Connect with us

Technologie

Obtenir physique avec la sécurité des centres de données

Published

on


Les pirates informatiques peuvent faire toutes sortes de ravages en violant les centres de données, de l’accès à des masses de données sensibles à frapper des entreprises entières hors ligne.

Avec les cyberattaques de plus en plus courantes et complexes, il est compréhensible pourquoi les opérateurs de centres de données sont inquiets – et augmentent leurs dépenses en cybersécurité en conséquence.

Mais la sécurité physique des centres de données, que certains experts craignent d’être négligées car les opérateurs concentrent une plus grande partie de leur temps et de leurs ressources pour atténuer les risques cybernétiques, a également un rôle crucial à jouer. Qu’il s’agisse de s’assurer que les centres de données sont équipés pour faire face aux catastrophes naturelles ou de garder les intrus à l’écart, la sécurité physique est essentielle pour maintenir la résilience et l’efficacité des centres de données.

Jake Moore, spécialiste de la sécurité à l’ESET, déclare : « La sécurité physique est tout aussi importante que la cybersécurité, mais elle est rarement assortie au même salaire. Certaines des plus grandes menaces proviennent de l’accès physique à un réseau, comme la menace d’initié, qui peut être extrêmement difficile à protéger contre.

Moore est d’avis que la sécurité physique doit être traitée aussi sérieusement que la cybersécurité lorsqu’il s’agit de sécuriser les centres de données. Il prévient que les entreprises finissent par s’exposer à toute une série de risques si ce domaine de sécurité est ignoré.

« a gestion de l’accès est clairement un gros problème, aussi, avec les goûts de la récente Twitter hack, et ne doit pas être oublié lors de la sécurisation d’un péri mètre, dit-il. « Couplé à l’ingénierie sociale, cela peut avoir des conséquences dévastatrices.

« n outre, l’afflux récent de demandes ransomware sont payés en raison de la façon incorrecte sauvegardes sont conservés. Lorsqu’il est stocké correctement, il peut atténuer les mésaventures ransomware et obtenir les entreprises de retour et en cours d’exécution dans un court laps de temps. »

Un exercice d’équilibrage

À bien des égards, la cybersécurité et la sécurité physique vont de pair. Et si une zone est manquante, l’autre ne sera pas aussi efficace. « Les responsables du périmètre du réseau ne doivent pas être complaisants lorsqu’ils dépensent pour la sécurité physique et doivent se rappeler que dépenser des ressources pour la cybersécurité peut être sans valeur sans protéger les biens matériels , dit Moore.

« ela peut être mis en évidence dans l’organisation d’une attaque de simulation d’une équipe de pénétration de tiers et il peut être extrêmement précieux pour une entreprise. Une telle expérience mettra généralement en évidence ces faiblesses à la fois dans le réseau et d’un point de vue physique, et le tout dans un environnement sûr.

Andy Miller, responsable des risques de sécurité chez BT, convient que la sécurité physique des centres de données doit être traitée avec le même niveau d’attention que les cybermenaces.

Il explique à Computer Weekly : « La base de la protection des actifs des centres de données est de vous assurer de bien comprendre à quel point chacun de vos actifs est essentiel et les risques associés aux opérations de service s’ils sont compromis. Quand il s’agit de comprendre puis d’atténuer les risques, vous devez penser de façon holistique et vous assurer que vous n’oubliez pas d’aborder les aspects physiques.

« ela inclut l’identité des employés et la gestion de l’accès pour éviter l’accès non autorisé; tenir compte des effets des perturbations causées par les pannes d’électricité ou les services publics; comment vous traiteriez les causes environnementales telles que les inondations; et des situations encore plus extrêmes telles que les explosifs, les attaques à impulsions électromagnétiques (EMP) ou un incident de véhicule hostile.

Pour que les mesures de sécurité des centres de données soient efficaces, les organisations doivent tenir compte de tous les types de menaces et les atténuer en conséquence.

« Essentiellement, vous devez penser à ce qui est au-delà de votre périmètre, ainsi qu’à vos propres systèmes et opérations (cyber et physiques), jusqu’au rack », dit Miller. « En adoptant une approche de sécurité par conception, vous pouvez investir intelligemment pour créer la défense en profondeur, en offrant la gamme complète de protections nécessaires pour faire face aux menaces physiques, aux côtés des cybermenaces qui sont souvent au sommet de l’esprit. »

Merritt Maxim, directeur de recherche chez Forrester, croit également que les enjeux sont élevés lorsque les entreprises négligent la sécurité physique des centres de données. « Ces perturbations potentielles peuvent aller de perturbations imprévisibles liées aux conditions météorologiques aux attaques d’initiés et aux événements criminels ou terroristes, ce qui peut conduire à la perte de données physiques », dit-il.

« Les perturbations du centre de données peuvent entraîner la perte de données, perturber les activités commerciales, nuire à la productivité des employés, influer sur les perceptions des clients et entraîner des amendes de conformité similaires ou des pénalités en cas de cyberconception. »

Mais il explique combien d’organisations investissent dans différentes technologies pour contrer de telles menaces. « Il s’agit de contrôles d’accès renforcés pour gérer l’accès des employés aux centres de données, souvent en utilisant la biométrie (reconnaissance de la main, des yeux ou du visage) à la HD video surveillance et de l’analyse vidéo avancée à utiliser à des fins médico-légales », dit-il. « Dans les cas où des tiers ou des entrepreneurs peuvent avoir besoin d’avoir accès au centre de données, les entreprises peuvent utiliser des vérifications plus solides des antécédents avant d’accorder l’accès à l’installation. »

« Enfin, les entreprises investissent également davantage dans les services de continuité des activités afin d’assurer un basculement et une sauvegarde appropriés en cas d’incident, ainsi que des exercices annuels d’équipe rouge et une formation de sensibilisation à la sécurité afin de maintenir une forte vigilance en matière de sécurité au sein de tout le personnel qui gère le centre de données physiques. »

Améliorer la sécurité physique

Chez digital Realty, géant de la colocation, la sécurisation des actifs physiques et cybernétiques est traitée avec la même importance. Jeff Tapley, directeur général de l’Europe, du Moyen-Orient et de l’Afrique, déclare : « Depuis le « big bang » des données dans l’industrie technologique il y a de nombreuses années, les conversations sur la sécurité sont progressivement passées de la clé traditionnelle à la cybersécurité et à la protection des données virtuellement.

« ependant, les méchants n’existent pas seulement dans le monde virtuel, donc virtuel n’est qu’une partie de l’équation. À quoi bon les programmes antivirus et les pare-feu si quelqu’un hors de la rue est en mesure d’accéder physiquement à des serveurs critiques sans résistance?

Tapley estime que la sauvegarde physique des centres de données n’a jamais été aussi importante, avec la prolifération de l’Internet des objets (IoT) et du Big Data. Pour cette raison, Digital Realty a investi de manière significative dans la sécurité physique de ses centres de données.

« Nos installations utilisent une gamme complète d’outils de sécurité – y compris des bornes, des mantraps, des systèmes de contrôle d’accès et des systèmes de surveillance sophistiqués – pour s’assurer que toutes les ressources sont protégées contre les incidents imprévus et les activités criminelles », dit-il.

En plus de se protéger contre les menaces physiques et cybernétiques, il affirme que les entreprises doivent se rendre compte que la sécurité n’est pas un scénario de « définir et de l’oublier », et qu’elle exige une attention constante avec de nouvelles menaces qui émergent toujours.

« Au cours des dernières années, les données sont passées d’une simple ressource à un actif; sans doute le plus précieux au mond », dit Tapley. « Et comme la valeur continue d’augmenter, nos clients ont besoin de l’assurance que les biens qu’ils abritent dans nos centres de données sont protégés contre le vol et les catastrophes naturelles. »

« Par conséquent, pour fonctionner efficacement, la sécurité exige une vigilance constante, tant en termes de surveillance des installations elles-mêmes, que de mise à jour régulière des systèmes pour refléter les meilleures pratiques et les développements actuels. »

La sécurité en couches est cruciale

La sécurité physique joue clairement un rôle essentiel dans la protection des centres de données contre une myriade de menaces, mais qu’implique-t-elle réellement? David Watkins, directeur des solutions des Centres de données Virtus, affirme que la sécurité physique d’un centre de données devrait être conçue pour résister à des choses comme l’espionnage d’entreprise, le terrorisme, les catastrophes naturelles, les voleurs qui cherchent à faire des gains financiers et bien d’autres questions.

« Ils devraient être construits en toute sécurité à partir du sol pour maintenir une disponibilité à 100 %, empêcher les personnes non autorisées d’entrer et s’assurer que les précieuses données hébergées à l’intérieur sont protégées », explique M. Watkins.

Il conseille aux opérateurs de centres de données de mettre en œuvre des stratégies de défense en profondeur, par lesquelles les systèmes informatiques sont protégés par une approche de sécurité à plusieurs niveaux, de « garder les personnes que vous ne voulez pas dans votre centre de données, et s’ils entrent, de les identifier dès que possible, idéalement en les gardant confinés à une section sécurisée de l’installation ».

Les centres de données devraient être équipés d’au moins sept couches de sécurité physique, selon Watkins. Il s’agit notamment des barrières physiques, la détection des intrus, les caméras de surveillance, les gardes de sécurité 24/7, les pièges à véhicules, l’authentification complète et le contrôle des politiques d’accès vérifiable, dit-il.

« Des dispositifs de sécurité supplémentaires sont parfois ajoutés en fonction des besoins spécifiques de l’organisation », explique M. Watkins. « Mais sachez que tous les centres de données ne fournissent pas le même niveau de sécurité physique. Par exemple, certains centres de données plus anciens qui se trouvent dans les centres-villes peuvent ne pas bénéficier du même ensemble de paramètres de sécurité que ceux situés dans les zones métropolitaines de profil inférieur.

Devenir physique

Jeffrey Schilling, CISO chez Teleperformance, recommande quatre conseils pour obtenir physique avec la sécurité des centres de données.

Tout d’abord, il dit que les entreprises qui utilisent des centres de données de colocation devraient se demander si l’espace loué a une cage de protection autour de leurs serveurs que seuls les employés peuvent accéder par le biais de verrous de gestion de l’accès biométrique.

Deuxièmement, il conseille aux entreprises de mettre en œuvre des caméras de vidéosurveillance qui montrent à la fois l’avant et l’arrière de leurs serveurs hébergés pour identifier l’accès non autorisé.

Troisièmement, les entreprises devraient également avoir unune charge de travail non électrique dans un autre centre de données qui se trouve sur un réseau électrique distinct et à plus de 90 milles en cas de catastrophe naturelle, selon Schilling.

Enfin, il dit que les entreprises devraient s’assurer que leurs générateurs de secours ont un carburant adéquat, ajoutant qu’ils devraient planifier suffisamment de carburant sur place pour fonctionner un minimum de 72 heures.

Pour les entreprises de toutes les industries, les centres de données sont un atout incroyablement important à l’ère numérique. Et bien qu’il soit formidable de voir que tant d’entreprises prennent des mesures pour les défendre contre les cyberattaques, elles doivent également s’assurer que la sécurité physique de leurs centres de données est également à la hauteur. Sinon, ils seront vulnérables à toute une série de menaces.

Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

GDS passe en revue la politique Cloud First post-Schrems II

Published

on


Le Service numérique du gouvernement (GDS) procède à un examen de la politique et des orientations intergouvernementales en matière de cloud, y compris l’avenir de la politique Cloud First, à la lumière de l’arrêt Schrems II de juillet 2020 qui a annulé l’accord ue-US Privacy Shield.

L’examen a été confirmé par Lord Agnew en réponse aux questions écrites de son collègue Lord Clement-Jones, qui cherchait à établir quelle évaluation le gouvernement a fait de l’utilisation des fournisseurs de cloud basés aux États-Unis pour héberger les données du gouvernement britannique au Royaume-Uni, et ce qui, le cas échéant, prévoit qu’il doit réviser sa politique Cloud First.

« GDS procède actuellement à une évaluation des risques de tous ses services et produits (y compris Gov.uk) en ce qui concerne les flux transfrontaliers de données », a déclaré M. Agnew dans sa réponse. « Le nouvel arrêt de la CJUE sera examiné dans le cadre de cette évaluation.

« L’évaluation permettra d’identifier les flux de données pertinents et de s’assurer que des mesures d’atténuation appropriées sont mises en œuvre si nécessaire, à la suite des mises à jour et des directives du Bureau du Commissaire à l’information (BDI) et de l’Office européen de protection des données (EDPB). GDS s’est engagée avec d’autres ministères par l’entremise de groupes consultatifs de données et de réseaux de protection des données afin d’assurer une atténuation uniforme.

« n fin de compte, cependant, c’est une décision pour les organisations gouvernementales individuelles où et comment stocker leurs données, à condition qu’elles soient faites de manière sécurisée et offrent un bon rapport qualité-prix »

Un examen précédent de la politique Cloud First, vieille de sept ans, qui a été menée en 2019 en reconnaissance de l’appétit croissant pour les déploiements informatiques hybrides dans le secteur public, a conclu qu’elle était aussi pertinente aujourd’hui qu’elle l’était à sa création, et que sa reconnaissance de la marque au gouvernement était si forte que d’apporter des changements ne serait pas bénéfique.

L’examen conjoint mené par GDS et le Crown Commercial Service (CCS) a toutefois mis en place la création d’un nouveau groupe de travail pour examiner comment les utilisateurs peuvent mieux équilibrer les besoins techniques et commerciaux lorsqu’ils achètent des services cloud pour obtenir le meilleur rapport qualité-prix tout en minimisant le risque d’être enfermés avec un seul fournisseur.

Le jugement européen Schrems II a été rendu en juillet 2020. L’affaire remonte à une plainte contre Facebook, déposée en 2013 par l’activiste et écrivain autrichien Max Schrems, au sujet de la pratique consistant à transférer les données personnelles des citoyens de l’UE à Facebook Inc aux États-Unis, violant à la fois la protection des données de l’UE et le droit des droits de l’homme.

En annulant le bouclier de protection de la vie privée, les tribunaux européens ont conclu que l’accord ne permettait pas aux Européens d’avoir un droit à la vie privée adéquat en vertu des lois américaines sur la surveillance. Bien qu’elle ait remporté la vie privée et la liberté d’expression, cette décision provoque de l’incertitude et des perturbations pour les organisations qui transfèrent des données entre les États-Unis et l’UE. Même si le Royaume-Uni a quitté l’UE, la décision aura probablement un impact sur les transferts de données entre les deux à l’avenir.

Le Bureau du Conseil des ministres n’avait pas répondu à une demande de commentaires au moment de la publication.

Continue Reading

Technologie

Trump impliqué dans des plans pour poursuivre Assange sur les fuites de guerre

Published

on


La Maison Blanche était derrière le retrait du fondateur de WikiLeaks Julian Assange de l’ambassade équatorienne à Londres avant son arrestation, a-t-on appris aujourd’hui auprès d’un tribunal.

Journaliste américaine et partisane de Trump, Casandra Fairbanks a affirmé qu’un partisan du parti républicain proche du président lui avait parlé des projets d’arrestation d’Assange quelques mois avant que cela ne se produise.

Dans une déclaration de témoin lue au tribunal aujourd’hui, Fairbanks a déclaré qu’elle avait reçu des détails avancés sur les plans du gouvernement américain d’arrêter et Assange lors d’un appel téléphonique d’Arthur Schwartz un donateur riche au parti républicain.

Le donateur du parti républicain a averti Fairbanks qu’Assange serait inculpé pour les fuites de Chelsea Manning en 2010, que les États-Unis se rendraient à l’ambassade équatorienne pour arrêter Assange, et qu’ils « s’en prendraient à Chelsea Manning ».

« Ces deux prédictions se sont réalisées quelques mois plus tard », a-t-elle dit. Schwartz n’aurait pu recevoir l’information sur Assange que de sources officielles, a-t-on appris auprès du tribunal.

Allégations rejetées par les États-Unis

Joel Smith QC représentant le gouvernement américain, a rejeté aujourd’hui fairbanks prétend que « la vérité de ce que Mme Fairbanks a été dit par Arthur Schwarz n’était pas à sa connaissance ».

Smith a déclaré que l’accusation remettrait également en question la partialité du témoin, qui reconnaît qu’elle est un partisan de WikiLeaks.

Le tribunal a entendu Schwartz était un conseiller informel de Donald Trump junior et a travaillé pour l’ambassadeur des États-Unis en Allemagne, Richard Grenell, qui il est apparu plus tard avait été derrière l’expulsion d’Assange de l’ambassade des États-Unis, la cour a entendu.

Fairbanks, une partisane de Trump, a travaillé pour une organisation de presse basée à Washington « Gateway Pundit » qu’elle a décrite comme une organisation « pro-Trump ».

Fairbanks faisait partie du groupe de messages avec des gens proches de Trump

Elle faisait partie d’un groupe de messages qui comprenait plusieurs personnes qui travaillaient pour, ou étaient proches du président Trump, y compris Schwartz et Grenell, dit-elle dans une déclaration de témoin.

Schwartz a téléphoné à Fairbanks le 30 octobre 2018 après avoir posté une interview avec la mère d’Assange sur le groupe de discussion, espérant que quelqu’un le verrait et serait déplacé pour aider.

« Arthur Schwartz était extrêmement en colère », a-t-elle dit. Il lui a dit que les gens auraient pu négliger son soutien précédent de WikiLeaks, mais ils ne seraient pas si indulgent maintenant qu’elle était « plus informée ».

« Il a élevé mon enfant de neuf ans au cours de ces commentaires, que j’ai perçus comme une tactique d’intimidation », a-t-elle déclaré dans la déclaration du témoin.

Schwartz a dit à plusieurs reprises à Fairbanks de cesser de défendre WikiLeaks et Assange, en disant qu’un pardon ne va pas se produire putain ».

« Il connaissait des détails très précis sur une future poursuite contre Assange qui ont été rendues publiques plus tard et que seuls ceux qui étaient très proches de la situation auraient alors été au courant », a-t-elle dit.

Assange ne serait pas inculpé pour des fuites de la CIA

Schwartz a déclaré à Fairbanks qu’Assange serait inculpé pour les fuites de Chelsea Manning, mais ne serait pas accusé de publier les documents Vault 7 – qui ont exposé la capacité de la CIA à mener la surveillance et la cyberguerre – ou les fuites DNC.

Il a également dit à Fairbanks qu' »ils s’en prendraient à Chelsea Manning » et que ce serait fait avant Noel. « Ces deux prédictions se sont réalisées quelques mois plus tard », a-t-elle dit.

Le gouvernement américain se rendrait à l’ambassade pour obtenir Assange, a déclaré Schwartz.

« J’ai répondu que l’entrée dans l’ambassade d’une nation souveraine et l’enlèvement d’un réfugié politique seraient un acte de guerre et il a répondu : « Pas s’ils nous laissent faire », a déclaré Fairbanks dans la déclaration des témoins.

« Je ne savais pas à l’époque que l’ambassadeur Grenell avait conclu ce mois-là, en octobre 2018, à un accord avec le gouvernement équatorien », a-t-elle déclaré.

Manning a divulgué près de 750 000 documents classifiés et sensibles, militaires et diplomatiques à WikiLeaks, y compris les journaux de guerre afghans.

Fairbanks a diminué Assange et Manning des arrestations

En janvier 2019, bien qu’elle ait été ébranlée par l’appel téléphonique d’Arthur Schwartz, Fairbanks a rendu visite à Assange à l’ambassade équatorienne et l’a « informé de tout ce qu’on m’avait dit », a-t-elle dit.

« J’ai aussi rencontré Chelsea Manning en personne et lui ai dit que je craignais qu’ils pourraient venir après elle à nouveau ».

Lorsque Assange a été accusé d’avoir publié les fuites de Chelsea Manning en 2010 et que Manning a été présenté devant un grand jury, « j’ai compris que les informations que Schwartz avait, provenaient de sources précises et officielles », a-t-elle dit.

Elle a de nouveau rendu visite à Assange le 25 mars 2019 et a dit qu’elleed très différemment. Elle a été enfermée dans une salle d’attente froide pendant une heure tandis que le personnel de l’ambassade « a exigé Assange être soumis à un scanner du corps entier avec un détecteur de métaux ». Ils n’avaient que 2 minutes pour parler.

Elle a envoyé un message à Schwartz le 29 mars 2019. Schwartz a appelé Fairbanks et lui a dit qu’il savait qu’elle avait partagé le contenu de leur conversation précédente avec Assange.

Schwartz a déclaré qu’il y avait maintenant une enquête sur qui a divulgué Fairbanks les informations qu’elle a donné à Assange en personne en Octobre 2018.

Assange et Fairbanks avaient communiqué en passant des notes et Assange avait joué une radio pendant la réunion pour éviter la surveillance. « Apparemment, ces mesures n’étaient pas suffisantes pour s’assurer que ma conversation était privée ».

Fairbanks a dit qu’elle ne pouvait plus faire confiance

Schwartz a déclaré à Fairbanks qu’il ne pouvait plus lui faire confiance avec des informations relatives à WikiLeaks.

« Il était évident que les États-Unis avaient été impliqués, y compris le département d’État, et que Schwartz avait été fait partie à l’information », a déclaré Fairbanks.

Peu après l’arrestation d’Assange le 11 avril 2019, ABC news a rapporté que l’ambassadeur Grenell avait été impliqué dans l’accord d’arrestation d’Assange « en octobre lorsque j’ai reçu l’appel de Schwartz ».

Lorsque Fairbanks a tweeté l’histoire d’ABC, l’ambassadeur Grenell a envoyé un message au patron de Fairbanks et a essayé de persuader son patron de lui faire supprimer le tweet. — J’ai refusé, dit Fairbanks.

En septembre 2019, Trump a annoncé qu’il avait congédié son conseiller à la sécurité nationale John Bolton et que le nom de Grenell était « flottant partout » en tant que candidat probable pour remplacer Bolton, a déclaré Fairbanks dans son communiqué.

Ordres directs du président

Quelques heures après avoir publié un tweet sur Twitter indiquant que Grenell était impliqué dans l’arrestation d’Assange et qu’elle avait tenté de faire virer Fairbanks pour cela, elle a reçu un autre appel téléphonique de Schwartz.

« Cette fois, il était frénétique. Il se délirait et délirait qu’il pouvait aller en prison et que je tweetais des informations classifiées », a-t-elle dit.

« Schwartz m’a informé qu’en coordonnant le renvoi d’Assange de l’ambassade, l’ambassadeur Grenell l’avait fait sur ordre direct du président », a déclaré Fairbanks.

Elle a enregistré l’appel qui fera partie de la preuve de cette audience. Il n’a pas été joué au tribunal.

Elle a dit qu’elle croyait maintenant que le personnel de l’ambassade a pris des « mesures extrêmes » dans sa deuxième rencontre avec Assange parce que le contenu de sa rencontre antérieure avec Assange avait été remis aux autorités américaines et ceux qui ont des liens étroits avec eux, y compris Arthur Schwartz.

Edward Fitzgerald QC, représentant Assange a déclaré à la cour: « Nous disons ce que Schwartz lui a dit est une bonne indication du gouvernement au plus haut niveau. »

Continue Reading

Technologie

Arm peut-il rester fort sous Nvidia ?

Published

on


Merci de vous joindre!

Accédez à votre Pro+ Contenu ci-dessous.

22 septembre 2020

Arm peut-il rester fort sous Nvidia ?

Dans l’hebdomadaire informatique de cette semaine, nous examinons les implications de l’acquisition controversée du leader britannique des puces Arm par son rival américain Nvidia. Black Lives Matter a sensibilisé les gens aux inégalités sociales, mais le secteur de la technologie se diversifie-t-il ? Et nous demandons si les logiciels d’entreprise peuvent apprendre de la nature addictive des applications sociales. Lisez la question maintenant.

Continue Reading

Trending