Articles

L’ENISA publie le compte rendu d’activité de l’exercice « Cyber Europe 2014 »

L’ENISA publie aujourd’hui dans sa version publique le compte-rendu d’activité de l’exercice pan-Européen de cyber-sécurité  Cyber Europe 2014  (CE2014).  Le rapport, qui a été validé par les États-membres, donne un panorama détaillé de cet exercice de cyber-sécurité très complexe qui a été mené en 2014.

Le  principal  objectif  de  Cyber  Europe  2014  était  d’apprendre  aux  États-membres  à  coopérer  dans l’éventualité  d’une  cyber-crise.  L’exercice,  qui  s’est  déroulé  sur  trois  phases,  a  tout  d’abord  permis  de mesurer  l’efficacité  des  procédures  de  coopération  et  de  remonter  des  informations  en  cas  de  cyber-incident  transfrontalier  menaçant  la  sécurité  de  services  et  d’infrastructures  stratégiques.  Il  également permis de tester les capacités nationales et les plans de secours en place avec la collaboration des secteurs public et privé.

L’exercice,  mis en place  tous les deux ans par l’ENISA,  a été  organisé conjointement par des représentants des pays participants et a nécessité six (6) réunions de préparation  à travers l’Europe. Cet exercice, auquel ont participé plus de 1 500 participants venus de 29 États-membres de l’UE et de l’AELE, a couvert pour la première fois l’intégralité des trois (3) phases de la procédure de réponse aux cyber-incidents – les phases technique, opérationnelle  et stratégique,  conçues pour être déployées successivement selon la gravité de l’incident :

– Phase 1 –  niveau technique (28-30 avril 2014, 49 heures) : détection de l’incident, analyse et limitation des dommages, échanges d’information.

– Phase  2  –  niveau  opérationnel (30  octobre  2014,  10  heures) :  alerte,  coopération,  limitation  des dommages  à  court  terme,  développement  d’un  aperçu  collectif  de  la  situation.

– Phase 3 –  niveau stratégique –  testé pour la première fois  (25 février 2015) : prise de décisions à partir d’un  aperçu collectif de la situation, débats politiques de haut niveau sur les stratégies à adopter pour limiter les dommages à long terme.
Le rapport montre que notre capacité commune à faire face à des incidents de cyber-sécurité de grande échelle  en  Europe  s’est  considérablement  améliorée  depuis  2010,  année  du  premier  exercice  Cyber Europe. Le partage en temps réel d’informations entre les pays s’est avéré un outil précieux pour accélérer la prise de décisions. Les Procédures Opérationnelles Standard de l’UE (POS-UE) créées en complément de ces  activités  de  coopération  apportent  aux  États-membres  des  consignes  à  suivre  en  cas  d’incident  de cyber-sécurité  de  grande  échelle.  Les  POS  continueront  d’être  perfectionnées  selon  les  évolutions  du contexte politique autour de la cyber-sécurité en Europe.
Le  rapport  montre  que  la  coopération  est  essentielle :  elle  permet  de  développer  une  meilleure compréhension des situations, de renforcer la confiance et de répondre plus rapidement en cas de crise. La Plateforme  de  Cyber  Exercice  (PCE)  développée  par  l’ENISA  pour  la  préparation,  la  mise  en  œuvre  et l’évaluation  de  l’exercice  s’est  avérée  être  un  outil  efficace.   L’ENISA  poursuit  actuellement  le développement  de  la  PCE  afin  d’accueillir  de  nouveaux  cyber-exercices  et  de  tester  des  scénarios techniques. Quatre-vingt dix huit pour cent (98%) des participants à la phase technique  ont déclaré  qu’ils souhaitaient participer à l’exercice suivant.

Lire la suite

Sécuriser les données personnelles : Les directives de l’ENISA relatives aux solutions cryptographiques

L’ENISA lance aujourd’hui deux rapports. Le rapport de 2014 « Algorithmes, taille clé et paramètres » est le document de référence fournissant un ensemble de directives aux preneurs de décisions, en particulier, les spécialistes qui conçoivent et mettent en œuvre les solutions cryptographiques pour la protection des données personnelles au sein des organisations commerciales ou des services gouvernementaux pour les citoyens. L’ « étude sur les protocoles cryptographiques » fournit une perspective de mise en œuvre, en couvrant les directives relatives aux protocoles exigées pour protéger les communications commerciales en ligne contenant des données personnelles.

« Algorithmes, taille clé et paramètres »

Ce rapport est un ensemble de propositions sous une forme facile à utiliser, mettant l’accent sur les services commerciaux en ligne qui recueillent, conservent et traitent les données personnelles des citoyens de l’Union européenne. Il fournit une mise à jour du rapport 2013, sur les directives cryptographiques relatives aux mesures de sécurité exigées pour protéger les données personnelles dans les systèmes en ligne. Par rapport à l’édition 2013, le rapport a été étendu pour inclure une section sur les canaux latéraux de matériel informatique et de logiciels, la génération de nombres aléatoires, une gestion clé de la durée de vie, alors que la partie sur les protocoles est étendue pour 2014 et est une étude indépendante sur les protocoles cryptographiques.

Le rapport explique deux aspects des mécanismes cryptographiques :

Si des données primitives ou un programme peuvent être envisagés pour être utilisés actuellement, dans le cas où ils sont déjà déployés ; si des données primitives ou un programme conviennent en vue d’un déploiement dans des systèmes nouveaux ou à venir.

Les questions de conservation des données à long terme sont analysées avec un nombre de problèmes généraux liés au déploiement des données primitives et des programmes. L’ensemble des mécanismes abordés dans ce rapport sont jusqu’à un certain point normalisés, et ils ont été soit déployés ou il est prévu de les déployer, dans les systèmes réels.

« Étude sur les protocoles cryptographiques »

Le second rapport se concentre sur le statut actuel dans les protocoles cryptographiques et encourage une recherche plus approfondie. Un bref aperçu est présenté sur les protocoles qui sont utilisés dans des domaines d’application relativement limités, tels que le domaine sans fil, les communications mobiles, le domaine bancaire ((Bluetooth, WPA/WEP, UMTS/LTE, ZigBee, EMV) et des environnements spécifiques mettant l’accent sur le « cloud computing ».

L’accent principal du rapport porte sur les directives aux chercheurs et aux organisations dans le domaine, qui comprennent :

Les protocoles de sécurité et cryptographiques, qui doivent être conçus par les experts en matière de protocole cryptographique, plutôt que jusqu’à présent par le réseautage et les experts en matière de protocole. De plus, les chercheurs doivent simplifier l’analyse et permettre aux outils automatisés pour fournir des garanties informatiques solides.
Une attention plus soutenue requise pour la vérification automatisée, afin que la mise en œuvre d’un protocole puissent répondre aux objectifs en matière de sécurité, et examine la manière dont les outils automatisés peuvent garantir la mise en œuvre correcte de la conception d’un protocole.
De petits changements insignifiants dans les protocoles peuvent avoir pour effet l’invalidation des preuves de garantie.
Les protocoles futurs doivent être conçus en utilisant des principes d’ingénierie solides et bien établis, faciliter l’analyse de sécurité officielle, et en conjonction avec des preuves de sécurité officielle, conçus dans la cryptanalyse de leurs constituants primitifs.
Les protocoles futurs ne doivent plus être plus complexes qu’ils n’ont besoin de l’être.
De plus amples travaux doivent être réalisés sur la vérification des API pour les protocoles d’application.

Udo Helmbrecht a déclara à propos de ce rapport : « Ce qui est mis en exergue est le besoin de programmes de certification dans toutes les phases du cycle de vie technologique. Les processus et les produits intégrés de « sécurité par la conception ou par défaut », sont des principes de base pour la confiance. La normalisation des processus est un élément essentiel dans l’assurance de l’application correcte de la réforme de protection des données dans le service aux citoyens européens et son marché intérieur. Les directives de l’ENISA s’efforcent de fournir le cadre adéquat dans la sécurisation des systèmes en ligne. »

Le règlement CE 611/2013 référence l’ENISA en tant que corps consultatif, dans le processus d’établissement d’une liste des mesures de protection cryptographiques appropriée pour la protection des données personnelles. Les directives cryptographiques de l’ENISA doivent servir de documents de référence. Dans cette optique, les principes directeurs sont relativement conservateurs, fondés sur la recherche de pointe actuelle, en abordant la construction de nouveaux systèmes commerciaux avec un long cycle de vie.

Pour les rapports complets : « Algorithmes, taille clé et paramètres » & « Étude sur les protocoles cryptographiques »

Retrouvez ce communiqué de presse sur le site de l’ENISA : http://www.enisa.europa.eu/media/press-releases/securiser-les-donnees-personnelles-les-directives-de-l-ENISA-relatives-aux-solutions-cryptographiques

Etude mondiale de PwC sur la sécurité de l’information et la protection des données

Neuilly-sur-Seine, le 18 mars 2013

Alors que 71% des entreprises affirment avoir toute confiance dans leur système de sécurité de l’information, seules 8% d’entre elles disposent d’une organisation adaptée aux nouvelles menaces informatiques.

Selon la 15ème étude « Global State of Information Security Survey 2013 » de PwC et CIO Magazine, la sécurité de l’information reste un enjeu majeur pour les entreprises à travers le monde. Les cyberattaques sont même plus redoutées par les dirigeants que l’éclatement de la zone euro ou les catastrophes naturelles.

2012 a ainsi vu s’accroître le nombre d’incidents dans ce domaine. 27% des dirigeants interrogés en France affirment avoir connu plus de 10 incidents de sécurité l’an passé, contre 21% en 2011. Au total, 62% des répondants français déclarent avoir connu au moins un incident de sécurité en 2012.

Avec l’émergence de nouvelles technologies, les menaces liées à la sécurité de l’information ne cessent de croître. PwC estime à 500 milliards de dollars la fourchette basse des dépenses mondiales de sécurité dans le monde. Si les budgets des entreprises françaises sont en hausse – 45% des entreprises françaises prévoient d’augmenter leurs dépenses en sécurité de l’information (vs 41% en 2011), ils ne permettent pas de proposer une réponse adaptée à ces nouvelles menaces informatiques.

Les nouvelles technologies augmentent les risques à gérer pour les entreprises…

Cloud computing, réseaux sociaux, 3G, appareils mobiles… Les nouveaux outils technologiques se sont multipliés et complexifiés lors de ces dernières années. En effet, entre 2007 et 2011, Facebook a multiplié par 115% son nombre d’utilisateurs, quand Twitter l’a vu croître de 151% sur la même période. Le cloud computing devrait continuer sa progression : le marché global du Cloud computing sera 20 fois plus important en 2020 qu’en 2008.

Avec ces nouvelles pratiques, deux nouveaux risques émergent pour les entreprises, notamment le Bring Your Own Device (BYOD), qui consiste pour les salariés à utiliser leurs outils personnels au travail, et les réseaux sociaux, sur lesquels de plus en plus de collaborateurs postent des informations concernant leur entreprise.

Et parmi les menaces les plus redoutées des dirigeants, les cyberattaques sont considérées comme le troisième scénario ayant le plus d’impact sur leur organisation, bien avant le potentiel éclatement de la zone euro ou une catastrophe naturelle, selon l’étude annuelle de PwC « CEO Survey » lancée à Davos.

[…]

Retrouvez ce communiqué de presse de PWC en entier [ici] et l’étude « Global State of Information Security Survey 2013 » [ici]