Sophos publie ses Prédictions 2015

Rapport Sophos 2015 sur les chantiers qui nous attendent. 

Bonne Lecture. 

Après une année où l’on a vu des failles majeures apparaître, comme chez Home Depot ou Sony, ou encore des vulnérabilités informatiques répandues à grande échelle, au sein de certains logiciels, à la plus grande joie d’ailleurs des Heartbleed et Shellshock, il est facile de deviner que la sécurité informatique sera un sujet brûlant en 2015.

Vous trouverez ci-dessous, les 10 points qui auront un impact certain en 2015, mais aussi au-delà.

• Le traitement des exploits a fortement réduit l’efficacité de certaines vulnérabilités

Les cybercriminels se sont régalés pendant des années, grâces à Microsoft Windows. Heureusement, Microsoft a investi dans la réduction des exploits, qui rend le codage d’attaques plus compliqué. Ainsi, avec les difficultés croissantes au niveau de l’exploitation, certains hackers se sont tournés vers l’engineering social, et nous voyons aussi de plus en plus de pirates prendre pour cible des plateformes non-Microsoft.

• Les attaques basées sur l’internet des objets, sont passées du stade de prototype à celui de risques bien réels

En 2014 nous avons pu nous rendre compte que les fabricants d’équipements connectés (faisant partie de ce que l’on appelle l’internet des objets), n’ont pas réussi à implanter le minimum de sécurité informatique requis. Ainsi, les attaques ayant pour cible ces équipements, ont des chances d’avoir un impact plutôt important, au niveau du grand public. Le monde de la sécurité informatique doit absolument évoluer, pour prendre en compte l’univers de l’Internet des Objets.

• Le cryptage devient un standard, mais cela ne plait pas à tout le monde !

La prise de conscience croissante de l’importance de la sécurité informatique et de la confidentialité, du fait des récentes révélations concernant, d’une part l’espionnage pratiqué par les agences de renseignements, et d’autre part, les failles de sécurité majeures, le cryptage devient finalement une sorte de standard par défaut. Certaines organisations comme les services de Police, les agences de renseignements ne se réjouissent pas de cette tendance, sous prétexte que cela pourrait impacter négativement la sécurité.

• De nombreuses failles concernant des logiciels grand public, ont échappés à la vigilance de l’industrie de la sécurité informatique ces 15 dernières années.

De Heartbleed en passant par Shellshock, il est clair aujourd’hui que de nombreux codes, non sécurisés, sont largement utilisés au sein de nos équipements. Les évènements survenus en 2014 ont largement motivés les cybercriminels à s’intéresser, à l’avenir, à des logiciels ou des systèmes délaissés jusqu’à présent. Ainsi, nous vous conseillons fortement d’adapter votre stratégie de sécurité informatique.

• Les réglementations en vigueur obligent à un renforcement des règles de divulgation et de responsabilisation, surtout en Europe.

Les lois bougent doucement par rapport à la technologie et au monde de la sécurité informatique, mais des changements de réglementation importants, qui étaient en préparation, sont en train de se mettre en place. Il est probable que ces derniers vont déclencher une prise en compte, via une réglementation progressive, de la protection des données dans d’autres domaines de compétences.

• Les hackers prennent pour cible de plus en plus les systèmes de paiement mobile, cependant leur domaine de prédilection reste le paiement traditionnel.

Les systèmes de paiement mobiles étaient au centre des discussions en 2014, après le coup d’éclat d’Apple avec Apple Play. Ainsi, les cybercriminels vont certainement se penchés sur les potentielles failles au sein de ces systèmes. Cependant la conception actuelle de ces derniers comporte des fonctionnalités en terme de sécurité plutôt efficace. Ainsi, les cybercriminels devraient continuer, encore pour un moment, à prendre pour cible les moyens de paiement traditionnels, tels que les cartes de crédit, dans la mesure où ces derniers restent aujourd’hui des cibles plus faciles.

• Le manque de compétences continue de s’accroître : la formation et l’éducation restent la priorité.

La technologie fait partie intégrante de nos vies aujourd’hui. Elle représente un pilier à part entière de notre économie globale. Ainsi, le manque de compétences, en matière de sécurité informatique, devient de plus en plus critique, et est enfin reconnu, à présent, par les gouvernements ainsi que le monde de l’industrie. Ce fossé qui se creuse, est un réel problème pour certains gouvernements qui estiment pourvoir combler en 2030 seulement, leurs besoins actuels en professionnels de la sécurité informatique

• Les services d’attaque et les kits d’exploits voient le jour pour les mobiles et autres plateformes.

Ces dernières années, la sécurité informatique a été principalement marquée par l’arrivée de produits et services, permettant de faciliter la vie des hackers. Grâce aux plateformes mobiles, et à leur popularité croissante (sans parler des données qu’elles véhiculent), il ne faudra pas longtemps avant de voir émerger des packs et autres outils, facilitant le piratage de ces équipements. Il se pourrait fortement aussi que cette tendance s’applique à d’autres plateformes, telles que l’univers des objets connectés (l’Internet des Objets), dans la mesure où ces objets sont déjà, de plus en plus, présents autour de nous.

• Le décalage entre ICS/SCADA et la réalité de la sécurité informatique ne fait que croître.

L’ICS (Industrial Control Systems) a tout simplement 10 ans de retard, si ce n’est plus, en matière de sécurité informatique. Ces dernières années, j’avais signalé que nous verrions apparaître de nombreuses failles, plutôt sérieuses, et qui seraient utilisées par des hackers, dont les motivations oscillent entre les attaques d’état, et les attaques à but lucratif. En résumé, ce sont des domaines qui représentent un réel danger pour la plupart d’entre nous.

• Le potentiel de certains Rootkits et autres Bots, peuvent donner naissance à de nouveaux vecteurs d‘attaque.

Nous sommes sur le point de changer les principales plateformes, et les protocoles sur lesquels nous nous étions reposés depuis quelques années. Ces changements mineurs vont amener avec eux des failles mineures, sur lesquelles les cybercriminels pourront certainement capitaliser. Nous sommes dans un processus de changement majeur des standards technologiques. Soyez très prudents donc, et surveillez de près ces vielles blessures qui pourraient se rouvrir, ainsi que ces nouvelles catégories de failles qui pourraient voir le jour.

Voici juste un aperçu …. Lisez le rapport complet (le téléchargement est gratuit, pas d’enregistrement préalable demandé) : Rapport Complet ici

Démonstration des outils unifiés Mitel

Bonjour,

Vous trouverez ci-dessous une vidéo de 20 mn environ très complète sur les outils de collaboration Mitel.

N'hésitez pas à revenir vers nous pour une démo

Merci à Nicolas et à Patrice pour leur participation !!

Rapport 2014 sur la sécurité par Sophos

Ci-dessous les enjeux de la sécurité en 2014.

Ce rapport, en français, est accessible à tous.

Bonne Lecture

Rapport Sécurité 2014

Chronique de Thierry Tailhardat

Directeur, BOMGAR France

 

Pourquoi les DSI devraient prêter plus d’attention à l’assistance IT

Les nouveaux logiciels et équipements IT passent souvent avant les technologies d’assistance dans le budget IT. Pourtant, chaque année, les services d’assistance jouent un rôle plus stratégique dans les entreprises et les DSI auraient tout intérêt à les prendre en compte dans la planification de leur budget.

Le temps est venu pour les dirigeants de réfléchir à la planification et à la budgétisation de l’année à venir. C’est le cas des DSI qui ont la lourde tâche d’investir dans les technologies essentielles à la poursuite des nouveaux objectifs stratégiques de leur entreprise, malgré un budget souvent serré.

De leur côté, les experts ont déjà commencé à pronostiquer les tendances qui marqueront l’année 2014. Mais pour en tirer pleinement profit, les entreprises doivent pouvoir compter sur un service d’assistance IT performant, déterminant pour l’adoption des nouvelles technologies alors qu’il figure rarement parmi les priorités des DSI.
Il est temps que les entreprises modernisent leur service d’assistance pour faciliter leur adoption sans risque des tendances de 2014 et futures. Sinon, elles s’exposent au risque de ne pouvoir suivre le rythme de l’innovation IT, dans les domaines suivants notamment :

Migration de système d’exploitation

La migration vers un nouveau système d’exploitation n’est pas chose aisée, surtout dans un environnement distribué et s’il faut composer avec des salariés de plusieurs générations. Mais avec l’arrêt programmé du support de Windows 2003 et de Windows XP pour avril 2014, les DSI ne pourront pas repousser plus longtemps l’échéance. Pour réussir la migration de leur système d’exploitation, quel qu’il soit, ils devront pouvoir compter sur des outils d’assistance à chaque étape de la procédure.

Des systèmes de contrôle à distance du statut de migration de multiples terminaux peuvent permettre de résoudre les problèmes en temps réel, avant qu’ils s’aggravent. Les services d’assistance doivent également être organisés pour assumer les pics d’activité, fréquents après une migration. Il serait également judicieux que les entreprises qui envisagent d’adopter Windows 8 prévoient de former les utilisateurs aux nouveautés de l’interface radicalement différente des précédentes versions.

Mobilité

L’actualité 2014 du marché des terminaux mobiles s’annonce chargée d’après les conclusions du dernier rapport du Gartner sur les ventes de smartphones, qui présagent une déferlante de nouveaux concurrents aux actuels leaders que sont Samsung et Apple. Huawei, LG Electronics et Lenovo, notamment, tablent sur une forte croissance de leurs ventes en 2014.
Ce sont donc autant de nouveaux terminaux mobiles et de nouveaux systèmes d’exploitation que les services d’assistance devront gérer pour aider les utilisateurs à rester productifs. Des fonctionnalités d’assistance multi plates-formes s’imposent pour remplacer les technologies obsolètes, pensées pour les anciens systèmes d’exploitation et qui ne sont donc pas adaptées aux attentes des utilisateurs des terminaux et plates-formes mobiles actuels. Surtout que si les salariés n’obtiennent pas satisfaction en interne, ils iront chercher ailleurs, avec ce que cela suppose de risques accrus pour la sécurité de l’entreprise.

Adoption d’apps professionnelles

Les apps d’entreprise rencontrent un succès croissant d’après la récente étude menée par Appcelerator auprès de 800 développeurs. La moitié d’entre eux prévoit de lancer au moins une app professionnelle en 2014, et 40 % envisagent d’en commercialiser entre 2 et 10.
Les services d’assistance doivent absolument se préparer à supporter ces applications. Car chaque nouvelle app personnalisée génèrera de nouvelles demandes d’assistance, qui s’ajouteront à celles occasionnées par les apps développées en interne. Les développeurs savent maintenant intégrer des fonctions de support dans les apps personnalisées. En traitant la question du support applicatif dès les premiers stades du développement, les entreprises épargneraient à leurs informaticiens et utilisateurs de nombreux problèmes de productivité.

Sécurité

Les études révèlent que la sécurité préoccupe chaque année davantage les DSI. Unrécent rapport du cabinet Society for Information Management indique, par exemple, que la sécurité arrive au second rang des priorités des décideurs IT,  derrière « l’alignement des ressources IT sur les besoins de l’entreprise ».
Avant d’investir dans de nouvelles technologies pour résoudre leurs problématiques de sécurité, les DSI devraient observer la manière dont les solutions d’assistance existantes sont utilisées en interne. Ils découvriraient certainement quantité d’outils d’assistance (en particulier, à distance) avec licence nominative, et donc une combinaison identifiant-mot de passe spécifique.
Le problème est que, pour rentabiliser leurs investissements, les entreprises autorisent souvent plusieurs utilisateurs à exploiter une même licence et donc à partager les mêmes identifiants : une pratique risquée pour leur sécurité. Sans compter que ces outils propriétaires ne permettent pas, le plus souvent, de configurer différents niveaux d’autorisations, si bien que tous les agents d’assistance ont accès à l’ensemble des informations de l’entreprise, y compris les plus confidentielles. Investir dans des solutions d’assistance modernes permettrait à ces entreprises de réduire leur exposition aux risques.

Assistance à distance

De plus en plus d’entreprises ont recours à des outils d’assistance qui leur permettent d’accéder aux terminaux et systèmes et de les dépanner à distance. Malheureusement, il s’agit pour la plupart d’outils propriétaires, comme RDP, VNC ou encore Dameware, dépourvus des fonctionnalités de sécurité robustes des solutions modernes. De nombreuses études sur la sécurité confirment que ces technologies d’accès à distance peu sécurisées constituent l’un des principaux vecteurs des attaques motivées par l’appât du gain. Pour porter assistance aux salariés mobiles et distants sans multiplier les risques, les entreprises ont intérêt à évaluer leur environnement d’assistance à distance et à procéder aux éventuelles mises à niveau nécessaires.
Quand il s’agit de décider où et comment investir le budget IT, les DSI font souvent passer les nouveaux logiciels et  équipements IT avant les technologies d’assistance. Pourtant, les services d’assistance jouent un rôle plus stratégique chaque année, que les DSI auraient tout intérêt à prendre en compte dans la planification de leur budget 2014.

L'audioconférence en vraie...

Vous redoutez à faire des conférences audio ou vidéo. Pourquoi ?

Il est peut être temps de nous appeler ?

Manhattan valide un nouveau partenaire : Vidyo

Bonjour à tous,

Après un long travail de validation technique, nous avons sélectionné vidyo comme partenaire dans la visioconférence.

Utilisant un algorithme très performant de compression vidéo (H264SVC), la visio devient possible sur n'importe quelle plate-forme et OS.

La salle de réunion n'est pas en reste puisque des codec "traditionnels" sont disponible.

Vous voulez garder votre "ancien" système de visio et l'ouvrir sur des PC et tablettes, pas de problème vidyo a la solution.

Un algorithme puissant, une solution multi-OS et multi-plateforme, prise en compte d'ancien systeme de visio (H323), système de salle, font de vydio un acteur UNIQUE ouvert sur les autres.

On a vraiment été surpris de la performance de ce logiciel permettant de faire des visio en 3G avec une grande fluidité et stabilité.

Enfin le système s'interface avec des solutions VOIP/SIP

Google et Nintendo l'utilisent dans leur produit de conférence (googletalk et WiiU) ça doit être un signe de qualité, non ?

Ci-dessous un exemple d'utilisation en France.

Une démo de la gamme et de leur possibilités.

Jasmine nous explique la gamme Steelhead WAN Optimization par Riverbed

Bonjour à tous,

je profite des congés pour vous présenter notre nouvelle ingénieur Jasmine qui vient de rejoindre nos équipes techniques.

Elle va vous expliquer en quelques minutes la mise en place des appliances Riverbed Steelhead.

Grâce à la démonstration vous découvrirez les performances extraordinaires de ces boitiers WAN.

 N'hésitez pas à contacter Jasmine (ou moi si vous arrivez pas à la joindre) pour résoudre vos problèmes d'optimisation WAN et CLOUD.

Je vous laisse visionner la vidéo de Jasmine, accessible à tous...

Besoin de performance pour vos nomades ?

Cette démonstration permet de vous montrer que le WAN peut être un véritable atout pour votre système d'information. Souvent synonyme de lenteur le WAN passe à une autre dimension grâce à Riverbed.