Ivanti Blog

Détournement de DLL : Risques, exemples concrets et comment prévenir les attaques

Wed, 17 Dec 2025 14:00:02 Z

Il y a eu du bruit autour de CVE-2025-56383 (publié le 26 septembre 2025), une vulnérabilité de détournement dans Notepad++ v8.8.3 dans laquelle un fichier DLL peut être échangé pour exécuter du code malveillant.

La CVE a été contestée par plusieurs parties, mais nous ne sommes pas là pour commenter cela. Cependant, nous sommes là pour parler du détournement de DLL et discuter de la menace très réelle qu'il représente pour une organisation. Examinons ce qu'est le détournement de DLL et les mesures que vous pouvez prendre pour protéger vos DLL.

Ce qu'est le détournement de DLL et comment il se produit

Le détournement de DLL (également connu sous le nom d'attaque de préchargement de DLL) est une vulnérabilité de sécurité dans laquelle un fichier Dynamic Link Library (DLL) légitime et de confiance dans une application Windows est remplacé par un fichier malveillant.

Cette méthode exploite la façon dont les applications chargent les fichiers DLL, qui contiennent du code et des données utilisés par plusieurs programmes. En chargeant une DLL malveillante, un acteur de menace peut exécuter son propre code avec les mêmes privilèges que l'application légitime, conduisant à une escalade de privilèges, à la persistance et à l'évasion des défenses.

Lorsqu'un programme démarre, il doit souvent charger diverses DLL pour effectuer des fonctions spécifiques, généralement à partir de répertoires système de confiance. Cependant, si une application n'est pas prudente quant à l'endroit où elle recherche ces DLL, elle pourrait charger une DLL malveillante à partir d'un emplacement non sécurisé ou prévisible (c'est-à-dire le répertoire de travail actuel ou un partage réseau). Cela peut se produire si l'application ne spécifie pas le chemin complet vers la DLL ou si elle recherche la DLL dans un répertoire accessible ou modifiable par un attaquant.

Bien que ce type d'attaque ne soit pas nouveau, il reste efficace en raison de sa simplicité. Et bien que ce problème spécifique concerne les applications Windows, il est important de noter que des vulnérabilités similaires peuvent affecter d'autres systèmes d'exploitation (comme Linux et macOS, qui utilisent le chargement dynamique pour les bibliothèques partagées).

Le détournement de DLL introduit plusieurs risques de sécurité, notamment :

Vol de données : La DLL malveillante peut intercepter et voler des données sensibles, telles que des mots de passe ou des informations personnelles.
Systèmes compromis : L'attaquant peut prendre le contrôle du système, conduisant potentiellement à d'autres attaques ou à l'installation de logiciels malveillants supplémentaires.
Malware : La DLL malveillante peut servir de canal pour propager des logiciels malveillants, infectant d'autres parties du système ou du réseau.

Une DLL peut être détournée de plusieurs manières différentes ; voici quelques-unes des techniques les plus courantes :

Ordre de recherche DLL non sécurisé : Les attaquants placent des DLL malveillantes dans des répertoires recherchés avant l'emplacement de la DLL légitime.
Manipulation de chemin relatif : Des DLL malveillantes sont chargées lorsque les applications utilisent des chemins relatifs.
Redirection de DLL : Des techniques telles que la manipulation de chemin redirigent le processus de chargement de DLL.
Autorisations faibles : Les attaquants remplacent les DLL légitimes par des DLL malveillantes dans des répertoires avec des autorisations faibles.
Détournement de DLL fantôme : Les attaquants exploitent les applications chargeant des DLL inexistantes en plaçant des DLL malveillantes avec le même nom dans les répertoires recherchés.

Ces vulnérabilités potentielles soulignent l'importance des pratiques de codage sécurisées et de la gestion des autorisations de répertoire en matière de prévention de cette forme d'attaque.

Comment prévenir le détournement de DLL et protéger vos DLL

Bien que le détournement de DLL reste une menace, il existe des bonnes pratiques que vous pouvez suivre et mettre en œuvre pour réduire votre risque et créer un environnement informatique plus sûr et plus sécurisé.

Chargement DLL sécurisé :

Utiliser des chemins complets : Spécifiez toujours le chemin complet vers la DLL lors du chargement. Cela garantit que l'application charge la DLL à partir d'un emplacement de confiance (et non à partir d'un répertoire non sécurisé).
Définir le chemin de recherche sécurisé : Utilisez la fonction SetDllDirectory dans Windows pour ajouter des répertoires de confiance au chemin de recherche et exclure ceux qui ne sont pas sécurisés. Cela peut aider à empêcher l'application de charger des DLL à partir d'emplacements inattendus.

Vérifications d'intégrité des fichiers :

Signatures numériques : Assurez-vous que les DLL sont signées avec une signature numérique et vérifiez la signature avant de charger la DLL. Cela peut aider à confirmer que la DLL n'a pas été altérée.
Vérification du hash : Utilisez des fonctions de hachage cryptographiques pour vérifier l'intégrité des fichiers DLL. Si le hash de la DLL ne correspond pas à la valeur attendue, le fichier a peut-être été modifié.

Autorisations utilisateur :

Principe du moindre privilège : Exécutez les applications avec le minimum de privilèges nécessaires. Cela limite les dommages potentiels d'un détournement de DLL, car le code malveillant aura moins d'autorisations pour exécuter des actions nuisibles.
Contrôle de compte d'utilisateur (UAC) : Activez UAC sur les systèmes Windows pour demander aux utilisateurs l'autorisation avant d'exécuter des applications avec des privilèges élevés. Cela peut aider à empêcher les modifications non autorisées des fichiers système.

Application Control et gestion des privilèges :

Applications connues et de confiance : Application Control garantit que seules les applications connues et de confiance peuvent être lancées, éliminant le risque d'introduction d'applications non autorisées.
Contrôle des privilèges : Une gestion efficace des privilèges est cruciale pour prévenir le détournement de DLL. En vous assurant que les applications disposent des droits et privilèges corrects pour se lancer, vous limitez la capacité des utilisateurs non autorisés à introduire des fichiers malveillants. Ce contrôle agit comme une barrière clé, restreignant l'accès dont un attaquant a besoin pour exploiter le mécanisme de recherche de DLL et renforçant ainsi la sécurité de votre environnement.

Logiciels de sécurité :

Antivirus et anti-malware : Utilisez des logiciels antivirus et anti-malware réputés pour détecter et empêcher le chargement de DLL malveillantes. Ces outils peuvent analyser les fichiers et comportements malveillants connus.
Systèmes de détection d'intrusion (IDS) : Mettez en œuvre des IDS pour surveiller les activités inhabituelles, telles que les modifications inattendues des fichiers DLL ou les tentatives de chargement de DLL à partir d'emplacements non sécurisés.

Gestion des patchs :

Maintenir les logiciels à jour : Mettez régulièrement à jour les applications et les systèmes d'exploitation avec les derniers correctifs de sécurité. De nombreuses vulnérabilités de détournement de DLL sont corrigées via des mises à jour, restez donc à jour pour vous protéger contre les menaces connues.
Correction automatisée : Utilisez un outil de gestion automatisée des patchs pour vous assurer que tous les systèmes sont maintenus à jour sans intervention manuelle. Cela réduit la fenêtre d'opportunité pour les attaquants d'exploiter des vulnérabilités connues, y compris celles qui pourraient être utilisées pour le détournement de DLL. Cette approche proactive aide à maintenir l'intégrité de vos applications et systèmes d'exploitation, rendant beaucoup plus difficile pour les attaquants d'injecter des DLL malveillantes.

En mettant en œuvre ces bonnes pratiques, vous pouvez réduire considérablement le risque de détournement de DLL et améliorer la sécurité globale de vos applications et systèmes.

Combinez les bons outils et tactiques pour prévenir les détournements de DLL

Le détournement de DLL est une forme d'attaque persistante depuis des années, prouvant qu'elle est toujours efficace et continuera donc d'être un problème pour les organisations.

Préparez votre organisation pour l'avenir en utilisant les bonnes pratiques mentionnées ci-dessus combinées à des solutions éprouvées comme Ivanti Neurons for App Control pour aider à protéger vos DLL. Des capacités comme Trusted Ownership détectent et refusent l'exécution d'une DLL détournée en s'assurant que la propriété des éléments correspond à votre liste approuvée de propriétaires de confiance.

Et maintenez vos applications à jour pour limiter l'exposition aux vulnérabilités connues. Éliminez le risque d'erreur humaine en automatisant les correctifs avec Ivanti Neurons for Patch Management, garantissant que les systèmes sont automatiquement mis à jour et sécurisés.

Apple Business Manager Device Migration : ce que vous devez savoir

Fri, 12 Sep 2025 17:27:33 Z

Avec la publication d'Apple OS 26, les administrateurs IT utilisant Apple Business Manager (ABM) ou Apple School Manager (ASM) disposent d'un nouvel outil puissant : Device Migration. Cette fonctionnalité facilite considérablement le transfert d'appareils entre plateformes MDM tout en minimisant les interruptions pour les utilisateurs finaux.

Dans cet article, nous vous expliquons tout ce que vous devez savoir et comment ABM Device Migration simplifie considérablement le passage à Ivanti Neurons for MDM.

Fonctionnalités clés d'ABM Device Migration

Les nouvelles fonctionnalités ABM Device Migration d'Apple facilitent la migration d'appareils entre différentes solutions MDM, sans étapes manuelles ni interruptions pour les utilisateurs.

Aucune ré-inscription manuelle. Vous pouvez transférer des appareils d'un serveur MDM à un autre ou d'un fournisseur MDM à un autre (y compris Ivanti Neurons for MDM), sans effacer ou ré-inscrire manuellement les appareils. Toutes les données utilisateur et configurations d'appareils existantes seront automatiquement conservées pendant la migration. L'utilisateur final pourra finaliser la ré-inscription avec deux clics guidés : un pour redémarrer l'appareil et un pour la ré-inscription dans le nouveau MDM.

Enrollment Deadlines. Il s'agit de la fonctionnalité la plus récente introduite par Apple dans ABM et ASM. Vous pouvez définir et appliquer des délais pour transférer les appareils vers la nouvelle instance MDM. Si un appareil n'est pas inscrit à temps, il sera verrouillé et l'utilisateur sera invité à finaliser l'inscription. Grâce à ce délai, vous pourrez déclencher le processus automatisé de ré-inscription dans le nouveau MDM. L'utilisateur final sera guidé par des écrans pour effectuer la ré-inscription de manière fluide.

Expérience utilisateur final. L'expérience utilisateur final ne remarquera aucun changement pendant la migration, sauf si la deadline d'enrollment est dépassée. Une fois la migration terminée, l'utilisateur recevra une invite pour redémarrer l'appareil. Après le redémarrage, l'utilisateur final sera invité à ré-inscrire l'appareil dans la nouvelle solution de gestion, ce qui ne nécessite qu'un seul clic.

Piloté par API. Le processus peut également être géré via le portail ABM ou ASM en utilisant les nouvelles API d'Apple (que vous devez activer). Cela signifie que les clients qui utilisent une infrastructure API peuvent attribuer ou retirer l'attribution d'appareils en masse avec les nouvelles API Apple ABM sans avoir à accéder à la console ABM.

Cas d'usage d'ABM Device Migration

Quand utiliseriez-vous cette fonctionnalité ? Voici quelques cas d'usage clés.

Migration cloud

ABM Device Migration vous permet de passer d'un MDM on-premises à un MDM cloud sans ré-inscrire les appareils. Pour les clients Ivanti, cette fonctionnalité facilite le passage à Ivanti Neurons for MDM depuis Ivanti Endpoint Manager (pour macOS) ou Ivanti Endpoint Manager Mobile (pour tous les appareils Apple).

Changement de fournisseur MDM

ABM Device Migration simplifie le passage d'un autre fournisseur MDM à Ivanti Neurons for MDM, ou la consolidation de tous les types d'appareils (Android, Windows, Apple) sur une seule plateforme à partir de MDM qui ne gèrent que les appareils Apple, comme Jamf ou Kandji.

Réalignement des appareils dans les districts scolaires

Les établissements d'enseignement peuvent réaligner les appareils entre départements ou campus tout en conservant tous les paramètres de gestion et d'attribution Apple.

Fusions, acquisitions ou réorganisations

En cas de fusion ou de séparation d'infrastructures IT en raison de M&A ou de réorganisation, vous pouvez transférer des appareils vers de nouveaux environnements MDM avec un minimum d'interruptions pour les utilisateurs.

Configuration d'ABM Device Migration : guide étape par étape

Avant de commencer

Deux aspects importants sont à prendre en compte avant de commencer :

Device Migration fonctionne uniquement sur les appareils exécutant iOS 26, iPadOS 26 ou macOS 26 (ou version ultérieure). Assurez-vous que vos appareils sont d'abord mis à jour.
Vous n'avez pas besoin d'apporter de modifications côté serveur MDM pour prendre en charge Device Migration, mais les serveurs MDM cibles doivent être préparés à recevoir de nouvelles attributions d'appareils et demandes d'inscription.

Device Migration via la console ABM

Connectez-vous à Apple Business Manager et accédez à Devices. À partir de là, utilisez la barre de recherche pour trouver les appareils cibles par numéro de série, numéro de commande ou autres identifiants. Ensuite, sélectionnez les appareils pour lesquels vous souhaitez définir un délai de migration.

Ensuite, vérifiez les détails de l'appareil : cliquez sur l'appareil pour ouvrir sa vue détaillée et confirmez qu'il est attribué au bon serveur MDM. Vous pouvez maintenant définir le délai de migration.

À partir de là, cliquez sur Assign Device Management.

Dans la fenêtre contextuelle, vous pouvez choisir la nouvelle organisation MDM à laquelle l'appareil doit être attribué.

Ensuite, choisissez le délai.

Sélectionnez la date et l'heure souhaitées pour le délai. Il s'agit de la date limite à laquelle les utilisateurs doivent migrer leur appareil vers le serveur MDM attribué. Si les utilisateurs ne suivent pas les invites, ils seront exclus de l'appareil. Ensuite, cliquez sur Continue.

Sur l'appareil, l'utilisateur recevra une notification pour redémarrer son appareil.

Après le redémarrage, l'appareil demandera à l'utilisateur de s'inscrire au nouveau service de gestion.

Device Migration via les API

La configuration d'ABM Device Migration via les API est simple et se fait entièrement dans ABM (ou ASM), quel que soit le MDM vers lequel ou depuis lequel vous basculez.

Tout d'abord, connectez-vous à votre compte Apple Business Manager ou Apple School Manager et accédez à Settings > Device Manager Settings.

Ensuite, vérifiez et activez les API requises pour permettre Device Migration. (Si vous ne savez pas comment faire, consultez le guide d'administration Apple pour une aide détaillée.)

Une fois les API activées, vous pouvez simplement suivre le workflow de migration d'Apple pour sélectionner les appareils et désigner le nouveau serveur MDM cible. Vous pouvez également définir une deadline d'enrollment pour les appareils migrés.

Ressources supplémentaires sur ABM Device Migration

Si vous avez besoin d'informations plus détaillées, vous pouvez consulter :

Découverte de la surface d'attaque : Comment identifier la surface d'attaque de votre entreprise

Mon, 18 Aug 2025 09:54:55 Z

Contrôler sa surface d'attaque, c'est comme entretenir son gazon. Si on ne tond pas après la pluie, il grandit rapidement. Avec une surface d'attaque, la situation devient vite incontrôlable, avec une augmentation des cyber-risques. Même s’il est illusoire d’éradiquer totalement le risque — l’environnement de threat intelligence ne cessant d’évoluer — il est possible, et surtout impératif, de garder le risque à un niveau maîtrisé, en ligne avec l'appétence au risque de votre entreprise.

Pourquoi la découverte de la surface d'attaque est-elle si importante ?

Pour gérer les cyber-risques, il faut avant tout savoir où l’on va : cela passe par une identification précise de sa surface d’attaque. Cela implique de recenser ce qui peut servir de porte d’entrée ou d’attaque — qu’il s’agisse de postes client, de vulnérabilités et d'autres vecteurs d'attaque.

Les grandes références du secteur abondent en ce sens : la première fonction du NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) version 1.1 est l'identification. Selon le NIST, les « activités liées à l'identification constituent les bases d'une utilisation efficace de ce cadre ». Même logique pour la liste Contrôles CIS v8, qui inclut les contrôles suivants :

Contrôle 1 — Inventaire et contrôle des actifs de l'entreprise
Contrôle 2— Inventaire et contrôle des actifs logiciels
Contrôle 7— Gestion continue des vulnérabilités

En clair : on ne protège bien que ce que l’on connaît. Mais comment faire l’inventaire de tous nos actifs ?

Comment démarrer la découverte de ma surface d'attaque ?

Il s’agit d’adopter l’œil du hacker : quelles ressources seraient facilement exploitables ?

La surface d'attaque se décline en trois volets : la surface d'attaque numérique, la surface d'attaque physique et la surface d'attaque humaine. Ce blog se concentre sur le volet numérique, même s'il aborde aussi brièvement les deux autres volets.

Votre surface d'attaque numérique couvre l'ensemble des actifs IT traditionnels, à savoir le matériel (postes clients et serveurs, notamment) et les applications logicielles, ainsi que les actifs tournés vers Internet, comme les applications Web, les adresses IP, les noms de domaine, les certificats SSL et les services Cloud.

La première étape consiste à dresser l'inventaire des éléments de votre surface d'attaque numérique et à identifier les problèmes de visibilité. Une classification peut être établie comme suit :

Connus connus : les cyberactifs identifiés comme faisant partie de votre surface d’attaque.
Les inconnus connus : les cyberactifs identifiés comme appartenant à votre surface d’attaque, mais sur lesquels vous manquez de visibilité et/ou de contrôle.
Les inconnus non connus : les cyberactifs dont vous ne savez pas s’ils font ou non partie de votre surface d’attaque.
N/A : les cyberactifs pour lesquels vous êtes certain à 100 % qu’ils ne font pas partie de votre surface d'attaque.

Pour ne rien oublier, utilisez notre Checklist Surface d'attaque personnalisable.

Outils et approches pour découvrir et gérer votre surface d'attaque

Une fois la classification effectuée, l’étape suivante consiste à choisir des outils adaptés afin d’affiner votre visibilité et de lever les angles morts. L’objectif : transformer les inconnus (connus ou non) en actifs maîtrisés.

La « gestion de la surface d'attaque » inclut des solutions plus spécifiques : CAASM (Gestion de la surface d'attaque des cyberactifs), EASM (Gestion de la surface d'attaque externe) et DRPS (Services de protection contre les risques numériques). À partir des résultats de ces outils, vous pouvez identifier plus facilement les vulnérabilités. Certains proposent même des fonctions de priorisation et de remédiation, ce qui permet de réagir rapidement en cas de menace et de limiter les risques.

Cependant, les organisations ont eu besoin de découvrir et de gérer leur surface d’attaque numérique bien avant l’apparition des solutions ASM. À défaut de solutions ASM, de nombreuses entreprises ont adopté — et continuent d’utiliser — d’autres méthodes pour répondre à ce besoin.

Approche	Description	Atouts	Limites
Outils de découverte des actifs	Inventaire des actifs matériels et logiciels qui se connectent à votre réseau.	Largements déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.	Comportent souvent des angles morts, comme le Shadow IT, les systèmes tiers et les applications métier.
BAS (Simulation de fuites de données et d'attaques)	Tests automatisés des vecteurs de menaces pour comprendre les vulnérabilités de sécurité et valider les contrôles de sécurité.	Génération de rapports sur les faiblesses de sécurité et priorisation de la remédiation basée sur les risques.	Traitent uniquement les attaques connues. Pas de remédiation.
CSPM (Gestion du niveau de sécurité du Cloud)	Suivi des changements de configurations Cloud.	Visibilité en temps réel sur les configurations Cloud.	Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
CMDB (Base de données de gestion des configurations)	Suivi des changements apportés aux systèmes.	Largement déployés dans les entreprises.	Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
Approche locale (manuelle)	Feuilles de calcul, scripts et processus manuels pour gérer la surface d'attaque.	Peu onéreux, voire gratuits (si l'on ne prend pas en compte les heures de travail des ingénieurs IT).	Chronophages et sujets aux erreurs. Ni évolutifs ni en temps réel.
ITAM (Gestion des actifs IT)	Suivi et surveillance du cycle de vie des actifs.	Largement déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.	Traitent uniquement les actifs connus et gérés, en ignorant les actifs inconnus ou non gérés.
Tests d'intrusion (comme les outils de tests d'intrusion automatisés ou les tests d'intrusion en SaaS)	Simulation d'une cyberattaque en identifiant les vulnérabilités de votre réseau et de vos applications.	Exemples de postures de sécurité avec les priorités budgétaires associées.	Traitent uniquement la première phase de la chaîne de cyberdestruction : la reconnaissance. Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.
Red Teaming	Image complète de la posture de cybersécurité de l'entreprise en mettant en scène une simulation de cyberattaque visant les réseaux, les applications, les protections physiques et les collaborateurs.	Va plus loin que les tests d'intrusion, en se concentrant sur les autres phases de la chaîne de cyberdestruction. Va aussi au-delà de la surface d'attaque numérique, en examinant les surfaces d'attaque physique et humaine.	Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.
Intelligence des menaces (Threat Intelligence)	Informations sur les menaces et autres problèmes de cybersécurité.	Informations sur les menaces et les vulnérabilités.	S'adressent aux entreprises dont le niveau de maturité en sécurité est élevé, et ayant du personnel qualifié et d'importantes ressources.
Outils de gestion des vulnérabilités (comme les scanners)	Identification et gestion des vulnérabilités de votre infrastructure et de vos applications.	Déjà déployés dans la plupart des entreprises.	Aucune visibilité des actifs inconnus. Énormes quantités de données.

Même si ces outils ne disposent pas de toutes les fonctions et de tous les avantages d'une solution ASM dédiée, ils ont quand même leur place dans les pratiques IT et de sécurité d'une entreprise.

En fait, les outils CAASM ne fonctionnent pas sans les données des outils de découverte des actifs, d'ITAM, de gestion des vulnérabilités et/ou de gestion des correctifs. De même, l'EASM complète les services d'intelligence des menaces et de tests de sécurité répertoriés ci-dessus.

Comment identifier la surface d'attaque physique de mon entreprise ?

Le premier élément important de la surface d’attaque physique d’une organisation recoupe en partie la surface d’attaque numérique. Il s’agit de la surface d’attaque des postes client, qui regroupe tous les équipements connectés au réseau : ordinateurs de bureau, ordinateurs portables, périphériques mobiles et périphériques IoT. Les outils et les techniques servant à découvrir la surface d'attaque numérique sont également pertinents pour cette catégorie.

Le second élément majeur concerne les bureaux, les centres de données et les autres locaux de l’entreprise. Là encore, certaines techniques utilisées pour la surface d’attaque numérique sont applicables, notamment dans le cadre des tests d’intrusion physique réalisés lors des exercices de red teaming.

Comment identifier la surface d'attaque humaine de mon entreprise ?

L'identification de votre surface d'attaque humaine commence par l'examen de votre organigramme. Toute personne associée à votre entreprise et ayant accès à ses informations sensibles (ou étant en capacité d'empêcher d'autres personnes d'accéder à ces informations) fait partie de votre surface d'attaque humaine. Cela inclut vos collaborateurs (à plein temps et à temps partiel), les membres du conseil d'administration, les sous-traitants, les partenaires, les fournisseurs, les prestataires et éditeurs de logiciels, les intérimaires, etc.

Le Red Teaming, pratique visant à identifier les éléments des surfaces d'attaque numérique et physique, peut aussi servir à identifier un composant majeur de la surface d'attaque humaine : la sensibilité des collaborateurs à l'ingénierie sociale.

En parallèle, l’analyse des affectations de droits et des accès réels reste indispensable pour ne pas se laisser surprendre par des privilèges mal accordés ou des comptes dormants.

J'ai identifié la surface d'attaque de mon entreprise. Et maintenant ?

La découverte de votre surface d'attaque n'est que la première étape vers votre objectif final : la remédiation des vulnérabilités qui présentent le plus de risque pour votre entreprise. Ce processus s'inscrit dans la gestion de l'exposition.

Comme nous l'avons dit, la découverte de la surface d'attaque est l'une des bases de votre stratégie de sécurité : vous ne pouvez pas protéger ce dont vous ignorez l'existence. La gestion de l'exposition intègre un autre pilier essentiel : la détermination de votre appétence au risque. Elle définit le niveau de risque que votre entreprise est prête à accepter pour atteindre ses objectifs. (Vous pouvez vous inspirer de ce modèle personnalisable.)

Maintenant que vous avez géré ces deux aspects fondamentaux, vous pouvez évaluer les vulnérabilités détectées dans votre surface d'attaque. Vous déterminez ainsi l'importance du danger qu'elles représentent pour votre entreprise, et si cela entre dans les limites de votre appétence au risque (ce processus est traité en détail dans notre guide Évaluer objectivement le cyber-risque).

Les vulnérabilités hors du champ de votre appétence au risque doivent être remédiées en priorité, ce qui vous permet de concentrer vos efforts de remédiation là où ils auront le plus d’impact.

Migration vers Windows 11 : retour d'expérience d'Ivanti en tant que « customer zero »

Mon, 21 Jul 2025 15:46:23 Z

Windows 11 offre une sécurité renforcée ainsi qu'une interface utilisateur moderne. La transition peut cependant s'avérer compliquée pour les grandes organisations, avec des défis logistiques et des collaborateurs parfois réticents. Microsoft mettra fin au support Windows 10 le 14 octobre 2025. Il est donc primordial de commencer dès aujourd’hui à planifier et mettre en oeuvre vos déploiements vers Windows 11.

Pourquoi faut-il migrer vers Windows 11 ?

Migrer vers Windows 11, c’est garantir un système opérationnel, sécurisé et performant. Doté de capacités de sécurité avancées, incluant un chiffrement puissant et une détection des menaces proactive, Windows 11 permet de sécuriser vos données et renforce la résilience de l’IT. Son interface intuitive facilite également les tâches quotidiennes, stimulant ainsi la productivité. Avec la fin du support de Windows 10 cette année, la mise à niveau protège les organisations contre les risques de sécurité et d’éventuelles interruptions. Selon des études de Gartner, de nombreuses entreprises font le choix stratégique de remplacer les machines compatibles par du nouveau matériel pour garantir des performances optimales avec Windows 11. Pour une transition fluide et efficace, il est conseillé de planifier proactivement la migration.

Comment Ivanti a effectué la migration de son parc IT de Windows 10 vers Windows 11

Chez Ivanti, nous déployons avec succès les migrations vers Windows 11 depuis le début de l’année 2025. Cette migration s’inscrit dans une démarche anticipée et structurée, préparée de longue date, comme c’est le cas dans la plupart des grandes organisations. L’objectif est d’assurer dans les meilleurs délais la mise à jour de toutes les machines éligibles. Quant à celles qui ne le sont pas, nous envisageons un dépannage ou un remplacement.

Pour atteindre cet objectif, nous avons choisi de nous appuyer sur notre propre plateforme Ivanti Neurons dont les outils proactifs et les informations décisionnelles garantissent un déploiement réussi de Windows 11. En adoptant une approche progressive, nous avons identifié et résolu les problèmes signalés par les premiers utilisateurs, tout en recueillant de précieux retours d’expérience. Cette phase initiale a confirmé l’efficacité de notre plan. Nous avons ensuite déployé la mise à niveau à l'échelle de l’organisation. Au final, la migration était totalement maîtrisée et fluide.

Les défis

Comme toute entreprise, nous souhaitions anticiper et prévenir tout obstacle pouvant compromettre le succès de la migration.

Compatibilité matérielle et périphériques inconnus

L’une des principales difficultés de la mise à niveau vers Windows 11 réside dans le respect des spécifications matérielles. De nombreux périphériques ne répondent pas aux critères stricts de Microsoft, ce qui limite le nombre de machines éligibles. Cette situation est particulièrement délicate pour les organisations disposant d’un parc informatique hétérogène, où la présence d’équipements plus anciens peut ralentir la modernisation des systèmes. Pour surmonter cette difficulté, les équipes IT d’Ivanti se sont appuyées sur nos outils de découverte. Elles ont réalisé un inventaire et une évaluation complète de tous les périphériques, afin d’identifier ceux à mettre à niveau ou à remplacer avant le démarrage de la migration. On ne peut pas migrer des périphériques non identifiés, d’où la nécessité de disposer d’une vue complète du parc IT dès le départ.

Frictions des utilisateurs finaux et impact sur la productivité

La réticence des utilisateurs face aux nouvelles interfaces et fonctionnalités peut également constituer un frein à la réussite de toute migration. Le changement suscite souvent du stress ou de la résistance, et les nouveautés et modifications introduites dans la nouvelle interface de Windows 11 sont susceptibles de perturber les utilisateurs habitués aux anciennes versions. Les mises à niveau du système d'exploitation peuvent aussi générer des interruptions dans l’activité des utilisateurs, entraînant frustration et baisse de productivité. L'équipe IT d'Ivanti a veillé à ce que les utilisateurs finaux puissent choisir le moment le plus opportun pour effectuer la mise à jour, afin de limiter les désagréments. L’objectif est d’éviter toute perte de travail non enregistré ou interruption d’activité.

Maintien des mises à jour de sécurité grâce à un support prolongé

Certaines machines ne peuvent pas encore être mises à niveau vers Windows 11, à cause des spécifications matérielles requises. Cependant, avec le support étendu d’Ivanti, nous pourrons prolonger les mises à jour de sécurité de Windows 10 au-delà du mois d’octobre. Nous garantissons ainsi la protection et le bon fonctionnement de ces périphériques.

Le déploiement du programme ESU (Extended Security Update) d'Ivanti simplifie le processus d’application des correctifs, réduit la charge de travail des équipes IT et garantit la conformité aux réglementations (RGPD, HIPAA, PCI-DSS, etc.). Selon IBM, les systèmes non patchés présentent plus de 1 200 vulnérabilités chaque année, et une fuite de données peut coûter en moyenne 4,45 millions de dollars. Nous devons veiller à ce que chaque périphérique non mis à jour vers Windows 11 reste protégé contre les vulnérabilités.

Le support étendu nous permet de prolonger le cycle de vie des périphériques toujours opérationnels, tout en respectant les contraintes budgétaires. Selon des études de Gartner, de nombreuses entreprises retardent leurs achats malgré la nécessité de migrer de Windows 10 vers Windows 11. Elles prolongent ainsi le cycle de vie de leur matériel existant et étudient des solutions alternatives pour réduire leurs dépenses. Les solutions ESU d’Ivanti contribuent à prolonger la durée de vie de ces périphériques, évitant ainsi les coûts élevés liés à un renouvellement du matériel. Cette approche garantit une application efficace et transparente des correctifs, minimise les risques de sécurité et réduit les interventions manuelles de l’équipe IT tout en prévenant les pertes et interruptions potentielles.

Le processus de migration d'Ivanti vers Windows 11

Ivanti Neurons nous a permis d’automatiser les étapes clés de la migration, de l'évaluation initiale des périphériques jusqu'à la mise à niveau elle-même. Chaque phase est simplifiée, libérant ainsi l’IT pour des activités plus stratégiques. Chez Ivanti, la mise à jour des périphériques de Windows 10 vers Windows 11 se déroule ainsi :

1. Préparation

Identification des périphériques : créez un groupe de périphériques Windows 10 nécessitant une mise à niveau.
Téléchargement des fichiers : transférez les données nécessaires sur les périphériques (utilisez de préférence des fichiers ZIP).

2. Vérification préalable

Vérification de l'éligibilité : exécutez des scripts PowerShell pour vérifier que le périphérique répond aux exigences matérielles de Windows 11.
Vérification du branchement : assurez-vous que les périphériques sont branchés sur une prise de courant.

3. Interaction avec les utilisateurs

Notification : grâce à l’intégration d’un bot dans Teams, prévenez les utilisateurs et offrez-leur la liberté de choisir le moment idéal pour effectuer la mise à niveau.
Consentement : les utilisateurs donnent leur consentement pour la mise à niveau en répondant à un message interactif dans Teams.

4. Exécution de la mise à niveau

Lancement de la mise à niveau : ouvrez l'Assistant de mise à jour Windows pour effectuer la mise à niveau.
Surveillance de la progression : suivez le processus de mise à niveau et gérez les éventuelles erreurs ou problèmes rencontrés.

5. Après la mise à niveau

Redémarrage du périphérique : invitez les utilisateurs à redémarrer leurs périphériques pour finaliser la mise à niveau.
Vérification de l'activation de la licence : vérifiez que les périphériques sont activés avec une clé de licence entreprise.
Mises à jour supplémentaires : appliquez les mises à jour Windows nécessaires après la mise à niveau.

6. Gestion des erreurs

Création automatique de tickets : utilisez un bot pour générer des tickets pour les périphériques dont la mise à niveau échoue.
Dépannage : l’équipe des services aux entreprises traite les cas où les périphériques ne peuvent pas être mis à niveau automatiquement.

7. Amélioration continue

Perfectionnement : décomposez le processus de mise à niveau en étapes automatisées pour simplifier les opérations.
Retour d'expérience : intégrez les retours des utilisateurs pour améliorer l’expérience de mise à niveau.

Ce processus garantit une transition fluide de Windows 10 vers Windows 11, tout en limitant les interruptions et en gérant efficacement les cas particuliers. Le déploiement s'est effectué de manière progressive, à un rythme hebdomadaire. Conçu avec une vision claire et stratégique, afin de bâtir une organisation durable, flexible et modulaire, ce processus permet de s’adapter aux besoins futurs. Cette approche nous offre la flexibilité nécessaire pour déployer rapidement un processus équivalent dès la sortie de la prochaine version de Windows.

Prêts à démarrer votre migration vers Windows 11 ?

Migrer vers Windows 11 est indispensable pour maintenir la sécurité, la performance et la conformité de votre environnement IT. Ivanti a utilisé ses propres logiciels pour automatiser les étapes clés, recueillir les retours d'expérience utilisateur et assurer des mises à jour de sécurité prolongées pour les périphériques non éligibles. Cette démarche garantit une transition fluide, réduit les interruptions pour les utilisateurs finaux et renforce l’efficacité des équipes IT.

L'approche d'Ivanti et son processus répondent non seulement aux enjeux actuels, mais établissent également une base flexible et modulaire destinée à accompagner les futures mises à niveau du système d’exploitation.

Prêts à démarrer votre migration vers Windows 11 ? Découvrez comment Ivanti Neurons simplifie et automatise ce processus.

Découvrez Ivanti Neurons

Ignorer les attaques sur la chaîne logicielle peut coûter très cher

Mon, 05 May 2025 12:34:43 Z

Le rapport d'Ivanti sur l'état de la cybersécurité en 2025 révèle que seulement 1/3 des entreprises sont protégées contre les menaces sur la chaîne logicielle. Les pirates ciblent de plus en plus les dépendances aux tiers, transformant progressivement la chaîne logicielle en maillon faible.

Le risque croissant d'attaques sur la chaîne logicielle

Les surfaces d'attaque ne cessent de s'étendre, à toute vitesse, et l'un des vecteurs clés de cette expansion est la chaîne logicielle. Les entreprises modernes dépendent d'un grand nombre d'applications, d'outils et de dépendances logicielles dans leur infrastructure technologique. D'après un rapport de BetterCloud, en 2024, une entreprise utilise en moyenne 112 applications SaaS. Et cet enchevêtrement ne cesse de se compliquer. En moyenne, chaque application comporte 150 dépendances (dont 90 % sont indirectes), qui correspondent à l'immense majorité des vulnérabilités.

Les acteurs de la menace qui visent les dépendances aux tiers se sont multipliés ces dernières années : en 2024, 75 % des chaînes logicielles ont subi une attaque. Ces menaces sur la chaîne logicielle sont aussi plus sophistiquées, car les assaillants traquent la moindre faiblesse dans le code d'un fournisseur. Pour autant, les équipes de sécurité peinent à valider comme il se doit tous leurs composants logiciels.

Les études d'Ivanti montrent que, même si 84 % des dirigeants d'entreprise affirment que la surveillance de la chaîne logicielle est « très importante », presque la moitié (48 %) n'ont toujours pas identifié les composants les plus vulnérables de leur propre chaîne. Ce manquement à leur devoir de vigilance expose les entreprises à de graves risques financiers et réputationnels.

Attaques courantes sur la chaîne logicielle

D'après Gartner, 45 % des entreprises subiront une attaque sur leur chaîne logicielle d'ici 2025, dont les plus courantes comprennent notamment :

Les attaques sur le serveur en amont, les plus communes, consistent à cibler un système placé en amont des utilisateurs, comme un référentiel de code, et à y injecter une charge malveillante ou un malware. Ce dernier se répand alors vers les utilisateurs en aval, par exemple par une simple mise à jour logicielle.
Les attaques en milieu de flux se rapportent aux incidents où les agresseurs compromettent des systèmes intermédiaires, comme des outils de développement logiciel, au lieu de la base de code d'origine.
Les attaques de substitution ou la confusion de dépendance tentent de tromper un développeur ou un système afin qu'il télécharge une dépendance logicielle infectée depuis une source externe. Classiquement, le nom de ce logiciel malveillant ressemble à celui d'une bibliothèque interne approuvée. La version malfaisante est souvent intégrée au build logiciel à la place de la dépendance légitime.
Les attaques par certificat de signature de code se produisent lorsqu'un pirate injecte un logiciel malveillant dans les certificats numériques de signature de code censés valider la sécurité et l'authenticité des logiciels. Ces attaques se déclenchent lorsque l'acteur de la menace compromet l'environnement de développement par ingénierie sociale ou toute autre tactique.
Les attaques sur l'infrastructure CI/CD visent les pipelines de développement automatisés en y introduisant des malwares, par exemple en clonant des référentiels GitHub authentiques à des fins malveillantes.

Exemples récents d'attaques sur la chaîne logicielle

Il n'y a pas à chercher bien loin dans l'actualité pour y trouver des exemples concrets arrivés au point critique. Certains cas d'attaques sur la chaîne logicielle ont retenu l'attention du monde entier ces dernières années.

Attaque par ingénierie sociale sur Okta
- En octobre 2023, Okta, fournisseur de services de gestion des identités et des accès, a subi une grave fuite de données liée à son système de service client. L'attaque a été rendue possible suite à des opérations d'ingénierie sociale réussies ciblant les centres de support IT de quatre de ses clients. Les cybercriminels ont utilisé ces informations d'authentification d'administration pour lancer plusieurs attaques en aval. Résultat : ils ont pu accéder frauduleusement aux données des milliers de clients Okta, notamment 1Password, BeyondTrust et Cloudflare.
Attaque par ransomware sur Kaseya
- En juillet 2021, des pirates ont exploité six vulnérabilités Zero Day de l'outil de gestion à distance Kaseya. Ils s'en sont servis pour distribuer une charge malveillante de ransomware au travers d'une mise à jour logicielle qui a infecté des centaines de MSP (fournisseurs de services gérés) et leurs clients. Cette attaque a entraîné le blocage de près de 2 000 entreprises dans le monde et a fait les gros titres lorsque les assaillants ont réclamé une rançon énorme de 70 millions de dollars (qui n'a jamais été payée).
Attaque sur l'infrastructure CI/CD Codecov
- En janvier 2021, des acteurs malveillants ont infiltré l'outil très répandu de test de code Codecov, utilisé alors par plus de 29 000 clients. Ils ont obtenu un accès non autorisé au script Bash de mise en ligne du code de Codecov et y ont introduit un code malveillant, que les clients de Codecov ont ensuite utilisé dans leurs pipelines CI/CD. Codecov n'a pas détecté ni signalé cette attaque avant avril 2021. Les malfaiteurs ont donc potentiellement eu accès aux données sensibles des systèmes de milliers de clients pendant des mois.
- Chacune de ces attaques sur la chaîne logicielle a provoqué des dommages en cascade à grande échelle, à la fois chez le fournisseur visé, chez des milliers de ses clients et au-delà.

Les graves préjudices des attaques sur la chaîne logicielle

Il ne faut pas sous-estimer l'ampleur des dommages d'une attaque sur la chaîne logicielle. Chacune des attaques citées a entraîné des dommages financiers et réputationnels importants et a conduit de nombreuses entreprises à repenser leur approche de la sécurité fournisseur.

Impact financier

Cybersecurity Ventures prévoit que le coût annuel mondial des attaques sur la chaîne logicielle des entreprises va atteindre l'énorme somme de 138 milliards de dollars d'ici 2031 (contre 60 milliards en 2025). Les pertes sont diverses : perte d'exploitation, coûts de remédiation et frais juridiques, et les amendes éventuelles pour non-conformité. Après sa fuite de données de 2023, Okta a vu le cours de ses actions chuter de 11 %. Après une autre fuite de données majeure en 2022, l'entreprise a ensuite été poursuivie en justice par ses actionnaires, à qui elle a dû payer 60 millions de dollars.

Impact opérationnel

Lors d'une attaque sur la chaîne logicielle, des milliers de clients peuvent subir des perturbations ou l'arrêt de leurs systèmes, ce qui stoppe les opérations critiques et provoque des retards qui affectent ensuite d'autres fournisseurs. Citons deux exemples parmi les établissements touchés par les conséquences de l'attaque Kaseya. En Suède, un grand distributeur alimentaire a été contraint de fermer 800 magasins pendant un week-end entier et les chemins de fer nationaux ont aussi subi des perturbations. À l'autre bout du monde, 11 écoles et plus de 100 crèches en Nouvelle-Zélande ont également dû cesser toute opération en ligne et revenir au papier et crayon jusqu'à ce que l'incident soit résolu.

Perte de réputation

Un préjudice réputationnel public peut nuire à la confiance des clients et des actionnaires envers l'entreprise. La fidélité des fournisseurs et des clients, fruit d'années de travail, peut s'écorner. En mars 2023, le logiciel leader des communications d'entreprise 3CX a été compromis lorsque des pirates ont injecté un code malveillant dans l'application. Les données sensibles de plus de 600 000 clients ont été potentiellement exposées et l'entreprise a subi des mois durant l'attention négative des médias et des critiques publiques.

Où s'arrête la responsabilité ? Dette technique et responsabilité partagée

Les menaces sur la chaîne logicielle devraient se multiplier et s'aggraver. Il est donc impératif pour les entreprises de définir clairement les responsabilités et d'appliquer strictement les meilleures pratiques de sécurité à leurs fournisseurs tiers et à la sécurité de leur chaîne logicielle.

Qui est responsable de la sécurité des logiciels ?

Actuellement, de nombreuses entreprises n'ont aucun processus strict ni standardisé pour évaluer la sécurité des fournisseurs tiers. En outre, de nombreux clients et fournisseurs divergent sur l'entité responsable de la gestion de la sécurité des logiciels tiers.

Le rapport sur l'état de la cybersécurité en 2025 s'appuie sur des entreprises présentant différents niveaux de maturité en cybersécurité. Nous avons utilisé les résultats pour développer notre échelle de maturité de la cybersécurité. Cette échelle s'étend des entreprises les moins matures (niveaux 1 et 2) à celles disposant des capacités les plus avancées (niveau 4).

Cette étude fait ressortir que les entreprises les moins matures sont le plus souvent convaincues que le fournisseur de logiciel est seul responsable de la cybersécurité. Cependant, les entreprises les mieux préparées à la cybersécurité sont d'avis que les responsabilités sont partagées entre le fournisseur de logiciels et le client.

Comment se protéger des menaces sur la chaîne logicielle

La sécurité de la chaîne logicielle constitue un pilier essentiel d'une stratégie de cybersécurité exhaustive et proactive.

Pour renforcer la chaîne logicielle et la protéger des attaques, les entreprises doivent traiter tous les fournisseurs et composants tiers comme une extension de leur surface d'attaque globale. Nous vous proposons ici nos principales recommandations pour mieux prévenir les attaques sur la chaîne logicielle, et mieux détecter et traiter les menaces qui la visent.

1. Gestion rigoureuse des fournisseurs et évaluation des risques

Exercez votre devoir de vigilance avant de choisir un fournisseur de logiciels. Privilégiez ceux qui respectent les normes industrielles et ont publié leur stratégie de divulgation des vulnérabilités. Pour limiter les risques, le client et le fournisseur doivent réaliser régulièrement des audits, faire des revues de code et des évaluations proactives.

Notre étude montre que plus une entreprise est avancée en matière de cybersécurité, plus elle est susceptible d'exercer son devoir de vigilance dans l'évaluation de la cybersécurité de ses fournisseurs tiers. Elle va notamment :

Incorporer des questionnaires d'évaluation de la sécurité (SAQ) dans son évaluation.
Tenir compte des certifications de sécurité du fournisseur, comme ISO 27001 et SOC 2.
Passer en revue les normes de conformité propres au secteur.
S'assurer que le fournisseur dispose de plans et de processus de réponse aux incidents pour gérer les failles de sécurité.
Demander une nomenclature logicielle (SBOM) pour mieux comprendre les composants Open Source et tiers utilisés dans ses logiciels.

2. Surveillance en continu et remédiation proactive sur toutes les dépendances

Le secret, c'est d'utiliser des outils et processus automatisés de détection des menaces pour surveiller et évaluer tous vos composants logiciels. On oublie souvent les dépendances – surtout dans les composants logiciels Open Source –, qui représentent un risque majeur de vulnérabilités si elles ne sont pas régulièrement surveillées et mises à jour.

Les outils IA et d'automatisation peuvent fournir des informations en temps réel sur les périphériques, les applications et les performances réseau afin de remonter les problèmes potentiels. Les solutions de remédiation automatisée et d'autoréparation constituent des méthodes efficaces pour résoudre ces remontées pratiquement sans aucune intervention humaine.

3. Échanges réguliers avec les fournisseurs tiers

Le partage des responsabilités en matière de sécurité de la chaîne logicielle repose sur des échanges fréquents et ouverts entre les clients et les fournisseurs tiers. Les équipes Sécurité et IT doivent rester informées des mises à jour logicielles, des correctifs apportés aux vulnérabilités connues et de toute menace de sécurité émergente.

En savoir plus sur la sécurité de la chaîne logicielle

Vous voulez en savoir plus ? Lisez notre Rapport sur l'état de la cybersécurité en 2025 pour obtenir des conseils éclairés sur les menaces de cybersécurité les plus pressantes aujourd'hui et sur les stratégies de gestion proactive des risques.

Comment mettre en oeuvre une démarche d'évaluation quantitative des risques

Tue, 15 Apr 2025 13:50:58 Z

L'évaluation quantitative des risques offre une approche objective de l'analyse des risques. Cependant, comprendre les risques ne suffit pas. Cet article explique comment interpréter les résultats et comment les traduire en décisions pertinentes dans un environnement réel.

(Bien que l'article n'explique pas comment réaliser une analyse quantitative des risques, vous trouverez les détails de ce processus dans notre guide d'évaluation des risques axée sur les données.)

Comprendre la quantification des risques

Pour commencer, qu'est-ce que l'évaluation quantitative des risques ?

Qu'est-ce que la quantification des risques ?

L'évaluation quantitative des risques (parfois abrégée QRA) attribue une valeur monétaire à chaque cyber-risque selon son impact potentiel et sa probabilité de survenance. Elle pose la question suivante : Que nous coûtera un incident si cet actif est exposé via cette vulnérabilité ? Contrairement aux méthodes qualitatives qui classent les risques par gravité, l'approche quantitative fournit une image objective.

Pourquoi est-ce important ? L'évaluation qualitative des cyber-risques laisse souvent une large place à l'interprétation. En traduisant les risques en termes financiers (avec des données chiffrées en euros), on permet aux dirigeants extérieurs au département Sécurité de comprendre ce qu'est réellement un risque « élevé », en contexte.

Comment la quantification des risques s'inscrit-elle dans la stratégie de cybersécurité globale ?

La quantification des risques est un outil essentiel pour gérer l'exposition, mais ce n'est pas l'objectif final. Le but est plutôt de créer de bonnes bases pour prendre des décisions pertinentes sur la façon d'atténuer ces risques.

Supposons par exemple que vous souhaitiez présenter l'exposition aux risques posée par un fournisseur, vous allez dire « Ce fournisseur expose potentiellement l'entreprise à 1,5 million d'euros de dommages potentiels, car il utilise des communications Cloud non chiffrées ». Il devient alors bien plus facile de décider de la réponse apportée. Nous en reparlerons plus loin dans cet article.

Interprétation de l'analyse quantitative des risques : concepts clés

Pour interpréter correctement les résultats, il est crucial de maîtriser les concepts essentiels de l'analyse quantitative des risques :

Valeur des actifs (AV) : estimation monétaire de l'importance d'un actif.
Facteur d'exposition (EF) : pourcentage de la valeur de l'actif susceptible d'être compromis si le risque se matérialise.
Taux d'occurrence annualisé (ARO) : fréquence prévisible avec laquelle un risque pourrait survenir au cours d’une année. (Ce chiffre peut être inférieur à 1 pour les risques qui se manifestent moins d'une fois par an.)

Ces éléments servent à calculer des métriques fondamentales :

La perte simple estimée (SLE) : la perte financière lors d'un événement unique. Cette valeur se calcule avec la formule AV x EF.
La perte annuelle estimée (ALE) : les pertes financières annuelles que l'entreprise subirait si le risque se concrétisait. Cette valeur se calcule avec la formule SLE x ARO.
ALE résiduelle : les pertes financières annuelles si le risque se concrétisait après que des mesures d'atténuation aient été appliquées. Ces mesures réduisent l'EF, l'ARO ou les deux, mais le calcul reste identique.

Quelle est la métrique à prendre en compte pour l'analyse des risques ? C'est tout simplement l'ALE. Cet indicateur vous permettra de choisir la réponse adaptée aux risques. Toutefois, ce n'est pas un chiffre magique, car étant basé sur des estimations, il porte une part d'incertitude.

Les valeurs AV, EF et ARO sont toutes des estimations. Elles sont toutefois très proches de la réalité parce qu'elles reposent sur des études minutieuses. Le niveau de confiance que vous devez avoir en ces estimations est généralement représenté par un niveau de confiance (ex. : 80 %) suivi d'une liste d'inconnues.

Le moment de vérité : la réponse aux risques

Jusqu'ici, nous avons parlé de la façon d'interpréter une évaluation quantitative des risques. Il ne faut pas oublier que votre but ultime est de décider de la réponse que vous allez apporter face à un risque.

Les réponses aux risques peuvent être classées en quatre catégories : évitement, acceptation, transfert ou atténuation.

L'évitement

Pour éviter le risque, il faut éliminer totalement l'exposition. C'est la seule réponse qui réduit vraiment le risque à zéro. En pratique, cela implique d'arrêter le processus ou le système qui présente un risque.

L'évitement est une solution radicale, rarement applicable. Par exemple, vous pouvez éliminer entièrement le risque d'hameçonnage en cessant tout échange par e-mail externe. Si vous travaillez dans la sécurité nationale, cela peut effectivement valoir la peine. Pour les autres, cela entraînerait un arrêt brutal des activités de l'entreprise.

Votre analyse des risques peut encourager cette réponse dans deux situations : l'ALE est tellement extrême qu'aucune stratégie d'atténuation ne peut la réduire à un niveau acceptable, ou bien il existe une alternative 1:1 au processus ou au système qui présente un risque, et elle réduirait l'EF ou l'ARO à zéro.

L'acceptation

Accepter le risque c'est choisir de ne rien faire. Cela semble déraisonnable de prime abord, mais c'est une option à envisager sérieusement.

Il existe une situation très simple où la meilleure option consiste à accepter le risque : c'est le cas lorsque le coût de l'atténuation est supérieur à l'ALE résiduelle (ALE après atténuation). Les dépenses nécessaires pour protéger l'entreprise dépassent alors ce qu'elle risque de perdre.

Toutefois, l'acceptation peut se justifier dans des situations plus nuancées. C'est notamment le cas lorsqu'on prend en compte le coût d'opportunité de l'atténuation du risque, qu'il soit étroitement concentré sur l'équipe Sécurité ou qu'il concerne toute l'entreprise.

Aucune équipe de sécurité ne dispose de ressources illimitées. L'acceptation est un choix raisonnable (bien qu'inconfortable) si atténuer le risque implique de détourner des ressources qui pourraient servir à corriger une exposition plus inquiétante. C'est d'autant plus vrai lorsque la stratégie d'atténuation repose sur des processus manuels et chronophages. Il convient alors de se demander si des tâches plus importantes sont mises de côté pour apporter une réponse.

Il faut aussi s'intéresser au coût d'opportunité plus global : quelles opportunités l'entreprise devrait-elle sacrifier pour atténuer ou éviter le risque ? Autrement dit, l'acceptation devient pertinente si la valeur de l'opportunité dépasse l'ALE. Supposons par exemple que vous ouvriez un centre de données à l'étranger pour fournir des services Cloud sur un nouveau marché. Cela créera de nouveaux risques de sécurité, mais en contrepartie, ce centre de données constituera un avantage certain pour l'entreprise.

Le transfert

Transférer le risque signifie en confier la charge à une autre partie prenante, généralement l'assurance cybersécurité. En général, transférer le risque à l'assurance est une option lorsque cette assurance coûte moins cher que votre ALE... mais prenez garde à plusieurs choses.

D'abord, l'assurance couvre uniquement le coût financier d'un incident de sécurité. Cependant, les incidents de sécurité engendrent aussi des coûts juridiques et une perte de réputation. Si vous avez tenu compte de ces dommages pour calculer l'ALE et que vous leur avez attribué une valeur monétaire (dans l'idéal, c'est ce qu'il faut faire), vous devrez alors ventiler ce montant pour prendre uniquement en compte les coûts financiers immédiats. Transférer le risque s'avère judicieux si le risque financier est élevé, mais que les risques juridiques et réputationnels sont faibles.

Ensuite, l'assurance va sûrement vous imposer de mettre en place des contrôles de sécurité, et elle risque de ne plus vous couvrir en cas d'incidents récurrents. Vous devez par conséquent ajouter le coût de ces contrôles au coût de l'assurance, ce qui peut changer votre calcul. Cela signifie également que le transfert du risque à l'assurance ne peut être qu'une mesure temporaire pour les risques à fort ARO.

L'atténuation

L'atténuation est la réponse la plus proactive. Elle consiste à réduire votre exposition en appliquant des contrôles de sécurité, des correctifs de vulnérabilités, des corrections en cas d'erreur de configuration, etc.

L'atténuation ne supprime pas l'exposition. La seule façon d'y parvenir est d'éviter totalement le risque. Mais l'atténuation diminue les risques, car vous prenez des mesures pour réduire l'EF, l'ARO ou les deux. Vous pouvez alors calculer une nouvelle ALE, appelée ALE résiduelle.

En général, l'atténuation est la meilleure option si la différence entre l'ALE d'origine et l'ALE résiduelle dépasse le coût de l'atténuation.

Prise en compte de l'appétence au risque (ou comment gérer les cas limites)

Certains scénarios ne s’inscrivent pas dans ces catégories de manière évidente. Cela peut se produire dans des situations ambiguës, notamment lorsque la marge entre deux options est très mince ou bien lorsque le niveau d'incertitude est très élevé. Dans ces cas limites, l'appétence au risque peut servir de boussole en offrant un cadre qui vous aidera à interpréter cette analyse.

(Si votre entreprise n'a pas encore documenté son appétence au risque, vous pouvez utiliser comme point de départ ce modèle de déclaration d'appétence au risque personnalisable.)

L'appétence au risque est le niveau de risque qu'une entreprise est prête à accepter pour atteindre ses objectifs. Une appétence au risque élevée reflète une volonté d'accepter des risques plus importants dans le but d'en tirer des bénéfices supérieurs, tandis qu'une faible appétence au risque traduit une préférence pour la prudence. L'appétence au risque a plusieurs dimensions : vous pouvez accepter un risque opérationnel élevé mais avoir une faible appétence au risque de non-conformité.

Dans chacune de ces dimensions (risques de sécurité, risque de non-conformité, risque pour l'innovation, etc.), vous devez tenir compte de plusieurs facteurs essentiels :

La capacité de risque est le niveau maximal de risque que l'entreprise peut supporter. Elle dépend généralement des ressources financières, des capacités opérationnelles et des contraintes réglementaires.
La tolérance aux risques représente l'écart acceptable par rapport aux objectifs.
Les seuils de risque définissent les limites acceptables au-delà desquelles un changement de stratégie est nécessaire.

Le seuil qui sépare la tolérance de la capacité, ou même les différents degrés de tolérance, vous aide à clarifier les zones d'incertitude, là où la réponse la plus appropriée au risque n'est pas immédiatement évidente.

Transformer les résultats en actions efficaces

L'évaluation quantitative des risques n'est pas une fin en soi. Elle n'a de sens que si elle débouche sur des actions efficaces. Que vous choisissiez d'éviter le risque, de l'accepter, de le transférer ou de l'atténuer, l'objectif est le même : trouver le juste équilibre entre les risques de sécurité et les priorités stratégiques de l'entreprise pour transformer les résultats obtenus en actions.

Pourquoi votre équipe IT doit améliorer sa DEX (Expérience numérique des collaborateurs)

Mon, 24 Feb 2025 16:49:38 Z

Réédité avec l'autorisation de CIO.com

Les dirigeants d'entreprise et les responsables IT le savent : améliorer l'expérience numérique des collaborateurs (DEX) renforce la productivité et augmente la satisfaction des employés par rapport à leur entreprise. Mais une récente étude d'Ivanti révèle que, si peu d'entreprises en récoltent les fruits, c'est notamment parce que les professionnels IT n'ont ni le budget ni le savoir-faire opérationnel pour relever ce défi. L'équipe IT ne priorise pas la DEX pour les autres parce que la sienne n'est pas une priorité de l'entreprise.

Améliorer l'expérience numérique des collaborateurs apporte d'énormes avantages et les cadres dirigeants restent optimistes à ce sujet. Mais il existe un décalage quand il s'agit de son application pratique au sein des équipes IT. En effet, les professionnels IT restent extrêmement sceptiques, notamment parce qu'ils n'en tirent eux-mêmes aucun avantage. Leur perception est donc biaisée : dans l'étude Ivanti, presque deux tiers (60 %) d'entre eux pensent que « l'expérience numérique des collaborateurs est juste un concept à la mode, sans application pratique dans mon entreprise ». Il est clair que les responsables IT doivent s'atteler à ce que les équipes prennent conscience de tous les avantages de la DEX.

La difficulté de gérer la DEX sans bonnes pratiques, métriques et outils

Près de sept cadres sur dix (69 %) affirment que la DEX est une priorité essentielle ou importante dans leurs réponses à l'enquête d'Ivanti « Rapport 2024 sur la DEX : Appel à l'action des DSI ». C'est plus que les 61 % relevés l'an dernier. Pourtant, ce même document confirme que les meilleures pratiques DEX restent peu appliquées par et pour les équipes IT.

À peine la moitié des personnes interrogées par Ivanti indiquent que le département IT automatise les configurations de cybersécurité, surveille les performances des applications ou vérifie à distance que les systèmes d'exploitation sont à jour. Et moins de la moitié disent surveiller les performances des périphériques ou automatiser les tâches.

Ainsi, peu d'équipes IT investissent systématiquement dans des outils et pratiques DEX pour surveiller les interactions utilisateur, et répondre automatiquement aux problèmes émergents avant qu'ils ne perturbent la productivité et la satisfaction des collaborateurs.

Sans ces pratiques et outils, les professionnels IT eux-mêmes peinent à supporter le « frictions technologiques » au sein des services. Ils sont dépassés par le volume des problèmes en lien avec la DEX et freinés par des processus de résolution manuels. Et surtout, ils « avancent à l'aveugle » parce qu'ils ne disposent pas de données détaillées sur les problèmes qu'eux-mêmes et l'entreprise au sens large subissent.

Le manque de données DEX sape les objectifs d'amélioration

Ce manque de données crée un énorme angle mort, selon Daren Goeson, SVP of Product Management chez Ivanti. « Des données DEX précises mettent en lumière les vraies difficultés technologiques dont l'entreprise souffre, explique-t-il. Et elles permettent au département IT de connaître la cause première de ces problèmes de DEX. »

La plupart des départements IT manquent de métriques pour évaluer la DEX : ils n'ont ni score d'expérience numérique (48 % seulement les utilisent), ni analyse des périphériques et utilisateurs (42 %), ni délais de résolution des tickets (39 %). Sans indicateurs, impossible de connaître l'étendue, l'échelle et la gravité des problèmes en lien avec la DEX. Impossible aussi de prioriser les problèmes ou de mesurer les progrès par rapport aux objectifs DEX.

L'étude d'Ivanti montre l'étendue et le coût de ces problèmes chroniques et endémiques, et leurs conséquences :

En moyenne, les collaborateurs de bureau subissent chaque jour 4 incidents liés aux technologies, mauvaises performances d'une application ou d'un périphérique, lenteurs réseau, etc.
60 % des collaborateurs de bureau rapportent s'énerver à cause de leurs outils informatiques.
55 % affirment que leur expérience négative des technologies au travail affecte leur ressenti et leur moral.
Les cadres dirigeants sont plus nombreux (en pourcentage) que les autres professionnels IT à signaler une expérience numérique médiocre.

Une meilleure expérience numérique pour tous commence par celle de l'équipe IT

« Les responsables IT peuvent utiliser le département IT comme banc d'essai pour prouver l'efficacité d'une gestion proactive de la DEX », confie M. Goeson. Une DEX bien gérée et mesurée soulage l'équipe IT et renforce ses performances.

Comment améliorer la DEX des professionnels IT :

Assurez-vous que le personnel IT dispose des outils à jour nécessaires pour travailler partout. Près d'un professionnel IT sur quatre (23 %) constate que ses outils actuels sont moins efficaces pour travailler hors site.
Mettez en place des métriques DEX et dotez l'équipe IT des processus et outils de gestion DEX nécessaires pour surveiller, collecter, analyser et présenter ces données.
Déployez des processus d'automatisation et des bases de connaissances correctes pour accélérer la réponse du centre de support et la résolution des incidents.
Exploitez les capacités de l'IA et du Machine Learning (via des plateformes de gestion des terminaux et d'automatisation du centre de support) pour détecter les « signaux » dans les données, comme les tendances et les seuils de performances, avant qu'ils ne deviennent de vrais problèmes. Automatisez aussi les tâches de routine, comme l'installation d'un nouveau correctif ou la réparation d'une appli dont les performances se dégradent.
Priorisez l'automatisation des réponses du centre de support aux demandes de ticket de support à l'aide de portails en self-service, ou par des fonctions IA/Machine Learning de routage et d'analyse des demandes de tickets par téléphone et en ligne.

Conclusion

Les responsables IT peuvent prouver l'impact d'une DEX bien gérée et mesurée dans l'entreprise. Mais, pour cela, il faut commencer par optimiser la DEX du département IT.

Pour en savoir plus, consultez l'étude d'Ivanti « Rapport 2024 sur la DEX : Appel à l'action des DSI ».

Comment les responsables IT peuvent évaluer les allégations de sécurité « Secure by Design » des éditeurs de logiciels

Mon, 24 Feb 2025 16:49:33 Z

Réédité avec la permission de CIO.com

Ce n'est un secret pour personne : les cybermenaces se multiplient. Le coût de la cybercriminalité aux États-Unis a augmenté de 22 % l'an dernier pour dépasser les 12,5 milliards de dollars, d'après la plateforme de plainte pour cybermalveillance du FBI (Internet Crime Complaint Center). L'un des problèmes concerne les vulnérabilités logicielles persistantes dues aux approches traditionnelles de codage et de sécurité. Pour combattre ces risques, un effort concerté vise à créer des logiciels sécurisés dès leur conception. Par exemple, l'agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a défini une série de mesures permettant aux fournisseurs de prouver qu'ils adoptent les principes du Secure by Design.

Cependant, en l'absence de normes et de métriques contraignantes, il est difficile pour les responsables IT et Sécurité de savoir si et comment les fournisseurs mettent en pratique cette approche Secure by Design. Voici certaines des mesures que vous pouvez prendre.

Incorporer les pratiques Secure by Design dans l'évaluation des risques

L'évaluation des risques fournisseur est un processus standard : l'entreprise identifie et jauge les dangers associés aux produits et aux opérations d'un fournisseur. Selon Michael Riemer, Field Chief Information Security Officer chez Ivanti, les responsables IT et Sécurité peuvent s'en servir pour privilégier les principes et les pratiques Secure by Design.

« Pour nous, en tant qu'éditeur de logiciels, cela signifie assumer la pleine responsabilité de nos propres produits, explique M. Riemer. Il s'agit d'appréhender l'ensemble de l'architecture de la solution et de tenir compte de la sécurité dans toutes ses facettes, notamment la conception de l'architecture, le stockage, la connectivité, l'usage, etc. »

Dans le cadre de l'évaluation des risques, les entreprises doivent aussi envisager de demander un rapport SOC 2 Type 2. Une telle évaluation apporte des garanties supplémentaires sur les mesures prises par un fournisseur pour protéger les données et les informations des clients. Elle comprend un audit de cybersécurité tiers qui évalue dans le temps le fonctionnement des contrôles et pratiques de sécurité internes de l'éditeur.

Chaque fournisseur doit notamment pouvoir répondre aux questions suivantes :

À quelle fréquence effectuez-vous des tests d'intrusion ?
Quels types de tests d'intrusion menez-vous ?
L'analyse du code est-elle à la fois statique et dynamique ?

Évaluer les pratiques de codage

Traditionnellement, le codage est séquentiel : une équipe travaille sur un module, qu'elle transmet à la suivante, etc. Mais c'est ainsi qu'on conserve les faiblesses de conception dans le code source, d'après M. Riemer d'Ivanti. En restructurant vos effectifs en équipes POD (Product-Oriented Delivery), chacune avec son propre architecte de sécurité, il est possible d'éliminer en amont les faiblesses. Chez Ivanti, cela a marqué un tournant, selon M. Riemer. Les fournisseurs doivent pouvoir démontrer ces changements organisationnels et ces nouvelles pratiques.

Évaluer la transparence du Secure by Design

Les fournisseurs doivent pouvoir divulguer au grand jour leurs objectifs de Secure by Design et montrer qu'ils publient ou publieront régulièrement leurs métriques. Leurs clients, quant à eux, doivent être en mesure de suivre leurs progrès dans les modules logiciels.

« Nous avons établi des objectifs précis, défini des valeurs de référence et des métriques, et nous publierons chaque trimestre l'évolution de ces indicateurs à partir d'octobre 2024, poursuit M. Riemer. Nous devons rendre compte de nos progrès dans notre démarche Secure by Design. Ces métriques montreront les modules logiciels analysés, ainsi que la profondeur des analyses menées pour identifier et rectifier des pratiques de codage pas assez rigoureuses. »

Conclusion

Avec les principes du Secure by Design, les dirigeants d'entreprise et les responsables IT sont à même d'évaluer les progrès de leurs fournisseurs de logiciels dans la production d'un code plus sécurisé dès la conception. Le Secure by Design leur permet de limiter les risques pour leur entreprise.

La nécessaire alliance des DSI et RSSI pour améliorer la productivité et la sécurité des collaborateurs

Mon, 24 Feb 2025 16:49:29 Z

Réédité avec l'autorisation de CIO.com

Trop d'entreprises peinent encore à s'adapter aux exigences du travail flexible sans sacrifier la cybersécurité de l'entreprise. L'une des principales raisons, c'est que les DSI et les RSSI (responsables de la sécurité des systèmes d'information) n'ont pas toujours la même vision d'un cadre de travail motivant et sécurisé.

Les nécessités du travail flexible entraînent des changements, à la fois pour les équipes ITOps (opérations IT) et les équipes SecOps (opérations de sécurité). Pourtant, en pratique, IT et Sécurité travaillent souvent isolément, sans partager leurs connaissances, données, objectifs, priorités et pratiques. Les deux groupes se concentrant chacun sur ses propres priorités, les données sur la productivité et la sécurité des professionnels de l'information restent cloisonnées.

« D'après nos clients, pour les collaborateurs des équipes IT et Sécurité, il existe un alignement théorique, mais souvent uniquement parmi les cadres dirigeants, rapporte Corinna Fulton, Vice President Solutions Marketing chez Ivanti. Il ne se transmet pas aux deux services concernés dans les modèles de leadership, les processus, etc. Et, souvent, DSI et RSSI ne voient même pas cette disparité. »

Ce manque d'alignement des directions entraîne une mauvaise appréhension de l'expérience collaborateur. Le rapport d'Ivanti sur l'Everywhere Work en 2024 montre que 40 % des employés de bureau et 49 % des professionnels IT sont prêts à changer d'emploi pour gagner en flexibilité dans leur travail, ce qui prouve combien c'est important, surtout pour les plus jeunes. En outre, seuls 57 % des collaborateurs de bureau rapportent pouvoir facilement accéder à leurs outils s'ils devaient travailler de chez eux du jour au lendemain, alors que 90 % des dirigeants interrogés pensent que leurs collaborateurs disposent des outils dont ils ont besoin pour être productifs. Les responsables IT et Sécurité ont, à l'évidence, beaucoup à faire pour satisfaire les attentes de travail flexible des collaborateurs et des dirigeants de l'entreprise.

Sinon, leur manque d'alignement peut à la longue entraîner des mécontentements, des risques sécuritaires et une productivité médiocre. « En fin de compte, c'est le chiffre d'affaires qui en subit les conséquences, dit Mme Fulton. Ce que ni le DSI ni le RSSI ne souhaitent. »

Comment créer un partenariat efficace

Pour conjuguer les efforts de l'IT et de la Sécurité et mettre en place les conditions nécessaires aux performances et au travail flexible et sécurisé, les DSI et RSSI peuvent commencer par six actions :

Identifier les risques réels liés au travail flexible. En fonction de la tolérance au risque de l'entreprise, DSI et RSSI doivent préciser le niveau de risque acceptable, les moyens de le réduire au minimum et les possibles mesures d'atténuation communes. Cet accord servira de cadre pour aligner les objectifs de l'IT et de la Sécurité, selon Mme Fulton.
Établir un socle commun de normes et de métriques concrètes. Celles-ci peuvent servir à évaluer les risques du travail flexible. L'exemple de base est le « délai de résolution » qui mesure la durée entre l'identification d'un risque, par l'équipe Sécurité, et celui de sa résolution complète, par l'équipe IT. La mise en commun permet une réponse coordonnée et efficace.
Inventorier l'infrastructure de travail flexible. La gestion des actifs IT a changé : autrefois simple inventaire, elle est désormais un moteur de productivité et de sécurité, poursuit Mme Fulton. Quand vous savez ce que vous détenez, vous pouvez en connaître les vulnérabilités et agir pour réduire celles-ci.
Décloisonner les données. Une visibilité transversale des principales sources de données est vitale pour donner aux équipes IT et Sécurité accès au même ensemble de données sur la productivité et la sécurité des collaborateurs et les doter d'un cadre commun de compréhension. Lancez un programme en plusieurs phases pour accéder à ces données indispensables, mais cloisonnées.
Créer une feuille de route IT/Sécurité commune. Déterminez comment et quand implémenter les priorités et objectifs communs. Communiquez ensuite ces informations aux deux équipes pour les éclairer et garantir que tout le monde vise les mêmes objectifs.
Réfléchir aux conséquences sur les collaborateurs. Tenez compte de l'effet des stratégies IT et de sécurité sur les professionnels IT : coordonnez-les avec les besoins et les préférences des utilisateurs finaux pour optimiser la productivité de ceux-ci et la sécurité de l'entreprise.

Conclusion

Les DSI et les RSSI peuvent surmonter les obstacles à la productivité et à la sécurité par des mesures concrètes qui tracent le cadre stratégique et organisationnel de la collaboration entre leurs structures.

L'IA au secours du centre de support

Mon, 24 Feb 2025 16:49:25 Z

Réédité avec l'autorisation de CIO.com

La déferlante de tickets d'incidents menace les opérations du centre de support. Pourtant, le fonctionnement de nombreux centres repose encore sur les appels téléphoniques, des bases de connaissances obsolètes et des processus manuels. Avec les conséquences que l'on sait : énervement et burnout des collaborateurs, insatisfaction des utilisateurs finaux, et vulnérabilités de sécurité persistantes.

Les professionnels IT sont nombreux (56 %) à rapporter une augmentation des tickets du centre de support selon une récente enquête de l'éditeur de logiciels Ivanti. Ce phénomène s'explique notamment par la multiplication des déploiements logiciels, des problèmes de fiabilité du réseau, des incidents de sécurité/interruptions, et la généralisation du télétravail.

Des solutions anciennes pour des problèmes nouveaux

Aujourd'hui, si la charge est si lourde, c'est que les centres de support répondent toujours de la même façon aux mêmes questions et aux mêmes problèmes. La plupart du temps, le principal canal d'interaction avec les utilisateurs est le téléphone.

« En clair, les entreprises n'ont aucune base de connaissances viable et accessible à exploiter », développe Alan Taylor, Director of Product Management chez Ivanti, qui a géré des centres de support d'entreprise au tournant des années 1990 et 2000. « Piégé dans un cycle sans fin, on fouille en permanence les anciens tickets d'incidents incomplets ou mal documentés à la recherche d'une solution. »

L'aide de l'IA

L'IA peut améliorer de nombreuses opérations du centre de support. Pourtant, le rapport Ivanti sur l'Everywhere Work montre que seulement 40 % des personnes interrogées l'utilisent pour résoudre des tickets, 35 % pour gérer la base de connaissances, et 31 % pour orienter intelligemment les incidents. Avec l'IA, ces activités affectent positivement les opérations du centre de support et la satisfaction des utilisateurs finaux. Et selon M. Taylor, nul besoin d'une refonte des processus métier pour atteindre ces objectifs.

Une mise en œuvre graduelle de l'IA est la mieux à même de soulager les collaborateurs.

Commencer par un petit projet pilote. Par exemple, vous pouvez automatiser la réponse à une question fréquente ou le routage des tickets, afin de démontrer la valeur de l'IA sans chambouler les processus. À mesure que leur réussite est prouvée, ces projets pilotes peuvent être étendus.
Prioriser l'automatisation des tâches de routine. « L'IA peut avoir un fort impact dans ce domaine, constate M. Taylor. Utilisez-la pour automatiser des tâches simples mais répétitives, comme la classification, la priorisation et le routage des tickets. Vous réduisez ainsi les opérations manuelles et raccourcissez les délais de réponse. »
Former les analystes du centre de support. M. Taylor note que beaucoup d'entreprises parlent de l'IA et de ses avantages à haut niveau. « Mais cela se répercute rarement jusqu'aux analystes du centre de support qui prennent les appels des utilisateurs finaux. » Formez votre équipe aux outils d'IA. Assurez-vous qu'elle sait comment utiliser efficacement ces aides : vous soulagerez ses inquiétudes et stimulerez son engagement.

Des données de haute qualité avant tout

Une IA efficace exige des données de haute qualité. « Le principal problème des données de centre de support est, sans aucun doute, le fait que les résolutions sont insuffisamment documentées, remarque M. Taylor. Si cela est fait correctement en générant une documentation de qualité, on fournit des données exploitables aussi bien par l'homme que par l'intelligence artificielle. » Faire monter les collaborateurs du centre de support en compétences en les formant à la documentation des résolutions est une étape critique pour améliorer les opérations avec l'IA.

Les offres Ivanti d'automatisation des services incorporent l'IA et le Machine Learning. Ces technologies assurent une classification précise des tickets. L'IA peut ensuite router efficacement les problèmes pour une résolution plus rapide. Enfin, les logiciels Ivanti utilisent l'IA pour savoir où et comment les incidents s'accumulent, pour en découvrir les causes premières et pour permettre au centre de support d'élaborer une réponse systématique.

Conclusion

Les responsables IT ont enfin la possibilité d'affranchir leurs équipes de centre de support des tâches répétitives. Ils peuvent exploiter l'IA et le Machine Learning de manière tactique dans de petits projets qui allègent la charge de travail, améliorent la satisfaction des utilisateurs finaux et renforcent la confiance dans les capacités de l'IA. Avec une réserve : de la qualité des données en entrée dépend l'efficacité de l'IA.

Comprendre l'appétence au risque – Une composante essentielle de la gestion de l'exposition

Mon, 10 Feb 2025 14:44:03 Z

Le risque est inhérent à toute entreprise. Le facteur différenciateur entre les entreprises est la façon de le comprendre et de le gérer.

Défis opérationnels, volatilité des marchés, évolutions réglementaires ou bouleversements technologiques, les entreprises naviguent dans un environnement marqué par des incertitudes constantes, susceptibles d’engendrer des opportunités ou des pertes significatives.

Pour faire face à cette réalité, les entreprises doivent établir un cadre permettant de déterminer le niveau de risque qu'elles sont prêtes à assumer pour atteindre leurs objectifs stratégiques. C’est ici qu’entre en jeu le concept d'« appétence au risque ».

Mais pour bien définir cette appétence, l'entreprise doit identifier et comprendre tous les risques qui la menacent. De plus, pour les équipes Sécurité, la définition de l'appétence au risque de l'entreprise est une étape essentielle pour bien gérer l'exposition.

Qu'est-ce que l'appétence au risque ?

L’appétence au risque désigne le niveau de risque qu’une entreprise accepte de prendre pour atteindre ses objectifs. Elle agit comme une boussole, définissant les limites entre un risque calculé et un risque excessif. Une appétence au risque élevée implique une ouverture à prendre des risques importants avec l’espoir de bénéfices conséquents, tandis qu'une faible appétence privilégie une approche prudente, en minimisant les risques pour maintenir la stabilité.

Prenons l'exemple d'une startup technologique qui veut investir dans la recherche et le développement. Elle peut adopter une appétence au risque plus élevée pour favoriser une innovation disruptive malgré les incertitudes associées. À l’inverse, un grand groupe établi visera une croissance progressive, en évitant des projets trop risqués qui pourraient nuire à sa réputation ou son positionnement sur le marché.

Une approche quantitative et qualitative

L’appétence au risque ne se réduit pas à un chiffre. C’est une mesure dynamique, influencée par des facteurs tels que le secteur d’activité, la taille de l’entreprise, sa santé financière et l’environnement économique.

Elle combine à la fois des aspects quantitatifs et qualitatifs.

D'un côté, l'entreprise peut disposer d'éléments mesurables, comme le montant des pertes qu'elle est prête à tolérer, son taux d'endettement et le type de ROI (Retour sur investissement) qu'elle espère. Elle peut aussi tenir compte d'aspects subjectifs, comme l'effet potentiel sur sa réputation, des considérations éthiques et la façon dont ses décisions s'alignent sur ses valeurs.

Les 5 bénéfices clés de l'appétence au risque

Pour réussir, toute entreprise doit pouvoir prendre des risques calculés. Cependant, si l'appétence au risque n'est pas clairement définie, des prises de décision incohérentes, trop conservatrices ou excessivement risquées peuvent s'en suivre. La conséquence ? Des pertes d'opportunités ou de marchés. Voici pourquoi il est indispensable de définir l'appétence au risque :

Aligner stratégie et gestion des risques

Définir clairement l'appétence au risque crée un cadre stratégique qui aligne les pratiques de gestion des risques et les objectifs globaux de l'entreprise. Si l'entreprise sait quel niveau de risque elle est prête à accepter, elle peut cibler les opportunités qui correspondent à son appétence au risque tout en évitant celles trop dangereuses.

Faciliter la prise de décision

Définir l'appétence au risque permet aux managers et aux dirigeants de prendre des décisions éclairées, car ils comprennent mieux ce qui constitue un risque acceptable. Cela permet aussi de déterminer les attentes à la fois concernant la prise de risque et les comportements d'évitement du risque, dans toute l'entreprise. Les managers peuvent ainsi évaluer le rapport risques/bénéfices dans différents scénarios.

Renforcer la confiance des parties prenantes

Une appétence au risque bien définie rassure les investisseurs, les régulateurs, les collaborateurs et autres parties prenantes, car ils voient que l'entreprise priorise la gestion des risques. Cela prouve également une approche méthodique et fiable, qui vise l'équilibre entre risques et bénéfices, ce qui renforce la confiance des parties prenantes.

Assurer la cohérence

Lorsque tout le monde partage la même compréhension du risque acceptable, les efforts convergent. Ainsi, ils ont moins de risque de travailler à contre-courant ou même les uns contre les autres. Par exemple, le département juridique peut refuser la « Grande idée » de l'équipe Marketing si les deux services ne partagent pas la même notion du risque acceptable.

Superviser efficacement les risques

Lorsque l'entreprise définit son appétence au risque, elle peut mettre en place des systèmes pour surveiller le niveau de risque dans toutes ses activités, du département Finances au département Opérations. Ainsi, elle détecte très tôt les problèmes potentiels et garantit que ses activités restent dans les limites de ce qu'elle considère comme sûr ou du moins, acceptable. Définir et surveiller les indicateurs clés de risque (KRI) permet d'alerter les personnes concernées avant que les limites fixées ne soient franchies.

Comment une entreprise définit-elle son appétence au risque ?

En général, l'entreprise passe par la rédaction d'une déclaration d'appétence au risque (RAS). Les premières sections de la RAS présentent les objectifs stratégiques de l'entreprise et les risques qu'ils impliquent.

Une entreprise peut, par exemple, souhaiter devenir leader des fournisseurs de logiciels dans son secteur. Elle doit répertorier les objectifs stratégiques qui lui permettront d'y parvenir, ainsi que les risques associés. Par exemple, Ivanti travaille dans le secteur de la fourniture de solutions Cloud de gestion des services IT et de la sécurité. Par conséquent, nous sommes tenus de rédiger une déclaration d'appétence au risque qui catalogue tous les risques qu'implique ce secteur d'activité, et qui explique comment nous allons les gérer.

Voici un exemple qui pourrait figurer dans la déclaration d'appétence au risque d'un fournisseur de logiciels :

Appétence générale au risque

[Nom d'entreprise] adopte une approche équilibrée du risque. Elle reconnaît que tous les risques ne sont pas égaux, et qu'il faut accepter un certain niveau de risque pour atteindre les objectifs stratégiques fixés.

Risque lié à l'innovation Notre appétence au risque est élevée lorsqu'il s'agit d'investir dans des technologies de pointe et des solutions innovantes susceptibles d'offrir un avantage concurrentiel à nos produits. Nous reconnaissons que cela implique d'accepter un certain degré d'incertitude, notamment en matière de R&D et de développement produit.

Risque opérationnel Dans ce domaine, notre appétence au risque est faible à modérée. Tout en visant l'excellence opérationnelle, nous priorisons des initiatives qui optimisent l'efficacité et la qualité de service sans jamais compromettre nos standards.

Risque lié à la sécurité Notre appétence au risque est très faible en matière de menaces et de failles de sécurité. La sécurité réseau et la protection des données sont notre priorité absolue. Nous investissons d'ailleurs massivement pour protéger nos systèmes et les données de nos clients.

Risque lié à la conformité Notre appétence au risque est faible en matière de non-conformité aux obligations légales et réglementaires. Nous considérons qu'il est primordial de garantir l'application des lois, normes et meilleures pratiques en vigueur pour toutes les opérations.

Appétence générale au risque [Nom d'entreprise] adopte une approche équilibrée du risque. Elle reconnaît que tous les risques ne sont pas égaux, et qu'il faut accepter un certain niveau de risque pour atteindre les objectifs stratégiques fixés.
Risque lié à l'innovation	Notre appétence au risque est élevée lorsqu'il s'agit d'investir dans des technologies de pointe et des solutions innovantes susceptibles d'offrir un avantage concurrentiel à nos produits. Nous reconnaissons que cela implique d'accepter un certain degré d'incertitude, notamment en matière de R&D et de développement produit.
Risque opérationnel	Dans ce domaine, notre appétence au risque est faible à modérée. Tout en visant l'excellence opérationnelle, nous priorisons des initiatives qui optimisent l'efficacité et la qualité de service sans jamais compromettre nos standards.
Risque lié à la sécurité	Notre appétence au risque est très faible en matière de menaces et de failles de sécurité. La sécurité réseau et la protection des données sont notre priorité absolue. Nous investissons d'ailleurs massivement pour protéger nos systèmes et les données de nos clients.
Risque lié à la conformité	Notre appétence au risque est faible en matière de non-conformité aux obligations légales et réglementaires. Nous considérons qu'il est primordial de garantir l'application des lois, normes et meilleures pratiques en vigueur pour toutes les opérations.

La RAS doit définir les risques qui auraient le plus d'impact sur l'entreprise, et non pas les risques quotidiens qui font simplement partie de ses activités. Il faut tenir compte de plusieurs scénarios de risque. Par exemple, une stratégie spécifique peut entraîner des risques pour la chaîne d'approvisionnement, notamment les conséquences de dépendre d'un seul fournisseur ou les dangers d'exposition réglementaire si un fournisseur ne gère pas correctement les données client.

La déclaration RAS doit aussi fixer le niveau de risque financier que l'entreprise est prête à courir. Si ses objectifs incluent la sortie d'un nouveau produit ou service, il existe toujours un risque d'échec sur le marché.

Composants de l'appétence au risque

Voici les facteurs clés à prendre en compte pour définir l'appétence au risque :

Capacité de risque

C'est le niveau maximal de risque que l'entreprise peut supporter. Il dépend des ressources financières, des capacités opérationnelles et des contraintes réglementaires. Mais attention : la capacité diffère de l’appétence si l’entreprise choisit volontairement de prendre moins de risques qu’elle ne le pourrait.

Tolérance au risque

Alors que la capacité de risque est le niveau de risque que l'entreprise peut supporter, la tolérance au risque correspond à l'écart acceptable par rapport à l'objectif. On peut même définir une tolérance distincte pour chaque domaine. Par exemple, une entreprise peut être flexible sur le lancement d’un produit mais stricte sur la sécurité des données client.

Seuils de risque

Nous avons mentionné plus haut la surveillance des risques et les KRI, qui évitent à l'entreprise de franchir le seuil de risque, à savoir la « ligne rouge » qui représente trop de risque. Franchir un seuil de risque peut exiger un changement de plan, un renforcement des mesures de sécurité ou même un arrêt total des activités.

Pour aller plus loin : Rapport d'étude Ivanti Vers une vision commune : La gestion des cyber-risques par le ComEx

Pourquoi l'appétence au risque est-elle importante dans la gestion de l'exposition ?

Dans le passé, l'atténuation des risques numériques était une tâche bien plus simple qu'elle ne l'est aujourd'hui. En effet, la surface d'attaque des entreprises s'est énormément étendue au fil du temps. L'ajout de nouveaux périphériques et applications, utilisés par les collaborateurs dans une multitude de lieux, a transformé l'environnement de travail et élargi le paysage des menaces numériques.

C'est ce qui explique notamment pourquoi l'étude Ivanti conclut que plus de la moitié des professionnels IT doutent de leur capacité à stopper un incident de sécurité dommageable au cours des 12 prochains mois. Encore plus alarmant, 1/3 d'entre eux estiment qu'ils sont moins bien préparés à détecter les menaces et à répondre aux incidents qu'il y a un an.

Pendant longtemps, la gestion des vulnérabilités traditionnelle consistait à remédier aux vulnérabilités et autres CVE des logiciels et du matériel en effectuant des analyses ponctuelles. Mais ce modèle basé sur une approche réactive est dépassé face à l'évolution rapide des cybermenaces : c’est là qu’intervient la gestion moderne de l’exposition.

La gestion moderne de l'exposition consiste à détecter et éliminer en continu, proactivement, les risques et vulnérabilités sur l'ensemble de la surface d'attaque numérique, qu'ils soient dus à l'exposition des actifs IT, au manque de sécurité des postes client et des applications, aux ressources Cloud ou à d'autres facteurs. Pourquoi la gestion de l'exposition et l'appétence au risque sont-elles aussi étroitement liées ?

Évaluation de l'exposition en fonction des niveaux de risque acceptables : la gestion de l'exposition implique la quantification du niveau de risque associé à différentes expositions. En définissant le risque acceptable, l'entreprise peut comparer l'impact possible des différents risques avec son appétence au risque.
Déploiement de ressources basé sur les risques : les entreprises doivent prioriser les expositions qui représentent la plus grande menace pour leurs stratégies... une évaluation qui n'est possible que si elles connaissent précisément leur appétence au risque. Cette priorisation leur permet de concentrer leurs efforts sur l'atténuation des risques les plus critiques, souvent à l'aide d'un outil RBVM (Gestion des vulnérabilités basée sur les risques) avancé.
Ajustement de l'appétence au risque : face à l'évolution de l'environnement commercial ou l'émergence de nouveaux risques, il peut être nécessaire d'ajuster l'appétence au risque. Les données et insights que les entreprises obtiennent grâce à leurs pratiques de gestion de l'exposition les aident à prendre des décisions éclairées concernant ce type d'ajustement.
Garantie de conformité : des normes et réglementations précises imposent des exigences en matière de gestion des risques. Ces cadres réglementaires influencent directement l’appétence au risque d’une entreprise, qui doit s’assurer qu’elle reste conforme pour éviter sanctions ou pertes d’opportunités commerciales.

Pour aller plus loin : Rapport d'étude Ivanti Gestion de la surface d'attaque

La gestion de l'exposition, un changement de mentalité dans la gestion des risques

La gestion de l’exposition moderne ne se limite pas à éviter les risques à tout prix. Elle se concentre sur la création d’une tolérance calculée, adaptée aux objectifs stratégiques de l’organisation. Prenons un exemple simple : une entreprise de commerce en ligne pourrait être prête à courir un risque de cybersécurité légèrement accru pendant le Black Friday, car les bénéfices générés pendant cette période dépasseraient les impacts potentiels d’une attaque mineure.

Au lieu de considérer chaque risque comme une crise qu'il faut résoudre immédiatement, les entreprises doivent prioriser les risques en fonction de leurs besoins. Dans ce cadre, la plupart des risques ne sont pas graves : tout est une question de réaction à ces risques, de contrôle et d'atténuation pour les ramener à un niveau acceptable.

Tendances de la supply chain et de l’entrepôt en 2024 et au-delà

Thu, 21 Nov 2024 05:01:00 Z

La pandémie de COVID-19 a perturbé le secteur de la supply chain et exposé ses vulnérabilités. Pour accentuer cette pression, des défis encore plus complexes ont émergé : événements météorologiques extrêmes, climats géopolitiques complexes et avancées de l’IA.

L’étude d’Ivanti dévoile l’état du secteur, les recommandations des experts et les tendances à surveiller. Elle s’appuie sur des données recueillies auprès de dirigeants et de travailleurs à tous les niveaux de la supply chain.

Trop de travail, pas assez de bras

La pandémie a bouleversé les chaînes d’approvisionnement, entraînant une forte augmentation de la demande de main-d’œuvre dans ce secteur. Cette situation a conduit à une hausse des salaires ainsi qu’à l’introduction de primes à la signature. Maintenant que le marché s’est stabilisé, les entreprises ont mis fin à ces recrutements massifs et se concentrent désormais sur l’embauche de candidats très qualifiés et la rétention des meilleurs talents. Ce ralentissement des embauches accroît la pression sur les travailleurs qui doivent maintenir leur productivité malgré des ressources réduites et des équipes en sous-effectif.

Les travaux de recherche d’Ivanti révèlent que pour dépasser les objectifs de KPI, les entreprises encouragent leurs collaborateurs de différentes façons, notamment en instaurant des horaires flexibles ou en leur proposant de terminer leur journée plus tôt sans réduction de salaire s’ils ont fini leur travail (59 %) ; ou en proposant des primes/accélérateurs de rémunération (54 %). Selon les collaborateurs, ces avantages salariaux sont une source de motivation (88 %), tout particulièrement les primes/accélérateurs de rémunération (32 %).

Ces avantages bien qu’ils soient appréciés ne suffisent pas toujours. Alors que 90 % des professionnels de la supply chain disent être satisfaits de leur situation professionnelle actuelle, plus d’un quart d’entre eux (27 %) envisagent de quitter leur emploi dans les six mois à venir.

La solution existe déjà

Cette solution, bien entendu, c’est la technologie. En particulier, la technologie basée sur l’IA. Bien utilisée, la technologie peut augmenter les capacités et alléger la pression des équipes de supply chain, tout en maintenant, voire en améliorant, les résultats. Cependant, la plupart des entreprises hésitent à franchir le pas en raison de l’incertitude et des défis que cela représente.

L’étude d’Ivanti souligne un point essentiel : il est évident que la modernisation de l’entrepôt est aujourd’hui une nécessité pour les opérations et le recrutement, et plus particulièrement pour la nouvelle génération de professionnels de l’entrepôt.

Selon cette étude, 39 % des responsables considèrent que l’utilisation de nouvelles technologies et de périphériques modernes a un impact significatif sur le recrutement et la rétention des collaborateurs. Cette nouvelle génération de professionnels de l’entrepôt ayant grandi avec la technologie est non seulement habituée à l’utiliser au quotidien, mais s’attend très souvent à en disposer au travail. Ces attentes semblent récompensées : presque tous (94 %) les professionnels de la supply chain qui utilisent des technologies comme l’automatisation, les AMR (Robots mobiles autonomes) et l’IA pour leur travail considèrent que ces technologies les rendent plus productifs ou plus efficaces.

Le manque de main-d’œuvre et la pression qui en résulte figurent parmi les 3 principaux défis mentionnés par 31 % des professionnels. Pourtant, seulement 18 % des professionnels de la supply chain citent l’attraction et la fidélisation des collaborateurs comme le moyen ayant le plus d’impact sur l’amélioration de la distribution au sein des entrepôts. En comparaison, près du double (35 %) pensent que l’automatisation robotique est une bonne solution pour pallier le manque de main-d’œuvre dans l’entrepôt.

Pour les professionnels de l’entrepôt, il n’y a pas d’équivoque, même si leurs craintes de perdre leur emploi sont justifiées, ils veulent travailler dans un entrepôt moderne au côté des robots, en exploitant l’IA pour automatiser les tâches de routine et atteindre plus rapidement les KPI visés. Les solutions basées sur l’IA offrent aux professionnels flexibilité, indépendance et avancement de carrière. Pour l’employeur, ces solutions assurent une efficacité opérationnelle plus rationnelle, une plus grande productivité, des coûts réduits, un gain de temps et une meilleure satisfaction des collaborateurs.

Cybersécurité et IA dans l’entrepôt

Globalement, le secteur de la supply chain a été très lent à s’adapter au changement malgré tous les efforts du personnel et des responsables d’entrepôt. Ce n’est pas un problème de talent ou d’ambition, mais un problème d’infrastructure. Sans adaptation, le secteur n’aura pas la résilience nécessaire pour faire face aux menaces imminentes du paysage changeant de la cybersécurité.

La multiplication des périphériques IoT et des actifs connectés à Internet dans les entrepôts modernes a augmenté la vulnérabilité aux cyberattaques sophistiquées. En réalité, 32 % des professionnels de l’entrepôt interrogés pensent que l’ingénierie sociale est l’un des points d’entrée les plus courants pour les cyberattaques visant les entrepôts, à égalité avec les vulnérabilités logicielles (32 %), et juste devant les périphériques (19 %). Pourtant, d’après les responsables de supply chain, la cybersécurité est une priorité pour 58 % des entrepôts (seulement 13 % ne s’en préoccupent pas).

De plus, les responsables allouent la plus grande partie de leur budget à l’approvisionnement et aux achats (41 %), à la productivité de la main-d’œuvre (40 %), aux technologies d’automatisation (39 %) et à la réduction des coûts de fonctionnement (39 %). Toutefois, la cybersécurité est une menace qui pèse sur toutes ces catégories et aucun de ces éléments prioritaires ne fonctionnera correctement en cas de cyberattaque majeure. Cela met en lumière une nécessité urgente : les responsables de supply chain doivent prioriser la cybersécurité dans leur stratégie globale.

Formation des collaborateurs et gestion des terminaux

Les avancées en ingénierie sociale rendent inévitable une augmentation des erreurs humaines accidentelles. Un exemple inquiétant : 54 % des collaborateurs de bureau ne savaient pas que l’IA avancée pouvait contrefaire la voix d’une personne. Ce manque d’informations ouvre une voie royale aux pirates.

Bien que la formation et la sensibilisation constituent depuis des années la première ligne de défense, l’évolution rapide de l’IA nécessite l’actualisation constante des programmes de formation. Les responsables de supply chain doivent adopter une approche proactive face aux cybermenaces pour maintenir la résilience de la chaîne d’approvisionnement.

L’enquête révèle que 59 % des travailleurs ont bénéficié d’une formation en cybersécurité. Parmi eux, 86 % se sentent responsables de la protection de l’entrepôt contre les cyberattaques, et 90 % pratiquent une cyberhygiène proactive pour prévenir les cyberattaques. Même si c’est rassurant, les responsables d’entrepôt et de supply chain doivent adopter une approche de protection multicouche face aux cybermenaces afin de contrer l’évolution des menaces basées sur l’IA. Mais, cette statistique met aussi en évidence que 41 % des collaborateurs n’ont pas été formés en cybersécurité.

Ce manque de formation souligne la nécessité d’adopter des solutions de gestion unifiée des terminaux (UEM) capables de limiter ou de prévenir l’erreur humaine. Quels que soient le système d’exploitation ou l’emplacement géographique, l’UEM permet aux équipes IT et Sécurité de découvrir, gérer, configurer et sécuriser tous les périphériques de l’entrepôt depuis une interface centralisée. Les professionnels des opérations IT chargés du déploiement dans l’entrepôt peuvent imposer des mots de passe complexes, définir les protocoles d’accès aux systèmes (niveau d’accès minimal nécessaire, par exemple), exiger des logiciels de gestion des données, forcer les mises à jour et, dans le pire des cas, utiliser des fonctions de purge et de verrouillage forcés. De plus, l’UEM permettant d’avoir une bonne visibilité sur les applications installées sur les périphériques, il est possible d’installer des applications en mode push et de supprimer les applications indésirables.

Adopter la technologie et l’automatisation

Pour les travailleurs comme pour les responsables, deux éléments principaux peuvent améliorer les processus de distribution de l’entrepôt : 1) des technologies intuitives qui boostent la productivité tout en limitant les erreurs et le temps de formation, et 2) davantage de visibilité et de contrôle des workflows (ex., des produits d’automatisation comme les AMR, les outils de triage, etc.).

Pour les collaborateurs :

Plus de visibilité et de contrôle des workflows (ex., des produits d’automatisation comme les AMR, les outils de triage, etc.) (27 %).
Des technologies intuitives qui boostent la productivité tout en limitant les erreurs et le temps de formation (22 %).

Pour les responsables :

Des technologies intuitives qui boostent la productivité tout en limitant les erreurs et le temps de formation (27 %).
Plus de visibilité et de contrôle des workflows (produits d’automatisation comme les AMR, les outils de triage, etc.) (25 %).

Sur la base de ces éléments, la plupart des responsables (89 %) prévoient d’investir dans de nouvelles technologies de gestion des entrepôts ou de supply chain dans l’année à venir. Lorsqu’il s’agit de choisir une nouvelle technologie, le prix et la facilité de déploiement sont des critères de première importance. Pour 56 % des responsables, à la fois le prix et la facilité de déploiement sont très importants, suivis du niveau de sécurité de la solution (55 %).

Ces nouveaux investissements technologiques n’incluront pas forcément l’automatisation, car seulement 39 % des responsables en font une priorité budgétaire. 63 % des responsables déclarent avoir intégré l’automatisation à leur logistique/entrepôt, tandis que 20 % ne l’ont pas encore fait, mais prévoient de le faire dans les 24 prochains mois.

L’emballage (56 %) et le picking (53 %) sont les tâches les plus souvent automatisées dans l’entrepôt. C’est important, parce que cette automatisation libère les travailleurs, qui peuvent se concentrer sur des éléments de workflow de plus grande valeur et réaliser des tâches plus complexes. On constate une amélioration de la productivité globale de l’entrepôt et une diminution du nombre d’erreurs et du temps de formation.

Conclusion

Les goulets d’étranglement survenus dans la supply chain ces dix dernières années ont mis en lumière les défis du secteur et accentué la pression que subissent les travailleurs et less dirigeants. Investir dans des technologies qui aident les travailleurs à augmenter leurs revenus va permettre d’attirer et de retenir les meilleurs talents tout en générant des gains de productivité. Cependant, de nombreux responsables d’entrepôt ont du mal à franchir le pas, et les risques potentiels font souvent pencher la balance. Même s’il est évident que l’automatisation va payer à long terme, il faut d’abord éliminer plusieurs obstacles pour garantir que les investissements technologiques sont opérationnels et résilients face aux acteurs de la menace, aux inquiétudes environnementales, aux réticences des travailleurs et aux incertitudes géopolitiques.

Méthodologie

En 2024, Ivanti a mené une enquête auprès de 800 professionnels de la supply chain dans plusieurs pays, incluant les États-Unis, le Royaume-Uni, la France et l’Allemagne. Les personnes interrogées devaient travailler dans une supply chain, une usine de fabrication et/ou un entrepôt.

Cette enquête compile les réponses de :400 professionnels de la supply chain
- 100 par pays aux États-Unis, au Royaume-Uni, en France et en Allemagne
400 responsables de supply chain
- 100 par pays aux États-Unis, au Royaume-Uni, en France et en Allemagne

Profil des travailleurs

La plupart des travailleurs qui ont participé à cette étude travaillent dans un entrepôt (65 %) ou une usine de fabrication (17 %).
Ils occupent principalement des postes dans l’entrepôt (40 %), dans l’expédition et la réception (19 %), dans la manutention (13 %), dans l’approvisionnement (11 %) ou dans la préparation de commandes (10 %).
77 % des travailleurs occupent leur poste actuel depuis plus de 5 ans et même, pour 19 %, depuis plus de 15 ans.

Profil des responsables

La plupart des responsables qui ont participé à cette étude travaillent dans un entrepôt (67 %) ou un centre de distribution (23 %).
Le plus souvent, ils sont responsables de supply chain, d’entrepôt ou de centre de distribution (50 %), directeurs de supply chain (15 %), superviseurs de supply chain (14 %), ou responsables logistiques, opérationnels, d’approvisionnement ou d’infrastructure (13 %)
96 % des responsables occupent leur poste actuel depuis plus de 5 ans, dont 39 % depuis plus de 15 ans.

Meilleures pratiques de cybersécurité IA : un double défi

Thu, 17 Oct 2024 12:28:03 Z

L’intelligence artificielle montre déjà son potentiel pour transformer pratiquement tous les aspects de la sécurité… pour le meilleur comme pour le pire.

L’IA illustre parfaitement la proverbiale épée à double tranchant : un outil formidable pour créer de robustes cyberdéfenses, mais aussi une arme redoutable pour mettre celles-ci à bas.

Pourquoi la sécurité basée sur l’IA ou cyber IA est-elle importante ?

Les entreprises doivent à la fois comprendre les promesses de l’IA en cybersécurité et les problèmes sous-jacents. L’omniprésence de toutes les formes d’IA dans les entreprises du monde entier les force à s’interroger. Le sujet inquiète, car les acteurs malveillants s’en sont déjà saisis.

D'après McKinsey, un peu partout dans le monde et dans presque tous les secteurs, les entreprises ont massivement adopté l'IA – jusqu’ à 72 % s’en servent en 2024, contre environ 50 % les années précédentes. Mais leur complexité et leur énorme consommation font des systèmes IA une cible de choix pour les cyberattaques. Par exemple, des pirates peuvent discrètement manipuler les données d’entrée des systèmes IA afin de produire des résultats faux ou préjudiciables.

Une IA compromise peut avoir des conséquences catastrophiques : fuites de données, pertes financières, atteinte à la réputation et même blessures corporelles. Les possibilités d’utilisation abusive sont immenses, ce qui souligne l’impérieuse nécessité de mettre en place de robustes mesures de sécurité.

Selon une étude du World Economic Forum près de la moitié des dirigeants s'inquiète surtout de l’augmentation du niveau de risque des menaces comme l’hameçonnage qu’amène l’IA.
Le rapport d’Ivanti « Rapport 2024 sur la cybersecurité » confirme ces inquiétudes.

Malgré ces risques, le même rapport d’Ivanti montre que les professionnels IT et de sécurité sont majoritairement optimistes quant à l’impact de la cybersécurité basée sur l’IA. Près de la moitié (46 %) pensent que c’est un net avantage, tandis que 44 % pensent que son impact ne sera ni positif ni négatif.

En savoir plus : « État de la cybersécurité en 2024 : Points d'inflexion »

Cybermenaces IA potentielles

L’IA introduit de nouveaux vecteurs d’attaque qui exigent des défenses spécifiques. Citons-en quelques-uns :

Piratage de sites : les travaux de recherche montrent que le grand modèle de langage (LLM) OpenAI peut être utilisé comme agent de piratage pour attaquer des sites Web en autonomie. Les cyberescrocs n’ont besoin d’aucune compétence technique, il leur suffit de savoir écrire des instructions à l’IA pour qu’elle se charge « du sale travail ».
Empoisonnement de données : les pirates peuvent manipuler les données d’entraînement des modèles d’IA pour fausser leur fonctionnement. Ils peuvent ainsi injecter de faux points de données qui guident le modèle dans l’apprentissage de schémas incorrects ou qui donnent la priorité à des menaces inexistantes, ou encore qui modifient subtilement les points de données existants pour orienter le modèle d’IA vers des résultats favorables à l’attaquant.
Techniques d’évitement : l’IA peut servir à développer des techniques pour passer sous le radar des systèmes de sécurité, par exemple en créant des e-mails ou des malwares perçus comme inoffensifs par les humains, mais qui exploitent des vulnérabilités ou contournent les filtres de sécurité.
Ingénierie sociale sophistiquée : comme elle sait analyser de gros volumes de données, l’IA peut définir des cibles selon des critères, comme un historique de comportements vulnérables ou une tendance à tomber dans certains pièges. Elle peut alors automatiser et personnaliser une attaque grâce à des informations grappillées sur les réseaux sociaux ou des interactions précédentes, qui lui feront gagner en crédibilité et aideront à mieux tromper le destinataire. En outre, l’IA générative peut rédiger des messages d’hameçonnage sans faute de grammaire ni d’usage, d’apparence légitime.
Attaques par déni de service (DDoS) : l’IA peut servir à orchestrer des attaques DDoS à grande échelle, plus difficiles à parer. En analysant les configurations réseau, elle peut en détecter les vulnérabilités et gérer plus efficacement les botnets pour noyer un système sous le trafic.
Deepfakes : l’IA peut imiter de manière très convaincante l’apparence ou la voix de quelqu’un, ce qui ouvre la voie à des attaques par usurpation d’identité. Elle peut par exemple prendre la voix d’un haut dirigeant pour piéger ses collaborateurs et leur faire virer de l’argent sur des comptes frauduleux, partager des informations sensibles comme des mots de passe ou des codes d’accès, ou approuver des factures ou des transactions non autorisées. Si une entreprise utilise la reconnaissance vocale dans ses systèmes de sécurité, un deepfake bien conçu peut tromper ces garde-fous et ouvrir l’accès à des zones ou des données sécurisées. Une entreprise de Hong Kong s’est fait voler 26 millions de dollars par ce moyen.

L’une des menaces à bas bruit de l’IA est la complaisance. La dépendance excessive aux systèmes d’IA peut conduire à un relâchement dans leur surveillance et leur mise à jour. Pour protéger une entreprise des problèmes d’IA, la surveillance continue et la formation comptent parmi les mesures clés, et ce, que l’IA soit déployée pour la cybersécurité ou d’autres opérations. S’assurer que l’IA fonctionne au mieux des intérêts de l’entreprise exige une vigilance constante.

Voir : L'IA générative pour les équipes InfoSec et les pirates : ce que les équipes de sécurité doivent savoir.

Avantages de la cyber IA

Les solutions de cybersécurité intégrant l’IA bénéficient surtout aux entreprises sur les points suivants :

Une meilleure détection des menaces

L’IA excelle à identifier les schémas au sein d’énormes volumes de données afin d’y détecter les anomalies symptomatiques d’une attaque, avec une précision inédite. Là où des analystes humains seraient dépassés par le volume des données ou des alertes, l’IA détecte et répond en amont.

Meilleure réponse aux incidents

L’IA est capable d’automatiser les tâches de réponse aux incidents de routine. Elle réduit ainsi les délais de réponse et évite l’erreur humaine. En analysant l’historique, l’IA peut aussi prédire les vecteurs d’attaque potentiels pour que l’entreprise puisse renforcer ses défenses.

Évaluation et hiérarchisation des risques

L’IA peut évaluer le niveau de sécurité d’une entreprise, en identifiant les vulnérabilités et en priorisant les efforts de remédiation en fonction du niveau de risque. Cela permet d’optimiser l’allocation des ressources et de se concentrer sur les points critiques.

Remarques sur la sécurité des différents types d'IA

Les problèmes de sécurité associés à la CyberIA varient en fonction du type d'IA déployée.

En cas de déploiement d’une IA générative, il faut protéger en priorité les données d’entraînement, afin d’empêcher l’empoisonnement du modèle et de protéger les secrets commerciaux et industriels.

Dans le cas d’une IA faible, au périmètre limité comme les chatbots de support client, les systèmes de recommandation (comme celui de Netflix), les logiciels de reconnaissance d’images, et les robots de chaîne de montage ou chirurgicaux, l’entreprise doit donner la priorité à la sécurité des données, à la robustesse aux attaques adverses ou par exemples contradictoires et à l’explicabilité.

Une IA autonome forte, aussi appelée « AGI » ou « intelligence artificielle générale », est une projection et n’existe pas encore. Mais si elle se concrétise un jour, les entreprises devront se concentrer sur la protection des mécanismes de contrôle et la gestion des risques existentiels et éthiques.

Voir : Comment transformer l'ITSM avec l'IA générative

Derniers développements en cyber IA

L’évolution rapide de l’IA entraîne des progrès correspondants dans ses applications en cybersécurité, notamment ::

Modélisation des menaces de l'IA générative : les outils de cybersécurité intégrant l’IA peuvent simuler des scénarios d’attaque qui aident les entreprises à repérer et à corriger en amont les vulnérabilités.
Chasse aux menaces assistée par IA : l’IA peut analyser le trafic réseau et les journaux système pour y détecter les activités malveillantes et les menaces potentielles.
Réponse automatique aux incidents : les solutions de cybersécurité avec IA peuvent automatiser les tâches de routine de réponse aux incidents, comme l’isolement des systèmes infectés et la contention des menaces.
IA pour l'évaluation des vulnérabilités : l’IA peut analyser le code logiciel pour y détecter d’éventuelles vulnérabilités et permettre aux développeurs de créer des applications plus sécurisées.

Formation à la cyber IA

Investir dans la formation à la cybersécurité intégrant l’IA est indispensable pour apprendre à vos équipes à utiliser ces outils. De nombreuses plateformes en ligne et universités proposent des cours sur les différents aspects de la sécurité IA, des connaissances de base aux sujets les plus avancés.

Les grands fournisseurs en cybersécurité proposent un large éventail de cours et de formations pour faire monter votre équipe en compétences afin qu’elle tire le meilleur parti de votre plateforme.

Meilleures pratiques de cyber IA

Mettre l’IA en action pour la cybersécurité passe par une stratégie globale.

1. Définir des stratégies de gouvernance et de confidentialité des données

Dès le tout début du processus d’adoption, mettez en place des stratégies robustes de gouvernance des données couvrant l’anonymisation des données, le chiffrement, etc. Impliquez toutes les parties prenantes.

2. Imposer la transparence de l’IA

Développez ou utilisez sous licence des modèles d’IA capables d’expliquer clairement leurs décisions, au lieu d’utiliser des boîtes noires. Ainsi, les professionnels de la sécurité pourront comprendre comment l’IA arrive à ses conclusions et identifier les biais ou erreurs potentiels. Ces modèles transparents sont issus d’outils Fiddler AI, DarwinAI, H2O.ai et IBM Watson comme AI Fairness 360 et AI Explainability 360.

3. Insister sur une gestion rigoureuse des données

Les modèles d’IA dépendent de la qualité des données qui servent à leur entraînement. Veillez à utiliser des données diverses, exactes et à jour pour que votre IA puisse apprendre et identifier les menaces efficacement.
Imposez des mesures de sécurité robustes pour protéger les données d’entraînement et de fonctionnement du modèle d’IA, car certaines informations sont sensibles. Une faille pourrait exposer celles-ci, compromettre l’efficacité de l’IA ou introduire des vulnérabilités.
Prêtez attention aux biais possibles dans vos données d’entraînement. Un préjugé peut conduire l’IA à prioriser certains types de menaces ou à en ignorer d’autres. Surveillez et corrigez régulièrement les biais pour garantir que votre IA prend des décisions objectives.

En savoir plus : De l'importance d'avoir des données exactes pour tirer le meilleur parti de l'IA

4. Fournir aux modèles d'IA un entraînement par exemples contradictoires

Au cours de la phase d’entraînement, exposez vos modèles d’IA à des entrées malveillantes pour qu’ils reconnaissent et contrent les attaques contradictoires comme l’empoisonnement des données.

5. Implémenter une surveillance en continu

Mettez en place des systèmes de surveillance constante et de détection permanente des menaces pour identifier les biais et la dégradation des performances.
Utilisez des systèmes de détection des anomalies pour identifier tout comportement inhabituel dans vos modèles d’IA ou dans les flux de trafic réseau, afin de repérer les attaques potentielles par IA, notamment les tentatives de manipulation des données ou d’exploitation des vulnérabilités.
Actualisez régulièrement l’entraînement de vos modèles de cybersécurité IA avec de nouvelles données, et mettez les algorithmes à jour pour assurer leur efficacité contre les menaces qui ne cessent d’évoluer.

6. Garder l’humain dans la boucle

L’IA n’est pas infaillible. Maintenez une supervision humaine, avec des professionnels de la sécurité qui vérifient et valident les résultats de l’IA pour repérer ses éventuels biais, les faux positifs ou les résultats manipulés que l’IA pourrait générer.

7. Organiser des tests et des audits réguliers

Contrôlez régulièrement vos modèles d’IA à la recherche de vulnérabilités. Comme n’importe quel logiciel, les produits de cybersécurité intégrant l’IA peuvent comporter des faiblesses, que les pirates pourraient exploiter. Il est indispensable de leur appliquer rapidement des correctifs.
Les modèles d’IA peuvent produire de faux positifs et signaler des menaces inexistantes. Adoptez des stratégies pour limiter les faux positifs et éviter de submerger les équipes de sécurité d’alertes inutiles.
Testez fréquemment vos modèles d’IA pour identifier les éventuelles faiblesses exploitables. Les tests d’intrusion spécialement conçus pour les systèmes intégrant l’IA sont précieux.

8. Établir un plan de réponse aux incidents

Créez un plan complet de réponse aux incidents pour gérer efficacement les incidents de sécurité liés à l’IA.

9. Insister sur la formation et la sensibilisation des collaborateurs

Informez vos collaborateurs des risques associés à l’IA, et des ressorts de l’ingénierie sociale utilisés pour les manipuler et leur faire compromettre les systèmes IA ou la sécurité des données.
Organisez des exercices de Red Team (équipe d’attaque) qui simulent des offensives basées sur l’IA afin de tester votre niveau de sécurité et de détecter les points faibles que des pirates pourraient exploiter.
Collaborez avec des experts du secteur et des chercheurs en sécurité pour garder un temps d’avance sur les dernières menaces à base d’IA et les meilleures pratiques permettant de les contrer.

10. Mettre en place une gestion des risques liés à l’IA chez les tiers

Évaluez soigneusement les pratiques de sécurité des tiers fournisseurs d’IA. Est-ce qu’ils partagent les données avec d’autres parties ou utilisent des jeux de données publics ? Est-ce qu’ils appliquent les principes de sécurité dès la conception Secure by Design ?

11. Autres meilleures pratiques

Intégrez votre solution d’IA dans des flux de renseignement sur les menaces pour qu’elle incorpore ces données en temps réel et garde un temps d’avance sur les nouveaux vecteurs d’attaque.
Vérifiez que votre solution d’IA est conforme aux normes et réglementations en vigueur dans votre domaine. Certains secteurs ont des obligations strictes. Par exemple, dans les secteurs de l’automobile ou de la fabrication, l’IA doit respecter les normes ISO 26262 de sécurité fonctionnelle automobile, le RGPD (Règlement général de protection des données) pour la confidentialité des données, et les consignes du NIST (National Institute of Standards and Technology). Dans le secteur de la santé, l’IA doit respecter les normes HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis, le RGPD en Europe, et les réglementations de la FDA pour les dispositifs médicaux basés sur l’IA.
Suivez des mesures comme le taux de détection de menaces, les faux positifs et les délais de réponse. Vous connaîtrez ainsi l’efficacité de votre IA et les points à améliorer.

Trouver le bon équilibre pour réussir

Pour toutes les entreprises qui se lancent dans ces nouveaux territoires de la cybersécurité intégrant l’IA, la voie à suivre est une approche équilibrée. Exploitez les nombreux atouts de l’IA, mais restez vigilant quant à ses limitations et ses vulnérabilités potentielles.

Comme toute technologie, l’IA n’est ni bonne ni mauvaise par nature, mais elle est utilisée aussi bien par des acteurs honnêtes que d’autres, malhonnêtes. Considérez l’IA comme tout autre outil : sachez apprécier son aide, mais méfiez-vous de son potentiel de nuisance.

Lire : Position d'Ivanti concernant l'intelligence artificielle

Comment l'EASM découvre les vulnérabilités de votre surface d'attaque

Fri, 11 Oct 2024 13:26:38 Z

À de rares exceptions près, toutes les entreprises, quelle que soit leur taille, dépendent d'Internet. Impossible pour elles de faire l'impasse sur la gestion et la protection de la surface d'attaque qu'elles présentent au monde.

Qu'est-ce que la surface d'attaque externe ? Il s'agit de tous les points d'entrée – les sites et applications Web, les API, jusqu'aux points d'accès distant et aux services Cloud – qu'une personne non autorisée pourrait utiliser pour accéder à l'environnement IT de l'entreprise.

L'ampleur de la surface d'attaque dépend de la nature de l'entreprise et de l'étendue de son empreinte numérique. Le passage au Cloud et la profusion des nouveaux points de contact numériques ont décuplé la surface d'attaque externe de la plupart des entreprises.

La gestion de la surface d'attaque externe ou EASM (External attack surface management) est primordiale pour renforcer la sécurité de l'entreprise et réduire ses risques. Or sans visibilité, pas de protection : les outils EASM identifient, classent et surveillent tous les actifs de l'entreprise connectés à Internet pour bien appréhender la surface d'attaque externet.

Ainsi, ils fournissent aux équipes Cybersécurité le renseignement nécessaire pour combler les failles de sécurité et anticiper les actions de protection contre les menaces.

En savoir plus : Qu'est-ce qu'une surface d'attaque ?

Pourquoi adopter l'EASM ?

De plus en plus d'entreprises se tournent vers les solutions EASM. Leurs motivations sont multiples, mais certains fiascos retentissants n'y sont pas étrangers.

Prenons un exemple. L'attaque WannaCry de 2017 a exploité la vulnérabilité EternalBlue de Microsoft Windows : les fichiers d'environ 230 000 ordinateurs dans le monde entier sont chiffrés ; les pirates réclament des rançons en Bitcoins à leurs principales victimes comme Telefónica. Une gestion de la surface d'attaque externe digne de ce nom aurait pu identifier et corriger cette faille pour éviter de telles violations de sécurité.

Bref tour d'horizon des arguments en faveur de l'adoption de l'EASM :

Multiplication des menaces de cybersécurité : la situation a bien évolué depuis WannaCry. Les menaces sont omniprésentes et plus sophistiquées, et les cybercriminels s'adaptent et exploitent les vulnérabilités du contrôle d'accès. Les solutions EASM aident les entreprises à réduire ces risques grâce à une surveillance en continu qui permet de répondre en amont à toute activité suspecte.
Environnements IT de plus en plus complexes : systèmes sur site, services Cloud, périphériques mobiles et même, depuis la pandémie, les équipements personnels (BYOD)… la sécurisation des actifs d'environnements aussi divers dans le respect de la conformité s'avère complexe sans une solution EASM de découverte rapide et fiable.
Obligations de conformité réglementaire : ces exigences, principalement centrées sur la confidentialité et la sécurité des données, deviennent draconiennes. Il est difficile de se mettre en conformité avec la réglementation – RGPD, HIPAA – et d'autres règles – PCI DSS – qui imposent des contrôles d'accès stricts, et la découverte et l'inventaire des actifs. Les solutions EASM fournissent des outils qui facilitent le travail des chargés d'audit.
Augmentation du risque tiers : de nombreuses entreprises recourent à des fournisseurs et prestataires externes, créant par là des risques de sécurité supplémentaires. Les solutions EASM permettent d'évaluer et de gérer la posture de sécurité des tiers, de surveiller leur surface d'attaque externe, et de garantir la conformité avec les normes et réglementations de sécurité.
Hameçonnage et attaques par ingénierie sociale : les pirates emploient souvent ces techniques pour exploiter les vulnérabilités externes. Les solutions EASM permettent aux entreprises de surveiller les domaines d'hameçonnage, d'identifier les usurpations de sites Web, et de détecter les attaques potentielles visant leurs collaborateurs et leurs clients.

En savoir plus : 8 meilleures pratiques pour réduire la surface d'attaque de votre entreprise

L'essence de l'EASM

La gestion de la surface d'attaque externe repose sur l'anticipation des menaces, alors que les mesures de sécurité classiques viennent en réaction aux violations. L'EASM vise à bloquer en amont les accès non autorisés à l'aide d'outils avancés pour analyser en continu la surface d'attaque externe à la recherche de vulnérabilités.

La démarche de l'EASM se distingue de l'intégration d'un produit de sécurité réseau ou client, qui se déploie dans les environnements dont la majeure partie est connue. Avec la gestion de la surface d'attaque externe, c'est le contraire : le principal cas d'usage consiste à découvrir et à en savoir plus sur ce qui n'est pas connu.

L'EASM est un processus continu. L'empreinte numérique d'une entreprise évolue sans cesse, avec l'ajout de nouveaux services et la mise au rebut des anciens et de par la nature dynamique des actifs tournés vers Internet. De plus, la surface d'attaque externe fluctue, ce qui appelle des mises à jour permanentes de la gestion et de la sécurité.

Comment l'EASM réduit votre surface d'attaque

La première étape consiste à identifier les actifs tournés vers l'extérieur. Par exemple, une solution EASM performante explore Internet pour les trouver dès qu'un utilisateur entre un nom de domaine germe.

Notez que l'on parle bien d'exploration, pas d'analyse. Cette dernière nécessite en effet une connexion et une authentification pour découvrir les actifs. Dans le cas de l'EASM, l'outil cible tous les actifs et les données disponibles publiquement.

Lorsque vous utilisez ce domaine germe en entrée, l'outil EASM effectue une découverte latérale et des sous-domaines, à l'aide de sources ouvertes, comme DNS, WHOIS, les journaux CT (Certificate Transparency), les communiqués de presse, les publications sur les réseaux sociaux, les articles de presse, les billets de blog et l'IP ASN. Vous obtenez ainsi un inventaire exhaustif des actifs exposés à l'Internet public, quels que soient le réseau, le fournisseur Cloud ou le compte hébergeur.

Ce graphique montre trois grandes catégories d'actifs, triées par visibilité et exposition.

La zone de sécurité, en bas à gauche, correspond aux situations où une entreprise sait qu'un actif existe, sans savoir s'il est vraiment exposé. On y trouve les domaines et sous-domaines officiels, les certificats valides, etc.
La zone suivante est plus trouble : elle correspond aux cas où l'entreprise peut savoir qu'un actif existe mais pas s'il est exposé, comme pour les IP sur liste de blocage ou les instances SSH exposées.
La zone de danger indique les situations où l'entreprise n'est pas consciente de l'existence d'un actif et n'a donc aucune idée de son exposition. On y trouve les environnements de développement et les actifs fantômes ou Shadow IT.

Une bonne solution EASM assure une visibilité rapide et complète de tous ces actifs et renseigne sur leur vulnérabilité potentielle. Elle est capable de repérer les vulnérabilités connues (CVE) publiées dans la base NVD, ainsi que les ports ouverts, de nombreuses versions des logiciels, les erreurs courantes de configuration, les informations d'authentification par défaut utilisées telles quelles, les clés secrètes, les ASN, les frameworks de programmation, etc.

Si l'éditeur de la solution de gestion de la surface d'attaque externe gère une base de données de renseignement sur les menaces, celle-ci servira à déterminer les expositions critiques qui représentent le plus grand danger pour l'entreprise, et à les signaler à l'utilisateur.

En savoir plus : Comment identifier la surface d'attaque de votre entreprise

Avantages de l'EASM

L'implémentation d'une stratégie et d'une solution EASM efficaces offre de nombreux avantages :

Cybersécurité renforcée

La gestion de la surface d'attaque externe réduit sensiblement les risques de fuites de données, préservant ainsi les informations sensibles et la confiance des clients. L'entreprise évite ainsi les coûts et la perte de réputation associés à ces fuites.

Meilleure conformité

Face à l'accumulation de normes réglementaires et sectorielles (PCI, HIPAA, RGPD, etc.), les éclairages que l'EASM fournit permettent de détecter tout défaut de conformité. Par exemple, connaître la géolocalisation des actifs permet à l'entreprise de garantir le respect des réglementations en vigueur dans la région concernée.

Opérations de sécurité rationalisées

L'EASM peut rationaliser et optimiser les opérations de sécurité : la vue d'ensemble claire et concise des vulnérabilités externes de l'entreprise permet de mieux cibler des opérations de sécurité plus efficaces.

Gestion des risques tiers

Les entreprises travaillent souvent avec tout un écosystème de tiers – fournisseurs, partenaires, sous-traitants et consultants. Une solution EASM peut fournir des informations sur les risques liés à la supply chain pour toute menace dans le contexte de la sécurité propre de l'entreprise.

Meilleure évaluation des fournisseurs

Avant d'intégrer un fournisseur, la solution EASM sert à se renseigner discrètement sur les risques de cybersécurité auxquels ce partenaire est exposé. L'extension de ce cas d'usage permet de remplir ses obligations de vigilance dans le cadre des fusions et acquisitions.

Voir la solution en action : Ivanti Neurons for EASM

Migration vers le Cloud : libérez le plein potentiel de votre solution de gestion unifiée des terminaux

Tue, 08 Oct 2024 14:30:56 Z

Quand on cherche à comprendre les difficultés qu'affrontent les équipes IT modernes pour gérer des postes client hétérogènes, un mot revient sans cesse : prolifération.

Les entreprises font face à un écosystème de périphériques réseau, d'outils et d'actifs qui s'étend rapidement. Qui plus est, certains de ces éléments sont tellement cachés que l'équipe IT ne sait même pas qu'ils existent. Cette expansion de la surface d'attaque est l'une des raisons pour lesquelles, lors d'une récente étude d'Ivanti, plus de la moitié des professionnels IT interrogés ont avoué ne pas avoir être sûrs de pouvoir stopper un incident de sécurité dans les 12 prochains mois.

Tout aussi inquiétant : plus d’un tiers déclarent être moins bien préparés à détecter les menaces et à répondre aux incidents qu'il y a un an.

Cette situation exige de nouveaux outils et méthodes comme la gestion unifiée des terminaux (UEM), une approche globale qui simplifie la gestion IT, renforce la sécurité et transforme l'expérience numérique des collaborateurs (DEX).

Comme de nombreuses solutions avant elle, l'UEM a été poussée à migrer vers le Cloud. Implémentée correctement, l'UEM Cloud rationalise les opérations IT de l'entreprise, renforce son niveau de sécurité et donne à ses collaborateurs un accès transparent aux ressources.

Dans ce billet de blog, nous explorons les principaux facteurs, stratégies et meilleures pratiques qu'implique un parcours réussi de migration UEM vers le Cloud.

UEM Cloud ou UEM on-premise ?

Pour leurs solutions UEM, les entreprises ont le choix entre le modèle Cloud et le modèle on-premise. L'UEM Cloud réduit les besoins d'infrastructure IT interne, ce qui se traduit par des économies de coûts, une évolutivité et un accès à distance.

À l'inverse, l'UEM on-premise permet davantage de personnalisation et une meilleure intégration avec les systèmes existants. Elle exige toutefois des investissements significatifs en matériel et en personnel IT, et n’offre pas toujours la flexibilité des solutions Cloud. La décision doit tenir compte des besoins spécifiques de l'entreprise, de son budget et de ses capacités IT, pour garantir que le modèle choisi s'aligne sur les objectifs à long terme.

Risques liés à l'UEM on-premise

Même si les solutions UEM on-premise procurent un sentiment de contrôle et de confidentialité, elles présentent plusieurs inconvénients qui peuvent empêcher l'entreprise de profiter de tous les avantages qu'elle en espère.

Le matériel, les logiciels et le support en continu nécessaires à l'UEM on-premise génèrent des coûts importants. Les entreprises doivent investir dans des serveurs, des systèmes de stockage et une infrastructure réseau, mais également acheter et tenir à jour des licences logicielles. De plus, il faut un personnel IT dédié à la gestion et à la maintenance de la solution, ce qui s'ajoute aux frais de fonctionnement.
La sécurité est primordiale pour les solutions UEM on-premise. Leur maintenance exige des mises à jour régulières et des ressources importantes, notamment des mesures de cybersécurité et de sécurité physique pour interdire tout accès non autorisé, ce qui représente des efforts longs et coûteux.
Les solutions UEM on-premise ne disposent pas de l'évolutivité et de la flexibilité des alternatives Cloud. Lorsque l'entreprise s'agrandit ou évolue, ses besoins UEM peuvent changer. Mais mettre à l'échelle une solution UEM on-premise peut s'avérer complexe, très gourmand en ressources et nécessiter des investissements supplémentaires en matériel et en logiciels. De même, adapter la solution pour qu'elle prenne en charge de nouveaux périphériques ou systèmes d'exploitation peut s’avérer difficile et très long.
La perte de données constitue l'un des principaux risques associés aux solutions UEM on-premise, que ce soit en raison de défaillances matérielles, de catastrophes naturelles ou d'erreurs humaines. Les entreprises doivent mettre en place de solides stratégies de sauvegarde et de récupération des données pour limiter ce risque, ce qui rend l'infrastructure UEM globale encore plus complexe et coûteuse.

Avantages du Cloud

La migration de votre solution UEM vers le Cloud vous procure toute une série d'avantages, qui transforment la gestion IT et améliorent l'expérience numérique des collaborateurs (DEX).

Optimisation des coûts : avec l'adoption du Cloud, plus besoin d’une infrastructure on-premise étendue, ce qui réduit les coûts de matériel et de maintenance. Avec les modèles Cloud basés sur un abonnement, les entreprises paient uniquement pour les ressources qu'elles utilisent, optimisant ainsi leur budget IT et libérant du capital pour les projets stratégiques.
Sécurité renforcée : les solutions UEM Cloud offrent une sécurité robuste pour protéger les données et les périphériques sensibles. Des mises à jour et des correctifs réguliers garantissent une protection contre les menaces les plus récentes. La gestion centralisée permet de mettre en place des stratégies de sécurité homogènes sur tous les postes client, afin de réduire les vulnérabilités et d'assurer la conformité.
Évolutivité transparente : l'évolutivité native du Cloud permet à la solution de suivre votre activité. Le provisionnement/déprovisionnement des périphériques étant simplifié, vous pouvez vous adapter à l'évolution des besoins sans être freiné par votre infrastructure.
Amélioration de la collaboration et de la flexibilité : le Cloud permet une collaboration transparente entre les équipes et les différents périphériques, quel que soit leur emplacement ou leur système d'exploitation. Les collaborateurs peuvent, en toute sécurité, consulter et échanger des données depuis n'importe quel emplacement, ce qui améliore la productivité et la flexibilité.
Implémentation rapide et moins complexe : les solutions UEM Cloud sont plus rapides à implémenter que leur équivalent on-premise. Avec un minimum d'infrastructure, les entreprises sont rapidement opérationnelles, ce qui simplifie la gestion IT.

Avec un UEM Cloud, vous bénéficiez d'un accès constant aux avancées technologiques et restez à la pointe de l'innovation. Les avantages sont clairs : des résultats commerciaux en hausse et une meilleure expérience numérique pour vos collaborateurs.

Pour aller plus loin : Découvrez ce que Conair a gagné en migrant vers un UEM Cloud

La migration vers l'UEM Cloud n'est pas forcément douloureuse

La migration de votre solution UEM vers le Cloud peut se faire sans difficultés.

Voici une vue d'ensemble des étapes à suivre pour réussir la migration vers le Cloud. Ces étapes tiennent compte à la fois de l'aspect technique et du facteur humain :

1. Évaluation et planification initiales

Évaluez votre installation UEM actuelle, en identifiant les périphériques, les utilisateurs et les applications.
Définissez les fonctions UEM Cloud nécessaires à l'évolutivité, aux mises à jour et à la sécurité.
Assurez-vous que la migration répond à vos normes de sécurité et aux réglementations.

2. Choix d'un fournisseur d'UEM Cloud

Faites des recherches sur les fournisseurs potentiels pour connaître leur capacité de sécurité, d'évolutivité, d'intégration et de support.

3. Sauvegarde des données et préparation de la migration

Sauvegardez les données critiques, y compris les paramètres des périphériques, avant la migration.

Cataloguez tous les périphériques et applis pour garantir une migration exhaustive ; veillez à découvrir et à inclure tous les éléments cachés, notamment les périphériques BYOD non gérés.

4. Migration par phases

Commencez par une phase pilote avec un petit groupe, pour résoudre les problèmes.
Ensuite, déployez graduellement la solution UEM Cloud à plus grande échelle, en surveillant sa progression et en résolvant les problèmes.

5. Enrôlement et configuration des postes client

Utilisez l'automatisation pour enrôler facilement les périphériques dans votre solution UEM Cloud.
Ajustez les stratégies de gestion des terminaux et de sécurité pour les adapter au nouveau système.

6. Sécurité et surveillance en continu

Implémentez des mesures de sécurité fortes et une surveillance en continu à l'aide d'outils natifs Cloud.

7. Réglage après migration

Évaluez les performances pour garantir que tous les périphériques sont opérationnels.
Utilisez l'automatisation pour des mises à jour et une maintenance régulières.

Si vous choisissez le bon partenaire, ce processus peut être fluide et facile, car il apportera l'expérience nécessaire pour soutenir la migration de votre solution UEM. Il vous aidera à évaluer votre environnement actuel, à élaborer un plan de migration et à exécuter votre migration avec un minimum de perturbations.

Un bon partenaire continue à vous accompagner après la migration. Il vous aide en s'assurant que votre solution UEM s'exécute de façon sûre et efficace dans le Cloud. Il doit proposer des services complets incluant l'évaluation, la planification, la migration et un support constant, reposant sur des méthodologies éprouvées. Autant de services délivrés par des ingénieurs certifiés ayant une expérience de la migration de UEM et grande expertise du sujet.

Vous profiterez ainsi de tous les avantages du Cloud, sans les difficultés inhérentes au choix d'un mauvais partenaire ou à une migration réalisée avec vos propres moyens.

Licences nommées ou licences simultanées : quel modèle pour votre entreprise ?

Wed, 25 Sep 2024 06:58:47 Z

Lorsqu'on achète une solution ITSM, il est nécessaire de bien comprendre les différentes options de licence et leur impact sur les performances et le budget de l'entreprise.

Si beaucoup de solutions sur abonnement ne proposent que des licences nominatives, d'autres offrent également le modèle plus souple d'octroi de licences simultanées. Les deux modes ont leurs propres avantages et sont adaptés à différentes situations.

Le modèle le plus courant des solutions SaaS, les licences nominatives, s'avère très onéreux dans certains cas. Pour offrir davantage de flexibilité à leurs clients, des éditeurs de logiciels proposent aussi des licences simultanées.

Qu'est-ce qu'une licence nominative ?

Les licences nominatives, également dites « fixes » ou « nommées », sont affectées individuellement aux personnes qui prévoient d'utiliser le système. Une fois la licence octroyée à une personne, seule celle-ci peut s'en servir pour accéder à l'application. La licence est considérée comme utilisée (consommée), que la personne exécute le logiciel ou non. Ce type de licence est associé à l'identité de l'utilisateur par un nom d'utilisateur ou un ID unique.

Les licences ainsi affectées à des utilisateurs précis, les éditeurs logiciels contrôlent qui a accès à leurs applications et interdisent toute utilisation non autorisée. Ce niveau de supervision aide à maîtriser le budget et les achats de logiciels, et à garantir une utilisation conforme à la licence octroyée.

Les licences nominatives sont simples et faciles à gérer dans les entreprises ayant une base d'utilisateurs bien définie. Un tel registre clair de l'utilisation des logiciels simplifie la gestion des licences et garantit le respect des contrats de licence logicielle.

Avantages des licences nominatives

Les licences nominatives présentent divers avantages qui en font la solution idéale dans des situations spécifiques.

Personnalisation et sécurité : la licence étant liée à un utilisateur spécifique, elle est personnalisable en fonction du rôle de celui-ci et de ses besoins au sein de l'entreprise. Il y a ainsi un niveau de sécurité supplémentaire, car seuls les utilisateurs inscrits peuvent accéder au logiciel.
Simplicité de gestion : chaque licence étant associée à un utilisateur, il est assez facile de gérer les licences nominatives. On suit aisément qui a accès à quoi.
Conformité : l'allocation des licences étant claire et nette, il est plus facile de garantir la conformité aux règles d'utilisation des logiciels et aux contrats de licence.
Prix : comparées aux licences simultanées, les nominatives coûtent moins cher.

Inconvénients des licences nominatives

Surconsommation de licences : l'entreprise, qui doit se procurer une licence pour chaque personne susceptible d'utiliser le logiciel, dispose parfois de plus de licences qu'elle n'en utilise. Par exemple, vous pouvez avoir acheté 100 licences nominatives alors que vous n'en consommez que 75.
Utilisateurs occasionnels : un utilisateur par intermittence, comme un sous-traitant ou un prestataire de services qui accède ponctuellement au logiciel, a quand même besoin d'une licence nominative, quel que soit le nombre de fois où il se connecte.
Travailleurs postés : si votre personnel accède à votre solution par rotation, vous devez posséder une licence pour chaque utilisateur de chaque service.
Administration : les licences nommées imposent la réallocation des utilisateurs au fur et à mesure qu'ils arrivent ou s'en vont. De plus, certains fournisseurs limitent le nombre de fois où une licence nommée peut être réallouée.
Utilisation d'un nombre insuffisant de licences : la plupart des fournisseurs qui distribuent leurs produits sous licence nominative n‘interdisent pas d'accéder à leurs logiciels sans licence. Cependant, si vous ne surveillez pas étroitement l'utilisation du produit, le nombre d'utilisateurs du système peut dépasser celui des licences que vous possédez. En général, le fournisseur procède a posteriori à un ajustement de vos licences afin que leur nombre corresponde au total des utilisateurs du logiciel sur la période concernée.

Cas d'usage idéaux

Entreprises dont les collaborateurs doivent bénéficier d'un accès garanti au logiciel à tout moment.
Environnements où l'utilisation des logiciels est étroitement intégrée aux workflows quotidiens de chaque utilisateur.
Entreprises dotées de structures d'équipes stables ou peu évolutives.

Qu'est-ce qu'une licence simultanée ?

Les licences simultanées, également dites « flottantes » ou « concurrentes », sont partagées au sein d'un pool d'utilisateurs. Ce modèle, plus dynamique et flexible, limite le nombre d'utilisateurs simultanés plutôt que leur total. Par exemple, si une entreprise achète 10 de ces licences utilisables par tous les collaborateurs, seules 10 personnes peuvent utiliser le logiciel en même temps.

Avantages des licences simultanées

Rentabilité : ce modèle peut s'avérer plus économique quand tous les collaborateurs n'ont pas besoin du logiciel au même moment. Vous payez pour un pic d'utilisation plutôt que pour chaque accès.
Flexibilité : les licences simultanées apportent de la flexibilité dans un environnement de travail dynamique où différents utilisateurs ont besoin d'accéder au logiciel à des moments différents.
Maximisation des ressources : ce modèle optimise l'utilisation des licences logicielles en jouant sur les fluctuations des besoins de l'entreprise.

Inconvénients des licences logicielles

Connaître le nombre des licences simultanées peut s'avérer complexe et nécessite une surveillance constante pour déterminer le pic d'utilisation simultanée.
En général, les licences simultanées empêchent toute nouvelle connexion au logiciel une fois le nombre maximal d'utilisateurs concurrents atteint.

Cas d'usage idéaux

Entreprises dont les collaborateurs utilisent le logiciel par intermittence ou par rotation.
Entreprises où le logiciel sert à des tâches spécifiques, mais pas quotidiennes.
Environnements de travail avec une forte rotation du personnel ou des besoins fluctuants selon les projets.
Entreprises qui doivent étendre le champ d'utilisation à d'autres domaines.

Comment calculer le nombre d'utilisateurs simultanés

Il n'y a pas de recette magique pour déterminer le nombre d'utilisateurs simultanés, qui varie en fonction de vos modes d'utilisation. Certaines entreprises ont un ratio de 3:1 (une licence pour trois utilisateurs), mais le rapport varie à la hausse ou à la baisse selon les schémas d'utilisation et les pics d'activité. Par sécurité, il est courant d'inclure une marge d'erreur dans le calcul.

Exemple de calcul de licences

Voyons un exemple de calcul pour des licences nominatives et simultanées.

Une organisation s'abonne à une nouvelle plateforme de gestion des services IT en SaaS. Ses utilisateurs se répartissent comme suit :

Nombre total de personnes du département IT : 1 000.

Centre de services : 25 utilisateurs en 3×8.

Équipe du matin : 10 utilisateurs.
Équipe de l'après-midi : 10 utilisateurs.
Équipe de nuit : 5 utilisateurs.

Gestionnaires de changement : 20.

Gestionnaires d'actifs : 5.

Consultants externes : 20.

Gestion des services RH : 10.

	Nbre de licences nommées nécessaires	Nbre de licences simultanées nécessaires
Centre de services	25	10	Au centre de services, il faudrait une licence nominative pour chaque utilisateur dans chaque équipe. En revanche, il suffirait d'acheter le nombre de licences simultanées correspondant à l'effectif maximal de chaque équipe, à savoir 10.
Gestionnaires de changement	20	6	Pour les licences simultanées, nous supposons que seuls six gestionnaires de changement peuvent être actifs au même moment.
Gestionnaires d'actifs	5	2	Pour les licences simultanées, nous supposons que seuls deux gestionnaires d'actifs seront actifs en même temps.
Consultants externes	20	4	Comme les consultants externes doivent avoir une licence, toutes les licences nominatives sont allouées même s'il s'agit d'utilisateurs intermittents.
Analystes du service RH	10	2	Les RH veulent aussi utiliser la plateforme : le nombre d'utilisateurs simultanés est une hypothèse.
	80 licences nommées	24 licences simultanées

Ces licences utilisateur simultanées ne sont pas limitées à un rôle spécifique et peuvent servir à tous les utilisateurs, jusqu'à un maximum de 24 utilisateurs simultanés.

Notons qu'une entreprise peut choisir de combiner des licences nominatives et simultanées.

Identification du meilleur modèle pour votre entreprise

Le choix entre licences nominatives et simultanées dépend souvent de l'analyse des besoins spécifiques de votre entreprise :

Évaluer les schémas d'utilisation :  comprendre la fréquence et les utilisations prévisibles du logiciel par votre équipe. Les licences nominatives correspondent bien à un usage quotidien constant, tandis que les licences simultanées sont idéales pour un accès occasionnel.
Tenir compte des contraintes de budget : si le budget est serré, évaluez les conséquences financières de chaque modèle de licence en fonction de vos schémas d'utilisation.
Évaluer la charge de travail administrative : tenez compte de la facilité de gestion de chaque modèle de licence en termes de charge de travail IT et de conformité.

Les licences nominatives et simultanées fournissent davantage de flexibilité, et beaucoup d'entreprises choisissent de combiner les deux modèles. Le choix d'un mode ou de l'autre dépend des opérations et des besoins logiciels de l'entreprise. L'analyse rigoureuse de ces facteurs vous permettra de sélectionner un modèle de licence adapté à votre budget tout en améliorant les performances de votre équipe, et en phase avec vos workflows opérationnels.

Ivanti propose des licences simultanées et nommées. En savoir plus sur les options flexibles de gestion des services Ivanti.

5 façons de sécuriser votre parcours Cloud

Mon, 16 Sep 2024 13:57:41 Z

L'adoption du Cloud est primordiale pour les entreprises qui cherchent des méthodes de stockage et de gestion des applications et des données complexes qui soient à la fois flexibles et non liées à un périphérique local et à un emplacement unique.

La migration vers le Cloud offre des avantages attrayants, notamment :

Réduction des coûts car les investissements matériels immédiats ne sont pas très onéreux.
Réduction des coûts de maintenance de routine.
Prise en charge du modèle SaaS « payez ce que vous consommez » (Pay-as-you-go).
Possibilité pour les entreprises d'augmenter ou de réduire l'allocation de ressources en fonction de la demande.
Optimisation des dépenses d'infrastructure.

Adoption impulsée par les avantages du Cloud

Pour les équipes IT surchargées, l'adoption du Cloud augmente la flexibilité et l'agilité, ce qui accélère le déploiement des applications et des services. Elle offre aussi de solides fonctions de sécurité, des mises à jour automatiques et des options de récupération après sinistre, qui garantissent l'intégrité des données et la continuité des activités.

Le Cloud encourage la collaboration et le télétravail, car il permet d'accéder aux données et aux applications depuis n'importe quel endroit, un véritable vecteur d'innovation et de productivité. On pense que la migration vers le Cloud d'entreprise va continuer à augmenter régulièrement tout au long de l'année. D'après IDC, les dépenses mondiales liées aux services Cloud publics vont atteindre 805 milliards de dollars en 2024 et le double d'ici 2028.

L'adoption du Cloud s'accélère en raison de l'obsolescence croissante des solutions on-premises et de la recherche d'une sécurité renforcée. Cette tendance ne se limite pas aux entreprises privées. Le Gouvernement des États-Unis a implémenté la stratégie « Cloud Smart » pour fournir aux diverses agences fédérales des conseils pratiques pour pleinement exploiter les technologies Cloud tout en garantissant une implémentation sécurisée et efficace. De plus, la directive Executive Order 14028 impose certaines exigences : utilisation de services Cloud sécurisés, architecture Zero Trust, authentification multifacteur et chiffrement pour améliorer la cybersécurité. Ces projets sont conçus pour moderniser l'infrastructure IT, améliorer la qualité de service et garantir la sécurité des données et des systèmes du gouvernement fédéral.

Principaux moteurs de la migration vers le Cloud

En raison de son évolutivité, de sa flexibilité et de son faible coût, le Cloud est particulièrement bien adapté à certaines applications, notamment :

Applis Web : l'infrastructure Cloud permet un changement d'échelle dynamique, ce qui en fait la solution idéale pour les applications Web sujettes à des volumes de trafic variables.
SaaS et services de streaming : les plateformes omniprésentes comme Netflix et Spotify utilisent le Cloud pour offrir du contenu à la demande de façon transparente à leurs millions d'utilisateurs.
Outils de collaboration : les applications comme Google Workspace et Microsoft 365 permettent une collaboration en temps réel et le travail à distance.
Développement et test de logiciels : les développeurs peuvent rapidement créer ou détruire des environnements, ce qui favorise les pratiques de développement agiles.
Récupération après sinistre : les solutions de récupération après sinistre basées dans le Cloud permettent une récupération rapide et économique, comparativement aux méthodes traditionnelles.
Stockage et sauvegarde des données : les services Cloud constituent des solutions de stockage fiables et évolutives, qui garantissent que les données sont accessibles et sécurisées.
Analyses Big Data : le Cloud permet d'accéder à la puissance de calcul nécessaire pour traiter et analyser efficacement des jeux de données très volumineux.

Migration vers le Cloud : défis de sécurité et solutions

La migration vers le Cloud offre de nombreux avantages... mais présente aussi des problèmes de sécurité. Il est essentiel de trouver le bon équilibre entre sécurité et accessibilité dans le Cloud, pour protéger les applications et données essentielles à l'entreprise tout en garantissant une expérience utilisateur optimale.

Les entreprises peuvent mettre en place les 5 stratégies suivantes pour équilibrer sécurité renforcée et exigences d'accessibilité :

1. Adopter une approche Zero Trust de la sécurité

Ce modèle considère que les menaces peuvent être externes et internes, et exige une vérification stricte et une authentification constante pour chaque demande d'accès. Correctement implémenté, le Zero Trust assure un accès transparent sans compromettre la sécurité.

2. Utiliser le contrôle d'accès basé sur les rôles

Cela limite l'accès aux ressources Cloud en fonction des rôles utilisateur définis, pour réduire le risque d'accès non autorisé et simplifier la gestion des accès.

3. Automatiser les processus de sécurité

L'automatisation applique des stratégies de sécurité de façon cohérente pour une réponse instantanée aux menaces. L'automatisation élimine également les processus manuels, très longs et sujets aux erreurs. Cela allège la charge de travail des équipes Sécurité, qui peuvent se concentrer sur des tâches plus stratégiques.

4. Implémenter l'authentification multifacteur (MFA)

Le MFA ajoute un niveau de sécurité, car il exige que les utilisateurs fournissent au moins deux éléments de vérification pour accéder aux ressources Cloud protégées. Les solutions MFA modernes, comme l'authentification biométrique, peuvent être rapides et conviviales.

5. Déployer une surveillance et une réponse aux incidents en continu

Les équipes de sécurité sont ainsi en mesure de détecter les incidents et d'y répondre en temps réel. Les alertes et les réponses automatisées peuvent bloquer les menaces et éviter les temps d'attente, tout en limitant les perturbations pour les utilisateurs.

Malgré son adoption croissante, l'informatique Cloud n'est pas toujours préférable à une solution on-premise dans certains cas d'usage. Par exemple, les secteurs d'activité comme le secteur bancaire et les assurances ont des exigences strictes et spécifiques pour la sécurité des données. Ces entreprises préfèrent souvent les solutions on-premises pour garder le contrôle complet de leurs données. Les entreprises qui nécessitent une latence de données extrêmement faible, notamment celles qui utilisent des supercalculateurs ou du matériel spécifique, peuvent aussi trouver les solutions on-premises plus pratiques. Et, en cas d'inquiétudes concernant la dépendance à Internet, on préfère les déploiements sur site, car ils sont rarement perturbés par les coupures Internet.

Finalement, la décision de migrer vers le Cloud dépend de vos besoins et de votre contexte spécifiques. Vous pouvez préférer une infrastructure et des logiciels on-premise si vous avez besoin d'un contrôle physique et d'un isolement. Cependant, si vous avez besoin de flexibilité, d'évolutivité et d'un déploiement sécurisé « partout », le Cloud est fait pour vous.

En savoir plus sur les solutions de migration vers le Cloud

Ivanti Neurons for Zero Trust Access (ZTA) associe l'accès par moindres privilèges, les contrôles d'accès basé sur les rôles, le chiffrement, et l'analyse du comportement des utilisateurs et des entités à la recherche d'anomalies, pour offrir une solution unifiée qui protège les applications Cloud, les données et les périphériques de l'entreprise des accès non autorisés et des menaces nuisibles.

Vous pouvez combiner ZTA avec les autres solutions de sécurité compatibles Cloud de la plateforme Ivanti Neurons, notamment Neurons for Risk-Based Vulnerability Management (RBVM) et l'authentification multifacteur (MFA). Vous offrez ainsi à votre entreprise un accès sécurisé aux applis privées, Cloud et SaaS partout et à tout moment.

La sécurité par défaut, le complément indispensable du Secure by Design

Fri, 13 Sep 2024 12:00:00 Z

Les systèmes de cybersécurité traditionnels, développés pour la plupart il y a plus de 10 ans, n'ont pas été conçus pour faire face à la nouvelle génération de pirates et aux vulnérabilités actuelles. À cela s'ajoute leur dépendance à la configuration humaine, talon d'Achille de nombreux logiciels.

Le concept de « sécurité par défaut », complément indispensable des principes du Secure by Design définis par la CISA (U.S. Cybersecurity & Infrastructure Security Agency) a été inventé pour répondre à ce défi.

Le Secure by Design repose sur des principes qui intègrent la sécurité tout au long de la conception et du développement des logiciels. La sécurité par défaut garantit qu'un produit Zero Day est intrinsèquement sécurisé dès son installation. Aucune configuration complexe n'est nécessaire, parce que les principales fonctions de sécurité (comme la connexion sécurisée et l'autorisation) sont préconfigurées.

Les menaces évoluent... et s'accélèrent

Jusqu'à récemment, la plupart des systèmes avaient une « zone d'impact » limitée. Protégés par des pare-feux, ils étaient confinés, si bien que seule une poignée de personnes dans l'entreprise pouvait y accéder. Ils ne constituaient pas encore un terrain de jeu ouvert pour des pirates à la recherche de la moindre défaillance. Il n'était pas possible d'automatiser des assauts et le processus d'attaque dans son ensemble (trouver une vulnérabilité, en faire une arme en concevant une exploitation et déployer l'attaque proprement dite) prenait des semaines, souvent même des mois.

Cela limitait non seulement la vitesse des attaques, mais aussi leur échelle. Les pirates devaient cibler les entreprises une par une, en trouvant le moyen de contourner des contrôles spécifiques. Le rythme global des attaques était faible et, quand elles se produisaient, l'impact était relativement restreint en raison du temps et des efforts que cela impliquait pour les pirates.

Infos connexes : Les 8 meilleures pratiques pour réduire la surface d'attaque d'une entreprise

Parler d'« évolution du paysage des cybermenaces » est presque un euphémisme, car l'évolution naturelle ou même technique n'a jamais été aussi rapide. En quelques années seulement, c'est devenu une arène de combat numérique mettant en danger les entreprises mal protégées.

En effet, les pirates ont su tirer profit de trois développements clés :

Les pirates modernes peuvent rapidement transformer des vulnérabilités en arme, d'autant que les outils d'intelligence artificielle leur simplifient la tâche. Il fut un temps où les délais de divulgation étaient longs, mais cette époque est révolue. Les outils d'analyse automatisés et les kits d'exploitation disponibles sur le Dark Web permettent aux pirates, même les moins férus de technologie, de s'adonner à la cybermalveillance. Les attaques Zero Day deviennent de plus en plus inquiétantes, car les pirates sont plus agiles et exploitent les vulnérabilités avant la publication des correctifs.
L'adoption du Cloud a élargi la surface d'attaque, car le Cloud distribué complique la sécurisation et la surveillance des données. Le modèle de partage des responsabilités de sécurité entre les fournisseurs de Cloud et les utilisateurs peut provoquer des vulnérabilités en cas de mauvaise configuration ou de mauvaise compréhension. De plus, les fonctionnalités de communication des applications Cloud reposent souvent sur des API, ce qui peut créer des vulnérabilités si la sécurisation est insuffisante.
Les mesures de sécurité traditionnelles, comme les pare-feux et l'antivirus, ne sont pas capables de suivre l'évolution des menaces. Il est possible de contourner les pare-feux grâce à l'ingénierie sociale, alors même que l'antivirus se démène pour détecter les toutes nouvelles menaces Zero Day. À l'ère du Cloud, l'approche de sécurité basée sur un périmètre est dépassée. Il est évident que les principes du Secure by Design doivent être implémentés dans toute l'infrastructure IT.

Les acteurs malveillants traquent vos points faibles et sont prêts à lancer des attaques dès l'instant où vous activez un produit. C'est pourquoi chaque produit doit comporter des défenses Zero Day robustes dès le moment où il est activé et connecté au réseau d'une entreprise.

Infos connexes : Les principes « Secure by Design » sont plus importants que jamais

Les 3 piliers de la sécurité par défaut

La sécurité par défaut repose sur trois piliers fondamentaux.

Déployer une sécurité « Shift Left »

Le « Shift Left » vise à repérer les vulnérabilités très tôt dans le processus de développement. Les développeurs doivent écrire du code sécurisé, en évitant les pièges courants identifiés notamment par le Top 10 des OWASP (Vulnérabilités de sécurité des applications Web) et le Top 25 des CWE (Faiblesses logicielles courantes).

On peut effectuer un parallèle avec la médecine préventive, où les pratiques de bien-être et les vaccins protègent une personne des maladies. En se concentrant dès le départ sur les pratiques de codage sécurisé, les développeurs injectent immunité et résilience directement dans le logiciel.

Imposer les configurations sécurisées

Quand un être humain configure son nouveau logiciel, les pirates sont à la fête. Pour éliminer les erreurs dues à une mauvaise configuration, les éditeurs de logiciels doivent imposer des configurations sécurisées par défaut. Cela inclut l'authentification multifacteur (MFA) et la connexion avec authentification unique (SSO). Il faut aussi éviter les informations d'authentification (mots de passe et jetons) codées en dur, ainsi que les configurations par défaut où figurent des vulnérabilités que les pirates connaissent déjà.

L'obligation d'utiliser des configurations sécurisées garantit une sécurité cohérente dans tous les déploiements, quelles que soient l'expérience et l'expertise technique de l'utilisateur. Cela simplifie aussi l'expérience des utilisateurs, car ils n'ont pas besoin de prendre des décisions concernant la configuration.

Sécuriser la chaîne d'approvisionnement logicielle

Le développement logiciel moderne s'effectue de façon comparable à une chaîne de montage dans l'industrie automobile ou aérospatiale. Il dépend énormément des bibliothèques tierces et du code open source. Avec la sécurité par défaut, les développeurs doivent faire très attention à la sécurité de ces composants afin de ne pas introduire de vulnérabilités.

Infos connexes : L'engagement « Secure by Design » : pour un futur numérique plus sûr

Mesurer la sécurité par défaut

Aujourd'hui, les outils d'instrumentation et de télémétrie permettent aux éditeurs de surveiller les performances des fonctions de sécurité par défaut. Si le produit s'exécute "on-premise", l'activation de la télémétrie nécessite d'envoyer des données en dehors du réseau (ce qui revient à "percer des trous dans le pare-feu"). Si le produit s'exécute dans le Cloud, la télémétrie peut facilement renvoyer des données au fournisseur.

Dans les deux cas, c'est une question de consentement mutuel : l'utilisateur du logiciel doit activer la télémétrie par défaut pour que l'éditeur puisse surveiller le comportement du logiciel et vérifier si ses contrôles de sécurité intégrés sont bien implémentés. Cela signifie également que l'utilisateur n'a pas besoin d'intervenir pour activer les fonctions de sécurité. L'éditeur peut le faire à distance si le client y consent.

Garder un temps d'avance sur les menaces changeantes

Même les professionnels de cybersécurité les mieux intentionnés et les plus investis sont dépendants des données et analyses dont ils disposent. Par exemple, les listes traditionnelles de vulnérabilités comme le Top 10 OWASP et le Top 25 CWE sont indispensables pour la sensibilisation à la sécurité, mais elles ont leurs limites :

Les mises à jour de ces listes laissent toujours une période de vulnérabilité, entre la découverte et l'atténuation des menaces. Les pirates exploitent cette faiblesse en ciblant les vulnérabilités « aberrantes », pas encore répertoriées.
Les listes traditionnelles se concentrent sur les vulnérabilités connues, ce qui laisse les entreprises vulnérables aux « inconnues connues », c'est-à-dire aux faiblesses potentiellement exploitables mais qui n'ont pas encore été identifiées.

Ceci dit, l'IA et le Machine Learning promettent de révolutionner la sécurité par défaut en comblant ces failles :

Les algorithmes de Machine Learning peuvent analyser d'énormes volumes de données de sécurité pour identifier des schémas et prédire les vulnérabilités potentielles, y compris celles qui ne figurent pas encore sur les listes traditionnelles.
En analysant les tendances d'exploitation et le comportement des logiciels, le Machine Learning identifie les vulnérabilités « inconnues connues » qui sont le plus susceptibles d'être exploitées, même si elles ne sont pas encore documentées.

Ajout de l'IA au cycle SDLC

L'IA et le Machine Learning peuvent aussi révolutionner la façon dont les principes de sécurité par défaut sont incorporés aux cycles de développement des logiciels :

Détection automatisée des vulnérabilités : les outils d'IA peuvent analyser le code en continu à la recherche de vulnérabilités (connues ou inconnues) afin qu'elles puissent être traitées très tôt dans le cycle SDLC.
Modélisation de sécurité proactive : en analysant les schémas d'attaque, l'IA peut prédire les menaces. Cela permet une modélisation proactive de la sécurité en vue de créer des logiciels avec des défenses intégrées contre ces menaces.
Assistance intelligente aux développeurs : après avoir analysé le code, l'IA peut recommander des pratiques de codage en temps réel aux équipes de développement.

Sécurité par défaut via les logiciels à autoréparation

Les développeurs qui se soucient de la sécurité par défaut ont souvent pour objectif de créer des logiciels capables d'identifier proactivement les vulnérabilités par eux-mêmes, et de les corriger. Ce concept s'inspire des algorithmes génétiques utilisés dans la fabrication (les systèmes s'auto-optimisent et s'améliorent eux-mêmes au fil du temps).

Cela transforme la « sécurité par défaut », qui n'est plus un concept statique mais bien une capacité d'autoréparation dynamique autorégulée, intégrée au logiciel d'entreprise. Ce logiciel est ainsi capable de remédier à ses propres vulnérabilités, de bloquer les menaces et même de signaler les nouvelles attaques à ses développeurs.

Infos connexes : Démo pratique : protéger tous les postes clients avec des contremesures UEM sécurisées

Une avancée majeure

J'ai récemment rédigé un article mentionnant la nécessité d'un « partenariat entre privé et public, où entreprises et gouvernements s'allient pour résoudre le problème de la sécurité numérique ». L'élaboration des principes du Secure by Design, ainsi que les efforts de la CISA et des dirigeants du secteur pour les promouvoir constituent une avancée majeure vers cette collaboration. Il est urgent que nous puissions nous protéger des cybermenaces.

Cependant, il incombe toujours aux éditeurs de logiciels et développeurs d'appliquer ces mesures de sécurité. Les pratiques de sécurité par défaut leur permettent de développer et distribuer des logiciels plus sécurisés, un atout non négligeable dans la lutte contre les cybermenaces.

Migration vers le Cloud : pour une gestion des services d'entreprise (ESM) sans interruption

Tue, 27 Aug 2024 09:00:00 Z

Une ESM (Gestion des services d'entreprise) sans interruption est indispensable pour maintenir non seulement la productivité et l'efficacité de l'entreprise, mais aussi la satisfaction des collaborateurs.

Les systèmes ESM traditionnels on-premise présentent des inconvénients réels : évolutivité limitée, mises à jour de sécurité insuffisantes, maintenance et mise à niveau difficiles. De plus, vous risquez davantage de subir des risques de perte complète des données, et de connaître des interruptions de disponibilité des services du fait de la dépendance à un ou deux points de défaillance potentiels.

C'est pour toutes ces raisons qu'une solution Cloud constitue la solution idéale pour mettre en place une ESM sans interruption avec des mesures de sécurité renforcée et des sauvegardes assurées.

Quels sont les dangers d'une gestion on-premise de vos services d'entreprise ?

La transition vers le Cloud est une étape critique pour maintenir une ESM et une gestion des services IT sans interruption, car les systèmes on-premise sont risqués par nature.

L'un des principaux problèmes des systèmes on-premise est qu'ils sont davantage sujets à des fuites de données et à des vulnérabilités de sécurité. De plus, les données sensibles stockées sur site constituent une cible de choix pour les cyberattaques. Une seule faille peut compromettre l'ensemble du système. De plus, les systèmes on-premise ont davantage tendance à subir des interruptions, en raison des défaillances matérielles ou des pannes d'électricité, ce qui perturbe les services... et, potentiellement, provoque une perte complète des données.

À mesure que l'entreprise grandit, de plus en plus de périphériques entrent dans son environnement : cela inclut aussi bien les périphériques achetés par l'entreprise que ceux appartenant aux collaborateurs. La gestion et la sécurisation de ces périphériques supplémentaires se complexifient et consomment beaucoup de ressources. En fait, selon le rapport d'Ivanti « État de la cybersécurité en 2024 », une entreprise sur trois est incapable de suivre les périphériques personnels dans son environnement.

L'évolutivité et la flexibilité constituent aussi des défis économiques pour les systèmes on-premise, qui ont souvent un coût total de possession plus élevé que les systèmes Cloud. Si vous tenez compte des coûts de centre de données, du matériel, des logiciels et du personnel nécessaires pour la maintenance et la mise à jour de tous les éléments, les coûts d'exécution d'un système on-premise peuvent dépasser ses avantages.

Quels sont les avantages de la migration vers le Cloud de la gestion de vos services d'entreprise ?

Parmi les avantages financiers du modèle Cloud basé sur le SaaS, citons des frais d'exploitation prévisibles et des dépenses immédiates minimes, comparativement aux solutions on-premise.

La réduction des interruptions de service est aussi un avantage précieux. En effet, avec une solution Cloud, l'entreprise évite les risques liés au stockage des données dans un ou deux endroits seulement. En cas de défaillance majeure ou de fuite de données à un endroit, une solution Cloud garantit que l'entreprise peut toujours réaliser des activités de gestion des services comme la remédiation.

En outre, l'évolutivité inhérente du Cloud permet aux entreprises d'ajuster leurs ressources IT de façon transparente en fonction de l'évolution des besoins. Grâce à cette flexibilité, les entreprises peuvent s'adapter à la dynamique du marché et soutenir leur croissance sans contraintes d'infrastructure.

En migrant vers le Cloud, les entreprises limitent les risques et garantissent une gestion interrompue des services. Avec leurs fonctions extrêmement adaptables et évolutives, les solutions ESM dans le Cloud permettent aux entreprises de réagir rapidement à l'évolution des besoins et des défis, sans investissement lourd en matériel ou en infrastructure.

Planifier la migration

La migration vers le Cloud est « un voyage ». C'est aussi l'occasion de réévaluer vos systèmes et de vous assurer qu'ils s'alignent sur la vision à long terme de votre entreprise.

Une planification efficace est indispensable pour identifier les étapes qui nécessitent le plus d'attention, comme les intégrations et la sécurité. Les entreprises doivent définir des objectifs clairs et définir un calendrier spécifique pour une migration fluide vers le Cloud sans aucune interruption des services.

Ivanti Blog

Détournement de DLL : Risques, exemples concrets et comment prévenir les attaques

Ce qu'est le détournement de DLL et comment il se produit

Comment prévenir le détournement de DLL et protéger vos DLL

Chargement DLL sécurisé :

Vérifications d'intégrité des fichiers :

Autorisations utilisateur :

Application Control et gestion des privilèges :

Logiciels de sécurité :

Gestion des patchs :

Combinez les bons outils et tactiques pour prévenir les détournements de DLL

Apple Business Manager Device Migration : ce que vous devez savoir

Fonctionnalités clés d'ABM Device Migration

Cas d'usage d'ABM Device Migration

Migration cloud

Changement de fournisseur MDM

Réalignement des appareils dans les districts scolaires

Fusions, acquisitions ou réorganisations

Configuration d'ABM Device Migration : guide étape par étape

Avant de commencer

Device Migration via la console ABM

Device Migration via les API

Ressources supplémentaires sur ABM Device Migration

Découverte de la surface d'attaque : Comment identifier la surface d'attaque de votre entreprise

Pourquoi la découverte de la surface d'attaque est-elle si importante ?

Comment démarrer la découverte de ma surface d'attaque ?

Outils et approches pour découvrir et gérer votre surface d'attaque

Comment identifier la surface d'attaque physique de mon entreprise ?

Comment identifier la surface d'attaque humaine de mon entreprise ?

J'ai identifié la surface d'attaque de mon entreprise. Et maintenant ?

Migration vers Windows 11 : retour d'expérience d'Ivanti en tant que « customer zero »

Pourquoi faut-il migrer vers Windows 11 ?

Comment Ivanti a effectué la migration de son parc IT de Windows 10 vers Windows 11

Les défis

Compatibilité matérielle et périphériques inconnus

Frictions des utilisateurs finaux et impact sur la productivité

Maintien des mises à jour de sécurité grâce à un support prolongé

Le processus de migration d'Ivanti vers Windows 11

1. Préparation

2. Vérification préalable

3. Interaction avec les utilisateurs

4. Exécution de la mise à niveau

5. Après la mise à niveau

6. Gestion des erreurs

7. Amélioration continue

Prêts à démarrer votre migration vers Windows 11 ?

Ignorer les attaques sur la chaîne logicielle peut coûter très cher

Le risque croissant d'attaques sur la chaîne logicielle

Attaques courantes sur la chaîne logicielle

Exemples récents d'attaques sur la chaîne logicielle

Attaque par ingénierie sociale sur Okta

Attaque par ransomware sur Kaseya

Attaque sur l'infrastructure CI/CD Codecov

Les graves préjudices des attaques sur la chaîne logicielle

Impact financier

Impact opérationnel

Perte de réputation

Où s'arrête la responsabilité ? Dette technique et responsabilité partagée

Comment se protéger des menaces sur la chaîne logicielle

1. Gestion rigoureuse des fournisseurs et évaluation des risques

2. Surveillance en continu et remédiation proactive sur toutes les dépendances

3. Échanges réguliers avec les fournisseurs tiers

En savoir plus sur la sécurité de la chaîne logicielle

Comment mettre en oeuvre une démarche d'évaluation quantitative des risques

Comprendre la quantification des risques

Qu'est-ce que la quantification des risques ?

Comment la quantification des risques s'inscrit-elle dans la stratégie de cybersécurité globale ?

Interprétation de l'analyse quantitative des risques : concepts clés

Le moment de vérité : la réponse aux risques

L'évitement

L'acceptation

Le transfert

L'atténuation

Prise en compte de l'appétence au risque (ou comment gérer les cas limites)

Transformer les résultats en actions efficaces

Pourquoi votre équipe IT doit améliorer sa DEX (Expérience numérique des collaborateurs)

La difficulté de gérer la DEX sans bonnes pratiques, métriques et outils

Le manque de données DEX sape les objectifs d'amélioration

Une meilleure expérience numérique pour tous commence par celle de l'équipe IT

Conclusion