mars 7th, 2016

L’ University of New Haven Cyber Forensics Research and Education Group (UNHcFREG) publie une énième étude sur la solidité des mots de passe. Ou plus exactement sur l’application de politiques de mots de passe dans le domaine bancaire. Et il apparaît qu’Outre Atlantique, la sécurité du compte client n’est pas franchement digne d’intérêt. Nombre de sites Web destinés aux opérations de consultation/opération (virements notamment). Sur 17 banques visées par l’étude, 6 n’appliquent aucune politique sérieuse de mot de passe. Le panachage de chiffres dans le sésame n’est pas autorisé, et le mélange majuscules/minuscules n’est pas pris en compte. Et les mauvais élèves portent des noms célèbres… certains d’entre eux ayant été fortement compromis dans le scandale des prêts hypothécaires : Chase Bank (50 millions de clients), Citibank (200 millions), Wells Fargo (70 millions), Capital One (50 millions) pour ne citer que les plus connus.

Ces vulnérabilités, combinées aux mauvaises pratiques de choix de mots de passe (qwerty, password, prénom du conjoint, nom de l’équipe de football etc.) font de près de 350 millions de citoyens US des victimes rêvées pour des serial-voleurs d’identités bancaires.
En France, cela va sans dire, rien de cela n’existerait …

San Francisco, RSA Conference : La mode est aux plateformes de gestion SSI, le « prix de l’innovation 2016 » attribué cette année à Phantom (un middleware SSI dans le cloud) en est un indice certain. C’est également l’un des axes de développement de ServiceNow, qui était plutôt cantonné jusqu’à présent dans la fourniture de services liés à la gouvernance d’entreprise et à l’optimisation des services. Ce n’est donc pas un « pure player » sécurité. Son « Security operation » est une plateforme cloud destinée à faciliter le travail des équipes IT confrontées aux incidents de sécurité et aux problèmes de gestion des vulnérabilités. Ce sont donc deux nouveaux services cloud distincts qui ont été présentés lors du salon de San Francisco : Security Incident Response et Vulnerability Response, qui, affirme le porte-parole de ServiceNow, « définit, structure et automatise les réponses à incident afin de diminuer le plus possible les fenêtres de vulnérabilités ». « Le but de notre plateforme est de formaliser et d’accélérer le workflow qui va de la détection de l’incident lui-même, à la remédiation, en combinant d’une part la partie « outils » vendus par les tierces parties spécialisées dans le domaine de la sécurité des systèmes d’information, et d’autre part, les bases de connaissances telles que la National Vulnerability Database US » (base CVE, CCE, CPE, CVSS, XCCDF, OVAL).

Ce discours managérial peut paraître très flou aux équipes sécurité qui sont quotidiennement confrontées à des problèmes plus techniques que structurels. Pourtant, le genre de discours tenu par des entreprises telles que ServiceNow est mieux compris par les CxO que la vision parfois trop « binaire » de la sécurité opérationnelle.