Cybersécurité - Innovations digitales et numériques

ette note technique vise à sensibiliser le lecteur (administrateur, RSSI, DSI, utilisateur) aux enjeux de sécurité d’un navigateur Web. Elle doit le guider dans la mise en œuvre de stratégies de sécurité spécifiques à Microsoft Internet Explorer dans le cadre d’un télé-déploiement en environnement Active Directory.

Dans le cadre de ses travaux sur la sécurisation des navigateurs, l’ANSSI a déjà publié des recommandations de sécurité pour Chrome et en proposera prochainement pour Mozilla Firefox.

Plus concrètement, dans le milieu de l’entreprise, les claviers conservent une place prépondérante lorsqu’il est question d’optimiser la vitesse de prise de notes, la souris lorsqu’il s’agit de la précision du pointeur. La compétition qui règne sur le marché des périphériques est d’une nature bien spécifique, la complémentarité des périphériques entre eux est plus réaliste que leur substitution mutuelle. La R&D des entreprises technologiques comme Fujitsu travaille donc depuis longtemps à la construction de tablettes, sans pour autant devoir en faire le standard de sa gamme de périphériques. Du stylet au "gant électronique", la R&D des leaders du marché se lance dans des projets adaptés à des usages émergents (les graphistes, les jeux vidéo) plus que dans une conquête active du couple traditionnel souris-clavier. Certaines interfaces sont néanmoins en voie de bouleversement, mais concernent seulement un détail dans l’expérience utilisateur au travail. C’est le cas des mots de passe qui laissent leur place au "login sans contact", ce qui allège la procédure d’authentification traditionnelle grâce à la reconnaissance visuelle.

« Une boîte de Pandore qu’il sera difficile de refermer »… C’est ainsi que Reporters Sans Frontières (RSF) a qualifié l’arrêt européen du 13 mai 2014 sur le traitement des données personnelles par les moteurs de recherche. Rappelons que cet arrêt impose le droit à l’oubli à Google comme aux autres moteurs de recherche.

Des géants américains du secteur des TIC s'unissent face à la justice. Apple, Cisco et AT&T ont rejoint Verizon et l'Electronic Frontier Foundation pour soutenir la firme de Redmond, enrôlée dans un bras de fer législatif. Microsoft s'est engagé bec et ongles contre la décision que le Patriot Act puisse également s'appliquer aux données hébergées hors des USA. Rappel des faits: fin avril, un juge fédéral américain confirmait que Microsoft était en devoir de répondre favorablement à une réquisition de justice, demandant l'accès aux données de l'un de ses clients, en l'occurrence des emails stockés sur des serveurs situés en Irlande.

Une déclaration qui restera à prendre avec des pincettes. Rappelons en effet que la loi américaine force les entreprises à ne pas divulguer leurs éventuelles participations aux efforts de renseignement du pays. De plus, si backdoor il y a, il est peut-être déguisé en fonctionnalité officielle.

Autant de mises à jour que ne supportera évidemment pas Microsoft qui, pourtant, livre indirectement des guides de piratage de XP à travers ses Patch Tuesday tout en proposant, moyennant finances, des maintenances personnalisées aux grandes entreprises encore tributaires d’applications anciennes ou de budgets restreints pour migrer vers Windows 7 ou 8. C’est pourquoi, dans un autre registre, d’autres hackers ont livré leurs astuces pour étendre le support « officiel » de Windows XP jusqu’en 2019 en le faisant passer, aux yeux de l’éditeur, pour Windows Embedded POSReady 2009. Sous perfusion ou de manière détournée, la disparition de Windows XP risque d’intervenir bien plus tard que ne l’a probablement espérée son éditeur.

add your insight...

Avant de s'engager sur le Cloud, les organisations de toutes tailles doivent donc s'inscrire dans une démarche d’analyse des risques. Cette approche pourra intégrer une cartographie des risques, une analyse de la conformité à la réglementation, une élaboration d’un plan de continuité d’activité…  

C'est précisément sur ce dernier point qu'interviennent les garanties liées aux notions de disponibilité et continuité. Ainsi, l'indisponibilité partielle ou totale de données clients outre les problématiques juridiques (notification) génère des problèmes de deux natures pour les entreprises clients de services Cloud: une interruption d'activité et des délais parfois longs pour restituer les données. Il est donc impératif pour les décideurs de valider un contrat clair sur les conditions de restitution des données.

En outre, il faut savoir que contractuellement, un prestataire cloud peut contraindre une entreprise à renoncer à certains de ses droits sur ses données. On constate en effet une faille juridique sur l’appartenance des données sur le Cloud. En clair, les données hébergées sur les serveurs distants ne sont pas systématiquement la propriété des entreprises clientes mais parfois celle du propriétaire des serveurs.