Royaume-Uni : les entreprises priées de mieux protéger les données

Royaume-Uni : les entreprises priées de mieux protéger les données

Avec la fin du support de Windows XP, le bâton n'est pas loin

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

13/05/2014
17

Royaume-Uni : les entreprises priées de mieux protéger les données

L’Information Commissioner’s Office, organe anglais chargé de la surveillance sur la protection des données, a publié hier un important rapport sur les lacunes des entreprises dans ce domaine. L’utilisation de vieux logiciels non supportés, en particulier Windows XP, y est largement pointée du doigt. Avec un sérieux risque d’amende en cas de brèche avérée dans la sécurité.

windows xp security essentials

Windows XP ne bénéficie plus d'aucun support 

 

Le rapport de l’ICO s’est penché sur la manière dont les entreprises gèrent les données de leurs clients. La loi anglaise peut punir en cas de brèches de sécurité quand les protections mises en place sont jugées insuffisantes. Le British Pregnancy Advice Service avait ainsi écopé d’une amende de 200 000 livres (environ 245 000 euros), tandis que Sony avait poussé la note jusqu’à 250 000 livres (environ 306 000 euros), tous deux pour des fuites de données après des attaques contre leurs infrastructures.

Huit problèmes couramment constatés 

Alors que l’on parle beaucoup de l’arrêt du support de Windows XP et des conséquences potentiellement graves de laisser un système d’exploitation sans support sur les machines, le rapport souligne que les entreprises sont tenues de protéger les données. Durant l’enquête menée, huit problèmes récurrents ont été repérés :

  1. L’échec à garder les logiciels à jour
  2. Un manque de protection face aux injections SQL
  3. L’utilisation de services inutiles
  4. Le retrait des vieux logiciels et services
  5. Le manque de sécurité pour le stockage des mots de passe
  6. L’absence de chiffrement des échanges d’informations en ligne
  7. La mauvaise conception des réseaux qui entrainent le traitement de données dans des zones inappropriées
  8. L’utilisation continue d’identifiants et mots de passe mal conçus

Un danger accru par l'utilisation encore massive de Windows XP

Or, comme le rappelle le journal anglais The Telegraph, une étude menée par AppSense avait révélé, une semaine avant la fin du support de Windows XP le 8 avril dernier, que 77 % des entreprises anglaises utilisent encore des postes avec le vieux système, d’une manière ou d’une autre. Un chiffre impressionnant qui témoigne d’une dangereuse réalité.

 

Les informations communiquées par l’ICO font suite à la prolongation par le gouvernement anglais du support de Windows XP, sous une forme payante, pour les dizaines de milliers de machines qui l’utilisent encore, et ce pendant un an. Selon Microsoft, il faut entre 18 et 36 mois pour réaliser une migration complète depuis le système vers Windows 7 ou 8 dans le cas d’une grande structure. Même si le gouvernement peut donner l’apparence de montrer « la voie » en investissant pour un support qui maintiendra le produit à jour, on ne peut nier que si la migration avait commencé plus tôt, une telle extension n’aurait pas été nécessaire.

Les technologies évoluent, les menaces aussi

Si le rapport de l’ICO ne mentionne pas directement Windows XP, le produit est probablement le plus concerné par la question des logiciels ne recevant plus de support. Car la conséquence la plus directe pour le vieux système est que les entreprises l’utilisant encore seront progressivement fragilisées, les failles découvertes n’étant plus corrigées. Les administrateurs des parcs informatiques auront d’ailleurs le premier exemple concret de cet arrêt dès ce soir, puisque les bulletins de sécurité du mois de mai ne contiennent aucun correctif pour Windows XP, ni pour Office 2003. On rappellera que Microsoft, malgré l'arrêt de ce support, a quand même choisi de diffuser un correctif pour une faille affectant Internet Explorer sous Windows XP.

 

Traduction : plus les entreprises anglaises tarderont à migrer vers un système récent, plus elles s’exposeront à des attaques ayant des chances accrues de réussir, et donc à des amendes.

 

L’ICO rappelle cependant que même si les huit problèmes cités précédemment sont courants, ils ne sont pas les seuls. L’organe ajoute par ailleurs que le rapport n’a pas vocation à faire la somme des bonnes pratiques en matière de sécurité. Les technologies évoluent et, avec elles, les menaces qui les accompagnent. L’ICO insiste surtout sur un point (page 43) : « Toute organisation utilisant un environnement IT se soit de s’assurer que les mesures techniques et organisationnelles appropriées sont en place pour protéger les données personnelles. Elles doivent être surveillées et entretenues sur la durée pour rester efficaces ».

 

Bien qu’en anglais et dévolu aux entreprises, le rapport est accessible et reste un important socle de réflexion pour la protection des données en entreprise.

17

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Huit problèmes couramment constatés 

Un danger accru par l'utilisation encore massive de Windows XP

Les technologies évoluent, les menaces aussi

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (17)


Le 13/05/2014 à 11h 08

Je suis rarement d’accord avec les Anglais mais là, j’avoue être agréablement surpris.


Et pendant ce temps là, dans les administrations françaises, certains sont encore sous XP <img data-src=" />


Le 13/05/2014 à 11h 35







ActionFighter a écrit :



Et pendant ce temps là, dans les administrations françaises, certains sont encore sous XP NT4 <img data-src=" />





<img data-src=" />



nan j’déconne <img data-src=" /> (enfin j’espère)









WereWindle a écrit :



<img data-src=" />



nan j’déconne <img data-src=" /> (enfin j’espère)





Quand même pas <img data-src=" />



Non, on a migré il y a 6 mois vers XP. On devrait passer à Seven dans une dizaine d’années, le temps d’amortir les licences et les devs spécifiques.



Le 13/05/2014 à 12h 05







ActionFighter a écrit :



Et pendant ce temps là, dans les administrations françaises, certains sont encore sous XP <img data-src=" />







Je bosse dans l’une des principales banques Françaises (non, je ne donnerais pas de nom), et on a encore quelques (rares) serveurs de production qui tournent sous Windows Server 2000 parce que plus personne n’a la compétence/connaissance pour (ré)installer ailleurs les applications qui tournent dessus.



Le 13/05/2014 à 12h 13







sebcap26 a écrit :



Je bosse dans l’une des principales banques Françaises (non, je ne donnerais pas de nom), et on a encore quelques (rares) serveurs de production qui tournent sous Windows Server 2000 parce que plus personne n’a la compétence/connaissance pour (ré)installer ailleurs les applications qui tournent dessus.





haussement d’épaules tant qu’ils ne communiquent pas avec le net, ça ne pose pas de vrai souci (‘fin à part le niveau fonctionnel de l’AD mais je pense que les admins y ont déjà réfléchi. Le problème de la fatigue de la machine elle-même va se poser aussi à un moment ou à un autre si vraiment personne ne sait comment les mettre/ré-installer sur du matos plus récent)



Le 13/05/2014 à 12h 17

J’ai pareils, on avait 18 serveurs 2000 qu’on commence tout doucement à migrer vers 2008R2.



Il est temps…


Le 13/05/2014 à 12h 45

Royaume-Uni : les entreprises priées de mieux protéger les données

France : les entreprises priées de mieux payer leurs impôts



<img data-src=" />


Le 13/05/2014 à 12h 46







pyro-700 a écrit :



Royaume-Uni : les entreprises priées de mieux protéger les données

France : les entreprises priées de mieux payer leurs impôts



<img data-src=" />





note qu’on réfléchit à taxer les données. Du coup, une fuite de données deviendrait assimilable à de l’évasion fiscale et pouf ! double effet kisskool ! <img data-src=" />



Le 13/05/2014 à 13h 27







sebcap26 a écrit :



Je bosse dans l’une des principales banques Françaises (non, je ne donnerais pas de nom), et on a encore quelques (rares) serveurs de production qui tournent sous Windows Server 2000 parce que plus personne n’a la compétence/connaissance pour (ré)installer ailleurs les applications qui tournent dessus.







Alors c’est TA FAUTE si les serveurs EBICS sont sous-dimensionnés !

C’est parce qu’ils tournent sur des coucous en 2000 !<img data-src=" />

Pendez le ! <img data-src=" />



(ceci est de l’humour, même un chouia trop private <img data-src=" />)



Le 13/05/2014 à 13h 44







WereWindle a écrit :



note qu’on réfléchit à taxer les données. Du coup, une fuite de données deviendrait assimilable à de l’évasion fiscale et pouf ! double effet kisskool ! <img data-src=" />





Tu rigole, mais si les amendes étaient fonction de l’importance de la fuite de données (adresses, n° de tel, emails, données bancaires), y aurait des embauches massives “d’experts” en sécurité… <img data-src=" /> <img data-src=" />









sebcap26 a écrit :



Je bosse dans l’une des principales banques Françaises (non, je ne donnerais pas de nom), et on a encore quelques (rares) serveurs de production qui tournent sous Windows Server 2000 parce que plus personne n’a la compétence/connaissance pour (ré)installer ailleurs les applications qui tournent dessus.





Bon ça va alors, on est pas trop à la ramasse par rapport à certains <img data-src=" />







WereWindle a écrit :



haussement d’épaules tant qu’ils ne communiquent pas avec le net, ça ne pose pas de vrai souci (‘fin à part le niveau fonctionnel de l’AD mais je pense que les admins y ont déjà réfléchi. Le problème de la fatigue de la machine elle-même va se poser aussi à un moment ou à un autre si vraiment personne ne sait comment les mettre/ré-installer sur du matos plus récent)





Reste la solution de virtualiser.



Le 13/05/2014 à 13h 47







ActionFighter a écrit :



Reste la solution de virtualiser.





oui mais comme je la ressors à chaque news sur XP, cette solution-là, elle était sur sa borne de recharge <img data-src=" />









WereWindle a écrit :



oui mais comme je la ressors à chaque news sur XP, cette solution-là, elle était sur sa borne de recharge <img data-src=" />





Oui, tu m’avais déjà fait la remarque pour mon poste de travail, qui n’est toujours pas virtualisé d’ailleurs <img data-src=" />



Le 13/05/2014 à 14h 03







ActionFighter a écrit :



Oui, tu m’avais déjà fait la remarque pour mon poste de travail, qui n’est toujours pas virtualisé d’ailleurs <img data-src=" />





s’ils font les radins pour le changer (ou pour changer le parc entier, c’est tout comme) j’imagine bien qu’investir dans de la virtualisation n’est même une lueur lubrique dans l’oeil du comptable/chambellan/autre.



The botnet will assimilate you. Resistance is futile !









WereWindle a écrit :



s’ils font les radins pour le changer (ou pour changer le parc entier, c’est tout comme) j’imagine bien qu’investir dans de la virtualisation n’est même une lueur lubrique dans l’oeil du comptable/chambellan/autre.



The botnet will assimilate you. Resistance is futile !





La migration vers Seven a commencée et est presque terminée.



Seulement, j’ai un dev à finir et aucun IDE Java n’étant encore disponible à l’installation sous Seven, je reste sous XP pour encore environ un mois <img data-src=" />



Je pourrais me faire une instal standalone, mais ce n’est pas dans les bonnes pratiques.

Et aucune solution de virtualisation de postes de travail pensée à l’avance.



Par contre, me laisser exposé à toutes les menaces possible sur le web ne pose aucune problème <img data-src=" />



Je ne vais donc que sur NXI, qui est une source sûre <img data-src=" />



Oh wait…. pourquoi j’ai Marie-Françoise qui apparaît en plein écran <img data-src=" />



Le 13/05/2014 à 14h 17







sebcap26 a écrit :



Je bosse dans l’une des principales banques Françaises (non, je ne donnerais pas de nom), et on a encore quelques (rares) serveurs de production qui tournent sous Windows Server 2000 parce que plus personne n’a la compétence/connaissance pour (ré)installer ailleurs les applications qui tournent dessus.







ce n’est pas la banque LCL qui est au Tapie par hasard???