EZ-TFA : La double-authentification simplifiée, 100% québécoise !

article_EZ_TFA_double-authentification_simplifiée

Les entreprises et les organismes gouvernementaux, quelle que soit leur taille, font face à des défis majeurs de sécurisation de leurs données. Ces défis ne sont plus seulement reliés aux risques de piratages externes, mais également à l’utilisation de systèmes informatiques de plus en plus complexes par le personnel et les collaborateurs de ces organisations.

Afin de protéger les accès à ces données, EZ-TFA, une entreprise 100% québécoise, innove et propose une solution de double et triple authentification simple et rapide à mettre en place, à des coûts plus qu’accessibles pour les entreprises ne voulant ou pouvant pas faire appel aux grands acteurs du marché.

L’intégration de la double et triple-authentification dans un environnement existant

De nombreuses entreprises sont confrontées à la complexité de leur systèmes TI et aux difficultés d’intégration entre leurs différentes plateformes, ce qui devient un frein à leurs activités. La sécurité est alors perçue comme une activité bloquante et frustrante par les unités d’affaires.

EZ-TFA se présente comme un antagoniste de cette façon de penser et se positionne comme un élément de sécurité qui propulse l’entreprise par une transformation agile de son service d’authentification à distance.

Peu importe la complexité de l’environnement existant, EZ-TFA permet d’éliminer les difficultés d’intégration et les transforme en une simple opération de configuration qui représente un effort minimal pour les équipes TI.

Que ce soit dans le cadre d’une intégration avec un service d’annuaire corporatif (LDAP, Active Directory), un système de ressources humaines ou une base de données, EZ-TFA n’exige aucun ajout de processus – tel que la synchronisation ou le rassemblement d’informations dans un système centralisé ; ce qui permet de mettre en place la solution en seulement quelques heures…

Simplifier les processus de sécurité complexes pour plus d’efficacité

La clé de toute stratégie dans un service d’accès à distance réside dans la facilité d’accès, une sécurité efficace et la compréhension des usagers. Aujourd’hui, les utilisateurs veulent de plus en plus vivre une expérience similaire à celle offerte par les solutions infonuagiques qui sont simples d’utilisation et qui s’adaptent tant à leurs exigences qu’à leur niveau de connaissances et leur appareils usuels (téléphones intelligents, tablettes…etc.).

EZ-TFA offre toutes les options d’identification allant du simple SMS, le retour d’appel, le « token physique », l’application mobile, et ce, jusqu’à l’utilisation des comptes réseaux sociaux, ce qui conforte l’usager dans un mécanisme familier, simple et accessible.

Il en va de même pour les administrateurs qui n’ont plus à mettre en marche un projet démesuré d’intégration, de déploiement, de support ou de maintenance régulière. EZ-TFA réduit l’effort d’administration et permet aux TI de répondre « oui » à tous les nouveaux projets d’accès à distance sécurisés, de double-authentification sur des applications web ou d’autres systèmes existants, car ils ont l’assurance que la technologie pourra les supporter.

100% interne ou hybride, à vous de choisir !

EZ-TFA vous offre deux types de solutions :

  • À l’interne : les serveurs de communication (SMS et Voix) sont dans vos locaux.
  • Hybride : les communications sont offertes dans le nuage privé et sécurisé D’EZ-TFA.

La sécurité de vos informations, le point essentiel

EZ-TFA ne conserve aucune donnée, tout est fait en temps réel. C’est unique, c’est simple, c’est efficace.

Facturation à l’utilisateur ou forfaitaire, vous avez le choix

Peu importe le besoin et l’envergure de votre entreprise, EZ-TFA offre un modèle adaptatif qui rencontre la réalité de chaque organisation. Le modèle par utilisateur ou le modèle forfaitaire permettent de toujours avoir le contrôle sur les coûts et le niveau de service offert aux usagers. À service équivalent, les coûts de la solution EZ-TFA sont les plus accessibles sur le marché, c’est garanti.

Surprise en plus: Authentification double ou triple disponible dans un même produit

La gestion du changement demeure une préoccupation majeure lorsque l’on parle d’un service critique interne accessible de l’externe.

EZ-TFA offre une solution qui donne le contrôle aux gestionnaires applicatifs pour la gestion de l’autorisation des accès et les changements dans les systèmes critiques dont ils ont la responsabilité. Le 3eme facteur est une autorisation donnée dynamiquement par un superviseur à un demandeur qui, lui aussi, est soumis à un haut degré d’authentification.

Au sujet de EZ-TFA

EZ-TFA est une entreprise 100% québécoise, basée à Montréal, filiale du Groupe RODEUS.

Elle s’est fixée comme mission de rendre la sécurité des systèmes d’informations plus agile et plus accessible. Grâce à un esprit créatif et ambitieux, elle regarde les défis comme des opportunités de soutenir les petites, moyennes et grandes entreprises qui peinent à passer à la double-authentification pour des raisons de budget, de complexité d’intégration ou par peur de la gestion du changement auprès de ses utilisateurs. Les solutions proposées par EZ-TFA ont pris comme unique objectif de faire rimer « sécurité » avec « simplicité » avant tout.

Coordonnées

EZ-TFA

Groupe RODEUS

442, rue St Gabriel

MONTRÉAL, QC –  H2Y2Z9

Tel : +1 (514) 509-5080

Site web : http://ez-tfa.com/

5 résolutions de Sécurité, par Rodeus

picture of smiling attractive businesswoman in office

Connaissez-vous les bonnes résolutions les plus populaires selon le site du gouvernement américain :

  • Améliorer son bien-être physique
  • Améliorer son bien-être mental
  • Améliorer ses finances
  • Améliorer son engagement social
  • Faire un voyage

Pour cette nouvelle année 2016, nous vous offrons 5 bonnes résolutions  de Sécurité qui vont vous apporter :

  • du bien-être mental : une meilleure sécurité de vos données = moins de stress,
  • du bien-être physique : moins de stress = une meilleure santé,
  • une amélioration de vos finances : baisse du risque de perte de vos données de valeur,
  • une amélioration de votre engagement social en les transmettant à vos amis et collègues,
  • un voyage au pays de la tranquillité !

Pour cette année 2016, nous vous conseillons donc de :

  • bonne résolution n°1 : changer votre mot de passe au gré des saisons !
  • bonne résolution n°2 : mettre à jour votre anti-virus et d’effectuer un balayage quotidien.
  • bonne résolution n°3 : mettre à jour votre navigateur et que connaitre les extensions activées.
  • bonne résolution n°4 : être au courant de ce que vous partagez dans le nuage.
  • bonne résolution n°5 : Faire des sauvegardes !

Nous sommes à votre disposition pour tous conseils complémentaires sur ces bonnes résolutions et plus généralement dans le domaine de la Sécurité informatique au (514) 509-5080 ou sur www.grouperodeus.com

A bientôt ! 

Guide pratique sur les attaques de cryptovirus

Voici comment apprendre à se prémunir contre les programmes malveillants de type ransomware, télécharger le PDF ci-dessous:

Votre-entreprise-pourra-telle-surmonter-une-attaque-de-Cryptovirus – PDF (248Ko)

Les dégâts qu’ils causent aux entreprises et comment éviter une infection:
• Qu’est-ce qu’un ransomware ?
• Quels dégâts cause-t-il ?
• Des frais encore plus élevés pour les entreprises
• Il y a plus d’attaques de cryptovirus que jamais
• Comment attaque un cryptovirus, ce qu’il attaque
• Les cryptovirus d’aujourd’hui sont plus dangereux
• Cacher leurs traces
• Comment protéger votre entreprise
• Obtenez une sécurité primée

Découvrez comment les solutions de sécurité Kaspersky Lab peuvent protéger votre entreprise des programmes malveillants et de la cyber-criminalité en les essayant gratuitement pendant un mois. Contactez-nous !

Expérience n°2 du Labo : TV (Tests de Vulnérabilité) ∈ SCRO (Stratégie de Cyber-Résilience Optimale)

N.B : ne pas lire dans le titre « escroc » 🙂

logo lelabo

Voici l’hypothèse de cette expérience : afin d’assurer la sécurité de vos données informatiques sur le long-terme, il est essentiel d’effectuer des tests de vulnérabilité au moins deux fois par an, et même des analyses une fois par mois, si votre contenu sensible est hébergé sur un serveur accessible depuis Internet.

Pour introduire cette expérience, voici notre pipette d’humour qui vous montre en image l’intérêt des tests de vulnérabilité :

téléchargement

 

Afin de démontrer notre hypothèse, nous avons effectué une étude comparative entre deux entreprises :

  • L’entreprise X est une PME qui pense qu’avec ses outils de sécurité (pare-feu, anti-virus,…), il n’est pas nécessaire d’effectuer des tests de vulnérabilité : « Ah quoi bon, nous avons acheté les meilleurs outils du marché !» se disent-ils.
  • L’entreprise Y est une PME qui a intégré dans son budget informatique des tests de vulnérabilité (au moins deux fois par an).

Nous avons mis au contact de ces deux entreprises des attaques informatiques diverses et variées (cette expérience est bien entendu fictive ; nous ne sommes pas des hackers, au contraire, nous souhaitons vous en protéger :-)). Les résultats de cette expérience sont synthétisés dans le tableau ci-dessous. Nous y avons également intégré les conseils de l’un de nos référents le Labo en tests de vulnérabilité. Pour chacune des attaques, il vous conseille sur :

  • Comment détecter les premiers signes de ce type d’attaques ?
  • Quels sont les bons premiers réflexes?
  • Comment prévenir ce type d’attaques ?
Différentes attaques possibleslego Entreprise X Entreprise Y
Tous types d’attaque Pas de réflexion sur les enjeux de gestion de sécurité de l’entreprise. Cadre de gouvernance défini, analyse de risques effectuée, ressources à protéger identifiées, personnel sensibilisé et processus appliqués.

Conseils de nos experts

Umbrella sign and gear icon. Industry, protection and security concept. Vector illustration

Détection: La connaissance des risques de l’entreprise oriente sa vision sur les éléments identifiés comme potentiellement vulnérables et plus facilement sujets aux menaces.
Réflexe: Appliquer les contrôles compensatoires et remédiations ou tout autre traitement identifié dans votre analyse de risques.
Prévention: Tenir à jour les exercices de BIA (Business Impact Analysis) et les portfolios de risques. Rationaliser chaque exercice en prenant une méthode éprouvée (OCTAVE, Méhari, etc.) et en y intégrant les menaces émergentes vues dans la presse.
Attaque par DDos (par déni de service distribué) sur une application Web. Le site Internet de l’entreprise rendu indisponible à cause d’une surcharge de requêtes envoyées par des hackers. Demande de rançon pour l’arrêt de la requête.  Une faille du site Internet intensifie les risques de l’attaque. Elle permet aux hackers de voler discrètement l’ensemble des données clients de l’entreprise contenues sur leur site Internet. Dommages et intérêts importants à payer suite à la plainte d’un client qui s’est fait usurper son identité. Grâce à un test de vulnérabilité, on avait repéré et réparé la faille dans leur site Internet.

Conseils de nos experts

Umbrella sign and gear icon. Industry, protection and security concept. Vector illustration

 

Détection: Le service Web n’est plus disponible ou extrêmement lent.
Réflexe: Communiquez avec votre fournisseur de service internet pour bloquer le trafic malicieux.
Prévention: Demande d’augmentation de la bande passante et/ou de changement d’IP au fournisseur de service internet, redondance des services, bonne configuration des pare-feu et autres solutions infonuagiques mandataires spécialisées.
Attaque XSS : utilisation du site Internet grâce à une faille trouvée dans le code de ce dernier. Le hacker peut donc effectuer des actions malveillantes sur les navigateurs web visitant ce site. Le hacker réussit à voler des données clients d’une entreprise via les cookies trouvés sur le site Internet de l’entreprise. Cette faille est découverte et l’entreprise perd sa crédibilité : ses clients n’ont plus confiance. Grâce à un test de vulnérabilité, on avait repéré et réparé la faille dans leur site Internet.

Conseils de nos experts

Umbrella sign and gear icon. Industry, protection and security concept. Vector illustration

 

Détections: Surveillance des journaux des serveurs web à la recherche de motifs caractéristiques d’une attaque XSS (caractères spéciaux, référents unicodes,…).
Réflexe: Conservation et corrélation des journaux, et documentation de l’attaque.
Prévention: Configurer les IDS/IPS (systèmes de détection et de prévention d’intrusion qui, avec les outils d’anti-virus et de pare-feu, font partie d’une solution complète de sécurité) pour détecter et empêcher ces attaques. Révision du code sources pour valider les entrées des usagés avant de les traiter.
Attaque par la force brute (ou Bruteforce attack) : tentative de trouver (casser) le mot de passe de l’un de vos employés  par un hacker en effectuant de nombreuses combinaisons. Il accède ainsi à votre réseau. Le mot de passe était « dommage » qui est très simple à trouver. Le hacker accède à l’ensemble du réseau de l’entreprise et vole ses données confidentielles afin de les revendre à vos concurrents. Cet employé a eu une formation sensibilisation aux bonnes pratiques de sécurité et il sait élaborer des mots de passe complexes qu’il modifie régulièrement. Le hacker n’arrive pas à trouver ce mot de passe (il lui faudra 266 ans pour le craquer !)

Conseils de nos experts

Umbrella sign and gear icon. Industry, protection and security concept. Vector illustration

 

Le saviez-vous ?un mot de passe constitué de 7 lettres et 7 chiffres peut être déchiffré en seulement 11 minutes.
Détection: Surveillance des journaux des serveurs web pour la détection de multiples essais infructueux de mots de passe et nombreuses tentatives d’accès à des ressources non autorisées.
Réflexe: Changer son mot de passe pour un autre plus sécuritaire, forcer des facteurs multiple d’authentification (certificats électronique ou token).
Prévention: Un mot de passe devrait idéalement contenir au minimum 14 caractères et inclure des lettres majuscules et minuscules ainsi que des chiffres et des caractères spéciaux et ne contenir aucune syllabe significative qui rende efficace les attaques par dictionnaire.
Attaque par un Malware : Un employé ramène, dans son entreprise, via sa clé USB personnelle, le fruit de son travail de la soirée. Cette clé USB contient un Malware récupéré sur un site Internet.  Les mises à jour de l’anti-virus très performant n’ont pas été effectuées. Le malware n’a donc pas été détecté. Il se répand sur le réseau de l’entreprise et provoque des dysfonctionnements important. Il bloque l’activité de l’entreprise pendant 3 jours avant qu’il soit supprimé grâce à l’intervention d’un consultant externe.Le coût financier de cette attaque est au moins 15 fois plus important que 2 tests de vulnérabilité par an. Cet employé fait analyser sa clé USB car il a eu une formation sensibilisation aux bonnes pratiques de sécurité. Il sait donc qu’il est en train de réaliser une activité à risque et il prend ses précautions. Le Malware n’a pas pénétré dans le réseau de l’entreprise. De plus, l’entreprise, lors de son dernier test de vulnérabilité, avait été alertée que les mises à jour de son anti-virus n’avaient pas été effectuées.

Conseils de nos experts

Umbrella sign and gear icon. Industry, protection and security concept. Vector illustration

 

Le saviez-vous ? En 2014, plus de la moitié des salariés interrogés ne considèrent pas le partage de fichiers en ligne via un service de Cloud comme risqué, et plus de 70% transportent des fichiers sur leurs supports de stockage externes.
Détection: Une solution complète d’anti-virale (incluant anti-malware) mise à jour peut détecter certaines infections. Une sonde anti-APT et un SIEM peuvent également détecter des comportements anormaux sur l’ensemble du réseau.
Réflexe: Isoler les machines compromises et les réinitialiser complètement
Prévention: Limiter l’usage de clé USB, à des ordinateurs contrôlés par l’entreprise et détecter tout nouveau matériel connecté au réseau corporatif (NAC). Installer et mettre à jour régulièrement des solutions d’anti-APT (antivirus, antimalware, antispam et sondes).

Pour notre conclusion, aucun doute n’est laissé par cette synthèse : si vous vous reconnaissez dans le profil de l’entreprise X, appelez au 514 509 5080 (106) et commandez dès à présent un test de vulnérabilité pour votre entreprise. Nous serons là pour répondre à toutes vos questions. Si vous souhaitez être sensibilisé et sensibiliser vos équipes aux bonnes pratiques de sécurité, n’hésitez pas à réserver une de nos formations d’une ou deux heures dans vos locaux, réalisées par nos experts en sécurité.

Le Labo du Groupe Rodeus est une équipe d’experts et de passionnés. N’hésitez pas à nous contacter sur info@rodeus.com, via nos sites Internet www.grouperodeus/www.alpacode.com ou au 514 509 5080 (106) si vous avez besoin de conseils, conférences ou formations de sensibilisation sur le domaine des Technologies de l’Information et de la Communication Numériques. Pour faire un don à la science, nos services sont extrêmement compétitifs 🙂

Expériences liées en cours d’étude :

  • Sauvegarde virtuelle, Big data, Cloud : quelles sont les bonnes données de l’équation ?
  • Comment choisir son médicament anti-virus ?
  • Prévention sur les bonnes pratiques de sécurité = votre meilleure attaque

Prochaines expériences à venir :

  • Expérience humaine : corrélation entre les variables D (Développement de votre entreprise) et TTI (Tournant à prendre pour vos Technologies de l’Information)
  • Voyage au cœur de l’Open source
  • Sauvegarde virtuelle, Big data, Cloud : quelles sont les bonnes données de l’équation ?

Sources :

http://www.ssi.gouv.fr/uploads/2015/03/NP_Guide_DDoS.pdf

http://blog.egedian.com/top-5-risques-de-securite-qui-pesent-sur-votre-entreprise/

https://fr.wikipedia.org/wiki/Cross-site_scripting

http://blog.hiscoxpro.fr/etude-sensibilisation-rime-pas-toujours-prudence/

http://www.generation-nt.com/securite-intel-vous-indique-combien-temps-votre-mot-passe-peut-etre-cracke-actualite-1730262.html

https://fr.wikipedia.org/wiki/Attaque_par_force_brute

Sources images :

http://www.ft.com/intl/cms/s/0/2351a670-a286-11e0-9760 00144feabdc0.html#axzz3ljHEU4oY

https://images.duckduckgo.com/iu/?u=http%3A%2F%2Fwww.designerhipster.com%2FContent%2FCartoons%2Fpenetration-testing.png&f=1