Archives par mot-clé : entreprises

Menaces internes : les ignorer c’est s’exposer

Face à l’hypermédiatisation des plus grandes menaces informatiques touchant les entreprises au niveau mondial, on peut légitimement penser qu’elles émanent toutes de logiciels de pointe malveillants ou de pirates commandités par des États. Mais si on pose la question à un professionnel de la sécurité, il répondra que la véritable menace est bien plus proche qu’on ne le pense.

Il y a tout juste quelques mois, Verizon et Bupa – deux marques à la réputation mondiale – ont dû faire face à des fuites de données considérables, affectant des millions de clients. Toutefois, dans les deux cas, l’auteur n’était pas extérieur à l’entreprise, mais bel et bien une ressource localisée en interne, possédant un accès autorisé à des données sensibles. Dans le cas de Bupa, un employé mécontent a délibérément divulgué plus de 500?000 dossiers clients en ligne. Pour Verizon, c’était une simple erreur de configuration d’un collaborateur qui a entraîné l’exposition des informations personnelles de plus de 6 millions de clients.

Les entreprises restent focalisées sur les menaces externes

Le défi des menaces internes réside dans la multiplicité des facettes qui les caractérisent et qui rend toute protection complexe. Les employés en interne, les sous-traitants et autres parties prenantes ont souvent besoin d’accéder à des ressources sensibles pour accomplir leur travail.

Il est, de fait, beaucoup plus difficile de se protéger des actes accidentels et malveillants que de mettre ces données en danger. Et même si la menace interne est claire, la majorité des entreprises continuent à la sous-estimer.

Dans une enquête menée au salon de la sécurité Security BSides London, 71 % des professionnels de la sécurité ont indiqué considérer que les entreprises devraient s’inquiéter davantage des menaces internes.

En outre, 47 % des participants ont été jusqu’à dire que les menaces internes/les utilisateurs non éduqués constituent la menace la plus négligée par les entreprises. Près de la moitié des professionnels de la sécurité considèrent que les menaces les plus fortes sont celles provoquées par les États-nations comme la Corée du Nord ou la Russie.

Menace informatique ?

Malgré leurs inquiétudes à l’égard des menaces internes, 92 % des participants reconnaissent que l’industrie dans sa globalité continue de déployer bien plus de ressources pour contrer les menaces externes. Cette approche de type «?château fort?» de la cybersécurité prévaut depuis des années, et les fournisseurs proposent de plus en plus de couches de défense du périmètre pour aider à construire des murailles plus hautes et à creuser des douves plus profondes. Mais quelle est l’utilité de ces défenses si la menace est déjà à l’intérieur??

Dans le cas de l’attaque récente de Verizon, un tiers, qui transférait des données client vers un nouvel espace de stockage Cloud, a commis une erreur de configuration d’accès, ce qui a engendré un accès externe accidentel. Si la menace interne était vue comme un risque réél, elle serait véritablement prise au sérieux. Mais cela ne semble pas être le cas dans la plupart des conseils d’administration. Dans l’enquête Security BSides London, seuls 9 % des interrogés ont indiqué trouver que la direction supérieure de leur entreprise prenait de bonnes décisions pour la stratégie et les dépenses de sécurité.

Menaces internes : comment réduire les risques ?

Comme pour de nombreux problèmes de sécurité, il n’est pas toujours nécessaire d’investir beaucoup pour réduire considérablement la menace. Des investissements stratégiques dans deux domaines essentiels peuvent faire la différence :

Éducation et information : le moyen de défense le plus efficace contre les menaces internes accidentelles réside dans une éducation et une information permettant d’éveiller les consciences. La grande majorité des fuites de données accidentelles ont lieu parce que les employés ne sont tout simplement pas conscients des conséquences de leurs actes. Une formation régulière sur la sécurité des données contribue à réduire les cas de négligence et à s’assurer que les employés réfléchissent avant d’agir dès que des données sensibles sont en jeu. Dans cette optique, il est important de fournir des rappels réguliers pour informer les employés des nouvelles procédures ou technologies de données mises en œuvre.

Une approche de la sécurité plus centrée sur les données

Malheureusement, toutes les menaces internes ne sont pas intentionnelles, comme l’illustre la récente fuite de données de Bupa. Dans ces circonstances, une couche de technologie supplémentaire peut aider à empêcher la fuite de données sensibles. Si l’éducation et l’information ne suffisent pas, les équipes sécurité doivent pouvoir comprendre et visualiser l’utilisation des données, afin de pouvoir repérer rapidement toute activité inhabituelle pouvant indiquer un risque. De plus, des politiques automatiques concernant l’accès aux données, voire qui empêchent les employés de copier, transférer ou supprimer des données sensibles, peuvent aider à contrer les fuites ou actes malvaillants.

Malgré l’accumulation des preuves attestant des risques engendrés par les menaces internes pour les entreprises modernes, les personnes qui décident des dépenses de sécurité restent obstinément focalisées sur les risques externes. Bien que cela représente une source de frustration croissante pour les professionnels de la sécurité, la bonne nouvelle est qu’il n’est pas nécessaire d’investir des fortunes pour améliorer considérablement la protection contre les menaces internes. Des dépenses stratégiques focalisées sur l’éducation et l’information, combinées à des technologies tenant compte des données, peuvent contribuer à décourager les employés les plus malveillants ou insouciants, et à garantir que les données sensibles n’arrivent jamais entre de mauvaises mains. (par Thomas Fischer, Global Security Advocate chez Digital Guardian)

Près de la moitié des entreprises ont subi une compromission de données en 2016

La forte progression du trafic Internet émanant de bots crée un sérieux angle mort pour la sécurité IT, et 79% des entreprises ne savent toujours pas si leur trafic web provient d’humains ou de bots selon une étude de Radware.

La publication d’une nouvelle étude intitulée Radware Research: Web Application Security in a Digitally Connected World ne laisse rien présagé de bon. Ce rapport, qui examine la façon dont les entreprises protègent leurs applications web, identifie des lacunes de sécurité au sein des actuelles pratiques DevOps, recense les principaux types et vecteurs d’attaques et identifie les principaux risques.

L’étude qui s’intéresse aux secteurs d’industrie les plus ciblés, comme la vente au détail, la santé et les services financiers, souligne la prolifération du trafic web généré par des bots et son impact sur la sécurité applicative des entreprises. En réalité, les bots sont à l’origine de plus de la moitié (52%) de tout le flux du trafic Internet. Pour certaines entreprises, les bots constituent plus de 75% du trafic total. Les résultats soulignent ainsi qu’une entreprise sur trois (33%) ne sait pas distinguer les « bons » bots des « mauvais ».

Le rapport révèle également que près de la moitié (45%) des sondés ont expérimenté une compromission de données l’année passée et que 68% ne sont pas certains de pouvoir préserver la sécurité de leurs informations internes. De plus, les entreprises protègent souvent mal leurs données sensibles. 52% n’inspectent pas le trafic échangé depuis et vers des API. 56% ne sont pas en capacité de suivre les données une fois qu’elles quittent l’entreprise.

Toute entreprise qui collecte les informations de citoyens européens va bientôt devoir se conformer aux réglementations strictes sur la confidentialité des données imposées par le nouveau règlement général sur la protection des données (GRPD) ou GDPR (General Data Protection Regulations).

Ces nouvelles obligations prendront effet en mai 2018. Toutefois, à moins d’un an de l’échéance, 68% des entreprises craignent de ne pas être prêtes à temps.

« Il est alarmant que les dirigeants d’entreprises qui recueillent les données sensibles de millions de consommateurs doutent de la sécurité des informations qu’ils détiennent », déclare Carl Herberger, vice-président des solutions de sécurité chez Radware. « Ils connaissent les risques mais des angles morts, potentiellement vecteurs de menaces, persistent. Tant que les entreprises ignoreront où se situent leurs vulnérabilités et qu’elles n’auront pas pris les bonnes mesures pour se protéger, les attaques d’ampleur et les compromissions de données continueront de faire les gros titres. » Selon le Dr Larry Ponemon, « Ce rapport montre clairement que la pression exercée à fournir des services applicatifs en continu limite la capacité des méthodes DevOps à assurer la sécurité des applications Web aux différentes étapes du cycle de vie des développements logiciels.»

La sécurité applicative est trop souvent négligée. Tout le monde veut bénéficier des avantages de l’automatisation totale et de l’agilité conférées permis par le déploiement continu. La moitié (49%) des sondés utilisent actuellement le déploiement continu des services applicatifs et 21% envisagent de l’adopter au cours des 12 à 24 mois. Toutefois, ce modèle peut aggraver les problématiques de sécurité du développement applicatif : 62% reconnaissent que la surface d’attaque s’en trouve étendue et la moitié environ déclare ne pas intégrer la sécurité au processus.

Les bots prennent le dessus. Les bots sont la dorsale du e-commerce aujourd’hui. Les e-commerçants utilisent les bots pour les sites comparateurs de prix, les programmes de fidélité électroniques, les chatbots, etc. 41% des commerçants ont même déclaré que plus de 75% de leur trafic émane de bots, alors que 40% ne font toujours pas la différence entre les bons et les mauvais bots. Les bots malveillants constituent un risque réel. Certaines attaques de web scrapping volent la propriété intellectuelle des commerçants, cassent les prix et rachètent des stocks de façon à écouler la marchandise via des canaux non autorisés en dégageant une marge. Mais les bots ne sont pas le seul problème des commerçants. Dans le secteur de la santé, où 42% du trafic émane de bots, 20% seulement des responsables de la sécurité IT étaient certains qu’ils pourraient identifier les « mauvais » bots.

La sécurité des API est souvent négligée. Quelque 60% des entreprises partagent et consomment des données via les API, y compris des informations personnelles, des identifiants et mots de passe, des détails de paiements, des dossiers médicaux, etc. Pourtant, 52% n’inspectent pas les données échangées avec leurs API, et 51% n’effectuent aucun audit de sécurité ni n’analysent les failles éventuelles des API en amont de l’intégration.

Les périodes de vacances sont à haut risque pour les commerçants. Les commerçants sont confrontés à deux menaces distinctes mais très dommageables pendant les périodes de vacances : les pannes et les compromissions de données. Des pannes d’Internet lors de la haute saison quand les commerçants dégagent le plus de bénéfices peuvent avoir des conséquences financières désastreuses. Pourtant, plus de la moitié (53%) ne sont pas certains de la disponibilité à 100% de leurs services applicatifs. Les périodes où la demande est forte comme celles du Black Friday et du Cyber Monday, exposent également les données des clients : 30% des détaillants laissent entendre qu’ils peinent à protéger correctement leurs données sensibles au cours de ces périodes.

Les données médicales des patients courent des risques également. 27% seulement des sondés dans le secteur de la santé ont confiance dans leur capacité à protéger les dossiers médicaux de leurs patients, même s’ils sont près de 80% à devoir se conformer aux réglementations d’état. Il est primordial de déployer des correctifs de sécurité pour faire face aux actuelles menaces et mieux pouvoir atténuer leur impact, mais 62% environ des sondés dans le secteur de la santé n’ont peu ou pas confiance dans la capacité de leur établissement à pouvoir adopter rapidement des correctifs de sécurité et déployer les mises à jour, sans compromettre la conduite des opérations. Plus de la moitié (55%) des établissements de santé déclarent n’avoir aucun moyen de suivre les données partagées avec une tierce partie une fois qu’elles ont quitté le réseau interne. Les organisations du secteur de la santé sont les moins enclines à rechercher des données volées sur le Darknet : 37% ont déclaré le faire contre 56% dans le secteur des services financiers et 48% dans le secteur de la vente au détail.

La multiplication des points de contact aggrave le niveau de risque. L’avènement des nouvelles technologies financières (comme celles liées aux paiements mobiles) facilite l’accès des consommateurs et leur degré d’engagement, ce qui a pour effet d’accroître le nombre des points d’accès comportant des vulnérabilités et de majorer le niveau de risque auquel sont confrontés les responsables de la sécurité. Alors que 72% des organisations de services financiers partagent les identifiants et mots de passe et que 58% partagent les détails des paiements réalisés via des API, 51% ne chiffrent pas le trafic, avec le risque d’exposer les données en transit des clients.

Le RGPD : 81% des entreprises ne seront pas en conformité en mai 2018

La course contre la montre a déjà commencé pour le RGPD… Dès le 25 mai 2018, la nouvelle règlementation européenne définie fin 2015 s’appliquera et viendra renforcer la protection des consommateurs au niveau européen. Le non-respect sera puni par des sanctions financières importantes. Elles s’insèrent dans une politique générale de la communauté européenne de définition d’un espace européen. Alors que seulement 19% des entreprises estiment pouvoir être en conformité en mai 2018, le RGPD constitue un enjeu majeur pour tous les acteurs du e-Commerce.

Le nouveau règlement européen s’applique à toute entreprise qui collecte, traite et stocke les données personnelles des ressortissants européens dont l’utilisation peut identifier une personne. Tous les acteurs économiques (entreprises, associations, administrations) doivent dès à présent mettre en œuvre les actions nécessaires pour se conformer aux règles. Le changement majeur réside dans l’obligation pour les entreprises de justifier l’ensemble des traitements de données qu’elles effectuent (récoltées au cours de création de comptes, d’inscriptions à une newsletter, de préférences de navigation…). Par exemple, lorsqu’un client se désabonne d’une newsletter ou change ses coordonnées téléphoniques sur son compte client, il appartiendra à l’entreprise de prouver que le changement a bien été effectué et de fournir le détail du traitement (heures, adresse IP…). Sur demande du particulier et à tout moment ses données pourront être supprimées, modifiées ou restituées. L’objectif est de rendre aux consommateurs la maîtrise de leur identité et de l’usage commercial de ses informations personnelles.

Enfin une protection renforcée pour les e-acheteurs !

Les consommateurs doivent comprendre clairement ce qu’ils acceptent comme traitements sur les sites e-commerce et la portée de leurs consentements. Les techniques modernes de marketing e-Commerce (retargetting, suggestions de produits…) doivent être explicitement acceptées par les particuliers. Ils disposent également d’un accès direct à leurs informations personnelles. En pratique, ils pourront demander la portabilité de leurs informations (données de commandes, listes d’envie…) et obtenir un double consentement pour leurs enfants.

En cas de fuite de données, l’internaute sera informé dans les 72 heures par l’entreprise, la responsabilité pouvant incomber au sous-traitant responsable de la fuite ou à l’hébergeur si ce dernier a été attaqué. Pour s’assurer du respect de ces nouveaux droits, le législateur a rendu possibles les actions collectives via des associations.

TPE/PME – La mise en œuvre du RGPD dans le e-Commerce

D’ici mai 2018 toutes les entreprises devront respecter la nouvelle réglementation. Cette mise en œuvre implique une bonne compréhension à la fois des obligations et des moyens d’y parvenir. Les sites e-Commerce devront assurer le plus haut niveau possible de protection des données. Pour garantir la sécurité des données personnelles de leurs clients les marchands devront déployer tous les moyens techniques et respecter des règles strictes : la mise en œuvre d’un registre de consentements, la conservation des données, la sécurisation des mails transactionnels, le cryptage des mots de passe…. Un délégué à la protection des données (DPO) sera désigné pour assurer la mise en place et le suivi de ces actions.

On passe dans une logique de responsabilisation totale de l’entreprise, une nécessité au regard des plus de 170 000 sites ne seront pas en conformité avec le règlement européen en mai 2018.

Rappelons que chaque jour des milliers d’attaques visent la totalité des acteurs du e-Commerce. La sécurité des données et des infrastructures techniques sont les enjeux majeurs du monde du web. Le nombre total de cyber-attaques a augmenté de 35% en l’espace d’un an. En France nous en avons recensé plus de 15 millions au 1er trimestre 2017 ce qui représente 4,4% des attaques mondiales.

Un cadre contraignant pour les entreprises et des impacts majeurs à court terme

Le baromètre RGPD démontre qu’à ce jour 44% des entreprises considèrent déjà qu’elles ne seront que partiellement conformes. Les sanctions en cas de manquement aux obligations imposées par la règlementation sont financières et indexées sur le chiffre d’affaires de l’entreprise. Elles peuvent atteindre de 10 à 20 millions d’euros ou 2 à 4% du CA, la sanction la plus élevée sera retenue. Un nouveau concept émerge : le « Privacy By design », un gage de qualité et de réassurance pour les entrepreneurs à la recherche d’une sécurisation optimale des données clients. Un site conçu en « Privacy by Design » garantit qu’aucun module n’a été ajouté à la structure du site et que la solution a été élaborée avec la protection des données comme prérequis à chaque étape de la mise en ligne du site.

Cybermenaces : les employés, de vilains petits e-canards ?

Un employé télécharge un logiciel malveillant toutes les 4 secondes et 1 employé sur 5 est à l’origine d’une faille de sécurité. Le volume des attaques de phishing continue d’augmenter et touche 80% des entreprises interrogées, les pirates préférant des méthodes reposant sur la messagerie et l’ingénierie sociale pour mener leurs attaques.

Check Point Software Technologies Ltd. vient de publier les résultats de son Security Report annuel et de l’enquête SANS : Exploits at the Endpoint: SANS 2016 Threat Landscape Study. Ces deux études mettent en exergue les challenges majeurs auxquels sont confrontées les entreprises, et délivrent des recommandations aux responsables informatiques, à mesure que les entreprises continuent de se doter de protections contre les cybermenaces évolutives.

Pour la quatrième édition de leur Security Report, les chercheurs de Check Point ont analysé l’activité de plus de 31 000 gateways Check Point dans le monde entier, révélant ainsi des détails sur les logiciels malveillants connus et inconnus que rencontrent les entreprises, les tendances d’attaque, et l’impact des appareils mobiles dans l’entreprise. Les chercheurs ont également pu mesurer l’impact des failles de sécurité sur les entreprises, et les dépenses supplémentaires engendrées, au-delà des coûts de désinfection.

Dans l’enquête Exploits at the Endpoint: SANS 2016 Threat Landscape Study, réalisée en partenariat avec le SANS Institute, un organisme de recherche et de formation sur la sécurité, les chercheurs ont interrogé plus de 300 professionnels de l’informatique et de la sécurité à travers le monde pour déterminer les menaces et les Cybermenaces que les entreprises doivent affronter, quand et comment ces menaces deviennent des incidents, les types de menaces qui ont le plus d’impact, et les défis que les entreprises rencontrent pour se protéger.

« Avec des milliards de nouvelles connexions chaque minute, le monde est plus interconnecté que jamais auparavant. Les innovations telles que le Cloud, la mobilité et l’Internet des objets, sont en train de transformer la manière dont nous déployons, consommons et protégeons la technologie, » déclare Amnon Bar-Lev, président de Check Point. « De plus en plus de logiciels malveillants sont introduits dans notre écosystème. Les techniques traditionnelles de sécurité sont incapables de les stopper. Pour s’en prémunir, il faut conserver de l’avance sur les choses que nous ne pouvons pas voir, connaître ou contrôler, et empêcher les attaques avant qu’elles ne se produisent. »

Ces deux études présentent une vision globale du paysage des menaces, des réseaux jusqu’aux postes de travail, et offrent leurs conclusions :

Cybermenaces : Les logiciels malveillants inconnus poursuivent leur croissance exponentielle et évolutive.

Les chercheurs ont constaté une multiplication par 9 de la quantité de logiciels malveillants inconnus qui empoisonnent les entreprises, notamment en raison des employés qui téléchargent un nouveau logiciel malveillant inconnu toutes les quatre secondes. Au total, près de 12 millions de nouvelles variantes de logiciels malveillants sont découvertes chaque mois. Plus de nouveaux logiciels malveillants ont été découverts au cours des deux dernières années que durant la décennie précédente.

Cybermenaces : La sécurité a pris du retard sur la mobilité.

Les smartphones et les tablettes représentent aujourd’hui 60 pour cent du temps de consultation des médias numériques. Les appareils mobiles en entreprise sont à la fois une malédiction en termes de sécurité et une bénédiction en termes de productivité. Bien que les employés ne souhaitent pas être la cause d’une faille de sécurité, 1 employé sur 5 sera toutefois à l’origine d’une faille en raison de logiciels malveillants mobiles ou de connexions Wi-Fi malveillantes.

Cybermenaces : Les postes de travail sont le point de départ de la plupart des menaces.

Parmi les entreprises interrogées, les postes sont à l’origine de la plupart des failles de sécurité et sont l’élément le plus critique de la cybersécurité. Les agresseurs préfèrent attaquer via la messagerie dans 75% des cas, et 39% des attaques menées contre les postes parviennent à contourner les gateways de sécurité réseau. Les recherches précisent que 85% des menaces sont découvertes une fois qu’elles ont réussi à se glisser dans l’entreprise.

Les deux rapports concluent que les entreprises devraient se doter de la meilleure architecture de sécurité prévoyante possible afin de pouvoir faire face aux complexités actuelles et futures en matière de sécurité informatique. Cette architecture devrait intégrer des composants critiques pour l’entreprise moderne : prévention avancée des menaces, protection des appareils mobiles, et segmentation du réseau pour une supervision approfondie.

Pour consulter le Rapport Sécurité 2016 de Check Point, rendez-vous sur checkpoint.com/securityreport.

Cybersécurité : L’Europe annonce 450 millions pour le privé

Pourquoi est-il indispensable de renouveler les fondements de la sécurité informatique qui datent de plus de 20 ans ?

Fondements de la sécurité informatique – Devenue un enjeu essentiel, la sécurité informatique est plus que jamais au cœur des préoccupations de l’Union Européenne. La Commission Européenne a récemment annoncé qu’elle allait investir 450 millions d’euros pour la sécurité informatique dans le cadre d’un partenariat avec le secteur privé. Les sociétés de ce secteur devraient d’ailleurs tripler ce montant dans les prochaines années, pour arriver à 1,8 milliard d’euros d’investissement. « Il est encourageant que l’UE investisse davantage dans la cybersécurité et en fasse l’une de ses priorités. En raison du Brexit, les universités et les entreprises françaises pourraient d’ailleurs bénéficier de plus d’investissements. » commente Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi.

Sécurisation des identités en ligne

Cependant, on ne sait pas encore si ces financements seront investis là où c’est nécessaire. La « sécurisation des identités en ligne » est l’un des principaux domaines sur lesquels le partenariat public/privé se focalisera. Au-delà de ça, je pense qu’il ne faut pas se contenter de sécuriser l’identité des individus, mais aussi celle des machines, des logiciels, des appareils connectés et des fondations d’Internet elles-mêmes. Les logiciels sont déjà plus nombreux que la population humaine, et la capacité à différencier le ‘bien’ du ‘mal’, les amis des ennemis, n’en devient que d’autant plus importante en ce qui concerne les machines, les logiciels et les appareils connectés. Nous devons cesser d’appliquer notre pensée anthropomorphique, mais apprendre à réfléchir comme ceux qui font peser des menaces sur notre mode de vie et notre économie au 21e siècle.

Fondements de la sécurité informatique

Fondamentalement, la façon dont nous sécurisons les logiciels, l’IoT et l’Internet en soi n’a pas changé depuis plus de 20 ans. Que l’on se connecte à une messagerie électronique ou au code de programmation d’un Airbus A380, les méthodes de connexion entre individus, la confiance placée dans les applications et le mode de fonctionnement de l’économie mondiale reposent sur la sécurité offerte par les certificats numériques et les clés de cryptage. Cela va bien au-delà de l’authentification des personnes : c’est le système qui authentifie les systèmes et les logiciels, permettant ainsi aux machines de savoir qu’elles suivent les bons ordres – tout cela est beaucoup plus préoccupant que la sécurisation des identités individuelles. Parce qu’ils définissent ce qui est digne ou indigne de confiance, les clés et les certificats peuvent être utilisés comme une cyber-arme. Ils ont déjà été employés avec succès dans les attaques cinétiques, ce qui prouve qu’il est indispensable de voir plus loin que la sécurisation de l’identité des individus.

« Si le grand public n’est pas encore informé sur les dangers liés aux clés et aux certificats, confirme Kevin Bocek, ceux-ci sont parfaitement connus de la NSA, du GCHQ et d’un groupe émergent de cyber-adversaires, de la Chine aux terroristes. Les criminels et les terroristes se mettent à utiliser ces clés et ces certificats contre nous, et nous courrons actuellement le risque de voir les terroristes pirater certaines parties de l’Internet, ou plus inquiétant encore, de s’en servir pour prendre le contrôle d’actifs physiques, qu’il s’agisse de voitures, d’avions ou de centrales nucléaires, voire de la multitude d’appareils connectés qui exercent de plus en plus de contrôle sur nos foyers« .

Dans certains cas, les terroristes se sont en fait inspirés des actions de nos propres gouvernements. Prenez simplement l’exemple de Stuxnet, un malware développé par les gouvernements américain et israélien pour neutraliser le programme nucléaire iranien ; un certificat volé a permis à ce logiciel malveillant d’être considéré comme entièrement digne de confiance par les équipements iraniens. Et aujourd’hui, quand le FBI veut prendre le contrôle d’un appareil, il utilise la clé de cryptage d’Apple pour neutraliser les défenses de l’iPhone. C’est la cyber-arme du 21e siècle : elle frappe en trafiquant l’identité des logiciels et des appareils. Voilà ce sur quoi nous devons concentrer nos efforts, et pas seulement sur les individus.

Il faut maintenant réfléchir à ce qui pourrait arriver si les réseaux de nos gouvernements ou de nos entreprises, voire même de cette nouvelle ère de l’IoT, étaient piratés, pris en otage, ou pire encore : détruits. Dans le meilleur des cas, cela déclenchera le chaos. Dans le pire, cela coûtera des vies humaines. Les fondations de la sécurité d’Internet ont plus de 20 ans. Il faut absolument que les gouvernements et les entreprises cherchent à les renforcer, à les doter d’un système immunitaire capable de nous protéger, de faire la différence entre ce qui est bien et ce qui est mal, entre ami et ennemi, et prendre immédiatement les mesures qui s’imposent pour résoudre ces problèmes.

Data Loss Prevention

Prévention des pertes de données des collaborateurs mobiles. Quand la mobilité oblige à la Data Loss Prevention.

Data Loss Prevention  – La mobilité est à la fois un besoin et un défi pour les entreprises qui se battent pour créer une force de travail réellement fluide et entièrement digitale. Aujourd’hui, presque tous les collaborateurs travaillent avec un ou plusieurs périphériques mobiles contenant des informations d’entreprise, qu’il s’agisse d’un téléphone mobile, d’un ordinateur portable ou d’une tablette. L’un des premiers défis qui en découlent pour la direction informatique tient au fait que l’accès à distance aux données et aux e-mails se fait, par nature, « hors » du périmètre de l’entreprise, et qu’il est par conséquent très difficile de s’en protéger. La multitude des périphériques utilisés, en elle-même, complique la surveillance et le suivi des données d’entreprise consultées, partagées ou utilisées.

Data Loss Prevention : se concentrer sur les données

L’une des approches, choisie dans certaines entreprises, consiste à intégrer ces périphériques à une stratégie d’environnement de travail en BYOD. Les utilisateurs peuvent choisir le périphérique, le système d’exploitation et la version de leur choix, puisqu’il s’agit de leur propre périphérique. Malheureusement, cette approche peut en réalité créer des problèmes supplémentaires de sécurité et de DLP (prévention des pertes de données). En effet, de nombreux utilisateurs n’apprécient pas (voire interdisent) que leur employeur gère et/ou contrôle leur périphérique, pire encore, d’y installer des logiciels professionnels comme les programmes d’antivirus et de VPN.

Par conséquent, pour réussir, la stratégie de protection des données doit se concentrer sur la sécurisation des données uniquement, quel que soit le périphérique ou le mode d’utilisation. Dans un environnement d’entreprise, une grande majorité des données sensibles transitent dans les e-mails et leurs pièces jointes. Ainsi, une stratégie de protection des données réussie doit chercher à gérer et contrôler la passerelle par laquelle transitent les données, à savoir, ici, le compte d’e-mail d’entreprise.

Autre option : implémenter une suite d’outils de gestion de la sécurité mobile, ce qui permet de placer des mécanismes de sécurité sur la passerelle d’e-mail, et d’autoriser la création de règles de sécurité pour surveiller et contrôler la façon dont les informations d’entreprise sont traitées sur chaque périphérique.

Data Loss Prevention : Stratégie DLP tridimensionnelle

Une stratégie « DLP tridimensionnelle », surveille et contrôle le contenu transféré via un périphérique sur la base de critères précis. Par exemple, on peut limiter l’accès au contenu ou aux fichiers depuis le compte e-mail d’entreprise en fonction du pays, puisque les utilisateurs qui voyagent avec leur périphérique sont susceptibles d’accéder aux données et aux systèmes sur des réseaux Wi-Fi non sécurisés. Il est également possible de contrôler le contenu sur la base des mots clés qui figurent dans les e-mails (comme des numéros de sécurité sociale ou des numéros de contrat), afin d’interdire les pièces jointes ou le contenu incluant ce type d’information sur les périphériques mobiles. Comme les pièces jointes d’e-mail contiennent la majorité des informations sensibles transmises d’un périphérique à un autre, ce point est crucial lorsqu’il s’agit de protéger l’utilisation des périphériques dans l’environnement de travail. La troisième dimension est la surveillance du contexte, qui permet d’identifier et d’interdire le contenu pour des expéditeurs/destinataires spécifiques.

Ce type de considération permet de limiter les risques liés aux pertes de données et aux problèmes de sécurité pour cette partie des activités professionnelles Bien que cette approche ne suffise pas à contrôler et à sécuriser entièrement les banques de données d’une entreprise, la sécurité mobile va jouer un rôle de plus en plus vital pour la réussite des stratégies complètes de protection des données, au fur et à mesure que davantage de périphériques s’intègrent à nos habitudes de travail. (Par Eran Livne, Product Manager LANDESK)

Vulnérables aux cyberattaques les entreprises ?

Vulnérables aux cyberattaques – RSA, la division sécurité d’EMC, a publié les résultats de sa seconde édition de l’étude Cybersecurity Poverty Index, révélant que les entreprises qui investissent dans les technologies de détection et d’intervention sont plus en mesure de se défendre contre les cyber-incidents contrairement aux solutions basées sur des périmètres spécifiques. Celle-ci a été menée auprès de 878 répondants (deux fois plus que l’année dernière), dans 81 pays et 24 industries.

Vulnérables aux cyberattaques les entreprises ? Le rapport souligne que pour la seconde année consécutive, 75% des entreprises estiment être exposées à des risques conséquents en matière de cybersécurité ; les entreprises qui déclarent rencontrer plus de problèmes de sécurité sont 65% plus susceptibles d’être compétentes en matière de cybersécurité ; le nombre d’entreprises ayant déclaré de meilleures capacités de cyberdéfense a augmenté de plus de la moitié sur l’indice précédent, passant de 4,9 % à 7,4%.

La moitié des personnes interrogées évaluent leurs capacités de réponse aux incidents comme « ad hoc » ou « inexistantes » ; les organisations moins matures continuent d’utiliser par erreur des solutions basées sur des paramètres spécifiques afin d’empêcher de nouveaux incidents ; le Gouvernement et le secteur de l’Energie se classent parmi les derniers en matière de cyberdéfense ; l’Amérique est à nouveau derrière les régions APAC et EMEA en ce qui concerne son niveau de maturité en cybersécurité.

Également, beaucoup d’entreprises reconnaissent avoir tendance à entreprendre des investissements en matière de cybersécurité après avoir rencontré des incidents. Cependant, les résultats de cette étude démontrent que les organisations qui traitent régulièrement d’incidents de sécurité se protègent plus rapidement et de manière plus efficace.

Les entreprises doivent mettre en place des stratégies de prévention et prioriser les actions de détections et d’interventions. Amit Yoran, Président de RSA, souligne : « La seconde édition du Cybersecurity Poverty Index prouve à quel point les organisations de toutes tailles et de tous secteurs à travers le monde se sentent mal préparées face aux menaces actuelles. Nous devons changer la façon dont nous pensons la sécurité et se concentrer sur la prévention. Les entreprises doivent agir de façon proactive en élaborant des stratégies globales en amont des incidents. »

Bug Bounty : quand les entreprises peuvent faire appel aux hackers

Chercher des failles, corriger son système informatique pour contrer les pirates, voilà l’idée proposée depuis trois mois par la Bounty Factory. Cette start-up française propose aux entreprises de regarder en direction du Bug Bounty.

Il y a trois mois était lancé sur la toile Européenne une petite révolution dans le monde de la sécurité informatique. Sous le nom de la Bounty Factory, une start-up normande propose aux entreprises de réfléchir à leur sécurité informatique via une nouvelle option loin d’être négligeable, le Bug Bounty. Comme l’explique ZATAZ.COM, la Bounty Factory propose aux responsables de sécurité informatique des sociétés Françaises et Européennes de rencontrer des talents et des passionnés informatiques pour sécuriser leurs systèmes.

Lancée en janvier 2016, la Bounty Factory a vu 300 personnes s’inscrire à sa bêta fermée, et cela en deux semaines. Preuve de l’intérêt de ce sujet. « Plusieurs sociétés nous ont contacté » indiquent les fondateurs. La version publique de bountyfactory.io arrive. Autant dire que les amateurs de Bug Bounty sauront où se diriger.

Les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels

Selon les résultats de l’étude C-Suite d’IBM : les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels. Éducation et engagement sont nécessaires pour mettre les dirigeants au niveau du nouvel environnement de sécurité.

La division sécurité d’IBM et l’Institut IBM for Business Value (IBV) publient aujourd’hui les résultats d’une étude réalisée auprès de plus de 700 dirigeants qui met en lumière leur confusion concernant leurs véritables ennemis cyber et la façon de les combattre efficacement.

La nouvelle étude, Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite est basée sur des entretiens avec des dirigeants de 28 pays et de 18 secteurs industriels concernant la cybersécurité dans l’entreprise. L’étude n’a pas pris en compte les responsables de la sécurité des systèmes d’information (RSSI), afin d’obtenir une image fidèle de ce que les dirigeants pensent de la cybersécurité. Si sur le papier, la cybersécurité est considérée comme une préoccupation majeure pour 68% des dirigeants1, et que 75% pensent qu’une stratégie globale de sécurité est importante, l’étude révèle que les dirigeants clés doivent être plus engagés auprès des RSSI, au-delà de la stratégie en matière de sécurité, et avoir un rôle plus actif.

L’une des principales conclusions de l’étude est que 70% des dirigeants pensent que les individus malveillants constituent la plus grande menace pour leur entreprise. Selon un rapport des Nations Unies2, la réalité est que 80% des cyberattaques sont réalisées par des réseaux criminels hautement organisés au sein desquels les données, les outils et l’expertise sont largement partagés. L’étude C-Suite révèle un large éventail d’ennemis : 54% des  dirigeants reconnaissent que les réseaux criminels sont un sujet de préoccupation mais leur ont donné un poids à peu près égal aux individus malveillants (50%).

Plus de 50% des PDG s’accordent à dire qu’une collaboration est nécessaire pour lutter contre la cybercriminalité. Ironiquement, seulement 1/3 des chefs d’entreprise a exprimé sa volonté de partager à l’extérieur ses informations sur les incidents liés à la cybersécurité survenus dans leur entreprise. Cette situation est un frein à la collaboration coordonnée au niveau de l’industrie, alors même que les groupes de pirates partagent de mieux en mieux l’information en temps quasi réel sur le Dark Web. Les PDG soulignent également que les organisations externes doivent faire davantage ; une surveillance accrue du gouvernement, une augmentation de la collaboration dans l’industrie, un partage de l’information transfrontalière – cette dichotomie doit être résolue.

«Le monde de la cybercriminalité est en pleine évolution, mais de nombreux dirigeants n’ont pas mis à jour leur compréhension des menaces », a déclaré Caleb Barlow, Vice-Président, IBM Security. « Bien que les RSSI et le Conseil d’administration puissent aider à fournir les conseils et des outils appropriés, les dirigeants en marketing, ressources humaines et finances, quelques-uns des départements les plus exposés et les plus fournis en données sensibles, devraient s’impliquer de façon plus proactive dans les décisions de sécurité avec les RSSI. »

En fait, les départements marketing, ressources humaines, et finances représentent des cibles de choix pour les cybercriminels car ils gèrent les données clients et employés parmi les plus sensibles, avec les données financières de l’entreprise et les informations bancaires. Dans l’étude, environ 60% des directeurs financiers, DRH, et directeurs marketing reconnaissent volontiers qu’ils, et par extension leurs divisions, ne sont pas actifs dans la stratégie et l’exécution de la politique de cybersécurité de l’entreprise. Par exemple, seuls 57% des DRH ont déployé une formation à la cybersécurité pour les employés, première étape pour que ces derniers s’engagent en la matière.

Que peuvent faire les entreprises ?
Un nombre impressionnant de dirigeants interrogés, 94%, pensent qu’il y a une certaine probabilité pour que leur entreprise subisse un incident de cybersécurité significatif au cours des deux prochaines années. Selon l’étude d’IBM, 17% des personnes interrogées se sentent capables et prêtes à répondre à ces menaces. IBM a identifié des répondants exceptionnels, 17% de répondants classés «Cyber-Securisés», ce sont les dirigeants les plus préparés et capables de faire face aux menaces. Les dirigeants « Cyber-sécurisés » sont deux fois plus susceptibles d’avoir intégré la collaboration dans leur politique de cybersécurité et deux fois plus susceptibles d’avoir intégré la cybersécurité à l’ordre du jour des Conseils d’administration de façon régulière.

 Conseils « Cyber-Securisés» pour les entreprises :
• Comprendre le risque : Évaluer les risques liés à votre écosystème, analyser les risques de sécurité, développer l’éducation et la formation des employés et intégrer la sécurité dans la stratégie de risques de l’entreprise.

• Collaborer, éduquer et responsabiliser : Mettre en place un programme de gouvernance de la sécurité, accroître le pouvoir des RSSI, promouvoir et discuter régulièrement de la cybersécurité lors des réunions de direction, intégrer les dirigeants dans l’élaboration d’une stratégie de réponse aux incidents.

• Gérer les risques avec vigilance et rapidité : Mettre en œuvre une surveillance continue de la sécurité, tirer profit des analyses d’incidents, partager et utiliser les renseignements de sécurité pour sécuriser l’environnement, comprendre où les données numériques des entreprises se trouvent et élaborer des stratégies en conséquence, développer et appliquer les politiques de cybersécurité.

1.     “Redefining Boundaries: Insights from the Global C-suite Study.” IBM Institute for Business Value. November 2015.
2.     UNODC Comprehensive Study on Cybercrime 2013

Une entreprise sur dix possède au moins un terminal infecté ayant accès aux données d’entreprise

Les données contenues dans le rapport « L’état de la sécurité des applis » de MobileIron révèlent également la liste des principales applis grand public blacklistées.

À l’heure où les collaborateurs choisissent les smartphones et les tablettes pour travailler, les applis mobiles deviennent des outils professionnels indispensables. Suite aux récentes attaques mobiles telles que XcodeGhost, Stagefright, Key Raider et YiSpecter, une quantité sans précédent de données professionnelles mobiles s’est vue menacée. MobileIron a publié aujourd’hui de nouvelles statistiques relatives à l’«état de la sécurité des applis», qui comprennent des informations concernant la manière dont les entreprises utilisent et protègent leurs applis mobiles.

« Dans la mesure où de plus en plus de processus commerciaux sont mobilisés, les hackers s’intéressent aux applis mobiles afin de profiter de l’incapacité des entreprises à prévenir et à détecter les menaces mobiles » a déclaré à DataSecurityBreach.fr Mike Raggo, directeur de la recherche sur la sécurité chez MobileIron. « Afin de protéger les données sensibles contre les menaces de demain, les entreprises doivent repenser leur approche en matière de sécurité en adoptant une architecture mobile fondamentalement différente. »

Principales applis grand public blacklistées
Les collaborateurs sont susceptibles de stocker des documents professionnels sur des applis personnelles de synchronisation et de partage de fichiers d’entreprise (EFSS), ce qui contribue à placer des données professionnelles sensibles en dehors du cadre de la protection du service informatique. Cinq des dix premières applis grand public blacklistées par les clients de MobileIron sont des applis EFSS.

1. Dropbox (EFSS)
2. Angry Birds
3. Facebook
4. OneDrive (EFSS)
5. Google Drive (EFSS)
6. Box (EFSS)
7. Whatsapp
8. Twitter
9. Skype
10. SugarSync (EFSS)

« Les versions grand public des applis EFSS effraient les départements informatiques dans la mesure où des données professionnelles sont susceptibles d’être égarer. Heureusement, les versions d’entreprise d’un grand nombre de ces applis sont disponibles, » déclare à Data Security Breach Raggo. « Les entreprises sont en mesure d’offrir à leurs collaborateurs l’expérience qu’ils désirent tout en protégeant leurs données d’entreprise, mais ceci exige une transformation de l’état d’esprit qui consiste à passer de la restriction à l’autorisation. »

Les applis mobiles sont menacées
Dans la mesure où le travail évoluera dans le futur de plus en plus vers la mobilité, il en sera de même pour le détournement des données et la cybercriminalité. Les récentes attaques ont ciblé les applis et les systèmes d’exploitation mobiles afin d’exfiltrer des données sensibles, et de nombreuses entreprises n’étaient pas préparées. Par exemple, les applis iOS infectées par le logiciel malveillant XcodeGhost peuvent collecter des informations relatives aux terminaux puis crypter et charger ces données vers des serveurs gérés par des agresseurs. La société de détection de logiciels malveillants FireEye a identifié plus de 4 000 applis infectées sur l’App Store, tandis que la société de gestion des risques relatifs aux applis mobiles Appthority a révélé que la quasi-totalité des organisations détenant au moins 100 terminaux iOS possédaient au moins un terminal infecté.

Le défi relatif aux terminaux et aux applis mobiles réside dans le fait que l’utilisateur – et non l’administrateur informatique – exerce généralement le contrôle. Les terminaux deviennent non conformes pour diverses raisons. Par exemple, un terminal se révélera non conforme dès lors que l’utilisateur procédera à un jailbreak ou à un root de son terminal, si le terminal fonctionne sur une ancienne version du système d’exploitation que le département informatique ne prend plus en charge, ou dès lors que l’utilisateur aura installé une appli que le département informatique a blacklisté. MobileIron a révélé les éléments suivants :

Dans ces différents cas, bien que les technologies traditionnelles de sécurité ne soient pas en mesure d’entreprendre les actions nécessaires pour protéger les données d’entreprise, MobileIron est en mesure de le faire. Dès lors qu’un terminal se révèle non conforme, MobileIron entreprend automatiquement plusieurs actions destinées à protéger les informations d’entreprise, notamment en envoyant une alerte à l’utilisateur, en bloquant l’accès des terminaux et applis aux ressources d’entreprise, ou en supprimant tous les courriers électroniques et les applis d’entreprise.

« Les organisations d’aujourd’hui possèdent un ensemble beaucoup trop divers de technologies de sécurité, qui sont rarement pleinement intégrées entre elles. Même lorsqu’elles sont intégrées, elles incluent rarement des informations relatives aux terminaux et aux applis mobiles, » a poursuivi Raggo. « La bonne nouvelle pour les entreprises utilisant une solution de gestion de la mobilité d’entreprise c’est qu’elles disposent des informations dont elles ont besoin sur l’état des terminaux et des applis mobiles pour protéger leurs informations d’entreprise. »

Principales raisons pour lesquelles les terminaux deviennent non conformes
Les entreprises recourant à des solutions de gestion de la mobilité d’entreprise (GME) telles que MobileIron peuvent établir des politiques destinées à garantir que les collaborateurs appropriés bénéficient de l’accès mobile approprié à partir du terminal approprié. Si les administrateurs informatiques ne procèdent pas à l’automatisation de la mise en quarantaine des terminaux dès lors qu’ils se révèlent non conformes, les données d’entreprises sont susceptibles d’être menacées.

Voici les principales raisons pour lesquelles un terminal devient non conforme aux politiques d’entreprise :
Le terminal n’est pas mis en contact avec la plateforme de GME.
L’administration a été désactivée afin que la solution de GME ne puisse plus intervenir à distance sur un terminal.
Le terminal n’est pas conforme aux règles qui bloquent, exigent ou autorisent une appli particulière.

Il est temps de repenser la sécurité mobile
Dans la mesure où des cyber-agresseurs utilisent des logiciels malveillants mobiles pour voler des données professionnelles sensibles, les entreprises doivent envisager des solutions de protection contre la perte de données dans le cadre de leurs stratégies de sécurité. Un seul terminal infecté peut rendre les entreprises vulnérables à des attaques coûteuses.

Les commerciaux et les managers, cibles des pirates

Cyber-protection des réseaux : les équipes commerciales et le management sont de plus en plus exposés aux attaques alors que moins de 50 % sont formés à la cybersécurité. Avec une hausse de 87 % d’URL infectées, le risque d’attaques réussies visant les employés non formés s’accentue.

La nouvelle enquête d’Intel Security illustre que les collaborateurs de la DSI restent les plus exposés aux cyberattaques (26 % au niveau européen contre 33 % en France, ce taux étant le plus élevé), les équipes commerciales et les managers (top et middle management) le deviennent de plus en plus. En France, 18 % des commerciaux, 17 % du middle management et 14 % des dirigeants sont des cibles potentielles car ils ont des contacts avec des individus extérieurs à l’entreprise – ces données sont respectivement de 21 %, 13 % et 10 % au niveau européen. Viennent ensuite les personnels d’accueil (5 % en France, taux identique à la moyenne européenne), et le service client (seulement 7 % en France, contre 15 % au niveau européen).

Or ces professionnels restent tous insuffisamment formés à la sécurité informatique. Le risque est particulièrement fort au niveau des équipes commerciales avec 78 % de professionnels non formés (niveau record en Europe où la moyenne est de 64 %) et 75 % des personnels d’accueil (contre 72 % eu niveau européen). Ces taux descendent un peu pour le top management (65 % de non formés) et pour les équipes du service client (68 %). La moitié du middle management est quant à elle formée (51 % en France, 46 % au niveau européen).

Avec une croissance de 87 % des URLs infectées[2], enregistrée entre 2013 et 2014, le risque de cliquer sur un lien dangereux et de déclencher involontairement une attaque sur le réseau de leur entreprise est devenu très élevé et impose un changement de posture.

Le top 5 des méthodes d’attaque de réseau
En complément de l’enquête, le dernier rapport d’Intel Security « Top 5 des attaques réseau : analyse détaillée du point de vue du voleur » identifie les principales attaques réseau qui menacent les entreprises aujourd’hui. Ce rapport souligne qu’au-delà des attaques ciblant les personnes non averties via leurs navigateurs avec des liens corrompus, les attaques de réseaux, les attaques furtives, les techniques évasives et les attaques SSL (qui se cachent dans le trafic crypté d’une entreprise) constituent une menace croissante pour les entreprises. Elles représentent d’ailleurs plus de 83 millions d’attaques réseau par trimestre.

Attaques furtives, pour tout savoir sur vous
Avec 387 nouvelles menaces détectées chaque minute dans le monde, l’étude révèle que les attaques furtives avancées qui se camouflent pour se faufiler dans les réseaux des entreprises, sont à la hausse. Pour contrer l’augmentation de ces menaces informatiques, les professionnels informatiques français réévaluent la stratégie de sécurité en moyenne tous les huit mois, en ligne avec les pratiques des autres pays européens sondés. 21 % mettent à jour leur système de sécurité moins d’une fois par an (contre 30 % en moyenne au niveau européen). Malgré cela, 72 % d’entre eux (et 74 % en moyenne en Europe) sont persuadés que leur système de sécurité pourra contrer ces nouvelles générations de cyberattaques.

Néanmoins, 67 % des équipes informatiques françaises (et 74 % au niveau européen) admettent que leur entreprise devrait adopter une stratégie de sécurité intégrant des solutions et techniques interconnectées et qui partagent entre elles leurs informations – une stratégie connectée, reconnue pour son efficacité dans la lutte contre des attaques furtives avancées.

Attaques de réseau, les pirates vous frapper là où ça fait mal
Conçu pour créer une panne de réseau, les attaques DDoS, utilisées par des hackers et cybercriminels pour détourner l’attention d’une entreprise, tandis qu’ils se faufilent dans leur système et volent des données, sont devenues une menace très importante. L’étude dévoile que 45 % des attaques réseau se font de cette manière. Pourtant seulement 20 % des professionnels informatiques français et européens estiment que ces attaques constituent la principale menace pour le réseau de leur entreprise.

Ces attaques DDoS s’accompagnent souvent d’une demande de rançon – on parle dans ce cas de ransomware. Le dernier Threat Report d’Intel Security début juin 2015 notait une augmentation de +165 % de ce type d’attaques au 1er trimestre 2015. Mais là encore, l’appréciation du risque est très faible : seuls 20 % des professionnels informatiques en Europe estiment que les demandes de rançons sont une réelle menace pour le réseau de leur entreprise. 7 % en France et 4 % en Europe estiment que les ransomwares sont la plus grande menace qui pèse sur leur réseau.

Pour David Grout, directeur technique Europe du Sud chez Intel Security explique à DataSecurityBreach.fr, « Les nouvelles menaces développées sans relâche 24/24 et 7/7 imposent aux équipes informatiques de repenser leur approche de la sécurité des réseaux. En continuant de s’appuyer sur des stratégies de sécurité trop globales et qui ne sont pas en phase avec les dernières menaces, elles compromettent la sécurité de leurs entreprises face aux nouvelles ressources déployées par les cyber-criminels ».

Cette étude insiste sur la nécessité de prendre le temps de comprendre la façon dont les attaques réseau évoluent afin de mieux appréhender les nouvelles menaces que les entreprises vont devoir contrer. Elle montre qu’il existe un profond décalage entre l’évolution des attaques et la perception qu’en ont les équipes informatiques.

« Avec la hausse des URL infectées, les entreprises ne peuvent plus négliger la formation des équipes non IT – qui comptent parmi les plus exposés aux cybermenaces. En attendant, les attaques réseau (DDoS, ransomwares, les attaques SSL et autres techniques avancées) se développent considérablement et imposent aux services informatiques et professionnels de la sécurité de mettre à jour leurs stratégies. Au-delà du simple déploiement de nouvelles solutions, ils devront évaluer la façon dont leurs systèmes communiquent les uns avec les autres pour protéger l’ensemble du réseau, » a conclu David Grout.

[1] Réalisée par le cabinet d’études de marché spécialisé Vanson Bourne, l’enquête a été menée auprès de 300 décideurs IT en France, en Royaume-Uni et en Allemagne dans des entreprises privées (1,000+ salariés).

[2] Comme indiqué dans le dernier rapport d’Intel Security « Top 5 des attaques réseau : analyse détaillée du point de vue du voleur ».

Les collaborateurs, première menace pour les données de l’entreprise ?

Selon une récente étude[1] réalisée en France, les salariés seraient très confiants quant à la sécurité informatique au sein de leur entreprise. En effet, seuls 36% d’entre eux pensent qu’elle a déjà été la cible de hackers alors qu’en réalité, 90% des organisations reconnaissent avoir déjà subi une attaque. En outre, 85% des personnes interrogées estiment que leur entreprise est bien protégée contre les cyber-attaques et les hackers.

Des résultats qui révèlent une importante contradiction entre la perception des employés et la réalité des risques actuels qui planent sur les ressources et les données d’une organisation alors que les menaces se multiplient et sont de plus en plus sophistiquées. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Ces chiffres sont surprenants dans la mesure où les affaires de faille de sécurité et de vol de données massifs font très régulièrement la une des médias depuis quelques mois. Ce sentiment de confiance représente une véritable porte ouverte aux hackers car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier pour que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ».

En outre, ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés. En effet, des hackers qui souhaitent pénétrer au sein d’un système d’information finiront tôt ou tard par y parvenir, même si cela prend du temps.

Pour que les collaborateurs aient une perception en adéquation avec la réalité, les entreprises doivent impérativement poursuivre leurs efforts pour les sensibiliser aux cyber-risques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entrainer une fuite de données. La formation de l’ensemble des membres d’une organisation aux risques, aux différents types d’attaques potentielles ainsi qu’à l’application systématique des bonnes pratiques représentent la base pour initier une stratégie globale de sécurité efficace. Le contrôle d’accès, la vigilance relative aux emails ainsi que le renouvellement régulier des mots de passe font notamment partie des mesures indispensables. En outre, les responsables de la sécurité doivent mettre en place un dispositif de sanction pour les employés qui ne respectent pas les règles imposées par l’entreprise, pour une meilleure implication mais aussi pour engager leur responsabilité.

Selon l’étude Capgemini, 28% des personnes interrogées estiment que la politique de sécurité informatique de leur société n’est pas vraiment claire, voire pas du tout, et 39% déclarent ne pas la connaître. Ces résultats révèlent un manque d’information et peut-être un manque d’implication de la part des directions à se saisir de ces problématiques auquel les entreprises doivent rapidement remédier. Pour les entreprises qui ne possèdent pas forcément les ressources en interne (un CSO par exemple, responsable principal de la sécurité), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Confédération Générale du Patronat des Petites et Moyennes Entreprises (CGPME) ont publié en mars dernier un guide des bonnes pratiques pour les PME. Cette excellente initiative répond à l’urgente nécessité de sensibiliser les salariés aux conséquences qui peuvent résulter d’une simple négligence et des règles de base à respecter, et aide les organisations en leur proposant une expertise adaptée à leurs besoins. Nous les encourageons donc vivement à partager ce guide en marge de leur stratégie globale de sécurité pour une meilleure information, prévention et prise de conscience des risques qui conduiront à l’adoption des bons réflexes.

La contradiction entre la perception de la cyber-sécurité par les salariés et la réalité met en avant le fait que l’humain reste l’un des maillons faibles d’une organisation. Les hackers le savent très bien, c’est la raison pour laquelle ils sont à l’affût du moindre faux pas. Dans ce contexte, la protection des données et des ressources représente aujourd’hui un véritable défi pour les entreprises. Il est donc primordial de faire prendre conscience aux employés que les cyber-risques sont réels, que les attaques ne sont pas uniquement portées sur les grandes organisations connues, et qu’ils peuvent eux-mêmes en être à l’origine. Avec une plus grande implication de la direction générale pour la formation de l’ensemble des collaborateurs, associée aux initiatives des autorités régissant la sécurité informatique, les entreprises vont pouvoir renforcer la protection de leurs données ainsi que l’efficacité de leur politique de sécurité, un enjeu majeur à l’heure où les cyber-attaques sont devenues monnaie courante.

[1] Etude « La Cybersécurité vue par les collaborateurs » menée par Opinion Way pour Capgemini auprès d’un échantillon de 1010 salariés français de bureau d’entreprises privées en mai 2015

Sécurité numérique et risques : enjeux et chances pour les entreprises

À l’heure de l’omniprésence du numérique et du développement constant de ses spectaculaires potentialités, les entreprises doivent pouvoir compter sur des outils numériques sécurisés. Or, chaque jour, de tous côtés, les exemples de nouvelles vulnérabilités se multiplient.

L’escalade entre les failles découvertes et les parades pour y remédier semble sans fin, d’autant plus que l’origine de ces fragilités réside dans nombre de comportements humains irréfléchis et dans la lenteur de l’indispensable prise de conscience.

Après avoir entendu plus d’une centaine de personnes et analysé en détail les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, l’Office parlementaire d’évaluation des choix scientifiques et technologiques propose d’abord une trentaine de recommandations d’ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l’usage des entreprises qui voudront bien s’attacher à la construction réfléchie et évolutive dont dépend leur future prospérité.

Face à la mondialisation numérique, l’élaboration de solutions se révèle être d’abord individuelle et nationale pour éviter que les entreprises françaises acquiescent elles-mêmes au pillage de leurs données en les offrant en libre-service.

Mme Anne-Yvonne Le Dain, députée, et M. Bruno Sido, sénateur, ont présenté l’étude de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) sur « Sécurité numérique et risques : enjeux et chances pour les entreprises ».

Le rapport (tomes I et II) est désormais en ligne sur les sites de l’Assemblée nationale et du Sénat au pages de l’OPECST.
– Tome I (rapport) : http://www.senat.fr/notice-rapport/2014/r14-271-1-notice.html
– Tome II (auditions) : http://www.senat.fr/notice-rapport/2014/r14-271-2-notice.html

Conservation des données et entreprises

Nouvelle loi relative à la conservation des données : Quels sont les impacts pour les entreprises et les administrations ? Les changements qu’il va falloir intégrer avec la récente entrée en vigueur de la loi du 13 novembre 2014 visant à encadrer l’apologie d’actes terroristes, notamment sur le net. (par Olfeo)

A l’heure où le gouvernement travaille sur des mesures permettant de mieux prévenir le terrorisme notamment sur Internet suite aux attentats en France, deux textes ont déjà vu le jour depuis début 2015. Ainsi le 1er janvier 2015, une nouvelle loi en matière de conservation des données a vu le jour à
travers le décret n° 2014-1576 du 4 décembre 2014 et le 10 janvier la loi du 13 novembre 2014 est entrée en vigueur afin d’encadrer l’apologie d’actes terroristes, notamment sur le net.

Quel impact l’entrée en vigueur de ce décret pour les entreprises et les administrations en matière de conservation des logs ?
A travers le décret n° 2014-1576 du 4 décembre 2014, les données auxquelles les services de renseignement et de défense peuvent avoir accès sont des données dites de connexion, telles que, notamment :

o   l’identifiant de la connexion ;
o   les dates et heure de début et de fin de la connexion ;
o   les données relatives aux destinataires de l’utilisation

Les services relevant de la sécurité intérieure, de la défense, de l’économie et du budget, chargées notamment de rechercher des informations intéressant la sécurité nationale, la criminalité et la délinquance organisée ou la prévention du terrorisme, sont habilités à demander l’accès à ces données de connexion. Ces « personnalités qualifiées » peuvent solliciter une demande d’accès aux données de connexion, en temps différé comme en temps réel, au groupement interministériel de contrôle.

Le groupement interministériel de contrôle transmet ensuite aux opérateurs de communication électroniques, aux fournisseurs d’accès à internet, aux hébergeurs et par extension aux entreprises et administrations (loi n° 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme – alinéa 2 de l’article L. 34-1) la demande d’accès aux données ;

Les données transmises par ces derniers sont ensuite conservées, pour une durée maximale de trois ans, par le Premier ministre et sont automatiquement effacées passé ce délai. Par conséquent, ce décret modifie la durée de conservation des données collectées par le groupement interministériel de contrôle, qui passe d’un an à trois ans, et sont conservées par le Premier ministre seul.

Toutefois il ne modifie pas l’obligation de conservation, durant un an, par les opérateurs de communications électroniques, les fournisseurs d’accès à internet et les hébergeurs, entreprises et administrations des données de connexion. Depuis le 10 janvier 2015, l’utilisation d’Internet pour faire l’apologie d’actes terroristes est devenue circonstance aggravante à travers l’article 421-2-5 du code pénal.

Cet article dispose que « le fait de provoquer directement à des actes de terrorisme ou de faire publiquement l’apologie de ces actes est puni de cinq ans d’emprisonnement et de 75.000 € d’amende », et précise que « les peines sont portées à sept ans d’emprisonnement et à 100.000 euros d’amende lorsque les faits ont été commis en utilisant un service de communication au public en ligne ». Une entreprise ou administration peut ainsi être sollicitée par le groupement interministériel de contrôle (décret n° 2014-1576 du 4 décembre 2014) pour une demande d’accès aux données de connexion, en temps différé comme en temps réel.

Pour conclure, ces deux dernières évolutions de la législation française en matière de lutte contre le terrorisme ne font que mettre l’accent sur la réelle obligation de filtrer pour les entreprises et les administrations en France. Néanmoins, d’autres évolutions sont à prévoir dans le cadre des réflexions du gouvernement pour mieux prévenir les menaces terroristes.

Les services cloud de plus en plus convoités par les pirates

De plus en plus d’entreprises utilisent des services cloud de stockage tel que Dropbox, Onedrive, Google Disk,… sans vraiment se rendre compte du risque pour la sécurité de leurs données.

Alors que les services de stockage de fichiers dans le cloud ont depuis longtemps les faveurs des internautes, leur confort indéniable s’accompagne toutefois d’un certain nombre de risques. C’est ainsi que de nombreux utilisateurs conservent dans le cloud des copies numérisées de leur passeport et d’autres documents, bien que parfois des vulnérabilités dans le service compromettent la sécurité de leurs données personnelles. Cependant, l’utilisation de technologies cloud à des fins autres que celles pour lesquelles elles ont été conçues peut être encore plus dangereuse. Par exemple, il est facile de trouver des instructions permettant aux possesseurs d’ordinateurs désireux de mettre à profit ces services de piloter et de surveiller à distance leurs machines, de commander les téléchargements de type Torrent, etc. En appliquant ces recommandations, les utilisateurs créent involontairement différentes failles de sécurité facilement exploitables par des cybercriminels, en particulier dans le cadre d’attaques ciblées.

Scenario d’attaque
Des cybercriminels prennent le contrôle de l’ordinateur portable d’un employé via un logiciel client Dropbox installé sur celui-ci, notamment en dehors du bureau. Si des documents infectés sont placés dans des dossiers cloud, Dropbox les recopiera automatiquement sur tous les équipements connectés au réseau de l’’entreprise et utilisant le même service. Dropbox n’est pas le seul dans ce cas : – toutes les applications répandues de stockage dans le cloud – Onedrive (anciennement Skydrive), Google Disk, Yandex Disk, etc. – offrent des fonctions de synchronisation automatique. Des attaques à prendre au sérieux ? Les experts de Kaspersky Lab, éditeur de solution de sécurité informatique, ont cherché à savoir si les cybercriminels se servent effectivement de ces outils pour diffuser des malwares.

Programmes malveillants via le Cloud
Après avoir collecté des données auprès d’utilisateurs volontaires, les analystes ont déterminé qu’environ 30 % des programmes malveillants présents dans des dossiers cloud sur des ordinateurs domestiques y ont été importés par des mécanismes de synchronisation. Pour les utilisateurs au sein d’une entreprise, ce chiffre atteint 50 %. Il faut noter une certaine différence entre les utilisateurs en entreprise et à domicile : les premiers se caractérisent davantage par la présence de fichiers infectés Microsoft Office dans leurs dossiers cloud tandis que, chez les seconds, ces documents bureautiques cohabitent souvent avec des applications Android malveillantes. « Une soigneuse analyse des statistiques montre que le risque d’infection d’un réseau d’entreprise par le stockage dans le cloud est aujourd’hui relativement faible : un utilisateur sur 1000 risque de voir son ordinateur infecté sur une période d’un an. Cependant, il ne faut pas oublier que, dans certains cas, un seul ordinateur contaminé peut aboutir à une attaque touchant l’ensemble du réseau et causant des dommages considérables. La configuration du pare-feu de façon à bloquer l’accès à ces services est une procédure fastidieuse, qui nécessite des mises à jour constantes de ses paramètres », commente Kirill Kruglov, chercheur senior chez Kaspersky Lab.

En pareil cas, il est habituellement recommandé aux administrateurs système d’installer, sur chaque poste de travail du réseau, une suite logicielle de sécurité aux fonctionnalités complètes : protection antivirus heuristique et comportementale, contrôle d’accès (HIPS), contrôle du système d’exploitation (System Watcher ou Hypervisor), protection contre l’exploitation des vulnérabilités, etc. Kaspersky Lab conseille de tirer parti de la technologie innovante Application Control intégrée à sa solution d’entreprise, qui peut bloquer l’exécution de tout logiciel non explicitement autorisé par l’administrateur système. Application Control protège le réseau de l’entreprise contre les attaques ciblées via Dropbox, sans perturber le travail normal des utilisateurs.

On ne peut que conseiller aussi le chiffrement des informations que les employés souhaitent laisser sur le cloud, évitant ainsi une lecture non autorisée.

Les principales menaces de sécurité qui pèsent sur les entreprises

HP vient de publier son rapport Cyber Risk Report 2013, où sont identifiées les principales vulnérabilités qui touchent les entreprises dans le domaine de la sécurité. Cette étude propose par ailleurs une analyse du paysage des menaces, actuellement en pleine expansion.

Réalisée par le laboratoire de la recherche en sécurité HP Security Research, cette étude annuelle fournit des données complètes et une analyse approfondies des questions de sécurité les plus pressantes pour les entreprises. Cette édition dévoile les facteurs qui ont le plus contribué à élargir la surface d’attaque en 2013 – à savoir l’utilisation croissante des terminaux mobiles, la prolifération des logiciels non sécurisés et l’utilisation croissante de Java – tout en proposant aux entreprises des mesures appropriées pour réduire les risques de sécurité, ainsi que l’impact global des attaques.

« Les hackers sont plus performants que jamais et ils collaborent plus efficacement entre eux dans le but d’exploiter au mieux les vulnérabilités sur une surface d’attaque en expansion permanente », a déclaré Jacob West, directeur de la technologie, Enterprise Security Products, HP. « L’industrie doit par conséquent faire preuve de proactivité et partager les renseignements et les tactiques de sécurité pour lutter contre les activités malveillantes entraînées par un marché du cybercrime en plein essor. »

Faits marquants et principales conclusions de l’étude Cyber Risk 2013
·  Si les recherches consacrées aux vulnérabilités ont continué à susciter un vif intérêt, le nombre total de vulnérabilités annoncées officiellement a baissé de 6 % en un an, tandis que le nombre de vulnérabilités importantes a diminué pour la quatrième année consécutive (-9 %). Bien que non quantifiable, ce déclin peut être l’indication d’une forte augmentation des vulnérabilités qui ne sont pas annoncées officiellement mais, au contraire, qui sont transmises au « marché noir » en vue d’une utilisation privée et/ou malveillante.

·  Près de 80 %(2) des applications examinées contenaient des vulnérabilités dont l’origine se situe à l’extérieur du code source. Même un logiciel développé avec rigueur peut s’avérer particulièrement vulnérable s’il est mal configuré.

·  Les définitions variables et incohérentes du terme « malware » compliquent l’analyse des risques. Dans un examen portant sur plus de 500 000 applications mobiles pour Android, HP a constaté des écarts importants entre la façon dont les moteurs antivirus et les fournisseurs de plateformes mobiles classent les logiciels malveillants.(3)

·  46 %(2) des applications mobiles étudiées utilisent le chiffrement de manière inappropriée. L’étude de HP montre que les développeurs d’applications mobiles font rarement appel aux techniques de chiffrement pour stocker des données sensibles sur les appareils mobiles, s’appuient au contraire sur des algorithmes faibles, ou utilisent de façon inappropriée des outils de chiffrement plus forts, ce qui les rend inefficaces.

·  En 2013, Internet Explorer était l’application la plus ciblée par les spécialistes en vulnérabilités de la HP Zero Day Initiative (ZDI) avec plus de 50 %(4) des vulnérabilités acquises par le programme. Cette attention est liée au fait que les forces du marché [officielles et illégales] concentrent leurs recherches sur les vulnérabilités de Microsoft, ce qui ne reflète pas le niveau de sécurité global d’Internet Explorer.

·  Les vulnérabilités liées au contournement de la « sandbox » des applications sont les plus fréquentes et les plus graves pour les utilisateurs de Java(2). Les hackers ont considérablement haussé le niveau des agressions contre Java en ciblant simultanément plusieurs vulnérabilités connues (et « jour zéro ») dans des attaques combinées menées contre des objectifs spécifiques.

Principales recommandations
Dans un environnement où les cyberattaques sont de plus en plus nombreuses et la demande en logiciels sécurisés de plus en plus forte, il est impératif d’éliminer les possibilités de révéler involontairement des informations pouvant être exploitées par des pirates informatiques. Les entreprises comme les développeurs doivent rester au fait des failles de sécurité dans les frameworks et autres codes tierce partie, tout particulièrement dans le cas des plates-formes de développement mobile hybrides. Des directives de sécurité robustes doivent être appliquées pour protéger l’intégrité des applications et la confidentialité des utilisateurs. S’il est impossible d’éliminer la surface d’attaque sans pénaliser les fonctionnalités, une bonne combinaison des personnes, des processus et des technologies peut permettre aux entreprises de minimiser efficacement les vulnérabilités alentour pour réduire considérablement les risques globaux. La collaboration et le partage de renseignements sur les menaces entre les professionnels de la sécurité informatique permet de connaître de façon plus approfondie la tactique des adversaires, avec à la clé des stratégies de défense davantage proactives, l’incorporation de protections renforcées dans les solutions de sécurité proposées, et un environnement globalement plus sûr.

HP publie son étude Cyber Risk chaque année depuis 2009. Le laboratoire HP Security Research s’appuie sur un certain nombre de sources internes et externes pour réaliser cette étude, parmi lesquelles la HP Zero Day Initiative, les évaluations de sécurité HP Fortify on Demand, les études de sécurité HP Fortify Software Security Research, les laboratoires ReversingLabs et le référentiel de vulnérabilités du gouvernement américain (National Vulnerability Database). La méthodologie complète est présentée en détail dans le rapport.

Les menaces visant les entreprises

L’équipe de chercheurs d’Arbor Networks, qui publie régulièrement ses résultats sur son blog ASERT et dans le Worldwide Infrastructure Security Report (WISR), a présenté à data Secuyrity breach un nouveau document qui se concentre sur les menaces visant les entreprises. A noter que cet angle peut se reproduire pour les particuliers et autres entités. Parmi les principales conclusions du rapport de cette année :

– 63% des entreprises interrogées considèrent la lutte contre les attaques DDoS comme une priorité absolue.

-50% ont subi des attaques DDoS contre leur infrastructure.

– 25% ont rencontré des attaques DDoS contre leurs services clients ou partenaires

– 12,5% témoignent d’attaques d’« ennemis de l’intérieur » ou de menaces persistantes avancées (APT)

– 63% des entreprises autorisent le BYOD, mais 25% d’entre elles ne surveillent pas ces appareils personnels.

– 50% font de la protection contre les attaques DDoS une part conséquente de leur processus de gestion des risques de l’entreprise pour la disponibilité des services Internet.

– 35% des opérateurs de centres de données ont vu leurs pare-feu / IPS touchées par des DDoS en 2012.

– 2.12Gbps : c’est l’ampleur moyenne d’une attaque DDoS suivie par le système ATLAS au 1er semestre 2013, en hausse de 43% par rapport à 2012.

– 86% des attaques DDoS suivies par ATLAS au 1er semestre 2013 durent moins d’1 heure. La capacité à réagir rapidement est maintenant cruciale.

– x2 : le nombre d’attaques DDoS de plus de 20 Gbps suivies par ATLAS en 2012, observées au 1er semestre de 2013.