« Comment l'affaire WikiLeaks aurait pu être évitée »
Une lettre ouverte de Novell, qui essaye de surfer sur le buzz ?
Le 2010-12-09 18:03:38, par Gordon Fowler, Expert éminent sénior
Novell a publié une lettre ouverte, assez étrange, en rapport avec l'affaire WikiLeaks. Une lettre dans laquelle l'éditeur explique comment, à ses yeux, ces fuites auraient pu être évitées.
Et prend, au passage, position contre les fuites d'informations confidentielles du site de Julian Assange (ce que personne ne reprochera à l'entreprise, chacun étant libre de ses positions).
« Toutes les entreprises doivent faire face au problème de Wikileaks », commence la lettre.
Une affirmation qui donne le ton mais qui ne précise pas quelle est la teneur exacte du « problème de WikiLeaks » (rester accessible en cas d'attaques - subies par WikiLeaks, ou colmater les fuites d'informations en interne - dont bénéficie WikiLeaks).
Plus loin, le mélange des genres s'amplifie : « L’année dernière, selon le Credoc plus 210.000 personnes ont été victimes d’une usurpation d’identité en France ».
Et de revenir à une problématique d'entreprise en citant en exemple une société, justement au cœur des révélations de WikiLeaks (un fait que Novell ne souligne cependant pas dans son communiqué) : « Aux Etats-Unis, Bank of America ainsi que d’autres institutions se sont vues dérober 800.000 dossiers lors d’une unique atteinte à la sécurité des données en 2005 ».
Au final, le message de l'éditeur est simple, voire légitime. La confidentialité des données d'une entreprise est importante et doit être sérieusement prise en compte.
« [...] Pour éliminer ces fuites d’informations, il est nécessaire de comprendre qui peut accéder à quelles données et en quelles circonstances, et de surveiller en temps réel comment ces données peuvent être utilisées et disséminées », conseille Novell. « Techniquement, la gestion des identités (ensemble de technologies qui fournit aux personnes un ensemble unique de droits en termes d'accès aux données, tout en contrôlant à quelle fin elles utilisent cet accès) constitue une solution évoluée et bien comprise ».
Mais Novell note et regrette que « ces technologies souffrent d’un cruel défaut d’adoption ».
Tout le monde (ou presque) sera d'accord pour dire que l'intention et la volonté d'éducation est louable.
Mais évoquer WikiLeaks était-il nécessaire ?
« Dans le cas de Wikileaks et des récentes fuites d’informations militaires confidentielles qui se sont produites, il semble évident que si des règles de sécurité fondamentales avaient été instaurées, les dégâts auraient pu être minimisés ».
La leçon est évidente pour Novell : « Si la technologie avait été utilisée correctement, il est certain que l’on aurait pu connaître l'identité du voleur en quelques minutes ».
Une leçon, pour l'éditeur qui vient de se faire racheter, que tous les responsables IT devrait apprendre.
« Le partage légitime de données [...] ne devrait pas être restreint. Tous les acteurs doivent donc déployer des technologies de sécurité et renforcer les règles permettant de réduire considérablement les risques liés à la perte de données. Ils devront aussi s'assurer que les auteurs de ces vols pourront être appréhendés avant que l’on ne déplore trop de dégâts ».
Sinon, un WikiLeaks pourrait bien s'occuper de vous.
Et vous ?
Source : Texte intégral de la Lettre Ouverte de Novell
Et prend, au passage, position contre les fuites d'informations confidentielles du site de Julian Assange (ce que personne ne reprochera à l'entreprise, chacun étant libre de ses positions).
« Toutes les entreprises doivent faire face au problème de Wikileaks », commence la lettre.
Une affirmation qui donne le ton mais qui ne précise pas quelle est la teneur exacte du « problème de WikiLeaks » (rester accessible en cas d'attaques - subies par WikiLeaks, ou colmater les fuites d'informations en interne - dont bénéficie WikiLeaks).
Plus loin, le mélange des genres s'amplifie : « L’année dernière, selon le Credoc plus 210.000 personnes ont été victimes d’une usurpation d’identité en France ».
Et de revenir à une problématique d'entreprise en citant en exemple une société, justement au cœur des révélations de WikiLeaks (un fait que Novell ne souligne cependant pas dans son communiqué) : « Aux Etats-Unis, Bank of America ainsi que d’autres institutions se sont vues dérober 800.000 dossiers lors d’une unique atteinte à la sécurité des données en 2005 ».
Au final, le message de l'éditeur est simple, voire légitime. La confidentialité des données d'une entreprise est importante et doit être sérieusement prise en compte.
« [...] Pour éliminer ces fuites d’informations, il est nécessaire de comprendre qui peut accéder à quelles données et en quelles circonstances, et de surveiller en temps réel comment ces données peuvent être utilisées et disséminées », conseille Novell. « Techniquement, la gestion des identités (ensemble de technologies qui fournit aux personnes un ensemble unique de droits en termes d'accès aux données, tout en contrôlant à quelle fin elles utilisent cet accès) constitue une solution évoluée et bien comprise ».
Mais Novell note et regrette que « ces technologies souffrent d’un cruel défaut d’adoption ».
Tout le monde (ou presque) sera d'accord pour dire que l'intention et la volonté d'éducation est louable.
Mais évoquer WikiLeaks était-il nécessaire ?
« Dans le cas de Wikileaks et des récentes fuites d’informations militaires confidentielles qui se sont produites, il semble évident que si des règles de sécurité fondamentales avaient été instaurées, les dégâts auraient pu être minimisés ».
La leçon est évidente pour Novell : « Si la technologie avait été utilisée correctement, il est certain que l’on aurait pu connaître l'identité du voleur en quelques minutes ».
Une leçon, pour l'éditeur qui vient de se faire racheter, que tous les responsables IT devrait apprendre.
« Le partage légitime de données [...] ne devrait pas être restreint. Tous les acteurs doivent donc déployer des technologies de sécurité et renforcer les règles permettant de réduire considérablement les risques liés à la perte de données. Ils devront aussi s'assurer que les auteurs de ces vols pourront être appréhendés avant que l’on ne déplore trop de dégâts ».
Sinon, un WikiLeaks pourrait bien s'occuper de vous.
Et vous ?
Source : Texte intégral de la Lettre Ouverte de Novell
Paris, le 03 décembre 2010 - Toutes les entreprises doivent faire face au problème de Wikileaks et se demander comment poursuivre leurs activités tout en s'assurant que l’accès à leurs données sensibles et confidentielles reste protégé. À ce jour, aucun organisme, ni militaire, ni financier ou du secteur public, n'a trouvé de solution à ce problème qui nous touche tous et qui va certainement s’aggraver.
L’année dernière, selon le Credoc plus 210 000 personnes ont été victimes d’une usurpation d’identité en France. Le vol de données est un fléau dans les quatre coins de la planète et dans tous les secteurs dits sensibles. Aux Etats-Unis, Bank of America ainsi que d’autres institutions se sont vues dérober 800 000 dossiers lors d’une unique atteinte à la sécurité des données en 2005. En 2008, des pirates informatiques ont volé plus de 8 millions de dossiers médicaux sur un site Internet de l’administration et ont ensuite tenté de demander une rançon aux personnes concernées.
Comment peut-on expliquer ce vol de données ? La malveillance humaine, l’incompétence technique et la bêtise commune ont toutes joué un rôle. Il s’avère très difficile de surmonter la nature humaine, mais il n’est pas impossible d’utiliser la technologie pour prévenir et minimiser ces vols.
Nous devrions reconnaître que tous ces vols sont dus à un facteur humain. Aussi, pour éliminer ces fuites d’informations, il est nécessaire de comprendre qui peut accéder à quelles données et en quelles circonstances, et de surveiller en temps réel comment ces données peuvent être utilisées et disséminées. Techniquement, la gestion des identités (ensemble de technologies qui fournit aux personnes un ensemble unique de droits en termes d'accès aux données, tout en contrôlant à quelle fin elles utilisent cet accès) constitue une solution évoluée et bien comprise. Cependant, ces technologies souffrent d’un cruel défaut d’adoption.
Dans le cas de Wikileaks et des récentes fuites d’informations militaires confidentielles qui se sont produites, il semble évident que si des règles de sécurité fondamentales avaient été instaurées, les dégâts auraient pu être minimisés. Si la technologie avait été utilisée correctement, il est certain que l’on aurait pu connaître l'identité du voleur en quelques minutes. Récemment, il a été annoncé que le transfert de données au moyen de clés USB et de CD deviendra impossible. Il s’agit d’une solution de fortune au problème. Le partage légitime de données est un impératif crucial, notamment dans l'armée, et ne devrait pas être restreint. Tous les acteurs doivent donc déployer des technologies de sécurité et renforcer les règles permettant de réduire considérablement les risques liés à la perte de données. Ils devront aussi s'assurer que les auteurs de ces vols pourront être appréhendés avant que l’on ne déplore trop de dégâts.
L’année dernière, selon le Credoc plus 210 000 personnes ont été victimes d’une usurpation d’identité en France. Le vol de données est un fléau dans les quatre coins de la planète et dans tous les secteurs dits sensibles. Aux Etats-Unis, Bank of America ainsi que d’autres institutions se sont vues dérober 800 000 dossiers lors d’une unique atteinte à la sécurité des données en 2005. En 2008, des pirates informatiques ont volé plus de 8 millions de dossiers médicaux sur un site Internet de l’administration et ont ensuite tenté de demander une rançon aux personnes concernées.
Comment peut-on expliquer ce vol de données ? La malveillance humaine, l’incompétence technique et la bêtise commune ont toutes joué un rôle. Il s’avère très difficile de surmonter la nature humaine, mais il n’est pas impossible d’utiliser la technologie pour prévenir et minimiser ces vols.
Nous devrions reconnaître que tous ces vols sont dus à un facteur humain. Aussi, pour éliminer ces fuites d’informations, il est nécessaire de comprendre qui peut accéder à quelles données et en quelles circonstances, et de surveiller en temps réel comment ces données peuvent être utilisées et disséminées. Techniquement, la gestion des identités (ensemble de technologies qui fournit aux personnes un ensemble unique de droits en termes d'accès aux données, tout en contrôlant à quelle fin elles utilisent cet accès) constitue une solution évoluée et bien comprise. Cependant, ces technologies souffrent d’un cruel défaut d’adoption.
Dans le cas de Wikileaks et des récentes fuites d’informations militaires confidentielles qui se sont produites, il semble évident que si des règles de sécurité fondamentales avaient été instaurées, les dégâts auraient pu être minimisés. Si la technologie avait été utilisée correctement, il est certain que l’on aurait pu connaître l'identité du voleur en quelques minutes. Récemment, il a été annoncé que le transfert de données au moyen de clés USB et de CD deviendra impossible. Il s’agit d’une solution de fortune au problème. Le partage légitime de données est un impératif crucial, notamment dans l'armée, et ne devrait pas être restreint. Tous les acteurs doivent donc déployer des technologies de sécurité et renforcer les règles permettant de réduire considérablement les risques liés à la perte de données. Ils devront aussi s'assurer que les auteurs de ces vols pourront être appréhendés avant que l’on ne déplore trop de dégâts.
-
psychadelicExpert confirméOn peut difficilement reprocher à Novel de profiter du Buzz fait autour de WikiLeaks, sauf que ça fait un peu vautour et que c'est moins drôle que les billets d'avions offerts par une compagnie aérienne pour se rendre à la fête de la bière...
On peut bien sur renforcer la sécurité tout azimuth, mais au bout du compte on devient parano.
A la base de la fuite d'infos vers WikiLeaks, il y a justement une personne complètement oppressée par cette cangue de secrets et mensonges, et directement concerné par ce code du "don't ask, don't tell"...
"Le défaut de conception majeur des systèmes de protection, c'est de ne jamais prévoir la moindre soupape de sécurité"
cf: la marmite.le 10/12/2010 à 14:29 -
mortapaMembre régulierc'est évident qu'ils surfent sur le Buzz...
Mais ils ont au moins "le mérite" d'expliquer clairement certaine faille que certain patron n'ont pas conscience.le 09/12/2010 à 18:10 -
NekoMembre chevronnéIl manque plus qu'un "Novell peu vous aider a faire face grâce a ses solutions" et c'est de la bonne grosse pub. Ca y est mais ça reste implicite.le 09/12/2010 à 19:55
-
psychadelicExpert confirméDepuis le 3 déc, les clef usb, cd/ dvd enregistrables et autres, sont interdits au sein des services confidentiels de l'armée US, et leur possession est passible de la cours martiale.
http://www.lemonde.fr/technologies/a...08_651865.htmlle 10/12/2010 à 12:52 -
grafikm_frExpert confirméEn ce qui concerne l'affaire Wikileaks, on n'a pas affaire à des employés, mais à des militaires (même pas à des subcontractors bossant pour l'armée).
S'il faut maintenant expliquer à des analystes de l'armée qu'il faut pas faire sortir des données confidentielles du bureau...le 10/12/2010 à 17:04 -
PriatoMembre habituéC'est très très probable qu'ils surfent sur le buzz pour se faire de la pub, mais système Novell ou pas, si un employé est déterminé à faire sortir une info de sa boite, son gouvernement, etc... et qu'il y a accès, ça reste difficile à empêcher(clé USB, imprimé,...Etc.). Je pense qu'il y a un coté humain à ne pas négliger, surtout quand ce sont des données sensibles.le 10/12/2010 à 10:52
-
TellenMembre avertiOui d'accord avec toi. Mais il y a moyen de connaitre l'activité d'un PC (insertion d'une clé par exemple) qui à eu accée à tel donnée et à quel moment et tout ça, si on s'en donne les moyens en temps réel.le 10/12/2010 à 10:57
-
PriatoMembre habituéCe qui m'étonne le plus, c'est qu'ils ne l'aient pas fait avant... Surtout aux USA, notamment depuis le 11 Septembre, dans l'armée de l'air.le 10/12/2010 à 14:20
-
thaundeadbossMembre habituéBonjour à toutes et à tous.
Ce que j'aimerais savoir, c'est comment ces informations "très sensibles" ont pu atterrire dans les mains de assange. et comment une entité , des plus diaboliques dans le monde, ne puisse détecter un vol de 250000 documents.
pour moi ça a l'air d'une comédie ou d'une salade que Uncle SAM's town est entrain de cuisiner.le 10/12/2010 à 17:03 -
grafikm_frExpert confirméParce qu'on avait un jeune intelligence analystde l'armée américaine qui y avait accès de la part son activité professionnelle. Et que ce joyeux analyste a amené un CD-RW au bureau (parait-il intitulé "Lady Gaga"
et a joyeusement gravé toutes ces données dessus. Et les a refilé à Wikileaks. le 10/12/2010 à 17:06