Archives de catégorie : Fraude au président

Crypto-monnaie et recovery room : 113 sites douteux

Recovery room : l’Autorité des Services et Marchés Financiers diffuse une liste noire de 113 sites web douteux concernant les crypto-monnaies.

 

La FSMA, l’Autorité belge des Services et Marchés Financiers, vient de mettre en ligne une liste qui risque d’intéresser les amateurs de crypto-monnaies et autres internautes attirés par le trading. La FSMA édite depuis 1 an une liste de sites mis sur liste noire pour avoir été acteurs d’escroqueries. Si au début cette liste affichait quelques dizaines de fraudeurs, en décembre 2018, ils sont 113 montrés du doigt. A fuir, donc. Le gendarme du secteur financier belge explique que ces plateformes « proposent un investissement sur la base de crypto-espèces, en mettant l’accent sur son caractère sûr, simple et très lucratif. Elles tentent de gagner votre confiance en vous persuadant qu’il ne faut pas être un expert pour pouvoir investir dans les crypto-monnaies. Prétendent collaborer avec des spécialistes, qui gèrent vos investissements. Confirment en outre que vous pouvez retirer vos fonds à tout moment. Fonds garantis. »

Derrière, des escrocs qui empochent votre argent. Cette liste comprend : des entreprises fournissant, en Belgique (ou depuis la Belgique), des services et produits financiers sans respecter la réglementation financière belge (défaut d’agrément / défaut de publication d’un prospectus/…) ; des entreprises à l’égard desquelles, outre d’éventuels manquements aux réglementations financières dont elle assure le contrôle, la FSMA a constaté de sérieux indices de fraude à l’investissement ; des entreprises à l’origine de fraudes de type « recovery room« .

Recovery room

La fraude de type « recovery room » vise les investisseurs déjà victimes d’une arnaque. Contactés par les escrocs, ils se voient proposer de l’aide en vue de récupérer les sommes perdues. Une technique employée, entre autres, par les escrocs à l’amour, les scammeurs. Ils vous indiquent être policier, par exemple, et doivent vous permettre de retrouver votre argent perdu. Bien évidement, ils réclament des frais de « dossier » ! Les escrocs derrière une « recovery room » sont souvent les mêmes voleurs que dans le cadre de la fraude initiale. Ils peuvent aussi revendre leur « pigeon » à d’autres malveillants. « Tout investisseur qui a déjà été victime d’une fraude à l’investissement doit être conscient que les fraudeurs sont susceptibles de le viser à nouveau ou de revendre ses données. » confirme la FSMA.

P4R4Risque, un support ludique dédié à la sensibilisation cybersécurité

C’est à Quebec que j’ai rencontré Christopge Jolivet le concepteur d’un support de sensibilisation à la cybersécurité baptisé P4R4Risque. Un support de sensibilisation sous la forme d’un jeu de plateau efficace.

S’il fallait définir rapidement P4R4Risque, je pourrai le traduire comme un jeu de plateau dédié à la cybersécurité. Des cases, des pions, des cartes et des dés. Mais la comparaison s’arrêtera là.

Christophe Jolivet indique que son support est dédié à la sensibilisation par le jeu. Un mode ludique pour parler d’une thématique cybersécurité au sein de son entreprise. « Par des séances de sensibilisation, explique l’auteur, vous stimulerez l’interaction entre les participants en les confrontant à des situations réelles« . Et c’est toute la force de P4R4Risque.

Des questions reprenant des situations que peuvent vivre les entreprises, les salariés, … Les participants sont dans la peau d’une compagnie fictive qui possède des actifs. Parmi ces actifs, l’information stratégique ou confidentielle (renseignements personnels) des clients. L’objectif est de protéger adéquatement l’information de votre compagnie contre les scénarios de risques qui se présenteront à vous à tour de rôle par l’acquisition et la mise en place de mesures stratégiques, tactiques, opérationnelles et complémentaires.

22 scénarios proposés. Ils regroupent 7 familles de risques d’affaires. Il n’y a pas de gagnant ni de perdant ! La finalité étant que ce support ludique déclenche des échanges entre les employés. L’auditoire comprend ce qu’est la gestion de risques (accepter, mitiger, transférer). Il comprend que ces mesures S/T/O/C atténuent les risques et qu’elles ne sont pas gratuites.

Une vision internationale de la gestion de risques basée sur ISO27005 et ISO31000. Vous pouvez y retrouver aussi, par exemple, une version RGPD ou encore PCI-DESS. P4r4risque est commercialisé à partir de 99 $ canadiens (66€).

La fraude dans les centres d’appels a augmenté de 350% en 4 ans

Fraude dans les centres d’appels : Les secteurs des assurances, des banques et du commerce de détail sont les industries les plus ciblées par cybercriminels.

La Fraude dans les centre d’appels prendrait de l’ampleur selon une étude récemment sortie. La société Pindrop, spécialiste de la sécurité et de l’authentification vocales, annonce dans son rapport sur l’intelligence vocale (Voice Intelligence Report 2018) que la fraude vocale est en hausse. Entre 2016, où 1 appels sur 937 était une tentative de fraude, et 2017, 1 appel sur 638. Le taux global de fraude vocale a augmenté de 47%. Une tendance à la hausse de 113% par rapport à 2016. Au cours des quatre dernières années, le taux de fraude a ainsi grimpé de plus de 350%. Aucun signe de ralentissement se fait sentir ! Aux Etats-Unis, le centre de ressources sur le vol d’identité (Identity Theft Resource Centre) a détecté jusqu’à 1 300 cas de fuites de données. Des chiffres à prendre avec des pincettes. Un grand nombre de fuites reste inconnu. En outre, les fraudeurs sont devenus plus sophistiqués, tirant parti de l’approche du shopping omni-canal. Par exemple, un fraudeur peut utiliser l’ingénierie sociale pour réinitialiser un mot de passe sur le compte d’une victime, puis utiliser ce mot de passe pour commettre une fraude en ligne.

Pindrop Labs a récemment mené une enquête méticuleuse sur les Serveur Vocaux Interactifs (SVI) dans une entreprise du fortune 500. Il a ainsi découvert que l’activité suspecte sur les serveurs vocaux interactifs représentait l’indicateur principal de la fraude multicanal. En moyenne, une activité suspecte sur les SVI donne lieu à une tentative de transaction frauduleuse dans les 15 jours suivants. Pour plus de 85% des transactions frauduleuses provenant d’un SVI, le délai de mise œuvre ne dépassait pas 24 heures.

Assurance, Banque et Commerce de détail : les secteurs cibles des fraudeurs

Cet intervalle de temps dans l’activité est typique des fraudeurs qui peuvent utiliser les SVI pour vérifier les listes de comptes compromis achetés dans le black market. L’intention peut alors être d’affiner et de revendre cette liste. Cette activité aide les cybercriminels à tirer profit des fuites de données personnelles sans prendre le risque de commettre des fraudes.

Les compagnies d’assurance connaissent le fort taux d’augmentation de fraude vocale, avec 36% de 2016 à 2017 et de 248% depuis 2015 ! Les banques arrivent en deuxième position. Les assurances, avec une augmentation de la fraude de 20% d’une année sur l’autre et une hausse record de 269% au cours des quatre dernières années ! Le secteur du commerce de détail les suit de près, avec une augmentation de 15% sur l’année et de 134% sur 4 ans. L’utilisation de la technologie vocale par les entreprises triplera au cours des douze prochains mois. Cependant, la révolution « Internet of ears » – qui désigne le phénomène par lequel de plus en plus d’objets connectés sont capable d’écouter ce qui se passe dans leur environnement et de répondre éventuellement à des instructions vocales – est bien parti pour être la plus grande menace.

Une menace grandissante

« Une des principales raisons pour lesquelles les taux de fraude augmentent est que la plupart des organisations luttent pour trouver le bon équilibre entre sécurité et service client. indique Vijay Balasubramaniyan, CEO et co-fondateur de Pindrop. Lorsque des mesures de sécurité traditionnelles plus strictes sont mises en place, ces mesures ont généralement un impact sur l’expérience client – souvent au détriment de l’organisation. La prolifération des technologies vocales continuera de mettre en danger la sécurité et l’identité des consommateurs. Actuellement, les fraudeurs peuvent facilement contourner les méthodes d’authentification existantes. Comme les entreprises adoptent les dernières technologies vocales pour la majorité des interactions avec leurs clients, il y aura un besoin parallèle de sécurité de premier ordre. »

Le rapport « Voice Intelligence Report 2018 » révèle que la voix synthétique est probablement l’une des technologies les plus excitantes aujourd’hui, et potentiellement la plus terrifiante pour la sécurité des données des consommateurs. Les entreprises utilisent déjà l’apprentissage automatique, ou machine learning, pour faire correspondre entre eux des dispositifs, des comportements et des voix. Cependant, les fraudeurs ont toujours une légère longueur d’avance. Ils utilisent l’apprentissage automatique pour créer des discours synthétiques, pour usurper des indentifications automatiques de numéros (ANI) et effectuer des appels automatisés pour attaquer en masse et pirater le SVI d’une organisation afin de vérifier les informations des comptes volés.

L’humain, maillon faible de la cybersécurité

« Le Facteur Humain 2017 » indique que les cybercriminels se reposent de plus en plus sur l’humain plutôt que sur les failles logicielles pour installer des programmes malveillants, dérober des informations confidentielles et transférer des fonds.

Pas vraiment une nouveauté, le piratage informatique s’est toujours d’abord reposé sur le facteur humain. Le social engineering en est une preuve. Dans son rapport, Proofpoint spécialiste en sécurité et conformité, a interrogé plus de 5000 entreprises en 2016. Bilan, les indicateurs sur les attaques par le biais des emails, mobiles et réseaux sociaux, donne une tendance des clients de cette société.

« Cette tendance d’exploitation du facteur humain, qui a vu le jour en 2015, s’accélère, et les cybercriminels multiplient désormais les attaques générées par les clics des utilisateurs plutôt que par des logiciels d’exploitation vulnérables, conduisant ainsi les victimes à exécuter elles-mêmes les attaques », a déclaré Kevin Epstein, Vice-Président du centre d’opération des menaces de Proofpoint. « Il est essentiel que les entreprises mettent en place une protection avancée pour arrêter les cybercriminels avant qu’ils puissent atteindre leurs potentielles victimes. La détection anticipée des contenus malveillants dans la chaîne d’attaques permettra de les bloquer, de les canaliser et de les supprimer plus facilement. »

  • Les messages d’attaques BEC (Business Email Compromise – attaques de la messagerie d’entreprise) relatifs aux emails contenant des chevaux de Troie bancaires sont passés de 1 % en 2015 à 42 % fin 2016. Les attaques BEC ont coûté plus de 5 milliards de dollars aux entreprises dans le monde. Elles utilisent des messages sans malware, incitant les destinataires à envoyer des informations confidentielles ou à transférer des fonds aux cybercriminels. Ce type d’attaque affiche la croissance la plus rapide.
  • Près de 90 % des clics sur des URL malveillantes ont lieu dans un délai de 24 heures après la remise de l’email. 25 % de ces clics se produisent en seulement 10 minutes et près de 50 % en une heure. Le temps de clic moyen (le temps passé entre l’arrivée de l’email et le clic) est plus court pendant les heures de travail, soit entre 8h00 et 15h00.
  • Plus de 90 % des emails contenant des URL frauduleuses redirigent les utilisateurs vers des pages de phishing (hameçonnage). 99 % des attaques à la fraude financière par email sont provoquées par les clics humains plutôt que par des logiciels d’exploitation automatisés visant à infecter les systèmes. Les messages de phishing destinés à dérober les identifiants Apple ont été les plus envoyés, mais les liens de phishing Google Drive sont ceux ayant reçu le plus de clics.
  • La moitié des clics sur des URL malveillantes est effectuée à partir de terminaux ne relevant pas de la gestion des postes de travail de l’entreprise. 42 % des clics sur des URL frauduleuses ont été effectués depuis des terminaux mobiles, doublant ainsi le taux, longtemps maintenu à 20 %. De plus, 8 % des clics sont effectués sur des versions potentiellement vulnérables de Windows, pour lesquelles les correctifs de sécurité ne sont plus disponibles.
  • Le phishing des comptes de réseaux sociaux a augmenté de 150 % en 2016. Au cours de ces attaques, les cybercriminels créent un compte sur un réseau social imitant celui d’un service client d’une marque de confiance. Lorsqu’une personne demande de l’aide à une entreprise par le biais d’un tweet par exemple, le cybercriminel intervient.
  • Surveillez de près votre boîte de réception le jeudi. On observe un pic de croissance de plus de 38 % du nombre de pièces jointes frauduleuses le jeudi, par rapport au volume moyen en semaine. Les hackers utilisant des ransomwares (rançongiciels) privilégient l’envoi de messages malveillants entre le mardi et le jeudi. D’autre part, on observe un pic pour les chevaux de Troie bancaires le mercredi. Les campagnes sur les points de vente (PDV) sont envoyées presque exclusivement le jeudi et le vendredi, tandis que les keyloggers et les backdoors préfèrent le lundi.
  • En adéquation avec les habitudes des usagers, les cybercriminels envoient la plupart des emails dans un délai de 4 à 5 heures après le début de la journée de travail, provoquant ainsi un pic d’activité à l’heure du déjeuner. C’est au cours de cette période que les utilisateurs américains, canadiens et australiens ont tendance à cliquer, tandis que les clics français ont lieu aux alentours de 13 heures. Les utilisateurs suisses et allemands n’attendant pas l’heure du déjeuner pour cliquer; on observe un pic de clics dès les premières heures de travail. Le rythme des clics au Royaume-Uni est régulier au cours de la journée, avec une nette baisse après 14 heures.

Pour télécharger le rapport « Le Facteur Humain2017 » de Proofpoint, rendez-vous sur le site https://www.proofpoint.com/fr/resources/white-papers/human-factor-report

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.

Les 5 principales menaces informatiques à surveiller en 2017

La récente attaque par déni de service distribué (DDoS) à l’encontre de l’hébergeur Web OVH via des terminaux piratés illustre une fois de plus l’escalade des menaces qui pèsent sur la sécurité des entreprises. Les pirates ont créé un botnet à partir de 150 000 appareils IoT afin de lancer une attaque DDoS d’une puissance de feu d’1 Tbps, battant tous les records du genre, y compris celui enregistré une semaine plus tôt par une attaque de 620 Gbps visant le site Web du journaliste Brian Krebs.

L’ampleur et le degré de sophistication des menaces pour la sécurité ne cessent de croître, et la probabilité de subir une attaque n’a jamais été aussi forte pour les entreprises. Après discussion avec les experts de F5 Networks, nous avons listé les 5 principales menaces dont les organisations doivent tenir compte au cours des 12 prochains mois.

Menaces informatiques : Les attaques DDoS basées sur l’IoT
Les appareils de l’Internet des objets (IoT) se multiplient, mais les mesures de sécurité à même de les protéger ne suivent pas. Les vulnérabilités inhérentes à la vague de périphériques intelligents connectés qui inondent le marché en font des proies faciles pour les cybercriminels, lesquels se tournent de plus en plus vers des dispositifs « non intelligents », tels que des caméras de vidéosurveillance. L’exemple de la société OVH évoqué plus haut servira de modèle à d’autres pirates qui, en quelques clics, pourront exploiter la puissance des appareils IoT pour lancer des attaques DDoS massives, capables de paralyser des sites Web et les opérations des entreprises. Celles-ci doivent se méfier des appareils IoT. Même s’ils incarnent l’avenir, ils fournissent aux cybercriminels un vecteur d’attaque supplémentaire.

Menaces informatiques : Le vol de données personnelles
Le règlement général sur la protection des données (GDPR) n’entrera pas en vigueur avant mai 2018, mais comme il faudra plusieurs années à la plupart des entreprises pour s’y préparer, elles doivent dès maintenant inscrire cette question à leur ordre du jour. Le nouveau règlement prévoit des sanctions plus sévères en cas d’infraction, notamment une amende potentielle s’élevant à 4 % du chiffre d’affaires annuel. Les entreprises ont, par conséquent, intérêt à mettre au plus vite leur infrastructure informatique en conformité. Certaines dispositions du GDPR en matière de confidentialité des données, comme le droit à l’oubli et la portabilité des informations, peuvent s’avérer problématiques. Bon nombre d’entreprises ignorent en effet la quantité de données clients dont elles sont dépositaires, de même que leur emplacement. La plus grande difficulté, pour elles, consiste donc à évaluer le volume d’informations dont elles ont la responsabilité. Une atteinte à la sécurité ou l’incapacité à fournir aux clients les données demandées pourrait avoir des conséquences désastreuses sur leurs revenus et entamer la fidélité de leurs clients.

Menaces informatiques : Les attaques sur les services Cloud
Les entreprises savent-elles comment opérer en toute sécurité dans le Cloud ou qui détient les clés de leurs données sachant qu’elles ne résident plus ni sur site ni dans le datacenter ? Le défit à relever en 2017, consistera à contrôler l’accès aux services Cloud tout en assurant un chiffrement adéquat des données.

Menaces informatiques  : Les malwares ciblés sur les applications
Avec l’essor du travail mobile, les employés utilisent une kyrielle d’applications pour accéder aux ressources de l’entreprise depuis différents appareils et lieux. Tout point faible sur ce réseau, comme un téléphone mobile infecté par un malware, ouvre les portes de l’entreprise aux cybercriminels. Si l’un d’eux parvient à se procurer les informations d’identification de domaine d’un employé, c’est à l’ensemble des données de l’entreprise qu’il a accès.

Menaces informatiques : La fraude en ligne
L’avènement du Cloud a engendré tout un écosystème de services tiers pour les entreprises. Les employés ont ainsi accès à différents portails en ligne (ventes, services financiers, allocation de congés, etc.) via une procédure d’authentification unique (Single Sign-On). Lorsqu’un employé quitte l’entreprise, il continue à avoir accès aux informations professionnelles vitales tant que ses identifiants de connexion ne sont pas supprimés.

L’incapacité d’une entreprise à rester au fait des nouvelles menaces ou à les détecter peut mettre un frein à son développement. N’oublions pas qu’il suffit de quelques clics à un pirate pour réduire à néant des années de bonnes pratiques et une loyauté clients durement acquise. L’identification précoce des menaces, l’investissement dans une infrastructure de cybersécurité appropriée et la formation des utilisateurs au paysage de la cybersécurité permettent aux entreprises de prendre une longueur d’avance sur les pirates et d’augmenter leurs chances de succès en 2017. (Par Laurent Pétroque, expert fraude en ligne chez F5 Networks)

Cybersécurité : la France, bonne élève face à la menace croissante des arnaques aux services clients ?

Dans le cadre du Mois de la Cybersécurité, Microsoft a conduit une étude couvrant 12 pays*, dont la France, sur le comportement des internautes face aux arnaques aux faux services clients qui proposent un support technique (en anglais Tech Support Scam), actuellement en pleine croissance. Si l’Inde, la Chine et les Etats-Unis dénombrent le nombre de victimes le plus important (respectivement 54%, 35% et 33%), la France tire son épingle du jeu en n’affichant que 5% de victimes. Méfiant, plus d’un Français sur deux (51%) ne donne pas suite à ce type de sollicitation malveillante.

Parmi les menaces et escroqueries actuellement en pleine croissance sur Internet figurent les arnaques aux services clients. Il s’agit pour les usurpateurs de se faire passer pour un représentant du support technique d’un éditeur comme Microsoft afin de bloquer un ordinateur à distance jusqu’à ce que son utilisateur verse une rançon. Ce type d’escroqueries constitue la déclinaison de ce qui se faisait auparavant par téléphone et peut être désormais initié par e-mails, via des fenêtres pop-up ou des sites Internet. Effrayé, l’internaute est alors bien souvent tenté de répondre à la sollicitation et d’entrer dans le jeu des escrocs.

Afin de sensibiliser les internautes à ce phénomène de plus en plus courant, Microsoft publie les résultats d’une étude portant sur les comportements constatés dans 12 pays* face à ces menaces. Si globalement un tiers de la population de ces pays n’a jamais été confronté à ce type de menaces, 20% en ont en revanche été victimes. Dans ce cadre, certains pays se démarquent, tels que l’Inde, la Chine ou les Etats-Unis qui affichent un nombre de victimes bien supérieur. De même, les populations les plus vulnérables sont les Millenials (18-34 ans), ce qui s’explique probablement par leur confiance intuitive dans Internet.

La France : une population mature face à ce genre d’escroqueries
Près de 43% des internautes français n’ont jamais rencontré ce type de menaces ; Un Français sur deux, confronté à un risque d’attaque, a ignoré l’interaction (51%) ; 5 % des Français ont déjà été victimes de l’arnaque au support technique, dont 4% qui reconnaissent avoir subi des dommages financiers.

Pour aider les internautes français à renforcer leur vigilance et éviter ces escroqueries, Microsoft a mis en ligne une page pédagogique expliquant les différents types de menaces existants sur Internet et le comportement à adopter pour les éviter. Cette page est régulièrement mise à jour afin de permettre à chacun de se défendre dans le cadre d’un Internet toujours plus sûr.

Cybermenaces : les employés, de vilains petits e-canards ?

Un employé télécharge un logiciel malveillant toutes les 4 secondes et 1 employé sur 5 est à l’origine d’une faille de sécurité. Le volume des attaques de phishing continue d’augmenter et touche 80% des entreprises interrogées, les pirates préférant des méthodes reposant sur la messagerie et l’ingénierie sociale pour mener leurs attaques.

Check Point Software Technologies Ltd. vient de publier les résultats de son Security Report annuel et de l’enquête SANS : Exploits at the Endpoint: SANS 2016 Threat Landscape Study. Ces deux études mettent en exergue les challenges majeurs auxquels sont confrontées les entreprises, et délivrent des recommandations aux responsables informatiques, à mesure que les entreprises continuent de se doter de protections contre les cybermenaces évolutives.

Pour la quatrième édition de leur Security Report, les chercheurs de Check Point ont analysé l’activité de plus de 31 000 gateways Check Point dans le monde entier, révélant ainsi des détails sur les logiciels malveillants connus et inconnus que rencontrent les entreprises, les tendances d’attaque, et l’impact des appareils mobiles dans l’entreprise. Les chercheurs ont également pu mesurer l’impact des failles de sécurité sur les entreprises, et les dépenses supplémentaires engendrées, au-delà des coûts de désinfection.

Dans l’enquête Exploits at the Endpoint: SANS 2016 Threat Landscape Study, réalisée en partenariat avec le SANS Institute, un organisme de recherche et de formation sur la sécurité, les chercheurs ont interrogé plus de 300 professionnels de l’informatique et de la sécurité à travers le monde pour déterminer les menaces et les Cybermenaces que les entreprises doivent affronter, quand et comment ces menaces deviennent des incidents, les types de menaces qui ont le plus d’impact, et les défis que les entreprises rencontrent pour se protéger.

« Avec des milliards de nouvelles connexions chaque minute, le monde est plus interconnecté que jamais auparavant. Les innovations telles que le Cloud, la mobilité et l’Internet des objets, sont en train de transformer la manière dont nous déployons, consommons et protégeons la technologie, » déclare Amnon Bar-Lev, président de Check Point. « De plus en plus de logiciels malveillants sont introduits dans notre écosystème. Les techniques traditionnelles de sécurité sont incapables de les stopper. Pour s’en prémunir, il faut conserver de l’avance sur les choses que nous ne pouvons pas voir, connaître ou contrôler, et empêcher les attaques avant qu’elles ne se produisent. »

Ces deux études présentent une vision globale du paysage des menaces, des réseaux jusqu’aux postes de travail, et offrent leurs conclusions :

Cybermenaces : Les logiciels malveillants inconnus poursuivent leur croissance exponentielle et évolutive.

Les chercheurs ont constaté une multiplication par 9 de la quantité de logiciels malveillants inconnus qui empoisonnent les entreprises, notamment en raison des employés qui téléchargent un nouveau logiciel malveillant inconnu toutes les quatre secondes. Au total, près de 12 millions de nouvelles variantes de logiciels malveillants sont découvertes chaque mois. Plus de nouveaux logiciels malveillants ont été découverts au cours des deux dernières années que durant la décennie précédente.

Cybermenaces : La sécurité a pris du retard sur la mobilité.

Les smartphones et les tablettes représentent aujourd’hui 60 pour cent du temps de consultation des médias numériques. Les appareils mobiles en entreprise sont à la fois une malédiction en termes de sécurité et une bénédiction en termes de productivité. Bien que les employés ne souhaitent pas être la cause d’une faille de sécurité, 1 employé sur 5 sera toutefois à l’origine d’une faille en raison de logiciels malveillants mobiles ou de connexions Wi-Fi malveillantes.

Cybermenaces : Les postes de travail sont le point de départ de la plupart des menaces.

Parmi les entreprises interrogées, les postes sont à l’origine de la plupart des failles de sécurité et sont l’élément le plus critique de la cybersécurité. Les agresseurs préfèrent attaquer via la messagerie dans 75% des cas, et 39% des attaques menées contre les postes parviennent à contourner les gateways de sécurité réseau. Les recherches précisent que 85% des menaces sont découvertes une fois qu’elles ont réussi à se glisser dans l’entreprise.

Les deux rapports concluent que les entreprises devraient se doter de la meilleure architecture de sécurité prévoyante possible afin de pouvoir faire face aux complexités actuelles et futures en matière de sécurité informatique. Cette architecture devrait intégrer des composants critiques pour l’entreprise moderne : prévention avancée des menaces, protection des appareils mobiles, et segmentation du réseau pour une supervision approfondie.

Pour consulter le Rapport Sécurité 2016 de Check Point, rendez-vous sur checkpoint.com/securityreport.

Cybersécurité/Cyberattaque : les mauvaises habitudes persistent

Cyberattaque : Bien que la prise de conscience s’améliore pour 82 % des entreprises, elles peinent toujours à mettre en place les bonnes pratiques dans les domaines critiques.

Alors que 82 % des organisations constatent une progression de l’industrie de la sécurité informatique dans la lutte contre les cybermenaces, cette prise de conscience est entamée par des pratiques sécuritaires volontairement nuisibles dans des domaines sensibles comme la sécurité des comptes à privilèges, l’accès à distance de fournisseurs tiers et le cloud, selon les résultats d’une étude internationale commissionnée et publiée par CyberArk.

La 10e enquête annuelle internationale « Threat Landscape Report » sur le paysage des menaces avancées 2016 de CyberArk, porte sur « la cybersécurité : hier, aujourd’hui et demain ». Ce rapport examine si les entreprises internationales ont appris et appliqué les leçons sur les cyberattaques, et comment leurs priorités en termes de sécurité et de prises de décisions sont influencées.

Malgré les campagnes de sensibilisation, les mauvaises pratiques de sécurité sont toujours présentes
L’importante médiatisation des cyberattaques a renforcé la prise de conscience actuelle sur la nécessité d’une cybersécurité renforcée. Toutefois, puisque les bonnes pratiques en termes de protection ne sont pas pour autant renforcées, les progrès des entreprises dans ce domaine sont directement impactés.

.         79 % des entreprises interrogées indiquent avoir tiré des leçons des principales cyberattaques et avoir mis en place les actions nécessaires pour améliorer leur sécurité contre 76 % en France.

o   67 % pensent qu’à l’heure actuelle leurs PDG ou membres du conseil d’administration assurent une direction claire en matière de cybersécurité, contre 57 % en 2015.

o   Cette prise de conscience a engendré plusieurs actions majeures : le déploiement de solutions de détection de malwares (25 % au niveau global, 32 % en France), de sécurité des points d’accès (24 % au niveau global, 30 % en France) et d’analyses de sécurité (16 % au niveau global contre 17 % en France).

·          55 % des répondants indiquent que leur organisation a changé et adopté des processus avancés pour la gestion des comptes à privilèges. Cette proportion s’élève à 61 % pour la France.

o   Malgré cela, 40 % des organisations stockent toujours les mots de passe admin et de comptes à privilèges dans un document Word ou Excel, et 28 % utilisent un serveur partagé ou une clé USB.

·         49 %, soit près de la moitié des organisations, autorisent des fournisseurs extérieurs (comme les entreprises de gestion logistique et informatique) à accéder à distance à leurs réseaux internes.

o   Bien que la majorité des sondés sécurisent et surveillent cet accès, les entreprises du secteur public sont celles ayant le moins de contrôle en place pour l’accès des fournisseurs extérieurs ; 21 % d’entre-elles n’ont aucune sécurité et 33 % ne surveillent pas cette activité.

Un cyber-état d’esprit : trouver l’équilibre entre peur et excès de confiance
Les organisations adoptent de plus en plus un état d’esprit post-intrusion, c’est-à-dire qu’elles se préparent à gérer une cyberattaque et à adapter leur activité en cas d’intrusion. Cette anticipation conduit à des mesures positives pour la planification post intrusion, mais on peut se demander si cet excès de confiance n’affecte pas leur capacité à se protéger contre les cyberattaques :

·         En 2016, 75 % soit trois personnes sur quatre ayant un pouvoir décisionnel dans les services informatiques pensent pouvoir empêcher des pirates informatiques de s’introduire dans leur réseau interne, contre 44 % en 2015.

o   Cela dit, 36 % pensent qu’un pirate informatique a actuellement accès à leur réseau ou y a accédé au cours des 12 derniers mois.

o   46 % pensent que leur organisation a été victime d’une attaque par ransomware au cours des deux dernières années.

·         82 % des sondés pensent à présent que l’industrie de la sécurité informatique fait en général des progrès contre les cyberattaques.

o   17 % pensent que le secteur est en déclin.

·         Presque toutes les organisations (95 %) ont un plan de réponse cyber-sécuritaire d’urgence.

o   Cette préparation appropriée est affectée par un manque de communication et de tests ; seules 45 % des entreprises communiquent et testent régulièrement leur plan avec l’ensemble du personnel de leurs services informatique.

·         68 % des organisations indiquent que perdre leurs données clients est l’une de leurs préoccupations principales en cas de cyberattaques.

o   60 % des utilisateurs du cloud y stockent leurs données clients.

o   57 % des organisations qui stockent des informations sur le cloud ne font pas entièrement confiance à leur fournisseur cloud et à sa capacité à protéger leurs données.

·         Concernant l’identification des étapes les plus difficiles à gérer lors d’une cyberattaque, les installations intempestives de malware sont classées en premier (41 %), suivies par une appropriation des comptes à privilèges (25 %).

A observer : émergence de futurs risques
Alors que les cyberattaques continuent d’être commises contre des institutions de confiance comme les gouvernements, les systèmes financiers et les services publics, les sondés ont identifiés quels types de cyberattaques ou de cyber tactiques les inquiètent le plus. Les répondants ont également partagé les scénarios qui selon eux représentaient la menace potentiellement la plus catastrophique.

·         Les sondés listent les types de cyberattaques suivantes comme étant leur première préoccupation pour les 12 mois à venir : attaques par déni-de-service distribué (DDoS) (19 %), l’hameçonnage (14 %), les ransomwares (13 %), l’exploitation des comptes à privilèges (12 %) et les intrusions de périmètre (12 %).

·         Les attaques contre les systèmes financiers, y compris la perturbation de marchés internationaux est la menace qui est perçue par 58 % des personnes interrogées comme étant potentiellement la plus catastrophique, suivie par les attaques endommageant massivement les ressources primaires (55 %) et celles ayant un impact sur les services publics comme les services de santé et les hôpitaux (51 %). En France, 48 % partagent le sentiment relatif aux systèmes financiers, mais 73 % estiment qu’une cyberattaque de grande ampleur contre des infrastructures critiques pouvant conduire à des pannes de courant ou des problèmes pouvant toucher la qualité de l’eau par exemple seraient catastrophiques.

Cyberattaque : L’impact d’une intrusion dans les données clients et la responsabilité des entreprises
L’enquête a montré une image globale variée en termes de préparation pour une surveillance réglementaire accrue et en termes d’impact sur des programmes de cybersécurité et de responsabilité :

·         Cyberattaque : Même si 70 % des sondés indiquent que la menace d’actions en justice et d’amendes influence le niveau d’implication des cadres ou des conseils d’administration, 22 % ne prend pas en compte les frais d’amendes ou de justice (19 %) dans le coût potentiel d’une intrusion.

·       Cyberattaque : Ce qui inquiète le plus les sondés internationaux sur les conséquences d’une cyberattaque est la perte de données client (68 %), d’informations financières (52 %), de la confiance des clients (35 %), de leur réputation (33 %) et de leur capacité à opérer (32 %).

·        Cyberattaque : Presque sept sondés sur dix (69 %) ont déclaré que leur priorité en cas de cyberattaque serait de stopper l’intrusion, d’expulser les intrus, puis de détecter la source de l’intrusion (53 %).

o   Peu de répondants ont mis le fait de notifier leur conseil d’administration ou leur PDG (26 %), l’ensemble du personnel (25 %) et les clients (18 %) comme une priorité.

Data Security Confidence : Se protéger des pirates ? Les entreprises doutent

Data Security Confidence – Une nouvelle étude révèle que la plupart des entreprises doutent de leur capacité à protéger leurs données en cas de cyberattaque.

Malgré l’augmentation du nombre de cyberattaques et la perte ou le vol de 3,9 milliards de registres de données depuis 2013, de nombreuses entreprises continuent d’avoir confiance dans l’efficacité du périmètre mis en place pour les protéger. Ceci est l’une des nombreuses conclusions mises en exergue par la troisième édition annuelle du Data Security Confidence Index publié par Gemalto.

Sur les 100 décideurs informatiques français interrogés, 39% déclarent que leurs systèmes de défense informatique (pare-feu, IDPS, antivirus, filtres de contenu, détecteurs d’anomalies, etc.) permettraient d’interdire très efficacement l’accès des personnes non autorisées au réseau. Cependant, 72 % disent ne pas être en mesure d’assurer la protection de leurs données si ces systèmes de défense venaient à être compromis. Ils étaient 51% dans ce cas en 2015 et 70% en 2014. En outre, 81% pensent que les utilisateurs non autorisés sont capables d’accéder au réseau, voire, pour 18% des interrogés, de l’infiltrer dans sa totalité.

« Ce rapport montre le fossé existant entre la perception et la réalité en ce qui concerne l’efficacité du périmètre de sécurité », souligne Jason Hart, VP et CTO de Gemalto pour la protection des données. « Même si l’époque de la prévention des cyberattaques est révolue, un grand nombre d’entreprises continuent de placer le périmètre de protection au cœur de leurs stratégies sécuritaires. Les professionnels doivent à présent changer leur façon de penser et ne plus chercher à prévenir les attaques, mais comprendre que ces dernières sont inévitables, et qu’ils doivent avant tout s’assurer de protéger les données ainsi que les utilisateurs qui y ont accès. »

Data Security Confidence

Même si le périmètre de sécurité reste prioritaire, il n’est pas suffisant. Toujours selon cette étude, 87% des décideurs informatiques français déclarent avoir ajusté leur stratégie en matière de sécurité après avoir été victimes d’une cyberattaque sophistiquée, un pourcentage qui était de 82% en 2015 et de 41% en 2014. D’autre part, 83% ont déclaré avoir augmenté le budget alloué à leur périmètre et 87% pensent que l’argent a été investi dans les technologies les plus adaptées.

Malgré les efforts qui continuent à être portés sur le périmètre de sécurité, les résultats de ce Data Security Confidence Index sont révélateurs des défis que les entreprises rencontrent en matière de vol de données. 82% des personnes interrogées en France indiquent que leur entreprise a fait l’objet d’un vol de données au cours des cinq dernières années. Plus d’un quart (32%) disent en avoir fait l’expérience depuis les 12 derniers mois, avec le même nombre de décideurs IT (30%) déclarant la même fréquence en 2015. Cela suggère que les entreprises n’ont pas réussi à limiter le nombre d’attaques, et ce malgré l’investissement réalisé au niveau du périmètre de sécurité.

« Alors que les entreprises pensent utiliser à bon escient leur budget sécurité, il est clair que les protocoles de sécurité employés ne répondent plus aux nouvelles exigences en la matière. Même si s’assurer de la robustesse de leur périmètre reste une priorité, elles doivent à présent adopter une approche multidimensionnelle en cas d’attaque. En ayant recours à des outils tels que le chiffrement de bout en bout et l’authentification à deux facteurs sur leur réseau et dans le cloud, elles seront capables de protéger l’ensemble de leur structure, ainsi que les données, ressources clés de l’entreprise, » conclut Hart.

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

Stopper la progression des pirates au cœur des systèmes informatiques

Systèmes informatiques – Selon une étude conduite récemment par le Club des experts de la sécurité de l’information et du numérique (Cesin), 81 % des entreprises et administrations françaises déclarent avoir subi une attaque au cours des douze derniers mois et 93 % ne font pas confiance à leurs outils informatiques, leurs fournisseurs et leurs hébergeurs.

L’erreur humaine, les vulnérabilités favorisées par la montée du cloud et la généralisation du BYOD dans les entreprises sont autant de facteurs de risques qui menacent la sécurité de leurs données et fragilisent la confiance des RSSI en leur capacité à contrôler l’ensemble des points d’accès du système d’information.

La plupart des attaques avancées commencent par des e-mails de phishing envoyés aux utilisateurs d’une entreprise qui ne disposent pas d’accès aux comptes d’administrateurs dits « à privilèges ou hauts-pouvoirs » par défaut. Ces derniers, permettant d’accéder à l’ensemble des données de l’entreprise et de prendre le contrôle des systèmes, sont la première cible des cyberattaques. Ainsi, les comptes disposant de privilèges d’administration locaux représentent un important vecteur d’attaque car ils se trouvent sur chaque terminal et sur chaque serveur de l’environnement. En outre, les comptes d’utilisateurs individuels qui y résident et disposent de privilèges d’administration contribuent à accroître la surface d’attaque. En moyenne, dix emails1 suffisent aux pirates informatiques pour parvenir à leurs fins et introduire un malware au sein des systèmes. Ces programmes malveillants très sophistiqués, lorsqu’ils ont pénétré le réseau, exploitent des machines, dérobent des données, capturent les informations d’identification des comptes à hauts pouvoirs ou endommagent des systèmes. L’erreur étant fondamentalement humaine, tout le monde est susceptible de se faire piéger au moins une fois par un email de phishing, que ce soit par manque d’attention ou par curiosité, ce qui confirme une nouvelle fois que la menace se trouve aussi à l’intérieur. Il ne s’agit donc plus d’empêcher une intrusion dans un système avec un pare-feu, un anti-virus ou tout système de blocage à l’entrée du réseau, mais bien de stopper la progression des pirates déjà infiltrés à l’intérieur du réseau.

Systèmes informatiques

Il est par ailleurs difficile pour les équipes IT de faire un suivi détaillé de l’ensemble des applications et programmes présents dans les systèmes d’une organisation et d’en vérifier précisément la fiabilité. Partant du principe qu’une entreprise peut rassembler jusqu’à 20 000 applications métiers2, on peut facilement concevoir que des applications corrompues passent inaperçues et constituent des portes d’entrée dans les systèmes, et donc un accès direct aux données de l’entreprise. C’est là que la gestion des droits d’administration relatifs aux applications s’avère cruciale : ainsi, une entreprise peut intervenir sur les droits de l’utilisateur afin d’éviter les erreurs liées à la modification des configurations systèmes, à l’installation de programmes malveillants ou encore à l’accès et à la modification de comptes utilisateurs. Toutefois, révoquer tous les droits d’administration des utilisateurs oblige parfois les équipes IT à leur accorder de nouveau des privilèges pour effectuer certaines tâches au niveau des applications. Ces derniers, une fois accordés, sont rarement révoqués et s’accumulent au fil du temps, rouvrant ainsi une faille de sécurité liée à l’excès de droits d’administration ; supprimer ces droits pour les utilisateurs au niveau des points d’accès et des serveurs sans contrôler au préalable les programmes autorisés sur ces machines favorise l’introduction et l’exécution autonomes d’applications malveillantes au sein du réseau.

Pour relever ces défis, les organisations ont besoin d’outils flexibles, permettant d’automatiser la gestion des privilèges des administrateurs locaux et le contrôle des applications sur l’ensemble des périphériques et serveurs. En privilégiant la combinaison du contrôle d’application et du principe du « moindre privilège » pour développer une approche de sécurité équilibrée et organisée par couches, les organisations peuvent réduire la surface d’attaque et mieux se protéger contre les menaces ayant déjà pu infiltrer le système. Ainsi, les équipes de sécurité sont immédiatement alertées de potentielles tentatives d’attaques en cours, le tout sans perturber la productivité des employés, ni surcharger les services IT en charge de la sécurité. Si on considère qu’un pirate motivé parviendra toujours à s’introduire dans le système d’une entreprise, ces mesures bloqueront sa progression et l’empêcheront de naviguer des points d’entrée vers les serveurs pour prendre possession du réseau. (Par Jean-François Pruvot, Regional Director France chez CyberArk)

Sources:
1- Verizon, « 2015 Data Breach Investigations Report », page 13
2- Viewfinity, « IT Security’s 50 Shades of Grey Whitepaper », page 2

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

La signature de vos mails, porte d’accès pour pirate

Quoi de plus anodin qu’une signature dans un courrier électronique. Prenez garde, elle peut révéler beaucoup d’informations au premier pirate qui passe. DataSecurityBreach vous propose un mode d’emploi contre la collecte d’information via votre répondeur.

Dans le piratage informatique, la collecte d’informations sur la cible est primordiale. Avant d’attaquer un ordinateur, le pro de la malveillance informatique doit tout savoir sur l’humain et son environnement. Connaitre sur le bout des doigts la vie de l’objectif. Parmi les « espaces » de travail de l’espion : les poubelles (on se retrouve au FIC 2016 lors du challenge CDAISI, NDR) ; les bureaux ; les pages communautaires (Facebook, …) ainsi que les mails, les signatures et, surtout, le répondeur qui annonce votre absence.

Les réponses automatiques, l’ami de vos ennemis
Aussi bête que cela puisse paraître, j’ai pu constater depuis des années que les messages automatiques des répondeurs de nos boites mails étaient capables de fournir des informations sensibles, stratégiques pour celui qui sait les lires. Comme l’explique le site Internet dédié aux Professionnels de l’opérateur Orange « Au moment de paramétrer votre message d’absence pensez à faire figurer quelques informations comme » et l’entité historique des télécoms Français d’égrainer les données à fournir dans le message automatique : La durée de votre absence ; les coordonnées d’une personne à contacter en cas d’urgence... »

Aujourd’hui, ces informations ne sont plus à mettre. Imposez à votre direction une adresse électronique générique à mettre en place durant les absences. Paul.Abuba@Federalbank.gov.us n’est plus pensable dans un répondeur. Absence@Federalbank.gov ou informatique@Federalbank.gov (si vous officiez dans ce service, NDR) semble plus logique. Il ne faut plus communiquer la durée de l’absence, et encore moins l’identité de la personne à contacter en cas d’absence.

Social Engineering automatisé

Votre répondeur ne doit plus ressembler au message ci-dessus, mais à celui proposé ci-dessous. Un message qui aura pour mission de préserver les intérêts de votre entreprise et de votre vie numérique. De bloquer les tentatives de fraudes, de type Fraude au président par exemple. Il est aujourd’hui impératif d’éviter toute personnalisation. Un malveillant possédant l’identité de vos proches collaborateurs, d’un numéro de téléphone direct et de la date de votre absence à suffisamment de données pour piéger votre entreprise.

Prévisions en matière de menaces informatiques à l’horizon 2020

Les prévisions d’Intel Security fournissent également des perspectives précieuses aux entreprises dans le cadre de la définition de leurs stratégies de sécurité informatique à court et à long terme.

Le nouveau rapport d’Intel Security intitulé ‘McAfee Labs Threat Predictions Report’ prédit les principales tendances à anticiper en 2016 en matière de menaces informatiques. Il fournit également un aperçu prédictif unique de ce paysage jusqu’à l’horizon 2020 et livre les potentielles réponses de l’industrie de la sécurité informatique face à l’évolution des cyber-menaces.

« A l’image des joueurs de foot qui savent saisir les opportunités et anticiper le jeu, il est important que les entreprises puissent garder une longueur d’avance sur les tendances business et technologiques mais également sur l’environnement des menaces informatiques. Le rôle de l’industrie informatique est de les accompagner dans cette bataille en mettant à leur disposition des technologies performantes pour les soutenir dans leurs activités et leur permettre de comprendre à quels types de menaces elles seront confrontées demain », commente Vincent Weafer, Vice-Président de McAfee Labs d’Intel Security.

Les menaces à venir en 2016

L’éventail des risques à anticiper en 2016 s’étend des probables attaques de ransomware, aux risques d’attaques contre les véhicules connectés, en passant par des attaques contre des infrastructures, ou encore la vente de données volées, etc. Différents types d’attaques en matière de menaces sont à prévoir :

Matérielle. Les attaques sur tous les types de matériel et de firmware vont encore continuer l’année prochaine et se traduire par le développement et la croissance du marché noir liés aux outils d’exécution de ce type d’attaque. Les machines virtuelles seront également ciblées avec des rootkits de firmware.

Ransomware. L’anonymisation des réseaux et des modalités de paiement continuera à alimenter le risque de ransomwares. En 2016, un plus grand nombre de cybercriminels novices devrait exploiter les offres de Ransomware-as-a-Service et accélérer ainsi la croissance de ce marché.

Ciblées sur les accessoires connectés. Bien que la plupart des accessoires connectés stocke une quantité relativement faible de renseignements personnels, les plates-formes sur lesquelles fonctionnent ces devices pourront s’avérer la cible des cybercriminels afin d’en compromettre les smartphones associés. L’industrie devra s’atteler à la protection des potentielles surfaces d’attaques tels que les noyaux des systèmes d’exploitation, les logiciels de gestion de réseau et de WiFi, les interfaces utilisateur, la mémoire, les fichiers locaux et les systèmes de stockage, les machines virtuelles, les applications Web, les logiciels de sécurité et de contrôle d’accès.

Par des OS des salariés. Les entreprises devront continuer à rester vigilantes et à renforcer leurs mesures de sécurité via notamment la mise en place des dernières technologies de sécurité disponibles, l’embauche de personnel expérimenté pour assurer la protection de son IT et de ses données, et la définition de politiques de sécurité efficaces. En revanche, les hackers essayeront de nouveau de détourner ces mécanismes de protection en passant par les systèmes d’exploitation des salariés et en tirant profit notamment de la faible protection des systèmes qu’ils utilisent chez eux pour accéder aux réseaux de leur entreprise.

Services Cloud. La protection des services Cloud est encore souvent négligée par les entreprises. Cela devrait pousser les cybercriminels à profiter de la faiblesse, voire de l’inexistence, de certaines politiques de sécurité d’entreprises. Le Cloud rassemble une quantité croissante d’informations confidentielles d’entreprises, le vol des données stockées par ces services pourrait compromettre toute la stratégie d’une entreprise, y compris le développement de son portefeuille de produits, ses futures innovations, ses services financiers, les données de ses employés, etc.

Voitures. Les experts en sécurité continueront à étudier les potentielles menaces auxquelles sont exposés les systèmes d’exploitation des voitures connectées dépourvus des capacités de sécurité embarquée ou non conformes aux best practices des politiques de sécurité établies. Les fournisseurs de solutions de sécurité informatique et les constructeurs automobiles devront coopérer de manière proactive afin d’élaborer des directives, des normes et des solutions techniques pour protéger les surfaces d’attaques potentielles que représentent par exemple les unités de commande électronique (Engine Control Unit ou ECU) des systèmes d’accès du véhicule, les ECU relatifs au moteur et à la transmission, au système avancé d’assistance au conducteur, les systèmes de verrouillage du véhicule à distance, le télé-déverrouillage passif, le récepteur V2X, les clés USB, le diagnostic embarqué, les applications de type RemoteLink et l’accès smartphone.

Stockage de données volées. Les blocs d’informations personnelles qui permettent une identification sont aujourd’hui reliés entre eux dans de grandes bases de données, où l’ensemble des éléments volés font ainsi augmenter la valeur des dossiers compilés. L’année prochaine verra le développement d’un marché noir encore plus robuste qui offrira davantage d’informations personnelles (date d’anniversaire, adresse, etc.) associées à des identifiants en ligne et à des mots de passe.

Contre l’intégrité de système. Les attaques sélectives compromettant l’intégrité des systèmes et des données seront l’un des plus importants nouveaux vecteurs d’attaques. L’objectif de ces attaques consiste à saisir et à modifier des transactions ou des données en faveur des attaquants. Par exemple, un cybercriminel peut parvenir à modifier des paramètres de dépôt direct de versement de salaires pour verser l’argent sur son propre compte bancaire. En 2016, McAfee Labs prévoit une possible attaque contre l’intégrité de système dans le domaine financier, secteur dans lequel des millions de dollars pourraient être dérobés par des cybercriminels.

Partage de renseignements sur les menaces. Le partage de renseignements sur les menaces entre les entreprises et les fournisseurs de solutions de sécurité devrait croître rapidement. Des mesures législatives seront prises afin de faciliter les échanges d’informations entre les entreprises et les gouvernements. Le développement accéléré de best practices devrait favoriser l’identification de métriques permettant de mesurer l’amélioration des niveaux de protection.

Les prévisions à l’horizon 2020

La vision prédictive de McAfee Labs tend à identifier la manière dont les différents acteurs du cyber-crime vont évoluer, comment vont changer à la fois les comportements et les objectifs des attaquants, mais aussi de prédire la façon dont l’industrie répondra à ces défis au cours des 5 prochaines années.

Attaques sous l’OS. Alors que les applications et les systèmes d’exploitation seront de plus en plus protégés, les attaquants chercheront des faiblesses dans le firmware et le matériel informatique. Ce type d’attaque pourrait éventuellement offrir aux hackers le contrôle total des systèmes. En effet, ils seraient théoriquement en mesure d’accéder à un nombre illimité de ressources et de fonctionnalités de gestion et de contrôle au sein des systèmes.

Contournement de détection. Les assaillants chercheront à contourner les technologies de détection de cyber-menaces en ciblant de nouvelles surfaces d’attaques et en utilisant des méthodes d’attaques toujours plus sophistiquées. Cela signifie qu’il faudra dès lors anticiper des malwares sans fichier, des infiltrations cryptées, des malwares en mesure de contourner les sandbox, des exploits à distance des protocoles RSH et des protocoles de contrôle, ainsi que des attaques sous l’OS ciblant et exploitant les Master Boot Records (MBR), le BIOS et le firmware.

Appareils connectés : de nouvelles surfaces d’attaques. D’ici 2020, ces dispositifs devraient atteindre un niveau de pénétration du marché assez conséquent pour attirer les cybercriminels. Les fournisseurs de technologie et de solutions verticales seront amenés à collaborer afin de définir des conseils de sécurité pour les utilisateurs et des best practices pour l’industrie. De plus, les fabricants d’objets connectés chercheront, de plus en plus, à intégrer les mécanismes de contrôle de sécurité dès la phase de conception de leurs produits.

Pénétration du cyber-espionnage dans les entreprises. Jusqu’alors, les logiciels de cyber-espionnage ciblaient davantage le secteur public. McAfee Labs prévoit que, d’ici 2020, le marché noir des malwares et des services de piratage pourrait rendre possible leur utilisation pour exécuter des attaques contre les entreprises afin de collecter des renseignements financiers et de manipuler les marchés en faveur des attaquants.

Enjeux et opportunités de la confidentialité. Le volume et la valeur des données personnelles sur le Web vont continuer de croître. Pour répondre à la menace constante du vol de ces informations, de nouvelles réglementations sur la confidentialité vont être élaborées et mises en oeuvre à travers le monde. En parallèle, les utilisateurs devront commencer à exiger des compensations pour le partage de leurs données. Ce mouvement donnera probablement naissance à un nouveau marché d’« échange de valeur» qui pourrait profondément changer la façon dont les individus et les entreprises gèrent leurs vies privées numériques.

Réponse de l’industrie de la sécurité. Les industriels développeront des outils plus efficaces pour détecter et remédier aux attaques sophistiquées. Les nouvelles technologies devront s’appuyer sur une analyse de comportement prédictive pour repérer les activités irrégulières et détecter les comptes compromis. La protection des systèmes deviendra plus rapide et efficace grâce au partage des renseignements sur les menaces entre les parties prenantes. La sécurité intégrée avec le Cloud va améliorer la visibilité et le contrôle des systèmes et des données. Finalement, les technologies de détection et de correction automatiques assureront la protection des entreprises contre les attaques les plus courantes, en permettant aux responsables de sécurité informatique de se concentrer sur les incidents de sécurité plus critiques.

« Afin d’avoir une longueur d’avance sur des menaces en constante évolution et pourvoir devancer ses adversaires, l’industrie informatique a besoin de s’appuyer sur les mêmes ‘armes’ que les cybercriminels. Il lui faudra ainsi associer le partage des renseignements liés aux cyber-risques entre ses différents acteurs à la puissance technologique, dont le Cloud computing et l’agilité de plates-formes, mais aussi aux compétences humaines », conclut Vincent Weafer. « Ainsi, pour gagner des batailles contre les futures menaces, les entreprises doivent avoir une meilleure visibilité et une meilleure connaissance des risques potentiels. Elles doivent également être en mesure de détecter et de répondre plus rapidement et d’utiliser pleinement à la fois les ressources humaines et techniques à leur disposition. »

TOP 10 des méthodes de piratage

L’ingénierie sociale serait la méthode la plus utilisée, suivie par la compromission de comptes et les attaques web de type injections SQL/de commandes selon une étude de Balabit.

BalaBit, fournisseur européen de technologies de sécurité contextuelle, a présenté lors de la 15è édition des Assises de la Sécurité, les résultats d’une étude menée auprès des participants de la Black Hat en août dernier, conférence de référence mondiale en matière de sécurité de l’information. BalaBit a interrogé 349 professionnels de la sécurité afin de définir le top 10 des méthodes de hacking actuellement les plus populaires. Cette étude offre aux entreprises l’opportunité de mieux connaître leurs ennemis en identifiant les méthodes et les vulnérabilités les plus utilisées par les hackers lorsqu’il s’agit de s’attaquer à leurs données sensibles. Cette base de connaissance est la première étape fondamentale pour toute entreprise souhaitant mettre en place une stratégie de sécurité IT efficace, et cela quelque soit son secteur d’activité.

Attaquant interne ou externe ? Pas si évident…
Les menaces sont différentes et plus sophistiquées aujourd’hui et la frontière entre les menaces internes et externes est devenue très étroite. La majorité des attaquants externes tentent de pénétrer le réseau, d’acquérir des niveaux d’accès basiques et d’utiliser leurs droits pour petit à petit remonter jusqu’à des niveaux d’accès privilégiés. Dans la plupart des cas, ils restent invisibles dans le réseau pendant plusieurs mois, puisqu’ils parviennent à s’identifier comme des utilisateurs internes. Qu’en est-il des utilisateurs internes malveillants ? : Sont-ils conscients des conséquences de leurs actes lorsqu’ils partagent leurs identifiants ou lorsqu’ils cliquent sur des liens de phishing – dans ce cas, la fuite de données est-elle le résultat d’actions intentionnelles ou accidentelles ? Doivent-ils être considérés comme malveillants seulement si leur action était intentionnelle ? Cela a t-il vraiment beaucoup d’importance si la fuite de données est très grave ?

70% des personnes interrogées considèrent les menaces internes comme les plus risquées.
54% des personnes interrogées déclarent avoir très peur des hackers qui pénètrent au sein du réseau de l’entreprise via leur pare-feu, alors même que 40% d’entre elles déclarent qu’un pare-feu n’est pas assez efficace pour empêcher les hackers d’entrer.

Les participants ont également été interrogés sur les attaquants – internes ou externes – qu’ils considèrent les plus à risques : Les résultats soulignent un point important en vue de la définition d’une stratégie de défense efficace : 70% des personnes interrogées considèrent que les utilisateurs internes présentent le plus de risques (et seulement 30% estiment que les attaquants externes posent plus de risques). Une chose est sûre : les attaquants externes cherchent à devenir des utilisateurs internes, et les utilisateurs internes les aident pour y parvenir – accidentellement ou intentionnellement. Quelque soit la source de l’attaque, la liste des 10 méthodes de piratage les plus populaires -présentées ci-dessous – démontre qu’il est crucial pour les entreprises de savoir ce qu’il se passe sur leur réseau en temps réel. Qui accède à quoi ; est-ce le bon utilisateur derrière l’identifiant et le mot de passe ou est-ce un attaquant externe utilisant un compte compromis ?

Le top 10 des méthodes de piratage les plus utilisées :

1. Ingénierie sociale (ex : phishing).
2. Compromission de comptes (sur la base de mots de passe faibles par exemple).
3. Attaques web (ex : injection SQL/de commandes).
4. Attaques de clients de l’entreprise ciblée (ex: contre des destinataires de documents, navigateurs web).
5. Exploits avec des mises à jour de serveurs connus (ex: OpenSSL, Heartbleed).
6. Terminaux personnels non sécurisés (manque de politique de sécurité BYOD, datasecuritybreach.fr vous en parle très souvent).
7. Intrusion physique.
8. Shadow IT (utilisation personnelle de services Cloud à des fins professionnelles).
9. Attaque d’une infrastructure outsourcée en ciblant un fournisseur de services externe.
10. Attaque de données hébergées sur le Cloud (via l’IaaS, le PaaS).

Le cybercrime en hausse de 20% au deuxième trimestre 2015

Se basant sur l’analyse de milliards de transactions mondiales menée d’avril à juin 2015, le Réseau ThreatMetrix Digital Identity a détecté et stoppé plus de 75 millions de cyberattaques en temps réel à travers le monde. Le secteur du e-commerce a particulièrement été touché, les attaques frauduleuses y ont crues de 20% durant cette période avec 36 millions de tentatives de fraude stoppées par le Réseau. Selon ThreatMetrix, ces attaques auraient généré 2,73 milliards d’euros de pertes pour les cybermarchands si elles avaient abouti.

Les nouvelles créations de comptes ont présenté le plus de risques, comptant pour près de 7% des transactions analysées bloquées par ThreatMetrix. Bien que sources de fraudes les plus fréquentes (80%), les ouvertures de sessions de comptes ont paradoxalement présenté moins de risques ce trimestre, comme en témoignent les seuls 3% de transactions bloquées par la société. Par ailleurs, 3% des paiements au niveau global ont également été jugés frauduleux au cours de la période. En France, avec 6,4% de transactions rejetées par le Réseau, les ouvertures de sessions de comptes ont été le plus soumises à des activités criminelles devançant ainsi les nouvelles créations de comptes (2.9%) et les paiements (2.5%).

Concernant la localisation des attaques, la tendance confirmée par ThreatMetrix dans son précédent rapport de sécurité se poursuit : la moitié des cyber-menaces (51%) ayant pesé sur les entreprises françaises durant cette période a eu de nouveau pour origine l’hexagone. Au niveau plus global, les Etats-Unis et le Royaume-Uni ont constitué durant ce trimestre, les principales scènes de la cybercriminalité internationale suivies par l’Allemagne, l’Inde et la République Dominicaine.

LE CREDIT EN LIGNE : DANS LA LIGNE DE MIRE DES CYBERCRIMINELS
Selon le rapport ThreatMetrix, les cybercriminels ciblant les organismes financiers se sont focalisés tout particulièrement sur le crédit en ligne. En effet, durant cette période, les attaques ont bondi de manière significative dans ce secteur ciblant principalement la création de nouveaux comptes et les remboursements. Considéré par les particuliers ayant un accès limité aux services financiers comme la façon la plus simple d’obtenir des prêts en un laps de temps très court, le marché du crédit en ligne est devenu une cible de choix pour les cybercriminels.

“Le crédit en ligne est un foyer de fraudes parce que c’est un canal insécurisé ciblant les exclus bancaires dans les économies développées » commente Pascal Podvin, Vice Président des Opérations Amériques et EMEA. “Tant que les entreprises et les particuliers stockeront et géreront leurs données financières en ligne, les cybercriminels seront en alerte maximale. C’est pourquoi la priorité numéro 1 aujourd’hui est de s’assurer que les identités numériques soient efficacement authentifiées et protégées.”

Le cybercrime est un phénomène mondial de plus en plus professionnalisé et organisé.  Dotés des technologies les plus abouties et de tactiques toujours plus ingénieuses, les cybercriminels partagent leurs connaissances avancées avec les filières du crime organisé, les gouvernements et les cyber bandes décentralisées. Ils attaquent les sources traditionnelles et non traditionnelles de données consommateurs pour mettre en commun des identités exploitables et générer leurs exactions.

ENCORE PLUS D’ATTAQUES LIEES AUX USAGES MOBILES
Représentant un tiers de l’ensemble des transactions analysées, le mobile est aujourd’hui la source d’opportunités et de risques à la plus forte croissance pour les entreprises et les institutions financières qui souhaitent proposer des expériences transactionnelles toujours plus fluides à leurs clients. Les usages mobiles continuent à se développer comptant pour plus de 31% des transactions mondiales. Avec plus de 20 millions de nouveaux périphériques mobiles ajoutés chaque mois au Réseau ThreatMetrix, cette tendance sera encore amenée à croitre.

Plus vous aurez de transactions mobiles, plus les cyber assaillants auront d’opportunités pour conduire des fraudes d’usurpation ou des vols d’identités en imitant d’autres périphériques pour faciliter les attaques,” ajoute Pascal Podvin. “ Les consommateurs favorisent principalement leurs smartphones au cours de leur temps libre. Ils seront donc plus enclins à conduire des transactions et des paiements pouvant compromettre leur empreinte numérique.”

Parmi les autres résultats marquants de ce rapport :

  • L’apparition dans le Top 5 de l’Inde et de la République Dominicaine comme pays sources de cyberattaques durant le deuxième trimestre 2015.
  • L’usurpation des identités et des périphériques (spoofing) ont constitué les menaces les plus courantes en France, comptant respectivement pour 5.2% et 7.9% des attaques sur la période.
  • Malgré le développement du commerce mondial, les transactions transfrontalières ont décliné par rapport aux transactions locales.
  • Hausse des bots et des violations de données.
  • La confiance reste un élément déterminant et critique pour la conversion et la fidélisation client comme les institutions financières et les cybermarchands aspirent à établir un fort relationnel avec leurs utilisateurs.

Pour plus d’informations, “ThreatMetrix Cybercrime Report: Q2 2015”

Campagnes de phishing ciblant les experts sécurité sur Linkedin

La société F-Secure a mis à jour la semaine dernière des campagnes de phishing/engineering social sur Linkedin, menées par des cybercriminels visant particulièrement des experts sécurité. Afin de recueillir un maximum d’informations sur des experts ciblés, les attaquants ont créé des faux comptes Linkedin invitant des experts sécurité à rejoindre leur réseaux.

Cette attaque d’ingénierie sociale mise en lumière par F-Secure nous rappelle que les réseaux sociaux sont une mine d’informations pour les cybercriminels. Le réseau Linkedin est particulièrement ciblé dans le cadre de social engineering car il permet aux cybercriminels de collecter et corréler un maximum d’informations professionnelles : qui sont les personnes en charge de la sécurité, en charge des finances, quels sont les outils IT et les applications métiers, les outils utilisés par l’entreprise, etc…

Les cybercriminels mènent des attaques de plus en plus ciblées pour franchir les systèmes de détection et investissent du temps dans le social engineering car cela leur permet de cibler très précisément les bonnes personnes dans le cadre d’attaques de spear phishing notamment, en leur envoyant des emails frauduleux très crédibles avec des pièces jointes vérolées, etc…

Au delà de Linkedin, ce sont évidemment tous les réseaux sociaux qui sont aujourd’hui ciblés. Sébastien Goutal, Chief Science Officer pour la société Vade Retro, spécialiste de la lutte anti-phishing,  livre ci-dessous une analyse un peu plus détaillée sur les abus liés aux réseaux sociaux, les moyens à mettre en place et notamment une vraie coopération des grands acteurs internationaux comme c’est le cas avec le projet ThreatExchange de Facebook.

Surveiller en permanence les abus

La gestion des abus au sein des réseaux sociaux présente de nombreux défis. En effet, la capacité d’un réseau social à pouvoir diffuser rapidement de l’information à un grand nombre d’utilisateurs joue en faveur de l’attaquant. Il suffit de considérer les chiffres pour appréhender l’aspect potentiellement hautement viral d’une attaque, dans le cas par exemple d’un compte utilisateur compromis – vecteur classique d’une attaque. Facebook c’est 1.4 milliard d’utilisateurs actifs, plus de 200 friends en moyenne et une très grande réactivité de la communauté, en particulier via l’application mobile. En outre, la quantité considérable de données à traiter en temps réel pour détecter les menaces pose un véritable défi à tous les niveaux. Les infrastructures techniques sont très fortement sollicitées et de nombreux éléments statistiques sont calculés au fil de l’eau pour permettre une analyse pertinente et rapide du flux d’information. A ce titre, on se rappellera que les réseaux sociaux ont été à l’origine – et restent au cœur – de la révolution Big data.

Les réseaux sociaux sont encore jeunes

Un autre élément majeur concerne la jeunesse des réseaux sociaux, et le fait que ce soient des produits en évolution permanente: rien n’est pour l’instant gravé dans le marbre, ce qui donne une certaine marge de manœuvre. Par exemple, des évolutions produits mineures ont permis de réduire de manière importante les menaces: l’obligation de posséder un téléphone portable pour créer un compte est une solution simple et très efficace pour limiter la création de comptes frauduleux, car elle implique un coût économique important pour l’attaquant, alors que la gène pour l’utilisateur légitime est négligeable. La communication entre les équipes produits et sécurité est un élément capital dans la lutte contre les abus.

L’union fait la force

En matière de sécurité, l’union fait la force. La coopération entre les grands acteurs du monde numérique est donc cruciale pour lutter contre les abus. A ce titre mentionnons une initiative lancée par Facebook, le projet ThreatExchange: une plateforme permettant aux différents acteurs de l’écosystème numérique d’échanger des informations relatives aux menaces – telles que des URL ou des adresses IP suspectes. Un des points importants de cette plateforme est que chaque participant peut sélectionner qui sera destinataire de ces informations sensibles. En effet, qui souhaiterait partager des informations sensibles avec un concurrent? De nombreux acteurs importants tels que Bitly, Yahoo!, LinkedIn ou Twitter participent dores et déjà à cette excellente initiative.

Les menaces numériques sont en évolution constante. On les retrouve sous plusieurs formes, de l’email au sms, elles tentent désormais de tirer partie des réseaux sociaux. La lutte s’annonce acharnée, et les acteurs du monde numérique ont les moyens de réduire significativement ces menaces, en particulier en coopérant. L’avenir nous dira si ces mesures ont été efficaces.

A noter que l’équipe de Data Security Breach propose des ateliers de sensibilisations à la sécurité informatique en entreprise, associations, territoriales, … n’hésitez pas à nous contacter.

Pourquoi il est vital de développer une culture de sécurité numérique en entreprise

Au moment où les décideurs prennent conscience de l’importance vitale du développement d’une culture sécurité, il est indispensable de travailler sur une approche verticale de la sensibilisation. Par Michel Gérard, DG de Conscio Technologies

La plupart des outils utilisés pour la mise en œuvre de campagnes en ligne, que sont les intranets ou les « learning management systems » ne permettent clairement pas de travailler comme il faut dans l’objectif du développement d’une culture de sécurité numérique. D’après une étude de PWC, les entreprises qui développent cette culture font une économie de 72% sur le coût des incidents de sécurité !

Une approche verticale de la sensibilisation permet un travail sur les trois aspects de la sensibilisation : sensibilité au sujet, connaissance et compréhension des enjeux et des bonnes pratiques, comportements réellement adoptés. Tout en s’adaptant aux spécificités du monde de l’entreprise.

Un public interne hétérogène
Hétérogène en âge, en sexe, en métier, en culture, en langue… La stratégie de sensibilisation doit donc tenir compte de cette homogénéité en diversifiant le contenu en fonction des profils.

Une communication à adapter
Les salariés n’attendent pas le lancement d’une campagne comme celui de la prochaine saison de « Games of Thrones ». Il est donc impossible de se contenter de mettre à disposition un contenu de référence et ensuite d’attendre que les collaborateurs viennent par eux même. La solution utilisée doit donc permettre de lancer des invitations et de programmer des relances, voire de communiquer et de commenter le déroulement de la campagne sur toute sa durée.

Doser et cadencer l’information
Vouloir faire ingurgiter en une seule fois tout un corpus de connaissances et de règles peut s’avérer contre productif. L’expérience nous a montré qu’il était bien plus efficace de mettre à disposition des contenus plutôt courts mais de façon répétée. N’oublions pas non plus l’effet de halo qui veut que lorsqu’on parle de certains thèmes de cybersécurité, on sensibilise globalement les salariés au sujet dans son ensemble.

Placer le contenu au cœur de la sensibilisation
Le contenu de la campagne est au coeur du succès de l’opération de sensibilisation. Il est donc important de pouvoir disposer de contenus génériques que l’on peut amender et enrichir en fonction de la politique de sécurité bien sûr mais aussi en fonction de l’environnement, et des particularités de la population cible. L’actualité étant telle sur ces sujets qu’il peut être nécessaire de réagir au plus vite. Là encore, la solution choisie doit permettre les modifications des contenus proposés et la possibilité de les mettre à jour de façon permanente.

Réduire le coût de incidents de sécurité
D’après une étude de PWC, les entreprises qui développent cette culture fond une économie de 72% sur le coût des incidents de sécurité. Il est donc important de mesurer l’impact de ce que l’on fait ainsi que le chemin parcouru.

En conclusion, les derniers incidents de sécurité les plus graves subis par les entreprises dans le monde le démontrent, il est absolument vital de développer une culture de sécurité numérique dans nos organisations. Cette tâche doit être prise très au sérieux dans les entreprises et les objectifs fixés doivent être précis. On ne doit pas se résoudre à une seule obligation de moyens. Les résultats doivent être au rendez-vous. Pour cela il faut en revanche se donner les bons moyens.

A noter que l’équipe de Data Security Breach propose des ateliers de sensibilisations à la sécurité informatique en entreprise, associations, territoriales, … n’hésitez pas à nous contacter.