lundi 5 octobre 2015

Attaques cybercriminelles : ça n’arrive pas qu’aux autres ! Retour sur deux exemples de failles de sécurité dans l’actualité récente




Préoccupations majeures des Dirigeants la sécurité et la confidentialité des données dans le Cloud ont été les sujets de plusieurs manifestations la semaine passée.

Ainsi, IDC organisait une tableronde sur le sujet : « Sécurité, une raison suffisante pour ne pas investir dans le Cloud... ou bien, au contraire, un motif d’adoption ? » mardi dernier, alors que les Assisesde la Sécurité et des Systèmes d’Information fêtaient leurs 15 ans du 30 septembre au 3 octobre à Monaco. Enfin, le Club Cloud DSI organisé à l’initiative d’Aspaway s’est réuni mardi 29 octobre pour débattre à propos de la sécurité dans le Cloud ; ce sont plus d’une vingtaine de DSI qui ont partagé leurs expériences et confronté leurs points de vues.

En attendant le compte-rendu de la soirée et la synthèse des débats (disponible prochainement sur le site du Club Cloud), je vous propose de découvrir une petite animation présentée mardi soir qui revient sur le cas Ashley Madison : cet été, des pirates informatiques ont pénétré les systèmes d’information d’Avid Life Media, entreprise canadienne propriétaire du site « Ashley Madison ». Les pirates réclamaient la fermeture du service sous peine de rendre publiques les données confidentielles concernant les utilisateurs. Quelles-ont été les conséquences pour l’entreprise ? Pour les utilisateurs du service ?


Le cas Ashley Madison

Un mois après avoir pénétré le SI d’ALM, les pirates mettent leurs menaces à exécution : ce qui constituait une faille de sécurité tourne au scandale médiatique de l’été. En effet, « Ashley Madison » est le leader américain des rencontres… extraconjugales.

Ce sont plus de 32 millions de membres qui ont vu leur identité révélée et leurs données personnelles accessibles. 

Les pirates ont tout d’abord posté plusieurs fichiers représentant un total de 9,7 Go de données, sur des sites de téléchargement. Nom, prénom, email, adresse, téléphone, … mais aussi numéros de cartes de crédit ou encore préférences sexuelles… l’affaire a vite pris de l’ampleur une fois les données relayées sur les réseaux sociaux et dans la presse.

Quelles-en sont les conséquences ?

Au-delà de l’image ternie de l’entreprise qui garantissait soit disant un service 100% sécurisé à ses abonnés, les utilisateurs dont la vie privée a été étalée se sont retournées contre Avid Life Media. Au total, les plaignants réclament 509 millions d’euros de dédommagement

Parmi les emails publiés, 15 000 adresses appartenant à des membres du Gouvernement (.gov) ou de l’armée (.mil)… mais également 1200 adresses en .sa pour Arabie Saoudite, où l’adultère est passible de peine de mort. 

L’analyse des données publiée à notamment révélé qu’Avid Life Media conservait une partie des données concernant des profils fermés… alors même que ces utilisateurs avait souscrit à une option payante censée effacer toute trace de leur passage sur ce site. 

Avid life Media a promis une récompense de 500 000 $CAD soit 325 000 € à quiconque permettra d’identifier les hackers.

Ce groupe, à priori extérieur à l’entreprise a déclaré s’être attaqué au service pour une question morale. Interrogés sur d’éventuelles nouvelles attaques, ils ont répondu qu’ils ne se limiteraient pas aux sites de rencontre mais cibleraient à l’avenir « toute société qui fait des centaines de millions de profits sur la douleur des autres, les secrets et les mensonges ». Et concernant le cas « Ashley Madison », les pirates ont affirmé détenir 10 fois plus de données, parmi lesquelles des dizaines de milliers de photos collectées dans les profils (1/3 à caractère pornographique) et des échanges emails d’employés ainsi que des documents du réseau interne.


Polémique sur les voitures connectées après le piratage d’une Jeep Cherokee

2ème cas dans l’actualité récente, le piratage à distance, d’une Jeep Cherokee cet été. Une vidéo montre comment 2 chercheurs américains ont réussi à prendre le contrôle du véhicule.



Avec cette démonstration, ils souhaitent mettre l’accent sur les risques créés par la multiplication des outils informatiques connectés à Internet dans les voitures. Dans ce cas précis, Charlie Miller et Chris Valasek se sont appuyés sur le système Uconnect, « un ordinateur connecté à Internet présent dans des centaines de voitures Fiat Chrysler et camionnettes, qui contrôle la navigation et les outils multimédias du véhicule, permet de téléphoner et offre même un hot spot Wi-Fi ».

Ils ont exploité une faille permettant d’entrer dans ce système, à condition de connaître l’adresse IP de la voiture et de passer par le réseau d’un opérateur mobile spécifique. Une fois dans Uconnect, les deux chercheurs ont trouvé le moyen d’accéder à d’autres systèmes informatiques du véhicule et de s’attaquer ensuite à ses mécanismes physiques comme les freins ou le moteur.

Sur l’autoroute puis sur un parking, ils parviennent par exemple à allumer la radio, à monter le volume au maximum et à faire marcher les essuie-glaces sous les yeux du conducteur impuissant. Bien plus grave : ils réussissent à couper le moteur, laissant le chauffeur incapable de redémarrer le véhicule.

Lors d’une seconde démonstration sur un parking, ils parviennent à couper les freins de la Jeep, ce qui envoie la voiture dans un petit fossé. Dans certaines conditions, les deux chercheurs sont même capables de prendre la main sur le volant.

Suite à la diffusion de cette vidéo,  1.4 millions de véhicules ont été rappelés en usine.Enfin, selon Gartner, environ 150 millions de voitures connectées seront en circulation dans le monde en 2020.



Ce film était le point de départ d’une réflexion sur la sécurité des données que nous mettons dans le Cloud volontairement ou non, puisque nos données personnelles transitent également via les objets auxquels nous sommes connectés. Potentiellement, tout objet relié à internet est vulnérable d’où l’importance de développer une politique de sécurité au niveau de l’entreprise, politique qui sera testée régulièrement et renforcée par des scénarios tests permettant d’anticiper et d’être plus efficaces lors de la gestion de crise.



Vous êtes DSI et les sujets liés à la Sécurité, la protection et la confidentialité des données vous intéressent ? Retrouvez la liste des prochains diners organisés par le Club Cloud DSI et inscrivez-vous sur noslistes d’attente, ou contactez directement un de nos conseillers via notre formulaire de contact.


Virginie Kiener
@vkiener

mardi 15 septembre 2015

DSI, concentrez-vous sur l'innovation en confiant l'hébergement de vos applications à un infogéreur cloud


Avant le prochain dîner du Club Cloud DSI (29 septembre), je vous (re)-propose d'écouter 
5 DSI, CTO et éditeurs qui sont intervenus sur les plateaux de #SaaSDiscute.
  • Alexandre Noto de l'éditeur Intuition Software
  • Pierre Fauquenot, dirigeant d'Infortive et DSI de transition, par exemple chez Korian
  • David Ohayon, Chief Digital Officer de John Paul et ancien CTO de Weekendesk
  • François Depoortere, DSI, ou plutôt "Directeur de l'Efficience" chez IRCEM
  • Philippe Boulanger, CTO de Neopost
Ils partagent leur expérience de la tranformation des rôles et responsabilités de chacun en écho aux changements de la chaîne de valeur de l'informatique et de ses usages.
Ils conseillent tous de confier la responsabilité des infrastructures informatiques à des hébergeurs et des infogéreurs Cloud spécialisés.

Retrouvez également dans ces videos les points de vue et les précisions de: 
  • Patrice Lagorsse, co-fondateur et directeur commercial d'Aspaway
  • Frédéric Bascuñana, Dirigeant de Webcastory, animateur de #SaaSDiscute
  • Loic Simon, évangéliste Cloud & #SocialSelling, co-animateur #SaaSDiscute
1. L'Informatique à deux Vitesses !

L'informatique dans les entreprises est désormais clairement à deux vitesses, mais "au sens noble" comme le dit François Depoortere.

En effet, d'un côté il faut gérer le quotidien du business, il faut que "ça tourne".
Et si ça ne tourne pas, inutile d'espérer que la Direction "signera" pour des projets innovants!
D'un autre côté, on veut créer de la valeur au travers de l'IT, qui devient de plus en plus le support de l'innovation.

Ainsi que l'exprime Philippe Boulanger, ça pousse les entreprises à acquérir des Startups innovantes ou, tout du moins, à rechercher l'innovation à l'extérieur de l'entreprise.

Que ce soient ces Startups innovantes, ou ces DSI / CTO qui veulent que "ça tourne" pour se concentrer sur les clients internes et externes et sur la production de valeur, tous sous-traitent désormais les couches basses d'infrastructures (serveurs, réseaux...) à des prestataires spécialisés comme Aspaway.  

2. Sous-traiter pour gérer la Complexité !


Le SaaS et le Cloud ont la vertu d'aider les DSI à standardiser.
Mais le cloud, c'est aussi plein de métiers différents, qui requièrent plein de compétences spécifiques.

Or, face à la complexité grandissante des architectures et des infrastructures IT, les entreprises n'ont pas les moyens d'avoir des spécialistes dans tous les domaines et, comme le dit Pierre Fauquenot, de "garder un bon niveau d'entraînement pour courir le 100m en moins de 10s".

Les éditeurs et les DSI doivent arrêter de se préoccuper des questions techniques, des architectures, des infrastructures...
L'important, c'est que les logiciels fonctionnent, qu'ils soient sauvegardés, restaurés en cas de problème et que la permanence du service soit assurée.
Et ça, c'est un véritable métier, de plus en plus sophistiqué, qu'il faut confier à un spécialiste industriel de la chose.
    3. A chacun son Métier !

    Après Pierre Fauquenot, c'est Alexandre Noto qui exprime l'importance de se focaliser sur son coeur de métier, que ce soit au niveau des fonctionnalités d'une solution SaaS ou d'un service BPaaS (comme par exemple la gestion des recrutements) ou pour l'hébergement de son application.

    "Je ne vois pas une solution SaaS qui serait auto-hébergée".
    "Vous ne vous improvisez pas hébergeur"...
    Ces phrases de bon sens expriment l'évidence pour un éditeur SaaS de recourir à un hébergeur professionnel.
    Celui-ci lui fournira les services d'infogérance Cloud nécessaires à la disponibilité, la performance et la sécurité de ses applications.

    Ce même "Infogéreur de Cloud" va d'ailleurs souvent, comme c'est le cas d'Aspaway, s'appuyer lui-même sur les services d'un "industriel" des datacenters et des infrastructures Cloud (IaaS) tels qu'IBM ou SoftLayer. A chacun son métier !
    4. Différenciation & Externalisation

    Pierre Fauquenot le rappelle à nouveau dans cet extrait  :"Editeurs, DSI, ne vous préoccupez pas de la production, c'est complexe... "
    Et surtout, "ce n'est pas votre coeur de métier, ce n'est pas différenciant !"

    Mieux vaut donc l'externaliser et ne pas jouer aux technologues.
    Ca coûtera moins cher et ça répondra beaucoup mieux aux exigences des clients internes et externes (disponibilité, vitesse, fiabilité...)

    Mais bien sûr, et c'est David Ohayon qui l'exprime ici, qui dit externalisation dit capacité du prestataire à rassurer DSI, utilisateurs, clients et éditeurs.
    D'où la nécessité de bien choisir son partenaire hébergeur/infogéreur... et ça, c'est le sujet d'un autre billet #SaaSDiscute...


    Loic Simon
    06 76 75 40 71
    @loicsim @cluballiances


    View Loic Simon's profile on LinkedIn

    Editeurs, intégrateurs, exploitez le Social Selling pour développer vos ventes... avec @Aspaway #SocialSelling

    Dirigeants et équipes vente/marketing Aspaway pendant...
    ... une session de travail  #SocialSelling (photos Loic Simon)
    Editeur, Intégrateur, vous êtes partenaire d'Aspaway ou vous allez recourir à nos services d'infogérance/hébergement Cloud et d'accompagnement vers le SaaS.

    Nous vous proposons de vous aider à développer votre Business SaaS en organisant une synergie marketing et commerciale entre nos équipes.

    Exploitons ensemble le Social Selling, c'est à dire l'art et la manière d'exploiter les réseaux sociaux pour développer ses ventes.

    En collaborant dans ce domaine, nous pourrons générer plus de visibilité, plus de crédibilité, plus de leads "sales ready" et, surtout, plus de conversion de ces leads en clients pour vous comme pour nous.

    Pour commencer, participez à l'un des trois webinaires de sensibilisation au #SocialSelling proposés par les organisateurs du #SocialSellingForum dont notre partenaire IBM est sponsor:

    Puis, contactez votre interlocuteur Aspaway pour convenir d'une session de travail pour définir un plan de collaboration Marketing et #SocialSelling entre vous et Aspaway.

    Bonnes ventes... sociales !

    Loic Simon
    06 76 75 40 71
    @loicsim @cluballiances 
    View Loic Simon's profile on LinkedIn  

    Rejoignez-moi le 20 novembre au #SocialSellingForum pour partager votre expérience de la transformation numérique de la vente et du marketing B2B.

    dimanche 12 juillet 2015

    10 lectures et 20 videos estivales pour votre Business Cloud après #CloudWeek et #IBMsc15 via @loicsim


    La Cloud Week Paris s'est terminée vendredi 10 juillet après, notamment:
    Le Summer Camp IBM m'a détourné de cette semaine du cloud mardi et mercredi, mais on y a beaucoup parlé Cloud, usages du Cloud, transformation numérique des entreprises grâce au Cloud...

    Retrouvez la couverture de ces 2 évènements sur twitter:




    Et profitez de l'été pour nourrir votre réflexion sur le Cloud et sur votre place dans son écosystème avec:

    10 lectures avec points de vue et témoignages:

    1. DSI, CTO, 10 façons d'aider les métiers à innover avec le Cloud
    2. DSI et Cloud, 10 témoignages vidéo décoiffants
    3. Quels services apporte un infogéreur cloud aux éditeurs, intégrateurs, DSI...?
    4. Comment choisir une solution SaaS? 6 videos, 3 critères
    5. Infogérance de Cloud hybride
    6. Cloud: Sous-traiter pour innover? 5 DSI, CTO et éditeurs témoignent...
    7. Editeurs, comment Développer votre Business SaaS avec un infogéreur Cloud?.
    8. Ecosystème Cloud 2015 - Retour vers le Futur de la Distribution IT
    9. Ecosystème Cloud : Tous Cloud Brokers ?
    10. 10 questions à poser à votre fournisseur SaaS

    20 extraits vidéo #SaaSDiscute qui confortent ou combattent vos propres convictions!


    DSI broker et intégrateur de Services Cloud, SaaS

    Editeur & SaaS : Pas de bras, pas de chocolat !

        Le SaaS pour les sociétés en croissance [Withings]

    SaaS, support de l'innovation

    Editeurs, confiez la production à des prestataires industrialisés




    Editeurs, DSI, ne vous préoccupez plus d'architectures et d'infrastructures




    C'est quoi, un bon fournisseur SaaS - Cloud ?

      Cloud Hybride, moteur d'innovation, points de vigilance

    Un infogéreur Cloud doit apporter plus que des services managés!


    Patterns : Déployer rapidement des applications historiques dans le Cloud


    Tester et déployer rapidement, dans le monde entier, grâce au Cloud


    Choisissez une solution SaaS spécialisée à haut QI



    Les 3 piliers d'une bonne solution SaaS : Service, Intégration, Sécurité





    DSI Support à l'Innovation, Broker de Services {F Depoortere, IRCEM]

      Les clés de la transformation numérique d'une PME

       SaaS et Conduite du Changement


    SaaS : Collaboration et partage des bonnes pratiques

    Cloud: Evolution de la DSI au service des Métiers 
    DSI, support à l'innovation

    SaaS: DSI, lâchez la bride aux utilisateurs

    Bonnes vacances!















    Loic Simon
    IBM Business Development, Aspaway
    lsimon@aspaway.fr
    06 76 75 40 71
    @loicsim @cluballiances @aspaway


    View Loic Simon's profile on LinkedIn