accueil favoris newsletter 
l'information professionnelle des progiciels de gestion intégrés
ACTUALITES RUBRIQUES INTERVIEWS NEWSLETTERS OUTILS INSCRIPTIONS A PROPOS
 
 
DEPECHES    
SAP sur sa lancée
25/04/2017 Les résultats de SAP pour le premier trimestre 2017 viennent de tomber. Sans surprise, à 5 285 milliards d'euros de chiffre d'affaires, ils sont une fois de plus en croissance, de 12 %.
Hardis Group rachète deux intégrateurs Salesforce
24/04/2017 Grâce à ces rachats de Bluetis et de Synefo, l'ESN se renforce dans l'intégration de Salesforce et s'implante dans le grand Sud-Ouest avec une agence située près de Bordeaux.
Le vieillissement de la technologie freine la transformation numérique
24/04/2017 Selon une étude menée par le cabinet Pierre Audoin Consultants (PAC) et publiée par Fujitsu, le vieillissement de la technologie empêche de nombreuses entreprises européennes de bénéficier pleinement de la transformation ...
Eudonet annonce sa nouvelle Édition 2017
21/04/2017 Éditeur-intégrateur de solutions CRM (Gestion de la Relation Clients) généralistes et verticalisées, Eudonet a présenté aujourd'hui sa nouvelle Édition 2017 à l'occasion de sa manifestation annuelle.
Ad Ultima démarre le processus de labellisation Scorefact pour Microsoft Dynamics AX
21/04/2017 Intégrateur de progiciels ERP, CRM et PLM, Ad Ultima se spécialise dans le déploiement de solutions pour le secteur industriel et l'ingénierie.
Berger-Levrault rachète deux sociétés espagnoles
20/04/2017 L'éditeur de logiciels à destination des collectivités locales, des établissements médico-sociaux et d'éducation, poursuit sa croissance externe avec l'acquisition de deux nouvelles sociétés basées à Barcelone.
EBP MéCa annonce la version V17 de ses solutions
20/04/2017 Depuis 1996, EBP propose aux professionnels de l'automobile un logiciel de gestion commerciale dédié à ce métier. En 2013 René Sentis, fondateur d'EBP Informatique, a décidé de spécialiser cette activité au sein du group ...
toutes les dépêches
 
DU COTE DES UTILISATEURS    
La Compagnie des bateaux d'Aix les Bains Riviera des Alpes optimise l'utilisation de son ERP Open Source
13/04/2017 Trois questions à Nicolas Mayeur, responsable informatique de société.
Saint-Gobain a automatisé ses processus comptables
15/03/2017 Le leader mondial de l'habitat durable a ainsi augmenté l'efficacité de ses équipes, en déployant la plate-forme Finance Controls & Automation de Blackline dans 25 de ses centres de services partagés afin d'automatiser, ...
tous les témoignages
 
COMMUNIQUES DE PRESSE    
CAPSA FOOD réduit de 75% le temps de traitement de ses commandes clients grâce à Esker
05/04/2017 CAPSA FOOD, entreprise laitière espagnole qui détient les marques Central Lechera Asturiana, Larsa et ATO, confie à Esker la dématérialisation du traitement de ses commandes clients, après une premièr ...
Esker poursuit son développement international et enregistre une croissance record en 2016
03/04/2017 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents en mode Cloud, annonce une croissance de 13% en 2016 qui s’explique par le succès de ses solutions Cloud, les ...
Dématérialisation du cycle Order-to-Cash : Esker propose une solution de paiement en ligne par mandat SEPA ou carte bancaire Lyon
28/03/2017 Esker complète son offre de dématérialisation des factures clients avec une nouvelle solution de paiement en ligne par mandat SEPA* ou carte bancaire. Grâce à ce nouveau service, qui s’appuie sur son ...
tous les communiqués
 
 
Articles    
De la forteresse à l'aéroport
 
01/02/2016 :: Difficile, ces derniers temps, d'échapper aux communications, manifestations, conférences et autres webinars autour des sécurités des SI, tant celles-ci ont évolué et sont devenues un sujet majeur dans un environnement technologique en pleine mutation et souvent déconcertant.

Une métaphore intéressante et assez juste pour illustrer cette mutation est celle mise en avant par le sujet de la dernière rencontre du club de la Presse informatique B2B : "Sécurité du système d'information : de la forteresse à l'aéroport". La rencontre réunissait entre autres Lazaro Pejsachowicz, président du CLUSIF (CLUb de la Sécurité de l'Information Français) et RSSI (Responsables Sécurité des Systèmes d'Information), Nacira Salvan, responsable du pôle architecture et sécurité de la DSI de Safran jusqu'à mi-janvier 2016 et des acteurs du marché dont Mado Bourgoin, directrice technique chez VMware France ou Stéphane Geyres, directeur de l'activité conseil en cybersécurité chez Accenture.

Dans l'ensemble, les discours étaient un peu trop formatés et convenus, à l'exception notoire des interventions de Lazaro Pejsachowicz et de Nacira Salvan. "La menace, jadis externe, n'est plus externe du fait de l'ouverture de l'entreprise sur l'extérieur", constate Lazaro Pejsachowic. La métaphore de l'aéroport et de la forteresse voulait illustrer le fait que l'on est, en quelques années, passé d'un besoin de forteresse, c'est-à-dire d'un SI complètement fermé à l'extérieur, ne laissant passer que quelques rares données filtrées et triées sur le volet, sous contrôle complet, à un SI ressemblant fort à un aéroport : l'accès en est parfaitement libre, mais en de nombreux points au sein de la structure, des contrôles drastiques sont effectués, comme l'accès au hall de départ, à la zone d'embarquement, aux lounges, aux avions etc...


Les SI actuels, ouverts vers l'extérieur, mettent à profit le cloud et le Web, qui ont bouleversé la donne : les infrastructures se développent souvent sur différents sites, qu'ils soient physiques ou virtuels. De nombreuses données exploitées par l'entreprise proviennent de l'extérieur, des réseaux sociaux, par exemple, et ne lui appartiennent pas toujours. A contrario, de nombreux tiers, clients, fournisseurs, prospects... accèdent aux données de l'entreprise.

Quand le politique s'en mêle

Après les attentats du 13 novembre, le débat sur le cybersécurité a oscillé entre renforcement du chiffrement des données ou mise en place systématique de backdoors dans les logiciels. À l'occasion du FIC (Forum International sur la Cybercriminalité) de Lille la semaine dernière, le gouvernement a réaffirmé sa prise position contre la mise en place de ces backdoors dans les logiciels. Cette décision est saluée par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, qui considère que les backdoors "constituent le graal des pirates informatiques et que l'adoption d'une mesure les multipliant aurait conduit au développement du piratage informatique". À noter que la Chine et la Grande-Bretagne ont pris la décision inverse à celle de la France.

Quand on ajoute à toute cette agitation les remous créés par l'affaire Snowden, la NSA, notre loi sur le renseignement ou encore la date butoir du 31 janvier 2016 pour la fin des négociations sur le Safe Harbor 2, tous les ingrédients sont présents pour crée le buzz autour des sécurités.

Le rôle de l'humain

Protection des données, de la vie privée, des infrastructures, des réseaux, sans compter le hacking sauvage, les aspects des sécurités des SI sont multiples. Le RSSI est dans l'obligation de se diversifier. Pour Nacira Salvan, "il faut raisonner en stratégie de sécurité globale".

"Malheureusement, il y a des humains... qui rendent les attaques possibles", a lancé Stéphane Geyres lors de la rencontre du club de la Presse informatique B2B. Et les risques se nichent parfois dans les détails et dans des éléments anodins qui paraissent pourtant logiques de prime abord. Ainsi, une récente étude de Skyhigh Networks, société spécialisée dans la mise en œuvre et les sécurités du cloud, montre que les utilisateurs en entreprise nomment leurs fichiers de manière par trop explicite. Ainsi, une organisation disposerait en moyenne de 7 886 documents dont le nom contient le mot "budget", 6 097 documents avec "salaire", 2 681 documents avec "prime", 2 217 documents avec "confidentiel" et 1 156 documents avec "mot de passe".

Du pain béni pour les cybercriminels, qui sont opportunistes et visent avant tout les cibles les plus faciles : en exposant ainsi les fichiers de l'entreprise, que le hacker soit interne ou externe, il n'aura aucune difficulté à s'orienter. Pour rappel : autrefois, les vols de données et les actes de malveillance émanaient majoritairement de collaborateurs internes à l'entreprise, dont les motivations étaient diverses (malveillance pure, apat du gain, vengeance...). Aujourd'hui, ces actes sont éclipsés par les préoccupations plus importantes liées à l'ouverture des SI. Mais cela ne signifie pas qu'ils aient disparu, bien au contraire, ce que nous a confirmé Nacira Salvan : "ça continue comme précédemment", affirme-t-elle.

Des mesures s'imposent là aussi, si possible préventives, comme l'information ou la formation des collaborateurs ou un contrôle des accès et un chiffrement des données adaptés.

Des attaques bien réelles

Un récent sondage Opinionway réalisé pour le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), mené auprès de 125 de ses membres RSSI de grands groupes français, montre que si les grands comptes ont intégré l'importance de la sécurité du numérique dans leur organisation, 81 % déclarent avoir fait l'objet d'attaques aux cours des 12 derniers mois.

Les moyens alloués à la cyber-sécurité semblent pourtant encore insatisfaisants pour 69 % des répondants. De nombreuses entreprises envisagent d'augmenter les ressources techniques, financières ou humaines dédiées à la cyber-sécurité.


Les nouveaux usages du numérique au travail posent quant à eux de nouveaux défis en matière de cybersécurité. Le cloud en particulier, en plus de nécessiter des outils spécifiques selon 93 % des RSSI interrogés, continue d'inquiéter pour des raisons de confidentialité des données.

Et 58 % des entreprises estiment que les outils actuellement disponibles sur le marché sont peu adaptés à la situation en matière d'usages du numérique. Même constat concernant les attaques, où l'inquiétude demeure quant à la capacité concrète à faire face à leur augmentation pressentie sur le court et moyen terme.

D'après le sondage, ces 12 derniers mois la palme du type d'attaque constaté revient aux demandes de rançons (ransomware) à hauteur de 61 %. Les attaques virales représentent 44 %, les dénis de services 38 % et les attaques ciblées 35 % (plusieurs réponses possibles).

Dans un récent article, le Canard Enchainé a révélé que le ministère des transports a été précisément touché par une série d'attaques au ransomware depuis décembre. Matthieu Dierick, ingénieur avant-vente chez F5 Networks, estime que "les ransomwares sont de plus en plus utilisés par les hackers car ceux-ci ont besoin de plus en plus d'argent et cela de plus en plus souvent. Si ceux-ci ne bloquent souvent que certains postes, l'ampleur du phénomène et sa récurrence pourrait en faire une menace plus importante que prévue". "Le ministère du transport semble avoir été victime d'un spoofing d'adresse, c'est-à-dire un envoi d'e-mail en utilisant le domaine officiel/usurpation d'adresse IP", ajoute Florian Coulmier, responsable cybersécurité de Vade Retro Technology. "Ceci est très facile à faire lorsque l'entreprise ou administration, comme c'est le cas ici, ne dispose d'aucun mécanisme de protection sur les serveurs e-mail de destination, tels que SPF (Sender Policy Framework - système visant à authentifier un nom de domaine lors de l'envoi d'un e-mail) ou DKIM (DomainKeys Identified Mail - norme d'authentification fiable du nom de domaine de l'expéditeur d'un e-mail)".

Selon le "Baromètre Sage 2016 des directeurs financiers : sécurité des virements et prévention des fraudes", 62 % des entreprises auraient déjà été victimes d'une fraude. L'enquête a été menée auprès de 500 DAF. Elle montre que, ces dernières années, le nombre de cyberattaques recensées dans le monde a augmenté tant en termes de fréquence que de gravité et d'impact. La France est particulièrement concernée. Parmi les 62 % des cités plus haut, (dont 12 % ont subi cinq tentatives de fraude et plus), 80 % ont été victimes d'une fraude au virement bancaire, 18 % d'une fraude dite du "test bancaire" et 14 % d'une fraude interne, comme la modification d'un RIB par exemple. La majorité des DAF pensent que la fraude est avant tout d'origine externe (73 %), mais ne négligent pas pour autant le risque interne.

On pourrait prolonger la liste des attaques à l'envi : on se souvient par exemple du vol de données chez Target aux États-Unis en 2015, qui avait affecté plus de 100 millions de consommateurs. Il y a quelques jours à peine, une nouvelle attaque ciblant la chaîne de restauration rapide américaine Wendy's a été dévoilée : certaines banques auraient repéré des activités frauduleuses sur les comptes de clients immédiatement après un paiement par carte bancaire dans certains des restaurants de la chaîne. Pour l'instant, l'attaque semble limitée à certains sites, mais de nombreuses interrogations subsistent, sur la manière de s'y prendre des hackers et surtout sur les conséquences potentielles d'une telle attaque si elle était généralisée.

Retour sur l'humain

Le rôle de l'humain reste essentiel dans la protection des SI. Un signe fort : l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), autorité nationale en matière de cybersécurité et de cyberdéfense, multiplie ses actions et se développe. Elle prévoit de passer de 500 à 600 agents au cours des deux années à venir, avec des postes à pourvoir dans toutes les familles de métiers. L'agence disposait d'ailleurs à cet effet d'un espace recrutement sur son stand du FIC.

L'enquête de Sage, de son côté, montre que les RSSI estiment que les enjeux prioritaires de demain seront plus humains que techniques. Il en ressort un impératif criant de donner toute son importance à la cybersécurité dans l'entreprise en y allouant suffisamment de ressources et en lui donnant sa juste place dans la gouvernance. Il est par ailleurs nécessaire de travailler autour des usages, de sensibiliser les utilisateurs et de s'adapter à l'évolution des pratiques.

Benoît Herr

 
RECHERCHE    
 
TRADUCTION
...
 
OUTILS    
Inscription Newsletter    
Deux éditions mensuelles gratuites
Inscription Annuaire    
L'annuaire des pros
Publicité    
20000 visiteurs par mois
 
ANNUAIRE  
MISSLER SOFTWARE / TOP SOLID
CXP Group
SILOG
INCWO
VARIOPOSITIF
SYXPERIANE
VAISONET
VERYSWING
MISSLER SOFTWARE - TOPSOLID
ATHENEO by Mismo
FITNET MANAGER
VERO Software
SHORTWAYS
GROUPE COGESER
tout l'annuaire
 
TRIBUNE LIBRE
Maitriser l'effet papillon* sur la Supply Chain, un enjeu crucial pour les entreprises en matière de gestion de risques
13/04/2017 Quand la presse parle de chaîne logistique, c'est très souvent pour rapporter un problème de grande ampleur. La globalisation de l'économie et la recherche permanente de compétitivité ont en effet décuplé la complexité e ...
L'AS/400, vecteur de convoitise des pirates
12/04/2017 Le serveur Application System/400 que l'on appelle plus communément AS/400 (par simplification, j'utilise AS/400 pour les systèmes dénommés AS/400, iSeries et IBM i) possède la réputation d'être l'une des plateformes trè ...
toutes les tribunes libres
 
 
FOCUS ENTREPRISE    
Salons Solutions
 
26, 27 & 28 septembre 2017 - Paris Porte de Versailles - Pavillon 2.2 EXPOSITION, CONFÉRENCES, ATELIERS ERP, CRM, BI, E-ACHATS, DEMATERIALISATION, ARCHIVAGE EN LIGNE, SDN/INFOTODOC, SERVEURS & APPLICATIONS Les prochains Salons Solutions vont r ...
fiche complète de l'entreprise
 
 
erp-infos.com - copyright groupe solutions 2017 - tous droits réservés
Articles
Trilogiq ou quand l'...
Maitriser l'effet pa...
La Compagnie des bat...
L'AS/400, vecteur de...
Le X3 nouveau est ar...
Syntec, premier mili...
Cerealog dopé par le...
Dépêches
SAP sur sa lancée...
Hardis Group rachète...
Le vieillissement de...
Eudonet annonce sa n...
Ad Ultima démarre le...
Berger-Levrault rach...
EBP MéCa annonce la ...
Communiqués de presse
...
CAPSA FOOD réduit de...
Esker poursuit son d...
Dématérialisation du...
Résultats annuels 20...
BEST WORKPLACES FRAN...
Loi anti-fraude : Pr...
Evénements
INDUSTRIE LYON 2017...
Web-conférence : spé...
Vaisonet au parcours...
Vaisonet au parcours...
Vaisonet au parcours...
Vaisonet au parcours...
Vaisonet au parcours...
erp-infos.com
inscription newsletter
inscription annuaire
qui sommes-nous ?
contacts
publicité
tarifs & conditions
mentions légales
Les autres sites Infopro
E-learning-infos
ERP-infos
Intranet-infos
Eachats-infos
Phonethik