Cyber-sécurité : Un groupe de veille veut évaluer la sécurité des hébergeurs
Rechercher

Cyber-sécurité : Un groupe de veille veut évaluer la sécurité des hébergeurs

Après une cyberattaque qui avait entraîné le piratage de milliers de sites en visant un seul service, un nouveau programme va les classer en fonction des besoins des utilisateurs

Illustration : piratage et cybersécurité. (Crédit : solarseven/iStock by Getty Images)
Illustration : piratage et cybersécurité. (Crédit : solarseven/iStock by Getty Images)

L’administration nationale de cybersécurité va proposer une norme de sûreté aux fournisseurs de services d’hébergement internet pour permettre aux entreprises utilisatrices de serveurs de savoir comment sécuriser leurs données au mieux et de faire leur choix d’hébergeur en toute connaissance de cause.

Ces fournisseurs de services d’hébergement allouent des espaces, sur leurs serveurs, aux sites internet pour que ces derniers puissent y stocker leurs dossiers et qu’ils puissent également être consultés par les internautes. Tous les sites sont hébergés par un serveur.

Cette idée est née d’un incident qui a eu lieu au mois de mai dernier. Des milliers de site internet israéliens avaient été piratés au même moment, affichant tous des messages anti-israéliens. Quand l’administration en charge de la cybersécurité avait enquêté sur cette affaire, elle avait découvert que les pirates étaient parvenus à leurs fins en pénétrant dans un seul fournisseur d’hébergement internet.

Le nouveau programme vise à standardiser trois niveaux de sécurité – la dénomination « argent », « or » ou « platine ». Les fournisseurs de service seront contrôlés par l’administration et soumis à des tests sécuritaires sur la base du volontariat.

L’objectif poursuivi par ce programme est de renforcer la protection des sites internet au sein de l’État juif en permettant également aux propriétaires de site internet de faire des choix informés concernant l’hébergeur auquel ils vont confier leur site et conformément aux nouvelles normes de cyber-protection mises en place.

L’industrie des services d’hébergement, sur internet, ne cesse de croître. Les services sont facilement accessibles et ils permettent d’économiser de l’argent – c’est l’une des raisons qui expliquent leur utilisation par de nombreuses organisations. Il y a actuellement des dizaines d’entreprises, en Israël, qui offrent des services d’hébergement de sites, a noté l’administration dans une déclaration. Et ces services sont une cible de choix pour les cyberattaques, les pirates pouvant prendre simultanément pour cible de multiples organisations par le biais d’une simple attaque contre un hébergeur.

Viser un hébergeur permet aussi aux attaquants d’accéder à l’immense quantité d’informations contenues dans les serveurs.

Les attaques lancées contre des services d’hébergement peuvent comprendre des attaques par déni de service (DDOS), des vols d’information ou des dégradations de site.

La norme « argent » sera le standard le plus bas de sécurité recommandé par l’administration – elle sera adaptée pour les sites promotionnels ou pour une page commerciale sur un réseau social ; une attaque contre l’hébergeur peut ainsi entraîner des dégâts pour la réputation de l’organisation concernée, a expliqué l’administration, mais pas beaucoup plus.

La norme « or », pour sa part, sera appropriée pour les sites internet qui nécessitent une inscription et un enregistrement de données de la part des usagers. Un piratage de ce type de site peut entraîner un préjudice en termes de réputation pour son propriétaire, mais aussi des violations de la confidentialité des données et, éventuellement, des poursuites judiciaires intentées par les clients.

La norme la plus élevée, « platine », pourra être exigée par les entreprises dont les sites font des transactions financières – et qui, en cas de piratage, peuvent connaître des pertes au niveau financier, voire être mises en cause par les clients devant la justice.

Meital Arik, chef du conseil et des régulations au sein de l’administration chargée de la cybersécurité, déclare que ce nouveau programme offre une solution au besoin croissant de sécurité au sein des fournisseurs d’hébergement, tout en créant une incitation économique pour ceux qui fournissent de tels services.

Anat Goldian, responsable au sein du bureau de cyber-régulation de l’administration, ajoute que ce nouveau programme permettra de former un groupe de vendeurs d’hébergement approuvé, ce qui aidera les organisations à faire un choix informé.

Les fournisseurs d’hébergement qui mettront en vigueur le programme pourront aussi bénéficier du sceau d’approbation obtenu de la part de l’administration, continue-t-elle, et ils deviendront ainsi plus attirants pour les entreprises potentiellement clientes.

Pour obtenir leur norme, les fournisseurs devront prouver qu’ils se conforment à une série de contrôles établis par l’administration. Parmi ces derniers, le contrôle des accès, la protection des terminaux et des serveurs, la protection périphérique, celle des systèmes de surveillance et de contrôle ainsi qu’un environnement sûr sur le Cloud, pour garantir que les données des clients seront protégées. Après s’être conformé pleinement à ces contrôles, le fournisseur fera l’objet d’une inspection de la part d’un contrôleur certifié de l’administration – qui confirmera alors les informations et les normes de sécurité par le biais de l’Institution des normes de l’Autorité israélienne ou via l’Institut de qualité et de contrôle.

L’administration remettra alors au fournisseur d’hébergement un certificat attestant de la conformité de son niveau de cyber-protection aux les normes établies par le programme. Ce certificat sera valable un an, avec la possibilité de le prolonger une année de plus, a noté l’administration.

Une porte-parole de l’administration a précisé que le programme se ferait sur la base du volontariat et qu’il serait gratuit concernant les normes « argent » ou « or ». Pour obtenir l’étiquette « platine », les fournisseurs d’hébergement devront assumer le coût – plusieurs milliers de shekels – induit par les services d’un inspecteur.

En savoir plus sur :
C’est vous qui le dites...