Archives de catégorie : Emploi

L’open source : L’innovation et la sécurité par la transparence

Le contraste entre les logiciels propriétaires et open source est aussi vieux que l’industrie de l’informatique elle-même. Dans presque toutes les catégories, des logiciels sont disponibles soit auprès de fournisseurs qui développent et commercialisent eux-mêmes leur code, soit auprès de communautés de développeurs travaillant avec du code ouvert.

Au cours de la dernière décennie, l’aversion envers l’utilisation des logiciels libres, particulièrement dans les entreprises, a pris un tournant majeur. Les managers ont réalisé que si même les géants de l’informatique comme Facebook, Google et Amazon font appel à l’open source, les entreprises ordinaires devraient pouvoir le faire aussi. Les avantages de l’open source sont bien connus : les coûts inférieurs (à noter que coûts inférieurs ne veut pas forcément dire gratuits), la qualité supérieure et la sécurité qui découlent d’une grande communauté de développeurs et l’absence de dépendance à un fabricant sont des arguments de poids. Dans certains domaines, les produits open source sont déjà leaders de leur catégorie. Linux, Firefox et WordPress, par exemple, sont d’énormes réussites auprès des particuliers. MySQL, Apache, Free BSD, Zimbra et Alfresco se retrouvent fréquemment dans les environnements d’entreprise.

Toutefois, la distinction n’est pas aussi claire qu’on pourrait le penser : il n’est pas possible de diviser simplement les logiciels en catégories (ouvert ou fermé, libre ou non-libre, open source ou propriétaire). Il existe toutes sortes de sous-catégories, ce qui donne lieu à d’importantes différences dans les conditions de licence. Pour les entreprises, toutefois, il est pertinent de s’intéresser aux catégories de logiciels open source et propriétaires, et c’est la combinaison des deux, sous la forme de logiciels open source commerciaux, qui offre de fait le meilleur des deux mondes.

Un changement culturel global est en cours en faveur de l’open source. Par exemple, l’UE et le gouvernement des États-Unis investissent de grosses sommes d’argent pour augmenter leur utilisation de l’open source. Et au CERN (l’Organisation européenne pour la recherche nucléaire), qui a longtemps été un pionnier de l’informatique, les scientifiques sont encouragés à mener leurs recherches à l’aide de solutions libres de nouvelle génération. La tendance ne se limite plus désormais aux logiciels. Le « matériel libre » se répand : le Raspberry Pi, le Kano, l’Arudion, le MatchStick basé sur Firefox, le NAO et le Hummingboard sont tous des exemples démontrant le dynamisme des projets libres, qui font naître de nouvelles tendances comme l’Internet des Objets. Et pourtant l’open source n’est pas quelque chose de réellement nouveau. La plateforme informatique open source ultime reste le mainframe, qui était également le noyau de l’ordinateur personnel actuel et a donc toujours représenté une communauté open source considérable.

Des solutions open source commerciales : un système donnant-donnant

Le modèle de développement open source permet aux entreprises de prendre en charge leur projet avec des technologies adaptées, évolutives et un code ajusté à leurs exigences, et par là même de renvoyer l’ascenseur à la communauté. Dans les logiciels open source commerciaux, tout nouveau code passe par un processus strict d’assurance qualité pour garantir la sécurité des entreprises clientes et de leurs utilisateurs finaux. Les changements pouvant bénéficier à un ensemble plus large d’entreprises clientes sont contrôlés et la communauté les ajoute ensuite à son code de base. Pour pouvoir utiliser tous les avantages de l’open source, il faut une relation étroite avec un fournisseur de solutions open source commerciales. C’est essentiel pour promouvoir la créativité et les contributions au sein de la communauté. Les entreprises peuvent également fournir du code pour prendre en charge leurs activités. Les fournisseurs de solutions open source commerciales ne fournissent que l’assistance et le processus strict de développement du produit, comprenant les tests avec les bases de données, les conteneurs et l’assurance qualité qui font normalement partie du développement des logiciels propriétaires.

Des soucis de sécurité avec l’open source ? Au contraire !

Avec l’acceptation croissante des logiciels open source, les logiciels propriétaires purs perdent du terrain sur le marché. Beaucoup d’utilisateurs doutent de la souplesse des logiciels propriétaires dans les années à venir et beaucoup considèrent leur dépendance par rapport à leur fournisseur comme une restriction indésirable. Lorsqu’elles envisagent le futur des services numériques, qu’il s’agisse de ceux des entreprises ou des administrations, des entreprises comme Facebook et Google considèrent l’open source comme indispensable. La plupart des fournisseurs utilisent d’ailleurs déjà l’open source dans divers domaines de leurs opérations informatiques. Les solutions open source fournissent, en particulier, une plateforme pour une technologie prête à l’emploi pouvant être personnalisée pour différents produits. Néanmoins, malgré l’acceptation grandissante de l’open source, les entreprises gardent des inquiétudes à propos de leur fiabilité et de leur sécurité. Mais quels sont les arguments derrière ces inquiétudes ?

Le préjugé menant à penser que les logiciels open source ne sont pas sécurisés ne se vérifie absolument pas. Le réseau international de développeurs, d’architectes et d’experts de la communauté open source est de plus en plus reconnu en tant que ressource majeure. La communauté fournit un retour professionnel d’experts du secteur qui peuvent aider les entreprises à produire du code plus robuste, à créer des correctifs plus vite, et capables de développer des innovations et des améliorations à de nouveaux services. Dans un modèle propriétaire, la qualité du logiciel est limitée à celle du petit ensemble de développeurs qui y travaillent. Les entreprises qui font appel à des vendeurs tiers pour leurs logiciels propriétaires peuvent avoir un sentiment de sécurité plus fort, mais elles se bercent d’illusions : au nom de la propriété intellectuelle propriétaire, les éditeurs peuvent facilement empêcher leurs clients professionnels de savoir s’il existe des failles de sécurité dans leur code – jusqu’à ce que des pirates les exploitent. Nous avons vu récemment de nombreux exemples de ce fait, qui ont entraîné des problèmes pour de nombreux clients.

En raison du haut degré de transparence au sein de la communauté open source, le travail de ce réseau d’experts est d’une grande qualité ; ses membres attachent une importance extrême au maintien de leur réputation. Personne ne peut se permettre de mettre sa crédibilité en jeu lorsque toute la communauté peut voir le code publié sous son nom et le commenter. Par conséquent, les membres de la communauté soumettent tout code nouvellement compilé à un long travail de vérification avant de le publier. Cela devrait dissiper les craintes injustifiées concernant les failles de sécurité.

Une architecture ouverte et une évolutivité sans limite pour des solutions fiables

Les médias sociaux, le cloud, les big data, la mobilité, la virtualisation et l’Internet des Objets révolutionnent constamment l’informatique. Les technologies existantes peinent à suivre le rythme de ces changements. Les entreprises et les institutions doivent fournir leurs services sur de nombreux canaux tout en garantissant une sécurité totale des données. Avec des systèmes propriétaires rigides, cela est pratiquement impossible, et la communauté open source démontre tous les jours que les produits utilisant du code open source sont plus que prêts à gérer des services importants. Apache est déjà le numéro un. MySQL en prend le chemin ; tôt ou tard, il est très probable qu’OpenStack deviendra le logiciel de référence pour la gestion des centres informatiques et OpenAM est l’un des meilleurs produits pour les droits d’accès reposant sur les identités numériques. Les entreprises qui refusent d’utiliser l’open source courent le risque de prendre du retard sur l’étendue et la puissance des fonctions, et de ne pas être en mesure de proposer à leurs clients une expérience utilisateur numérique complète.

La réussite de l’open source se mesure par sa capacité à garantir un haut degré de sécurité et d’innovation. Si les logiciels développés de façon libre n’étaient pas sûrs, la sécurité et l’innovation ne seraient pas possibles. L’open source offre donc la sécurité grâce à sa transparence, ce que les logiciels propriétaires ne peuvent pas se permettre. Les entreprises feraient bien de garder un œil sur les solutions open source. (Par Ismet Geri, vice-président Europe du Sud chez ForgeRock)

Le prix de vente des données volées sur le marché noir

Retour sur l’économie souterraine du Dark Web ainsi que sur les pratiques et les coûts du Cybercrime-as-a-Service.

Le nouveau rapport d’Intel Security, intitulé The Hidden Data Economy, porte sur le marché noir des données volées en ligne, ou ‘Dark Web’. Il révèle la manière dont ces dernières sont compilées, ainsi que les prix auxquels elles sont revendues en ligne. Dans ce dernier, le McAfee Labs d’Intel Security dévoile les prix fixés sur le Dark Web pour l’achat de cartes de débit et de crédit, d’identifiants de comptes bancaires et de services de paiement en ligne et d’accès aux comptes de fidélité.

« Comme toute économie non réglementée et performante, l’écosystème de la cybercriminalité a très vite évolué pour offrir de nombreux outils et services à toute personne aspirant à un comportement malfaisant », déclare à DataSecurityBreach.fr Raj Samani, CTO EMEA d’Intel Security. « Le marché du Cybercrime-as-a-Service a été le principal moteur à la fois de l’explosion, de l’ampleur, de la fréquence et de la gravité des cyberattaques. Aujourd’hui, nous constatons une véritable prolifération des modèles économiques conçus pour revendre les données volées et rendre les cyberattaques très lucratives pour les hackers. »

Depuis des années, l’équipe du McAfee Labs coopère avec les principaux acteurs concernés, organisations policières nationales et internationales, éditeurs de logiciels de sécurité informatique, etc., pour identifier et démanteler les multiples sites web, forums et autres plateformes, communautés et marchés en ligne où les transactions illégales ont lieu. En s’appuyant sur ces expériences, les chercheurs du McAfee Labs sont désormais en mesure de fournir une évaluation globale du statut de « l’économie de la cybercriminalité », avec des illustrations de cas typiques et de prix par catégorie de données et par région.

Les cartes de paiement
Les données des cartes bancaires sont sans doute le type de données le plus volé et vendu sur le Dark Web. Les chercheurs du McAfee Labs ont constaté des variations de prix en fonction du conditionnement des données. Une offre standard, soit un « Random » dans le jargon de cybercriminels, comprend l’identifiant de carte valide, généré par un logiciel, qui combine un numéro de compte primaire (PAN), une date d’expiration et un cryptogramme CVV2. Les logiciels générant des numéros de carte de crédit valides peuvent également être achetés ou trouvés gratuitement en ligne.

Les prix augmentent lorsque l’offre comprend des informations supplémentaires donnant accès à davantage de possibilités d’exploitation des données. Dans certaines offres plus complètes sont également inclus : le numéro d’identification de compte bancaire (IBAN / BIC), la date de naissance de la victime et des informations plus confidentielles classées « Fullzinfo », comme par exemple, l’adresse de facturation utilisée pour ses commandes en ligne, le code PIN de sa carte, son numéro de sécurité sociale, le nom de jeune fille de sa mère, voire son nom d’utilisateur et son mot de passe utilisés pour accéder, gérer et modifier les configurations de son compte bancaire.

Le tableau suivant illustre les prix moyens pratiqués sur le Dark Web pour la vente de cartes de crédit et de débit par région et en fonction des données disponibles :

« Un criminel possédant l’équivalence numérique d’une carte de crédit est en mesure de faire des achats ou des retraits jusqu’au moment où la victime contacte sa banque pour faire opposition et mettre en place des mesures de vérification », poursuit Raj Samani à datasecuritybreach.fr. « Or, en possédant de nombreux renseignements personnels sur la victime, le cybercriminel pourrait très bien justifier qu’il est le propriétaire de la carte bancaire, voire accéder au compte en ligne et en changer les paramètres de configuration. L’accès aux données personnelles peut ainsi augmenter de manière significative les potentiels préjudices financiers pour l’individu ».

Les comptes de services de paiement en ligne
En ce qui concerne les données relatives aux comptes de services de paiement en ligne, les conditions et les possibilités d’utilisation limitées influenceraient les prix qui semblent être dictés uniquement par le solde du compte piraté. L’accès à des comptes créditeurs de 350 à 900 € est estimé entre 17 et 43 €, tandis que le prix d’achat des identifiants de comptes avec un crédit de 4 400 à 7 000 € peut s’étendre de 175 à 260 €.

Les identifiants de comptes bancaires en ligne
Les cybercriminels peuvent acheter des identifiants de comptes bancaires leur permettant de faire des virements à l’international de manière anonyme. Selon McAfee Labs, un compte créditeur de 2 000 € peut être acquis en ligne pour un prix de 170 €. Le prix d’accès à un compte bancaire en ligne avec une fonctionnalité de virements internationaux anonymes peut varier de 440 € pour un compte avec un crédit de 5 300 € jusqu’à 1 000 € pour un compte créditeur de 17 500 €.

Services de contenu premium
Le rapport examine également les prix fixés sur le Dark Web pour l’acquisition de codes d’accès à des services de contenu en ligne tels que le streaming de vidéo (de 0,5 à 0,9 €), de chaînes câblées (6,50 €), de chaînes sportives (13 €) ou à des bibliothèques de bandes dessinées premium en ligne (0,5 €). Ces tarifs relativement faibles suggèrent que les opérations de vol des identifiants ont été automatisées pour rendre ces modèles économiques rentables.

Les comptes de fidélité
Certains services en ligne, tels que l’accès à des programmes de fidélité dans l’hôtellerie ou à des sites d’enchères en ligne, pourraient sembler sans intérêt pour les cybercriminels. Pourtant, les chercheurs du McAfee Labs ont constaté que les données relatives à ces services sont également à vendre sur le marché noir. Elles permettraient à la fois aux acquéreurs d’acheter en ligne avec le compte de leurs victimes et de bénéficier de leur réputation en ligne. Le rapport présente d’ailleurs deux cas concrets de recèles, la vente d’un compte de fidélité de 100.000 points à 17 €, ainsi que celle d’un compte de réputation positive sur un service d’enchères de marques en ligne à plus de 1 200 € !

Ce rapport survole les possibilités du blackmarket. Des chiffres à prendre avec des pincettes. DataSecurityBreach.fr se « promène » dans une cinquantaine de black market différents. Les prix varient tellement, certains chaque heure, qu’il est impossible de fournir un chiffre, même une moyenne, exact. Le rapport ne prend pas en compte, non plus, les services tels que les fournitures de moyens pour des DDoS et autres Swatting. N’oublions pas non plus que ces études sortent au même moment que les nouveaux antivirus des producteurs de ces études.

Le coût moyen du cybercrime s’élèverait à 13.4M€ par entreprise

Une enquête annuelle révèle que le coût moyen du cybercrime s’élève à 13.4M€ par entreprise Cette sixième étude annuelle, résultat du partenariat entre HP et le Ponemon Institute, prouve l’intérêt pour les entreprises de réorienter leur stratégie en matière de sécurité

HP dévoile les résultats de la sixième enquête annuelle menée en partenariat avec le Ponemon Institute, qui détaille les impacts économiques des cyberattaques sur les organisations des secteurs public et privé. Les résultats attestent une augmentation du coût du cybercrime pour les entreprises et le changement d’approche qui engage les professionnels de la sécurité IT à réinventer leur façon d’appréhender les risques.

Menée par Ponemon Institute sous l’égide de HP Enterprise Security, l’étude Cost of Cyber Crime Study 2015 chiffre le coût annuel du cybercrime pour des entreprises aux États-Unis, au Royaume Uni, au Japon, en Allemagne, en Australie, au Brésil et dans la fédération de Russie. Sur l’échantillon d’organisations sélectionnées pour l’enquête réalisée aux US, les résultats montrent que le coût annuel moyen du cybercrime par entreprise s’élève à 15 millions d’US$ 1, ce qui représente une croissance proche de 20% par rapport à l’année dernière, et de 82% depuis la première édition de cette étude.

Les résultats montrent également que le délai moyen de résolution d’une cyberattaque – 46 jours – a augmenté d’environ 30% sur les 6 dernières années, et que le coût moyen global de résolution d’une attaque unique dépasse 1,9 million US$. « Une faille de sécurité peut impacter de façon significative la réputation de l’entreprise, ses performances financières, sa stabilité opérationnelle et sa capacité à innover » déclare à datasecuritybreach.fr Sue Barsamian, Sénior Vice-Président et Directeur Général de la division HP Enterprise Security Products. « Cette étude annuelle prouve clairement que les investissements stratégiques dans les solutions de sécurité, les technologies de chiffrement et les bonnes pratiques de gouvernance peuvent faire une différence substantielle dans la manière de protéger ce qui compte le plus pour l’entreprise – les interactions entre utilisateurs, les applications et les données – et lui permettre de garder un cran d’avance sur ses adversaires. »

Pour les entreprises, élargir leur surface digitale veut également dire s’exposer à davantage d’attaques périmétriques de la part des cybercriminels. Bien que les organisations s’efforcent de recourir à de nouvelles technologies pour protéger leur environnement soumis à des attaques toujours plus nombreuses, il devient urgent pour elles de faire évoluer leurs stratégies de sécurité et de contrôle du réseau vers la protection des utilisateurs, des applications et des données. L’étude ‘2015 Cost of Cyber Crime’ confirme ce besoin de changement, démontré par le fait que des organisations dépensent désormais 20% de leur budget de sécurité sur la sécurisation des applications, ce qui représente une croissance de 33 % en seulement deux ans.

Résultats marquants de l’étude 2015 Cost of Cyber Crime aux États-Unis ? Le coût du cybercrime reste très important : le coût annuel moyen du cybercrime pour une entreprise s’élève à 15 millions US$, avec une plage allant de 1,9 million US$ jusqu’à 65 millions US$ par an 1. Sur les 6 années de l’enquête, cela représente une augmentation globale de 82%.

Le coût du cybercrime varie selon la taille de l’organisation ciblée : les résultats montrent une nette corrélation entre le nombre d’ employés de l’entreprise et le coût annuel du cybercrime. Néanmoins, sur la base du nombre d’employés, l’enquête montre que les petites organisations subissent un coût par utilisateur plus important que les entreprises de taille plus importante.

Le temps pour remédier aux cyberattaques continue de croître : le délai moyen pour résoudre une cyberattaque est de 46 jours, avec un coût moyen de 1,9 million US$ durant cette période, selon les éléments fournis par les entreprises ayant répondu à l’enquête. Ceci représente une augmentation de 22% par rapport au montant moyen annuel estimé dans l’enquête de l’année dernière – environ 1,5 million US$ – basé sur une période de résolution évaluée alors à 32 jours.

Les résultats montrent que des attaques provenant d’utilisateurs internes malveillants peuvent prendre en moyenne 63 jours avant d’être circonscrites. Les coûts du cybercrime les plus importants. Les cyberattaques les plus coûteuses restent toujours liées au déni de service, aux utilisateurs internes malveillants et aux codes malicieux. Celles-ci ont représenté plus de 50% de toutes les attaques subies par une organisation pendant un an 1. Le vol d’informations continue de représenter le coût externe le plus important, suivi par les coûts liés à une interruption d’activité. Sur une base annuelle, le vol d’informations représente 42% des coûts externes globaux, alors que les coûts associés à une interruption de service ou à la perte de productivité totalise 36% des coûts externes (soit 4%de plus que la moyenne constatée il y a 6 ans). Les tâches de détection et de récupération constituent les coûts d’activités internes les plus importants, soit 55% des coûts totaux de l’activité annuelle interne. Les dépenses de trésorerie et de main-d’œuvre directe représentent la majorité de ces coûts.

La bonne technologie et les bonnes politiques de sécurité font la différence Les organisations, qui ont investi et utilisent des technologies de collecte d’informations sur la sécurité, ont été plus efficaces dans la détection et le cloisonnement des cyberattaques, réduisant ainsi les coûts qui auraient pu être encourus. ? Le déploiement de solutions SIEM (Security Information and Event Management) a permis aux organisations de réduire leurs dépenses de 3,7 millions US$ par an, par rapport aux entreprises n’ayant pas mis en œuvre de solutions de sécurité similaires. ? Un budget de sécurité suffisant peut faire économiser en moyenne 2,8 millions US$ de coûts induits par les actions mises en places pour y remédier et par la gestion des attaques. ? L’emploi de personnels certifiés et/ou experts de sécurité peut réduire le budget d’une entreprise de 2,1 millions US$ à une entreprise. ? L’embauche d’un responsable sécurité de haut-niveau peut faire économiser 2 millions US$ à l’entreprise.

« Avec des cyberattaques de plus en plus fréquentes et graves de conséquences, la compréhension globale de l’impact financier encouru peut aider les organisations à déterminer la quantité appropriée d’investissement et de ressources nécessaires pour prévenir ou atténuer les conséquences d’une attaque« , a déclaré à DataSecurityBreach.fr le Dr Larry Ponemon, Président et Fondateur du Ponemon Institut. « Comme on le voit dans l’étude de cette année, le retour sur investissement pour les organisations déployant des systèmes de renseignement de sécurité, tels que les SIEM, a permis de réaliser en moyenne des économies annuelles de près de 4 millions US$ et prouve la capacité de minimiser les impacts en détectant et en contenant plus efficacement les cyberattaques.« 

État des lieux de la sécurité dans des agences gouvernementales locales, régionales et nationales Afin de mieux comprendre les enjeux auxquels la sécurité de l’IT et les professionnels de la sécurité IT doivent faire face pour sécuriser les agences gouvernementales, HP a également dévoilé les résultats d’une nouvelle étude menée en partenariat avec le Ponemon Institute. L’étude « 2015 State of Cybersecurity in Local, State & Federal Goverment » fait état de découvertes sur la fréquence des attaques ciblant le secteur public à l’échelle locale, régionale ou nationale, des difficultés rencontrées dans la recherche des bonnes compétences en matière de sécurité, et sur les capitaux informationnels les plus exposés au risque. Des informations détaillées peuvent être consultées sur le site.

Quand les incidents de sécurité coûtent cher aux entreprises

Il est souvent difficile pour les victimes elles-mêmes d’estimer le coût total d’un incident de sécurité en raison de la diversité des dommages. Mais une chose est sûre, l’addition monte vite.

Une enquête mondiale réalisée en 2015 par Kaspersky Lab auprès de 5 500 entreprises, en coopération avec B2B International révèle également que les fraudes commises par les employés, les cas de cyber espionnage, les intrusions sur le réseau et les défaillances de prestataires extérieurs représentent les incidents de sécurité les plus coûteux. Selon ce rapport, le budget moyen nécessaire aux grandes entreprises pour se remettre d’un incident de sécurité serait de 551 000 et 38 000 dollars pour les PME.

« Définir le coût d’une attaque est une tâche très difficile à réaliser car le périmètre d’impact est variable d’une entreprise à l’autre. Cependant, ces chiffres nous rappellent que les coûts d’une attaque ne se limitent pas au remplacement du matériel, et nous obligent à nous interroger sur son impact à long terme. A noter également que toutes les entreprises ne sont pas égales : certaines attaques visent à stopper l’activité commerciale d’une entreprise quand d’autres ciblent l’exfiltration de données secrètes, par exemple. Il ne faut pas oublier non plus que l’onde de choc générée par l’annonce publique d’une attaque ou d’une fuite de données à des conséquences directes sur la réputation d’une entreprise, et ce qui est alors perdu est souvent inestimable » explique à DataSecurityBreach.fr Tanguy de Coatpont, directeur général de Kaspersky Lab France.

Facture moyenne d’un incident pour une entreprise :

  • Services professionnels (informaticiens, gestion du risque, juristes) : il existe 88% de chance d’arriver à une facture pouvant atteindre jusqu’à 84 000 dollars
  • Perte d’opportunités commerciales : dans 29 % cela peut représenter jusqu’à 203 000 dollars
  • Interruption d’activité : jusqu’à 1,4 million de dollars, soit 30 %
  • Total moyen : 551 000 dollars
  • Dépenses indirectes : jusqu’à 69 000 dollars
  • Atteinte à la réputation : jusqu’à 204 750 dollars

Les PME et les grandes entreprises ne sont pas logées à la même enseigne

Neuf entreprises sur dix ayant participé à notre enquête ont fait état d’au moins un incident de sécurité. Cependant, tous les incidents n’ont pas le même niveau de gravité et n’aboutissent pas à la perte de données sensibles. Le plus souvent, un incident grave résulte d’une attaque de malware ou de phishing, de fuites imputables à des employés ou de l’exploitation de vulnérabilités dans des logiciels. L’estimation des coûts permet de considérer la gravité des incidents de sécurité informatique sous un nouvel angle et fait apparaître une perspective légèrement différente entre les PME et les entreprises.

Les grandes entreprises encourent un préjudice nettement plus élevé lorsqu’un incident de sécurité est le fait d’une défaillance d’une tierce partie, les autres types d’incidents coûteux étant liés à des fraudes commises par les employés, des cas de cyber espionnage ou des intrusions sur le réseau. Les PME tendent à subir un préjudice important sur pratiquement tous les types d’incidents, qu’il s’agisse d’espionnage, d’attaques DDoS ou de phishing.

Pour télécharger le rapport complet sur le coût des incidents de sécurité, cliquez ici.

Si c’est gratuit, c’est vous le produit, AVG le confirme

L’éditeur de la solution de sécurité informatique AVG vient de changer ses conditions d’utilisation et indique clairement que sa version gratuite lui permet de collecter des informations sur les utilisateurs. Données qui seront revendues.

L’éditeur Tchèque AVG, créateur de l’antivirus éponyme, propose une version gratuite de son antivirus utilisé par des millions de personnes. L’entreprise vient d’annoncer qu’elle avait modifié ses conditions d’utilisation. Des conditions qui ont le mérite d’être claires.

Dans sa version anglaise, les conditions d’utilisation indiquent qu’AVG peut revendre les données que la société collecte « Nous recueillons des données non personnelles pour faire de l’argent via nos offres gratuites afin que nous puissions les garder gratuites » [We collect non-personal data to make money from our free offerings so we can keep them free].

Après Windows 10, AVG est une nouvelle entreprise à jouer totale transparence sur les informations quelle collecte : informations sur les applications installées dans votre machine; la façon dont ces applications sont utilisées; l’identifiant publicitaire qui vous est associé; votre navigation et votre historique, y compris les métadonnées; le type de connexion Internet que vous utilisez pour vous connecter.

Cette nouvelle politique entrera en vigueur à partir du 15 octobre 2015. A noter que la page française de la « Politique de Confidentialité » d’AVG n’a pas été modifiée.

Mise à jour : AVG souhaite clarifier la situation et apporter plus de précisions sur ce sujet, via un billet posté sur le blog de la société. A la suite de notre article, l’éditeur a fait une petite marche arrière et a précisé, dans un nouveau post, la méthode pour « Comprendre la nouvelle politique de confidentialité de AVG« . L’éditeur explique que sa politique de confidentialité a été effectuée via la « mise en place d’une page, facile à lire, de la politique de confidentialité pour nos clients. Elle donne l’information dont ils ont besoin, plutôt qu’un long document, légalement écrit, est difficile à comprendre. » Le document indique aujourd’hui que « Lors de la création de notre nouveau format de cette politique, nous avons décidé que nos clients devaient avoir la possibilité de choisir, si oui ou non, ils souhaitaient participer à notre programme de collecte de données anonymisées« . Changement de ton, donc. « Exit » la ligne qui indiquait clairement que les données seraient revendues pour permettre à la version gratuite d’AVG de perdurer. Dorénavant, la collecte est une option « et nous pouvons confirmer qu’aucun partage des données ne se passera jusqu’à ce que nos clients soient en mesure de faire ce choix« . Bref, l’utilisateur de l’outil gratuit pourra accepter, ou non, de fournir ses données.

Pourquoi il est vital de développer une culture de sécurité numérique en entreprise

Au moment où les décideurs prennent conscience de l’importance vitale du développement d’une culture sécurité, il est indispensable de travailler sur une approche verticale de la sensibilisation. Par Michel Gérard, DG de Conscio Technologies

La plupart des outils utilisés pour la mise en œuvre de campagnes en ligne, que sont les intranets ou les « learning management systems » ne permettent clairement pas de travailler comme il faut dans l’objectif du développement d’une culture de sécurité numérique. D’après une étude de PWC, les entreprises qui développent cette culture font une économie de 72% sur le coût des incidents de sécurité !

Une approche verticale de la sensibilisation permet un travail sur les trois aspects de la sensibilisation : sensibilité au sujet, connaissance et compréhension des enjeux et des bonnes pratiques, comportements réellement adoptés. Tout en s’adaptant aux spécificités du monde de l’entreprise.

Un public interne hétérogène
Hétérogène en âge, en sexe, en métier, en culture, en langue… La stratégie de sensibilisation doit donc tenir compte de cette homogénéité en diversifiant le contenu en fonction des profils.

Une communication à adapter
Les salariés n’attendent pas le lancement d’une campagne comme celui de la prochaine saison de « Games of Thrones ». Il est donc impossible de se contenter de mettre à disposition un contenu de référence et ensuite d’attendre que les collaborateurs viennent par eux même. La solution utilisée doit donc permettre de lancer des invitations et de programmer des relances, voire de communiquer et de commenter le déroulement de la campagne sur toute sa durée.

Doser et cadencer l’information
Vouloir faire ingurgiter en une seule fois tout un corpus de connaissances et de règles peut s’avérer contre productif. L’expérience nous a montré qu’il était bien plus efficace de mettre à disposition des contenus plutôt courts mais de façon répétée. N’oublions pas non plus l’effet de halo qui veut que lorsqu’on parle de certains thèmes de cybersécurité, on sensibilise globalement les salariés au sujet dans son ensemble.

Placer le contenu au cœur de la sensibilisation
Le contenu de la campagne est au coeur du succès de l’opération de sensibilisation. Il est donc important de pouvoir disposer de contenus génériques que l’on peut amender et enrichir en fonction de la politique de sécurité bien sûr mais aussi en fonction de l’environnement, et des particularités de la population cible. L’actualité étant telle sur ces sujets qu’il peut être nécessaire de réagir au plus vite. Là encore, la solution choisie doit permettre les modifications des contenus proposés et la possibilité de les mettre à jour de façon permanente.

Réduire le coût de incidents de sécurité
D’après une étude de PWC, les entreprises qui développent cette culture fond une économie de 72% sur le coût des incidents de sécurité. Il est donc important de mesurer l’impact de ce que l’on fait ainsi que le chemin parcouru.

En conclusion, les derniers incidents de sécurité les plus graves subis par les entreprises dans le monde le démontrent, il est absolument vital de développer une culture de sécurité numérique dans nos organisations. Cette tâche doit être prise très au sérieux dans les entreprises et les objectifs fixés doivent être précis. On ne doit pas se résoudre à une seule obligation de moyens. Les résultats doivent être au rendez-vous. Pour cela il faut en revanche se donner les bons moyens.

A noter que l’équipe de Data Security Breach propose des ateliers de sensibilisations à la sécurité informatique en entreprise, associations, territoriales, … n’hésitez pas à nous contacter.

Le vol d’identité, en tête des avidités pirates

Les vols d’identité arrivent en tête de la cybercriminalité, avec 53 % des failles de données enregistrées, selon une étude de Gemalto.

Gemalto, spécialiste des solutions de sécurité informatique, vient de publier les résultats de l’étude Breach Level Index pour le premier semestre 2015. L’étude fait apparaître 888 failles de données signalées au cours de cette période, compromettant ainsi 246 millions d’enregistrements de données dans le monde.

Les failles de sécurité ont augmenté de 10 % par rapport au premier semestre de l’année précédente, alors que le nombre d’enregistrements de données compromis diminuait de 41 % au cours des six premiers mois. Cette nette amélioration peut être attribuée à la diminution du nombre de méga-failles à très grande échelle ayant touché le commerce de détail et la distribution, comparativement à la même période de l’année écoulée.

Malgré la diminution du nombre de données compromises, les failles les plus importantes ont touché des volumes considérables d’informations personnelles. L’incident le plus important constaté au cours du premier semestre – niveau 10 sur l’échelle de gravité du Breach Level Index –, a concerné un vol d’identité dont a été victime l’assureur-santé Anthem Insurance aux États-Unis, qui a impacté 78,8 millions de fichiers, soit le tiers (32 %) de l’ensemble des fichiers de données volés au cours du premier semestre. Parmi les autres failles notables recensées au cours de la période d’analyse, il faut citer une attaque touchant 21 millions de fichiers de l’US Office of Personnel Management (9,7 sur l’échelle BLI) ; une attaque touchant 50 millions de fichiers de la Direction générale de la population et des affaires de la citoyenneté en Turquie (9,3 sur l’échelle BLI) ; et une défaillance affectant 20 millions de fichiers du site de rencontre russe Top Face (9,2 sur l’échelle BLI). Les dix principales cyber-attaques ont représenté 81,4 % de l’ensemble des fichiers compromis.

« Nous sommes obligés de constater le fort retour sur investissement des attaques sophistiquées que mènent les pirates, qui affectent des volumes considérables de données. Les cybercriminels continuent de s’approprier, la majeure partie du temps en toute impunité, des jeux de données extrêmement précieux. A titre d’exemple, les failles qui ont touché le secteur de la santé au cours du premier semestre leur ont permis de recueillir en moyenne plus de 450 000 fichiers de données, soit une augmentation de 200 % par rapport à la même période de 2014 », explique Jason Hart, vice-président et directeur de la technologie, en charge du pôle protection des données chez Gemalto.

Incidents par source
Le nombre d’attaques conduites à l’instigation ou avec la bénédiction d’un État ou d’un service gouvernemental n’ont représenté que 2 % de l’ensemble des incidents enregistrés. Le nombre de fichiers affectés par ces épisodes représente toutefois 41 % de l’ensemble des fichiers compromis, en raison notamment de l’attaque ayant ciblé Anthem Insurance et l’US Office of Personnel Management. Alors qu’aucune des dix principales failles enregistrées au premier semestre 2014 n’était le résultat d’une action soutenue par un État, trois des principaux incidents recensés cette année ont été menés à l’instigation de services gouvernementaux – et notamment les deux premiers en termes de sévérité.

Les intrusions malveillantes menées à titre individuel ont cependant été la principale cause des failles de données enregistrées au premier semestre 2015, représentant 546 ou 62 % des attaques informatiques, contre 465 ou 58 % au premier semestre de l’année écoulée. 116 millions (soit 46 %) des fichiers affectés globalement l’ont été en raison d’intrusions malveillantes, ce qui constitue un net recul sur les 298 millions d’incidents (71,8 %) répertoriés en 2014.

Incidents par type
Le vol d’identité demeure, au premier semestre, la principale cible des cybercriminels, représentant 75 % de tous les fichiers affectés, et un peu plus de la moitié (53 %) des failles de données enregistrées. Cinq des dix principales failles, y compris les trois premières – toutes trois classées au niveau « catastrophique » sur l’échelle BLI –, ont porté sur des vols d’identité, contre sept sur dix au cours du premier semestre 2014.

Incidents par secteur
De tous les domaines d’activité recensés, les secteurs gouvernementaux et de la santé ont payé le plus lourd tribut à la cybercriminalité, puisqu’ils représentent environ les deux tiers (31 % et 34 % respectivement) des fichiers de données compromis. La santé ne représente toutefois que 21 % des atteintes informatiques enregistrées cette année, contre 29 % au cours du premier semestre de l’année précédente. Le secteur du commerce de détail et de la distribution connaît une nette diminution du nombre de fichiers volés, représentant seulement 4 %, contre 38 % au cours de la même période de l’année écoulée. En termes de localisation géographique, les États-Unis sont le pays le plus touché, avec plus des trois quarts (76 %) des failles de données enregistrées, et près de la moitié (49 %) de l’ensemble des fichiers affectés par des attaques. La Turquie représente 26 % des compromissions de données, avec notamment une attaque massive ciblant la Direction générale de la population et des affaires de la citoyenneté, au cours de laquelle quelque 50 millions de fichiers numériques ont été forcés dans le cadre d’une intrusion malveillante.

Le niveau de chiffrement utilisé pour protéger les données exposées – capable de réduire considérablement le nombre et l’impact des failles de données –, a légèrement augmenté et se situe à 4 % pour toutes les attaques enregistrées, contre 1 % au cours du premier semestre 2014.

« Malgré la fluctuation du nombre de failles de données, la question reste la même : il ne s’agit pas de savoir ‘si’ vous allez être victime d’un vol de données, mais ‘quand’. Les données collectées dans le cadre de l’étude Breach Level Index montrent que la majeure partie des sociétés ne sont pas en mesure de protéger leurs données dès lors que leur défense périmétrique a été mise à mal. Alors même qu’un nombre croissant d’entreprises procèdent à un chiffrement de leurs données, elles ne le font pas au niveau requis pour réduire l’ampleur et la gravité de ces attaques », explique Jason Hart. « Les entreprises doivent adopter une vision de la menace numérique centrée sur les données, à commencer par l’instauration de techniques de gestion des identités et de contrôle d’accès beaucoup plus efficaces, qu’il s’agisse de procédures d’authentification multifactorielle ou du chiffrement des données, pour rendre inutilisables les informations dérobées. »

Selon le cabinet Forrester, l’habileté et la sophistication croissantes des cybercriminels se traduisent par une érosion de l’efficacité des contrôles et techniques de sécurité classiques, essentiellement basées sur un contrôle périphérique. La mutation constante du paysage de la cybercriminalité nécessite donc de nouvelles mesures défensives, avec notamment la généralisation des technologies de chiffrement. Dans l’avenir, les sociétés procéderont par défaut à un chiffrement dynamique de leurs données, mais aussi lorsque leurs systèmes et leurs données seront au repos. Cette approche de la sécurité centrée sur les données s’avère beaucoup plus efficace pour lutter contre des cybercriminels déterminés. En adoptant le chiffrement des données sensibles, qui les rend inutilisables, les sociétés incitent les cybercriminels à aller chercher des cibles beaucoup moins bien protégées. Le chiffrement est appelé à devenir la clé de voûte de la sécurité informatique. Ce sera donc un élément stratégique central pour les responsables de la sécurité et de la gestion des risques au sein des entreprises.1

La synthèse complète des incidents et failles répertoriés au premier semestre 2015, par secteur, source, type et région, est disponible sur : 1H 2015 Breach Level Index Report.

Opération et gestion des crises en cyber défense à Saint-Cyr Coëtquidan

Les écoles militaires de Saint-Cyr Coëtquidan viennent d’ouvrir, ce 31 août, le premier mastère spécialisé « Opération et gestion des crises en cyber défense ».

Le Ministère de la Défense indique que cette toute nouvelle formation a pour but d’appréhender les dimensions stratégiques et politiques d’une crise cyber. « Ce nouvel espace de bataille numérique nécessite une approche globale pour planifier et conduire les opérations tout en appréhendant les dimensions stratégiques et politiques d’une crise cyber« . Unique en son genre et accrédité par la conférence des grandes écoles, un mastère spécialisé « Opération et gestion des crises en cyber défense », doit permettre aux armées de disposer de spécialistes capables d’être l’interface entre les techniciens cyber et les chefs militaires.

Cette formation est inscrite dans le pacte cyber 2014-2016. 532 heures de formation pour 16 stagiaires des 3 armes. Au mois de juillet 2016, après un stage de quatre mois en entreprise ou dans leur future affectation, chaque étudiant rédigera un mémoire professionnel. A noter que pour les « civiles », un master cyber défense vient d’ouvrir ses portes à Valenciennes. Il est baptisé Master CDSI – Cyberdéfense des Systèmes d’Informations. Un licence, sur ce même sujet, est dispensé à l’IUT de Maubeuge : Licence Professionnelle Cyber défense, anti-intrusion des systèmes d’information. (MinDéf)

L’importance d’identifier ses données sensibles

Une récente étude conduite par le Ponemon Institute révèle que 64% des professionnels de l’IT déclarent que leur principal défi en matière de sécurité est de ne pas savoir où se trouvent les données sensibles de leur organisation sur site et dans le cloud. Ils estiment en effet que cette tâche est d’autant plus difficile qu’ils ne sont pas non plus en mesure de déterminer si ces données sont vulnérables à une attaque ou une faille de sécurité. Par Jean-François Pruvot, Regional Director France chez CyberArk pour DataSecurityBreach.fr.

La gestion et la sécurisation efficaces des données sensibles passent par la mise en place de comptes administratifs ou individuels privilégiés pour surveiller et contrôler les accès – quel que soit l’emplacement des données. En effet, les organisations possèdent en moyenne trois à quatre fois plus de comptes à hauts pouvoirs que d’utilisateurs, ce qui rend les comptes à privilèges plus compliqués à gérer et à identifier. Ces derniers sont souvent utilisés par des cyber attaquants pour gagner l’accès au réseau d’une organisation et attaquer insidieusement le cœur de l’entreprise en visant les données et systèmes sensibles. Les hackers se déplacent latéralement à l’intérieur de l’entreprise tout en élevant les privilèges leur donnant accès à l’ensemble du réseau, et peuvent rester virtuellement non détectés pendant de très longues périodes.

Par conséquent, si la majorité des équipes IT ne parviennent pas à tracer les mouvements de leurs données, et n’ont pas non plus suffisamment de visibilité sur les comptes administrateurs permettant d’y accéder, il est indispensable de mettre en place les outils nécessaires pour identifier rapidement les personnes ou machines qui accèdent aux données sensibles – et l’utilisation qui en est faite – pour protéger et renforcer l’efficacité des stratégies de sécurité. « Le fait que 64% des professionnels de l’IT ne pensent pas être capables d’identifier l’emplacement des données sensibles de leur organisation démontre des faiblesses dans les systèmes de protection. Un tel constat confirme la nécessité de sensibiliser les organisations sur le renforcement des mesures de contrôle pour sécuriser l’accès aux données et adhérer à des politiques de sécurité strictes. Avant d’envisager le déploiement de solutions de sécurité, il est essentiel de mettre en place une stratégie dédiée à la gestion de ces données – et en particulier des solutions permettant de mieux gérer, surveiller et contrôler les accès. Que ce soit sur site ou dans le cloud, les entreprises doivent savoir ce qu’elles sécurisent à tout moment et quelles que soient les actions en cours sur les infrastructures afin de protéger ce que de potentiels hackers peuvent dérober. »

Un programme stratégique de sécurisation des comptes à privilèges commence par l’identification de l’emplacement des comptes à hauts pouvoirs et identifiants associés. Sont inclus les comptes administrateurs des machines et postes de travail de l’entreprise, ainsi que les identifiants qui permettent la communication entre applications et entre machines. Les organisations doivent mettre en place les fondements de base de la sécurité incluant des patchs, la mise à jour régulière des systèmes et la rotation fréquente des mots de passe. Sans une vigilance accrue de leur gestion, une personne extérieure, ou un employé n’étant pas censé intervenir sur ces comptes dans le cadre de ses fonctions, pourrait accéder aux données de l’entreprise et en compromettre la sécurité de manière accidentelle ou malveillante.

Ainsi, afin de réduire au maximum les risques de vol ou de pertes de données, l’identification et la cartographie des données est indispensable pour élaborer une stratégie de sécurité parfaitement adaptée aux contraintes de sécurité liées à l’accès au réseau des organisations, et particulièrement dans les environnements virtualisés. Par conséquent, de même qu’on règle son rétroviseur et qu’on attache sa ceinture avant de prendre le volant, les organisations doivent avoir une visibilité complète de leurs données, de leur emplacement et contrôler qui accède aux informations où et quand, afin de les sécuriser de la manière la plus adaptée ; elles peuvent ainsi se prémunir contre les attaques et les infiltrations insidieuses dans leurs systèmes, que les données soient stockées sur site ou dans le cloud.

Les employés en vacances posent-ils un risque pour la sécurité des données d’entreprise ?

Beaucoup d’employés ont du mal à déconnecter pendant leurs congés. En dehors des accès via des connexions parfois non protégées, la perte ou le vol d’un terminal peuvent porter préjudice à la sécurité des données de l’entreprise. Comment en optimiser la protection ? Par Xavier Dreux, Responsable Marketing chez Prim’X

Comme DataSecurityBreach.fr vous le prouvait en 2013, un trop grand nombre d’employés utilisent encore de trop leurs données professionnelles durant leurs vacances. Nous sommes au milieu des congés estivaux et comme chaque année beaucoup de dirigeants et cadre d’entreprises ont du mal à déconnecter. Certains continueront à se connecter à distance à leur messagerie et ou aux serveurs de leur entreprise, d’autres emmèneront tout simplement leur portable sur leur lieu de vacances « au cas où » sans penser ou en sous-estimant les conséquences que cela peut avoir pour la sécurité des données de leur entreprise. Plusieurs solutions s’offrent néanmoins à l’entreprise pour garantir la protection de ses données.

Les fondamentaux

Premièrement, il peut paraître utile de rappeler aux employés et notamment aux cadres que les vacances servent à déconnecter et à se couper avec le stress du quotidien pendant plusieurs jours. En effet, si l’on en croit les résultats d’une étude menée par Roambi et Zebaz, 93% des cadres dirigeants français consultent leurs données professionnelles durant leurs vacances.

Il paraît plus que pertinent d’un point de vue gestion des ressources humaines de transmettre les fondamentaux et d’inciter les employés à gérer leur absence avec les collègues qui resteront présents. Faire une passation de dossiers et prévoir un « testament » avec les points à suivre et les coordonnées des personnes capables d’apporter un soutient en cas d’urgence est déjà un bon début pour partir serein et couper le cordon. Certaines entreprises commencent également à prendre des mesures drastiques d’un point de vue technique en coupant tout simplement les accès des employés pendant la durée de leur absence.

Sensibiliser aux risques

Nous le rappelons constamment chez DataSecuritybreach.fr, le maillon faible de la sécurité c’est l’humain. La sensibilisation doit être renouvelée régulièrement pour être efficace. La période estivale est une excellente opportunité pour transmettre aux salariés une note rappelant quelques-uns des principes de base et les mesures clés pour assurer la sécurité de ses données lorsque l’on est en dehors de l’entreprise.

On peut ainsi souligner les différents risques qui peuvent porter préjudice aux données de l’entreprise : s’assurer que l’on tape le mot de passe de son terminal à l’abri des regard, que la connexion utilisée est sécurisée, ne pas laisser ses terminaux sans surveillance ou les mettre sous clé, etc. Plusieurs actualités ont récemment rappelé les risques liés à l’utilisation des hotspots WiFi publics (gares, aéroports, hôtels, lieux de restauration).

En mars, c’est le magazine Wired qui révélait les risques de sécurité liés à un problème de sécurité des routeurs WiFi utilisés par 8 des 10 plus grandes chaines hôtelières au niveau mondial. En avril, c’est une étude d’Avast Software qui soulignait que 66% des français préfèrent se connecter au Wi-Fi public non sécurisé au risque de perdre leurs données personnelles. Quand on sait que nombre d’employés accèdent à leur messagerie sur le terminal personnel, le risque n’est pas anodin.

Bien entendu les risques de pertes et ou de vols du terminal viennent s’ajouter à celui des connexions. Il est donc opportun de rappeler qu’il faut impérativement protéger son terminal avec un mot de passe adéquat et s’assurer que celui-ci soit à l’abri lorsque vous devez vous en séparer lorsque l’on va à la plage par exemple (coffre fort de chambre, consigne d’hôtel, proches, etc.). Qu’une connexion ne peut se faire sans VPN.

Dans le cadre des meilleures pratiques, c’est à l’entreprise de mettre à disposition de ses salariés et dirigeants des moyens pour protéger leurs terminaux et sécuriser les échanges de données. Sans ce type d’outils, l’employé sera tenté de passer outre les règles de sécurité ou bien de mettre en œuvre des solutions de protection par ses propres moyens, sous réserve qu’il ait été sensibilisé aux problématiques de sécurité. Aucune de ces solutions n’est souhaitable. L’entreprise doit conserver la responsabilité de la sécurité L’important n’est pas uniquement de rester opérationnels mais surtout de ne pas mettre en péril l’entreprise et son patrimoine informationnel. Et comme nous l’avons vu, il existe aujourd’hui plusieurs moyens simples de protéger les données présentes sur un terminal emmené en congé par les professionnels.

Dernier point, savoir se déconnecter pendant ses vacances, une vraie preuve de professionnalisme !

Un appareil médical interdit en raison de vulnérabilités numériques

La Food and Drug administration vient de faire interdire un appareil médical considéré comme dangereux en raison de trop nombreuses vulnérabilités informatiques. Un pirate pourrait manipuler les transfusions à un patient.

La FDA, la Food and Drug administration, l’Agence américaine des produits alimentaires et médicamenteux vient de tirer la sonnette d’alarme au sujet des matériels médicaux face aux pirates informatiques. Pour ce faire entendre, et faire de manière à ce que les constructeurs écoutent avec leurs deux oreilles, la FDA vient de faire interdire le dispositif médical de la société Hospita.

Le matériel incriminé, une pompe à perfusion, l’Hospira Symbiq Infusion System. La FDA encourage « fortement les établissements de soins de santé à changer de matériel, à utiliser des systèmes de perfusion de rechange, et de cesser l’utilisation de ces pompes [celles d’Hospita]. »

La raison de cette interdiction ? Trop de vulnérabilités pourraient être exploitées par des pirates informatiques, et donc mettre en danger les patients. Des failles qui pourraient permettre à un utilisateur non autorisé de contrôler l’appareil et de modifier la perfusion. Délivrer plus ou moins de médicament par exemple.

Une interdiction qui était prévue chez Hospira. Le constructeur avait annoncé en mai 2013 qu’il mettrait à la « retraite » Symbiq, ainsi que d’autres pompes à perfusion. Une mise à la retraite prévue pour la fin 2015.

La France, 1ère cible des attaques DDoS de botnet en Europe au 2ème trimestre 2015

Les trois quarts des ressources attaquées au deuxième trimestre de 2015 par des botnets se situent dans 10 pays seulement, selon les statistiques du système Kaspersky DDoS Intelligence.

En tête du classement, les États-Unis et de la Chine enregistrent un grand nombre d’attaques à cause du faible coût d’hébergement de ces pays. Cependant, les changements dans les autres positions du classement et le nombre croissant de pays affectés par ce type d’attaque prouvent qu’aucun territoire n’est sécurisé face aux attaques DDoS. Le nombre de pays où les ressources attaquées ont été localisés a augmenté de 76 à 79 au cours du deuxième trimestre de 2015 ; Dans le même temps, 72% des victimes se situaient dans seulement 10 pays ; Cependant, ce chiffre a diminué comparé à la période précédente, avec 9 victimes sur 10 présentes dans le top 10 au premier trimestre.

Le top 10 du deuxième trimestre incluait la Croatie, tandis que les Pays-Bas ont quitté le classement. La Chine et les Etats-Unis ont gardé leurs positions dominantes ; la Corée du Sud a fait descendre le Canada de sa troisième place. La cause en est une explosion des activités de botnets, la plupart ciblant la Corée du Sud. En outre, la proportion d’attaques localisées en Russie et au Canada a diminué comparé au trimestre précédent.

Une forte augmentation du nombre d’attaques a été observée dans la première semaine de mai, tandis que la fin du mois de juin montrait la plus faible activité. Le pic d’attaques par jour (1960) a été enregistré le 7 mai ; Le jour le plus « calme » a été le 25 juin avec seulement 73 attaques enregistrées ; Dans le même temps, la plus longue attaque DDoS du trimestre a duré 205 heures (8,5 jours).

Concernant la technologie sur laquelle sont basées les attaques, les cybercriminels impliqués dans le développement de botnets DDoS investissent de plus en plus dans la création de botnets d’appareils de systèmes de réseaux comme les routeurs et modems DSL. Ces changements annoncent sûrement une augmentation du nombre d’attaques DDoS utilisant des botnets à l’avenir.

Alerte du CERT US

Le CERT USA a lancé une alerte à ce sujet, le 17 août 2015. Même alerte pour l’Internet Crime Center (IC3) qui rajounte que des campagnes d’extorsion menacent les entreprises avec un déni de service (distribué DDoS). Si les entreprises ne paient pas une rançon, ils sont attaqués. La menace vient généralement par mail, et les rançons varient. Elles sont généralement exigées en Bitcoin. Dans les attaques connues et référencées par l’IC3, elle se composait principalement de Discovery Protocol (Simple SSDP) et NTP (Network Time Protocol). La plupart des attaques ont duré une à deux heures avec 30 à 45 gigaoctets de données envoyées. Le FBI pense que plusieurs personnes sont impliquées dans ces campagnes et que les attaques vont s’étendre d’autres industries en ligne. Selon MarketWatch, un site hors service peut coûter jusqu’à 100.000 dollars de l’heure pour certains établissements financiers. Des attaques de plus en plus simples à mettre en place, sans aucune connaissance technique préalable.

La sécurité informatique au sein des environnements industriels 4.0 : le savoir est la meilleure protection

Avec l’Industrie 4.0, les entreprises du secteur industriel ont accès à l’Internet… mais risquent également d’ouvrir leurs portes aux pirates. La meilleure façon de se protéger des fuites de données et du sabotage est de tirer parti d’informations décisionnelles. Des initiatives comme Shodan et Conpot permettent aux équipes chargées de la sécurité de profiter de grandes quantités de renseignements sur leurs propres vulnérabilités et les méthodes des pirates. Comme le dit notre slogan, chez DataSecurityBreach.fr, s’informer, c’est déjà se sécuriser.

Les sites de production des sociétés industrielles et du secteur de l’énergie ont été relativement à l’abri des attaques au cours des dernières décennies. Les systèmes de contrôle industriel (ICS) les plus répandus tels que les SCADA étaient optimisés pour accroître le rendement, et tenus à l’écart d’Internet (créant ainsi le fameux « Air Gap », ou « lame d’air »). Ils communiquaient à l’aide de protocoles propriétaires tels que Modbus, Profibus, S7comm ou DNP3, et étaient rarement les cibles des cybercriminels.

La situation a changé. L’interconnexion des systèmes de production est la promesse de gains énormes en matière de rendement, ce qui pousse de plus en plus d’entreprises à ouvrir leurs réseaux. Cette approche leur permet de simplifier et de centraliser la gestion de leur système, facilite la fourniture de nouveaux services, et contribue à minimiser les temps d’arrêt liés à l’assistance et à la maintenance, ainsi que leurs coûts.

Connecter des réseaux ICS à Internet présente cependant des menaces réelles. Un pirate parvenant à accéder au réseau peut alors infiltrer l’environnement de production étape par étape. Le logiciel et le matériel propriétaires utilisés ne sont généralement pas intégrés avec les systèmes de sécurité, et sont donc essentiellement non protégés. Selon ses objectifs et ses intentions, le pirate peut commencer à récupérer des données sensibles, manipuler les processus de production ou même saboter l’environnement de production tout entier. Le potentiel de dégâts de ce type d’attaques (prenons l’exemple marquant d’une attaque menée à l’encontre d’une centrale) est évidemment nettement plus élevé que celui d’une attaque MITM (l’interception de communications entre deux parties) contre une entreprise du secteur tertiaire ou autre.

Au commencement, il y eut Stuxnet
Au cours des dernières années, de nombreuses attaques de ce genre ont été enregistrées, Stuxnet en étant l’exemple le plus connu. En 2010, le ver SCADA (qui sans doute a été développé par des organismes gouvernementaux occidentaux) a ainsi saboté le projet de recherche nucléaire iranien. Ce fut le premier logiciel malveillant prouvant (officiellement) que du code informatique pouvait provoquer des dégâts sur des équipements matériels. Depuis, bien d’autres ont été menées à l’encontre de sites industriels, souvent en utilisant des logiciels malveillants créés sur mesure avec des fonctionnalités destinés aux ICS, comme Duqu ou Havex.

L’organe ICS-CERT (géré par le département américain de la Sécurité intérieure, et spécialisée dans la protection des infrastructures critiques) énumère d’ailleurs plusieurs faits inquiétants dans son Rapport pour l’année 2014 : son équipe d’analyse de la sécurité a été consultée dans près de 250 cas afin de participer à l’analyse de cyberattaques lancées sur des cibles critiques. Une grande partie de ces attaques étaient ciblées, les pirates s’infiltrant souvent dans les entreprises par la partie connectée à Internet de leur réseau à l’aide de logiciels malveillants sur mesure. Les cybercriminels utilisent également une grande variété de techniques. Selon l’ICS-CERT, le Spear phishing (une variante de hameçonnage où les employés sont convaincus d’exécuter des logiciels malveillants grâce à des e-mails semblant provenir de leurs supérieurs) reste le vecteur d’attaque le plus populaire. Mais d’autres menaces gagnent aussi en popularité, comme les attaques aux « points d’eau » (« watering hole »), une stratégie consistant à remplacer les mises à jour logicielles sur les sites des éditeurs par des chevaux de Troie, eux aussi taillés sur mesure.

Le BSI répertorie les attaques contre les ICS

L’Office fédéral allemand pour la sécurité des technologies de l’information (BSI) brosse un tableau similaire. Son rapport annuel « État des lieux de la sécurité informatique en Allemagne en 2014 » documente, entre autres, une attaque réussie sur une aciérie allemande. Les pirates ont utilisé les méthodes du Spear Phishing et de l’ingénierie sociale pour accéder au réseau de l’entreprise victime. Ils ont alors infiltré l’environnement de production, où ils ont causé d’énormes dégâts en compromettant plusieurs systèmes de contrôle. Le BSI affirme que les cybercriminels possédaient des connaissances détaillées sur les systèmes de contrôle industriel et les processus de production, en plus de leurs évidentes compétences en informatiques.

L’information est d’une importance cruciale

La guerre cybernétique a donc atteint les sites de production. Cela ne signifie pas nécessairement que le secteur industriel devrait renoncer au potentiel offert par l’interconnectivité, ni même en ralentir la progression. Les services chargés de la sécurité informatique doivent utiliser des systèmes de sécurité existants pour faire en sorte que les réseaux soient connectés à l’Internet de façon sécurisée. Mais pour cela, il leur faut d’abord des informations décisionnelles et détaillées. Ils doivent également connaître les vulnérabilités de leurs réseaux de production, les vecteurs d’attaque et les outils de piratage, ce qui leur permettra d’analyser les attaques, de neutraliser les logiciels malveillants et de réparer les dégâts éventuels.

Les experts en matière de sécurité cherchant à rassembler ces informations peuvent également s’appuyer sur leurs grandes connaissances et leurs réseaux de renseignement établis : d’une certaine façon, les attaques contre les systèmes industriels sont assez similaires aux attaques classiques contre les environnements informatiques des entreprises du tertiaire. Mais, bien que la protection effective de certains systèmes ICS puisse être très étendue, le problème reste que les informations disponibles sont limitées. Heureusement, la situation évolue également à ce niveau. Plusieurs initiatives de sécurité innovantes sont axées sur la protection des milieux industriels, et ont clairement pour principal objectif de fournir aux professionnels de la sécurité les renseignements dont ils ont besoin sur les menaces et les vulnérabilités.

Shodan et honeypot Conpot ICS/SCADA, des initiatives intéressantes

Shodan : le moteur de recherche pour l’IdO
Le moteur de recherche Shodan a été créé par le développeur John Matherly en 2009, permettant ainsi aux utilisateurs de rechercher sur le web une grande variété de systèmes connectés à Internet. Contrairement aux moteurs orientés contenu comme Google, Shodan utilise les scans des ports des adresses IP disponibles, puis recueille et indexe les bannières qu’il reçoit ensuite. Il peut ainsi parcourir le Web à la recherche de serveurs ou de routeurs d’un certain type, ou même de terminaux possédant des adresses IP comme des caméras de sécurité ou des dispositifs médicaux. Les utilisateurs peuvent créer leurs requêtes en utilisant une grande variété d’options de filtrage, par exemple en combinant des noms de fournisseurs, des informations sur des ports, des codes ou des protocoles régionaux afin de trouver des serveurs SCADA dans leur pays. Shodan est donc un bon outil pour localiser les vulnérabilités ou les systèmes mal configurés au sein de votre réseau : si une recherche révèle que l’un des automates ou l’une des IHM sur la plage d’IP de votre entreprise est visible sur Internet, vous savez que l’un de vos systèmes est probablement mal configuré et avez la possibilité de corriger cette erreur. Les vulnérabilités causées par des systèmes non patchés, des ports ouverts ou des mots de passe par défaut inchangés peuvent être repérées et corrigées tout aussi facilement. Cependant, si vous trouvez votre système sur Shodan, il est probable que vous ne soyez pas le seul. La proactivité reste donc de mise.

En outre, ce moteur de recherche n’est pas sans détracteurs. Comme presque toutes les solutions de test et de gestion des vulnérabilités, Shodan est souvent critiqué car il peut être utilisé à mauvais escient comme outil de piratage puissant, ce qui est incontestable : des boîtes à outils de piratage avec des interfaces Shodan existent depuis longtemps sur le Darknet. Mais la plupart des experts en sécurité s’accordent sur le fait que des fonctions de recherche similaires sont également disponibles en utilisant des botnets. Les professionnels de la sécurité des environnements industriels devraient clairement envisager d’intégrer Shodan à leur gestion des vulnérabilités.

Analyser les vulnérabilités et minimiser la visibilité d’un ICS sur Internet est de toute évidence un premier pas important dans la sécurisation des environnements de production. Mais la recrudescence des menaces ciblées persistantes et complexes (APT), qui sont créées sur mesure pour passer à travers les mailles des systèmes de sécurité existants, oblige les équipes chargées de la sécurité à analyser l’éventail des menaces tout aussi minutieusement.

Malheureusement, peu d’informations sont disponibles sur la façon dont les attaques contre les sites industriels surviennent, ou alors ces renseignements sont publiés trop longtemps après un incident. En effet, peu de cas sont documentés, et peu d’informations tangibles sur les menaces ont été recueillies jusqu’à présent. L’initiative de sécurité Conpot a pour but de changer la donne.

Conpot : des pots de miel pour le secteur industriel

L’initiative Conpot (abréviation de « système de contrôle Honeypot ») a été créée sous l’égide du Projet Honeynet par un groupe de professionnels de la sécurité expérimentés, parmi lesquels Lukas Rist de Blue Coat Systems. Le principe est de créer partout sur Internet des systèmes virtuels interactifs se comportant exactement comme des serveurs ICS ou des réseaux industriels non protégés. Une fois ces systèmes en place, le développeur du système honeypot (« pot de miel ») n’a plus qu’à attendre qu’un pirate attaque le site, terminal distant (RTU) ou ICS ainsi émulé, et peut alors observer et analyser l’attaque étape par étape. Par nature, tous les cas permettent de procéder à une analyse utile de leur vecteur d’attaque. L’intérêt supérieur de ces pots de miel se manifeste lorsque les membres de cette initiative peuvent corréler les données de plusieurs dizaines d’attaques, puis analyser leurs tendances et évolutions, identifier d’éventuels axes régionaux ou thématiques d’attaque, et recueillir ainsi davantage des données précieuses.

Habituellement, pour un analyste, rechercher une anomalie dans son réseau de production est comme chercher une aiguille dans une botte de foin. En déployant un honeypot dans votre réseau, tous les événements qui atteignent ce terminal sont susceptibles d’être des « aiguilles » (par exemple les attaques ou dispositifs mal configurés), étant donné qu’aucun élément réel n’est censé communiquer avec ce pot de miel. Ce dernier peut également être vu comme un leurre : le temps qu’y passe le pirate ainsi piégé correspond au laps de temps dont vous disposez pour sécuriser votre infrastructure critique avant qu’elle ne soit compromise à son tour.

N’importe quel professionnel de la sécurité peut contribuer à Conpot. L’émulateur est disponible en tant que logiciel Open Source à l’adresse www.conpot.org. Avec cet outil puissant, chaque développeur a la possibilité de concevoir un modèle réaliste et virtuel de son environnement, et de le connecter à Internet. Ainsi, les responsables de la sécurité peuvent obtenir des renseignements utiles leur indiquant ce à quoi ils doivent s’attendre en connectant leurs systèmes à Internet, et peuvent planifier leurs défenses en conséquence.

Les cyberattaques menées à l’encontre d’environnements industriels sont un phénomène réel. Ces attaques suivent essentiellement les mêmes mécanismes que pour les environnements des entreprises classiques du tertiaire. Une grande partie des attaques ont des motifs professionnels : d’abord, parce que les lamers (ou « script kiddies ») ne sont pas encore vraiment actifs dans ce segment, et ensuite parce que l’énorme potentiel de dégâts (ou la valeur des actifs) suscite l’intérêt d’acteurs importants tels que des organismes gouvernementaux, des groupes terroristes et des voleurs de données professionnelles. Les entreprises cherchant à sécuriser leurs réseaux doivent donc vérifier et minimiser la visibilité de leurs systèmes ICS sur Internet. Face à la recrudescence des menaces complexes, il est de plus en plus important de collecter de renseignements sur les menaces. Les équipes de sécurité ont besoin d’informations détaillées sur les vecteurs d’attaque et sur l’ensemble du cycle de vie des menaces. Ils peuvent alors élaborer une stratégie de défense globale en s’appuyant sur ces informations. Des initiatives telles Shodan et Conpot sont d’ailleurs un bon point de départ pour la collecte des renseignements nécessaires.

En parallèle, les entreprises doivent mettre en œuvre des meilleures pratiques de sécurité et protéger minutieusement les parties de leurs réseaux accessibles au public. Des solutions de sécurité dédiées aux ICS existent également pour les environnements particulièrement sensibles. Par exemple, Blue Coat propose la solution d’analyse ICS Protection Scanner Station, qui protège les systèmes industriels des logiciels malveillants véhiculés par des périphériques USB. En outre, la solution Security Analytics Platform Analytics propose également un module SCADA ThreatBLADE permettant d’identifier en temps réel les activités potentiellement malveillantes ciblant les systèmes SCADA.

Le rêve d’une solution parfaitement intégrée pour la protection des environnements industriels ne deviendra réalité qu’une fois que l’ensemble des différentes normes industrielles propriétaires auront été remplacées par des systèmes informatiques standard, et ces derniers intégrés aux architectures de sécurité existantes. Les technologies nécessaires pour cela (le protocole réseau IPv6, la surveillance complète des réseaux et la gestion rigoureuse des correctifs et des vulnérabilités) existent maintenant depuis un certain temps. L’étape suivante est leur mise en œuvre complète, ce qui pourrait prendre un certain temps en raison des cycles de vie plus longs des équipements industriels. (Christophe Birkeland pour DataSecurityBreacg.fr. Il est directeur technique en charge de la division Malware Analysis chez Blue Coat Systems).

Cyber-sécurité : Les PME démunies face aux nouveaux risques

La sécurité pose un réel problème aux PME qui n’ont bien souvent pas les moyens d’avoir une équipe informatique dédiée afin de faire face à tous les challenges engendrés par les nouvelles technologies et les nouvelles habitudes de vie. A ces nouveaux challenges de sécurisation s’ajoute l’inventivité des hackers qui ne cessent de renouveler leurs techniques d’attaques.

Pour répondre à cette problématique, l’ANSSI (agence nationale de la sécurité des systèmes d’information) et la CGPME (conférence Générale des Petites et Moyennes Entreprises) ont publié un guide de bonnes pratiques de l’informatique relatant les 12 règles essentielles pour sécuriser les équipements informatiques. Les mesures sont variées, et pour certaines basiques : sécurisation des mots de passe, de la connexion wi-fi, sauvegardes régulières ou encore mise à jour des logiciels pour disposer des derniers patchs de sécurité. Mais, parmi ces mesures basiques, certaines règles viennent encadrer les nouveaux usages informatiques.

Règle n°3 : Bien connaître ses utilisateurs et ses prestataires
Le conseil pourrait sembler évident mais à l’heure des services hébergés en cloud, il est primordial de connaître les standards de son fournisseur en termes de sécurité et de conformité. Selon une étude Freeform Dynamics commandée par Barracuda Networks, 69% des entreprises prévoient une utilisation de plus en plus fréquente du cloud pour les services essentiels tels que les emails et la gestion de la relation client. Pour bien penser sa sécurité, il faut aussi comprendre quelle expérience les utilisateurs feront des infrastructures et des services informatiques.

Règle n°6 : Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur
Autre tendance pouvant affecter la sécurité de l’entreprise : l’utilisation croissante de tablettes et de smartphones – qu’ils soient personnels (BYOD) ou fournis par l’entreprise. Les collaborateurs utilisent ces terminaux pour travailler et pour accéder au réseau de l’entreprise, toujours selon l’étude Freeform Dynamics : 62% des interrogés prévoient une augmentation de l’accès mobile et à distance aux réseaux informatiques de l’entreprise.

Pourtant ce matériel reste très peu sécurisé et représente un danger notable. Chaque appareil personnel connecté au réseau représente une porte d’entrée potentielle pour les cyber-attaques.  Les entreprises doivent donc s’assurer de la sécurisation de ces terminaux, soit en les fournissant elles-mêmes à ses employés soit en offrant une solution pour sécuriser leurs propres appareils.

Les entreprises sont conscientes des problèmes de cyber-sécurité auxquelles elles se confrontent, mais ne savent pas par où les attaquer. Le guide prodigue les conseils essentiels, les avertit du danger, mais il est essentiel maintenant d’enseigner aux PME les bonnes pratiques de la sécurité informatique. (Par Stéphane Castagné, pour DataSecurityBreach.fr – Responsable Commercial France – Barracuda Networks)

Fuite de données dans les poubelles de Motel 6

Retrouver des photocopies de permis de conduire, des copies de plaques d’immatriculations, des signatures ou encore des identités à la sortie d’un Hôtel, voilà une fuite de données pas courante… ou presque.

La chaîne américaine d’hôtels, Motel 6, fait face à une fuite de données peu courante. Une cliente a découvert des centaines de dossiers aux pieds des poubelles d’une des structures hôtelière du groupe. En regardant les dossiers, des contenus privés et sensibles allant des photocopies de permis de conduire, des numéros de téléphones, des numéros de plaques d’immatriculation et même des signatures de clients.

A première vue l’Oncle Sam a du mal à faire comprendre à certaines entreprises comment bien détruire les données privées et sensibles qu’elles collectent. Comme ces confettis utilisés pour fêtes les championnes du monde de football qui n’étaient rien d’autre que des dossiers médicaux découpés en petites bandes de papier… pour faire la fête ! (Image KalTv)

Amende : 3 millions d’euros pour ne pas avoir protégé les mots de passe clients

Deux entreprises de télécommunications américaines condamnées à payer 3,5 millions de dollars pour ne pas avoir correctement protégé leurs clients.

TerraCom et YourTel America, deux fournisseurs de services mobiles, ont été pris la main dans le pot de miel. En 2014, il était découvert les dossiers des clients des deux entreprises. 300.000 clients ont été impactés par cette mauvaise maîtrise de leurs informations par les sociétés en qui ils avaient confiance. La FCC, Federal Communications Commission vient de condamner (2) les deux sociétés à 3,5 millions de dollars d’amende.

La Garde Nationale Américaine visée par une fuite de données

Les anciens et actuels membres de la Garde nationale de l’armée américaine pourraient être affectés par une violation de leurs renseignements personnels à la suite d’une fuite informatique de leurs données.

Cet incident n’a pas de rapport avec la violation des renseignements personnels de 19,7 millions d’employés « civils » du gouvernement fédéral américain (+ 1,8 millions de personnels extérieurs) à la suite de deux piratages de l’Office of Personnel Management (OPM). La nouvelle fuite du jour vise le centre de la Garde Nationale de l’armée américaine, le National Guard Bureau. « Tous les membres de la Garde nationale de l’armée, actuels et anciens, et cela depuis 2004, pourraient être affectés par cette violation » confirme un fonctionnaire américain. Les données ont été transférées par inadvertance à un centre de données qui n’était pas accrédité par le Département de la Défense. Earl Brown, porte-parole du National Guard Bureau, indique que les données concernées comprennent les noms des soldats, les numéros complets de sécurité sociale, les dates de naissance et les adresses physiques des militaires. Le Bureau de la Garde nationale a mis en place une page Web dédiée à cette fuite.

Pour l’OPM, se sont deux piratages qui ont été découverts. En Avril 2015, l’OPM découvrait que les données personnelles de 4,2 millions d’employés du gouvernement fédéral, anciens et actuels, avaient été volées. Lors de l’enquête, il était relevé un autre vol, en juin 2015 cette fois. Les données sensibles, dont le numéro de sécurité sociale US (qui peut permettre, par exemple, d’ouvrir un compte en banque, NDR), ont été subtilisées à 21,5 millions de personnes sauvegardées dans les bases de données de l’OPM.

Vos ex-collaborateurs emportent avec eux plus que vous ne croyez

Selon le Bureau des statistiques du travail des États-Unis (Bureau of Labor Statistics), 965 000 personnes ont quitté leur poste dans l’industrie des services en 2014. À l’âge des fuites de données massives, des exigences en matière de conformité et des budgets IT réduits, l’on se pose inévitablement les questions suivantes : Ces entreprises ont-elles fermé les comptes, droits de connexion et accès aux informations d’entreprise de leurs ex-collaborateurs ? Ont-elles récupéré leurs biens matériels et logiciels d’entreprise ?

Les réponses sont surprenantes. Selon une enquête menée auprès d’ex-collaborateurs par Osterman Research et Intermedia, c’est stupéfiant : 89 % des personnes interrogées ont conservé l’accès à au moins une application d’un précédent employeur et 45 % ont toujours accès à des données confidentielles. Un nombre surprenant (49 %) de ces personnes admet s’être connecté à un compte après avoir quitté l’entreprise.

Comment expliquer qu’un si grand nombre d’entreprises aient négligé de prendre des précautions simples et de bon sens concernant leurs anciens collaborateurs ? Le plus souvent, c’est dû aux processus et outils d’accueil et de départ des collaborateurs qui sont peu performants. Dans de nombreuses entreprises, ces processus et workflows sont non seulement manuels et un peu hasardeux, mais ils reposent sur de nombreux acteurs différents qui interagissent rarement.

Il est fréquent qu’un nouveau collaborateur doive s’adresser à une personne pour obtenir un téléphone, à une autre pour un ordinateur portable, et encore une autre pour avoir un compte d’e-mail et un accès réseau. Lorsque ce collaborateur quitte l’entreprise, on ne sait plus vraiment qui est responsable de la récupération de tous ces équipements et logiciels : le supérieur du collaborateur ou toutes les personnes citées plus haut. À moins qu’une seule personne ou un seul outil ne fasse le suivi de tous les biens et processus, des failles sont inévitables.

Les piètres performances des outils et processus d’accueil des nouveaux collaborateurs et de départ des anciens sont nuisibles pour de nombreuses raisons, notamment : Productivité, Finances, Sécurité et Conformité. La meilleure façon d’éviter les faiblesses dans la gestion des biens, et l’accueil ou le départ des collaborateurs, consiste à consolider et à automatiser les processus.

Commencez par regrouper tous les processus hétérogènes qui interviennent dans l’accueil ou le départ des collaborateurs pour réduire leur nombre autant que possible. Lorsqu’un nouveau collaborateur arrive, un seul processus doit lui fournir tous les biens (équipements, logiciels, accès aux e-mails, aux applications et autres comptes, etc.) nécessaires pour qu’il puisse commencer à travailler. Les départements IT ou RH doivent générer une liste unique des biens affectés, sur la base du rôle du nouveau collaborateur dans l’entreprise.

Tous les processus d’arrivée et de départ des collaborateurs doivent être aussi automatisés que possible, car des processus et workflows manuels disparates génèrent souvent des erreurs, des omissions et des non-respects (intentionnels ou non) des processus.

Un solide outil de gestion du cycle de vie des biens s’avère utile, en automatisant les workflows de processus qui accélèrent toutes les notifications, étapes et approbations nécessaires pour effectuer avec succès les opérations d’accueil ou de départ d’un collaborateur. Comme ils font le suivi de tous les biens matériels et logiciels, de l’approvisionnement à l’affectation, la réaffectation et jusqu’à la mise au rebut, les outils de cycle de vie des biens permettent de déterminer rapidement la disponibilité des biens, et de les réaffecter à d’autres rôles ou individus. Vous pouvez également récupérer et réaffecter des biens lorsqu’un collaborateur change de poste ou quitte l’entreprise, ce qui accélère l’approvisionnement en nouveaux biens si aucun n’est disponible. Vous garantissez ainsi qu’aucun bien ni accès ne quitte l’entreprise, ni ne reste inutilisé.

Les processus de gestion des biens et d’arrivée/départ de collaborateurs sont truffés d’erreurs, donc générateurs de risques et de dépenses inutiles. Vous connaissez les biens dont vous disposez, leur emplacement et leurs performances. Ainsi, les nouveaux collaborateurs sont plus rapidement productifs et les entreprises évitent les failles de sécurité, les dépenses inutiles et les amendes pour non-conformité. (Par Jacob Christensen, pour DataSecurityBreach.fr, Marketing Product Manager chez LANDESK)

Les commerciaux et les managers, cibles des pirates

Cyber-protection des réseaux : les équipes commerciales et le management sont de plus en plus exposés aux attaques alors que moins de 50 % sont formés à la cybersécurité. Avec une hausse de 87 % d’URL infectées, le risque d’attaques réussies visant les employés non formés s’accentue.

La nouvelle enquête d’Intel Security illustre que les collaborateurs de la DSI restent les plus exposés aux cyberattaques (26 % au niveau européen contre 33 % en France, ce taux étant le plus élevé), les équipes commerciales et les managers (top et middle management) le deviennent de plus en plus. En France, 18 % des commerciaux, 17 % du middle management et 14 % des dirigeants sont des cibles potentielles car ils ont des contacts avec des individus extérieurs à l’entreprise – ces données sont respectivement de 21 %, 13 % et 10 % au niveau européen. Viennent ensuite les personnels d’accueil (5 % en France, taux identique à la moyenne européenne), et le service client (seulement 7 % en France, contre 15 % au niveau européen).

Or ces professionnels restent tous insuffisamment formés à la sécurité informatique. Le risque est particulièrement fort au niveau des équipes commerciales avec 78 % de professionnels non formés (niveau record en Europe où la moyenne est de 64 %) et 75 % des personnels d’accueil (contre 72 % eu niveau européen). Ces taux descendent un peu pour le top management (65 % de non formés) et pour les équipes du service client (68 %). La moitié du middle management est quant à elle formée (51 % en France, 46 % au niveau européen).

Avec une croissance de 87 % des URLs infectées[2], enregistrée entre 2013 et 2014, le risque de cliquer sur un lien dangereux et de déclencher involontairement une attaque sur le réseau de leur entreprise est devenu très élevé et impose un changement de posture.

Le top 5 des méthodes d’attaque de réseau
En complément de l’enquête, le dernier rapport d’Intel Security « Top 5 des attaques réseau : analyse détaillée du point de vue du voleur » identifie les principales attaques réseau qui menacent les entreprises aujourd’hui. Ce rapport souligne qu’au-delà des attaques ciblant les personnes non averties via leurs navigateurs avec des liens corrompus, les attaques de réseaux, les attaques furtives, les techniques évasives et les attaques SSL (qui se cachent dans le trafic crypté d’une entreprise) constituent une menace croissante pour les entreprises. Elles représentent d’ailleurs plus de 83 millions d’attaques réseau par trimestre.

Attaques furtives, pour tout savoir sur vous
Avec 387 nouvelles menaces détectées chaque minute dans le monde, l’étude révèle que les attaques furtives avancées qui se camouflent pour se faufiler dans les réseaux des entreprises, sont à la hausse. Pour contrer l’augmentation de ces menaces informatiques, les professionnels informatiques français réévaluent la stratégie de sécurité en moyenne tous les huit mois, en ligne avec les pratiques des autres pays européens sondés. 21 % mettent à jour leur système de sécurité moins d’une fois par an (contre 30 % en moyenne au niveau européen). Malgré cela, 72 % d’entre eux (et 74 % en moyenne en Europe) sont persuadés que leur système de sécurité pourra contrer ces nouvelles générations de cyberattaques.

Néanmoins, 67 % des équipes informatiques françaises (et 74 % au niveau européen) admettent que leur entreprise devrait adopter une stratégie de sécurité intégrant des solutions et techniques interconnectées et qui partagent entre elles leurs informations – une stratégie connectée, reconnue pour son efficacité dans la lutte contre des attaques furtives avancées.

Attaques de réseau, les pirates vous frapper là où ça fait mal
Conçu pour créer une panne de réseau, les attaques DDoS, utilisées par des hackers et cybercriminels pour détourner l’attention d’une entreprise, tandis qu’ils se faufilent dans leur système et volent des données, sont devenues une menace très importante. L’étude dévoile que 45 % des attaques réseau se font de cette manière. Pourtant seulement 20 % des professionnels informatiques français et européens estiment que ces attaques constituent la principale menace pour le réseau de leur entreprise.

Ces attaques DDoS s’accompagnent souvent d’une demande de rançon – on parle dans ce cas de ransomware. Le dernier Threat Report d’Intel Security début juin 2015 notait une augmentation de +165 % de ce type d’attaques au 1er trimestre 2015. Mais là encore, l’appréciation du risque est très faible : seuls 20 % des professionnels informatiques en Europe estiment que les demandes de rançons sont une réelle menace pour le réseau de leur entreprise. 7 % en France et 4 % en Europe estiment que les ransomwares sont la plus grande menace qui pèse sur leur réseau.

Pour David Grout, directeur technique Europe du Sud chez Intel Security explique à DataSecurityBreach.fr, « Les nouvelles menaces développées sans relâche 24/24 et 7/7 imposent aux équipes informatiques de repenser leur approche de la sécurité des réseaux. En continuant de s’appuyer sur des stratégies de sécurité trop globales et qui ne sont pas en phase avec les dernières menaces, elles compromettent la sécurité de leurs entreprises face aux nouvelles ressources déployées par les cyber-criminels ».

Cette étude insiste sur la nécessité de prendre le temps de comprendre la façon dont les attaques réseau évoluent afin de mieux appréhender les nouvelles menaces que les entreprises vont devoir contrer. Elle montre qu’il existe un profond décalage entre l’évolution des attaques et la perception qu’en ont les équipes informatiques.

« Avec la hausse des URL infectées, les entreprises ne peuvent plus négliger la formation des équipes non IT – qui comptent parmi les plus exposés aux cybermenaces. En attendant, les attaques réseau (DDoS, ransomwares, les attaques SSL et autres techniques avancées) se développent considérablement et imposent aux services informatiques et professionnels de la sécurité de mettre à jour leurs stratégies. Au-delà du simple déploiement de nouvelles solutions, ils devront évaluer la façon dont leurs systèmes communiquent les uns avec les autres pour protéger l’ensemble du réseau, » a conclu David Grout.

[1] Réalisée par le cabinet d’études de marché spécialisé Vanson Bourne, l’enquête a été menée auprès de 300 décideurs IT en France, en Royaume-Uni et en Allemagne dans des entreprises privées (1,000+ salariés).

[2] Comme indiqué dans le dernier rapport d’Intel Security « Top 5 des attaques réseau : analyse détaillée du point de vue du voleur ».

Nos données de santé, source de convoitises pour les pirates

91% des entreprises de santé interrogées ont subi une violation de leurs données au cours de ces 2 dernières années selon l’étude « Privacy and Security of Healthcare Data » du Ponemon Institute et seulement 32% pensent avoir les ressources suffisantes pour parer ces incidents1. La majorité des entreprises de santé sont désarmées et ne sont absolument pas en mesure de répondre à la Réglementation européenne sur la Protection des Données qui devrait être mise en application très prochainement.

L’étude Ponemon montre que, pour la première fois, les attaques criminelles sont la première cause de violations de données de santé. Jusqu’alors, la perte ou le vol d’ordinateurs, de tablettes ou de smartphones par négligence avait conduit à des violations de données. Aujourd’hui, les choses ont évolué. Nous passons des violations de données accidentelles ou opportunistes aux violations de données intentionnelles. Une tendance qui s’affirme. Les cybercriminels ciblent de plus en plus les données médicales. Ils exploitent cette mine de renseignements personnels, financièrement lucratifs. Les centres hospitaliers, laboratoires d’analyses médicales, pharmacies… ne disposent malheureusement pas des ressources, des processus et des technologies pour prévenir et détecter les attaques contre les données sensibles qu’elles manipulent. Leur défaillance, régulièrement pointée du doigt par les médias, se traduit par la fuite des données sensibles de leurs patients. On se souvient par exemple, des centaines de résultats d’analyses médicales provenant d’une soixantaine de laboratoires, accessibles sur Internet à cause d’une faille2 ou de la publication du dossier médical de Michael Schumacher3.

Si l’on observe une légère hausse des investissements des organisations de santé pour protéger les informations médicales, ces efforts restent cependant insuffisants pour contrer les cyber-menaces qui évoluent très rapidement. La moitié des entreprises de santé ont peu confiance – parfois même pas du tout – dans leur capacité à détecter une perte ou un vol de données de leurs patients.

Une faiblesse en décalage avec les obligations légales
En France, les informations relatives à l’état de santé physique et psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la loi Informatique et Liberté. La Réglementation générale sur la protection des données, en cours d’adoption par le Conseil de l’Union Européenne vient compléter la législation française. Les professionnels et les établissements de santé sont strictement tenus au respect des obligations concernant la collecte, l’utilisation, la communication, le stockage et la destruction des données à caractère personnel. En pratique, les professionnels de la santé doivent prendre toutes les précautions nécessaires pour empêcher que ces données soient modifiées, effacées (par erreur ou volontairement) et que des tiers non autorisés y aient accès.

L’absence de mise en œuvre de mesures de sécurité est considérée comme une atteinte grave à la protection de la vie privée et peut être pénalement sanctionnée (amende et emprisonnement). Cependant, de nombreux professionnels ont des difficultés à se mettre en conformité avec la réglementation. En milieu hospitalier, par exemple, médecins, infirmiers et personnel administratif n’ont pas toujours été sensibilisés aux règles à respecter en matière de sécurité et de confidentialité des données.

Une réglementation unique pour toute l’Europe
La mise en œuvre de la future Réglementation sur la Protection des Données qui s’effectuera de manière identique dans tous les pays membres contrairement à la Directive actuelle, devrait avoir d’importantes conséquences sur l’organisation de l’entreprise. Comment respecter cette norme qui va engendrer des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données ?

Toute violation des données devra obligatoirement être déclarée. Concrètement, un système actif de surveillance des échanges et des flux de données devient nécessaire. Il convient en premier d’examiner avec attention le rôle et la responsabilité des différents acteurs de l’entreprise manipulant les dossiers médicaux. Il faut engager une sensibilisation forte au respect des bonnes pratiques, puis établir une politique de sécurité et de protection des données. On commence par évaluer les risques pour décider les actions à adopter, en fonction des faiblesses de l’établissement de santé. Le point clé est la visibilité sur la circulation des données au sein du réseau, compte tenu du risque que leur transmission génère. La mise en place d’une solution de SIEM* est le moyen efficace pour surveiller la sécurité des systèmes informatiques, contrôler l’accès aux systèmes où sont stockées les données médicales et recevoir des alertes quand on y accède. Les logs fournissent une vision complète et exacte de ce qui a été consulté. Informer rapidement les organismes de réglementation en cas de violation des données devient alors possible ainsi que configurer des rapports prouvant la conformité à la Réglementation.

Anticiper la mise en place de solutions efficaces
La communauté des entreprises de santé partage des données vulnérables et offrent une grande surface d’attaque avec de nombreux points d’accès aux cybercriminels de plus en plus habiles à dérober et exploiter des informations personnelles. Aussi convient-il de faire appel à des experts pour mettre en place dès à présent ces exigences en matière de sécurité et de conformité. On peut bien sûr penser que rien ne presse, la mise en œuvre effective de la réglementation étant prévue après une période de deux ans. L’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. (par Frédéric Saulet, pour DataSecurityBreach.fr, Directeur Régional Europe du Sud de LogPoint)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

Les collaborateurs, première menace pour les données de l’entreprise ?

Selon une récente étude[1] réalisée en France, les salariés seraient très confiants quant à la sécurité informatique au sein de leur entreprise. En effet, seuls 36% d’entre eux pensent qu’elle a déjà été la cible de hackers alors qu’en réalité, 90% des organisations reconnaissent avoir déjà subi une attaque. En outre, 85% des personnes interrogées estiment que leur entreprise est bien protégée contre les cyber-attaques et les hackers.

Des résultats qui révèlent une importante contradiction entre la perception des employés et la réalité des risques actuels qui planent sur les ressources et les données d’une organisation alors que les menaces se multiplient et sont de plus en plus sophistiquées. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Ces chiffres sont surprenants dans la mesure où les affaires de faille de sécurité et de vol de données massifs font très régulièrement la une des médias depuis quelques mois. Ce sentiment de confiance représente une véritable porte ouverte aux hackers car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier pour que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ».

En outre, ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés. En effet, des hackers qui souhaitent pénétrer au sein d’un système d’information finiront tôt ou tard par y parvenir, même si cela prend du temps.

Pour que les collaborateurs aient une perception en adéquation avec la réalité, les entreprises doivent impérativement poursuivre leurs efforts pour les sensibiliser aux cyber-risques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entrainer une fuite de données. La formation de l’ensemble des membres d’une organisation aux risques, aux différents types d’attaques potentielles ainsi qu’à l’application systématique des bonnes pratiques représentent la base pour initier une stratégie globale de sécurité efficace. Le contrôle d’accès, la vigilance relative aux emails ainsi que le renouvellement régulier des mots de passe font notamment partie des mesures indispensables. En outre, les responsables de la sécurité doivent mettre en place un dispositif de sanction pour les employés qui ne respectent pas les règles imposées par l’entreprise, pour une meilleure implication mais aussi pour engager leur responsabilité.

Selon l’étude Capgemini, 28% des personnes interrogées estiment que la politique de sécurité informatique de leur société n’est pas vraiment claire, voire pas du tout, et 39% déclarent ne pas la connaître. Ces résultats révèlent un manque d’information et peut-être un manque d’implication de la part des directions à se saisir de ces problématiques auquel les entreprises doivent rapidement remédier. Pour les entreprises qui ne possèdent pas forcément les ressources en interne (un CSO par exemple, responsable principal de la sécurité), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Confédération Générale du Patronat des Petites et Moyennes Entreprises (CGPME) ont publié en mars dernier un guide des bonnes pratiques pour les PME. Cette excellente initiative répond à l’urgente nécessité de sensibiliser les salariés aux conséquences qui peuvent résulter d’une simple négligence et des règles de base à respecter, et aide les organisations en leur proposant une expertise adaptée à leurs besoins. Nous les encourageons donc vivement à partager ce guide en marge de leur stratégie globale de sécurité pour une meilleure information, prévention et prise de conscience des risques qui conduiront à l’adoption des bons réflexes.

La contradiction entre la perception de la cyber-sécurité par les salariés et la réalité met en avant le fait que l’humain reste l’un des maillons faibles d’une organisation. Les hackers le savent très bien, c’est la raison pour laquelle ils sont à l’affût du moindre faux pas. Dans ce contexte, la protection des données et des ressources représente aujourd’hui un véritable défi pour les entreprises. Il est donc primordial de faire prendre conscience aux employés que les cyber-risques sont réels, que les attaques ne sont pas uniquement portées sur les grandes organisations connues, et qu’ils peuvent eux-mêmes en être à l’origine. Avec une plus grande implication de la direction générale pour la formation de l’ensemble des collaborateurs, associée aux initiatives des autorités régissant la sécurité informatique, les entreprises vont pouvoir renforcer la protection de leurs données ainsi que l’efficacité de leur politique de sécurité, un enjeu majeur à l’heure où les cyber-attaques sont devenues monnaie courante.

[1] Etude « La Cybersécurité vue par les collaborateurs » menée par Opinion Way pour Capgemini auprès d’un échantillon de 1010 salariés français de bureau d’entreprises privées en mai 2015

Comment élaborer une bonne stratégie de sécurité

Les DSI ont pris note des scénarios de cauchemar que les violations de données peuvent engendrer : vous souvenez-vous de Sony ou de Target ? Pour combattre ces bombes à retardement, ils ont étoffé leurs budgets de sécurité. L’équipe d’intervention informatique d’urgence (CERT) de la Carnegie Mellon University recommande également de mettre en place une stratégie de sécurité que vous pouvez consulter si vos systèmes sont compromis.

Pourquoi avez-vous besoin d’une stratégie de sécurité ? Une stratégie de sécurité contient des procédures organisationnelles qui vous indiquent exactement quoi faire pour prévenir les problèmes ainsi que la marche à suivre si vous vous trouvez en situation de violation de données. Les problèmes de sécurité peuvent concerner :
– la confidentialité, lorsque des personnes obtiennent ou divulguent des informations de manière inappropriée ;
– l’intégrité, quand des informations sont altérées ou validées de manière erronée, délibérément ou accidentellement ;
– la disponibilité, avec des informations inaccessibles lorsqu’elles sont requises ou disponibles à plus d’utilisateurs que nécessaire.

En tout cas, disposer d’une stratégie permettra d’assurer que tous les membres du service informatique se trouvent sur la même longueur d’onde en ce qui concerne les processus et procédures de sécurité.

À quoi ressemble une bonne stratégie de sécurité ?
Vous avez peut-être une idée de ce à quoi la stratégie de sécurité de votre entreprise doit ressembler. Mais si vous souhaitez vérifier votre travail ou disposer d’indicateurs supplémentaires, visitez la page consacrée aux modèles de stratégies de sécurité de l’information  de SANS. Vous y trouverez vingt-sept stratégies de sécurité à consulter et utiliser gratuitement. Une bonne stratégie de sécurité doit ressembler à :
– Objectifs : des attentes et des buts clairs.
– Conformité : les législations peuvent faire partie des exigences d’une stratégie de sécurité, et il est donc essentiel de les énumérer.
– Dernière date de test : les stratégies doivent constituer une documentation vivante fréquemment contrôlée et remise en question.
– Date de dernière mise à jour : les documents d’une stratégie de sécurité doivent être mis à jour pour s’adapter aux changements de l’entreprise, aux menaces extérieures et aux évolutions technologiques.
– Contact : les informations contenues dans les stratégies de sécurité sont censées être lues, comprises et mises en application par tous les collaborateurs d’une entreprise et s’il y a des questions, un propriétaire du document doit y répondre.

Questions à poser lors de la création de votre stratégie de sécurité ?
Lorsque vous créez une stratégie de sécurité, il est utile de poser des questions parce qu’en y répondant, vous découvrirez ce qui est important pour votre entreprise et vous pourrez discerner les ressources nécessaires pour former et maintenir votre stratégie. Voici quelques questions pour démarrer :
– De quelle(s) personne(s) vous faudra-t-il l’approbation ?
– Qui sera le propriétaire de cette stratégie de sécurité ?
– Quel est le public concerné par cette stratégie ?
– Quelles réglementations s’appliquent à votre secteur d’activité (par exemple, GLBA, HIPAA, Sarbanes-Oxley, etc.) ?
– Qui a besoin d’avoir accès aux données de votre entreprise ?
– Qui possède les données que vous gérez ? Votre entreprise ? Vos clients ?
– Combien de demandes d’accès aux données recevez-vous chaque semaine ?
– Comment ces demandes sont-elles satisfaites ?
– Comment et quand l’accès est-il examiné ?
– Comment pouvez-vous vous assurer qu’aucun conteneur ne sera ouvert à un groupe d’accès global (Tout le monde, Utilisateurs du domaine, Utilisateurs authentifiés, etc.) sans autorisation explicite des propriétaires de données et de la hiérarchie concernée ?
– Comment toutes les activités d’accès seront-elles enregistrées et disponibles pour audit ?
– Si des données n’ont pas été consultées depuis 18 mois, comment seront-elles identifiées et restreintes afin que seuls leurs propriétaires y aient accès jusqu’à ce qu’une demande soit formulée par un autre utilisateur ?
– Comment harmoniserez-vous votre stratégie de sécurité aux objectifs de l’entreprise ?

Derniers conseils
Les stratégies de sécurité donnent de meilleurs résultats lorsqu’elles sont concises et vont droit au but. Elles doivent aussi favoriser et répondre aux besoins de l’activité. Grâce à une maintenance régulière, la stratégie de sécurité de votre entreprise contribuera à en protéger les actifs. (Par Norman Girard, pour DataSecurityBreach.fr, Vice Président et directeur général Europe de Varonis)

Une nouvelle menace nommée Equation Group

En février dernier, la sphère de la cyber-sécurité a pris conscience des efforts déployés par Equation Group, organisation de cyber-espionnage de haut niveau qui exploite les firmwares HDD et SSD.

McAfee Labs a évalué les modules de reprogrammation exposés et a observé qu’ils pouvaient reprogrammés les firmwares des HDD et des SSD. Ainsi, les logiciels malveillants peuvent être rechargés et infecter l’ordinateur à chaque redémarrage du système : ils ne disparaissent pas, même en cas de reformatage du disque ou de réinstallation du système d’exploitation. Une fois infecté, le logiciel de sécurité ne peut plus détecter le malware qui est caché au sein du système. « Chez Intel Security, explique David Grout, nous avons suivi de près ces types de menaces hybrides software/hardware. En effet, bien que ces logiciels malveillants aient historiquement été déployés pour des attaques ciblées, les entreprises doivent se préparer à l’inévitable volet commercial que pourraient représenter de telles menaces à l’avenir ».

Il est nécessaire pour une entreprise de prendre des mesures pour renforcer la détection des menaces existantes telles que l’hameçonnage intégrant des liens frauduleux et les malwares infestant les périphériques USB, et d’envisager des solutions qui pourraient prévaloir l’exfiltration des données.

166816, le code secret qui pirate 90% des lecteurs de CB

Voilà qui est amusant. Le code secret de notre carte bancaire est un précieux sésame qu’il vaut mieux garder au secret. Il faudrait, maintenant, que les banques obligent le changement des mots de passe des lecteurs de cartes bancaires que l’on trouve dans les boutiques, restaurants, …

Si je vous dit 166816 ou encore Z66816, vous aller vous demander ce que sont ces mystérieux codes. La réponse est malheureusement très simple. Ils représentent 90% des mots de passe usine trouvés dans des lecteurs de cartes bancaires. Des lecteurs disposés chez les commerçants.

Des chercheurs de Trustwave, un cabinet spécialisé dans la cybersécurité, ont découvert que 9 propriétaires sur 10 de lecteurs de CB n’avaient pas modifié le mot de passe de leur boitier. Des mots de passe qui existent depuis … 1990.

Charles Henderson, de chez TrustWave, explique qu’un pirate, armé de ces mots de passe était
capable d’atteindre un accès à l’administration des lecteurs de cartes et, pour les plus joueurs, installer un code malveillant. Pour arriver à cette inquiétante conclusion, les chercheurs ont étudié les terminaux de cartes de crédit de plus de 120 détaillants du pays.

Soldes : consommateurs, gare aux contrefaçons sur Internet !

A la recherche d’une bonne affaire pendant les soldes, les consommateurs n’ont qu’une idée en tête : dégoter l’article le moins cher possible. A leurs risques et périls. Car entre produits de luxe, accessoires, vêtements et produits multimédia,les contrefaçons sont légion sur Internet.

Avec 9 millions d’articles contrefaits saisis par les douanes, 2014 est l’une des années record pour la contrefaçon. Elle marque une hausse de 15% par rapport à l’année précédente : la vente sur Internet représente ainsi 20% des articles contrefaits saisis par la Poste ou en colis express. A l’échelle internationale, la contrefaçon représente 10% du commerce mondial !

Ce sont les médicaments qui sont les plus contrefaits (30 %), suivis des vêtements, des accessoires de mode et des chaussures, puis des produits informatiques et multimédia. La vigilance est donc de mise, surtout en période de soldes, encore plus trompeuse pour les consommateurs alors que les contrefaçons se noient dans la masse des prix cassés.

MarkMonitor, société de protection des marques sur Internet, donne quelques conseils aux lecteurs de DataSecurityBreach.fr pour se protéger des contrefaçons.

Comment repérer un produit contrefait en période de soldes ?
De nombreux produits contrefaits ne sont jamais fortement soldés : hors période de soldes, il est facile de les identifier, et donc d’être prudent. Il faut pour cela avoir conscience que pendant les soldes, notre vigilance est altérée par la profusion de produits discountés ainsi que par la recherche de bonnes affaires. Il faut donc garder à l’esprit que le prix est un indicateur faussé et trompeur.

Comment reconnaitre les sites qui vendent des contrefaçons ?
Il est difficile de démêler le vrai du faux sur les places de marché. L’élément déterminant reste le prix : si le produit connaît un rabais de plus de 50 % de son prix normal, il y a une forte probabilité que ce soit un faux. Côté sites de e-commerce, les plus gros garantissent un contrôle des marchandises qu’ils vendent. Les moins connus, en revanche, peuvent être plus dangereux : il faut vérifier leurs mentions légales, leur charte de confidentialité, leurs coordonnées, la disponibilité d’un espace de paiement sécurisé ou encore la politique de retour des produits. Ainsi que la présence de fautes d’orthographes, souvent révélatrice…

Enfin, faites attention aux sites de petites annonces : il existe aussi des arnaques de vente de contrefaçons maquillées en produits d’occasion.

Comment éviter de se faire avoir ?
Si vous pensez avoir repéré un vendeur louche, faites confiance à la communauté online et partez à la recherche d’avis ou de commentaires sur les réseaux sociaux et les forums : les internautes partagent souvent leurs mauvaises expériences. Regardez également l’adresse du e-commerçant : 89 % des produits contrefaits saisis proviennent de Chine.

Que faire si on a été berné ?
Il n’y a malheureusement rien à faire. Les entreprises et les marques doivent mettre en place des actions en amont, pour lutter contre les contrefaçons au moment où elles sont mises en vente en ligne, ainsi que contre les fausses adresses de sites en enregistrant au préalable des noms de domaines pour protéger leur marque. Consommateurs, vous ne devez pour votre part pas hésiter à déposer plainte si vous ne recevez pas votre colis ou pour déclarer un faux. Avec l’accumulation de plaintes, une procédure judiciaire pourra être lancée par les marques lésées. Et restez donc, quoiqu’il arrive, prudent et vigilant, surtout pendant les soldes !

La Banque d’Angleterre nous rappelle pourquoi il est important de vérifier les destinataires avant d’envoyer un courriel

Un courriel envoyé par la Banque d’Angleterre sur les méthodes pour ne pas répondre à la presse sur le désengagement européen du Royaume-Unis termine chez les mauvaises personnes.

La Banque d’Angleterre (The Bank of England) a diffusé un message interne expliquant à ses employés les bonnes méthodes pour communiquer un courrier électronique. « Chaque fois que vous envoyez un e-mail, vous devez vous assurer que vous l’envoyez à la bonne personne. Et ne pas oublier la double vérification juste avant de cliquer sur la touche envoyer« .

Un mode d’emploi rigolo surtout quand il s’agit d’un rappel à la suite d’une bourde interne. La banque a accidentellement envoyé un courriel qui contenait des informations vitales sur un projet qui indiquait les implications financières de la séparation du Royaume-Uni de l’Union européenne. Ce courriel était censé être envoyé à quatre cadres dirigeants de la banque. Raté, il s’est retrouvé dans la boite mails de personnes qui n’en demandaient pas tant ! Dans la missive, des méthodes pour éviter les questions de la presse. (BM)

ErsatzPasswords : un système qui bloque les pirates ?

Des chercheurs annoncent avoir trouvé une méthode pour bloquer les pirates face à une base de données volées. Ils vont présenter Ersatz Passwords, un outil qui empêcherait de mettre la main sur les données sensibles des BDD dérobées.

Une équipe de chercheurs (Christopher N. Gutierrez, Mikhail J. Atallah et Eugene H. Spafford) a développé un système qui doit rendre beaucoup plus difficile la lecture des mots de passe trouvés dans une base de données piratée.

Pour Mohammed H. Almeshekah, un des doctorants de l’Université Purdue (USA), cette méthode fournira tellement de leurres dans la BDD volée que les pirates ne pourront rien faire des informations qu’ils auront pu intercepter (Doc PDF).

Le système rajoute de fausses informations. Sans le support physique, impossible de connaitre les bons mots de passe.

Bref, les injections SQL ont encore, malheureusement, de l’avenir, mais la lecture des contenus volés s’annoncent plus compliquée. ErsatzPasswords rajoute une nouvelle étape dans le hashage des mots de passe (MD5, …) contenus dans les BDD.

Avant qu’un mot de passe soit chiffré, le « précieux » est sécurisé via un matériel précis, comme une clé USB par exemple. Bilan, si un pirate met la main sur les mots de passe, il tentera de les retrouver via un outil en ligne comme Crack MD Online ou des logiciels dédiés, comme John the ripper.

Seulement, ErsatzPasswords aura modifié ces précieuses informations qui deviendront inutilisables sans la clé USB. Côté serveur, le système semble assez facile à installer. D’ailleurs le code est disponible sur GitHub. Il est gratuit et est publié sous une licence open-source. Ce système sera présenté, début juin à Los Angeles lors de l’Annual Computer Security Application Conference (ACSAC).

Secteur médical : la prochaine cible des cybercriminels ?

Le système d’informations de santé, qui regroupe les dossiers électroniques des patients jusqu’aux dispositifs médicaux, est plus vulnérable qu’on ne l’imagine. Et les enjeux sont bien trop importants pour fermer les yeux sur cette problématique épineuse.

Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20 fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution. Les données médicales sont en effet détaillées, riches et regorgent d’informations que recherchent les cybercriminels pour perpétrer leurs détournements d’identité et autres fraudes. De plus, les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé, jusqu’à près d’un an pour certains patients. En effet, pour identifier
une utilisation frauduleuse des cartes de paiement, les banques disposent d’algorithmes qui repèrent rapidement les activités suspectes et prennent souvent automatiquement les mesures de sécurité qui s’imposent. Ces mesures de sécurité n’existent pas dans le domaine médical. Les acteurs de santé, eux-mêmes, ne se rendent pas toujours compte de la vulnérabilité des nombreux systèmes qu’ils utilisent face aux cyber-attaques:

Cyber-attaques traditionnelles
Ces attaques, qui s’en prennent à tous les profils d’organisations, sont véhiculées par des logiciels malveillants, phishing, chevaux de Troie ou encore des ransomware. Par rapport aux autres secteurs d’activité, celui de la santé est particulièrement vulnérable en l’absence de mesures de protection
intégrées et compte tenu d’une priorité moindre accordée à la sécurité. Ces logiciels malveillants, qu’ils soient déployés via des attaques ciblées, des sites Web piratés ou des dispositifs mobiles infectés, entraînent une divulgation de données confidentielles et aboutissent à des coûts importants et à
des tâches de restauration post-incident particulièrement chronophages. Ces attaques ne sont pas vraiment nouvelles, mais elles gagnent en sophistication et la perte de données de patients est une vraie problématique. Les cybercriminels ont d’ailleurs conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé.

Dispositifs médicaux connectés
Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient, permettant ainsi d’activer des alertes en temps réel à l’intention du personnel soignant. Cette interactivité est, dans la
perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar.

La majorité de ces équipements, et notamment les IRM, les scanners et autres équipements de diagnostic n’ont pas été conçus en faisant de la sécurité une priorité. Ils sont nombreux à utiliser des systèmes d’exploitation comme Microsoft Windows et des logiciels conçus pour collecter les données… Et pas forcément les garder en sécurité. Le piratage de ces appareils est donc possible et une fois compromis, les cybercriminels peuvent accéder directement aux systèmes de données cliniques avec lesquels ces équipements sont interfacés.

Les données de patients ne constituent pas les seules ressources pouvant être piratées via des dispositifs connectés. Les cyber-terroristes pourraient potentiellement manipuler les machines et porter atteinte aux patients. D’ailleurs, dès 2011, un chercheur en sécurité a su démontrer qu’une pompe à insuline pouvait être piratée et utilisée pour injecter une dose mortelle d’insuline[1].

Les équipements de santé personnels et résidentiels
Les dispositifs de santé prolifèrent bien au-delà des murs des hôpitaux. Les équipements de santé personnels, les applications de santé et autres coachs de fitness sont de plus en plus nombreux à recueillir et à transmettre des données. Ces systèmes peuvent potentiellement mettre les données de patients en péril (ou du moins ne pas assurer leur parfaite protection), et ils s’interfacent aussi souvent avec des dossiers électroniques de patients ou des systèmes hébergeant des données cliniques. Si un dispositif de contrôle du taux de glucose ou une application de santé sur iPhone peuvent être la cible
d’attaques, ces vulnérabilités s’appliquent également aux institutions de soins de santé. Les dispositifs cliniques ont, en effet, pour priorité d’offrir de nouvelles modalités pour une prise en charge pratique, innovante et performante des patients. La sécurité, elle, est moins prioritaire.

La sécurité des soins de santé ne doit pas attendre que les piratages de données de patients aient réussi pour devenir prioritaire. Il faut s’en préoccuper dès aujourd’hui. Le secteur de soins de santé, dans sa globalité, doit engager des actions proactives et privilégier les équipements qui
intègrent la sécurité en natif, mais aussi déployer une protection active au niveau du réseau et des applications. Les enjeux sont tout simplement trop critiques pour s’offrir le luxe d’attendre.  (Par Christophe Auberger, Responsable Technique France, Fortinet)

Quel pays doit éliminer le plus de zombies ?

Comme chaque trimestre, Sophos mesure le volume de spam envoyé dans le monde et publie le résultat des douze pays ayant émis le plus de spam.

Ce trimestre est marqué par le retour des Etats-Unis à la première place du classement, après avoir brièvement laissé sa place à la Chine. Cette dernière, responsable d’un vingtième du spam mondial envoyé, est revenue à la sixième place. Malheureusement, le Vietnam continue son ascension et arrive à la deuxième place. Mais la plus grande inquiétude porte vers la Moldavie. Celle-ci est devenue soudainement la nation la plus « zombifiée » de la planète. Son taux de « zombification » est deux fois plus élevé que celui de la Bulgarie, un spammeur connu et reconnu, qui finit pour la troisième fois dans le top 3. La France n’apparaît pas dans ce tableau, car elle n’occupe que la 14eme place avec 2,2% du spam émis au niveau mondial.

Mettons les choses au clair, au cas où un habitant d’un pays faisant partie des douze plus grands émetteurs de spam ne prenne ombrage pour de mauvaises raisons, en aucun cas nous n’expliquons que les émetteurs de spam composant le classement, sont également les pires escrocs. Cela serait évidemment beaucoup plus pratique pour les spécialistes de la sécurité et les personnes chargées d’appliquer les lois que les émetteurs de spam soient également les malfaiteurs. Malheureusement, les choses ne fonctionnent pas comme ça.

Les escrocs ont cessé d’envoyer eux-mêmes du spam, il y a des années de cela. Lorsque tout le spam provient d’un même serveur, il est ainsi beaucoup plus facile de bloquer l’expéditeur, mais surtout de le repérer. Au lieu de ça, les malfaiteurs piégent des milliers d’ordinateurs dans le monde. A partir du moment où ils peuvent commander votre ordinateur à distance, ils lui ordonnent d’envoyer du spam à leur place. (ou des attaques DDoS, backdoor, NDR). C’est vous qui payez tout. Ils utilisent la mémoire de votre ordinateur (de votre smartphone, tablette, …) la bande passante pour Internet et parce que c’est votre adresse IP qui est recueillie dans les spamtraps, c’est votre réputation qui est mise à mal. Ainsi, si votre pays se retrouve dans le classement des douze plus grands émetteurs de spam, ce n’est peut-être pas vous le malfaiteur.

Les Etats-unis sont toujours en tête. Le Vietnam s’invite dans le top 10 des spammeurs.

Ceci étant dit, vous leur facilitez la vie, sans vous en rendre compte. Il existe également les pays émetteurs de spam par habitant, où la contribution de chaque pays est divisée par son nombre approximatif d’habitants. Ainsi, les résultats deviennent plus justes pour les USA ou la Chine. De la même façon les pays plus petits mais envoyant un nombre important de spams sont complètement démasqués.

Top 10

Les pays du classement en fonction du nombre de spams sont presque toujours les mêmes depuis 2014. Au dernier trimestre de 2014, Taiwan occupait la dernière place mais est finalement sorti du classement (elle est maintenant 18ème). L’Italie fait son entrée dans le classement à la neuvième position (elle était 15ème au dernier classement). Les onze autres ne font que changer légèrement de place. Il est intéressant de constater que la Chine a atteint pour la première fois, la première place au trimestre précédent. Serait-ce dû à une défaillance temporaire du Grand Pare-Feu qui a alors laissé passer plus de spam que d’habitude ? Etait-ce un indicateur ? La pénétration d’internet et la connectivité chinoise a-t-elle enfin surpassé celle des Etats-Unis ? Nous n’en saurons rien.

La Chine revient dans le classement, en 6ème position.

La Chine est revenue à la sixième place ce mois-ci et est responsable d’un vingtième du spam mondial envoyé. La première place revient aux Etats-Unis. Les résidents chinois ont-ils initié une mission recherche et destruction de zombies ? Le pare-feu chinois a-t-il été renforcé pour mieux contrôler le spam ? Nous n’en saurons rien. Malheureusement, le Vietnam continue son ascension et arrive à la deuxième place. C’est un pays densément peuplé dont l’économie est en plein essor, mais sa population est à peu près équivalente à celle de l’Allemagne qui est en douzième position mais qui émet 40% de spam.

Sécurité numérique et risques : enjeux et chances pour les entreprises

À l’heure de l’omniprésence du numérique et du développement constant de ses spectaculaires potentialités, les entreprises doivent pouvoir compter sur des outils numériques sécurisés. Or, chaque jour, de tous côtés, les exemples de nouvelles vulnérabilités se multiplient.

L’escalade entre les failles découvertes et les parades pour y remédier semble sans fin, d’autant plus que l’origine de ces fragilités réside dans nombre de comportements humains irréfléchis et dans la lenteur de l’indispensable prise de conscience.

Après avoir entendu plus d’une centaine de personnes et analysé en détail les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, l’Office parlementaire d’évaluation des choix scientifiques et technologiques propose d’abord une trentaine de recommandations d’ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l’usage des entreprises qui voudront bien s’attacher à la construction réfléchie et évolutive dont dépend leur future prospérité.

Face à la mondialisation numérique, l’élaboration de solutions se révèle être d’abord individuelle et nationale pour éviter que les entreprises françaises acquiescent elles-mêmes au pillage de leurs données en les offrant en libre-service.

Mme Anne-Yvonne Le Dain, députée, et M. Bruno Sido, sénateur, ont présenté l’étude de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) sur « Sécurité numérique et risques : enjeux et chances pour les entreprises ».

Le rapport (tomes I et II) est désormais en ligne sur les sites de l’Assemblée nationale et du Sénat au pages de l’OPECST.
– Tome I (rapport) : http://www.senat.fr/notice-rapport/2014/r14-271-1-notice.html
– Tome II (auditions) : http://www.senat.fr/notice-rapport/2014/r14-271-2-notice.html