Le géant suisse du e-commerce Galaxus Digitec a récemment identifié des vulnérabilités critiques dans la plateforme nuagique (cloud) Microsoft Azure. Ces failles de sécurité auraient potentiellement pu causer différents problèmes.
«Le Centre de réponse à la sécurité Microsoft a traité les vulnérabilités signalées avec la priorité appropriée et les a transmises au groupe de produits concerné. La communication s’est déroulée de manière professionnelle et, grâce aux POC que j’ai fournis, les correctifs ont pu être rapidement mis en œuvre dans l’environnement de production», explique Martin Wrona, ingénieur en sécurité logiciel chez Galaxus Digitec. Cet incident soulève à nouveau la question de la sécurité des données dans le nuage, alors même que de plus en plus d’organisations migrent vers ces services pour réduire leurs coûts. Heureusement, des spécialistes veillent!
Un expert chez Galaxus
«En tant qu’ingénieur de sécurité logicielle, je m’intéresse quotidiennement à de nombreuses lignes de code qui n’ont pas été écrites par moi et qui sont parfois déjà un peu anciennes. Cette réalité professionnelle exige une compréhension approfondie de multiples bases de code dans des domaines très variés, afin d’identifier et de corriger de manière proactive les failles de sécurité potentielles», explique Martin Wrona dans son analyse détaillée de ce problème.
D’ailleurs comme personne n’est à l’abri de failles, Digitec Galaxus propose aussi son propre programme de divulgation des vulnérabilités. Les hackers éthiques peuvent également chercher des failles de sécurité chez le commerçant en ligne, à condition de respecter les règles. Pour plus d’informations, voir https://www.galaxus.ch/security.
La sécurité, un enjeu majeur pour le nuage
Fondamentalement, cet épisode est intéressant à plus d’un titre. Il rappelle que la sécurité doit être la priorité numéro un pour les entreprises qui confient la préservation de leurs données ou leurs services au nuage. Et même si des géants comme Microsoft investissent des milliards chaque année dans ce domaine, mais aucun système n’est infaillible à 100%.
Dans ce contexte, les acteurs de l’internet doivent donc rester vigilants, auditer régulièrement leurs fournisseurs et avoir des plans de réponse en cas d’incident. Car au final, c’est leur responsabilité de protéger les données de leurs propres utilisateurs. La confiance dans le nuage se mérite chaque jour! Bravo Galaxus pour cet exemple!
XS avec Perplexity.ai, Claude 3 Opus
Note
Premier et deuxième paragraphes adaptés après publication pour tenir compte de précisions fournies par Galaxus Digitec.
Bonjour,
Vous avez confondu les noms du traducteur avec l’ingénieur sécurité dans votre article.
Merci, corrigé!
Ces produits mondialement utilisés sont gloablement très sécurisés. Il y a le programme américain CVE qui listent tous les bugs trouvés et patchés.
Wikipédia : https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
Site officiel: https://www.cve.org/
Par exemple, Ubuntu publie la liste des issues CVE de tous ses packages par defauts:
https://ubuntu.com/security/cves
Idem pour Red Hat :
https://access.redhat.com/security/security-updates/
Bref, tous les acteurs majeurs de l’IT mondial ont leur faille de sécurité publiée ici. C’est d’ailleurs pour cette raison qu’il est conseillé de faire les mises à jour rapidement. Les fournisseurs publient les patchs de sécurité avant la parution de ces issues CVE. Mais, si vous ne mettez pas à jour vos OS / logiciels, vous avez le POC (proof of concept) de la faille de sécurité publiée dans ces issues CVE, c’est à dire le mode d’emploi pour exploiter la faille de sécurité.
Par contre, les PME suisse sont trop petites pour bénéficer de support de la communauté open-source et avoir leur CVE issues publiées. Il y a très peu de PME suisses dans ce catalogue.
Ensuite, oui auditer les founisseurs semblent une bonne idée, surtout pour les données sensibles. Or, on sait que ce n’est jamais réalisé en pratique. Ensuite, on peut aussi choisir un fournisseur certifié ISO 27000. Ce n’est pas parfait, mais le fournisseur a au moins réfléchi à la sécurité de son système d’information. A nouveau, on a des data de santé, de police, etc.. qui figurent chez des fournisseurs non certifiés ISO 27000.
C’est aussi intéressant de souscrire à une assurance cyber-sécurité pour les entreprises. L’assurance vous force à appliquer certains standards de sécurité, car elle veut forcément minimiser le risque. L’assurance fait des tests. Bien sûr, rine de très avancer. Mais l’assurance va envoyer des fakes spams aux employés pour voir si qqn clique sur un lien. Il y a aussi des contrôles de les mots de passe et le stockage des mots de passe. Des processus en cas d’incidents doivent aussi être défini.
Enfin, comme un shop comme Galaxus, n’oublions pas la lutte contre les arnaques. Je pense par exemple aux faux-compte créer. Si le paiement par facture est possible, il arrive qu’une personne malhônnete (par ex un voisin) usure l’identité d’une personne avec un faux compte. Ensuite, il passe une commande sur facture. Il récupère la marchandise dans la boite au lettre de la victime, mais pas la facture… Donc, il faut aussi vérifier l’identité des gens. Un système comme SwissID peut être intéressant. Dommage qu’en 2024, on n’ait pas encore une carte d’identité numérique officelle en Suisse…
nos amis de chez Galaxus Digitec pourraient respecter le guide de mise en pratique du PFPDT sur la LPD en proposant le chiffrement des courriels.
et comme j’en ai un peu soupé de faire du copier-coller, je vous propose la seconde partie (poste N° 4 et suivants) de ce fil de discussions:
https://community.swisscom.ch/t5/S%C3%A9curit%C3%A9-sur-l-Internet/factures-Swisscom-un-pousse-au-crime/td-p/769635#