1/1 Milipol Paris 2015

Discover the 2015 brochure of the international State security exhibition, Milipol Paris.

Read more »

A la une

SDMAG [fr]

Nouvelle révélation sur les écoutes de la NSA - 01/07/2015 12:00 am

Par Alain Denis, Président d’Alliance Telecom

Votre entreprise est-elle bien protégée contre le piratage ?

WikiLeaks, en collaboration avec «Libération» et «Mediapart» révèlent comment la NSA s'est penchée, dès 2002, sur les intérêts commerciaux français. Une nouvelle révélation qui devrait amener les entreprises à réfléchir sur la protection des données.

La digitalisation des entreprises et l'accès illimité aux outils numériques offrent des possibilités sans limites au développement des entreprises mais également au développement des cyberattaques (hacking).

Quelles solutions techniques existent pour garantir la sécurité des données d'une entreprise ? Comment combiner mobilité et sécurité informatique / télécom ? Existe-il des solutions pour empêcher les écoutes téléphoniques ?

Surveiller vos portes d’entrées et vos back-doors !

Il est toujours bon de rappeler les évidences. La base de la sécurité reste la porte d’entrée. Tout réseau se sécurise par le firewall (parefeu). Il faut être parfaitement équipé. Ensuite, pour ne pas se faire hacker de l’intérieur, il faut avoir de bons antivirus et antispams.

Passé ce niveau, il est souvent très utile de séparer les données (réseau Data) des communications téléphoniques IP (réseau Voix IP). Cette technique empêche de créer des failles dans le système informatique. La séparation des réseaux Voix / Data peut se faire virtuellement (VLAN) ou physiquement (câblage séparé).

Pour les travailleurs nomades, il est impératif de créer vos propres réseaux externes privés (WAN) qui permettront de tout contrôler (réseaux avec gestion de la qualité de service type MPLS ou équivalent). Ces solutions permettent de cloisonner, surveiller et sécuriser l’ensemble des données Voix / Data. Un réseau MPLS est un réseau privé (sur plusieurs sites distants) avec une seule porte d’entrée sécurisée. Il est plus facile de sécuriser une fois pour tous les sites, plutôt que de multiplier les portes d’entrées… Pour les utilisateurs nomades hors du réseau externe privé (WAN), un réseau privé crypté (VPN) demande une authentification via une application, pour accéder au réseau de l’entreprise. Ce réseau est crypté et la clé est un mot de passe très évolué.

Sortez des grands standards !

Pour nos solutions de téléphonie d’entreprise par exemple, nous choisissons des ports IP ou des protocoles différents de ceux visés par les hackers (qui utilisent les port(e)s les plus répandues). Ces ports IP sont beaucoup moins populaires et font l’objet de beaucoup moins d’attaques de la part des hackers… Simple mais efficace.

L’utilisation d’applications propriétaires (installées sur l’ordinateur) et non pas en pages web (Saas-Cloud), permet aussi de se prémunir du détournement de l’information malveillant.

Le Softphone, le téléphone de demain !

Des logiciels ou applis mobiles appelés « Softphone IP » permettent de se prémunir simplement de l’écoute et du piratage ! Depuis n’importe où et avec un simple accès internet (Wifi, 3G, 4G), vous avez l’équivalent de votre téléphone de bureau sur PC, Mac, smartphone, tablette… Non seulement les appels sont à la charge de votre entreprise, mais en plus les communications n’empruntent pas les réseaux mobiles opérateurs mais la Data VOIP. La voix peut alors être cryptée donc inécoutable. Chaque softphone a son protocole de transmission de la voix. Ce qui complique encore plus le piratage.

Vous avez donc des solutions pour communiquer avec les membres de la direction, avec les collaborateurs restés aux bureaux ou avec les partenaires et clients stratégiques en utilisant vos lignes fixes, avec votre mobile !

Profitez de cet été pour vous mettre à jour et rendre étanches vos réseaux informatiques (Data) et téléphonies (VoIP), vis à vis de l’internet publique.

Et si vous ne dormez toujours pas sur vos deux oreilles, demandez des solutions avec sécurité préventive et envois de notifications lors de tentatives de piratages informatiques ou lors d’une consommation téléphonique anormalement élevée.

L’authentification forte dans les collectivités, une obligation légale - 30/06/2015 12:00 am

Par Thierry Bettini, Ilex International et Hervé Fortin, Département de l’Aisne

L’authentification forte garantit sécurité et traçabilité des accès au système d’information et permet aux collectivités d’être conformes aux législations en vigueur.

La mise en place d’une solution d’authentification forte au sein d'une collectivité est, dans une grande majorité des cas, perçue comme une problématique technique par la DSI, qui cantonne trop souvent ce type de projet au simple remplacement du login/mdp devenu obsolète. Dans un contexte de restriction budgétaire au sein des collectivités, la DSI peine alors à justifier un tel projet, jugé trop coûteux et relégué au second plan des priorités.

Cependant, au-delà de sa dimension technique, la mise en place d’une solution d’authentification forte garantit sécurité et traçabilité des accès au système d’information. Ceci permet ainsi aux collectivités d’être conformes aux législations en vigueur et, notamment, aux obligations de protection des données à caractère personnel encadrées par la CNIL.

La responsabilité judiciaire du RSSI/DSI directement engagée

Nombreuses sont les collectivités qui valident la déclaration informatique et libertés sans maîtriser totalement les obligations qui en découlent. En effet, la loi informatique et libertés du 6 janvier 1978 (modifiée en août 2004) définit les principes à respecter lors de la collecte, du traitement et de la conservation des informations relatives à des personnes physiques. Le champ d’applications de cette loi est très large et concerne la majorité des traitements ou fichiers mis en œuvre par les collectivités locales pour gérer leurs nombreux services : état civil, listes électorales, inscriptions scolaires, action sociale et autres services à la population, etc.

« La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger les libertés individuelles et la vie privée des personnes fichées », indique Thierry Bettini directeur commercial d’Ilex International. Celles-ci varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d'autorisation. Il existe aussi des obligations de sécurité, de confidentialité et d'information.

Certaines données sont particulièrement sensibles selon les domaines et doivent faire l’objet d’autorisations spécifiques auprès de la CNIL. C’est le cas notamment des informations traitées dans le domaine social, où la confidentialité est essentielle, comme par exemple le traitement de signalement « enfance en danger ». Seules les personnes habilitées doivent avoir accès à certaines informations.

Avec la transformation digitale, les collectivités locales gèrent de plus en plus de données personnelles mais en réalité, combien d’entre elles savent dire aujourd’hui avec exactitude qui a accès à quoi ?

Les contrôles réalisés par la CNIL montrent que de nombreuses collectivités ne respectent pas certaines règles de base de la loi informatique et libertés. Dans la majorité des cas, ces manquements résultent d’une méconnaissance de la loi ou de négligences, mais les infractions n’en restent pas moins réelles. « Les décideurs et responsables locaux doivent en prendre conscience car ils sont directement visés en cas de non-respect des dispositions de la loi : leur responsabilité juridique peut être engagée. Ils peuvent même, dans certains cas, être pénalement sanctionnés (peine de cinq ans d’emprisonnement et 300 000 € d’amende) », souligne Hervé Fortin, RSSI et CIL du Département de l’Aisne.

L’authentification forte, une garantie de conformité avec le cadre réglementaire régi par la CNIL

Pour faire face à ces contraintes réglementaires renforcées, la maîtrise et la sécurité des accès logiques doivent rester la priorité des collectivités.

« Renforcer les mécanismes d'authentification et les règles de contrôle d’accès logiques aux applications du SI permet d'éviter toute faille/fraude », explique Thierry Bettini. Ainsi, il est primordial de proposer plusieurs mécanismes d’authentification, à n facteurs (‘ce que je sais’, ‘ce que j’ai’, ‘ce que je suis’), en fonction des usages des agents (par exemple certains peuvent utiliser des cartes à puces, d’autres des clés USB, etc.), et du niveau de criticité des applications accédées. Certaines solutions packagées sont déjà proposées par les intégrateurs et éditeurs de logiciels qui permettent de répondre à ces problématiques efficacement.

Une fois l’agent authentifié, il est possible de contrôler les droits d’accès selon des critères divers et variés tels qu’un niveau d’authentification primaire (n facteurs), un créneau horaire, un profil utilisateur récupéré dans l’annuaire d’entreprise, etc.

Et de préciser que « les authentifications, autorisations et délégations des agents doivent impérativement être tracées afin de garantir la bonne conformité avec les législations en vigueur et répondre aux exigences d’audit ».

Le RSSI/DSI d’une collectivité locale doit homogénéiser et renforcer l’authentification sur les applications dont il contrôle et trace les accès. Il pourra se dégager ainsi de toute sanction juridique relative à la confidentialité des données traitées au sein de la collectivité.

« Quelles que soient leurs tailles, toutes les collectivités sont concernées » conclut Hervé Fortin. En revanche, toutes ne mesurent pas les engagements qu’elles prennent en se déclarant conformes, ni les risques encourus en cas de contrôle de la CNIL. Une vraie prise de conscience des obligations légales est nécessaire, comme c’est le cas dans d’autres secteurs (ex : secteur bancaire) afin de faire de la gestion des accès une véritable priorité.

Cyber attack : Les données de 4 millions d’employés fédéraux U.S. piratées - 30/06/2015 12:00 am

Par Quentin Dagbert – France USA Media

Le gouvernement américain a annoncé début juin avoir détecté le piratage informatique des données personnelles de quatre millions d’employés fédéraux qui, selon le Washington Post et le New York Times, aurait été perpétré par des hackers Chinois.

La nouvelle cellule américaine contre les cyber-menaces va avoir du pain sur la planche. Début juin, le gouvernement des Etats-Unis a révélé que les données informatiques de 4 millions d’employés fédéraux ont été piratées. Selon des hauts responsables interrogés par le Washington Post et le New York Times, des hackers chinois seraient responsables.

Cette “cyber-intrusion” a été détectée en avril dernier par l’Office of Personnel Management (OPM), qui gère les effectifs du gouvernement. Des données personnelles comme le numéro de sécurité sociale et les évaluations annuelles des employés ont été compromises.

Dans un communiqué, l’OPM a proposé de dédommager les victimes à hauteur d’un million de dollars en cas “de fraude et de vol d’identité”. On ne sait pas encore si des informations classées “secret défense” ont été exposées.

LH Aviation développe ses drones professionnels avec Diginext - 29/06/2015 12:00 am

Dans le cadre du développement de sa gamme de drones professionnels, LH Aviation et la société DIGINEXT mettent en place un partenariat stratégique.

La société DIGINEXT est fournisseur de Systèmes Opérationnels, de Systèmes de Simulation destinés à la conception et au test, ainsi que de Solutions pour l’apprentissage, la formation et l’entraînement.

DIGINEXT a développé la solution innovante CRIMSON de centre de commandement pour le maintien de la sécurité et la gestion de crise.

Les deux entreprises ont décidé de travailler ensemble afin de proposer à leurs clients une solution unique 100% française, totalement intégrée de drones interfacés avec un système d’informations collaboratif d’aide à la décision des différents niveaux de commandements des organisations impliquées dans les opérations de maintien de sécurité et de gestion de crise. Outre une utilisation opérationnelle, le système permet de faire de l’entrainement et de la préparation de mission.

Signe de la pertinence de l’offre de LH Aviation, LH Aviation a signé la vente d’un 1er drone de surveillance civile à la police des Emirats Arabes Unis (EAU) au Salon du Bourget. La machine sera livrée pour fin Juillet. Equipée d’une boule optronique, elle est destinée à effectuer des missions de surveillance de zones urbaines et de sites sensibles, et peut s’interfacer avec un système opérationnel d’aide à la décision.

Genetec dévoile sa plateforme de sécurité unifiée Security Center 5.3 - 26/06/2015 12:00 am

La toute dernière version intègre des mises à jour importantes des modules d’enquête, de contrôle d’accès, d’archivage et d’utilisation des ressources matérielles.

GenetecMC, fabricant de solutions unifiées en sécurité IP, dévoile Security Center 5.3, la toute dernière version de son système de sécurité ouvert comprenant une foule de nouvelles fonctions de gestion de vidéo sur IP, de contrôle d’accès et de reconnaissance de plaques d’immatriculation (RAPI). Elle propose notamment des outils d’enquête de sécurité simplifiés favorisant la collaboration et l’échange d’informations entre opérateurs et organisations publiques et privées, de même que des fonctions assurant une utilisation optimale des ressources matérielles existantes afin d’aider les sociétés à sécuriser leurs employés et leurs actifs. Security Center 5.3 sera disponible courant du 2e trimestre 2015 pour les revendeurs Genetec et les utilisateurs finaux.

Avec l’adoption croissante des caméras mégapixels et l’avènement des appareils 4K, Security Center 5.3 permet d’améliorer grandement les performances systèmes en matière de gestion de flux vidéo en haute définition. Le décodage vidéo accéléré au moyen de ressources matérielles permet à Security Center 5.3 de tirer parti des cartes graphiques et des processeurs graphiques intégrés pour décoder la vidéo et réduire la charge de traitement de l’unité centrale. Grâce aux cartes graphiques de série abordables, les organisations sont en mesure d’ajouter des caméras haute définition à leur système tout en réduisant les coûts liés à l’acquisition de nouveaux postes de travail. Les opérateurs pourront visionner en haute résolution les images captées par un nombre accru de caméras, à une fréquence d’image supérieure, tout en profitant d’une plus grande fluidité de lecture vidéo.

Security Center 5.3 améliore en outre les capacités d’enquête et d’exportation vidéo afin de simplifier le partage de pièces à conviction avec les enquêteurs et les forces de l’ordre. Grâce à la nouvelle fonction d’enregistrement d’incidents, les opérateurs seront en mesure d’enregistrer facilement des séquences vidéo captées par plusieurs caméras afin de documenter les incidents du début à la fin et d’en tirer une vidéo unique à l’intention d’autres enquêteurs. Les incidents ainsi exportés peuvent être visionnés dans le lecteur vidéo amélioré de Genetec, ce qui élimine le besoin de recourir à une application client complète, tout en assurant l’authenticité des vidéos filigranées.

Dans un souci constant d’offrir la plus grande flexibilité possible dans la gestion des archives vidéo, Security Center 5.3 propose une nouvelle fonction de transfert d’archives qui permettra aux organisations de gérer de façon dynamique l’archiveur où sont stockés les enregistrements vidéo, d’optimiser l’utilisation du matériel et de réduire les coûts de stockage. Le prolongement de la période de rétention des vidéos et le transfert d’archives redondantes vers le nuage sont rendus possibles grâce au tout nouveau service d’archivage en nuage de Genetec. Les clients sont ainsi en mesure d’augmenter facilement leurs capacités de stockage, sans devoir acquérir de nouveaux serveurs physiques.

En matière de contrôle d’accès physique, Security Center 5.3 offrira une gamme de nouvelles fonctions destinées à accroître la capacité de surveillance des organisations dans la sécurisation des accès à leurs installations. Les améliorations comprennent :

- De nouvelles règles de type « premier arrivé » assurant un contrôle détaillé des points d’accès lorsque le personnel de surveillance n’est pas sur place ;

- Des règles de type « deux personnes » rendant obligatoire la présence de multiples détenteurs de carte pour accéder à des salles hautement sécurisées ;

- Un mode d’accompagnement des visiteurs obligeant ces derniers à être accompagnés d’un membre du personnel pendant leurs déplacements à l’intérieur des installations.

Security Center 5.3 prendra en charge les formats de carte personnalisés à 256 bits afin de permettre aux organisations d’exploiter au maximum la technologie de cartes intelligentes grâce à des formats avancés et hautement sécurisés.

La fonction FederationMC de Genetec intégrée à Security Center a été déployée dans de nombreuses organisations dans le but d’assurer un contrôle centralisé de sites indépendants munis de systèmes de vidéosurveillance, de contrôle d’accès et de détection des intrusions. La prise en charge par Security Center 5.3 des systèmes de RAPI AutoVu à l’intérieur d’un environnement fédéré permet d’étendre ces capacités et de partager les entités et les données relatives à la reconnaissance de plaques d’immatriculation entre des sites indépendants. La fonction de RAPI Federation facilitera en outre le partage de données entre agences publiques et privées, tout en laissant aux organisations participantes un droit de regard complet sur l’information qu’elles désirent transmettre et en conservant toutes les données relatives aux plaques d’immatriculation dans leur système personnel.

Milipol exhibition is organized under the patronage of the French Ministry of Interior

Discover all our partners