Sécurité informatique, le réveil des consciences

|
Twitter Facebook Linkedin Google + Email Imprimer

La multiplication des cyberattaques pousse les entreprises à investir dans des systèmes de sécurité plus ambitieux, dans un environnement économique où la dématérialisation des données et des paiements entraîne aussi leur fragilisation.

La multiplication
des cyberattaques
pousse
les entreprises
à investir dans
des systèmes
de sécurité plus
ambitieux, dans
un environnement
économique où la
dématérialisation
des données
et des paiements
entraîne aussi
leur fragilisation.
La multiplication des cyberattaques pousse les entreprises à investir dans des systèmes de sécurité plus ambitieux, dans un environnement économique où la dématérialisation des données et des paiements entraîne aussi leur fragilisation.

Carrefour l’a échappé belle. Selon un porte-parole du groupe : le chiffre avancé par la justice américaine de 2 millions de numéros de cartes de paiements stockés dans les serveurs du distributeur depuis 2007, dérobés par des pirates informatiques russes et ukrainiens pour être revendus sur le marché noir, serait tout simplement faux. « Aucun préjudice n’a pu être constaté pour les clients et le groupe. Ce chiffre n’est absolument pas avéré », précise Carrefour, qui a néanmoins pris « des mesures de sécurisation supplémentaires ». Celles-ci ne devraient pas être vaines en 2015, tant l’année 2014 aura été particulièrement violente en matière de piratage informatique. Quelque 40 millions de numéros de cartes bancaires ponctionnés au distributeur américain Target, 56 millions chez Home Depot, 3 millions pour Michaels Stores, 280 000 encore chez Sally Beauty… La France n’étant pas en reste avec un coût de cyberattaques qui aurait progressé de 20,5% en un an, selon l’étude 2014 du Ponemon Institute pour HP, sur le coût du cybercrime.

Face à ce chaos, quels pourraient être les moyens de limiter le champ d’action de ces pirates et, surtout, comment se protéger de la manière la plus efficace possible contre ces attaques dues principalement à l’augmentation constante de la dématérialisation des données et des paiements par les entreprises ?

Le « spear fishing » est le plus courant

Pour Christophe Cothenet, regional account manager pour Trend Micro France, société spécialisée dans la création de logiciels de sécurité destinés à la protection de contenus internet, et qui équipe notamment les serveurs et logiciels de l’enseigne Babou : « Les cyber-délinquants se sont professionnalisés. Ils se sont adaptés aux systèmes de défense traditionnels basés sur le principe de fichiers de signatures. Par ailleurs, des kits d’attaque ciblés sont en vente sur internet, ce qui explique ce phénomène d’augmentation rapide. Une des formes les plus répandues reste le “spear fishing”. » Il suffit d’envoyer un e-mail avec un lien “corrompu” pour que l’utilisateur se voie infecté. Un cybercriminel peut alors prendre la main sur les serveurs de l’entreprise ainsi que ceux de ses clients et/ou fournisseurs. Un boulevard d’informations clients s’ouvre ainsi aux cybercriminels. La contre-attaque la plus efficace : l’investissement dans une équipe dédiée à la question sécuritaire proposant des outils de gestion de gouvernance, du risque et de la conformité (GRC), des solutions de gestion des événements et des informations de sécurité (SIEM), ou encore un système de prévention d’intrusions (IPS)... pour un ennemi que l’on peut cibler. En France, les cyberattaques causées par des virus, vers, chevaux de Troie ou logiciels malveillants représentent plus de 45% des coûts de la cybercriminalité.

Le partage d’expériences comme défense

De fait, ces multiples attaques poussent les dirigeants d’entreprise à réagir. Depuis l’été 2012, Carrefour, Darty ou Casino partagent leurs expériences via le Cesin (Club des experts de la sécurité de l’informatique et du numérique). Et les responsables de la sécurité des systèmes d’information (RSSI) n’ont jamais été aussi présents dans les projets de sécurisation, comme le constate Édouard de Rémur, cofondateur et directeur grands comptes d’Oodrive, spécialiste des solutions professionnelles de sauvegarde et partage de fichiers en ligne, qui opère pour E. Leclerc, Auchan, Monoprix, Super U... « Les RSSI interviennent de plus en plus tôt dans les projets alors qu’on les retrouvait, auparavant, plutôt en aval, pour l’étape de la validation. Les entreprises qui se présentent chez Oodrive cherchent autant la sécurisation de leurs fichiers que leur externalisation. Elles veulent des solutions de partages de fichiers dans le cloud, en sas et très sécurisées, ne souhaitant plus passer par leurs propres plates-formes pour le data sharing. Des solutions depuis longtemps utilisées par les banques, comme les boîtiers HSM nécessitant cinq “porteurs de secrets” présents dans une même pièce, sont également adoptées, depuis deux ans, par la distribution. » Pour l’expert d’Oodrive, plus encore que le hacking, les révélations d’Edward Snowden, relatives aux programmes de surveillance orchestrés par la NSA, auraient grandement participé à une volonté plus marquée des entreprises de protéger leurs données. Un excès de paranoïa, par les temps qui courent, ne semble pas superflu... 

Le mot de passe est roi

Principales solutions de confiance numérique utilisées en 2014 par les organisations interrogées, en % sur un échantillon de 125 décideurs

 

 

Contre les cyberattaques, 85% des décideurs interrogés ont investi dans des solutions d’authentification par mot de passe.

la contrainte des lois

Cinq principaux déclencheurs d’un projet de sécurisation des échanges dématérialisés et transactions numériques, en France, en 2014. Plusieurs réponses de 125 décideurs

 

Les réglementations et les lois sont la première raison qui pousseles entreprises à adopter un projet de sécurisation de leurs données.

 

 

Source : Markess, étude « Solutions de confiance pour sécuriser les échanges dématérialisés et les transactions numériques » sur 125 décideurs d’entreprises privées et d’administrations, fin 2014

  • + 20,5% Le coût des cyberattaques en France en 2014

Source : Ponemon Institute/HP

  • 85% des décideurs estiment (très) fort le besoin de sécuriserles échanges dématérialiséset les transactions numériques

Source : étude Markess

  • 72% des sites web comportent des vulnérabilités 1 internaute sur 5 a été victime de vol d’infos perso

Source : HTTPCS

Deux façons de lutter contre les cyberattaques

Babou se met à jour

Quand David Legeay intègre Babou en 2009 comme le DSI du groupe aux 93 magasins, il est surpris de découvrir qu’il s’agit d’une création de poste. « Les inventaires étaient faits sur carnets. » L’informatisation, pour localiser la démarque inconnue, a amélioré la gestion des stocks. « Dès 2011, j’ai mis en place un data center. En janvier 2013, nous avons réalisé notre premier inventaire informatisé grâce auquel nous avons installé, en février 2014, une carte de fidélité, puis un CRM. Le Big Data est en cours. » Désormaisi « à jour », Babou se focalise sur la sécurité avec l’appui de Trend Micro France.

 

Nature & Découvertes externalise

Jusqu’en 2012, le groupe s’appuyait surtout sur des applications développées et hébergées en interne. Avec l’arrivée de Josselin Ollier au poste de DSI, est venue la volonté de migrer toutes les applications métiers dans un cloud privé, mis en place par Hardis Groupe. L’externalisation a permis à Nature & Découvertes une baisse de 25% de ses coûts d’exploitation d’infrastructure informatique tout en améliorant la qualité de services, mais surtout la sécurité car les applications sont hébergées dans des bâtiments dédiés.

 

Réagir

Pseudo obligatoire

Email obligatoire

Email incorrect

Commentaire obligatoire

Captcha obligatoire

1 commentaire

jljab

30/03/2015 21h15 - jljab

si on pouvait éviter: - les fautes de frappe dans le texte: "2?millions" - de ne pas expliquer de quoi on parle ou ce dont il s'agit: "Des solutions depuis longtemps utilisées par les banques, comme les boîtiers HSM nécessitant cinq “porteurs de secrets” présents dans une même pièce, sont également adoptées, depuis deux ans, par la distribution. » " l'article n'en serait que plus compréhensible. Et si on pouvait aussi éviter de reprendre les fautes de français des citations: "Les réglementations et les lois sont la première raison qui pousseles entreprises à adopter un projet de sécurisation de leurs données."... Lire "Les réglementations et les lois sont les premières raisons qui poussent les entreprises à adopter un projet de sécurisation de leurs données.' rendrait l'article plus crédible. Cordialement.

Répondre au commentaire | Signaler un abus

Email obligatoire

Email incorrect

Toutes les actus de la consommation et de la distribution

je m’inscris à la newsletter

Article extrait
du magazine N° 2360

Couverture magasine

Tous les jeudis, l'information de référence de la grande consommation Contactez la rédaction Abonnez-vous

Les cookies assurent le bon fonctionnnement de nos sites et services. En utilisant ces derniers, vous acceptez l’utilisation des cookies.

OK

En savoir plus
media
Suivre LSA Suivre LSA sur facebook Suivre LSA sur Linked In Suivre LSA sur twitter RSS LSA