Et prend, au passage, position contre les fuites d'informations confidentielles du site de Julian Assange (ce que personne ne reprochera à l'entreprise, chacun étant libre de ses positions).
« Toutes les entreprises doivent faire face au problème de Wikileaks », commence la lettre.
Une affirmation qui donne le ton mais qui ne précise pas quelle est la teneur exacte du « problème de WikiLeaks » (rester accessible en cas d'attaques - subies par WikiLeaks, ou colmater les fuites d'informations en interne - dont bénéficie WikiLeaks).
Plus loin, le mélange des genres s'amplifie : « L’année dernière, selon le Credoc plus 210.000 personnes ont été victimes d’une usurpation d’identité en France ».
Et de revenir à une problématique d'entreprise en citant en exemple une société, justement au cœur des révélations de WikiLeaks (un fait que Novell ne souligne cependant pas dans son communiqué) : « Aux Etats-Unis, Bank of America ainsi que d’autres institutions se sont vues dérober 800.000 dossiers lors d’une unique atteinte à la sécurité des données en 2005 ».
Au final, le message de l'éditeur est simple, voire légitime. La confidentialité des données d'une entreprise est importante et doit être sérieusement prise en compte.
« [...] Pour éliminer ces fuites d’informations, il est nécessaire de comprendre qui peut accéder à quelles données et en quelles circonstances, et de surveiller en temps réel comment ces données peuvent être utilisées et disséminées », conseille Novell. « Techniquement, la gestion des identités (ensemble de technologies qui fournit aux personnes un ensemble unique de droits en termes d'accès aux données, tout en contrôlant à quelle fin elles utilisent cet accès) constitue une solution évoluée et bien comprise ».
Mais Novell note et regrette que « ces technologies souffrent d’un cruel défaut d’adoption ».
Tout le monde (ou presque) sera d'accord pour dire que l'intention et la volonté d'éducation est louable.
Mais évoquer WikiLeaks était-il nécessaire ?
« Dans le cas de Wikileaks et des récentes fuites d’informations militaires confidentielles qui se sont produites, il semble évident que si des règles de sécurité fondamentales avaient été instaurées, les dégâts auraient pu être minimisés ».
La leçon est évidente pour Novell : « Si la technologie avait été utilisée correctement, il est certain que l’on aurait pu connaître l'identité du voleur en quelques minutes ».
Une leçon, pour l'éditeur qui vient de se faire racheter, que tous les responsables IT devrait apprendre.
« Le partage légitime de données [...] ne devrait pas être restreint. Tous les acteurs doivent donc déployer des technologies de sécurité et renforcer les règles permettant de réduire considérablement les risques liés à la perte de données. Ils devront aussi s'assurer que les auteurs de ces vols pourront être appréhendés avant que l’on ne déplore trop de dégâts ».
Sinon, un WikiLeaks pourrait bien s'occuper de vous.
Et vous ?
Novell essaye-t-il de surfer sur le buzz ou pensez-vous que tous les moyens sont bons pour rappeler les évidences et faire progresser la sécurité ?
Source : Texte intégral de la Lettre Ouverte de Novell
Paris, le 03 décembre 2010 - Toutes les entreprises doivent faire face au problème de Wikileaks et se demander comment poursuivre leurs activités tout en s'assurant que l’accès à leurs données sensibles et confidentielles reste protégé. À ce jour, aucun organisme, ni militaire, ni financier ou du secteur public, n'a trouvé de solution à ce problème qui nous touche tous et qui va certainement s’aggraver.
L’année dernière, selon le Credoc plus 210 000 personnes ont été victimes d’une usurpation d’identité en France. Le vol de données est un fléau dans les quatre coins de la planète et dans tous les secteurs dits sensibles. Aux Etats-Unis, Bank of America ainsi que d’autres institutions se sont vues dérober 800 000 dossiers lors d’une unique atteinte à la sécurité des données en 2005. En 2008, des pirates informatiques ont volé plus de 8 millions de dossiers médicaux sur un site Internet de l’administration et ont ensuite tenté de demander une rançon aux personnes concernées.
Comment peut-on expliquer ce vol de données ? La malveillance humaine, l’incompétence technique et la bêtise commune ont toutes joué un rôle. Il s’avère très difficile de surmonter la nature humaine, mais il n’est pas impossible d’utiliser la technologie pour prévenir et minimiser ces vols.
Nous devrions reconnaître que tous ces vols sont dus à un facteur humain. Aussi, pour éliminer ces fuites d’informations, il est nécessaire de comprendre qui peut accéder à quelles données et en quelles circonstances, et de surveiller en temps réel comment ces données peuvent être utilisées et disséminées. Techniquement, la gestion des identités (ensemble de technologies qui fournit aux personnes un ensemble unique de droits en termes d'accès aux données, tout en contrôlant à quelle fin elles utilisent cet accès) constitue une solution évoluée et bien comprise. Cependant, ces technologies souffrent d’un cruel défaut d’adoption.
Dans le cas de Wikileaks et des récentes fuites d’informations militaires confidentielles qui se sont produites, il semble évident que si des règles de sécurité fondamentales avaient été instaurées, les dégâts auraient pu être minimisés. Si la technologie avait été utilisée correctement, il est certain que l’on aurait pu connaître l'identité du voleur en quelques minutes. Récemment, il a été annoncé que le transfert de données au moyen de clés USB et de CD deviendra impossible. Il s’agit d’une solution de fortune au problème. Le partage légitime de données est un impératif crucial, notamment dans l'armée, et ne devrait pas être restreint. Tous les acteurs doivent donc déployer des technologies de sécurité et renforcer les règles permettant de réduire considérablement les risques liés à la perte de données. Ils devront aussi s'assurer que les auteurs de ces vols pourront être appréhendés avant que l’on ne déplore trop de dégâts.
L’année dernière, selon le Credoc plus 210 000 personnes ont été victimes d’une usurpation d’identité en France. Le vol de données est un fléau dans les quatre coins de la planète et dans tous les secteurs dits sensibles. Aux Etats-Unis, Bank of America ainsi que d’autres institutions se sont vues dérober 800 000 dossiers lors d’une unique atteinte à la sécurité des données en 2005. En 2008, des pirates informatiques ont volé plus de 8 millions de dossiers médicaux sur un site Internet de l’administration et ont ensuite tenté de demander une rançon aux personnes concernées.
Comment peut-on expliquer ce vol de données ? La malveillance humaine, l’incompétence technique et la bêtise commune ont toutes joué un rôle. Il s’avère très difficile de surmonter la nature humaine, mais il n’est pas impossible d’utiliser la technologie pour prévenir et minimiser ces vols.
Nous devrions reconnaître que tous ces vols sont dus à un facteur humain. Aussi, pour éliminer ces fuites d’informations, il est nécessaire de comprendre qui peut accéder à quelles données et en quelles circonstances, et de surveiller en temps réel comment ces données peuvent être utilisées et disséminées. Techniquement, la gestion des identités (ensemble de technologies qui fournit aux personnes un ensemble unique de droits en termes d'accès aux données, tout en contrôlant à quelle fin elles utilisent cet accès) constitue une solution évoluée et bien comprise. Cependant, ces technologies souffrent d’un cruel défaut d’adoption.
Dans le cas de Wikileaks et des récentes fuites d’informations militaires confidentielles qui se sont produites, il semble évident que si des règles de sécurité fondamentales avaient été instaurées, les dégâts auraient pu être minimisés. Si la technologie avait été utilisée correctement, il est certain que l’on aurait pu connaître l'identité du voleur en quelques minutes. Récemment, il a été annoncé que le transfert de données au moyen de clés USB et de CD deviendra impossible. Il s’agit d’une solution de fortune au problème. Le partage légitime de données est un impératif crucial, notamment dans l'armée, et ne devrait pas être restreint. Tous les acteurs doivent donc déployer des technologies de sécurité et renforcer les règles permettant de réduire considérablement les risques liés à la perte de données. Ils devront aussi s'assurer que les auteurs de ces vols pourront être appréhendés avant que l’on ne déplore trop de dégâts.