Royaume-Uni : les entreprises priées de mieux protéger les données

L’Information Commissioner’s Office, organe anglais chargé de la surveillance sur la protection des données, a publié hier un important rapport sur les lacunes des entreprises dans ce domaine. L’utilisation de vieux logiciels non supportés, en particulier Windows XP, y est largement pointée du doigt. Avec un sérieux risque d’amende en cas de brèche avérée dans la sécurité.

Windows XP ne bénéficie plus d'aucun support 

Le rapport de l’ICO s’est penché sur la manière dont les entreprises gèrent les données de leurs clients. La loi anglaise peut punir en cas de brèches de sécurité quand les protections mises en place sont jugées insuffisantes. Le British Pregnancy Advice Service avait ainsi écopé d’une amende de 200 000 livres (environ 245 000 euros), tandis que Sony avait poussé la note jusqu’à 250 000 livres (environ 306 000 euros), tous deux pour des fuites de données après des attaques contre leurs infrastructures.

Huit problèmes couramment constatés 

Alors que l’on parle beaucoup de l’arrêt du support de Windows XP et des conséquences potentiellement graves de laisser un système d’exploitation sans support sur les machines, le rapport souligne que les entreprises sont tenues de protéger les données. Durant l’enquête menée, huit problèmes récurrents ont été repérés :

1. L’échec à garder les logiciels à jour
2. Un manque de protection face aux injections SQL
3. L’utilisation de services inutiles
4. Le retrait des vieux logiciels et services
5. Le manque de sécurité pour le stockage des mots de passe
6. L’absence de chiffrement des échanges d’informations en ligne
7. La mauvaise conception des réseaux qui entrainent le traitement de données dans des zones inappropriées
8. L’utilisation continue d’identifiants et mots de passe mal conçus

Un danger accru par l'utilisation encore massive de Windows XP

Or, comme le rappelle le journal anglais The Telegraph, une étude menée par AppSense avait révélé, une semaine avant la fin du support de Windows XP le 8 avril dernier, que 77 % des entreprises anglaises utilisent encore des postes avec le vieux système, d’une manière ou d’une autre. Un chiffre impressionnant qui témoigne d’une dangereuse réalité.

Les informations communiquées par l’ICO font suite à la prolongation par le gouvernement anglais du support de Windows XP, sous une forme payante, pour les dizaines de milliers de machines qui l’utilisent encore, et ce pendant un an. Selon Microsoft, il faut entre 18 et 36 mois pour réaliser une migration complète depuis le système vers Windows 7 ou 8 dans le cas d’une grande structure. Même si le gouvernement peut donner l’apparence de montrer « la voie » en investissant pour un support qui maintiendra le produit à jour, on ne peut nier que si la migration avait commencé plus tôt, une telle extension n’aurait pas été nécessaire.

Les technologies évoluent, les menaces aussi

Si le rapport de l’ICO ne mentionne pas directement Windows XP, le produit est probablement le plus concerné par la question des logiciels ne recevant plus de support. Car la conséquence la plus directe pour le vieux système est que les entreprises l’utilisant encore seront progressivement fragilisées, les failles découvertes n’étant plus corrigées. Les administrateurs des parcs informatiques auront d’ailleurs le premier exemple concret de cet arrêt dès ce soir, puisque les bulletins de sécurité du mois de mai ne contiennent aucun correctif pour Windows XP, ni pour Office 2003. On rappellera que Microsoft, malgré l'arrêt de ce support, a quand même choisi de diffuser un correctif pour une faille affectant Internet Explorer sous Windows XP.

Traduction : plus les entreprises anglaises tarderont à migrer vers un système récent, plus elles s’exposeront à des attaques ayant des chances accrues de réussir, et donc à des amendes.

L’ICO rappelle cependant que même si les huit problèmes cités précédemment sont courants, ils ne sont pas les seuls. L’organe ajoute par ailleurs que le rapport n’a pas vocation à faire la somme des bonnes pratiques en matière de sécurité. Les technologies évoluent et, avec elles, les menaces qui les accompagnent. L’ICO insiste surtout sur un point (page 43) : « Toute organisation utilisant un environnement IT se soit de s’assurer que les mesures techniques et organisationnelles appropriées sont en place pour protéger les données personnelles. Elles doivent être surveillées et entretenues sur la durée pour rester efficaces ».

Bien qu’en anglais et dévolu aux entreprises, le rapport est accessible et reste un important socle de réflexion pour la protection des données en entreprise.