Connect with us

Technologie

Fournisseurs négligeant la sécurité des appareils virtuels, mettant les utilisateurs en danger

Published

on


Les organisations de toutes formes et tailles sont laissées au risque de compromis par les défaillances des fournisseurs autour des vulnérabilités des appareils virtuels, selon une nouvelle étude d’Orca Security qui a révélé des lacunes majeures dans la sécurité des appareils virtuels.

Dans la recherche d’avril et mai 2020, Orca Security a sondé 2 218 images d’appareils virtuels de 540 fournisseurs de logiciels et découvert un total de 401 751 vulnérabilités, avec moins de 8 % d’appareils virtuels exempts de vulnérabilités connues, et moins de 5 % exempts de vulnérabilités et fonctionnant sur un système d’exploitation obsolète ou non pris en charge (OS).

Un total de 17 des vulnérabilités qu’il a trouvées étaient critiques et auraient pu avoir de graves implications si un acteur malveillant avait trébuché sur eux. Beaucoup d’entre eux sont des vulnérabilités bien connues et facilement exploitables, y compris EternalBlue, DejaBlue, BlueKeep, DirtyCOW et Heartbleed.

« Les clients supposent que les appareils virtuels sont exempts de risques de sécurité, mais nous avons trouvé une combinaison troublante de vulnérabilités rampantes et de systèmes d’exploitation non entretenus », a déclaré Avi Shua, PDG et co-fondateur d’Orca Security.

« Le Rapport sur l’état de la sécurité des appareils virtuels orca Security 2020 montre comment les organisations doivent être vigilantes pour tester et combler les lacunes en matière de vulnérabilité, et que l’industrie du logiciel a encore beaucoup de chemin à parcourir pour protéger ses clients.

Les chercheurs d’Orca ont déclaré qu’en plus d’être criblés de vulnérabilités, de nombreux appareils virtuels étaient à risque à partir de l’âge et le manque de mises à jour, avec de nombreux fournisseurs ne parviennent pas à mettre à jour ou à cesser les appareils virtuels une fois en fin de vie.

Il a déclaré que seulement 14% des images numérisées de l’appareil virtuel avaient été mises à jour au cours des trois mois précédents, 47% n’avaient pas été mis à jour au cours de la dernière année, 5% ont été négligés pendant au moins trois ans, et 11% étaient en cours d’exécution OS qui avait atteint la fin de vie.

Les fournisseurs de logiciels les plus soucieux de la sécurité, qui ont obtenu des scores « exemplaires » sur la matrice d’Orca, étaient VMware, Nvidia, HashiCorp, BeyondTrust, Pulse Secure, Trend Micro, Barracuda Networks et Verssec. Parmi les défaillances les plus médiatisées, mentionnons les produits de CA Technologies, FireMon, A10 Networks, Cloudflare, Micro Focus et Software AG.

Orca a déclaré que depuis l’alerte des fournisseurs des risques, un total de 287 produits ont été mis à jour et 53 retirés de la circulation au total, ce qui a abordé un peu moins de 37.000 des vulnérabilités signalées.

À la suite des révélations faites par Orca au cours de ses recherches, Dell EMC a publié un avis de sécurité critique pour CloudBoost Virtual Edition, Cisco a poussé les correctifs à 15 questions, IBM a mis à jour ou supprimé trois appareils virtuels en une semaine, Zoho mis à jour près de la moitié de ses produits, et Qualys a finalement mis à jour un produit qui contenait une vulnérabilité qu’il avait trouvé lui-même en 2018.

En outre, Cloudflare, IBM, Kaspersky Labs, Oracle, Splunk et Symantec ont tous supprimé un certain nombre de produits vulnérables, et un fournisseur, HailBytes, a pris le temps d’enregistrer une vidéo de remerciement personnalisée après avoir été contacté.

Cependant, Orca a également révélé que dans 32 cas, les fournisseurs ont dit qu’il appartenait aux clients de patch appareils virtuels, et 24 d’entre eux ont affirmé que leurs vulnérabilités d’appareils virtuels n’étaient pas exploitables et qu’ils n’avaient pas besoin de prendre des mesures. Certains d’entre eux ont même menacé d’intenter des poursuites – celles-ci qu’il n’a pas nommés – et, par conséquent, un nombre considérable de produits restent vulnérables.

Orca a déclaré que pour les équipes de sécurité d’entreprise concernées par les conclusions du rapport, il y avait des mesures qu’ils pouvaient prendre même si leur fournisseur ne prend pas en charge la sécurité des appareils virtuels de manière appropriée.

Tout d’abord, a-t-il dit, une gestion appropriée des actifs peut donner aux équipes de sécurité une compréhension des appareils virtuels déployés dans leur domaine – par approprié, cela signifie que cela doit inclure à la fois les actifs sur site et ceux détenus dans des instances de cloud public. Il est également important de ne pas négliger les déploiements informatiques parallèles – en particulier pendant la pandémie – parce qu’il est assez facile pour un utilisateur final averti de la technologie d’accéder et de déployer son propre appareil virtuel s’il le souhaite.

Deuxièmement, les outils de gestion des vulnérabilités doivent être utilisés pour découvrir les appareils virtuels et les analyser à la recherche de vulnérabilités connues. Orca a dit qu’il était important que ces outils scanné tous les appareils, parce que vous ne pouvez pas supposer qu’ils sont sûrs à utiliser hors de la boîte.

Troisièmement, le processus de gestion de la vulnérabilité doit être adapté pour donner la priorité aux vulnérabilités les plus graves – soit en les réparant, soit en mettant fin à l’utilisation du produit si nécessaire.

Enfin, Orca recommande aux utilisateurs de garder les lignes de communication avec leurs partenaires fournisseurs ouvertes, de les approcher et de leset leurs processus de support et la façon dont ils corrigent les vulnérabilités qui sont divulguées, et n’ayez pas peur de chercher une alternative si le fournisseur ne se mesure pas.

Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

Les services publics numériques échouent aux citoyens britanniques sur plusieurs fronts

Published

on


Selon un groupe de chefs d’entreprise, de députés et d’anciens responsables gouvernementaux, une mauvaise gouvernance et un système d’approvisionnement désuet empêchent le gouvernement britannique de numériser avec succès les services publics.

Selon un document de travail publié par la Commission pour un gouvernement intelligent (CSG), qui a été créé par le groupe de réflexion Project for Modern Democracy pour générer des recherches et des propositions de réforme du gouvernement numérique, les services devraient être construits dans le but de renforcer les institutions démocratiques du Royaume-Uni et d’accroître la confiance dans le gouvernement.

Toutefois, il a déclaré qu’une mauvaise gouvernance signifie qu’il y a « un manque de clarté sur les responsabilités pour les services numériques et peu, voire aucun, de possibilités de recours. [by citizens] lorsque les choses tournent mal », tandis que les structures d’approvisionnement obsolètes ne soutiennent pas l’innovation numérique, « aidant à verrouiller les fournisseurs titulaires surévalués ou créant de faux marchés qui font baisser les prix et la livraison à la baisse ».

En plus de cela, a déclaré la CSG, il y a un manque de « volonté d’engager véritablement les citoyens et les parties prenantes » dans le développement des nouvelles technologies.

Il a écrit : « Le gouvernement doit réfléchir à la façon dont le service ou le produit mis au point et introduit ne résoudra pas seulement un problème, évitera non seulement de faire du mal, mais aidera en fait ceux qui en ont le plus besoin et renforcera la société de façon plus générale.

« Guidés par ce principe global, les services numériques devraient suivre un certain nombre de principes supplémentaires, notamment : la conception de la protection de la vie privée des utilisateurs, la sécurité technique et l’intégrité des données; se concentrer sans relâche sur les besoins et les commentaires des utilisateurs; l’adoption d’une approche « test et apprentissage » des services numériques; fixer des objectifs clairs et ouverts pour le succès; et travailler en plein air, idéalement de manière vérifiable, et dans le cadre d’arrangements de gouvernance clairs.

Le document ajoute que même si le travail numérique au sein du gouvernement est déjà censé suivre des principes semblables lorsqu’il s’agit de construire et de maintenir des services numériques, huit obstacles clés entravent le respect de ces principes et minent la capacité du gouvernement à réaliser des projets.

En plus de ceux mentionnés ci-dessus, il a indiqué que ces obstacles comprennent: une structure restrictive des dépenses publiques, qui ne transfère pas les dépenses d’investissement dans les dépenses de fonctionnement et tient compte du coût des TI héritées; faibles compétences numériques à tous les niveaux de l’administration de l’État; une culture organisationnelle qui équilibre suffisamment le risque et l’innovation; un héritage de dette technique; et un leadership inadéquat.

« Ces obstacles ne sont pas nécessairement tous présents tout le temps dans tous les ministères et organismes », peut-on lire dans le document. « Il y a eu de réels progrès pour surmonter bon nombre d’entre eux dans différentes parties du gouvernement et des plans ambitieux sont en cours pour poursuivre les réformes. Mais il est difficile de penser à des parties de l’administration britannique – qu’elles soient centrales, décentralisées, locales ou indépendantes – qui ne sont pas freinées par un ou plusieurs de ces obstacles.

En raison de ces obstacles, a déclaré la CSG, le Royaume-Uni est à la traîne derrière ses voisins européens sur un certain nombre de marqueurs clés quand il s’agit de créer des services publics numériques. Par exemple, de nombreux services numériques actuels sont trop séparés et inutilement complexes, sans aucune connexion unique, il a dit.

« Le contraste avec les pays nordiques et baltes est frappant », peut-on lire dans le document. « n Suède, par exemple, le Conseil suédois de l’agriculture et des douanes suédoises propose une solution unique pour demander des restitutions à l’exportation et déclarer les exportations. Deux organismes sont responsables du travail, mais un seul point d’entrée, intégré aux processus de back-office des deux organismes, offre aux citoyens une expérience transparente.

D’autres domaines où le Royaume-Uni est en retard comprennent l’utilisation insuffisante des données ouvertes, a déclaré la CSG – « le Royaume-Uni a récemment reçu une note inférieure à la moyenne de 60 % par rapport à 30 autres pays européens » – et le fait qu’il existe une variation significative de la norme des services numériques à travers le pays – » si vous vivez dans l’arrondissement londonien de Camden, vous pouvez accéder à la plupart des services en ligne; à Coventry, il n’est que d’environ 35 % ».

Le document de travail, qui a été élaboré par les membres des sources de technologie et de données de la CSG, se veut délibérément un travail en cours qui suscitera la rétroaction d’un éventail d’intervenants, tant à l’intérieur qu’à l’extérieur du gouvernement.

Les « commissaires » qui ont élaboré le document comprennent Daniel Korski, PDG et cofondateur de la société de capital-risque Govtech Public; Husayn Kassai, PDG et co-fondateur d’Onfido; Phaedra Chrousos, directrice de la stratégie chez Libra Group; Jacky Wright, directeur numérique de Microsoft US; Verity Harding, responsable mondial des politiques et des partenariats chez DeepMind; et Mark Rowley, ancien commissaire adjoint du Metropolitan Police.

Les autres commissaires sont Camilla Cavendish, ancienne directrice de la politique de David Cameron; Ian Cheshire, président de Barclays UK; Chris Deverell, ancien commandant du Commandement des forces interarmées du Royaume-Uni; Deborah Cadman, directrice générale de la West Midlands Combined Authority; et la députée travailliste Margaret Hodge.

La CSG est un projet de GovernUp, « une initiative de recherche indépendante et non-partie qui offre des solutions fondées sur des preuves pour tous les partis politiques à adopter », qui est elle-même une initiative du Projet pour la démocratie moderne.

Tous trois sont présidés ou coprésidés par l’ancien député conservateur Nick Herbert, qui a créé le Projet pour la démocratie moderne en 2014 en tant qu’organisme de bienfaisance enregistré « pour promouvoir un gouvernement plus efficace et une bonne citoyenneté ».

Continue Reading

Technologie

Protéger les travailleurs à distance, une occasion de mieux faire la sécurité

Published

on


Garantir un accès approprié aux systèmes d’entreprise pour les travailleurs à distance a été le plus grand défi de cybersécurité auquel sont confrontées les équipes informatiques pendant la pandémie, mais c’est une bonne occasion d’améliorer la résilience des entreprises en s’engageant à un niveau de sécurité beaucoup plus élevé, prêt pour tout ce que l’avenir nous réserve, selon une accolade de nouveaux rapports publiés par les experts en sécurité réseau chez Cisco.

Cisco a sondé 3 000 décideurs informatiques et 2 600 consommateurs dans le monde entier pour produire ses rapports, L’avenir du travail à distance sécurisé et le Enquête sur la protection de la vie privée des consommateurs de 2020. Elle a constaté que les acheteurs de TI n’étaient pas préparés à la réalité du soutien d’une main-d’œuvre entièrement éloignée, mais qu’ils accéléraient maintenant l’adoption de technologies appropriées, et que 85 % d’entre eux avaient jugé la cybersécurité extrêmement ou plus importante qu’elle ne l’avait été avant l’avènement de la pandémie de Covide-19.

« La sécurité et la protection de la vie privée sont parmi les questions sociales et économiques les plus importantes de notre vie », a déclaré Jeetu Patel, vice-président principal et directeur général de l’activité Sécurité et applications de Cisco.

« Historiquement, la cybersécurité a été trop complexe », a-t-il déclaré. « Avec cette nouvelle façon de travailler ici pour rester et les organisations qui cherchent à accroître leurs investissements dans la cybersécurité, il y a une occasion unique de transformer la façon dont nous abordons la sécurité en tant qu’industrie pour mieux répondre aux besoins de nos clients et de nos utilisateurs. »

La recherche a indiqué que moins de la moitié des organisations disposaient de ressources de sécurité suffisantes au début de la pandémie pour soutenir le passage au travail à distance – 52 % n’étaient que quelque peu préparées et 6 % ont dit qu’elles n’étaient pas du tout préparées à la transition accélérée.

Étant donné que les employés se connectent aux ressources de l’entreprise avec un plus grand nombre d’appareils personnels et non dotés, la moitié des répondants ont déclaré que les critères d’évaluation – y compris les appareils appartenant à l’entreprise – avaient été un défi à protéger, suivis par les informations des clients et les systèmes cloud, cités par 42 %. Un peu moins des deux tiers ont déclaré que la capacité de contrôler en toute sécurité l’accès au réseau d’entreprise avait été le plus grand défi auquel ils étaient confrontés.

Il ne fait aucun doute que la course pour résoudre les problèmes immédiats liés au travail à distance a été un fardeau pour les départements informatiques, et les équipes de sécurité en particulier, cependant, la confiance est grande que les budgets de sécurité augmenteront à l’avenir.

Cisco a formulé trois recommandations clés pour les décideurs en matière de sécurité qui se penchent sur la nouvelle norme.

Tout d’abord, a-t-il dit, il est important de reconnaître que l’avenir du travail sera dynamique et que la sécurité doit répondre aux besoins d’une main-d’œuvre distribuée, la création d’un environnement hybride flexible, sûr et sécurisé, les employés ayant accès à des services essentiels avec le même niveau de protection, peu importe où ils se trouvent, doivent être prioritaires, et les politiques et les contrôles qui résidaient sur place ont été modifiés pour y parvenir.

Deuxièmement, le succès du travail hybride dépend de la préparation, de la collaboration et de l’autonomisation, ce qui signifie pour les départements informatiques réunir des équipes et des fonctions de réseautage et de sécurité, tandis qu’une solide formation des employés est nécessaire pour créer une culture de sécurité efficace à l’échelle de l’entreprise.

Troisièmement, a déclaré Cisco, la sécurité doit être simplifiée et plus efficace pour renforcer la résilience des entreprises, ce qui signifie idéalement qu’elle devrait être intégrée dans les fondements de tout projet de transformation numérique, et non pas suréluctnée par la suite.

Pour les consommateurs et les utilisateurs interrogés pour le deuxième rapport, les plus grandes préoccupations ont été constatées pour être la vie privée des outils qu’ils ont utilisés pour le travail à distance – cette perception probablement renforcée par des problèmes de sécurité de haut niveau à certaines des entreprises technologiques « en rupture » de la pandémie, telles que Zoom. Ils étaient également plus susceptibles d’être sceptiques quant au fait que les entreprises s’acquittent de leurs obligations de protection de leurs données et avaient tendance à appuyer fortement les règlements sur la protection de la vie privée soutenus par le gouvernement.

Cisco a déclaré que les organisations ont maintenant la possibilité de renforcer la confiance en intégrant la vie privée dans leurs produits et services et, de façon vitale, en communiquant cela d’une manière efficace et simple.

« La protection de la vie privée est bien plus qu’une simple obligation de conformité », a déclaré Harvey Jang, vice-président et chef de la protection de la vie privée chez Cisco. « Il s’agit d’un droit humain fondamental et d’un impératif commercial qui est essentiel à l’établissement et au maintien de la confiance des clients. Les principes fondamentaux de la protection de la vie privée et de l’éthique de transparence, d’équité et de responsabilisation nous guideront dans ce nouveau monde d’abord numérique.

Continue Reading

Technologie

Women in Business Expo: Si vous ne pouvez pas trouver des talents féminins de la technologie, vous avez des problèmes d’embauche et de culture

Published

on


Lorsque les entreprises technologiques luttent pour trouver des talents, cela peut être dû à des problèmes internes avec l’embauche et la culture, selon un groupe d’experts.

S’exprimant lors de l’Exposition virtuelle women in business 2020, les femmes du secteur de la technologie ont déclaré qu’il y a une multitude de talents féminins dans le secteur de la technologie, mais les entreprises doivent s’assurer qu’elles le recherchent aux bons endroits et qu’elles ont une culture interne inclusive en place qui conserve les talents.

Jane Frankland, directrice de Women in Cyber Academy, a déclaré que dans de nombreux cas, le blâme est mis sur les femmes lorsque les entreprises ne peuvent pas trouver des talents technologiques féminins, avec des entreprises qui disent souvent qu’ils ne peuvent pas trouver des talents féminins ou que les femmes ne postulent pas pour des rôles dans une entreprise.

Mais Frankland a dit que c’est à l’embauche et la culture au sein d’une entreprise: « es deux choses doivent être vraiment adressées pour obtenir les femmes dans [and] leur permettre de réussir.

Où sont les femmes ?

Le manque de femmes dans le secteur de la technologie fait l’objet de vifs débats depuis un certain nombre d’années, et de récentes recherches de la BCS ont constaté que les femmes représentent environ 17 % des spécialistes des TI au Royaume-Uni, un chiffre qui n’a augmenté que de 1 % au cours des cinq dernières années.

Charlene Hunter, fondatrice de Coding Black Females, qui a commencé à coder alors qu’elle n’avait que 10 ans, s’est rendu compte qu’après un temps considérable déjà dans le secteur, elle « n’avait rencontré aucune autre femme noire qui était développeur de logiciels ».

Il peut y avoir un certain nombre d’obstacles au cours du processus d’embauche dans les entreprises de technologie qui signifient que les groupes sous-représentés ne postulent pas ou ne sont pas considérés pour des rôles, y compris des descriptions de poste mal formulées, toujours la recherche de candidats du même bassin de talents, nécessitant une certaine expérience ou qualifications pour les nouvelles recrues, seulement l’embauche de nouveaux talents au sein de votre propre réseau, des comités d’entrevue non diversifiés, et un parti pris inconscient dans les décisions d’embauche.

M. Hunter a déclaré que les entreprises qui veulent embaucher des talents diversifiés doivent s’assurer que les spécifications de l’emploi sont justes, « accepter les différences des gens » et s’assurer que la culture de l’entreprise est ouverte et inclusive.

« Vous devez vous assurer d’avoir le bon environnement en place », a-t-elle dit. « Vous devez vous assurer que vous représentez les choses correctement et que vous ouvrez le marché pour vous assurer que les gens se sentent à l’aise dans vos espaces. »

Les gens obtiennent de meilleurs résultats lorsqu’ils ont l’impression de pouvoir s’amener tout leur possible au travail, mais Hunter a dit qu’elle a essayé de s’adapter à une culture masculine blanche lorsqu’elle est entrée dans l’industrie, et qu’elle a depuis réalisé qu’être elle-même au travail apporte plus d’avantages à elle-même et à l’entreprise.

Conseillant à d’autres femmes du secteur de s’amenuisait tout leur peau au travail, elle a dit : « Soyez vous-même. Peu importe si vous parlez différemment ou si vous avez un passé différent. Il n’a pas d’importance, l’utiliser à votre avantage.

Travail dans la pandémie

Les emplois et le recrutement pendant l’épidémie de coronavirus, tant à l’intérieur qu’à l’extérieur du secteur de la technologie, ont été plongés dans l’incertitude, Hunter soulignant que, dans de nombreux cas, les femmes ont été frappées plus durement que d’autres groupes.

Mais il y a aussi eu un intérêt accru pour les compétences numériques à la suite de l’épidémie de coronavirus, et quand il s’agit de femmes entrant dans le secteur de la technologie, Hunter a déclaré: « J’ai vu tant de gens se retourner et se recycler du jour au lendemain. »

Affirmant que les femmes en général sont bien adaptées au changement, Women in Cyber Academy Frankland a déclaré que les compétences douces telles que la communication, la résolution de problèmes et d’être un apprenant rapide sont les compétences de l’avenir.

« La technologie évolue très vite, de sorte que plus vite vous pouvez apprendre des choses et vous adapter et ramasser les choses, plus vous serez en mesure pour l’avenir », a-t-elle ajouté.

Certains ont dit que l’augmentation du nombre de travailleurs flexibles pendant la pandémie, associée au besoin accru d’empathie dans une période difficile, pourrait amener les entreprises à modifier leurs approches d’embauche à l’avenir.

Beckie Taylor, co-fondatrice de Tech Returners, a déclaré que les entreprises peuvent regarder plus gentiment sur les lacunes CV à la suite de la pandémie.

Ayant « sous-estimé les défis » de retourner au travail avant de devenir mère, Mme Taylor a déclaré que ceux qui cherchent à retourner au travail après une pause pourraient avoir les compétences et l’expérience, mais que les entreprises « ne leur offrent pas d’occasions accessibles de revenir ».

Plus de la moitié des femmes du secteur de la technologie quittent leur carrière à un niveau intermédiaire, selon Mme Taylor, qui a déclaré qu’il ne sert à rien de se concentrer sur l’apport de talents si les entreprises ne peuvent pas le conserver.

« C’est un seau qui fuit », dit-elle. « l ya beaucoup de talent que nous avons juste besoin de créate ces voies d’accès de retour dans la technologie. »

Continue Reading

Trending