<![CDATA[Le fil d'actu Expoprotection]]> https://www.expoprotection.com/?IdNode= fr © 2016 Reed Expositions 1 <![CDATA[Alerte : tous les réseaux WiFi de la planète sont compromis !]]> https://www.expoprotection.com/?IdNode=2511&Zoom=144ef6b9dbd85610621171cde6b7cd10&xtor=
Plus aucune connexion WiFi n'est désormais sécurisée

Une partie de l'attaque a été divulguée le 16 octobre via le site internet krackattacks.com. Par la suite la vulnérabilité devrait être plus amplement détaillée le 1er novembre 2017, lors de l'ACM Conference on Computer and Communications Security (CCS) qui se tiendra à Dallas (Texas). Désormais tout individu, doté du matériel adéquat et capable d'exploiter la vulnérabilité divulguée, peut se faire passer pour un utilisateur légitime et écouter sans peine le contenu privé qui circule au sein des réseaux WiFi qui l'entoure. Le WPA2-Personal et le WPA2-Enterprise sont affectés. Dans le monde, plus aucune connexion WiFi normalisée n'est sécurisée. Qu'il s'agisse de la box familiale d'un voisin, du point d'accès d'une entreprise sensible ou d'un réseau militaire sans fil. Le niveau de sécurité le plus performant vient d'être mis à bas WPA2 est pourtant le plus haut niveau connu de sécurisation des connexions WiFi. Depuis 2006, son support dans les appareils sans fil est même obligatoire lorsque le fabricant souhaite obtenir la certification de l'Alliance WiFi, un consortium d'entreprises situé à Austin (Texas) qui possède les droits sur le sigle WiFi. Apparu en 2004, WPA2 est l'implémentation de l'amendement IEEE 802.11i qui définit un réseau de sécurité robuste au sein du standard IEEE 802.11, à savoir l'ensemble des normes concernant les réseaux sans fil. Historiquement WPA2 a remplacé WPA, un protocole inférieur créé en 2003, lui-même conçu pour pallier les défauts de sécurité de son prédécesseur dit ''WEP''.

Le cryptage est rendu caduque

Ces protocoles ont un point commun : l'utilisation du chiffrement pour camoufler les différents messages d'authentification. L'objectif est d'éviter la propagation de ces messages afin que ni le mot de passe du point d'accès, donné par l'utilisateur pour se connecter, ni celui servant à déchiffrer les données, ne puissent être calculés par un pirate. En particulier s'il dispose d'une antenne WiFi configurée pour écouter tous les messages qui passent à sa portée, dans la bande radio des ondes WiFi (2,4ghz et 5ghz). Car cracker une clé WiFi revient à forcer la comparaison de plusieurs messages chiffrés jusqu'à en déduire le mot de passe originel (alors même que ce dernier ne circule jamais directement sur le réseau). C'est l'exploit qu'ont réussi les chercheurs qui sont parvenus à déceler une dizaine de bugs dans le protocole WPA2 dans l'optique d'accélérer le calcul statistique de la clé de chiffrement des données. Principe : un numéro unique d'identification (Nonce) peut être réinjecté de multiple fois. Ce qui introduit un biais et rend caduque le cryptage. Alors même que WPA2 s'appuie sur le chiffrement AES (Advanced Encryption Standard), considéré comme sûr car très long à casser (jusqu'à des centaines de siècles, selon les machines utilisées). Jusqu'à présent, il fallait donc recourir à des machines puissantes, chères à opérer et suivre une procédure délicate. Désormais, le crack de clé WPA2 devient simple et rapide. Les mesures à prendre « Les implémentations peuvent être corrigées. L'Alliance Wi-Fi a un plan pour remédier aux vulnérabilités découvertes dans WPA2, écrit Mathy Vanhoef dans un communiqué. Vous devez simplement vous assurer que l'ensemble de vos périphériques sont à jour, en particulier le firmware de votre routeur. » En attendant que ces mises à jour soient élaborées, reste à s'adapter à cette menace. Pour l'heure, la meilleur défense consiste à n'utiliser que des sites internet sécurisés (dont l'URL commence par HTTPS au lieu de HTTP). Ainsi, grâce à ce second niveau de cryptage, l'attaquant peinera à accéder en clair aux données sensibles.

Guillaume Pierre ]]>
Mon, 16 Oct 2017 11:35:00 +0200
<![CDATA[Ces entreprises qui aident leurs salariés à concilier vie perso et vie pro ]]> https://www.expoprotection.com/?IdNode=2511&Zoom=ff466619d95266210afdd2cb9b7422b9&xtor=
Un réseau d'entreprises signataires

Objectif : faire le point sur les aménagements que les entreprises signataires de la charte de la parentalité en entreprise ont intégré afin d'aider leurs employés à articuler leurs temps de vie et de travail. Ce réseau comprend 560 entreprises et organismes tricolores soit 30.000 établissements et 5 millions de salariés soit près de 20% de la population active. Parmi ces entreprises, retenons Alcatel-Lucent, Axy Consultants, Crédit Agricole, Hewlett Packard, la MAIF, la Polyclinique Saint-François ou encore l'éditeur Sage.

Un haut niveau de sensibilisation

Premier constat, les entreprises signataires de cette charte et de ses 15 engagements, prennent sérieusement en considération ces enjeux : 98% d'entre elles considèrent l'équilibre entre les temps de vie de leurs salariés comme un sujet important voire très important (55%) et sont à l'écoute des besoins de leurs salariés (65%). 90% déclarent avoir mis en place des aménagements pour aider leurs salariés dans ce sens. De même, 79% déclarent s'appuyer sur des managers mobilisés et sensibilisés.

Aménagement des horaires

Parmi les décisions les plus efficaces, viennent tout d'abord les mesures relatives à l'organisation du travail pour 60% des entreprises du réseau. A commencer par des règles simples de vie quotidienne par exemple en évitant les réunions avant 9h et après 18h (pour 94% des entreprises), soit en dehors des horaires d'école pour les enfants. Dans ce sillage, vient également la possibilité d'aménager des horaires de travail en fonction des contraintes familiales et parentales (82%). Ou encore la conception d'horaires et charges de travail raisonnables pour les collaborateurs (75%).

20% de mesures d'ordre managérial et financier

Côté organisationnel, 71% des entreprises réalisent des entretiens spécifiques en cas d'événement familial comme une naissance, un divorce ou un décès. Ou encore, 71% prônent une utilisation de la messagerie électronique respectueuse de la vie privée, par exemple afin d'éviter les conf call en pleine nuit avec l'étranger ou durant le week-end. A cela, s'ajoutent pour 20% des entreprises, des mesures de soutien financier telles que des mutuelles avantageuses pour les familles (88%) ou encore des congés parentaux sans impact sur le déroulement de leur carrière (88%).

Des dispositifs spécifiques

Pour aller plus loin encore, 65% des entreprises signataires proposent la possibilité d'exercer en télétravail certaines activités à leurs salariés, bien pratique durant les vacances scolaires, ou en cas de naissance d'un bébé. 45% mettent en place des crèches d'entreprises. Ce qui évite de devoir multiplier les trajets le matin et le soir. Enfin, 33% mettent à disposition des experts en parentalité afin d'aider les salariés à gérer leur quotidien.

Ségolène Kahn
]]>
Mon, 16 Oct 2017 00:00:00 +0200
<![CDATA[GT Logistics se rapproche de l'entreprise libérée ]]> https://www.expoprotection.com/?IdNode=2511&Zoom=23e55711e553b7951f9fb69070f6790c&xtor= La première phase de cette transformation s'appuie sur une réorganisation managériale qui s'articule autour d'une instance de pilotage élargie, baptisée Cap Team, dont la hiérarchie a été simplifiée afin de créer un réseau centré sur les managers des 33 sites du groupe ainsi que sur un réseau de 27 experts. « Cette démarche a été tonique mais aussi quelque peu déstabilisante. A certains moments, nous nous sommes même fait un peu peur », reconnaît Eric Sarrat, le président du groupe. Nous ne sommes pas une entreprise ''libérée'' mais une entreprise qui ''libère'' les énergies. » 

Une stratégie définie sans le président

Qu'on en juge ! « Nous avons commencé par donner une vision claire : où allons-nous et comment y parvenir ? Nous avons alors défini nos valeurs et nos axes stratégiques. C'est-à-dire une organisation centrée sur les managers et un réseau d'experts », explique Virginie Cotten, directrice de la transformation. Pendant deux à trois mois, ce petit monde s'est réuni en tenant le président à l'écart (bien sûr avec son accord) afin de venir avec des propositions pour une nouvelle organisation managériale. « On a dit qu'il n'y aurait plus de Comex ni de direction des opérations. Les gens sont allés loin dans cette réflexion puisqu'ils ont donné l'objectif de réduire la hiérarchie à trois niveaux, d'avoir un comité de quatre permanents - Cap Team -, de bâtir une organisation centrée sur le client, de constituer un réseau puissant de managers de sites à haut degré d'autonomie et de constituer un réseau transversal d'influenceurs composé de groupes de travail de quatre à six personnes hors de leur domaine de compétence initiale. » 

Solidarité inter-sites et partage de bonnes pratiques

Habituées depuis 2008 au Lean Management (approche systémique visant à tendre vers l'excellence opérationnelle), l'entreprise se structure en trois groupes de réflexion : le nord, le sud-est et le sud-ouest. Tous les deux mois, ces groupes se réunissent et mettent sur la table leurs problèmes, leurs difficultés et leur besoin d'aide. Les synthèses qui en résultent sont alors adressées au siège pour examiner leurs modalités de mise en œuvre. Quant à la définition du nouveau périmètre de l'autonomie des managers, elle porte notamment sur les recrutements, les investissements et les aspects disciplinaires. Cependant, elle soulève aussi des questions qui nécessitent la discussion en réseau : « Que faire face à une personnalité complexe ? Comment travailler avec les services support lorsque j'ai un problème d'ordre juridique ? », soulève Pierre-Henri Tanghe, manager du site de GT Logistics pour Aluminium Dunkerque. Autre question importante : « Est-ce que je peux mutualiser mes ressources avec d'autres sites ? Par exemple, envoyer un de mes caristes [les salariés qui conduisent les chariots élévateurs dans les entrepôts logistiques, NDLR] à un site qui en a besoin. Comment mutualiser nos achats entre sites ? », poursuit Pierre-Henri Tanghe. De même, certains sites n'ont pas de directeur de la sécurité au travail. L'idée, c'est alors d'en détacher un sur le site qui en est dépourvu afin, par exemple, de rédiger le Document unique ou mettre en place les bonnes pratiques en sécurité et santé au travail... 

Programme de e-Learning 

« Nous avons gagné en flexibilité et en réactivité », reprend Pierre-Henri Tanghe. « Nous misons sur la compétence des managers et leur accordons  notre confiance. Il n'y a pas de contrôle. A la place, s'est instaurée une autorégulation entre managers. Pas facile lorsqu'il faut en exclure un... », reconnaît Eric Sarrat. « Il y avait déjà un certain degré d'autonomie dans l'entreprise. La grande nouveauté, c'est le réseau des managers car ils ne sont pas centrés que sur le propre site mais ils se préoccupent aussi des autres. A terme, les managers pourront également devenir des experts en apprenant à dégager du temps et à déléguer. D'ailleurs, les experts n'ont pas vocation à tout savoir mais plutôt à transmettre leurs connaissances », rappelle Caroline Tougayère, responsable RH qui a également mis au point un programme de formation en e-Learning. La priorité, c'est de faire monter les managers en compétence. Ensuite, il s'agira de former tout le monde. Notamment en matière de sécurité au travail. En particulier en ce qui concerne l'accueil des salariés sur site. Nous n'avons pas encore tous les modules nécessaires. Mais nous savons qu'on peut en développer certains en quelques heures. » Cette transformation organisationnelle vers l'entreprise libérée revêt d'autres intérêts : élaborer un modèle de développement dans une contexte de forte croissance (le groupe prévoit d'accroître ses équipes de 20% en 2018) et développer l'attractivité de l'entreprise afin d'attirer de nouvelles recrues.

Erick Haehnsen ]]>
Mon, 16 Oct 2017 00:00:00 +0200
<![CDATA[Le Living Office ou l’idée de travailler au bureau comme à la maison]]> https://www.expoprotection.com/?IdNode=2511&Zoom=91a5f78ecdb062e0a3a4007a4a5bf729&xtor=
L'aménagement de bureaux, condition sine qua non au bien-être au travail ?

Selon le baromètre Edenred-Ipsos, qui a été réalisé auprès de plus de 14.000 salariés dans une quinzaine de pays, le bien-être au travail se mesurerait selon trois critères. À savoir le cadre de travail (équipement, équilibre entre vie privée et vie professionnelle), l'attention (considération de la part de la hiérarchie, gestion des compétences) mais aussi l'émotion, soit le plaisir à travailler. De même, selon une étude d'Opinionway, 86% des français considéreraient la qualité de vie de bureau comme un critère essentiel dans leur choix d'emploi.

La méthode du Live Office

L'idée étant de restituer l'univers de la maison, le cabinet a dessiné dix aménagements différents comprenant architecture d'intérieur, distribution du mobilier et décor. Parmi les différents espaces imaginés, le Cove est un cocon conçu pour les discussions et échanges isolés, pour ceux qui souhaitent ne pas être dérangés. Vient ensuite la Plazza, où l'on peut tant discuter, déjeuner que travailler. À cela s'ajoute la Creative Room, où les collaborateurs peuvent plancher sur un écran commun, ou encore le Jump Space, espace de détente entre deux réunions. Comptons également la possibilité d'espaces aménagés pour le sport avec salles de douches et vestiaires.

Une expérience testée en interne

« Nous-mêmes avons adopté en interne ces nouveaux modes de travail innovants. Ainsi, nos collaborateurs se déplacent-ils tout au long de la journée et utilisent-ils différents espaces connectés et parfaitement adaptés à chacune des activités du moment. Finalement, cette tendance invite le top et le middle management à évoluer au cœur même des échanges des équipes », constate Nicolas Paugam, co-fondateur de Artdesk Group.

Ségolène Kahn
]]>
Fri, 13 Oct 2017 00:00:00 +0200
<![CDATA[Les premiers trophées des Victoires de la prévention décernés par l'OPPBTP]]> https://www.expoprotection.com/?IdNode=2511&Zoom=3619ecbd1271a872235f0e4a65a36313&xtor=
Prévention connectée

L'innovation n'est pas que matérielle, elle peut être aussi digitale. En témoigne le trophée d'or remis à Etandex, une PME strasbourgeoise de 400 collaborateurs spécialisée dans les travaux spéciaux d'étanchéité, réparations, etc. Cette entreprise a créé une application smartphone « Scenarii » associée à une plateforme collaborative afin de gérer l'ensemble des informations liées aux risques de chantier. Ces données sont saisies par les chefs d'équipe et de chantiers qui remplissent des formulaires à l'aide de dictée vocale s'ils en éprouvent le besoin. Une fois saisies, ces informations sont disponibles rapidement. Ce qui permet à l'entreprise d'assister leur personnel. Grâce à cette application, nous avons noté une implication considérable de l'encadrement dans la démarché sécurité et de santé », indique Vincent Blandy, directeur de l'agence Bretagne chez Etandex. Son propos est étayé par des chiffres. « Sur l'agence de Lyon, nous avons eu une augmentation de 45% entre 2015 et 2016 des réunions sécurité et notamment celles animées par des chefs ». Par ailleurs, le groupe a constaté une augmentation de 150% des remontées d'information et des retours d'expérience liées à la sécurité, santé environnement sur les chantiers. Pour Etandex et ses clients, cette application est un gage de traçabilité et de transparence sur tout ce qui est fait en matière de prévention connectée.

EK

Les 6 autres lauréats des trophées d'or :


Sarl Montauban&Fils (Charente), spécialisée dans la maçonnerie élue dans  la catégorie « Sécurité artisan TPE ».

M.A.E.V.A (Moselle) spécialisée dans les travaux de TP élue dans la catégorie « Management, entreprise de moins de 50 salariés ».

Snie (Seine-et-Marne) spécialisée dans l'électricité, élue dans la catégorie « Management, plus de 50 salariés ».

Eiffage Route Méditerranée (Bouches-du-Rhône)  spécialisée dans les TP, élue dans la catégorie « Mobilisation collective ».

BTP CFA Marly (Nord), centre de formation,  élu dans la catégorie « Compétence apprenti ».

Charpente Cénomane (Sarthe), spécialisée dans la construction bois, élue dans la catégorie « Information ».


]]>
Fri, 13 Oct 2017 00:00:00 +0200
<![CDATA[Egoutiers : l’Anses publie de nouvelles recommandations]]> https://www.expoprotection.com/?IdNode=2511&Zoom=9427909513284bcc6cf565c40a60b9cc&xtor=
Endotoxines et flores microbiennes

L'Anses n'en est pas à son premier coup d'essai. En juin 2016, l'agence publiait un rapport dénonçant la nocivité à long terme sur la santé des employés exposés à de nombreux agents chimiques et biologiques présents dans l'air ou dans l'eau, par inhalation de gaz, de vapeurs ou d'aérosols, par contact cutané ou encore par ingestion. Mais ce n'est qu'au bout d'un an d'analyses que l'agence a pu fournir des données précises sur ces agents toxiques. Les résultats de cette enquête confirment que « le réseau de collecte dans lequel évoluent quotidiennement les égoutiers est un milieu insalubre » En cause, des concentrations élevées, « parfois préoccupantes », d'endotoxines et de flores microbiennes (dont Aspergillus Flavus) importantes dans l'air des égouts. Certaines opérations exposant particulièrement les égoutiers à ces agents bactériologiques. Notamment lors des travaux d'extraction de bassin de dessablement ainsi que de nettoyage à haute pression.

Ventiler les réseaux

Face à cette catastrophe sanitaire, l'Anses a publié une série de recommandations visant à limiter les risques pour la santé des égoutiers. Première urgence : repérer les circonstances les plus risquées, « en analysant et cartographiant les différentes situations de travail, de manière à prioriser et adapter les mesures de prévention à mettre en place ». Le but étant que des démarches pour caractériser la nature des agents pathogènes et des risques biologiques (infectieux, immuno-allergiques, toxiniques et cancérogènes) soient délivrées pour chaque situation de travail. Face à de telles concentrations de polluants chimiques et microbiologiques, « il est nécessaire que les travailleurs au contact des eaux usées puissent a minima avant toute descente dans le réseau, ventiler de façon naturelle ce dernier », martèle l'Anses. Voire d'installer un dispositif de ventilation mécanique par soufflage d'air neuf en ce qui concerne les tâches réalisées dans des ouvrages fixes. 

Equipements de protection

Au niveau du management des équipes, l'agence propose des mesures organisationnelles chargées de réduire les expositions. A commencer par une meilleure coordination des équipes qui permettrait « d'éviter la coactivité au même endroit dans le réseau de collecte ». Mais aussi en augmentant la fréquence du curage afin de baisser les niveaux en microorganismes et en endotoxines. En guise de protection, le port d'EPI semble indispensable afin de protéger les égoutiers. Toujours est-il que l'agence précise que ces équipements de protection individuelle ne doivent pas non plus surexposer les égoutiers à d'autres risques, avec « l'utilisation d'un appareil de protection respiratoire pouvant par exemple gêner la communication indispensable entre les égoutiers pour prévenir d'un danger potentiel ». L'agence ajoute que ces équipements doivent également être « portés et changés selon les recommandations du fabricant, régulièrement nettoyés et entreposés en dehors des ateliers, si possible dans des locaux spécifiques ». Enfin, l'Aneses demande la mise en place de campagnes de sensibilisation auprès des acteurs notamment du BTP et de la restauration, afin de les informer de l'impact des rejets et déversements de déchets de chantier dans les égouts.

Ségolène Kahn ]]>
Thu, 12 Oct 2017 00:00:00 +0200
<![CDATA[Uvex lance de nouvelles lunettes-masques]]> https://www.expoprotection.com/?IdNode=2511&Zoom=859f2613a0fe9ca64119d56fc1e9be44&xtor=
Indice de performance ergonomique 

Afin de garantir la qualité de ses produits, le fabricant a développé un indice de performance ergonomique basé sur trois critères. À savoir la force, le poids et le climat. Dans le cas de ces nouvelles lunettes-masques à l'indice de 4,4, il s'est agit de mesurer la force de traction nécessaire à appliquer sur le bandeau pour obtenir une bonne étanchéité. Mais aussi le poids du produit, à savoir 69 grammes ou encore de mesurer ses performances anti-buée. Outre leur poids, les lunettes ont été conçues dans des matériaux souples et flexibles chargés de réduire la pression et de s'adapter aux différentes formes de visages. De même, il est possible d'ajouter des inserts aux lunettes afin de les adapter à la vue du porteur.

Traitement oculaire

Ce nouveau produit bénéficie également d'une technologie développée par le fabricant. Baptisée Uvex Supravision, celle-ci porte sur le traitement des oculaires. A commencer par un traitement anti-buée pour la face interne de la lunette - traitement qui résiste aux lavages. Vient ensuite un traitement anti-rayure sur la face externe capable de résister aux produits chimiques et aux salissures. A cela, s'ajoute un système à fixation magnétique qui permet la pause d'un écran solaire anti-éblouissement en cas de luminosité élevée. Enfin, ces lunettes ont été conçues pour protéger l'utilisateur contre les éclaboussures telles que les projections de particules solides allant jusqu'à 120 m/s, mais aussi les liquides, les poussières, et les produits chimiques.

Ségolène Kahn ]]>
Thu, 12 Oct 2017 00:00:00 +0200
<![CDATA[Christian Hindre (Flexera) : « Applications orientées utilisateurs externes : une énorme opportunité de rentabilité »]]> https://www.expoprotection.com/?IdNode=2511&Zoom=cfe0364e6548d9f037309e6114758992&xtor= Qu'est ce qu'une stratégie ''orientée Open Source'' ? 

Les entreprises contemporaines investissent des milliards de dollars dans le développement de nouveaux logiciels. En effet, les applications développées en interne permettent aux entreprises leaders de prendre l'ascendant sur leurs concurrents. Afin d'y intégrer des fonctionnalités critiques, les développeurs utilisent fréquemment des composants logiciels Open Source (OSS), c'est-à-dire à code source ouvert ainsi que des logiciels propriétaires. Pour leur part, les applications orientées vers des utilisateurs externes représentent une énorme opportunité en matière de rentabilité, cependant, en l'absence d'une solide supervision, l'utilisation de composants tiers est également un risque potentiel... 

Selon une enquête publiée récemment, près de 90% des attaques portées contre des logiciels cibleraient la couche application… Comment les entreprises réagissent-elles ?

Pour faire face à ce problème, les responsables de la sécurité des systèmes d'information (RSSI) investissent dans des pare-feux et des systèmes d'authentification Web, de détection d'intrusion et de gestion des identités. Cependant, ces solutions ne sécurisent que le périmètre du système d'information (SI) en gérant le trafic vers les applications. Aucune d'entre elles ne protège les applications de l'intérieur vers l'extérieur en en renforçant le code ou en en gérant les failles.

Protéger de l'intérieur vers l'extérieur, qu'est ce que cela signifie pour vous ? 

Assurer la sécurité des applications malgré une stratégie axée sur l'intégration de composants tiers nécessite la mise en place de processus ainsi que de l'entraînement et des outils adéquats. Il faut également établir un réel partenariat entre les équipes dédiées et de conception autour de deux éléments clés : la création par les développeurs d'un inventaire précis des composants Open Source et des composants propriétaires utilisés ; et un système permettant de faire le lien entre les projets en cours et les vulnérabilités connues et divulguées, géré par l'équipe de sécurité.

Quels sont les apports d'une stratégie Open Source ?

Les produits Open Source présentent des avantages évidents : ils réduisent les coûts, raccourcissent les cycles de développement et peuvent diminuer le coût total de possession des applications s'ils sont bien gérés. Il peut s'agir de composants et applications célèbres tels que Linux, Open Office ou Android ; ou de composants d'infrastructure plus méconnus tels qu'OpenSSL, zlib, ou des millions d'autres composants Open Source. La composition classique des applications a évolué : de quelques composants tiers, nous sommes désormais passés à plusieurs centaines, la majorité d'entre eux provenant de projets Open Source.

L'une des différences entre composants Open Source et propriétaires est le fait que contrairement aux systèmes d'exploitation et applications packagées Open Source disposant d'un support commercial, seul un grand projet purement open source sur 10 s'appuie sur une communauté offrant de tels services. Les équipes de développement utilisant des composants OSS doivent donc essentiellement s'occuper elles-mêmes des correctifs, mises à niveaux, évaluations des vulnérabilités et autres tâches similaires normalement comprises dans un contrat de services commerciaux.

Même si l'incorporation d'éléments Open Source comprend de nombreux avantages, cette incorporation n'augmente-t-elle pas également le niveau de vulnérabilité de l'entreprise ?

Bien que les développeurs du monde entier incorporent des éléments libres, des produits tombés dans le domaine public, des démos de logiciels commerciaux, etc. dans le code qu'ils écrivent, ils le font sans passer par les points de contrôle habituels du processus d'achat. Or, sans ces contrôles, les composants tiers ont tendance à passer inaperçus et donc à ne faire l'objet d'aucune supervision ou autre forme de suivi. Résultat, les équipes informatiques ne connaissent pas la composition réelle de leur code. De récentes études menées ont révélé que les applications écrites ces cinq dernières années contenaient au minimum 50% de code Open Source par ligne, plus de 70% n'étant pas documentés et étant même inconnu des développeurs. La présence de tels éléments au sein d'applications d'entreprise nuit à la sécurité de cette ressource aussi intangible qu'essentielle qu'est le code source.

Que conseillez-vous vous pour développer une stratégie de sécurité des applications ? 

Il est de la responsabilité des équipes chargées de la sécurité, du développement et des systèmes d'information de s'assurer que leurs développeurs respectent des processus permettant de produire des logiciels sécurisés. Ensemble, ces trois départements parviendront à intégrer la sûreté des applications utilisant des composants Open Source au cœur de la stratégie globale en menant des pré-déploiements, en analysant la sécurité du code et en réalisant des tests de pénétration pour le code développé en interne. Ils doivent aussi s'assurer que des audits soient réalisés par leurs partenaires de développement et commerciaux externes, pour se garantir que tout autre code tiers inclus dans leurs applications soit identifié et fasse l'objet d'un suivi en quête d'éventuelles failles de sécurité ou de mises à jour. Les applications développées en interne doivent aussi passer par les points de contrôle adéquats afin d'établir des pistes d'audit précises.

En d'autres termes, les développeurs, responsables de la sécurité et services informatiques doivent donc travailler main dans la main...

Aucun de ces trois groupes ne peut exister seul dans son coin. Par exemple, l'assurance qualité et la prévention contre les virus ne sont pas incompatibles dans le cadre du développement d'applications. Les développeurs considèrent souvent à tort que la sécurité est uniquement la responsabilité de professionnels dédiés. Pour beaucoup d'organisations, le processus de développement se limite à la conception, au codage et aux tests permettant de s'assurer que les produits remplissent leurs exigences fonctionnelles. À cause des budgets ressources limités des entreprises contemporaines, les applications ne sont souvent pas correctement testées à la recherche de défauts, de vulnérabilités ou de conditions susceptibles de les rendre vulnérables aux pirates. Selon le même principe, la mission des équipes de sécurité et des responsables des SI consiste généralement à protéger le périmètre des organisations des attaques provenant de l'extérieur. Cependant, les professionnels de la sécurité n'étant pas des codeurs, ils ignorent souvent que les décisions prises au cours du développement ont un impact concret sur les applications déployées qu'ils sont censés protéger. Ni les développeurs, ni les équipes chargées de la sécurité, ni les services informatiques ne peuvent gérer les problèmes au niveau des applications, seuls. À l'inverse, les pirates, eux, sont au fait des différentes méthodologies et problématiques contemporaines et profitent donc de cette faille béante.

Comment est-il possible de fédérer ces différents services ?  

Les RSSI devraient confier aux responsables de la conception la mission de faire en sorte que les équipes de développement, de sécurité et de la DSI travaillent main dans la main pour sécuriser les applications déployées. Un bon point de départ serait de commencer par superviser les sites des projets Open Source et d'autres sources d'information sur les vulnérabilités, basées sur les inventaires OSS existants. Elles pourront ainsi évaluer la pertinence des alertes concernant les usages internes et fournir des recommandations quant aux mises à niveau et autres patchs de mise à jour, le cas échéant. Le développement et la mise en œuvre d'une stratégie de sécurité des applications permettront à l'organisation de tirer parti de composants OSS, tout en s'assurant de maintenir les niveaux de sécurité les plus stricts. Aujourd'hui, il existe des outils facilitant l'adoption d'une approche pragmatique en matière de sûreté des applications. Il est grand temps pour les RSSI de s'y intéresser.

Propos recueillis par Ségolène Kan ]]>
Wed, 11 Oct 2017 00:00:00 +0200
<![CDATA[Pascal Zunino (Novadem) : « Les images de nos drones vont alimenter la cellule de vidéosurveillance de Bruxelles »]]> https://www.expoprotection.com/?IdNode=2511&Zoom=1aa1cbb665d46e2807e943fc3fcff54f&xtor= Vous venez de remporter un appel d'offres de la ville de Bruxelles. En quoi ces drones vont ils contribuer à rendre la vidéosurveillance plus efficace ? 

Nous avons finalisé la livraison d'une flotte de 5 systèmes de drones NX110 et U130 destinés à la police municipale et aux services de secours de la région bruxelloise. Ils seront directement reliés au centre de vidéo protection, au même titre que les 3.000 caméras fixes déjà installées. Nos drones vont ainsi contribuer à renforcer la surveillance de la ville notamment lors des manifestations. C'est une première ! 
Durant un an, vous avez développé avec le français STID spécialiste des contrôles d'accès un drone capable d'identifier les droits d'une personne sur un site sensible ? Quel est l'intérêt de ce type d'engins et où en êtes-vous de son développement  ?

Sur la base de notre microdrone NX70 dont une vingtaine d'exemplaires équipe depuis cette année la Gendarmerie nationale, nous proposerons en option un lecteur d'identification. Grâce à quoi, en plus de ses missions de surveillance, notre drone rondier pourra contrôler les droits d'accès d'une personne sauvegardés dans son  badge ou son smartphone. La lecture se fait sans contact par RFID et sur une distance de 30 mètres. Grâce à cette solution, le drone détecte les intrus mais aussi les personnes qui ne disposent pas de droits d'accès sur des zones sensibles. Notre drone fonctionne de jour comme de nuit grâce à sa caméra thermique. Il est actuellement en phase de test notamment avec la société Onet Sécurité.

En quoi cette génération de drone se distingue-t-elle des générations précédentes ?

Les nouveaux drones ne se contentent plus de surveiller une zone. Ils sont capables d'agir. Nous allons présenter sur Milipol (ce salon consacré à la sécurité intérieure des Etats se tiendra du 21 au 24 novembre à Paris-Nord Villepinte, NDLR) des drones NX70 équipés de nacelle afin de transporter un kit médical, une couverture de survie ou tout autre produit d'urgence aux personnes isolées sur des sites difficiles d'accès. Ce qui leur permettra d'attendre les équipes de secours.

Quelle est la capacité d'embarquement de sa nacelle ?

Notre microdrone fait moins d'un kilo et peut embarquer dans sa nacelle jusqu'à 300 grammes afin de répondre à différents besoins. En étant équipé de projecteurs puissants, il peut éclairer à une trentaine de mètres de hauteur des zones de travail pour les travailleurs de nuit. Ce qui permet en prime d'accroître leur sécurité car ils seront vus par les conducteurs circulant à proximité.     Comment résolvez-vous son problème d'autonomie énergétique ?

Notre drone pèse moins d'un kilo, il peut voler durant 45 minutes grâce à sa batterie aisément remplaçable. Quelques secondes suffisent pour l'extraire et la remplacer. Sur ce principe, nous proposons d'équiper notre engin d'un câble d'alimentation d'une cinquantaine de mètres et qui peut lui procurer une autonomie de plusieurs jours. Grâce à ce système que nous proposons depuis plusieurs années, le drone peut remplir d'autres activités que la simple surveillance ponctuelle. Par ailleurs, le câble est aisément détachable en vol. Cela intéresse les robots de surveillance qui peuvent à la fois faire le guet pendant plusieurs heures d'affilées tout en étant capables de se détacher automatiquement pour faire une levée de doute. Auquel cas, le drone est capable d'atteindre une distance d'un kilomètre à une vitesse de 20 mètres par seconde. Le système à câble équipe d'ailleurs les drones NX110 que nous venons de livrer à la police municipale de Bruxelles.

Propos recueillis par Eliane Kan
]]>
Wed, 11 Oct 2017 00:00:00 +0200
<![CDATA[Alain Bouillé (Cesin) : « La R&D des cyberpirates est supérieure à celle des éditeurs »]]> https://www.expoprotection.com/?IdNode=2511&Zoom=ba4e90c69ae013e44afd51da30f8c3d5&xtor= Ransomware, ATP... Les nouvelles menaces semblent plus fortes que les outils des éditeurs de logiciels de cybersécurité. Qu'en pensez-vous ?

Dans la course entre les gendarmes et les voleurs, ce sont encore souvent les voleurs qui gagnent. Ce qui change, dans le paysage des menaces, c'est la très grande diversité des attaques et leurs motivations extrêmement variées. Pour la plupart, elles restent mercantiles et transposables aux fraudes classiques où les cyberattaques ne sont plus destinées à accomplir un simple exploit mais à voler des cartes bancaires, extorquer des fonds... Puis sont apparues les attaques étatiques. Il vrai qu'il est plus facile d'attaquer les systèmes d'information étatiques des pays fortement développés en matière de numérique que de leur envoyer des bombes ! Enfin, dans les années 2016 et 2017, la déferlante des rançongiciels (ransomware) a fortement affecté les entreprises. Côté cybercriminels, les campagnes ont été plus ou moins lucratives : de quelques dizaines à quelques centaines de milliers d'euros. C'est rien comparé à la gêne occasionnée. 

Cette année, Wanacry Petya, NoPetya et industroyer, la menace s'est élevée d'un cran...

Avec ces menaces, nous entrons véritablement dans une nouvelle ère, celle des attaques à dégâts collatéraux massifs. Ici, il s'agit moins d'obtenir de l'argent que de nuire. Regardez ce qui est arrivé à Saint-Gobain... A qui profite le crime ? Au départ, la NSA découvre une faille dans les systèmes d'exploitation de Microsoft mais elle préfère la garder pour ses propres intérêts plutôt que de prévenir l'éditeur de Redmond. Au final, la NSA s'est fait voler sa souche virale qui a été récupérée par de vrais cybercriminels qui s'en sont servi pour perpétrer des campagnes massives étatiques ou non. Résultat, des sociétés comme Saint-Gobain ou Renault, en France, qui n'étaient pas forcément visées, ont fini par être massivement infectées. 

Comment caractérisez-vous cette nouvelle époque ?

On peut véritablement la qualifier de cyberguerre. Les entreprises vont devoir se préparer au pire. Le pourcentage de chances de se faire attaquer s'élève considérablement. Jusqu'ici, l'impact de la plupart des vulnérabilités était, somme toute, assez mince. On pouvait les laisser de côté tant que tout le système d'information fonctionnait. Maintenant les faits s'inversent : on a plus de chances de faire attaquer lorsque que l'on se dispense de patcher le système d'information pour éviter les éventuels bugs dus à la mise à jour que lorsqu'on le fait. Jusqu'ici, le, directeur de la production, le directeur des ventes.. pouvaient préférer laisser de côté cette actualisation afin de préserver leur applications. Aujourd'hui, les priorités s'inversent. 

Les éditeurs en devraient-ils pas mieux gérer leurs mises-à-jour ? 

Peut-être mais il est devenu assez rare que les corrections liées à la sécurité perturbent les applications. Ensuite, lorsque les entreprises ont passé leur week-end à patcher à cause de Wannacry, leurs applications ont fonctionné dès la reprise du lundi matin sans voir fait des tests de non-regression. Surtout, il faut que les entreprises prévoient des processus à mettre en œuvre pour éviter les désagrément. A cet égard, on s'aperçoit qu'il leur arrive d'en faire trop !

Comment les éditeurs de sécurité ont fait évoluer leur offre ? 

Force est de constater que, à partir du moment où les attaques réussissent dans les entreprises bien protégées, c'est que les outils des éditeurs sont perfectibles. On dit souvent que l'utilisateur est le maillon faible mais il a bon dos ! Lorsqu'on lui envoie un mail très bien fait avec un lien infecté sur lequel il est incité à cliquer, c'est que les barrières ont été faibles. A l'heure actuelle, la recherche et le développement des cyberpirates est supérieure à celle des éditeurs. Les premiers sont plus nombreux, mieux organisés et surtout partagent l'information entre eux. Une chose est sûre : les dispositifs de protection et de prévention des logiciels de sécurité ont atteint leurs limites. 

Que faut-il faire ?

Renforcer ces dispositifs de détection, déceler que l'on est attaqué et avoir un processus de réaction. Il n'y a pas si longtemps, il fallait, en moyenne, 180 jours pour détecter qu'une attaque ciblée avait eu lieu dans l'entreprise. C'est insupportable. Il faut donc renforcer les moyens de détection et d'éradication des infections ou des attaques ciblées et avancées.

Intelligence artificielle, Big Data, Machine Learning, Deep Learning... Ces technologies sont-elles en train de changer la donne ?

Détecter les attaques, c'est engranger des milliards de logs pour retrouver une aiguille dans une botte de foin. Sans laisser tomber les outils de protection (anti-virus, anti-ATP...)-  car, admettons-le, ils ont encore leur utilité - les entreprises ont intérêt à se préparer à gérer une crise qui les obligera à prendre des mesures de remédiation prévue à l'avance. On ne le dira jamais assez, il est indispensable de se préparer au pire comme les rançongiciels, avoir les sauvegardes les plus récentes possibles.

Comment voyez-vous la gestion de crise ? 

Tout d'abord, la crise conduit parfois à revenir à la gomme et au crayon, à utiliser le téléphone personnel ou les réseaux sociaux privés pour communiquer avec les clients ! La première chose à faire, c'est d'éviter l'improvisation en préparant avec la direction de la communication les, éléments de langage à fournir aux différents publics. Avec la direction juridique, on pré-organise les processus de déclarations et de plaintes et on identifie les responsabilités susceptibles d'être engagées. Avec la direction des systèmes d'information (DSI), il faut insister pour qu'elle ne remette pas le système d'information immédiatement en état de marche au risque d'abîmer la scène de crime afin de pouvoir mener l'enquête forensique et, éventuellement, remonter jusqu'aux origines de l'attaque. 

Que penser des systèmes de gestion des identités et des accès (IAM) ? 

Les grandes entreprises ont mené pendant des années des projets d'IAM. Il s'agissait de rassembler au sein d'un même système les identités et les accès aux applications des utilisateurs. Un grand nombre de ces projets sotn toujours en cours. Mais, aujourd'hui, beaucoup d'applications sont dans le cloud. La gestion des accès devient plus complexe. Du coup, on se retrouve dans la situation d'avant les IAM. Si l'entreprise utilise 50 applications SaaS (Software as a Service), on se retrouve, si l'on ne fait rien, avec 50 processus d'habilitation différents. Et lorsqu'un collaborateur quitte l'entreprise, surtout si c'est rapidement, comment supprimer 50 comptes chez 50 fournisseurs différents ? Il faut donc réinventer le modèle dans le Cloud. Car on a la nécessité absolue d'avoir un seul et unique point d'entrée et non pas 50. Bien sûr, certains outils, comme la signature unique [Single Sign On (SSO)] fonctionnent très bien mais rares sont les entreprises qui les mettent en œuvre. Les entreprises doivent absolument repenser leurs modèles des années 2000. 

Dans la foulée, est-il temps également de revisiter l'intérêt du BYOD ?

Aujourd'hui, un télétravailleur ou un travailleur mobile occasionnel dispose de solutions efficaces : il se connecte en 4G avec son téléphone via son VPN et une authentification forte. C'est éprouvé et efficace. A condition d'utiliser le téléphone de l'entreprise car celle-ci pourra administrer et contrôler sa flotte. Pour l'heure, les attaques via téléphone portable sont assez rares et les entreprises investissent moins dans la sécurisation de leurs smartphones que dans celle qu'ils ont consacré à leurs PC et serveurs. Mais il y a encore des marges de progrès pour accroître le niveau de protection des mobiles. Et il en va différemment du BYOD [Bring Your Own Device ; utilisation des équipements personnels en entreprise] qui apporte plus de problèmes qu'il n'en résout avec, finalement, un faible gain économique. En effet, le service support, qui doit alors connaître un très grand nombre de marques différentes, devient trop cher. Sans compter que ces appareils peuvent ramener des vulnérabilités. Messieurs les décideurs et les DSI, calculez le vrai ROI [Retour sur investissement] et vous reviendrez sans doute au bon vieil équipement d'entreprise ! Certaines sociétés ont préféré le  COPE [Corporate Owned Personally Enabled] qui permet, en toute sécurité, d'utiliser le téléphone professionnel à des fins personnelles sans trop brider l'utilisateur. 

Propos recueillis par Erick Haehnsen




]]>
Wed, 11 Oct 2017 00:00:00 +0200