Contrôle de sécurité informatique pour 2018 : fuites de données, logiciels malveillants et nouveau RGPD de l'UE
Des fuites de données à grande échelle, des logiciels malveillants et la politique qui exige des portes dérobées dans les services en ligne. En 2017, il s'est passé beaucoup de choses dans le domaine de la sécurité numérique et de la vie privée. Pour les entreprises en particulier, un grand défi se profile à l'horizon avec le prochain RGPD de l'UE. Alan Duric, CTO et COO de Wire, jette dans cet article invité un regard sur l'année 2017 écoulée et montre ce qui sera important en 2018 en matière de sécurité informatique.
À l'heure où la communication privée et professionnelle s'effectue en grande partie en ligne, la sécurité informatique prend de plus en plus d'importance. Pour protéger les données sensibles, les entreprises s'intéressent de plus en plus aux messageries professionnelles qui misent sur le cryptage de bout en bout. De plus en plus de services de messagerie ne mettent donc pas seulement l'accent sur la sécurité dans le cadre d'une utilisation privée, mais se focalisent également sur l'utilisation professionnelle. Ce type de réorientation a eu lieu en 2017 pour certaines messageries. Atlassian a par exemple présenté le messager Stride pour la communication d'entreprise et fait concurrence au chat d'équipe Slack en raison de coûts moindres. Mais Slack a rapidement suivi en levant un total de 250 millions de dollars US auprès d'investisseurs et en prévoyant de s'étendre. En outre, Microsoft a également connu des changements en ce qui concerne la messagerie professionnelle : Microsoft Teams a remplacé Skype for Business et concurrence désormais Atlassian, Slack & Co. De plus, le service Keybase Chat s'adresse désormais également aux entreprises et nous avons également apporté notre pierre à l'édifice avec l'introduction de la messagerie instantanée. Fil de fer une version professionnelle sécurisée sur le marché.
Les fuites de données et les attaques de logiciels malveillants font parler d'elles
Un Étude de Bitkom Research, quatre entreprises sur dix ont été victimes d'une cyberattaque l'année dernière. L'une de ces entreprises touchées est le prestataire de services financiers américain Equifax, où des cybercriminels se sont emparés des données sensibles de 44 % des Américains. En conséquence, l'action a perdu 14 pour cent et le chef de l'entreprise a démissionné. Et le cabinet de conseil Deloitte a également été victime de pirates informatiques qui ont eu accès aux bases de données et donc aux informations personnelles de clients de premier plan. Un autre vol de données a en outre eu lieu chez le prestataire de services de transport américain Uber et a concerné les données de 57 millions d'utilisateurs et de chauffeurs Uber. Si l'incident s'est produit il y a plus d'un an, il n'a été révélé qu'en 2017. Les attaques de pirates informatiques, mais aussi les attaques de logiciels malveillants, peuvent continuer à causer des dommages importants aux entreprises et à entraîner une forte augmentation des coûts.
Du Royaume-Uni aux États-Unis : comment les gouvernements secouent le secteur informatique
Les gouvernements ne sont pas vraiment convaincus de la sécurité offerte par le cryptage des données et veulent obliger les fournisseurs d'accès à installer des portes dérobées. La raison en est notamment que le cryptage ne permet pas aux criminels d'accéder aux messages et que ceux-ci profiteraient donc de la cryptographie. Les gouvernements sont particulièrement contrariés par le fait que les entreprises informatiques ne respectent même pas les ordonnances des tribunaux et que les délits criminels ne peuvent donc plus être prouvés. C'est pourquoi les politiciens s'opposent au cryptage de bout en bout ou insistent sur les portes dérobées pour l'accès par le gouvernement.
Le RGPD de l'UE approche et fait évoluer les mentalités
Le règlement général sur la protection des données de l'UE se rapproche de plus en plus et c'est au plus tard maintenant que les entreprises devraient se pencher activement sur la question de savoir comment elles peuvent se conformer au règlement. L'objectif principal - simplifier, uniformiser et actualiser la protection des données à caractère personnel - fait évoluer les mentalités. Les personnes obtiennent davantage de droits en matière de traitement des données, ce qui nécessite des mesures techniques et organisationnelles ainsi qu'un registre de traitement des données. Étant donné que les entreprises s'exposent à de lourdes amendes en cas de non-respect, le RGPD deviendra un sujet important au plus tard en mai 2018.
Fournisseurs non sécurisés : pourquoi le cryptage est un "must-have
Le cryptage devient important lorsqu'il est possible que des tiers aient accès aux données sensibles. Par exemple, les fournisseurs de services ou les prestataires peuvent ne pas être sûrs, car des personnes non autorisées peuvent y avoir accès. Cela concerne surtout le stockage en nuage, les outils de communication et de collaboration qui, par exemple, stockent leurs données via des serveurs situés en dehors de l'UE. En outre, les attaques de pirates informatiques sur les fournisseurs de messagerie électronique sont également dangereuses, mais la situation devient toujours explosive lorsque les données des clients sont en jeu, en particulier les données de paiement, comme les informations sur les cartes de crédit, ou les informations sur les commandes passées. Cela concerne aussi bien les particuliers, qui deviennent ainsi des personnes transparentes, que les entreprises, qui doivent dans ce cas garantir la sécurité des paiements. D'autres points qui rendent le cryptage indispensable sont, d'une part, pour exclure l'espionnage industriel et empêcher que des secrets commerciaux ne soient divulgués au public. Pour toutes ces raisons, le cryptage doit être la solution. Qu'il s'agisse d'e-mails cryptés ou du cryptage de contenus (comme les fiches de paie, les contrats de coopération, les calculs) ou, plus généralement, de données échangées dans le cadre de la communication quotidienne. Pour garantir la sécurité informatique en interne et en externe, les fournisseurs ne doivent pas avoir la possibilité de consulter des informations sensibles, ce qui n'est possible qu'à l'aide d'un cryptage sécurisé des données.
Conclusion : les entreprises doivent agir
Les fuites de données et les attaques de logiciels malveillants étant particulièrement préjudiciables aux entreprises, il est urgent de mettre en place des mesures de sécurité protectrices. En raison du règlement général sur la protection des données de l'UE, les entreprises doivent agir dès maintenant et adapter leurs normes de sécurité en conséquence. Avec l'aide de différents fournisseurs qui misent sur un cryptage de bout en bout, la mise en œuvre est toutefois relativement simple. En cas d'attaque contre le fournisseur de cloud après la mise en œuvre, les informations personnelles sont protégées et ne peuvent pas être décryptées par des personnes non autorisées. En outre, le règlement de l'UE considère que la méthode de cryptage constitue également une preuve de conformité. Les entreprises n'ont donc pas à supporter de coûts supplémentaires et les clients peuvent avoir la certitude que les données sensibles sont suffisamment protégées.
A propos de l'auteur : Alan Duric est un expert en technologie et un entrepreneur expérimenté qui travaille depuis plus de 15 ans dans le secteur de la communication en temps réel. En tant que pionnier de la technologie VoIP, il a ouvert la voie à l'introduction de la communication en temps réel sur le web (WebRTC). Ce standard open source comprend plusieurs protocoles de communication et interfaces de programmation que l'on retrouve aujourd'hui dans une multitude d'applications. Outre la création de Telio Holding ASA et de Sonorit, il a lancé Wire, une messagerie entièrement cryptée de bout en bout, un outil de communication sécurisé à usage professionnel et privé qui protège la vie privée numérique tout en respectant les directives européennes en matière de protection des données. La décision d'Alan de placer Wire sous licence open source était stratégique en ce sens que l'entreprise pouvait ainsi prouver que le produit était effectivement crypté de bout en bout. Par rapport à d'autres messageries qui le prétendaient également, mais ne pouvaient pas le prouver. Aujourd'hui, il est CTO/COO de l'entreprise, membre du conseil d'administration et responsable de la destinée d'une équipe internationale ambitieuse de plus de 50 collaborateurs à Berlin. En outre, il agit en tant que conseiller pour un certain nombre de start-ups technologiques, apportant ainsi ses années d'expérience dans les domaines de l'open source, de la VoIP, de la sécurité informatique et de l'architecture logicielle.
