer correctement les accès, etc. D’un point de vue juridique, il a rappelé la nécessité de mener des audits juridiques, de mettre en place des chartes de sécurité.... En conclusion il a souligné qu’en ce qui concerne le patrimoine informationnel, la sécurité technique et juridique est un enjeu de responsabilité mais aussi de valorisation économique.

Yves Toubhans, Technical Consultant d’Oracle

Yves Toubhans, Technical Consultant d’Oracle a débuté son intervention en citant les données de l’institut Riskbased Security. Cet institut a publié un rapport dans lequel il a recensé en 2014 sur les 6 premiers mois 1331 incidents de sécurité qui exportent 502 millions d’enregistrements. Dans ce document, la fraude interne concerne 20% des données volées. Ces incidents ont dans 34% des cas se sont passé dans le secteur publics et 66% dans le secteur privé. Puis il a proposé quelques pistes pour limiter les problèmes. Par exemple pour les bases de données il a préconisé d’améliorer les audits et surtout leurs analyses. Il a recommandé de vérifier les paramètres des bases de données, de mieux contrôler les administrateurs. Il est aussi nécessaire d’éliminer les comptes fantômes, les privilèges excessifs... Mais aussi d’éviter les affichages de données sensibles, de centraliser les comptes et les privilèges associés, de chiffrer les données sensibles et bien sûr de sécuriser les clés, de renforcer les accès.... Il faut donc faire de la prévention, de la détection et appliquer de bonnes règles de sécurité. Il a terminé son intervention par une citation de Lao Tsu : « Trop loin à l’Est c’est l’Ouest », il donc faut se fixer des objectifs réalisables.

Alain Robic, associé Cyber sécurité de Deloitte

Sécurité ou en est-on ?

L’intervention d’Alain Robic, associé Cyber sécurité de Deloitte avait pour titre « Sécurité ou en est-on ? » Ainsi, il a décrit les changements de l’IT avec la mobilité, le Cloud… qui favorisent les SI aux risques des cyber-attaques. En termes de cyber attaques les motivations sont de trois types le cyber crime, l’hacktivisme et l’espionnage. Par contre, dans l’ensemble elles sont très simples à réaliser au niveau technique et pourtant elles aboutissent généralement. La majorité des attaques cible le secteur public et privé. Pour lui, le bon niveau de sécurité est celui qui correspond aux enjeux de l’entreprise. Il recense cinq niveau de maturité qui va de la protection périmétrique au quasi renseignement de type militaire avec au milieu la sensibilisation. Dans ce panorama les mieux lotis sont les grandes entreprises du secteur bancaire et les administrations, les moins bien, comme on pouvait si attendre, sont les PME.

Au niveau des budgets de la sécurité, il note en 2014 une légère augmentation par rapport à 2013. Il a évoqué un accroissement de l’infogérance, par contre il y a peu d’audit des infogérants. Il déplore qu’il y ait peu d’analyse de risque, de patch management et de sensibilisation. Par contre, il a rappelé une progression de la mobilité, du Cloud. Il voit aussi un accroissement des normes. En parallèles, il remarque un usage plus important des tableaux de bord de la sécurité ; Selon lui, l’interdiction du BYOD se généraliserait. Enfin. Il a de plus en plus de RSSI qui souvent viennent de la technique. En France, il y a peu de protection contre les fuites de données, peu de sécurité applicatives avec peu d’audit de codes et comportementale. De même. Les projets d’IAM sont en panne. Par contre, le Pen test est en forte progression, comme la surveillance des systèmes et des réponses aux incidents.

En conclusion il estime qu’il est donc nécessaire de renforcer la protection des Assets, impliquer toutes les parties de l’entreprises comité de direction métiers, RH... Et Pour lui, il faut anticiper, anticiper et anticiper !

La journée c’est terminée par des témoignages clients : Electrabel du Groupe GRDF et d’Arismore sur la gestion des identités, et de la société Eric Salmon & Partner sur la sécurisation de la mobilité.


Voir les articles précédents

    

Voir les articles suivants