deij

Pendant plusieurs années, la sécurité informatique était considérée comme un domaine technique obscur et souvent une opération parmi tant d’autres, car les grands systèmes informatiques d’autrefois n’étaient qu’accessibles que par certains individus – eux reliés directement aux administrateurs et certains autres utilisateurs particuliers.

De plus, ce qui simplifiait d’autant plus la situation, était le fait que ces grands systèmes informatiques centraux étaient limités à un rayon d’action plus simple à déterminer qu’aujourd’hui (une salle, un étage, une bâtisse), et donc, plus simple à contrôler.

Avec la venue de réseau étendu comme Internet ainsi que le nombre grandissant d’échanges électroniques et d’utilisateurs, le rayon d’action des systèmes informatiques devient de plus en plus complexe à contrôler, gérer et naturellement, sécuriser.

Avec cette complexité grandissante, la gestion de la sécurité de l’information et les interactions contenues avec ces systèmes devient donc beaucoup plus complexe. Pour ces différentes raisons, des postes de spécialistes, analystes et architectes en sécurité de l’information sont de plus en plus communs dans les entreprises.

Ces experts ont souvent comme mission de faire l’analyse, la planification ou même l’architecture des solutions (affaires et technologiques) répondant le mieux aux besoins et circonstances d’affaires des entreprises. Suivant ces études, des recommandations sont remises aux gestionnaires qui sont responsables de prendre les décisions.

Naturellement, certaines de ces recommandations provoquent des modifications qui à leurs tours peuvent potentiellement apporter des couts additionnels; pas nécessairement prévus dans les budgets initiaux. Voilà où débutent généralement les préoccupations de gestion; ex.: devrais-je effectuer les changements identifiés et si oui à quel point devrais-je accepter le risque et donc, n’implanter que les recommandations critiques et non significatives?

Dans cette situation, voyant l’impact des couts au niveau des budgets et l’ajout de travail possible, certains gestionnaires acceptent les risques et vont de l’avant avec le projet; malgré les recommandations de sécurité présentés et les risques potentiels.

Avec une approche trop rapide, il est toutefois possible que ces gestionnaires acceptent un niveau de responsabilité et de risque trop élevé. Que cela soit des données personnelles ou financières, leur appartenant ou pas, plusieurs gestionnaires acceptent ou non les recommandations ainsi que le niveau de protection qu’ils jugent adéquat suivant des analyses.

Sur ce, à quel moment devrions-nous nous interroger sur le niveau de protection de notre information personnelle et surtout à quel point une entreprise ou une organisation possède-t-elle la capacité de faire un jugement éclairé sur cette situation. Ajouté à cela des contrats d’impartition complexes, des clients exigeants, des niveaux de services parfaits…

Plus loin dans la réflexion, à quel point savons-nous où est notre information et à quel point devrions-nous avoir la capacité de faire la vérification de nos données personnelles pour s’assurer qu’elles sont bien protégées?

C’est pourquoi toute entreprise de doit pas simplement effectuer une évaluation externe des risques, mais de bien prendre le temps d’inclure les joueurs les plus connaissants des affaires internes; vos employés. Comme plusieurs gestionnaires nous ont indiqués dans les dernières années, il n’est pas nécessaire de faire l’embauche de consultant pour répondes à tous nos besoins, mais bien s’assurer que nos employés sont correctement formés pour répondes à ces besoins et plusieurs autres.

La sécurité et la gestion des risques n’a rien de complexe si l’on dispose d’un gros bon sens de gestion et d’un niveau de curiosité suffisant. Certes il existe des enjeux et technologies complexes et particulière que d’autres qui nécessitent une aide externe. Mais cette approche devrait être minimisée au maximum pour garantir la continuité de votre organisation et la saine gestion de vos environnements.

Sur une note plus philosophique, je tiens à rappeler à tous et à toutes qu’un tournant du 20e siècle, il existait dans plusieurs grandes organisations des postes de gestionnaire d’électricité et un vaste réseau de spécialiste et analyste dédié à ce domaine d’intérêts (très similaire aux réseaux, à la sécurité, au développement, etc.).

Donc pour ceux qui croient que la sécurité et la gestion des risques sont un domaine central à une organisation, je pose cette coquille : connaissez-vous un gestionnaire d’électricité dans votre groupe d’ami actuel? Si la réponse est non, je vous confirme que toute expertise passe, avec le temps, de mains en mains pour finalement se diriger vers un niveau de commodité.

Importante, la sécurité et la gestion des risques est un domaine qui doit être gérée par votre organisation interne, vos employés et vos partenaires et par nul autre.

Dans les derniers mois et dernières années, plusieurs statistiques et hypothèses concernant les virus, les pourriels et l’hameçonnage ont été présentées par les médias et certains experts, et souvent, elles sont relativement pauvres ou simplement erronées. Il est donc capital de vous présenter des données réelles venant de sources solides et réputées; voici les plus récentes informations.

Le présent article nous permettra donc de faire l’infirmation et la confirmation de certaines rumeurs concernant les virus, les polluriels et l’hameçonnage. Les données proviennent de sources telles que MessageLabs, entre autres. Les graphiques parviennent plus particulièrement de MessageLabs, une entreprise européenne spécialisée dans la gestion des pourriels qui appartient depuis quelques années à Symantec.

Le contexte

Quand vient le temps de parler de solutions de messagerie et communications Internet, trop souvent, les spécialistes et fournisseurs mettent l’accent sur les virus. Aux fins d’enrichir le contexte souvent limité en lien avec les discussions technologiques, le tableau suivant présente que la tendance des virus diminue, car auparavant, nous pouvions remarquer que les ratios virus & courriel étaient de 1 sur 100…

Certains mentionneront que les virus ont peut-être plus d’impact aujourd’hui qu’il y a quelques années, mais la réalité est que généralement, moins il y a d’échanges (transmission d’un utilisateur à un autre), moins il y a de chance d’infection. Cette méthode reste la base de la majorité des infections (non la seule) et est de plus propulsée par la popularité des environnements Windows.

Beaucoup plus faibles dans ces version précédentes, Windows 7 est aujourd’hui nettement supérieur dans sa dernière version. Il ne faut donc pas laisser tomber les systèmes d’opération Microsoft, mais il est grandement recommandé de passer à des versions plus récentes et plus sécuritaire contre des attaques courriels. En passant, à ce niveau, les environnements MAC sont plus vulnérables mais simplement moins “populaires” que d’autres. Avec la popularité de ces envrionnements à la hausse, nous allons remarquer beaucoup plus de pépins avec le temps.

Les solutions doivent donc tenir en compte beaucoup plus que des simples virus échangés d’une ordinatuer à l’autre. Celles-ci devraient être en mesure de pouvoir diminuer le nombre et l’impact des virus et polluriels ainsi que limiter l’infiltration des courriels qui peuvent mener à techniques d’hameçonnage. Avec plus de 5 milliards de courriels traités chez MessageLabs à tous le jours, cette tâche devient très complexe et non plus simplement un service de base simple à implanter dans une entreprise qui ne possède pas les compétences ou fonds nécessaires à cette tâche. Pour améliorer notre compréhension du présent document, regardons maintenant, un autre graphique qui démontre les tendances des pourriels durant la dernière année. Nul n’a besoin d’être scientifique pour comprendre la tendance et voir que celle-ci est non seulement importante, mais surtout constante.

Aux fins de confirmer l’importance des pourriels dans le monde des échanges électroniques, trop souvent banalisés par le contenu plus que médiocre et surtout redondant, il est important de mentionner que ceux-ci représentent jour après jour plus de la moitié du trafic de courriels dans le monde. Durant les fins de semaine, ceci peut monter jusqu’à plus de 90%.

Finalement, voici la dernière donnée du jour. Le tableau suivant représente les attaques d’hameçonnage (phishing) de la dernière année. Pour ceux qui n’ont aucune idée de ce que représente l’hameçonnage, voici un exemple très simple (imaginons que vous êtes à votre ordinateur et que vous recevez un courriel) :

« Un malfaiteur vous envoie un courriel et vous fait accroire que vous devez vous brancher sur une page Web (courriel qui contient un lien HTTP gentiment inséré dans le courriel pour vous simplifier le travail). »

Les raisons indiquées par le malfaiteur sont souvent reliées à une confirmation de votre numéro de carte de banque, de votre NIP, de données bancaires, etc. Naturellement, les malfaiteurs s’assurent de faire une réplique parfaite des sites bancaires et le plus solide des technologues pourrait facilement se faire prendre à ce jeu.

Finalement, une fois branché sur ce site frauduleux, vous insérez vos données qui finissent par se retrouver dans les mains des malfaiteurs (données comme comptes de banque, votre NIP, la valeur de biens monétaire, etc.).

Bien simple et souvent mis de côté par leur faible quantité, ce type de courriels est généralement à la base de plusieurs fraudes dans le domaine du commerce électronique. Récemment, les institutions bancaires canadiennes ont effectué des changements à leurs sites Web pour minimiser ce type d’attaque, mais rien n’est encore assez solide pour voir quel sera l’impact de ces contremesures, surtout à long terme. De plus, tant que l’utilisateur moyen va répondre à ce type de courriel et continuer à « consommer » les échanges électroniques, il sera très complexe de diminuer ces risques.

En conclusion, notre groupe vous propose de répondre à deux questions des moins plaisantes pour les entreprises d’aujourd’hui :

Est-ce la fin des courriels, certes non, mais quelles sont les solutions qui sont en mesure de vraiment améliorer la situation…

Une grande partie de notre journée de travail consiste à faire l’échange et la lecture de courriel. Pour ce, nous nous assurons de nous présenter correctement, discuter des points clefs et tenter de rendre le tout le plus simple et courtois.

Par contre, depuis quelques années je remarque l’intrusion de messages légaux à la fin des courriels. Généralement nommés « email disclaimers » ou plutôt un avis de non-responsabilité en français, ces avis nous précises les dangers reliés à l’échange ou la réception de courriels qui à la base n’auraient jamais dû arriver dans notre boîte depuis le début.

Non seulement ces messages prennent de plus en plus de place, je reçois plusieurs courriels où l’avis est dix fois plus important que le message lui-même. Après plusieurs tentatives de compréhension, j’ai finalement effectué plusieurs recherches sur Internet pour finalement me rendre compte que ces messages non a peut près aucune valeur « légale ».

Suivant mes recherche et discussions avec des avocats dans le domaine, ces messages ne peuvent que nous sensibiliser à l’échange accidentel ou non désiré de la part d’une personne qui a de la difficulté a écrire un nom correctement.

Simplement, ceci est potentiellement une « meilleure pratique » pour les affaires, mais ne peut en aucun cas nous rendre responsables. Depuis quand devrais-je être responsable d’un « newbie » qui apprend à utiliser son courriel? En plus, ces messages sont souvent complexes, sans profondeur et même menaçants.

Aussi, pour qu’une entente soit concrête entre deux partis, il doit y avoir un consentement entre les partis. Comment quelqu’un pourrait me « tirer » en court invoquant le fait qu’il n’a pu avoir le contrôle de ses courriels et ensuite m’accuser de malveillance par ce que je me suis fait voler mon portable à l’aéroport lors de mon dernier voyage et qu’un terroriste à utiliser l’information contenue dans le courriel pour faire exploser une Volkswagen (pour les fans de pub) — S.V.P. un peu de logique.

Je n’ai même pas la possibilité de refuser l’entente. Le fait de détruire le courriel ne signifie absolument rien de toute façon. Toute personne qui oeuvre dans le domaine de la sécurité de l’information sait très bien que ces données résident dans plusieurs lieux et que pour y avoir accès, il ne faut pas être le docteur Einstein.

Vraiment, je crois que ces messages sont d’un ridicule incroyable. À la place, il devrait y avoir un message qui indique clairement que la presque totalité des courriels ne possède aucune protection et que n’importe qui, qui possède l’équipement, peut bien les lires à sa guise.

Rendu là, pourquoi pas nous obliger à porter un casque avant l’ouverture des courriels…

Références :
- OLF : Office de langue francaise
- News 24 : www.news24.com/News24/Technology/News/0,6119,2-13-1443_1546258,00.html

Selon un groupe de spécialistes en sécurité de l’information de l’université de Berkeley (USA – Californie), il ne s’agirait que de faire un enregistrement de 10 minutes d’une personne devant son clavier pour être en mesure d’avoir accès à près de 90 % des mots qui ont été entrés.

Intéressant, mais disions qu’il ne faut pas un génie pour se rendre compte que ceci est appliqué pour les guichets automatiques depuis près de 10 ans. Par contre, rien de mieux qu’un groupe de spécialistes aux USA – Berkeley pour nous dire quelle est la vérité… ; )

Voici plusieurs photographies prises l’an dernier sur la piste de Blainville. J’ai eu le plaisir de conduire cette Porsche 911 Turbo 2004 et laissez-moi vous dire que je recommande cette expérience à tous. OK, disons qu’avec un prix de plus de 150 000 dollars canadiens, ce plaisir ne peut qu’être éphémère. Malgré tout, la conduite est dynamique et surtout incroyablement simpliste. J’ai vraiment l’impression que je pourrais conduire cette auto dans le trafic à tout les matins… Pour les détails techniques, une visite chez Porsche s’impose!