Imation Corp présente ses prédictions pour 2013. 2012 fut encore une année mouvementée sur le front des violations de données, avec notamment les amendes record infligées par l’ICO (Information Commissioner’s Office), l’équivalent britannique de la CNIL française. En 2013, les directeurs informatiques seront confrontés à des défis nombreux et complexes, liés au développement du télétravail, du BYOD (Bring-Your-Own-Device, tendance consistant à laisser les employés utiliser leurs outils IT personnels dans le cadre de leurs fonctions professionnelles), ainsi qu’à l’évolution du contexte réglementaire.
Nick Banks, directeur EMEA et APAC d’Imation Mobile Security, porte un regard sombre sur 2013 : « Rien n’indique que les fuites et vols de données vont reculer. Les chiffres obtenus par Imation dans le cadre du Freedom of Information Act montrent au contraire que les communications volontaires de violations de données ont progressé de plus de 1 000 % depuis 2007. Et le nombre de ces incidents a augmenté dans chaque secteur de l’économie, à l’exception des télécoms, selon les données les plus récentes. Il n’y a aucune raison d’imaginer que 2013 sera différent. »
L’année des violations de données
« Depuis un certain temps, les experts prédisent que l’année à venir sera ‘l’année des violations de données,’ et je crains qu’ils ne fassent de même pour 2013. Mais assurément, les conditions deviennent de plus en plus difficiles pour les entreprises. Des phénomènes tels que le BYOD et le travail nomade ne sont pas nouveaux, mais ils devraient s’étendre en 2013. »
Réglementation européenne et conformité
« A cela s’ajoute la future réglementation sur les violations de données envisagée par l’Union Européenne. Une réglementation qui devrait transformer radicalement le visage de la sécurité informatique en Europe. Bien que ces nouvelles règles n’entreront pas en vigueur avant 2015, elles devraient tout de même influencer les décisions prises dans le cadre des stratégies de conformité réglementaire. Mais ces règles ne sont pas encore finalisées et personne ne sait dire exactement ce qu’elles seront effectivement. Pour l’heure, il s’agit donc de quelque chose à surveiller. Dès lors, la conformité réglementaire devrait rester un sujet majeur en 2013. »
Imation a identifié les tendances majeures suivantes pour la sécurité IT ; tendances qui devraient marquer 2013 :
Les violations de données seront plus nombreuses en 2013 qu’en 2012
Les violations de données communiquées volontairement ont été plus nombreuses chaque année, depuis 2007, au Royaume-Uni. Cette croissance peut être en partie imputée à une meilleure communication et à l’obligation de communication dans certains secteurs ; deux avancées positives. Mais le nombre des violations de données reste à un niveau inacceptable et les organisations continuent de commettre des erreurs basiques qui conduisent à des amendes élevées de l’ICO. Rien n’indique un ralentissement de la croissance annuelle du nombre de violations de données, et il sera intéressant de voir quel impact commenceront à avoir les nouvelles règles européennes pour la protection des données (prévues pour 2015), à mesure que la date de leur entrée en vigueur s’approche.
Windows 8 et le développement du télétravail
Les Jeux Olympiques ont montré que de nombreuses entreprises peuvent améliorer la flexibilité de leurs employés en autorisant le télétravail. Son adoption devrait donc progresser en 2013. Par le passé, le télétravail a créé des problèmes de sécurité et d’utilisabilité. Deux éléments susceptibles d’expliquer pourquoi le télétravail n’a pas encore montré tout son potentiel au Royaume-Uni.
Une nouvelle technologie intéressante cherche à apporter des solutions à ces problèmes : c’est l’environnement travail mobile sécurisé, une fonctionnalité intégrée à Windows 8 sous le nom de Windows To Go. Cette technologie de ‘PC sur clé USB’ offre plus de flexibilité, de simplicité, et de sécurité aux travailleurs mobiles en permettant aux entreprises de déployer des PC-USB qui se branchent sur des machines hôtes, n’importe où, pour créer un environnement de travail sécurisé. Ces appareils vont permettre aux employés de profiter d’une approche du travail mobile consistante, sûre, et simple, en reproduisant leur environnement de travail où qu’ils se trouvent.
Le BYOD est là pour longtemps
La tendance du BYOD n’est pas nouvelle. Et elle n’a pas manqué de causer de nombreuses difficultés aux organisations. D’un côté, il y a bien sûr des perspectives de gains de productivité et d’économies. Mais, de l’autre, il faut compter avec des questions complexes de propriété des données, de compatibilité, et de sécurité. En 2013, le développement du BYOD s’accélèrera probablement, les organisations ayant réussi jusqu’ici à y résister se laissant finalement convaincre – peut-être parce qu’elles sont conscientes que si elles n’y viennent pas, cela n’empêchera pas leurs employés d’utiliser malgré tout leurs propres terminaux.
Souvent, le BYOD entre dans les entreprises par l’exécutif, ses membres demandant à utiliser leur iPad ou leur MacBook Air comme principal outil de travail. Les entreprises doivent fournir la formation nécessaire et établir des règles d’usage précises, qui définissent la manière dont les personnels devraient utiliser leurs terminaux en tenant compte des questions de sécurité. L’information sur les types de terminaux utilisés, ainsi que sur quand et où l’accès à certaines informations est accepté, sera essentielle pour réussir les audits de sécurité.
Mais alors que le BYOD gagne en popularité, ces terminaux vont inévitablement devenir des cibles pour les cybercriminels. Les DSI doivent donc également être informées de la posture de sécurité des terminaux des employés. À défaut, elles risquent d’exposer les actifs informationnels de l’entreprise.
La sécurité du Cloud va gagner en importance
Un nombre croissant d’entreprises sautent le pas et stockent des données en mode Cloud, et elles ont besoin d’être sûres que ces données sont correctement sécurisées. Des exemples récents ont montré qu’il ne suffit pas d’attendre de son fournisseur de services Cloud qu’il prenne la question de cette sécurité à sa charge : le client reste susceptible d’être tenu responsable d’une violation des données.
La gestion de la sécurité des identités et des accès devient cruciale lorsque les données sont stockées en mode Cloud, puisque, techniquement, rien ne s’oppose à l’accès à ces données depuis n’importe où. Les entreprises doivent ainsi s’assurer de disposer d’une solution robuste pour prévenir l’accès non autorisé aux données.
Prise de conscience de la menace interne
Avec toute l’attention dont bénéficient les menaces venues du cyberespace, il peut être aisé d’oublier les risques plus proches, voire internes. S’il n’est pas agréable d’imaginer que ses propres employés perdent, voire volent, des données, cela ne s’en produit pas moins. L’institut Ponemon a montré que les trois principales causes de violation de données sont directement liées à l’erreur humaine : s’il faut prendre en compte la question de la malveillance, il faut donc également considérer celle de l’inadvertance ou du manque de précaution, tout autant source de violation de données.
Mais peut-on réellement empêcher quelqu’un d’être imprudent ? Non, mais il est assurément possible de limiter les dommages conséquents. L’idée est de déporter la responsabilité aussi loin de l’utilisateur que possible, sans pour autant nuire à la productivité des employés. L’utilisation d’une console d’administration pour appliquer les règles de sécurité à l’échelle de l’organisation toute entière aide à prévenir le risque. Les systèmes d’administration peuvent être utilisés pour superviser le respect des règles, pour les définir, et pour les appliquer, jusqu’au niveau de l’utilisateur individuel, si nécessaire. Qui plus est, les logiciels d’administration peuvent également suivre et surveiller les terminaux autorisés et les données téléchargées. Ils peuvent être utilisés pour bloquer l’utilisation de clés USB non chiffrées. Cela supprime le risque d’erreur humaine en garantissant automatiquement l’utilisation d’un dispositif chiffré.
Les consoles d’administration peuvent également effacer à distance les périphériques USB perdus ou volés et même contrôler précisément quelles données peuvent être téléchargées sur des appareils de stockage mobiles, ajoutant ainsi des couches de protection supplémentaires. L’application des règles de sécurité des données via une solution administrée et automatisée permet de prévenir les violations de données et protège ainsi tant les personnes que les données.
Le recours au chiffrement va s’étendre
2013 sera l’année où les organisations réaliseront finalement que le risque d’utiliser des périphériques de stockage non chiffrés ne mérite pas d’être pris. Il ne s’écoule pas un mois sans que l’on apprenne qu’une organisation a été sanctionnée par une amende pour une violation de sécurité liée à la perte ou au vol d’un support de stockage non chiffré. Ironiquement, le chiffrement s’avère tellement peu onéreux que les entreprises pourraient largement l’implémenter pour bien moins cher que les amendes qui les menacent lorsque tout tourne mal.
Le chiffrement est simple à administrer et réussit largement à prévenir les violations de données. Lorsqu’un périphérique chiffré est perdu ou volé, les données restent en sécurité et leur violation est évitée. L’amende record infligée aux centres hospitaliers publics de l’université de Brighton et du Sussex, de 325 000 £, a récemment illustré de manière marquante la problématique. Une sanction qui aurait pu être évitée avec l’utilisation de disques durs chiffrés.
Les solutions Imation Mobile Security
Les produits de sécurisation des données, des identités, et des environnements de travail d’Imation aident les organisations à se protéger des pertes de données et accompagnent leurs stratégies de conformité, fournissant aux utilisateurs un accès simple et sécurisé à leurs données et à leurs applications, où qu’ils se trouvent, tout en fournissant un environnement de sécurité administré et garantissant la conformité réglementaire, grâce à une vaste gamme de périphériques USB et de supports de stockage amovibles.
Les solutions de sécurité mobile d’Imation sont commercialisées par le réseau de partenaires d’Imation. Pour plus d’informations, consultez le site Web, www.imation.com/en-US/