Quoi de neuf dans la cyber ? Nouveaux Webinars 2019
À la une,PKI

L’été approche, le moment idéal pour se mettre à jour des dernières actualités du monde de la cybersécurité et anticiper votre rentrée professionnelle. Assistez aux prochains Webinars inédits animés par des experts du secteur des identités numériques – PKI – IoT – Biométrie – Cloud, sur la chaîne Webikeo d’IDnomic.

La PKI au coeur de l’identité numérique – Panorama des cas d’usage

https://webikeo.fr/webinar/la-pki-au-coeur-de-l-identite-numerique-panorama-des-cas-d-usage-1/share?campaign=IDnomic

Jeudi 20 juin – 10h30 >>

La confiance numérique est l’assurance que l’on porte à une identité numérique sur ses actions envers d’autres identités numériques. Pour garantir cette confiance, 4 piliers sont essentiels : l’authentification, la confidentialité, l’intégrité et la non-répudiation. La PKI permet par le biais de certificats électroniques, de confirmer l’identité des parties impliquées dans la communication et de valider les informations transmises. Mais concrètement, comment fonctionne la PKI et quels en sont les usages ?

EN SAVOIR PLUS

En voir plus

Millennials et Cybersécurité : Entente ou discorde ?
À la une,Cybersécurité

cybersecurite

Le monde dans lequel nous vivons évolue vite et est de plus en plus connecté. La technologie ne cesse de se développer tout comme les outils numériques à notre disposition et ce n’est pas la « Génération Y » qui dirait le contraire.

La Génération Y (ou « Millennials ») est le nom donné à l’ensemble des personnes nées entre 1980 et l’an 2000 : les 20-39 ans. Nés à l’ère du numérique, on les surnomme souvent les « digital natives », ils manifestent le besoin de se tester sur tout et entretiennent une sorte de « culture d’instantanéité » appelée plus simplement le « tout, tout de suite » qui leur procure au quotidien un réel sentiment de liberté, et le fait de se dire que, finalement, tout est possible.

En témoignent les chiffres clés de l’étude Baromobile (source Baromobile, 2018 qui révèlent que 98% d’entre eux utilisent leur smartphone pour aller sur internet et se connectent en moyenne 33 fois par jour. Les Millennials devraient donc logiquement être plus conscients des cyber-risques attachés au numérique que le reste de la population. Mais qu’en est-il vraiment ? Sont-ils formés pour appréhender ces nouveaux enjeux ?

Une récente étude du rapport State of Phishing, 2019 révèle que cette surexposition à Internet a rendu cette génération « insouciante et détachée des problèmes de sécurité ». Elle constituerait ainsi une cible idéale pour les hackers puisqu’ils sont constamment en ligne et donc souvent exposés. Ils sont également persuadés qu’une attaque toucherait en priorité les plus âgés car ils se disent « suffisamment informés » pour que cela ne leur arrive (d’après une étude Get Safe Online, 2019).

Ces deux dernières années ont pourtant révélé plusieurs cyber-attaques de grande ampleur qui ne visaient pas un cénacle d’experts techniques ou de grands groupes industriels mais des utilisateurs particuliers : les fuites de données de Yahoo ! ou Uber, le ransomware WannaCry nous viennent à l’esprit et ce ne sont pas les seuls.

 cybersécurité

Au-delà du risque attaché à ces actes malveillants, ces attaques ont surtout mis en lumière le fait que les sites collectent des millions d’informations personnelles et sensibles et que leur diffusion peut avoir des conséquences majeures.

Voilà pourquoi le Règlement Général sur la Protection des Données (RGPD), dont on célèbre actuellement le premier anniversaire de son entrée en vigueur, est une excellente nouvelle.

Il a permis de rééquilibrer un peu les choses en redonnant, en quelque sorte, le pouvoir aux citoyens européens sur ses données personnelles. Tel est l’objectif premier de ce Règlement, forgé par la Commission Européenne et adopté par le Parlement. Il impose aux entreprises des normes de transparence sur la collecte et l’utilisation des données venues de leurs clients.

Les choses progressent donc dans le bon sens mais beaucoup reste encore à faire. Comment ?

Cybersécurité : Quelles mesures ?

A leur entrée sur le marché du travail cette génération Y devrait par exemple être sensibilisée aux bonnes pratiques élémentaires de sécurité informatique, et ce quel que soit l’environnement dans lequel elle évolue. Ne l’oublions pas, chaque utilisateur est un maillon à part entière de la chaîne numérique.

millennials

Il conviendrait par ailleurs de s’interroger sur la capacité de ces Millennials à se plier aux règles d’une structure qui n’adopterait pas ce que l’on appelle le BYOD (Bring Your Own Device) c’est-à-dire l’usage d’équipements numériques personnels au travail ou bien leur interdirait complètement l’accès aux réseaux sociaux depuis leurs appareils personnels. La sécurité du système d’information de l’entreprise doit en effet être conciliée avec le respect de la vie privée des employés qui utilisent des équipements personnels dans le cadre de leur activité professionnelle. Une étude de Risk Attitude de 2017 rapportait d’ailleurs que 58% des jeunes de cette génération seraient peu soucieux des données sensibles et confidentielles.

Une sensibilisation sur les bonnes pratiques de sécurité est donc essentielle mais peut-être devrait-elle commencer dès le plus jeune âge ?

Les parents ont sans conteste un premier rôle à jouer en évoquant les dangers d’une exposition trop fréquente de la vie privée de leurs enfants sur les réseaux et en surveillant leurs activités en ligne.

Cette sensibilisation pourrait aussi trouver sa place dans le lieu même de l’éducation : l’école. Dans le même esprit que l’éducation civique, la citoyenneté numérique pourrait y être enseignée, pour qu’à long terme, cette génération connectée adopte une « vigilance naturelle ».

Des initiatives commencent à voir le jour dans ce sens. Ainsi, lors du Forum International de la Cybersécurité, événement professionnel qui s’est tenu en début d’année, une application, nommée « Pro.T.E.C.T » (Programme Territorial d’Education à la Cyber Tranquillité), sous forme de jeu didactique a été lancée par la Gendarmerie et la police des Yvelines en collaboration avec l’association E-enfance afin de sensibiliser d’une autre manière les jeunes enfants à une « bonne hygiène » du numérique.

Cybersécurité, nouvelle génération avide de liberté, les entreprises doivent se donner une mission : construire ensemble le monde sécurisé de demain. En d’autres termes, accompagner les Millennials pour évoluer dans un environnement de technologies, faisant émerger chaque jour des compétences nouvelles au sein d’une génération motivée et en quête permanente de sens.

En voir plus


Webinar – La PKI au coeur de l’identité numérique, panorama des cas d’usage
À la une,PKI

La PKI au cœur de l’identité numérique – Panorama des cas d’usage

Jeudi 20 juin – 10h30

Webinar PKI

La confiance numérique est l’assurance que l’on porte à une identité numérique (lien technologique entre une entité matérielle et sa représentation numérique ) sur ses actions envers d’autres identités numériques.

Pour garantir cette confiance, 4 piliers sont essentiels : l’authentification, la confidentialité, l’intégrité et la non-répudiation.

La PKI (Public Key Infrastructure) permet par le biais de certificats électroniques, de confirmer l’identité des parties impliquées dans la communication et de valider les informations transmises. Mais concrètement, comment fonctionne la PKI et quels en sont les usages ?

C’est le sujet abordé par Guillaume Jaccarini, Directeur Marketing chez IDnomic, à l’occasion de ce nouveau Webinar le Jeudi 20 juin prochain à 10h30.

Pour y participer, remplissez le formulaire ci-dessous :

En voir plus

Gérer sa sécurité en mode cloud – Bonne ou mauvaise idée ? – Cas du secteur bancaire
À la une,cloud

sécurité cloud

Opter pour une infrastructure en mode cloud n’est pas de prime abord le choix numéro 1 des acteurs bancaires. Pour quelles raisons ? D’après eux, le SaaS s’avouerait peu fiable et non adapté aux besoins du secteur. Fabien Clarke et Alicia Balavoine, Product Owner chez IDnomic, lèvent les idées préconçues et explorent pour vous les bénéfices des services cloud à destination des banques en 2019.

Au programme de ce Webinar :

  • Où en sont les banques dans la sécurisation de leurs systèmes d’informations ?
  • Pour ou contre l’externalisation de sa PKI ?
  • Les points forts d’une migration cloud
  • Les bonnes pratiques à appliquer

Participez à un Webinar inédit en remplissant le formulaire ci-dessous :

En voir plus

OCSP – Donnez l’état de votre certificat en temps réel !
À la une,OCSP

OCSP Certificat en temps réel

Comme vous le savez certainement, dans son fonctionnement de base une PKI doit publier toutes les 24h une liste de certificats révoqués. Cette liste de certificats révoqués que l’on appelle CRL vous permet d’identifier les certificats qui ne sont plus valides et/ou plus dignes de confiance.

Un certificat peut avoir été révoqué avant sa date d’expiration par l’intermédiaire de l’Autorité de Certification (AC) émettrice, dans le cas où une personne a quitté une organisation ou si l’on suspecte la compromission de la clé privée. Il est donc essentiel de s’appuyer sur un service qui a la capacité de vérifier la validité du certificat au moment où l’on souhaite l’utiliser.

Les certificats électroniques ayant une durée de validité limitée c’est alors  l’AC qui gère leur cycle de vie, qu’il s’agisse de les renouveler ou de les révoquer. Face à la perspicacité des cybercriminels, un délai de 24h peut toutefois s’avérer beaucoup trop long… C’est pourquoi le recours à un service de validation en temps réel d’un certificat – Service communément appelé OCSP pour Online Certificate Status Protocol peut être recommandé.

Le statut de vérification d’un certificat est donc accessible selon deux modes : l’interrogation de la CRL ou l’utilisation d’un répondeur OCSP.

CRL et OCSP – Qu’est-ce qui les différencie ?

Une CRL (Certificate Revocation List) est la  liste « noire» regroupant les identifiants des certificats qui ne sont plus dignes de confiance, soit parce qu’ils ont été révoqués ou parce qu’ils sont désormais invalides.

La révocation d’un certificat pour rappel consiste à annuler le certificat avant la date de son expiration effective ou à « faire opposition », la même procédure que pour une carte bancaire lorsque celle-ci a été volée par exemple. Cette action est par conséquent définitive. Après révocation le certificat n’est plus utilisable, son statut change et passe ainsi de certificat valide à révoqué.

Une CRL est  datée et signée par une AC et périodiquement publiée. Pour vérifier la validité d’un certificat, le vérificateur doit envoyer une requête au serveur de publication hébergeant la CRL correspondante, avec l’identifiant de l’AC en charge du certificat ; il reçoit alors la dernière CRL générée par l’AC et doit ensuite vérifier la signature de la CRL et sa durée de validité, pour ensuite rechercher le certificat au sein de la CRL.

L’avantage de la CRL est sa simplicité, sa richesse en informations et son faible risque système. La taille de la CRL constitue toutefois son inconvénient majeur… La bande passante nécessaire à la mise à jour et à la vérification est très élevée, ce qui limite considérablement son extensibilité.

La « fraicheur » d’une CRL mérite également un point d’attention car il existe une période d’« incertitude » entre l’interrogation du statut du certificat et la date de publication effective de la CRL comme le montre l’exemple ci-dessous :

  • Heure de publication de la CRL 01:00:00
  • Date d’interrogation du statut d’un certificat valide dans la précédente CRL 06:00:00
  • Incertitude sur le statut du certificat 5 heures.

C’est indéniable, la mise en place de mécanismes de révocation est critique pour conserver la confiance dans les certificats.

Le choix du mécanisme de révocation repose donc sur l’analyse des besoins en sécurité et en disponibilité, des contraintes de débit et de temps ainsi que sur l’architecture du système d’information.

OCSP

L’OCSP « Online Certificat Status Protocol » est un Protocole de vérification de certificat en ligne. Il représente une alternative efficace  puisqu’il peut permettre de vérifier en temps réel (s’il se base sur « liste blanche ») le statut d’un certificat.

L’OCSP, qui est un standard de l’IETF (RFC2560), introduit un serveur OCSP de confiance auprès duquel les vérificateurs vont s’adresser pour connaître l’état de validité d’un certificat (‘bon’, ‘révoqué’, ‘inconnu’). Le vérificateur qui a connaissance du certificat du serveur doit vérifier l’authenticité des messages signés et retournés par le serveur.

L’OCSP peut s’appuyer soit sur CRL soit sur « liste blanche » qui vérifie en temps réel le numéro du certificat transmis par l’émetteur. Via un mécanisme de requête-réponse demandant à l’Autorité de certification des informations très précises, le protocole OCSP réduit ainsi au maximum la période d’incertitude entre les dates et heures de mises à disposition des CRL. Un transpondeur OCSP fournit donc des informations de révocation plus récentes que les CRL téléchargées de façon asynchrone, mais il doit pour cela être joignable en permanence

En pratique, une requête OCSP contient :

  • la version du protocole
  • le service demandé
  • les informations du certificat pour connaître son statut
  • les extensions supportées ou non par le serveur OCSP en tant que signature de la requête.

La réponse signée du transpondeur contient :

  • la version utilisée du protocole afin de construire la réponse
  • la réponse sur le statut du certificat demandé
  • le bloc de signature
  • le certificat du serveur OCSP interrogé
  • l’heure de production de la réponse
  • l’heure exacte à laquelle la réponse est fournie (cette information est tributaire de l’aspect ou non temps réel de l’information).

Si l’information transmise n’est pas instantanée, apparaît alors une information complémentaire de type « prochaine mise à jour » qui indique le moment où le statut du certificat peut être contrôlé. En fonction du besoin client, le service OCSP met en œuvre différents mécanismes pour garantir la « fraîcheur » des informations qui sont à disposition du transpondeur !

Vous l’aurez compris, afin de satisfaire au mieux vos exigences environnementales, le choix d’une méthode de révocation par rapport à une autre doit être fait en fonction des exigences de l’application (surtout en matière de fraîcheur d’informations de révocation et niveau de sécurité), du niveau de disponibilité des ressources dans le système (bande passante, puissance de calculs, etc.) et du délai de calcul toléré.

Dans cette dynamique d’optimiser davantage le service, nous recommandons de combiner l’OCSP avec un service d’horodatage électronique. Il s’agit d’un service de sécurité qui permet d’attester que des données sous forme électronique existaient bien à un instant donné. L’horodatage consiste donc à apposer à un fichier une date provenant d’une source de temps fiable sous la forme d’un jeton

Dans la pratique, lors de l’horodatage d’un document électronique, le jeton d’horodatage scelle le document avec une datation « universelle » pour en garantir son intégrité et sa valeur probante. L’horodatage constitue donc une preuve juridique incontestable.

La vérification du statut des certificats est une phase cruciale dans un processus de contrôle d’authentification ou de validation de signature. IDnomic en a bien conscience et c’est pour cette raison qu’elle met à disposition de ses clients une plateforme intégrant les services OCSP et TSP « Time Stamping Protocol » !

En voir plus

Les 3 grandes étapes à suivre pour migrer vers une solution de confiance cloud
À la une

etapes migration cloud

Appréhender un projet de migration cloud, aussi simple soit-il, n’est pas toujours évident. Les entreprises sont de plus en plus tentées d’opter pour des solutions Saas, ce qui en soit est peu étonnant puisqu’elles rassemblent de nombreux avantages. Incontournable, le mode cloud a su conquérir le cœur des Directions des Systèmes d’Informations (DSI), de moins en moins réfractaires à l’idée d’externaliser leur système de sécurité. Pour quelles raisons exactement ?

Le modèle économique est souvent avantageux puisqu’il s’agit d’un abonnement que vous pouvez résilier plus aisément. Le gain de temps fait également partie des atouts du Saas puisque la maintenance est gérée directement par votre fournisseur depuis un Datacenter externe à votre entreprise. Vous ne vous souciez plus des aspects logistiques et n’êtes plus confronté aux mises à jour des systèmes ou aux problématiques de stockages. Vous déléguez une partie de vos responsabilités et laissez place à l’expertise de votre partenaire de confiance !

Dans le cas où vos besoins évoluent, vous gagnez en agilité puisqu’il est plus aisé d’adapter l’offre à laquelle vous avez souscris contrairement à un investissement machine interne à votre société. Les applications et services que vous utilisez en parallèle dans le cloud sont accessibles où que vous soyez à partir du moment où vous disposez d’un terminal et d’une connexion internet.

Migrer vers le cloud nécessite cependant de prendre en compte certaines variables afin de se poser les bonnes questions au bon moment. Nous vous partageons les 3 grandes étapes à suivre pour mener à bien votre projet d’équipement cloud !

1ère étape : définir le périmètre du projet de migration cloud

Être dans une démarche de migration cloud est déjà une bonne chose, mais avant de se lancer il est recommandé d’anticiper chaque étape de la mise en œuvre et définir l’ensemble de vos besoins. Posez-vous tout d’abord les questions du type : Quel est l’objectif de ma transition vers le cloud ? – Qu’englobe la migration ? (uniquement la partie sécurité, d’autres projets transverses, la liaison avec d’autres outils cloud existants…) – Quel impact aura ce changement auprès de mes équipes et au sein de ma structure ? – Quel est mon budget ? – Quels sont mes impératifs ?

Équiper une société et tout un pays n’est évidemment pas tout à fait la même chose… La mise en œuvre est rapidement faramineuse, cependant l’élaboration de votre projet quant à lui reste le même si ce n’est des variables supplémentaires à prendre en compte.

L’ampleur du projet dépend en premier lieu vous de si possédez déjà une architecture de confiance. Si tel n’est pas le cas, commençons par le début ! En collaboration avec votre partenaire de confiance, détectez :

  • Les acteurs du projet : identifiez en premier lieu votre chef de projet ou RSSI en fonction de votre infrastructure, un acteur essentiel du système d’information et l’un des contributeurs les plus importants dans la sécurité de votre entreprise. Il peut être interne à votre entité ou un sous-traitant, tout dépend de votre organisation. Attribuez par la suite des rôles de confiance en fonction du degré de sécurité auquel sont affectés les autres contributeurs que vous aurez identifié.
  • Les risques et les objectifs de sécurité : apportez une attention particulière aux besoins de sécurité du système d’information et de ses interconnexions. Listez vos processus d’accès aux informations sensibles afin de repérer les potentiels vecteurs d’intrusions et de compromissions.
  • Les zones de confiance physiques et virtuelles : procédez au découpage de votre système d’informations pour réduire la surface d’exposition aux attaques informatiques et leurs conséquences.

Le travail réalisé en amont avec votre fournisseur de confiance vous permet de bien penser les procédures d’identification, d’authentification et des droits d’administration. Il vous permet également d’avoir une vue d’ensemble des systèmes d’échanges sécurisés du SI d’administration qui vous convient le mieux. Cette analyse préalable aide aussi à mieux cerner vos besoins pour vous équiper des solutions les plus adaptées à votre métier.

D’une autre manière, vous possédez déjà d’une chaîne de confiance bien rodée et vous souhaitez évoluer vos processus, dans ce cas de figure la mise en place sera moins complexe. Dans le cadre de cette démarche, il n’est pas rare de voir des évolutions de l’existant pour parfaire cette nouvelle gestion de sécurité des infrastructures. L’occasion de revoir votre architecture de confiance existante et déceler de potentiels ajustements !

Pour mener à bien la migration de l’architecture de confiance existante, en collaboration avec votre partenaire faite une analyse préalable de l’existant – Établissez un plan de migration détaillé – Identifiez les risques liés à la migration – Anticipez le « Plan de Bascule » – Pour au final, mettre en œuvre la pré-production qui basculera côté production au moment que vous aurez choisi.

schéma architecture de confiance existante migration cloud Exemple de mise à disposition d’une architecture de confiance existante avec IDnomic

Vous avez désormais une idée exhaustive du déroulement d’un projet de migration cloud. L’étape qui suit a une place fondamentale dans la réussite de votre transition…

2ème étape : le choix de son fournisseur de confiance

choisir partenaire de confiance migration cloud

La migration nécessite de suivre quelques étapes, et ces processus ne sont pas toujours évidents à maîtriser. C’est pour cette raison qu’il est vivement conseillé d’être accompagné par un prestataire de service spécialisé qui saura vous conseiller dans votre cheminement.

S’engager avec un fournisseur de cloud est un investissement sur le long terme. La stratégie du prestataire, sa santé financière et sa capacité à accompagner la croissance de son client à l’international sont autant de points à prendre en considération dès le début du partenariat.

Pour ne pas vous tromper et retenir celui qui sera pour vous le meilleur partenaire de confiance, voici quelques points qui vous guideront dans votre choix. Examinez tout d’abord l’expérience antérieure du fournisseur dans la migration cloud, vous avez plusieurs possibilités mais vous pouvez de prime abord vérifier si le prestataire détaille son offre Saas sur son site web. Les types de clients pour lesquels il a travaillé sont également une preuve de la qualité de ses services, d’autant plus si le fournisseur en question collabore avec des entreprises du même secteur que le vôtre. Tentez en parallèle de découvrir les certifications obtenues par le prestataire de service.

Pour vous aiguiller un peu, dans le cadre d’une migration cloud les qualifications requises sont la conformité au référentiel général de sécurité (RGS) et eIDAS, un règlement consacré à l’identification électronique et aux services de confiance renouvelé chaque année au travers d’un audit des plateformes mené par LSTI, un organisme d’évaluation de la conformité. Le SecNumCloud, référentiel d’exigence publié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en 2017 participe lui aussi à cette conformité, puisqu’il s’applique uniquement aux fournisseurs de services informatiques « en nuage ». Les produits proposés par le fournisseur dans l’idéal doivent eux aussi « montrer patte blanche » ! La certification CC EAL4+ fournit un haut niveau d’assurance qualité pour les applications civiles. Il est aussi le plus haut niveau d’évaluation que l’on peut obtenir, reconnu par l’ensemble des pays signataires de l’accord des Critères Communs.

Vous pouvez aussi vous pencher sur les retours clients si vous en connaissez, n’hésitez pas à les solliciter et investiguer sur des questions du type : Entretenaient-ils de bonnes relations avec leur fournisseur ? – Le service client était-il à la hauteur de leurs attentes ? – Sont-ils réactifs en cas de problème ? Etc. Autre conseil, découvrez avec qui le prestataire de service collabore. Dans ce milieu, entretenir son réseau et travailler en collaboration avec des tiers est très habituel. Un bon signe lorsque le fournisseur en question est entouré d’acteurs connus et reconnus. Le mieux est de vous rapprocher d’un avant-vente afin qu’il vous présente la ou les solutions les plus pertinentes, et qu’il identifie les moyens à mettre en œuvre pour mener à bien votre projet.

Vu que vous souhaitez passer au mode Saas, il est pertinent de connaître où seront hébergées vos données et quel est le niveau de sécurité assuré. La majorité du temps cette information est facilement accessible, mais si vous ne l’a trouvé pas posez la question directement auprès du partenaire candidat. Pour vous donner un ordre d’idée, il existe un classement des Datacenters par niveau de sécurité : Tiers 1, 2, 3 et 4.

Dans le cas d’IDnomic, le Datacenter est équivalent Tiers 4 d’après les critères de la Caisse des Dépôts et Consignations, comprenant une sécurité du site 24/24h et 7/7j par les équipes techniques. Le niveau Tiers 4 est considéré comme le plus haut niveau de sécurité. On accorde ce niveau au Datacenter lorsque celui-ci possède des circuits assurant l’alimentation en électricité et la distribution du refroidissement.

En choisissant un fournisseur qui certifie ce haut niveau de sécurité, vous bénéficiez d’une garantie totale pour la protection de vos stocks de données informatisées. Les serveurs stockés en Tiers 4 profitent d’un bloc d’alimentation doublé – deux processeurs – la possibilité d’un changement de disque en Hot Swap, permettant de remplacer un composant défaillant sans qu’il soit nécessaire d’interrompre la disponibilité du serveur concerné.

3ème étape : préparer la phase de transition

astuces transition migration cloud

Vous venez de délimiter votre projet et identifier votre fournisseur de PKI, il est désormais temps de passer à la prochaine étape : appréhender en amont l’impact auprès des équipes affiliées à cette nouvelle organisation.

La réussite du déploiement repose en partie sur une parfaite cohérence des briques et métiers impliqués directement. Déterminer précisément le rôle de chaque acteur participant au projet est essentiel. Nommez un(e) responsable « migration dans le cloud » en charge d’arbitrer les choix fonctionnels mais aussi de « prêcher la bonne parole » auprès de vos utilisateurs. N’hésitez pas à partager les échéances clés à l’ensemble des personnes impliquées pour garantir une parfaite coordination.

Outre cet aspect, il est important de garder en mémoire que la majorité du temps nous avons peur de l’inconnu. Lorsque nous agissons ainsi nous avons davantage tendance à nous accrocher à ce que nous connaissons déjà. Ce comportement peut alors constituer un frein dans votre projet de transition vers le cloud. L’intérêt d’investir l’ensemble des contributeurs dès le début du projet est alors capital ! Après avoir fait un recueil exhaustif de vos besoins, il est utile de les impliquer dans le choix de la solution. La clé de voûte du bon déroulement de la phase de transition, c’est la cohésion humaine et technique entre les équipes.

Cette démarche est aussi l’occasion de développer de nouvelles compétences pour vos utilisateurs et également la meilleure façon d’atténuer leurs appréhensions. Vous avez la possibilité d’engager de nouveaux talents dans cette aventure, de même que donner l’opportunité à chacun de participer ce qui accélérera votre transition vers le cloud.

L’aspect formation est lui aussi un impératif pour le suivi quotidien des opérations. Organisme de formation agréé (n° d’agrément : 11 92 19072 92) auprès de la Direction Régionale des Entreprises, de la concurrence, de la consommation, du travail et de l’emploi d’Ile de France, IDnomic propose un panel de formations en fonction des besoins de vos utilisateurs. C’est toute cette phase de conduite et d’accompagnement au changement qui participe à la réussite de votre projet. Ne la négligez surtout pas !

Vous avez dès à présent une vue d’ensemble sur le déroulement d’un projet de migration cloud ainsi que les étapes à suivre pour faire de votre transition numérique un véritable succès. Bonne chance !

En voir plus

IDnomic – En route vers la qualification SecNumCloud !
À la une,Non classé

baptiste duhen secnumcloud idnomic

Depuis fin 2018, un projet interne est mené par le Département Sécurité, et plus particulièrement par Baptiste Duhen, Chief Information Security Officer, qui a entrepris des démarches pour obtenir la qualification SecNumCloud du service SaaS ID-PKI. Le fruit d’une initiative visant à être au plus près de la sécurité des clients et des partenaires. IDnomic a fait l’objet d’une analyse poussée dont les retours lui permettent aujourd’hui d’envoyer sa candidature auprès de l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

SecNumCloud, Quèsaco ?

De quoi s’agit-il concrètement ? Le SecNumCloud est un nouveau référentiel d’exigences publié par l’ANSSI en 2017 et applicable aux fournisseurs de services informatiques « en nuage » (Cloud Computing). Anciennement baptisé Secure Cloud, la qualification permet aux acteurs cloud d’attester leur conformité aux exigences du référentiel.

Issu du « Plan Cloud » (l’un des 34 programmes lancés depuis 2014 aligné sur la norme ISO 27001), le référentiel SecNumCloud indique les mesures de sécurité à opérer pour délivrer un service cloud hautement sécurisé. L’objectif d’IDnomic est en l’occurrence de qualifier sa nouvelle offre SaaS : IDCA et IDRA.

Dans cette démarche, plusieurs départements seront sollicités : le service R&D – le SaaS – les Chefs de projets – le Customer Service – la Sécurité – l’IT Bureautique – le Corporate – Le Juridique. Un vrai projet interne où la majorité des équipes est contributrice !

De reconnaissance nationale, la qualification reste encore nouvelle sur son marché, et ne s’est pas encore imposée. A ce jour, 4 entreprises sont en cours de qualification et uniquement Oodrive a obtenu le label. Baptiste Duhen en fait le pari, IDnomic sera la prochaine sur la liste !

Quel impact pour l’entreprise ?

Ce type de projet impacte de toute évidence l’environnement structurel d’IDnomic. Les changements s’exerceront principalement au niveau des zones publiques, privées et sensibles, au travers de l’accentuation du marquage grâce à la mise en place de signalétiques et l’ajout de contrôles d’accès. Un moyen également de rationaliser les espaces en identifiant plus facilement les zones. Au final, ce sont peu de transformations en prévision, les équipes peuvent être rassurées !

Pour IDnomic, cette démarche permet avant tout d’asseoir sa position de leader sur le secteur de la sécurité numérique. En lien avec l’évolution du marché, obtenir la qualification SecNumCloud est un gage de qualité supplémentaire aux yeux de son écosystème, notamment vis-à-vis de ses clients et partenaires.

L’obtention du label positionne IDnomic comme l’un des fournisseurs de services de confiance les plus importants dans son domaine. Être associé aux acteurs européens de confiance reconnus participe par conséquent à booster le business de l’entreprise et gagner en attractivité.

Le niveau d’exigence est important et l’ensemble des acteurs français ne peuvent prétendre au label SecNumCloud. Il existe plusieurs raisons à ce phénomène, tout d’abord une harmonisation globale des procédures est nécessaire et celle-ci peut s’avérer fastidieuse. Les sociétés candidates doivent avoir une certaine maturité quant à leurs processus de sécurité et d’après l’analyse d’impact menée par le cabinet de conseil SealWeb, IDnomic serait déjà conforme à plus de 80%, ce qui est encore loin d’être le cas pour la majorité des acteurs cloud.

Pour prétendre au label, chaque candidat doit faire l’objet d’une rétrospective poussée auprès d’un évaluateur spécialisé dans la sécurité informatique, tels qu’Afnor Certification ou encore LSTI. Dans le cas d’IDnomic, cette analyse est menée par LNE, l’Etablissement public à caractère industriel et commercial placé sous la tutelle du ministère de l’économie et des finances en charge de l’industrie. Son rôle est d’auditer l’ensemble du périmètre des services cloud proposés par IDnomic afin de déterminer si l’entreprise est éligible ou non à cette qualification.

IDnomic est confiant pour officialiser auprès de son écosystème l’obtention de la qualification SecNumCloud d’ici fin d’année 2019.

En voir plus

Les 5 piliers de la sécurité by design pour l’IoT
À la une,C-ITS,Internet of Things

5 piliers securité by design pour IoT

De la domotique à la santé en passant par la Smart City et l’industrie 4.0, l’IoT apporte une valeur à la donnée, dont il est désormais difficile de se passer. L’avenir prévoit de beaux jours pour ces objets qui doivent cependant encore résoudre de nombreux enjeux liés à leur inter-connectivité. La Cyber sécurité fait notamment parti des sujets qui doivent être pris à bras le corps par les fabricants et les utilisateurs de ces nouvelles technologies qui doivent désormais sécuriser les objets et les données qu’ils produisent.

Les fondeurs proposent aujourd’hui des composants intégrant cette sécurité dite « by design » mais ils sont encore trop peu nombreux à être utilisés par les fabricants d’objets qui envisagent en priorité de résoudre les enjeux de connectivité et de réactivité dans un environnement en constante évolution. S’ajoute à cela des contraintes économiques où ce nouvel investissement ne peut faire augmenter de manière trop significative le prix d’un objet qui ne coûte parfois que quelques euros à sa sortie d’usine.

Enfin, il est bon de rappeler que la sécurité dès la conception ne relève pas que de la volonté de ces acteurs à l’intégrer sur les lignes de production mais également à faire face à des contraintes de communication, d’environnement ainsi que de sécurité physique sur l’objet. Il n’en demeure pas moins que les points d’améliorations essentiels sont identifiés. IDnomic vous propose ses 5 mesures de sécurité « by design » pour les objets connectés :

1. Hardware et robustesse

hardware robustesse 5 piliers securité by design iot

Les objets se composent de microcontrôleurs, mémoires et autres composants électroniques qui doivent être en capacité d’être suffisamment robustes pour s’affranchir d’une cyberattaque. Ainsi pour se prémunir de potentiels compromissions il faut envisager des composants intégrant la sécurité et notamment celle du code de démarrage lors de la mise en marche de l’objet (secure boot) ou celle des données stockées dans la mémoire flash (secure flash).

Il faut ensuite prévoir des processeurs suffisamment puissants pour gérer la cryptographie asymétrique permettant de chiffrer les communications. L’intégration d’un « secure element » pour sécuriser le secret nécessaire au chiffrage des données échangées dans un emplacement mémoire dédié est également à étudier. Enfin, il faut repenser la conception des architectures logiciels qui doivent prendre en compte ces nouveaux hardwares.

2. Sécurité des communications

securité des communications 5 piliers securité by design iot

Comme pour les utilisateurs ou les PC d’un réseau bureautique sécurisé, les objets connectés doivent présentés une identité numérique pour pouvoir s’inscrire dans le système d’information et s’intégrer dans un environnement de confiance. Ainsi l’identité des machines repose sur des caractéristiques qui permettent de les définir.

Le certificat numérique et les clés cryptographiques constituent la technologie de rigueur pour attribuer cette identité unique. Ils permettent à travers une authentification mutuelle des identités, de chiffrer les communications et de s’assurer de l’intégrité des données transmises au sein de l’infrastructure IoT. De cette manière, les communications ne pourront s’établir qu’avec les équipements (IoT, concentrateur, serveur applicatif, poste de supervision…) du domaine de confiance.

Outre la confiance de l’objet avec son environnement, le certificat peut être utilisé pour plusieurs autres cas d’usage dont la gestion des permissions pour l’application qui pilote le parc d’objets ou encore l’authentification des identités qui mettent à jour l’objet. Par l’exemple l’opérateur de maintenance qui met à jour le programme de l’objet.

3. Crypto-agilité et gestion du cycle de vie de l’objet

crypto-agilité et gestion cycle de vie 5 piliers securité iot

La sécurité de l’objet tout au long de son cycle de vie passe par une gestion de son identité numérique de la fabrication jusqu’à sa mise au rebut. La crypto-agilité ou la capacité à gérer des identités machines en temps réel et de manière totalement automatisée s’avère essentielle pour assigner, renouveler ou révoquer des identités en masse à travers la gestion de certificats.

L’infrastructure de gestion des identités que l’on nomme PKI (Public Key Infrastructure) permet cela. Elle doit être capable de gérer une évolution rapide du nombre d’identité objet et être en mesure de répondre à une forte sollicitation pour des parcs de machines bien plus importants que ce que l’on trouve en entreprise. Enfin, il faut que ce service puisse être mis en œuvre avec une infrastructure portée vers le cloud qui assure une disponibilité sans faille à travers un datacenter qui répond aux exigences de sécurité.

4. Mise à jour des équipements

mise à jour equipements 5 piliers securisation iot

Comme pour les équipements IT traditionnels, la sécurité de l’IoT doit s’inscrire dans le temps grâce à un suivi constant des mises à jour de logiciels et micrologiciels lui permettant de se prémunir des nouvelles failles identifiées. Une mise à jour à distance et automatisée est de rigueur pour des infrastructures parfois composées de millions d’objets et pour lesquels il est difficile de rapatrier le parc. Lors de la mise en place des procédures il faudra penser à en optimiser la fréquence tout en prenant en compte les contraintes de l’objet.

Par exemple, pour des objets alimentés par une pile et déployés dans le monde entier, il faudra envisager l’impact d’une mise à jour sur la durée de vie de l’objet. Les composants sont en effet plus sollicités et peuvent consommer davantage. Il faut également s’assurer d’une disponibilité sans faille des voies de communication. Une coupure pendant le transfert de fichier peut rendre inopérant tout un parc d’objets. Pour minimiser les risques et économiser la consommation d’énergie, il faut optimiser la taille des fichiers échangés et privilégier le patch ou la mise à jour delta plutôt qu’une mise à jour complète. Puis, il faut s’assurer que le code est bien celui de l’organisation qui l’édite en signant électroniquement le fichier à l’édition.

L’objet pourra ainsi s’assurer de la provenance du fichier transmis en vérifiant la signature. Enfin, la procédure de mise à jour doit être pensée pour ne pas perturber la disponibilité du service et le maintien en condition opérationnelle du process cher aux exploitants de ces infrastructures.

5. Cyber-résilience et sécurité décentralisée

cyber-resilience et securite decentralisee 5 piliers securisation iot

La cyber-résilience est une approche globale qui implique cybersécurité, maintien en condition opérationnelle, gestion de crise et stratégie de réponse. Pour mettre en œuvre cette approche il faut s’assurer que les moyens techniques liés à l’infrastructure IoT soient déployés, et notamment la juste redondance et la modularité des installations qui vont permettre de minimiser l’indisponibilité et les temps de reprise.

La nouvelle tendance au edge-computing (pour en savoir plus retrouver notre article sur les 5 tendances de l’IoT en 2019) favorise cette résilience en permettant de conserver et exploiter la donnée au plus proche de l’objet. Enfin, sur le même principe il faut favoriser la mise en œuvre d’une infrastructure de gestion de l’identité numérique aux extrémités du système d’information.

Ainsi la PKI se doit d’être décentralisée pour favoriser une sécurité qui s’affranchie au maximum des infrastructures de communication.

En voir plus

Les 5 tendances de l’IoT en 2019
À la une,C-ITS,Internet of Things,V2X

Le marché de l’IoT poursuit son expansion en revenus et capacité d’innovation. Les dépenses liées aux solutions et services dédiés à l’Internet des Objets devraient ainsi connaître une croissance de plus de 55% d’ici à 2022(1). Pour atteindre les promesses de ce marché florissant, il faudra compter sur l’appui de nouvelles technologies qui vont s’affirmer cette année, au sein de l’écosystème des objets connectés. Au cœur du sujet pour la sécurisation de ces nouveaux objets intelligents, IDnomic vous livre une analyse sur les 5 tendances qui feront l’actualité en 2019.

En voir plus

IDnomic – Lauréat au Silicon Cybersecurity Awards
À la une,Évènement

Silicon Cybersecurity Awards - IDnomic

Suite à notre candidature au Silicon Cybersecurity  Awards nous sommes ravis de vous annoncer qu’IDnomic a reçu une mention spéciale dans la catégorie « Sécurité des Objets Connectés »

Un prix décerné par un jury formé de 29 RSSI … Merci et bravo à tous !

En voir plus