Archives par mot-clé : sécurité

La menace du phishing plane sur les PME : trois étapes pour éviter le pire

Les attaques informatiques ciblant de grands groupes, comme TV5monde, font régulièrement la une des journaux. Selon le rapport 2014 PwC sur la sécurité de l’information, 117 339 attaques se produisent chaque jour au niveau mondial. Depuis 2009, les incidents détectés ont progressé de 66 %.

Ce type d’attaques, très répandue, cible en grande partie les PME. Selon un rapport de l’ANSSI, 77 % des cyber-attaques ciblent des petites entreprises. Les conséquences peuvent être désastreuses pour ces structures à taille humaine, n’ayant pas forcément la trésorerie suffisante pour assurer leur activité en attendant le remboursement de leur assurance. Le coût d’une attaque peut s’avérer très élevé et la crédibilité de l’entreprise visée peut également en pâtir. Suite à une attaque informatique du type « fraude au président », la PME française BRM Mobilier a ainsi perdu cet été 1,6 M€ et se trouve aujourd’hui en redressement judiciaire.

En mai dernier, le PMU a effectué un test grandeur nature en envoyant un faux email, proposant de gagner un cadeau, avec une pièce jointe piégée. Résultat : 22% des salariés ont téléchargé la pièce jointe et 6% ont cliqué sur le lien contenu dans l’email et renseigné leurs données personnelles.

Comment éviter que ce type de scénario ne vire à la catastrophe ?

1 – Connaitre le déroulé d’une attaque
Le phishing, également appelé hameçonnage, est une technique employée par les hackers pour obtenir des données personnelles, comme des identifiants ou des données bancaires. Le déroulement est simple : le hacker envoie un email en usurpant l’identité d’un tiers de confiance, comme un partenaire, un organisme bancaire, un réseau social ou encore un site reconnu. L’email contient une pièce jointe piégée ou un lien vers une fausse interface web, voire les deux. Si le subterfuge fonctionne, la victime se connecte via le lien, et toutes les informations renseignées via la fausse interface web sont transmises directement au cybercriminel. Autre possibilité : la pièce jointe est téléchargée et permet ainsi à un malware d’infester le réseau de l’entreprise.

2 – Comprendre la dangerosité d’une attaque pour l’entreprise
Pour les entreprises, le phishing peut s’avérer très coûteux. Il est bien évidemment possible que le hacker récupère les données bancaires pour effectuer des virements frauduleux. Puisque nous sommes nombreux à utiliser les mêmes mots de passe sur plusieurs sites, les informations recueillies sont parfois réutilisées pour pirater d’autres comptes, comme une messagerie, un site bancaire, ou autre. De trop nombreuses personnes utilisent les mêmes mots de passe sur plusieurs sites – il est aussi possible que le hacker réutilise les informations recueillies pour pirater une boite mail, ou un compte cloud. Le cybercriminel peut ainsi consulter l’ensemble de la boîte mail, ou des comptes de sauvegarde cloud, et mettre la main sur des documents confidentiels, comme des plans ou des brevets, pouvant nuire à l’entreprise.

Enfin, les hackers profitent du piratage des boîtes mails pour envoyer à tous les contacts un nouvel email de phishing. La crédibilité de l’entreprise peut ainsi être touchée et ses clients pourraient subir à leur tour des pertes.

3 – Se préparer et éduquer avant qu’il ne soit trop tard
Les emails de phishing ont bien souvent une notion « d’urgence », qu’il s’agisse d’une demande pressante de la part d’un organisme ou d’un partenaire, ou d’une participation à un jeu concours « express ». Le but étant bien évidemment de ne pas laisser le temps à la victime de prendre du recul.

Comprendre le procédé d’une attaque est la première étape pour organiser sa défense. Il faut donc éduquer les salariés et leur donner quelques astuces pour ne pas tomber dans le piège :
– faire attention aux fautes d’orthographe : bien que les emails de phishing soient de mieux en mieux conçus, on y retrouve régulièrement des erreurs de syntaxe ou d’orthographe.
– regarder l’adresse mail ou le lien URL : même lorsqu’un email ou une interface web est une parfaite copie de l’original, l’adresse de l’expéditeur ou l’URL n’est pas la bonne puisqu’elle ne provient pas du même nom de domaine.

Des salariés éduqués et conscients du danger sont le meilleur atout contre les cyber-attaques, en particulier contre le phishing. Mais, cela n’est pas suffisant, notamment sur les terminaux mobiles où nous avons tous tendance à être plus spontanés et donc, à adopter des comportement à risques. Data Security Breach propose des ateliers de formation à la Cyber Sécurité. (Par Marc Antoine Parrinello, Responsable Commercial Entreprises France)

Ne confondons plus confidentialité avec sécurité

Depuis début octobre 2015, Twitter a décidé de chiffrer les échanges de messages privés entre ses utilisateurs, en expliquant que cela augmente la sécurité. A chaque fois qu’un géant de l’Internet, Google en tête, passe en trafic SSL, le message est « c’est pour améliorer la sécurité ». Mais l’utilisation de flux chiffrés est-elle un véritable vecteur d’amélioration de la sécurité des systèmes d’informations ?

N’est-ce pas plutôt, et comme l’indique l’ANSSI dans son document Recommandation de Sécurité concernant l’analyse des flux HTTPS « Une technologie conçue pour protéger en confidentialité et en intégrité les communications de bout en bout ».

La confidentialité consiste dans « le fait de s’assurer que l’information n’est seulement accessible qu’à ceux dont l’accès est autorisé » selon la définition de l’Organisation Internationale de Normalisation (ISO). La sécurité, elle, correspond à l’absence de menaces, ou à la mise en place de stratégie et d’outils pour réduire très significativement ces menaces.

Le chiffrement du trafic rend pratiquement impossible l’interception des échanges par une personne non autorisée et améliore de ce fait la confidentialité. Et ce de bout en bout, entre le site Internet et l’ordinateur ou le terminal mobile. Mais si le site web est infecté, alors les codes malicieux qui vont transiter sur le réseau ne pourront plus être détecté par les systèmes de sécurité de l’entreprise déployés dans l’infrastructure. En voulant améliorer la confidentialité, le développement des trafics chiffrés ouvre en fait une brèche béante de sécurité

L’Arcep vient d’annoncer qu’à la mi-2015, la part de trafic chiffré vue par les FAI en France représenterait près de 50% contre 5% en 2012. De ce fait, et sur la moitié des trafics internet, la sécurité de l’entreprise ne pourra reposer que sur les capacités d’analyse et de détection déployées après le tunnel chiffré. C’est-à-dire sur le périphérique. Dans la grande majorité des cas, il s’agit d’un simple agent d’antivirus, ce qui est loin d’être suffisant vu la complexité des menaces actuelles. Les pirates l’ont bien compris, et on estime que 80% des attaques complexes utilisent désormais les connections chiffrées pour pénétrer le système informatique des entreprises.

Cela crée une situation paradoxale pour les employés, qui demandent, et à juste titre, à la fois la confidentialité des échanges, la sécurisation des informations sensibles et la protection contre les attaques de type Ransomware. Ne confondons pas confidentialité et sécurité… ça n’est pas la même chose. Ces deux besoins fondamentaux peuvent paraître antinomiques, mais il est désormais possible, avec des solutions de Sécurisation des Flux chiffrés (Encrypted Trafic Management) de faire quelles se complètent pour renforcer la sécurité du système d’information. (Par Dominique Loiselet, Directeur
Général de Blue Coat France.)

Sécurité informatique : 2015, année difficile

La division sécurité d’IBM publie son rapport trimestriel IBM X-force faisant état du Top 4 des tendances liées aux cyber-menaces en 2015. Dans l’ensemble, 2015 a été une année difficile en matière de menaces internes, de logiciels malveillants, ainsi que d’attaques persistantes et évolutives touchant les entreprises.

Les pirates amateurs exposent les criminels expérimentés lors d’attaques « Onion Layered ». Alors que 80% des cyber attaques sont générées par des réseaux de criminels en ligne hautement organisés et sophistiqués, ce sont souvent des pirates inexpérimentés – « script kiddies » – qui inconsciemment poussent les entreprises à être attentives à ces pirates plus nombreux et expérimentés qui rôdent sur un réseau en ligne ou à l’intérieur d’une entreprise. Les pirates amateurs laissent des indices tels que des dossiers inhabituels ou des fichiers dans un répertoire temporaire, altèrent des pages web d’entreprises, et plus encore. Lorsque les entreprises se penchent sur ces attaques malveillantes, ils découvrent souvent des attaques beaucoup plus complexes.

Accroissement des rançongiciels (Ransomwares)
2015 était l’année des rançongiciels, se classant comme l’infection la plus fréquemment rencontrée. En fait, le FBI a signalé des attaques du rançongiciel CryptoWall qui ont permis aux pirates de collecter plus de 18 millions de dollars entre 2014 et 2015. Les chercheurs d’IBM pensent que cela restera une menace fréquente et un business rentable en 2016, migrant également vers les appareils mobiles.

La plus grande menace peut venir de l’intérieur
Le rapport (tiré de l’étude Identifying How Firms Manage Cybersecurity Investment de Tyler Moore, Scott Dynes, Frederick R. Chang, Darwin Deason de l’Institute for Cyber Security Southern Methodist University – Dallas) indique également le danger permanent des attaques malveillantes à l’intérieur même d’une entreprise. Ceci est la continuation d’une tendance observée en 2014 lorsque l’index IBM 2015 lié à la Cyber Security Intelligence révélait que 55% de toutes les attaques de 2014 avaient été réalisées en interne ou par des individus ayant eu par le passé accès au système d’informations de l’entreprise – sciemment ou par accident.

Le C-Suite Cares
En 2015, la cybersécurité est devenue une priorité au plus haut niveau de l’entreprise, avec de plus en plus de responsables qui s’interrogent sur la sécurité de leur organisation. En fait, un récent sondage questionnant les responsables de la sécurité des systèmes d’information (RSSI), réalisé par SMU et IBM, a révélé que 85% des RSSI indiquent que la gestion des problèmes informatiques a augmenté, et 88% ont déclaré que leurs budgets de sécurité se sont accrus.

Vous pouvez télécharger le rapport complet ici : http://ibm.co/1OJkd8N.

Prévisions en matière de menaces informatiques à l’horizon 2020

Les prévisions d’Intel Security fournissent également des perspectives précieuses aux entreprises dans le cadre de la définition de leurs stratégies de sécurité informatique à court et à long terme.

Le nouveau rapport d’Intel Security intitulé ‘McAfee Labs Threat Predictions Report’ prédit les principales tendances à anticiper en 2016 en matière de menaces informatiques. Il fournit également un aperçu prédictif unique de ce paysage jusqu’à l’horizon 2020 et livre les potentielles réponses de l’industrie de la sécurité informatique face à l’évolution des cyber-menaces.

« A l’image des joueurs de foot qui savent saisir les opportunités et anticiper le jeu, il est important que les entreprises puissent garder une longueur d’avance sur les tendances business et technologiques mais également sur l’environnement des menaces informatiques. Le rôle de l’industrie informatique est de les accompagner dans cette bataille en mettant à leur disposition des technologies performantes pour les soutenir dans leurs activités et leur permettre de comprendre à quels types de menaces elles seront confrontées demain », commente Vincent Weafer, Vice-Président de McAfee Labs d’Intel Security.

Les menaces à venir en 2016

L’éventail des risques à anticiper en 2016 s’étend des probables attaques de ransomware, aux risques d’attaques contre les véhicules connectés, en passant par des attaques contre des infrastructures, ou encore la vente de données volées, etc. Différents types d’attaques en matière de menaces sont à prévoir :

Matérielle. Les attaques sur tous les types de matériel et de firmware vont encore continuer l’année prochaine et se traduire par le développement et la croissance du marché noir liés aux outils d’exécution de ce type d’attaque. Les machines virtuelles seront également ciblées avec des rootkits de firmware.

Ransomware. L’anonymisation des réseaux et des modalités de paiement continuera à alimenter le risque de ransomwares. En 2016, un plus grand nombre de cybercriminels novices devrait exploiter les offres de Ransomware-as-a-Service et accélérer ainsi la croissance de ce marché.

Ciblées sur les accessoires connectés. Bien que la plupart des accessoires connectés stocke une quantité relativement faible de renseignements personnels, les plates-formes sur lesquelles fonctionnent ces devices pourront s’avérer la cible des cybercriminels afin d’en compromettre les smartphones associés. L’industrie devra s’atteler à la protection des potentielles surfaces d’attaques tels que les noyaux des systèmes d’exploitation, les logiciels de gestion de réseau et de WiFi, les interfaces utilisateur, la mémoire, les fichiers locaux et les systèmes de stockage, les machines virtuelles, les applications Web, les logiciels de sécurité et de contrôle d’accès.

Par des OS des salariés. Les entreprises devront continuer à rester vigilantes et à renforcer leurs mesures de sécurité via notamment la mise en place des dernières technologies de sécurité disponibles, l’embauche de personnel expérimenté pour assurer la protection de son IT et de ses données, et la définition de politiques de sécurité efficaces. En revanche, les hackers essayeront de nouveau de détourner ces mécanismes de protection en passant par les systèmes d’exploitation des salariés et en tirant profit notamment de la faible protection des systèmes qu’ils utilisent chez eux pour accéder aux réseaux de leur entreprise.

Services Cloud. La protection des services Cloud est encore souvent négligée par les entreprises. Cela devrait pousser les cybercriminels à profiter de la faiblesse, voire de l’inexistence, de certaines politiques de sécurité d’entreprises. Le Cloud rassemble une quantité croissante d’informations confidentielles d’entreprises, le vol des données stockées par ces services pourrait compromettre toute la stratégie d’une entreprise, y compris le développement de son portefeuille de produits, ses futures innovations, ses services financiers, les données de ses employés, etc.

Voitures. Les experts en sécurité continueront à étudier les potentielles menaces auxquelles sont exposés les systèmes d’exploitation des voitures connectées dépourvus des capacités de sécurité embarquée ou non conformes aux best practices des politiques de sécurité établies. Les fournisseurs de solutions de sécurité informatique et les constructeurs automobiles devront coopérer de manière proactive afin d’élaborer des directives, des normes et des solutions techniques pour protéger les surfaces d’attaques potentielles que représentent par exemple les unités de commande électronique (Engine Control Unit ou ECU) des systèmes d’accès du véhicule, les ECU relatifs au moteur et à la transmission, au système avancé d’assistance au conducteur, les systèmes de verrouillage du véhicule à distance, le télé-déverrouillage passif, le récepteur V2X, les clés USB, le diagnostic embarqué, les applications de type RemoteLink et l’accès smartphone.

Stockage de données volées. Les blocs d’informations personnelles qui permettent une identification sont aujourd’hui reliés entre eux dans de grandes bases de données, où l’ensemble des éléments volés font ainsi augmenter la valeur des dossiers compilés. L’année prochaine verra le développement d’un marché noir encore plus robuste qui offrira davantage d’informations personnelles (date d’anniversaire, adresse, etc.) associées à des identifiants en ligne et à des mots de passe.

Contre l’intégrité de système. Les attaques sélectives compromettant l’intégrité des systèmes et des données seront l’un des plus importants nouveaux vecteurs d’attaques. L’objectif de ces attaques consiste à saisir et à modifier des transactions ou des données en faveur des attaquants. Par exemple, un cybercriminel peut parvenir à modifier des paramètres de dépôt direct de versement de salaires pour verser l’argent sur son propre compte bancaire. En 2016, McAfee Labs prévoit une possible attaque contre l’intégrité de système dans le domaine financier, secteur dans lequel des millions de dollars pourraient être dérobés par des cybercriminels.

Partage de renseignements sur les menaces. Le partage de renseignements sur les menaces entre les entreprises et les fournisseurs de solutions de sécurité devrait croître rapidement. Des mesures législatives seront prises afin de faciliter les échanges d’informations entre les entreprises et les gouvernements. Le développement accéléré de best practices devrait favoriser l’identification de métriques permettant de mesurer l’amélioration des niveaux de protection.

Les prévisions à l’horizon 2020

La vision prédictive de McAfee Labs tend à identifier la manière dont les différents acteurs du cyber-crime vont évoluer, comment vont changer à la fois les comportements et les objectifs des attaquants, mais aussi de prédire la façon dont l’industrie répondra à ces défis au cours des 5 prochaines années.

Attaques sous l’OS. Alors que les applications et les systèmes d’exploitation seront de plus en plus protégés, les attaquants chercheront des faiblesses dans le firmware et le matériel informatique. Ce type d’attaque pourrait éventuellement offrir aux hackers le contrôle total des systèmes. En effet, ils seraient théoriquement en mesure d’accéder à un nombre illimité de ressources et de fonctionnalités de gestion et de contrôle au sein des systèmes.

Contournement de détection. Les assaillants chercheront à contourner les technologies de détection de cyber-menaces en ciblant de nouvelles surfaces d’attaques et en utilisant des méthodes d’attaques toujours plus sophistiquées. Cela signifie qu’il faudra dès lors anticiper des malwares sans fichier, des infiltrations cryptées, des malwares en mesure de contourner les sandbox, des exploits à distance des protocoles RSH et des protocoles de contrôle, ainsi que des attaques sous l’OS ciblant et exploitant les Master Boot Records (MBR), le BIOS et le firmware.

Appareils connectés : de nouvelles surfaces d’attaques. D’ici 2020, ces dispositifs devraient atteindre un niveau de pénétration du marché assez conséquent pour attirer les cybercriminels. Les fournisseurs de technologie et de solutions verticales seront amenés à collaborer afin de définir des conseils de sécurité pour les utilisateurs et des best practices pour l’industrie. De plus, les fabricants d’objets connectés chercheront, de plus en plus, à intégrer les mécanismes de contrôle de sécurité dès la phase de conception de leurs produits.

Pénétration du cyber-espionnage dans les entreprises. Jusqu’alors, les logiciels de cyber-espionnage ciblaient davantage le secteur public. McAfee Labs prévoit que, d’ici 2020, le marché noir des malwares et des services de piratage pourrait rendre possible leur utilisation pour exécuter des attaques contre les entreprises afin de collecter des renseignements financiers et de manipuler les marchés en faveur des attaquants.

Enjeux et opportunités de la confidentialité. Le volume et la valeur des données personnelles sur le Web vont continuer de croître. Pour répondre à la menace constante du vol de ces informations, de nouvelles réglementations sur la confidentialité vont être élaborées et mises en oeuvre à travers le monde. En parallèle, les utilisateurs devront commencer à exiger des compensations pour le partage de leurs données. Ce mouvement donnera probablement naissance à un nouveau marché d’« échange de valeur» qui pourrait profondément changer la façon dont les individus et les entreprises gèrent leurs vies privées numériques.

Réponse de l’industrie de la sécurité. Les industriels développeront des outils plus efficaces pour détecter et remédier aux attaques sophistiquées. Les nouvelles technologies devront s’appuyer sur une analyse de comportement prédictive pour repérer les activités irrégulières et détecter les comptes compromis. La protection des systèmes deviendra plus rapide et efficace grâce au partage des renseignements sur les menaces entre les parties prenantes. La sécurité intégrée avec le Cloud va améliorer la visibilité et le contrôle des systèmes et des données. Finalement, les technologies de détection et de correction automatiques assureront la protection des entreprises contre les attaques les plus courantes, en permettant aux responsables de sécurité informatique de se concentrer sur les incidents de sécurité plus critiques.

« Afin d’avoir une longueur d’avance sur des menaces en constante évolution et pourvoir devancer ses adversaires, l’industrie informatique a besoin de s’appuyer sur les mêmes ‘armes’ que les cybercriminels. Il lui faudra ainsi associer le partage des renseignements liés aux cyber-risques entre ses différents acteurs à la puissance technologique, dont le Cloud computing et l’agilité de plates-formes, mais aussi aux compétences humaines », conclut Vincent Weafer. « Ainsi, pour gagner des batailles contre les futures menaces, les entreprises doivent avoir une meilleure visibilité et une meilleure connaissance des risques potentiels. Elles doivent également être en mesure de détecter et de répondre plus rapidement et d’utiliser pleinement à la fois les ressources humaines et techniques à leur disposition. »

Les DSI se sentent plus vulnérables aujourd’hui qu’ils ne l’étaient en 2010

L’étude met en avant le sentiment de prises de risques personnels ressentis par les DSI lors d’une prise de décision.

L’étude ‘Moments that Matter’, commanditée par Colt, révèle qu’aujourd’hui en étant intégrés à une direction informatique de plus en plus stratégique, près de 76 % des responsables informatiques européens interrogés estiment se mettre plus en danger lors d’une prise de décision qu’il y a 5 ans. Elle indique également que 77 % des DSI soulignent le fait que les instants décisifs dans la vie de l’entreprise ont davantage d’impacts sur l’évolution de leur carrière que les activités du quotidien. Cela influe notamment sur le sentiment de vulnérabilité que les responsables informatiques ressentent lors de la criticité de certaines prises de décision.

Risque personnel VS risque entrepreneurial
L’étude ‘Moments that Matter’ montre également une divergence de points de vue de la part des DSI entre vie personnelle/vie professionnelle et les risques de l’entreprise. Travailler à un changement IT est plus important et impactant pour la société que pour la carrière du DSI. Le risque est estimé à hauteur de 35 % pour l’entreprise contre 28 % à titre personnel ; Sélectionner une équipe performante et des compétences est considéré comme la clé d’un succès personnel dont la hauteur du risque s’élève à 39 % pour la société contre 48 % à titre personnel ; Communiquer en interne et en externe avec les parties prenantes est sous-évaluée. Le taux de risque associé est estimé à 27 % pour la société contre 19 % pour l’individu.

Par ailleurs, 73 % des DSI consultés admettent que le risque personnel qu’ils ressentent est atténué dès lors qu’ils travaillent avec une équipe en toute confiance. Ils évoquent également l’importance de la confiance dans le cadre de leurs collaborations avec des fournisseurs extérieurs. Un partenaire comprend les impacts d’une interruption de service et va agir en conséquence, prouvant ainsi sa réelle valeur lorsque les choses tournent mal. Pour 85 % des DSI interrogés, les considérations techniques d’un prestataire sont parfois obligatoires.

« La digitalisation des entreprises et les mutations de l’informatique vont indéniablement affecter le sentiment de risque personnel éprouvé par les responsables informatiques », souligne Carl Grivner à DataSecurityBreach.fr, Carl Grivner, EVP Network services chez Colt. « Dans la mesure où ils jouent dorénavant un rôle central dans la réussite globale de l’entreprise, les DSI savent qu’ils sont attendus par le Comité de Direction lors des phases critiques et que la gestion de ces événements clés sera déterminante de leur succès. Plus de responsabilité implique également plus de vulnérabilité pour eux », ajoute Carl Grivner. « Ils doivent être en mesure d’innover et de faire face à de nouveaux défis qui peuvent impacter, positivement ou négativement, leurs carrières. La constitution d’une équipe performante et le travail avec des fournisseurs de confiance devraient leur permettre de jouer un rôle majeur avec des décisions plus importantes pour leurs carrières. »

A propos de la méthodologie
Cette étude s’appuie sur la consultation en août 2015 de 301 décisionnaires dans le secteur IT comprenant principalement des responsables informatiques en France, en Allemagne et au Royaume-Uni. Les entreprises interrogées ont un chiffre d’affaires compris entre 10 millions et 5 milliards d’euros, avec une majorité de sociétés oscillant entre 100 et 500 millions de chiffre d’affaires. Cette étude a été réalisée par Loudhouse, une agence indépendante basée à Londres (Royaume-Uni).

Internet des objets : les risques de la maison connectée

En examinant un échantillon aléatoire des plus récents produits issus de l’Internet des objets (IoT), les chercheurs de Kaspersky Lab ont découvert de sérieuses menaces pour la maison connectée. En effet, de nombreux objets connectés présentent des vulnérabilités importantes, à l’instar de cafetières divulguant les mots de passe Wi-Fi de leurs propriétaires (comme nous vous le révélions il y a 3 semaines, NDR), de baby phones facilement piratables ou encore de systèmes de sécurité domestique commandé par smartphone et pouvant être leurrés au moyen d’aimants.

En 2014, lorsque David Jacoby, expert en sécurité chez Kaspersky Lab, avait décidé de tester le niveau de vulnérabilité des équipements connectés de sa maison en cas de cyberattaque, il avait alors découvert que la quasi-totalité d’entre eux étaient vulnérables. A la suite de ce constat, en 2015, une équipe d’experts antimalware a réitéré l’expérience, à une légère différence près : alors que Jacoby avait concentré ses recherches principalement sur les serveurs, routeurs et téléviseurs connectés au réseau, cette nouvelle étude s’est intéressée aux divers équipements connectés disponibles sur le marché de la domotique.

Domotique : quels dangers les objets connectés représentent-ils ?
Pour mener l’expérience, l’équipe a testé une clé USB de streaming vidéo, une caméra IP, une cafetière et un système de sécurité domestique, les trois derniers étant commandés par smartphone. Des expériences réalisées dans plusieurs salons et hackfests que l’éditeur d’antivirus a repris à son compte pour cette étude.

Grâce à une connexion au réseau du propriétaire, le piratage de la caméra du baby phone a permis de se connecter à l’appareil, d’en visionner les images et d’activer le circuit audio. Notons également que d’autres caméras du même fabricant ont également servi à pirater les mots de passe du propriétaire. L’expérience a également démontré qu’il était également possible pour un pirate se trouvant sur le même réseau de récupérer le mot de passe maître de la caméra et de modifier son firmware à des fins malveillantes.

En ce qui concerne les cafetières pilotées par une application mobile, il n’est même pas nécessaire que le pirate se trouve sur le même réseau que sa victime. La cafetière examinée au cours de l’expérience a envoyé des informations suffisamment peu cryptées pour qu’un pirate découvre le mot de passe donnant accès à l’ensemble du réseau Wi-Fi de son propriétaire.

Enfin, lorsque les chercheurs de Kaspersky Lab ont étudié le système de sécurité domestique commandé par smartphone, ils ont pu constater que son logiciel ne présentait que quelques problèmes mineurs et était assez sécurisé pour résister à une cyberattaque.

Une vulnérabilité a cependant été découverte dans l’un des capteurs utilisé par le système : le fonctionnement du capteur de contact, destiné à déclencher l’alarme en cas de l’ouverture d’une porte ou d’une fenêtre, repose sur la détection d’un champ magnétique créé par un aimant monté sur le châssis. Concrètement, l’ouverture fait disparaître le champ magnétique, amenant le capteur à envoyer des messages d’alarme au système. Toutefois, si le champ magnétique est maintenu, l’alarme ne se déclenche pas.

Pendant l’expérience menée sur le système de sécurité domestique, les experts de Kaspersky Lab sont parvenus, au moyen d’un simple aimant, à remplacer le champ magnétique de l’aimant fixé sur la fenêtre, ce qui leur a permis d’ouvrir et de refermer celle-ci sans déclencher l’alarme. Le problème dans cette vulnérabilité est qu’elle est impossible à corriger par une mise à jour logicielle : elle tient à la conception même du système. Mais le plus préoccupant réside dans le fait que ces équipements sont couramment employés par de nombreux systèmes de sécurité sur le marché.

« Heureusement notre expérience montre que les fabricants prennent en compte la cyber sécurité lors du développement de leurs équipements pour l’Internet des objets. Néanmoins, tout objet connecté commandé par une application mobile est quasi certain de présenter au moins un problème de sécurité. Des criminels peuvent ainsi exploiter plusieurs de ces problèmes simultanément, raison pour laquelle il est essentiel pour les fabricants de les résoudre tous, y compris ceux qui ne paraissent pas critiques. Ces vulnérabilités doivent être corrigées avant même la commercialisation du produit car il est parfois bien plus difficile d’y remédier une fois que des milliers d’utilisateurs en ont fait l’acquisition », souligne à DataSecurityBreach.fr Victor Alyushin, chercheur en sécurité chez Kaspersky Lab.

Afin d’aider les utilisateurs à protéger leur cadre de vie et leurs proches contre les risques liés aux vulnérabilités des équipements IoT au sein de la maison connectée, voici quelques conseils élémentaires :

1. Avant d’acheter un équipement IoT quel qu’il soit, recherchez sur Internet s’il présente des vulnérabilités connues. L’Internet des objets est un sujet brûlant et de nombreux chercheurs se spécialisent dans la recherche de problèmes de sécurité de tous types de produits, qu’il s’agisse de baby phone ou d’armes à feu connectées. Il y a de fortes chances que l’objet que vous vous apprêtez à acheter ait déjà été examiné par des experts en sécurité et il est possible de savoir si les problèmes éventuellement détectés ont été corrigés.

2. Il n’est pas toujours judicieux d’acheter les produits le plus récents qui sont disponibles sur le marché. Outre les défauts habituels des nouveaux produits, ils risquent de receler des failles de sécurité qui n’ont pas encore été découvertes par les chercheurs. Le mieux est donc de privilégier des produits qui ont déjà eu plusieurs mises à jour de leur logiciel.

3. Si votre domicile renferme de nombreux objets de valeur, il est sans doute préférable d’opter pour un système d’alarme professionnel, en remplacement ou en complément de votre système existant commandé par smartphone, ou bien de configurer ce dernier afin d’éviter que toute vulnérabilité potentielle n’ait une incidence sur son fonctionnement. S’il s’agit d’un appareil appelé à collecter des informations sur votre vie personnelle et celle de vos proches, à l’instar d’un baby phone, mieux vaut peut-être vous tourner vers le modèle radio le plus simple du marché, uniquement capable de transmettre un signal audio, sans connexion Internet. Si cela n’est pas possible, alors reportez-vous à notre conseil n°1.

L’open source : L’innovation et la sécurité par la transparence

Le contraste entre les logiciels propriétaires et open source est aussi vieux que l’industrie de l’informatique elle-même. Dans presque toutes les catégories, des logiciels sont disponibles soit auprès de fournisseurs qui développent et commercialisent eux-mêmes leur code, soit auprès de communautés de développeurs travaillant avec du code ouvert.

Au cours de la dernière décennie, l’aversion envers l’utilisation des logiciels libres, particulièrement dans les entreprises, a pris un tournant majeur. Les managers ont réalisé que si même les géants de l’informatique comme Facebook, Google et Amazon font appel à l’open source, les entreprises ordinaires devraient pouvoir le faire aussi. Les avantages de l’open source sont bien connus : les coûts inférieurs (à noter que coûts inférieurs ne veut pas forcément dire gratuits), la qualité supérieure et la sécurité qui découlent d’une grande communauté de développeurs et l’absence de dépendance à un fabricant sont des arguments de poids. Dans certains domaines, les produits open source sont déjà leaders de leur catégorie. Linux, Firefox et WordPress, par exemple, sont d’énormes réussites auprès des particuliers. MySQL, Apache, Free BSD, Zimbra et Alfresco se retrouvent fréquemment dans les environnements d’entreprise.

Toutefois, la distinction n’est pas aussi claire qu’on pourrait le penser : il n’est pas possible de diviser simplement les logiciels en catégories (ouvert ou fermé, libre ou non-libre, open source ou propriétaire). Il existe toutes sortes de sous-catégories, ce qui donne lieu à d’importantes différences dans les conditions de licence. Pour les entreprises, toutefois, il est pertinent de s’intéresser aux catégories de logiciels open source et propriétaires, et c’est la combinaison des deux, sous la forme de logiciels open source commerciaux, qui offre de fait le meilleur des deux mondes.

Un changement culturel global est en cours en faveur de l’open source. Par exemple, l’UE et le gouvernement des États-Unis investissent de grosses sommes d’argent pour augmenter leur utilisation de l’open source. Et au CERN (l’Organisation européenne pour la recherche nucléaire), qui a longtemps été un pionnier de l’informatique, les scientifiques sont encouragés à mener leurs recherches à l’aide de solutions libres de nouvelle génération. La tendance ne se limite plus désormais aux logiciels. Le « matériel libre » se répand : le Raspberry Pi, le Kano, l’Arudion, le MatchStick basé sur Firefox, le NAO et le Hummingboard sont tous des exemples démontrant le dynamisme des projets libres, qui font naître de nouvelles tendances comme l’Internet des Objets. Et pourtant l’open source n’est pas quelque chose de réellement nouveau. La plateforme informatique open source ultime reste le mainframe, qui était également le noyau de l’ordinateur personnel actuel et a donc toujours représenté une communauté open source considérable.

Des solutions open source commerciales : un système donnant-donnant

Le modèle de développement open source permet aux entreprises de prendre en charge leur projet avec des technologies adaptées, évolutives et un code ajusté à leurs exigences, et par là même de renvoyer l’ascenseur à la communauté. Dans les logiciels open source commerciaux, tout nouveau code passe par un processus strict d’assurance qualité pour garantir la sécurité des entreprises clientes et de leurs utilisateurs finaux. Les changements pouvant bénéficier à un ensemble plus large d’entreprises clientes sont contrôlés et la communauté les ajoute ensuite à son code de base. Pour pouvoir utiliser tous les avantages de l’open source, il faut une relation étroite avec un fournisseur de solutions open source commerciales. C’est essentiel pour promouvoir la créativité et les contributions au sein de la communauté. Les entreprises peuvent également fournir du code pour prendre en charge leurs activités. Les fournisseurs de solutions open source commerciales ne fournissent que l’assistance et le processus strict de développement du produit, comprenant les tests avec les bases de données, les conteneurs et l’assurance qualité qui font normalement partie du développement des logiciels propriétaires.

Des soucis de sécurité avec l’open source ? Au contraire !

Avec l’acceptation croissante des logiciels open source, les logiciels propriétaires purs perdent du terrain sur le marché. Beaucoup d’utilisateurs doutent de la souplesse des logiciels propriétaires dans les années à venir et beaucoup considèrent leur dépendance par rapport à leur fournisseur comme une restriction indésirable. Lorsqu’elles envisagent le futur des services numériques, qu’il s’agisse de ceux des entreprises ou des administrations, des entreprises comme Facebook et Google considèrent l’open source comme indispensable. La plupart des fournisseurs utilisent d’ailleurs déjà l’open source dans divers domaines de leurs opérations informatiques. Les solutions open source fournissent, en particulier, une plateforme pour une technologie prête à l’emploi pouvant être personnalisée pour différents produits. Néanmoins, malgré l’acceptation grandissante de l’open source, les entreprises gardent des inquiétudes à propos de leur fiabilité et de leur sécurité. Mais quels sont les arguments derrière ces inquiétudes ?

Le préjugé menant à penser que les logiciels open source ne sont pas sécurisés ne se vérifie absolument pas. Le réseau international de développeurs, d’architectes et d’experts de la communauté open source est de plus en plus reconnu en tant que ressource majeure. La communauté fournit un retour professionnel d’experts du secteur qui peuvent aider les entreprises à produire du code plus robuste, à créer des correctifs plus vite, et capables de développer des innovations et des améliorations à de nouveaux services. Dans un modèle propriétaire, la qualité du logiciel est limitée à celle du petit ensemble de développeurs qui y travaillent. Les entreprises qui font appel à des vendeurs tiers pour leurs logiciels propriétaires peuvent avoir un sentiment de sécurité plus fort, mais elles se bercent d’illusions : au nom de la propriété intellectuelle propriétaire, les éditeurs peuvent facilement empêcher leurs clients professionnels de savoir s’il existe des failles de sécurité dans leur code – jusqu’à ce que des pirates les exploitent. Nous avons vu récemment de nombreux exemples de ce fait, qui ont entraîné des problèmes pour de nombreux clients.

En raison du haut degré de transparence au sein de la communauté open source, le travail de ce réseau d’experts est d’une grande qualité ; ses membres attachent une importance extrême au maintien de leur réputation. Personne ne peut se permettre de mettre sa crédibilité en jeu lorsque toute la communauté peut voir le code publié sous son nom et le commenter. Par conséquent, les membres de la communauté soumettent tout code nouvellement compilé à un long travail de vérification avant de le publier. Cela devrait dissiper les craintes injustifiées concernant les failles de sécurité.

Une architecture ouverte et une évolutivité sans limite pour des solutions fiables

Les médias sociaux, le cloud, les big data, la mobilité, la virtualisation et l’Internet des Objets révolutionnent constamment l’informatique. Les technologies existantes peinent à suivre le rythme de ces changements. Les entreprises et les institutions doivent fournir leurs services sur de nombreux canaux tout en garantissant une sécurité totale des données. Avec des systèmes propriétaires rigides, cela est pratiquement impossible, et la communauté open source démontre tous les jours que les produits utilisant du code open source sont plus que prêts à gérer des services importants. Apache est déjà le numéro un. MySQL en prend le chemin ; tôt ou tard, il est très probable qu’OpenStack deviendra le logiciel de référence pour la gestion des centres informatiques et OpenAM est l’un des meilleurs produits pour les droits d’accès reposant sur les identités numériques. Les entreprises qui refusent d’utiliser l’open source courent le risque de prendre du retard sur l’étendue et la puissance des fonctions, et de ne pas être en mesure de proposer à leurs clients une expérience utilisateur numérique complète.

La réussite de l’open source se mesure par sa capacité à garantir un haut degré de sécurité et d’innovation. Si les logiciels développés de façon libre n’étaient pas sûrs, la sécurité et l’innovation ne seraient pas possibles. L’open source offre donc la sécurité grâce à sa transparence, ce que les logiciels propriétaires ne peuvent pas se permettre. Les entreprises feraient bien de garder un œil sur les solutions open source. (Par Ismet Geri, vice-président Europe du Sud chez ForgeRock)

Quand les incidents de sécurité coûtent cher aux entreprises

Il est souvent difficile pour les victimes elles-mêmes d’estimer le coût total d’un incident de sécurité en raison de la diversité des dommages. Mais une chose est sûre, l’addition monte vite.

Une enquête mondiale réalisée en 2015 par Kaspersky Lab auprès de 5 500 entreprises, en coopération avec B2B International révèle également que les fraudes commises par les employés, les cas de cyber espionnage, les intrusions sur le réseau et les défaillances de prestataires extérieurs représentent les incidents de sécurité les plus coûteux. Selon ce rapport, le budget moyen nécessaire aux grandes entreprises pour se remettre d’un incident de sécurité serait de 551 000 et 38 000 dollars pour les PME.

« Définir le coût d’une attaque est une tâche très difficile à réaliser car le périmètre d’impact est variable d’une entreprise à l’autre. Cependant, ces chiffres nous rappellent que les coûts d’une attaque ne se limitent pas au remplacement du matériel, et nous obligent à nous interroger sur son impact à long terme. A noter également que toutes les entreprises ne sont pas égales : certaines attaques visent à stopper l’activité commerciale d’une entreprise quand d’autres ciblent l’exfiltration de données secrètes, par exemple. Il ne faut pas oublier non plus que l’onde de choc générée par l’annonce publique d’une attaque ou d’une fuite de données à des conséquences directes sur la réputation d’une entreprise, et ce qui est alors perdu est souvent inestimable » explique à DataSecurityBreach.fr Tanguy de Coatpont, directeur général de Kaspersky Lab France.

Facture moyenne d’un incident pour une entreprise :

  • Services professionnels (informaticiens, gestion du risque, juristes) : il existe 88% de chance d’arriver à une facture pouvant atteindre jusqu’à 84 000 dollars
  • Perte d’opportunités commerciales : dans 29 % cela peut représenter jusqu’à 203 000 dollars
  • Interruption d’activité : jusqu’à 1,4 million de dollars, soit 30 %
  • Total moyen : 551 000 dollars
  • Dépenses indirectes : jusqu’à 69 000 dollars
  • Atteinte à la réputation : jusqu’à 204 750 dollars

Les PME et les grandes entreprises ne sont pas logées à la même enseigne

Neuf entreprises sur dix ayant participé à notre enquête ont fait état d’au moins un incident de sécurité. Cependant, tous les incidents n’ont pas le même niveau de gravité et n’aboutissent pas à la perte de données sensibles. Le plus souvent, un incident grave résulte d’une attaque de malware ou de phishing, de fuites imputables à des employés ou de l’exploitation de vulnérabilités dans des logiciels. L’estimation des coûts permet de considérer la gravité des incidents de sécurité informatique sous un nouvel angle et fait apparaître une perspective légèrement différente entre les PME et les entreprises.

Les grandes entreprises encourent un préjudice nettement plus élevé lorsqu’un incident de sécurité est le fait d’une défaillance d’une tierce partie, les autres types d’incidents coûteux étant liés à des fraudes commises par les employés, des cas de cyber espionnage ou des intrusions sur le réseau. Les PME tendent à subir un préjudice important sur pratiquement tous les types d’incidents, qu’il s’agisse d’espionnage, d’attaques DDoS ou de phishing.

Pour télécharger le rapport complet sur le coût des incidents de sécurité, cliquez ici.

iOS 9 : bonne pratique de sécurité

La version finale d’iOS 9 est disponible dès ce 16 septembre ! À cette occasion, voici les bonnes pratiques en matière de sécurité iOS.

Bien que les appareils et les OS Apple aient une réputation de sécurité forte, 84 % des vulnérabilités mobiles découvertes l’an dernier ont touché iOS, selon le dernier rapport de Norton by Symantec sur les menaces de sécurité Internet (ISTR). D’ailleurs, une récente famille de logiciels malveillants, appelée KeyRaider, a compromis un nombre record de comptes d’utilisateurs sur les iPhones jailbreakés.

Ci-dessous, vous trouverez trois conseils de sécurité pour iOS 9 à utiliser pour protéger vos informations personnelles. D’abord, utiliser un mot de passe Apple ID fort et unique. Le nouvel iOS 9 exige désormais un code à six chiffres plutôt que quatre. Si ce dernier est couplé avec un mot de passe Apple ID fort qui utilise des lettres, des chiffres et des symboles, il sera plus difficile pour les criminels de deviner les mots de passe.

Ensuite, DataSecurityBreach.fr vous conseiller d’activer l’authentification à deux facteurs (Comme pour double authentification Gmail, Facebook, Dropbox, …) Dans iOS 9, une authentification à deux facteurs, une couche supplémentaire de sécurité, est étendue à iTunes et iCloud, et les utilisateurs devraient l’activer immédiatement. Celle-ci oblige les utilisateurs à entrer un code de vérification unique de six chiffres (envoyé à un dispositif de confiance) ainsi que leur adresse e-mail et mot de passe lorsque l’ils se connectent à leur compte à partir d’un nouveau navigateur ou terminal.

Enfin, désactiver l’accès à Siri depuis l’écran de verrouillage. Siri est l’assistant personnel intelligent iOS, mais bien qu’utile, Siri peut aussi être un risque de sécurité. Il y a eu plusieurs cas dans le passé où Siri a été utilisé pour contourner l’écran de verrouillage de l’iPhone. Empêcher Siri d’être utilisé à partir de l’écran de verrouillage va protéger les appareils de ces types de hacks.

BYOD : selon une enquête, seuls 11 % des utilisateurs protègent l’accès à leur mobile

Selon une enquête réalisée par Kaspersky Lab avec B2B International, environ la moitié des utilisateurs de smartphones et de tablettes interrogés se servent de leur appareil mobile pour le travail. Cependant, seul 1 sur 10 se préoccupe sérieusement de protéger ses informations professionnelles contre les cybercriminels.

Les résultats révèlent que beaucoup d’employés de grandes ou moyennes entreprises utilisent leurs appareils mobiles personnels au travail : 36 % des participants à l’enquête y conservent des fichiers professionnels, et 34 % des e-mails professionnels.

Parfois, des informations plus confidentielles peuvent elles aussi se trouver sur les mobiles des utilisateurs : 18% y stockent les mots de passe donnant accès à leurs comptes de messagerie professionnelle, dont 11 % concernent des accès réseaux ou des VPN. Or ce type d’informations représente une cible parfaite pour les cybercriminels à la recherche de secrets d’entreprise.

« L’orientation du marché IT vers la mobilité et le cloud offre des possibilités d’attaques supplémentaires aux hackers et augmentent les risques des entreprises de voir leurs innovations dévoilées, copiées. Par conséquent, la protection méthodique et systématique des données et de leurs transmissions constituent désormais un challenge de premier plan pour les entreprises. Un challenge qui engage leur compétitivité sur le marché, et donc leur santé économique » commente à DataSecurityBreach.fr Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

En dépit de ces risques, le modèle BYOD offre de nombreux avantages aux entreprises. Cependant, il nécessite une infrastructure informatique et une politique de sécurité adaptées pour un niveau de sécurité optimum.

Exemples de règles à suivre dans cette démarche

·           Le processus d’intégration du BYOD doit être traité en détails et inclure un audit de l’infrastructure, une phase de conception et un déploiement pilote.

·           Choisir une solution unique et complète pour assurer la sécurité de l’ensemble du réseau de l’entreprise, intégrant la protection des appareils mobiles afin d’éviter d’éventuels problèmes de compatibilité, rendant la tâche plus pénible pour les services informatiques.

·           Centraliser la gestion des appareils mobiles sur le réseau de l’entreprise et gérer les autorisations, installations et les mises à jour des applications mobiles via des portails dédiés à l’entreprise.

·           Mettre l’accent sur la formation et la sensibilisation des employés à la sécurité informatique. L’apprentissage des règles de sécurité informatique basiques tels que le choix de mots de passe, les attitudes à respecter lorsqu’on trouve une clé USB ou sur les réseaux sociaux, ou encore l’importance du chiffrement, doivent désormais être considérées comme indispensable au même titre qu’une formation métier, comme l’explique cette tribune.

·           Plus important encore, anticiper la crise et créer des scénarios types pour bloquer l’accès des appareils personnels au réseau de l’entreprise et la suppression des données confidentielles en cas de perte ou de vol de terminaux.

D’autres conseils ici et .

La sécurité informatique au sein des environnements industriels 4.0 : le savoir est la meilleure protection

Avec l’Industrie 4.0, les entreprises du secteur industriel ont accès à l’Internet… mais risquent également d’ouvrir leurs portes aux pirates. La meilleure façon de se protéger des fuites de données et du sabotage est de tirer parti d’informations décisionnelles. Des initiatives comme Shodan et Conpot permettent aux équipes chargées de la sécurité de profiter de grandes quantités de renseignements sur leurs propres vulnérabilités et les méthodes des pirates. Comme le dit notre slogan, chez DataSecurityBreach.fr, s’informer, c’est déjà se sécuriser.

Les sites de production des sociétés industrielles et du secteur de l’énergie ont été relativement à l’abri des attaques au cours des dernières décennies. Les systèmes de contrôle industriel (ICS) les plus répandus tels que les SCADA étaient optimisés pour accroître le rendement, et tenus à l’écart d’Internet (créant ainsi le fameux « Air Gap », ou « lame d’air »). Ils communiquaient à l’aide de protocoles propriétaires tels que Modbus, Profibus, S7comm ou DNP3, et étaient rarement les cibles des cybercriminels.

La situation a changé. L’interconnexion des systèmes de production est la promesse de gains énormes en matière de rendement, ce qui pousse de plus en plus d’entreprises à ouvrir leurs réseaux. Cette approche leur permet de simplifier et de centraliser la gestion de leur système, facilite la fourniture de nouveaux services, et contribue à minimiser les temps d’arrêt liés à l’assistance et à la maintenance, ainsi que leurs coûts.

Connecter des réseaux ICS à Internet présente cependant des menaces réelles. Un pirate parvenant à accéder au réseau peut alors infiltrer l’environnement de production étape par étape. Le logiciel et le matériel propriétaires utilisés ne sont généralement pas intégrés avec les systèmes de sécurité, et sont donc essentiellement non protégés. Selon ses objectifs et ses intentions, le pirate peut commencer à récupérer des données sensibles, manipuler les processus de production ou même saboter l’environnement de production tout entier. Le potentiel de dégâts de ce type d’attaques (prenons l’exemple marquant d’une attaque menée à l’encontre d’une centrale) est évidemment nettement plus élevé que celui d’une attaque MITM (l’interception de communications entre deux parties) contre une entreprise du secteur tertiaire ou autre.

Au commencement, il y eut Stuxnet
Au cours des dernières années, de nombreuses attaques de ce genre ont été enregistrées, Stuxnet en étant l’exemple le plus connu. En 2010, le ver SCADA (qui sans doute a été développé par des organismes gouvernementaux occidentaux) a ainsi saboté le projet de recherche nucléaire iranien. Ce fut le premier logiciel malveillant prouvant (officiellement) que du code informatique pouvait provoquer des dégâts sur des équipements matériels. Depuis, bien d’autres ont été menées à l’encontre de sites industriels, souvent en utilisant des logiciels malveillants créés sur mesure avec des fonctionnalités destinés aux ICS, comme Duqu ou Havex.

L’organe ICS-CERT (géré par le département américain de la Sécurité intérieure, et spécialisée dans la protection des infrastructures critiques) énumère d’ailleurs plusieurs faits inquiétants dans son Rapport pour l’année 2014 : son équipe d’analyse de la sécurité a été consultée dans près de 250 cas afin de participer à l’analyse de cyberattaques lancées sur des cibles critiques. Une grande partie de ces attaques étaient ciblées, les pirates s’infiltrant souvent dans les entreprises par la partie connectée à Internet de leur réseau à l’aide de logiciels malveillants sur mesure. Les cybercriminels utilisent également une grande variété de techniques. Selon l’ICS-CERT, le Spear phishing (une variante de hameçonnage où les employés sont convaincus d’exécuter des logiciels malveillants grâce à des e-mails semblant provenir de leurs supérieurs) reste le vecteur d’attaque le plus populaire. Mais d’autres menaces gagnent aussi en popularité, comme les attaques aux « points d’eau » (« watering hole »), une stratégie consistant à remplacer les mises à jour logicielles sur les sites des éditeurs par des chevaux de Troie, eux aussi taillés sur mesure.

Le BSI répertorie les attaques contre les ICS

L’Office fédéral allemand pour la sécurité des technologies de l’information (BSI) brosse un tableau similaire. Son rapport annuel « État des lieux de la sécurité informatique en Allemagne en 2014 » documente, entre autres, une attaque réussie sur une aciérie allemande. Les pirates ont utilisé les méthodes du Spear Phishing et de l’ingénierie sociale pour accéder au réseau de l’entreprise victime. Ils ont alors infiltré l’environnement de production, où ils ont causé d’énormes dégâts en compromettant plusieurs systèmes de contrôle. Le BSI affirme que les cybercriminels possédaient des connaissances détaillées sur les systèmes de contrôle industriel et les processus de production, en plus de leurs évidentes compétences en informatiques.

L’information est d’une importance cruciale

La guerre cybernétique a donc atteint les sites de production. Cela ne signifie pas nécessairement que le secteur industriel devrait renoncer au potentiel offert par l’interconnectivité, ni même en ralentir la progression. Les services chargés de la sécurité informatique doivent utiliser des systèmes de sécurité existants pour faire en sorte que les réseaux soient connectés à l’Internet de façon sécurisée. Mais pour cela, il leur faut d’abord des informations décisionnelles et détaillées. Ils doivent également connaître les vulnérabilités de leurs réseaux de production, les vecteurs d’attaque et les outils de piratage, ce qui leur permettra d’analyser les attaques, de neutraliser les logiciels malveillants et de réparer les dégâts éventuels.

Les experts en matière de sécurité cherchant à rassembler ces informations peuvent également s’appuyer sur leurs grandes connaissances et leurs réseaux de renseignement établis : d’une certaine façon, les attaques contre les systèmes industriels sont assez similaires aux attaques classiques contre les environnements informatiques des entreprises du tertiaire. Mais, bien que la protection effective de certains systèmes ICS puisse être très étendue, le problème reste que les informations disponibles sont limitées. Heureusement, la situation évolue également à ce niveau. Plusieurs initiatives de sécurité innovantes sont axées sur la protection des milieux industriels, et ont clairement pour principal objectif de fournir aux professionnels de la sécurité les renseignements dont ils ont besoin sur les menaces et les vulnérabilités.

Shodan et honeypot Conpot ICS/SCADA, des initiatives intéressantes

Shodan : le moteur de recherche pour l’IdO
Le moteur de recherche Shodan a été créé par le développeur John Matherly en 2009, permettant ainsi aux utilisateurs de rechercher sur le web une grande variété de systèmes connectés à Internet. Contrairement aux moteurs orientés contenu comme Google, Shodan utilise les scans des ports des adresses IP disponibles, puis recueille et indexe les bannières qu’il reçoit ensuite. Il peut ainsi parcourir le Web à la recherche de serveurs ou de routeurs d’un certain type, ou même de terminaux possédant des adresses IP comme des caméras de sécurité ou des dispositifs médicaux. Les utilisateurs peuvent créer leurs requêtes en utilisant une grande variété d’options de filtrage, par exemple en combinant des noms de fournisseurs, des informations sur des ports, des codes ou des protocoles régionaux afin de trouver des serveurs SCADA dans leur pays. Shodan est donc un bon outil pour localiser les vulnérabilités ou les systèmes mal configurés au sein de votre réseau : si une recherche révèle que l’un des automates ou l’une des IHM sur la plage d’IP de votre entreprise est visible sur Internet, vous savez que l’un de vos systèmes est probablement mal configuré et avez la possibilité de corriger cette erreur. Les vulnérabilités causées par des systèmes non patchés, des ports ouverts ou des mots de passe par défaut inchangés peuvent être repérées et corrigées tout aussi facilement. Cependant, si vous trouvez votre système sur Shodan, il est probable que vous ne soyez pas le seul. La proactivité reste donc de mise.

En outre, ce moteur de recherche n’est pas sans détracteurs. Comme presque toutes les solutions de test et de gestion des vulnérabilités, Shodan est souvent critiqué car il peut être utilisé à mauvais escient comme outil de piratage puissant, ce qui est incontestable : des boîtes à outils de piratage avec des interfaces Shodan existent depuis longtemps sur le Darknet. Mais la plupart des experts en sécurité s’accordent sur le fait que des fonctions de recherche similaires sont également disponibles en utilisant des botnets. Les professionnels de la sécurité des environnements industriels devraient clairement envisager d’intégrer Shodan à leur gestion des vulnérabilités.

Analyser les vulnérabilités et minimiser la visibilité d’un ICS sur Internet est de toute évidence un premier pas important dans la sécurisation des environnements de production. Mais la recrudescence des menaces ciblées persistantes et complexes (APT), qui sont créées sur mesure pour passer à travers les mailles des systèmes de sécurité existants, oblige les équipes chargées de la sécurité à analyser l’éventail des menaces tout aussi minutieusement.

Malheureusement, peu d’informations sont disponibles sur la façon dont les attaques contre les sites industriels surviennent, ou alors ces renseignements sont publiés trop longtemps après un incident. En effet, peu de cas sont documentés, et peu d’informations tangibles sur les menaces ont été recueillies jusqu’à présent. L’initiative de sécurité Conpot a pour but de changer la donne.

Conpot : des pots de miel pour le secteur industriel

L’initiative Conpot (abréviation de « système de contrôle Honeypot ») a été créée sous l’égide du Projet Honeynet par un groupe de professionnels de la sécurité expérimentés, parmi lesquels Lukas Rist de Blue Coat Systems. Le principe est de créer partout sur Internet des systèmes virtuels interactifs se comportant exactement comme des serveurs ICS ou des réseaux industriels non protégés. Une fois ces systèmes en place, le développeur du système honeypot (« pot de miel ») n’a plus qu’à attendre qu’un pirate attaque le site, terminal distant (RTU) ou ICS ainsi émulé, et peut alors observer et analyser l’attaque étape par étape. Par nature, tous les cas permettent de procéder à une analyse utile de leur vecteur d’attaque. L’intérêt supérieur de ces pots de miel se manifeste lorsque les membres de cette initiative peuvent corréler les données de plusieurs dizaines d’attaques, puis analyser leurs tendances et évolutions, identifier d’éventuels axes régionaux ou thématiques d’attaque, et recueillir ainsi davantage des données précieuses.

Habituellement, pour un analyste, rechercher une anomalie dans son réseau de production est comme chercher une aiguille dans une botte de foin. En déployant un honeypot dans votre réseau, tous les événements qui atteignent ce terminal sont susceptibles d’être des « aiguilles » (par exemple les attaques ou dispositifs mal configurés), étant donné qu’aucun élément réel n’est censé communiquer avec ce pot de miel. Ce dernier peut également être vu comme un leurre : le temps qu’y passe le pirate ainsi piégé correspond au laps de temps dont vous disposez pour sécuriser votre infrastructure critique avant qu’elle ne soit compromise à son tour.

N’importe quel professionnel de la sécurité peut contribuer à Conpot. L’émulateur est disponible en tant que logiciel Open Source à l’adresse www.conpot.org. Avec cet outil puissant, chaque développeur a la possibilité de concevoir un modèle réaliste et virtuel de son environnement, et de le connecter à Internet. Ainsi, les responsables de la sécurité peuvent obtenir des renseignements utiles leur indiquant ce à quoi ils doivent s’attendre en connectant leurs systèmes à Internet, et peuvent planifier leurs défenses en conséquence.

Les cyberattaques menées à l’encontre d’environnements industriels sont un phénomène réel. Ces attaques suivent essentiellement les mêmes mécanismes que pour les environnements des entreprises classiques du tertiaire. Une grande partie des attaques ont des motifs professionnels : d’abord, parce que les lamers (ou « script kiddies ») ne sont pas encore vraiment actifs dans ce segment, et ensuite parce que l’énorme potentiel de dégâts (ou la valeur des actifs) suscite l’intérêt d’acteurs importants tels que des organismes gouvernementaux, des groupes terroristes et des voleurs de données professionnelles. Les entreprises cherchant à sécuriser leurs réseaux doivent donc vérifier et minimiser la visibilité de leurs systèmes ICS sur Internet. Face à la recrudescence des menaces complexes, il est de plus en plus important de collecter de renseignements sur les menaces. Les équipes de sécurité ont besoin d’informations détaillées sur les vecteurs d’attaque et sur l’ensemble du cycle de vie des menaces. Ils peuvent alors élaborer une stratégie de défense globale en s’appuyant sur ces informations. Des initiatives telles Shodan et Conpot sont d’ailleurs un bon point de départ pour la collecte des renseignements nécessaires.

En parallèle, les entreprises doivent mettre en œuvre des meilleures pratiques de sécurité et protéger minutieusement les parties de leurs réseaux accessibles au public. Des solutions de sécurité dédiées aux ICS existent également pour les environnements particulièrement sensibles. Par exemple, Blue Coat propose la solution d’analyse ICS Protection Scanner Station, qui protège les systèmes industriels des logiciels malveillants véhiculés par des périphériques USB. En outre, la solution Security Analytics Platform Analytics propose également un module SCADA ThreatBLADE permettant d’identifier en temps réel les activités potentiellement malveillantes ciblant les systèmes SCADA.

Le rêve d’une solution parfaitement intégrée pour la protection des environnements industriels ne deviendra réalité qu’une fois que l’ensemble des différentes normes industrielles propriétaires auront été remplacées par des systèmes informatiques standard, et ces derniers intégrés aux architectures de sécurité existantes. Les technologies nécessaires pour cela (le protocole réseau IPv6, la surveillance complète des réseaux et la gestion rigoureuse des correctifs et des vulnérabilités) existent maintenant depuis un certain temps. L’étape suivante est leur mise en œuvre complète, ce qui pourrait prendre un certain temps en raison des cycles de vie plus longs des équipements industriels. (Christophe Birkeland pour DataSecurityBreacg.fr. Il est directeur technique en charge de la division Malware Analysis chez Blue Coat Systems).

Cyber-sécurité : Les PME démunies face aux nouveaux risques

La sécurité pose un réel problème aux PME qui n’ont bien souvent pas les moyens d’avoir une équipe informatique dédiée afin de faire face à tous les challenges engendrés par les nouvelles technologies et les nouvelles habitudes de vie. A ces nouveaux challenges de sécurisation s’ajoute l’inventivité des hackers qui ne cessent de renouveler leurs techniques d’attaques.

Pour répondre à cette problématique, l’ANSSI (agence nationale de la sécurité des systèmes d’information) et la CGPME (conférence Générale des Petites et Moyennes Entreprises) ont publié un guide de bonnes pratiques de l’informatique relatant les 12 règles essentielles pour sécuriser les équipements informatiques. Les mesures sont variées, et pour certaines basiques : sécurisation des mots de passe, de la connexion wi-fi, sauvegardes régulières ou encore mise à jour des logiciels pour disposer des derniers patchs de sécurité. Mais, parmi ces mesures basiques, certaines règles viennent encadrer les nouveaux usages informatiques.

Règle n°3 : Bien connaître ses utilisateurs et ses prestataires
Le conseil pourrait sembler évident mais à l’heure des services hébergés en cloud, il est primordial de connaître les standards de son fournisseur en termes de sécurité et de conformité. Selon une étude Freeform Dynamics commandée par Barracuda Networks, 69% des entreprises prévoient une utilisation de plus en plus fréquente du cloud pour les services essentiels tels que les emails et la gestion de la relation client. Pour bien penser sa sécurité, il faut aussi comprendre quelle expérience les utilisateurs feront des infrastructures et des services informatiques.

Règle n°6 : Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur
Autre tendance pouvant affecter la sécurité de l’entreprise : l’utilisation croissante de tablettes et de smartphones – qu’ils soient personnels (BYOD) ou fournis par l’entreprise. Les collaborateurs utilisent ces terminaux pour travailler et pour accéder au réseau de l’entreprise, toujours selon l’étude Freeform Dynamics : 62% des interrogés prévoient une augmentation de l’accès mobile et à distance aux réseaux informatiques de l’entreprise.

Pourtant ce matériel reste très peu sécurisé et représente un danger notable. Chaque appareil personnel connecté au réseau représente une porte d’entrée potentielle pour les cyber-attaques.  Les entreprises doivent donc s’assurer de la sécurisation de ces terminaux, soit en les fournissant elles-mêmes à ses employés soit en offrant une solution pour sécuriser leurs propres appareils.

Les entreprises sont conscientes des problèmes de cyber-sécurité auxquelles elles se confrontent, mais ne savent pas par où les attaquer. Le guide prodigue les conseils essentiels, les avertit du danger, mais il est essentiel maintenant d’enseigner aux PME les bonnes pratiques de la sécurité informatique. (Par Stéphane Castagné, pour DataSecurityBreach.fr – Responsable Commercial France – Barracuda Networks)

Maison connectée : le défi de la protection de l’identité

Fin mai se tenait à Paris la Connected Conference, un rendez-vous devenu incontournable pour tous les acteurs du Monde Connecté où de grands acteurs de l’industrie ont été invités à s’exprimer (Nest, Alcatel-Lucent, Lego). C’est en se rendant à l’intérieur de leur «Maison Connectée» créée pour l’événement que l’on pouvait prendre la mesure du phénomène: de l’ampoule, aux serrures en passant par les thermostats, tout sera connecté.

Il est nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Cependant, comment être sûrs que ces appareils soient assez sécurisés au vue de leur nombre et diversité et de la croissance exponentielle des applications multi-plateformes ?

Des défis à ne pas négliger
Les technologies biométriques s’installent peu à peu dans notre quotidien, mais ce n’est que tout récemment qu’elles ont fait leur entrée dans nos maisons. Au-delà des nombreux avantages que peut offrir la maison connectée pour nous faciliter la vie (praticité, automatisation des processus, optimisation des coûts…), elle soulève de nombreuses questions, notamment en matière de confidentialité et de sécurité des données. « Avec de nouveaux points d’entrées dans nos foyers, les pirates peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données »

Les appareils connectés d’ores et déjà disponibles à la vente offrent des services au top de la technologie, mais dont la sécurité est souvent sacrifiée à la fonctionnalité : la plupart d’entre eux ne disposent pas, par exemple, de mécanismes de réponse en cas de piratage de leurs équipements. Avec ces nouveaux points d’entrées dans nos foyers, les hackers peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données. Nous entendons trop souvent parler de cyber attaques, de vols de données confidentielles pour ne pas s’interroger, à juste titre, sur les menaces pesant sur les appareils enregistrant notre quotidien, nos habitudes, nos préférences, notre intimité.

Il est ainsi nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Ainsi, le thermostat intelligent devra être en mesure d’ordonner à votre lave-linge quand commencer un programme d’une autre marque, via un réseau Wi-Fi dont on connaît que trop bien la vulnérabilité. Certes ces appareils ne représentent pas des données confidentielles mais les caméras de surveillance la porte du garage, les baby-phones,… nombreux sont les objets sensés nous rassurer et que des hackers pourraient utiliser contre nous.

La biométrie, une option gagnante
La biométrie, c’est l’identification d’une personne par une partie de son corps (main, œil, doigt, visage) pour accéder à un service ; en d’autres termes, c’est un excellent moyen pour s’authentifier ou se connecter à tous types d’appareils. « Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques »

Dans la maison intelligente du futur, la biométrie et par extension toutes les technologies nécessitant l’identité de l’utilisateur pour commander un service seront utilisées. Le téléphone portable sera l’objet central de la maison connectée. Depuis ce dernier, les utilisateurs pourront contrôler tous les aspects de leur maison et de leurs appareils ménagers grâce à l’authentification biométrique. Le management de l’identification et de l’authentification sera la clef pour les contrôler. Il est ainsi maintenant possible de mettre en route certains objets à distance : faire chauffer de l’eau, contrôler la température d’un four depuis notre voiture, tout est possible ! De plus en plus diversifié, le marché de l’IoT doit veiller à uniformiser ses offres s’il ne veut pas basculer dans la complexité. L’industrie a besoin de créer un accès simplifié et sécurisé pour permettre aux différents objets connectés de marques concurrentes de communiquer entre eux.

Nous pouvons facilement imaginer qu’à l’avenir, tout ce qui requiert une connexion par identification ou authentification pourrait être contrôlé par la biométrie : thermostats, compteurs intelligents, interrupteurs… Dans le futur, nous pourrons rendre nos foyers aussi connectés que nous le souhaitons !

L’internet des Objets offre de nombreux avantages mais soulève à la fois de nombreuses inquiétudes en terme de connexion et d’accès. Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques pour garantir un accès sécurisé afin de protéger de manière optimale des données hautement confidentielles.

Comment élaborer une bonne stratégie de sécurité

Les DSI ont pris note des scénarios de cauchemar que les violations de données peuvent engendrer : vous souvenez-vous de Sony ou de Target ? Pour combattre ces bombes à retardement, ils ont étoffé leurs budgets de sécurité. L’équipe d’intervention informatique d’urgence (CERT) de la Carnegie Mellon University recommande également de mettre en place une stratégie de sécurité que vous pouvez consulter si vos systèmes sont compromis.

Pourquoi avez-vous besoin d’une stratégie de sécurité ? Une stratégie de sécurité contient des procédures organisationnelles qui vous indiquent exactement quoi faire pour prévenir les problèmes ainsi que la marche à suivre si vous vous trouvez en situation de violation de données. Les problèmes de sécurité peuvent concerner :
– la confidentialité, lorsque des personnes obtiennent ou divulguent des informations de manière inappropriée ;
– l’intégrité, quand des informations sont altérées ou validées de manière erronée, délibérément ou accidentellement ;
– la disponibilité, avec des informations inaccessibles lorsqu’elles sont requises ou disponibles à plus d’utilisateurs que nécessaire.

En tout cas, disposer d’une stratégie permettra d’assurer que tous les membres du service informatique se trouvent sur la même longueur d’onde en ce qui concerne les processus et procédures de sécurité.

À quoi ressemble une bonne stratégie de sécurité ?
Vous avez peut-être une idée de ce à quoi la stratégie de sécurité de votre entreprise doit ressembler. Mais si vous souhaitez vérifier votre travail ou disposer d’indicateurs supplémentaires, visitez la page consacrée aux modèles de stratégies de sécurité de l’information  de SANS. Vous y trouverez vingt-sept stratégies de sécurité à consulter et utiliser gratuitement. Une bonne stratégie de sécurité doit ressembler à :
– Objectifs : des attentes et des buts clairs.
– Conformité : les législations peuvent faire partie des exigences d’une stratégie de sécurité, et il est donc essentiel de les énumérer.
– Dernière date de test : les stratégies doivent constituer une documentation vivante fréquemment contrôlée et remise en question.
– Date de dernière mise à jour : les documents d’une stratégie de sécurité doivent être mis à jour pour s’adapter aux changements de l’entreprise, aux menaces extérieures et aux évolutions technologiques.
– Contact : les informations contenues dans les stratégies de sécurité sont censées être lues, comprises et mises en application par tous les collaborateurs d’une entreprise et s’il y a des questions, un propriétaire du document doit y répondre.

Questions à poser lors de la création de votre stratégie de sécurité ?
Lorsque vous créez une stratégie de sécurité, il est utile de poser des questions parce qu’en y répondant, vous découvrirez ce qui est important pour votre entreprise et vous pourrez discerner les ressources nécessaires pour former et maintenir votre stratégie. Voici quelques questions pour démarrer :
– De quelle(s) personne(s) vous faudra-t-il l’approbation ?
– Qui sera le propriétaire de cette stratégie de sécurité ?
– Quel est le public concerné par cette stratégie ?
– Quelles réglementations s’appliquent à votre secteur d’activité (par exemple, GLBA, HIPAA, Sarbanes-Oxley, etc.) ?
– Qui a besoin d’avoir accès aux données de votre entreprise ?
– Qui possède les données que vous gérez ? Votre entreprise ? Vos clients ?
– Combien de demandes d’accès aux données recevez-vous chaque semaine ?
– Comment ces demandes sont-elles satisfaites ?
– Comment et quand l’accès est-il examiné ?
– Comment pouvez-vous vous assurer qu’aucun conteneur ne sera ouvert à un groupe d’accès global (Tout le monde, Utilisateurs du domaine, Utilisateurs authentifiés, etc.) sans autorisation explicite des propriétaires de données et de la hiérarchie concernée ?
– Comment toutes les activités d’accès seront-elles enregistrées et disponibles pour audit ?
– Si des données n’ont pas été consultées depuis 18 mois, comment seront-elles identifiées et restreintes afin que seuls leurs propriétaires y aient accès jusqu’à ce qu’une demande soit formulée par un autre utilisateur ?
– Comment harmoniserez-vous votre stratégie de sécurité aux objectifs de l’entreprise ?

Derniers conseils
Les stratégies de sécurité donnent de meilleurs résultats lorsqu’elles sont concises et vont droit au but. Elles doivent aussi favoriser et répondre aux besoins de l’activité. Grâce à une maintenance régulière, la stratégie de sécurité de votre entreprise contribuera à en protéger les actifs. (Par Norman Girard, pour DataSecurityBreach.fr, Vice Président et directeur général Europe de Varonis)

Stratégies BYOD : sécuriser les données d’entreprise dans un monde mobile

Les environnements des entreprises évoluent rapidement. Dans ce contexte, les employés doivent pouvoir accéder à leurs informations professionnelles à tout moment en situation de mobilité, ceci afin d’améliorer leur productivité, leur niveau de satisfaction et les performances globales de leur entreprise. Souvent, les salariés veulent accéder à leurs messageries, calendriers, contacts, données clients et documents sensibles sur leurs appareils personnels, ce qui représente un potentiel cauchemar pour les départements informatiques, qui doivent s’assurer de la sécurité des informations professionnelles.

Selon les prévisions du Gartner, d’ici 2017, un employeur sur deux exigera de ses employés qu’ils utilisent leurs appareils personnels au travail. Les entreprises doivent donc impérativement prendre des mesures appropriées afin de s’assurer que la vague de smartphones et de tablettes pénétrant dans le périmètre de l’entreprise soit sécurisée. Pour cela, elles doivent mettre en œuvre des stratégies BYOD offrant de la flexibilité aux employés, et assurant dans le même temps la sécurité au niveau de l’entreprise. De telles stratégies peuvent faire toute la différence, car elles instaurent des règles strictes permettant de faire face à diverses problématiques essentielles : quels appareils et applications sont autorisés à accéder aux informations professionnelles ; qui est responsable des applications et des données ; quelles données doivent être en lecture seule / modifiables, ou disponibles hors ligne ; ou encore qui doit payer pour la consommation professionnelle de données et de voix.

Déterminer en quoi il est nécessaire de migrer vers le BYOD
La première étape dans la mise en œuvre d’un programme BYOD efficace est tout d’abord de définir en quoi celui-ci est nécessaire, et d’établir clairement des indicateurs de réussite. Un tel programme est-il nécessaire pour réduire les dépenses d’investissements et les frais ? L’objectif est-il de stimuler la productivité du personnel ? Lorsque l’on détermine la nécessité d’un programme BYOD pour une entreprise, il est important de s’assurer que le raisonnement adopté soit en accord avec les objectifs de l’entreprise. Une fois le but clairement défini, il sera plus facile pour les dirigeants de justifier un investissement continu dans un tel programme, et l’adoption de ce dernier devrait également s’en trouver renforcée dans l’entreprise.

Il est également essentiel de démontrer la valeur ajoutée du BYOD pour l’entreprise, et de présenter ses avantages et ses risques aux utilisateurs mobiles, ainsi que la façon dont le programme envisagé permettra d’en assurer la protection. Les équipes informatiques pourront faire l’objet d’un certain rejet lors d’un tel déploiement  : en effet, certains employés verront cela comme une excuse pour accéder aux appareils personnels, craindront de voir leurs informations personnelles effacées, ou encore que leur consommation personnelle de données et de voix augmente sur leurs forfaits mensuels. Cependant, les départements informatiques prenant le temps d’expliquer en quoi ce programme leur sera bénéfique et permettra de les protéger ont alors plus de chance de rencontrer de l’enthousiasme de la part des utilisateurs plutôt que l’inverse. Une stratégie BYOD pertinente implique que chacune des parties soit sur la même longueur d’onde dès le début pour que les organisations récoltent rapidement les fruits de leurs efforts.

Exposer les droits de la société en matière de gestion de données professionnelles sur des appareils personnels
Lors de la mise en œuvre d’un programme BYOD, un contrat de licence de l’utilisateur final (EULA) devrait clairement définir le comportement attendu des employés et promouvoir le respect volontaire des stratégies d’entreprise et de sécurité, tout en protégeant leur vie privée. Le cas échéant, la stratégie mise en œuvre devrait clairement préciser que l’entreprise se réserve le droit d’effacer ses données et applications lorsque nécessaire.

Beaucoup d’organisations se tournent vers une solution de conteneurisation garantissant une séparation nette entre les données professionnelles et personnelles. Une telle solution permet de satisfaire le besoin de confidentialité des employés mobiles, ainsi que les exigences des départements informatiques en matière de sécurité des données professionnelles. De cette façon, en cas de vol ou de perte de l’appareil, ou si un employé quitte l’entreprise, seules les données professionnelles seront effacées à distance, réduisant ainsi le risque de compromission de données sensibles. Pour les équipes informatiques, la conteneurisation est un gage de confiance quant à la sécurité des données. Ils peuvent ainsi promouvoir en toute sérénité l’utilisation d’informations professionnelles sur des appareils appartenant aux employés ou à l’entreprise dans le cadre de workflows mobiles. Du côté des employés, le fait que leurs messageries personnelles, photos et bibliothèques musicales soient inaccessibles et ne puissent pas être effacées par leur département informatique est une source supplémentaire de tranquillité quant au respect de leur vie privée.

Envisager des solutions de facturation partagée
Le BYOD est récemment devenu un point de discorde quant à l’identité de celui devant payer la facture mensuelle de services de téléphonie mobile. Ainsi, en 2014, la Cour suprême et la Cour d’appel de Californie se sont prononcées sur la question.

La facturation partagée peut faciliter la transition vers la gestion de la mobilité d’entreprise (EMM) pour les entreprises, en leur évitant des problématiques complexes d’indemnisation, de remboursement et d’attribution de crédits. Au lieu d’inclure les frais de données liées à une consommation professionnelle sur des forfaits mensuels personnels, l’accès aux applications fournies par l’entreprise peut être directement facturé à l’employeur et aux partenaires. Les remboursements peuvent ainsi être rationalisés en même temps que les questions de responsabilité des RH et juridique quant aux contenus des utilisateurs. Plus besoin d’enregistrer des notes de frais, de payer des frais cachés liés au traitement des remboursements, ou de gérer des questions fiscales liées à des indemnisations.

En intégrant un forfait de données professionnel et une facturation partagée à leurs stratégies BYOD, les dirigeants d’entreprise peuvent accélérer la transition de leur personnel vers la mobilité.

Impliquer également les employés
Malgré toutes les meilleures intentions du monde, les services juridiques et informatiques élaborent parfois une stratégie BYOD manquant de convivialité. Lorsqu’ils définissent et déploient une telle stratégie, les dirigeants doivent impliquer tous les services, y compris les RH, le service financier et juridique, les responsables de la sécurité et de la confidentialité, ainsi que les responsables informatiques. Ils pourront ainsi exposer à ces principaux acteurs un cadre de meilleures pratiques de BYOD structuré afin de favoriser une prise de décision rapide et collaborative.

La mobilité est essentielle pour lutter contre la concurrence. En donnant aux employés la possibilité de travailler sur les appareils de leur choix, il est possible d’accélérer les tâches quotidiennes et d’accroître ainsi la productivité des salariés et leur degré de satisfaction. Lors de la mise en œuvre de stratégies BYOD complètes, les dirigeants doivent clairement présenter les arguments en faveur du déploiement de tels programmes, et établir avec précision le droit de leur entreprise à gérer les données professionnelles stockées sur les appareils personnels. Ils doivent également envisager de mettre en place une solution de conteneurisation afin de séparer les données professionnelles et personnelles, et réfléchir à une solution de facturation partagée afin d’éviter les problématiques complexes d’indemnisation, de responsabilité quant au contenu de l’utilisateur final et de contrôle des notes de frais des employés.

Enfin, il est essentiel d’aborder le déploiement de stratégies et de solutions BYOD dans votre entreprise comme un effort commun à tous vos services. Créez une campagne de marketing interne proactive destinée aux utilisateurs d’appareils mobiles en vous assurant qu’elle soit engageante et facile à comprendre, comme avec des vidéos, des posters, des FAQ, ou des événements dédiés à des endroits stratégiques. Expliquez clairement les avantages, et comment votre stratégie et votre solution BYOD permettent de gérer les risques au niveau des données professionnelles. La clé d’une stratégie efficace est de s’assurer que le programme créé profite aux employés tout en renforçant la sécurité des données professionnelles. (Par Florian Bienvenu, pour datasecuritybreach.fr, vice-président UK, Europe Centrale, Europe du Sud et Moyen Orient de Good Technology)

HP facilite la sécurisation des impressions

HP a annoncé des solutions et des services, nouveaux et actualisés, qui permettent aux clients de mieux sécuriser leur environnement d’impression et de gagner en efficacité. Cette initiative s’inscrit dans le cadre de la stratégie HP visant à proposer des offres innovantes pour la sécurité des impressions et à les rendre accessibles au plus grand nombre.

« La sécurité et la protection des données d’entreprise sont des problématiques qui revêtent une importance croissante pour nos clients », souligne Edmund Wingate, vice-président Solutions LaserJet Enterprise chez HP. « HP continue à jouer un rôle moteur dans la sécurisation des imprimantes au travers d’offres qui renforcent la sécurité de nos modèles réseau et contribuent à protéger les données de notre clientèle. »

 Une sécurisation des impressions de pointe, plus accessible aux clients

Nouvelle fonctionnalité de HP Access Control, l’impression sécurisée, en mode «serverless», évite le recours à des serveurs dans de petits bureaux (agences par exemple). Ce mode d’impression sécurisée peut être déployé pour préserver la confidentialité des documents, se conformer à la politique d’impression de l’entreprise (par exemple, impression en noir et blanc et/ou recto-verso uniquement), mais aussi pour économiser des consommables (toner, papier) et de l’énergie. A présent exploitable sous forme de solution de mobilité managée, HP Access Control permet également d’envoyer, depuis un appareil mobile, des impressions par e-mail à une file d’attente sécurisée en mode « pull ». Ainsi, l’impression à partir d’un terminal mobile s’effectue aussi facilement que depuis un ordinateur de bureau ou portable connecté au réseau de l’entreprise, en bénéficiant d’un contrôle d’accès, d’un suivi et de mesures de sécurité identiques. Ces nouvelles capacités sont mises à la disposition de tous les clients équipés de HP Access Control.

De son côté, HP JetAdvantage Security Manager (ou HP Imaging and Printing Security Center) élargit son périmètre aux dernières imprimantes HP LaserJet Pro. Concrètement, les clients peuvent faire appel à cette solution HP d’administration et de contrôle automatisé de la sécurité de leur parc d’imprimantes HP pour sécuriser une plus large gamme de périphériques. L’offre HP Printing Security Advisory Services, quant à elle, étend sa couverture géographique, se dotant de nouveaux conseillers en sécurité en Europe et en Asie afin de rendre l’expertise HP en matière de sécurité d’impression accessible aux clients dans ces régions du monde.

Une sécurité renforcée par l’analyse et l’automatisation

HP assortit sa solution HP Capture & Route d’un nouveau module de reconnaissance automatique de document (RAD). Celui-ci permet d’accélérer et de faciliter la dématérialisation des documents papier et leur routage dans le workflow de l’entreprise (applications métier ou solution d’archivage par exemple). Il permet aussi de réduire les erreurs et d’améliorer la sécurité et la conformité des données. Destinée aux clients qui entendent accroître l’automatisation de leurs workflows et affiner leurs analyses, l’offre Managed Services, via son intégration avec HP Big Data, HP Teleform et HP Process Automation, contribue encore à améliorer la sécurité, la conformité et la gouvernance des informations dans divers secteurs d’activité (services juridiques, santé, services financiers, commerce, etc.).

Pour les clients désireux d’optimiser l’efficacité et la productivité de leur parc d’imprimantes, HP lance Proactive Print Advisor, un service qui leur propose des rapports, analyses et recommandations personnalisés en fonction de leur environnement d’impression. Accessible dans le monde entier, ce service allège la charge d’administration des structures informatiques, à grand renfort de recommandations sur l’optimisation de la rentabilité de leur parc et l’application de règles, ainsi que de conseils leur permettant de demeurer au fait des mises à jour.

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

Sécurité en ligne, il faut s’inspirer de la prévention routière !

L’utilisation des mots de passe sur internet ressemble étrangement aux comportements des automobilistes dans les années soixante, heureusement depuis, ils se sont améliorés grâce aux campagnes de sensibilisation. Il serait temps que tous les acteurs qui gèrent les mots de passe prennent exemple sur la sécurité routière, y compris l’état.

Il y a vingt ans, nous n’utilisions pas Internet. Aujourd’hui, nous passons en moyenne quatre heures par jour à surfer sur le web (étude wearesocial). C’est un nouveau territoire que nous découvrons souvent avec enthousiasme car il nous permet de gagner en productivité, de rencontrer des gens, de voyager plus facilement…Mais il y a des risques associés à ces usages. Nous nous identifions et stockons des données sur des dizaines de sites souvent sans prendre de précautions particulières. Selon une étude Dashlane/IFOP, seuls 9% des français ont ainsi conscience de prendre des risques en utilisant le même mot de passe sur plusieurs sites ! Nous prêtons donc le flanc à l’industrie du piratage qui se développe aussi vite que les technologies de l’information. Une étude menée par un éditeur de logiciels antivirus a estimé que l’industrie de la cybercriminalité représentait 0.8% du PIB mondial, soit à peu près autant que le trafic de drogue. En France, le CREDOC avait estimé en 2009 que 210 000 personnes par an étaient victimes d’un vol d’identité, pour un coût total de 414M d’€.

Notre comportement sur le web est assez similaire à celui des automobilistes dans les années 60. A cette époque, une grande partie de la population découvrait la voiture, qui était alors d’abord perçue comme un instrument de liberté et d’évasion. Les risques n’étaient pas pris en compte à leur juste mesure. On roulait très vite, sans ceinture, dans des voitures peu sécurisées, avec des conséquences néfastes : en 1972, on comptait plus de 16 000 morts par an sur les routes en France.  Heureusement des progrès considérables ont été réalisés depuis. En 2014, il y a eu 3 103 morts sur les routes de France. L’État a joué son rôle en menant de nombreuses et coûteuses campagnes de sensibilisation pour le port de la ceinture et contre l’alcool au volant. Les industriels ont construit des voitures plus sûres. Et les particuliers ont pris conscience du danger et modifié leurs comportements.

Nous circulons aujourd’hui sur Internet sans ceinture de sécurité et cela nous met en danger. Il faut s’inspirer de la prévention routière. Quand de nouveaux risques émergent, il faut une action concertée de la part de l’État, des industriels et des particuliers. Si le budget de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a été récemment augmenté, ses missions restent encore très focalisées sur la protection des administrations et des entreprises d’intérêt vital, les fameux OIV. On peut le regretter car certains de nos voisins ont une approche plus ambitieuse. Au Royaume-Uni, la sensibilisation des consommateurs est au cœur de la politique de cyber sécurité. Les programmes Get Safe Online et Cyber Street Wise, financés par le gouvernement britannique, mènent des campagnes de communication pour rappeler les règles de base de la sécurité en ligne, comme l’utilisation de mots de passe forts (composés d’au moins huit caractères alphanumériques) et différents pour chaque site. Les écoliers britanniques sont aussi sensibilisés à la sécurité en ligne grâce à des kits pédagogiques réalisés par le gouvernement. L’État doit financer des campagnes importantes de sensibilisation aux règles de base de la sécurité en ligne et être exemplaire sur l’ensemble des services publics en ligne. Aujourd’hui il n’est par exemple pas possible d’utiliser un mot de passe fort sur le site ameli.fr de la sécurité sociale…

Les sites qui vendent des biens ou services en ligne doivent également s’assurer que leurs clients se connectent de manière sécurisée et utilisent des mots de passe forts. L’étude menée par Dashlane en janvier 2014 avait montré que certains d’entre eux acceptent des mots de passe très peu sécurisés ou les envoient en clair par mail, ce qui est évidemment très dangereux. Enfin, les utilisateurs doivent également se prendre en main. Nous sommes nombreux à savoir que le seul moyen d’éviter à coup sûr les piratages est d’utiliser des mots de passe forts, différents pour chaque site, mais nous ne le faisons pas toujours car nous trouvons cela trop compliqué.

« Quand on peut prévenir c’est faiblesse d’attendre » disait Jean de Rotrou. Nos sociétés modernes ont montré qu’elles pouvaient être fortes faces à certains risques et œuvrer efficacement à les prévenir. Utilisons les mêmes méthodes et attaquons nous sérieusement au problème de la sécurité en ligne ! (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane.)

Sécurité numérique et risques : enjeux et chances pour les entreprises

À l’heure de l’omniprésence du numérique et du développement constant de ses spectaculaires potentialités, les entreprises doivent pouvoir compter sur des outils numériques sécurisés. Or, chaque jour, de tous côtés, les exemples de nouvelles vulnérabilités se multiplient.

L’escalade entre les failles découvertes et les parades pour y remédier semble sans fin, d’autant plus que l’origine de ces fragilités réside dans nombre de comportements humains irréfléchis et dans la lenteur de l’indispensable prise de conscience.

Après avoir entendu plus d’une centaine de personnes et analysé en détail les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, l’Office parlementaire d’évaluation des choix scientifiques et technologiques propose d’abord une trentaine de recommandations d’ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l’usage des entreprises qui voudront bien s’attacher à la construction réfléchie et évolutive dont dépend leur future prospérité.

Face à la mondialisation numérique, l’élaboration de solutions se révèle être d’abord individuelle et nationale pour éviter que les entreprises françaises acquiescent elles-mêmes au pillage de leurs données en les offrant en libre-service.

Mme Anne-Yvonne Le Dain, députée, et M. Bruno Sido, sénateur, ont présenté l’étude de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) sur « Sécurité numérique et risques : enjeux et chances pour les entreprises ».

Le rapport (tomes I et II) est désormais en ligne sur les sites de l’Assemblée nationale et du Sénat au pages de l’OPECST.
– Tome I (rapport) : http://www.senat.fr/notice-rapport/2014/r14-271-1-notice.html
– Tome II (auditions) : http://www.senat.fr/notice-rapport/2014/r14-271-2-notice.html

6 Français sur 10 seraient des idiots avec le Wi-Fi public

8 français sur 10 utiliseraient chaque mois le Wi-Fi public tout en craignant d’être la cible de hackers. 66% des français préfèrent se connecter au Wi-Fi public non sécurisé et risquer de perdre leurs données personnelles.

Alors que les pirates informatiques peuvent aujourd’hui très facilement accéder aux données personnelles des utilisateurs du Wi-Fi public, Avast Software, éditeur de solutions de sécurité pour mobiles et PC, dévoile les résultats de son étude menée auprès des utilisateurs de réseaux sans fil en France. D’après cette enquête, la plupart des français ont conscience des dangers liés à l’accès aux réseaux Wi-Fi publics pour leurs données mais il semblerait que les bonnes pratiques ne soient pas toujours appliquées.

En effet, 66% des répondants admettent préférer accéder aux réseaux Wi-Fi publics qui ne requièrent pas de nom d’utilisateur ni de mot de passe pour se connecter et ainsi risquer de mettre leurs données personnelles à la portée du premier hacker venu, voire de se faire voler leur identité. Seuls 4% d’entre eux utilisent un réseau privé virtuel (VPN) pour crypter les données, empêcher les pirates informatiques d’avoir de la visibilité sur leur navigation et donc de protéger leurs appareils mobiles. Pourquoi ces négligences ? L’étude d’Avast révèle notamment que 36% des utilisateurs du Wi-Fi font confiance au fournisseur d’accès à internet quant à la sécurisation du réseau alors que rien ne garantit son engagement en matière de protection.

Les risques associés à une connexion aux réseaux Wi-Fi publics sont pourtant bien réels et les utilisateurs ne peuvent les ignorer. Parmi eux, 28% craignent effectivement de se faire voler leurs identifiants et leurs mots de passe, et 39% redoutent que les hackers ne s’emparent de leurs informations bancaires et financières depuis leurs terminaux mobiles. Toutefois, cela ne les empêchent pas de surfer sur des sites sensibles ou d’effectuer des achats susceptibles de mettre en péril la protection de leurs données personnelles et confidentielles. En effet, 10% des répondants affirment réaliser des activités bancaires lorsqu’ils sont connectés aux réseaux sans fil non sécurisés, 4% font du shopping en ligne et 2% effectuent d’autres types de transactions financières.

Le Wi-Fi permet d’accéder facilement à internet dans les lieux publics, raison pour laquelle 47% des français s’y connectent, mais aussi un moyen efficace d’économiser du forfait internet. Aujourd’hui, 8 français sur 10 utilisent chaque mois les réseaux Wi-Fi publics dont 24% plusieurs fois par semaine. Il est donc primordial qu’ils prennent conscience des menaces qui planent sur leurs informations et surtout des conséquences qu’un vol de données ou une usurpation d’identité peut avoir. Les hackers peuvent très facilement avoir de la visibilité sur les mots de passe, les emails, l’historique de navigation ou encore les données confidentielles si les utilisateurs du réseau Wi-Fi public n’utilisent pas de système de protection. Même s’ils sont peu expérimentés, les pirates informatiques peuvent facilement espionner, accéder aux informations d’un utilisateur voire les modifier rien qu’en s’infiltrant dans une borne Wi-Fi ouverte.

Pour être en mesure de protéger leurs données, les internautes et les mobinautes doivent privilégier les connexions aux réseaux Wi-Fi sécurisés moins facilement accessibles pour les hackers. Il est également nécessaire de mettre en place une solution de sécurité performante, que ce soit pour ordinateurs, smartphones et tablettes, qui permette d’identifier les connexions Wi-Fi sécurisées ainsi que d’éventuelles failles sur le réseau, et qui soit aussi en mesure de protéger les données de l’utilisateur lorsqu’il se connecte au Wi-Fi public. Les pirates informatiques sont de plus en plus expérimentés et à l’affût de la moindre faille, mieux vaut donc mettre toutes les chances de son côté pour protéger ses informations personnelles tout en continuant à profiter des avantages du Wi-Fi.

40 agences ont surveillé le marathon de New York en mode 2.0

Le réseau de sécurité partagé s’est servi de la plateforme de surveillance vidéo Milestone pour l’intégration d’une solution multifournisseur durant le Marathon de New York. 40 agences locales (police, Fbi, …) ont ainsi surveillé les flux de vidéos afin d’assurer la sécurité des coureurs et des spectateurs.

Le logiciel de gestion vidéo à plateforme ouverte (VMS) Milestone Systems XProtect(R) a été déterminant dans le cadre de la collaboration entre l’équipe du marathon de New York 2014 et de nombreuses agences locales. Cette solution réseau a intégré des composants provenant des meilleurs fournisseurs de systèmes de sécurité IP et réseau sans fil, notamment la technologie mobile et à distance, ce qui a permis de résoudre les problèmes liés à la vision d’ensemble, essentielle pour assurer la sécurité de cet énorme événement.

Pour les milliers de coureurs qui ont repoussé les limites de leur endurance physique, la ligne d’arrivée du marathon de New York représentait l’achèvement de toute une vie. Mais pour les responsables de la sécurité, cette même ligne d’arrivée présentait plusieurs défis. En effet, les grands arbres bordant les routes sinueuses et les sentiers de Central Park ne permettent pas une bonne visibilité des coureurs. Souvent, ces derniers sont hors de vue du personnel médical et de la sécurité, qui sont tenus de réagir en cas d’urgence.

Avec un total de 50 530 coureurs ayant terminé la course et environ 2 millions de spectateurs, le marathon de New York 2014 fut le plus grand événement de ce genre dans le monde. L’entreprise Tata Consulting Services (TCS) en fut le sponsor en titre, mais c’est l’organisation des New York Road Runners (NYRR) qui a préparé le marathon, comme c’est le cas depuis de nombreuses années.

NYRR a engagé une solide équipe de partenaires majeurs dans le domaine de la sécurité. VIRSIG LLC a configuré et déployé un réseau sans fil au sein même et autour de Central Park, et notamment au niveau de la ligne d’arrivée. Ce réseau était composé des toutes dernières caméras de vidéosurveillance sur réseau de Sony, ainsi que de transmetteurs Ethernet fournis par Network Video Technologies (NVT). Ces composants étaient connectés aux noeuds du réseau maillé sans fil Firetide, qui transmettait ainsi les données son et image en toute sécurité au centre de contrôle de la course, qui utilisait alors l’application Milestone XProtect(R) Smart Wall pour afficher simultanément les images de 36 caméras différentes. Le logiciel de gestion vidéo (VMS) Milestone servait de plateforme pour la lecture en direct et la relecture des données. Centennial Security Integration a participé à l’installation afin de transformer l’architecture à noeuds multiples en système homogène et unifié.

Le logiciel à plateforme ouverte Milestone
L’architecture à plateforme ouverte du logiciel de gestion vidéo Milestone permet la configuration et le déploiement d’un réseau assez étendu et flexible pour fonctionner avec fiabilité pour plus de personnes et en différents endroits. La sortie était assurée par les moteurs IPELA des caméras réseau à portée dynamique et ultra-large de Sony, avec notamment des modèles fixes dotés d’un système d’analyse vidéo intégré et d’une vue à 360 degrés. Ces appareils ont été gérés et exploités grâce à Milestone XProtect(R) Corporate VMS, conçu pour des déploiements à grande échelle en toute sécurité. Le centre de contrôle disposait ainsi d’une vision d’ensemble des opérations grâce au logiciel XProtect(R) Smart Wall projeté sur un écran de 140 cm, tandis que le personnel sur le terrain pouvait surveiller l’événement avec le client Milestone Mobile.

Glenn Taylor, directeur exécutif chez VIRSIG LLC, explique : « Si la plateforme ouverte de Milestone nous a permis de fournir un réseau d’une grande disponibilité et d’une haute performance, c’est justement grâce à la grande disponibilité et à la haute performance du système de gestion vidéo. »

Une vision d’ensemble des opérations
Le Dr Stuart Weiss est directeur médical chez les New York Road Runners. Le jour du marathon, il était en charge de la tente située à proximité de la ligne d’arrivée, qui était entièrement équipée pour faire face aux urgences médicales. L’objectif était de traiter le plus grand nombre de coureurs nécessitant des soins médicaux et que l’on pouvait ensuite renvoyer chez eux. Weiss a déclaré que les possibilités apportées par la vidéo ont été un élément essentiel pour permettre à son équipe d’être au courant de la situation à tout moment. Il a ainsi pu prendre des décisions en surveillant la ligne d’arrivée, les zones de passage, Central Park et autres lieux stratégiques le long de la course.

En observant les coureurs à la fin de la course, l’équipe pouvait aussi identifier ceux qui avaient besoin d’aide et quels types de soins apporter pour les blessures qu’ils pouvaient traiter sur place. En raison du nombre de personnes présentes, il était difficile de suivre les événements au moment où les coureurs finissaient la course avant de rejoindre la zone où se trouvaient leur famille et leurs amis. C’est pourtant cette période de récupération après la course qui est la plus susceptible d’engendrer des traumatismes.

« Le logiciel Milestone nous a aidé à intégrer tous les flux de caméras en un seul écran, que l’on pouvait facilement observer pour voir ce qu’il se passait dans toute la zone  » explique Weiss à DataSecurityBreach.fr.  » Nous l’avons ainsi utilisé pour prendre des décisions essentielles au cours de cette journée. »

Le contrôleur de la course pouvait aussi surveiller les 5 tentes médicales et décider lesquelles avaient besoin de plus de personnel et lesquelles pouvaient accueillir davantage de blessés. À un moment de la course, le courant s’est éteint sur l’un des poteaux soutenant une caméra, et une personne du service technique a pu utiliser le client Milestone Mobile sur un smartphone pour envoyer des images de l’incident au centre de contrôle.

Une plus grande portée pour une meilleure sécurité
L’avenue Central Park West est l’un des endroits où il aurait été difficile de déployer le réseau sans un système sans fil. Glenn Taylor déclare que la capacité de la plateforme ouverte Milestone à prendre en charge un grand nombre d’appareils sans fil a permis d’augmenter la portée du déploiement. Il explique que la plupart des équipements sans fil nécessitent une bonne visibilité, un véritable luxe dans ce lieu célèbre pour ses routes sinueuses et sa végétation dense. VIRSIG a pu résoudre ce problème en installant des appareils de transmission sans fil au sommet de poteaux électriques de 42 mètres afin de recevoir les signaux en provenance de caméras IP apportant les données aux serveurs, et dont les images permettaient d’augmenter grandement la vision d’ensemble du marathon.

« Ce réseau sans fil a permis d’étendre le réseau dans des zones où il est habituellement impossible d’en déployer « , commente-t-il.  » Nous avons créé une plateforme que tout le monde pouvait partager afin de faire de ce marathon un événement plus sûr et sécurisé. « 

Sécurisation des données à l’heure du cloud

La sécurisation des données est un enjeu colossal à l’heure du cloud, notamment pour les entreprises et collectivités locales. Quatre choses essentielles doivent absolument être prises en compte.

Ces choses essentielles sont la sauvegarde, la sécurité des données personnelle et professionnelle, les usages de l’informatique et de l’importance de l’information/formation.

Sauvegarde
Les entreprises et les collectivités doivent faire face à un environnement toujours plus hétérogène et l’utilisation de plus en plus fréquente de l’informatique dématérialisée en fait partie. De nombreuses entreprises gèrent donc aujourd’hui des environnements physiques, des environnements virtuels ainsi que des environnements Cloud. De nombreuses entreprises recherchent une méthode efficace pour simplifier leurs processus de sauvegarde. Il peut être intéressant de penser la préservation des données au cœur même des logiciels ou avec les services Cloud. Mesures : Possibilité de revenir à une situation antérieure, si erreur lors d’une procédure lourde telle que la préparation du budget.

« Scheduler » : messages de recommandations au cœur des logiciels lors d’opérations particulières (ex. avant de commencer le budget, « nous vous conseillons de faire un archivage »).

Sécurité des données
Un exemple : 19.000 attaques de sites web suite aux attentats de Charlie Hebdo, y compris ceux des collectivités locales. Les collectivités et les entreprises ont souvent peu conscience des enjeux liés à la sécurité des données. Mais la sécurité est un travail d’équipe et il faut que les prestataires de Cloud ou de logiciels et leurs clients travaillent main dans la main pour proposer une sécurité optimum. Ce n’est pas au fournisseur de gérer la sécurité de son client, car ce dernier en est en fait le seul maître. Le fournisseur de Cloud met à disposition des outils permettant la mise œuvre d’une politique de sécurité, mais c’est au client de les utiliser à bon escient et de prendre conscience de la dangerosité de mettre à disposition des données informatiques, y compris en interne. 60% des piratages trouvent leur source en interne.

Mesures : Mettre en place des droits d’accès aux données restreints, gérer finement les profils d’utilisateurs ; mettre en place une charte informatique pour éduquer en interne et informer sur ce qu’il est possible de faire ou non ; ne pas hésiter à prendre conseil auprès de son prestataire informatique.

Usages de l’informatique
Les risques viennent souvent d’une méconnaissance de l’informatique et du web. Il faut être vigilant et ne pas « sortir » n’importe quelles données de la collectivité ou de l’entreprise. Attention également à ne pas télécharger n’importe quoi. Bien souvent, les entreprises et les communes ne savent pas si leurs sauvegardes sont bonnes. Elles sont formées par leur prestataire, mais elles ne se soucient pas vraiment, ne vérifient pas. Il n’y a pas de test de restauration, ce qui engendre parfois de mauvaises surprises …

Mesures : Formation, « éducation », aider à faire prendre conscience. Rappeler que les données ne doivent pas être sauvegardées que sur le poste mais aussi et surtout sur le serveur.

Importance de l’information/formation
Avant de sécuriser les réseaux, il faut éduquer les utilisateurs, mais aussi les cadres sur les enjeux, risques et bonnes pratiques. Par exemple, méconnaissance de la différence entre un virus et un malware. Un virus s’installe à votre insu sur votre machine et vient corrompre un programme existant. En revanche, un malware est interprété par le système comme un programme installé par l’utilisateur : en cliquant sur une PJ, en installant un petit programme, etc. Ainsi les antivirus sont inutiles face à cette menace ! Seule la vigilance de l’utilisateur peut le protéger.

Mesures : Etre vigilant sur l’ouverture de PJ quand on ne sait pas de qui vient le courriel. Se méfier des mails étrangers. Ne pas aller sur n’importe quel site et installer n’importe quel programme et ne pas hésiter à se tourner vers son prestataire informatique en cas de question.

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

Sikur dévoile son Smartphone à haute sécurité

La société brésilienne Sikur a lancé le forfait GranitePhone et un système d’exploitation conçu afin d’éviter les fuites d’informations. Les premières unités de l’appareil seront disponibles sur le marché au cours du premier trimestre 2015.

Sikur a présenté lors du MWC2015 un nouveau smartphone. L’appareil a été spécifiquement conçu pour échanger des informations confidentielles et sensibles, sans affecter sa vitesse et son efficacité. Le GranitePhone, dont le lancement a eu lieu à Barcelone, est le fruit d’années de recherche dans le domaine de la défense nationale, gouvernementale et de la communication des multinationales. Il garantit la confidentialité des appels privés, messages, documents et de la messagerie instantanée. L’appareil possède toutes les caractéristiques d’un smartphone de pointe sans risque de fuite d’informations ni perte de données professionnelles.

La sécurité est un problème qui préoccupe les dirigeants et institutions gouvernementales du monde entier.  Une enquête menée par le Ponemon Institute en 2014, a montré que 60 % des sociétés interrogées ont déjà traité plusieurs cas de fuites de données au cours des deux dernières années. « Au début, nous pensons que nous allons d’abord servir les gouvernements et les entreprises. Ensuite, plus les particuliers vont se rendre compte de la valeur des informations qu’ils partagent, telles que leurs habitudes de consommation et leur localisation géographique, cela changera et un nouveau marché des consommateurs s’ouvrira à nous » prédit à DataSecurityBreach.fr Cristiano Iop Kruger, PDG de Sikur.

Le GranitePhone offre de haut niveaux de cryptage, de contrôle pour les entreprises et de gestion de l’appareil. Par exemple, en cas de perte ou de vol, vous pouvez vous connecter à distance sur le nuage de Sikur et y détruire toutes les informations contenues sur le portable.  À l’avenir, une boutique d’applications proposera des applications de sécurité exclusivement testées et homologuées par Sikur. Contrairement aux autres solutions de sécurité, le GranitePhone ne se limite pas seulement à proposer des solutions d’application encryptées. Le forfait application fait partie du matériel intégré, puisque l’appareil à à « sécurité intrinsèque » a été conçu pour protéger toutes les couches internes du dispositif, visant à combler toutes les lacunes de protection de la vie privée pouvant entraîner le vol, la divulgation ou l’espionnage de données.

Face à la demande importante des sociétés et des gouvernements pour des projets de sécurité et de protection en Amérique latine, au Moyen-Orient et aux États-Unis, le premier lot d’appareil devrait être disponible au cours du premier trimestre 2015.

Pourquoi de bonnes résolutions ne suffisent pas à se protéger en 2015 ?

Face aux cyber-menaces, les entreprises doivent s’ouvrir à de nouvelles approches en termes de cyber-sécurité.

Le paysage des cyber-menaces est en évolution permanente. Les attaques ciblées se multiplient tandis que les modes opératoires deviennent de plus en plus complexes et uniques, rendant ces menaces extrêmement difficiles à identifier. Pour ces raisons, la cyber-sécurité est devenue, aujourd’hui, une problématique prioritaire pour la plupart des entreprises.

Dans ce contexte, il existe quelques recommandations qui permettent de limiter les risques de cyber-attaques. Il est par exemple conseillé de vérifier les antécédents des employés, de limiter l’accès des salariés aux données par lesquelles ils sont concernés dans le cadre de leurs fonctions, de s’assurer du cryptage des données confidentielles, etc. Cependant, bien qu’ils méritent d’être pris au sérieux, ces prérequis de base ne sont pas suffisants pour faire face à la réalité des menaces actuelles les plus sophistiquées.

En effet, aujourd’hui, nous ne pouvons plus considérer, uniquement, les menaces externes. Dans un contexte où l’information est de plus en plus difficile à canaliser, notamment à cause de la pluralité des lieux et des supports d’utilisation, la menace interne est plus que jamais présente, et concerne chaque organisation.

D’un point de vue technologique, une société baptisée Darktrace a connu d’importantes mutations au court des dix dernières années. Le modèle traditionnel, que nous pourrions qualifier d’ancestral, consistait à construire un mur autour du réseau de l’entreprise afin de se protéger d’éventuelles menaces provenant de l’extérieur. Cette approche nécessitait une connaissance parfaite de son réseau ainsi que la capacité à délimiter ses frontières. Aussi, elle impliquait une confiance totale en tous les collaborateurs internes à l’entreprise, et une méfiance constante envers les acteurs externes. Cette vision un peu simpliste apparaît clairement obsolète dans la société contemporaine. Ainsi, pour aider les entreprises à anticiper les cyber-attaques, Darktrace a développé une nouvelle approche. Celle-ci prend comme point d’ancrage l’acceptation de la présence de menaces, sur tous les systèmes d’information.

En effet, étant donné que le risque zéro n’existe pas, et que la réalité des entreprises nous démontre, chaque jour, qu’il est de plus en plus difficile de délimiter les frontières du réseau, il n’est pas pertinent de faire la distinction entre l’interne et l’externe. C’est pourquoi, Darktrace a développé une nouvelle approche appelée « Système Immunitaire pour Entreprises ». Basée sur des avancées académiques fondamentales, elle a pour vocation de se prémunir contre les menaces les plus sophistiquées, qu’elles émanent de l’interne ou de l’externe.

La technologie repose sur l’analyse et l’apprentissage automatisé de l’environnement de l’organisation. Concrètement, il s’agit d’observer les comportements de chaque utilisateur, de chaque machine et de la structure dans sa globalité, afin d’identifier un modèle de comportement normal. La connaissance de ce modèle de référence permet, par déduction, d’identifier les activités « anormales », pouvant révéler d’éventuelles menaces.

Cette solution repose, d’une part sur une technologie auto-apprenante et, d’autre part, sur des mathématiques probabilistes bayésiennes développées à l’université de Cambridge. La combinaison de ces intelligences permet une évolution constante du modèle « de référence », en fonction de l’activité de chaque utilisateur, de chaque machine dans le réseau, et des mutations au sein de l’organisation.

Cette vision de l’activité réseau de l’entreprise, en temps réel, ne permet pas d’éliminer les cyber-menaces, elle a pour vocation de les identifier, afin d’être à même de prendre des mesures correctives avant qu’il ne soit trop tard. Le risque zéro n’existe pas, la menace est là, partout au sein de notre réseau, et elle est impossible à éradiquer. La vraie force est la capacité à l’identifier afin d’anticiper d’éventuelles attaques.

Leçon de sécurité sur Internet

De quoi une entreprise a-t-elle besoin pour instaurer la confiance des utilisateurs ? Réalisée fin 2014 auprès d’un panel de 1000 utilisateurs, une étude menée par GlobalSign met en évidence quelques règles à appliquer pour aider les entreprises à rassurer les internautes quant à l’utilisation d’internet

Il n’est plus possible d’ignorer qu’aujourd’hui très peu de personnes peuvent  vivre sans Internet. Accéder à ses comptes et faire du shopping en ligne, lire l’actualité ou ses e-mails, rester en contacts avec ses amis sur les réseaux sociaux, faire des recherches, etc. : la liste de ce que vous pouvez ou êtes obligés de faire sur Internet est longue. Cependant, seuls 19,4 % des Français pensent que leurs données sont suffisamment protégées sur le Web.

Les internautes vous le confirmeront, notamment quand des informations privées et hautement confidentielles sont en jeu. Ils admettent qu’ils redoutent, avant tout, l’usurpation d’identité en ligne.

D’après notre enquête, presque tous les visiteurs d’un site web vérifient son niveau de sécurité au moins une fois lorsqu’ils commandent en ligne. 85 % des personnes interrogées ont même répondu qu’elles ne poursuivraient pas leurs achats si elles n’étaient pas complètement persuadées que le site est suffisamment sécurisé.

Ces réponses montrent à quel point les précautions de sécurité sont importantes sur un site web. Cependant que recherchent vraiment les visiteurs ?

Le top 5 des signes qui instaurent la confiance CHEZ Les visiteurs d’un site web

N° 5 : avis et notes d’autres consommateurs
En cas de doute, la moitié des utilisateurs interrogés demanderaient à des connaissances, des proches, des amis ou d’autres consommateurs leur avis sur un site web, que ce soit à l’oral ou à l’écrit. Un client satisfait peut en amener beaucoup d’autres. En revanche, un client mécontent peut causer d’importants dégâts.

Conclusion : il est toujours recommandé d’obtenir des témoignages de clients satisfaits et des avis positifs sur Internet. Cependant, cela ne garantit en rien la sécurité d’un site.

N° 4 : sceaux de site et marques de confiance
Les sceaux et les marques de confiance renforcent la fiabilité d’un site web car ils prouvent que celui-ci a mérité ces symboles et a été approuvé par un partenaire externe. Cependant, les sceaux de site ont des significations différentes : ils peuvent afficher l’appartenance à un groupe selon des critères de sécurité spécifiques ou prouver le niveau de chiffrement SSL utilisé sur le site.

Conclusion : les sceaux et les marques de confiance sont de bons indicateurs qu’un site est sécurisé car ils ne sont distribués que si certains critères de sécurité sont respectés. Cependant, ces critères peuvent être très différents d’un sceau à un autre.

N° 3 : la réputation du site
Il semble que de nombreuses personnes fassent automatiquement confiance aux sites très populaires. Elles partent du principe que pour être si populaires, ces entreprises se doivent de garantir certains niveaux de sécurité. Les sites web en question sont sans aucun doute les leaders du secteur, tels qu’eBay, Amazon, Facebook, etc.

Conclusion : la plupart des sites les plus populaires intègrent des mécanismes de sécurité appropriés pour protéger leurs clients. Mais quels critères les consommateurs utilisent-ils pour estimer qu’un site est « populaire et donc fiable » ? Sans parler du fait que ceci ne garantit en rien la sécurité du site ! Il existe des solutions bien plus efficaces pour garantir aux visiteurs d’un site web que celui-ci est sécurisé.

N° 2 : HTTPS
Le protocole « HTTPS » est le meilleur indicateur qu’un site web est sécurisé. Et la bonne nouvelle, c’est qu’il a été désigné comme l’un des critères de confiance les plus importants par la majorité des personnes interrogées.

Conclusion : HTTPS est la meilleure technique à utiliser.

Mais en quoi consiste concrètement le protocole HTTPS ?
HTTPS est l’acronyme de Hypertext Transfer Protocol Secure (« protocole de transfert hypertexte sécurisé »). Il prouve que les données transmises entre un client et un serveur sont chiffrées et sécurisées. Il est nécessaire d’avoir un certificat numérique pour activer le protocole HTTPS. Il existe trois niveaux de certificats SSL : validation de domaine, validation de l’organisation et validation étendue.

N° 1 : le cadenas
Le cadenas est presque aussi important que le protocole HTTPS car il représente visuellement ce que le protocole effectue techniquement, et c’est pourquoi il constitue également un signe de confiance très important. L’utilisateur d’un site peut lire davantage d’informations sur le certificat en cliquant sur le cadenas qui se trouve dans la barre d’adresse, à côte de « HTTPS », telles que le niveau de confiance garanti, le niveau de chiffrement utilisé, le certificat racine, la période de validité et les informations de l’entreprise qui ont été vérifiées.

De plus, un certificat SSL à validation étendue (EV) active la barre d’adresse verte, ajoutant ainsi un niveau de reconnaissance visuelle supplémentaire.

Le nom de l’entreprise qui s’affiche dans la barre d’adresse indique également qu’un certificat EV SSL est utilisé et garantit que les paramètres de sécurité les plus élevés ont été appliqués. Les consommateurs font également plus confiance aux sites lorsqu’ils connaissent l’identité de leur propriétaire qui est indiqué dans le certificat.

La question cruciale est celle-ci : Internet est-il fiable tout court ?
A cette question, près de 40 % des personnes interrogées ont répondu qu’Internet était fiable si l’on sait ce que l’on cherche. Les personnes interrogées ont donc une très bonne idée de la situation actuelle. Internet est sans danger si l’on sait reconnaître les signes de sécurité.

La sécurité informatique : un enjeu méconnu et sous-estimé – Partie II

Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.

  • Les boutiques fantôme

Enfin, certains pirates créent pour leur usage personnel, sur un site de e-commerce piraté, une « boutique fantôme ». Ils créent en réalité une nouvelle page, invisible pour les visiteurs normaux et pour l’entreprise, où ils installent leur boutique, en général de produits illicites ou obtenus illicitement. Ainsi, seuls les « connaisseurs » ont accès à cette boutique cachée, via l’URL qu’ils tapent directement. Ici également, le but est lucratif.

Dans tous les cas, le possesseur du site piraté est légalement responsable, même s’il n’est pas au courant de ce qui se trame dans son dos. C’est aussi très mauvais pour son image. Pour faire une analogie, c’est comme si un gérant découvrait, dans la cave de son restaurant de prestige, un réseau de prostitution. Même si le restaurant ignorait que sa cave était utilisée ainsi et que les organisateurs avaient fait forger une clé, il serait légalement responsable et son image en pâtirait.

Dans une moindre mesure, l’utilisation des ressources d’un site par un pirate peut également faire ralentir le site en question, qui aura moins de ressources à disposition pour satisfaire ses visiteurs légitimes. Cela peut avoir des conséquences très importantes : une perte de crédibilité pour un site institutionnel, une perte éventuelle de clients pour les industriels, une perte de revenus potentiels pour les e-Commerçants (57% des acheteurs en ligne abandonnent un site sur lequel ils ont l’intention d’effectuer un achat si la page met plus de 3 secondes à charger).

  • Attaque de données et confidentialité
    • Attaque sur les utilisateurs du site

Une fois qu’un pirate a pris possession d’un site, il peut modifier son code source. Il a donc notamment la possibilité de rajouter dans ce code source une « commande » qui cause le téléchargement d’un malware, ou virus, sur les appareils des visiteurs du site (ordinateur, tablette, smartphone…). Voir le cas du journal Forbes et la modification d’un de ces widgets. Ce virus permettra au pirate de prendre le contrôle de ces appareils ou de récupérer leurs données. C’est un bon moyen pour le pirate d’augmenter facilement et rapidement son parc de machines.

Là encore, cela donne une très mauvaise image du site, qui va perdre énormément de visiteurs, d’autant plus si c’est l’un d’entre eux qui révèle l’attaque suite à l’utilisation frauduleuse de ses données. De plus, un moteur de recherche tel que Google identifiera le site comme malveillant et agira en conséquence sur son référencement. Le moteur de recherche va prévenir les visiteurs que le site est douteux, ou même complétement leur bloquer l’entrée au site si la connexion n’est pas sécurisée.

  • Ciblage des codes sources

Avant d’explorer le sujet de la récupération des bases de données, arrêtons-nous sur un autre type de vol, moins connu : le vol de code source. En effet, certains sites web contiennent des codes source sensibles ou d’excellente qualité, qu’ils ne souhaitent pas voir dévoilés ou utilisés par un tiers ; c’est en réalité un vol de leur expertise. Un pirate peut par exemple créer une copie du site pour l’utiliser à des fins malveillantes, simplement imiter sa mise en page… Il va utiliser un code de qualité sans payer au développeur du code tout le travail de création, qui peut avoir été très long. Même si ce vol n’est pas aussi grave que celui d’un ensemble de numéros de carte bleue, il reste important à noter.

  • Vol de bases de données

L’une des plus grandes peurs des entreprises, à raison, est le vol de leur base de données. Enormément d’informations peuvent être récupérées : nom, prénom, informations familiales, nom des enfants et du conjoint, âge, numéros de carte bancaire, de carte d’identité, de sécurité sociale, habitudes d’achats… C’est ce qu’a vécu la boutique français LBO. On entend régulièrement parler de ce type d’attaques, ce n’est que la dernière en date officiellement divulguée.

Il est par exemple tout à fait possible de déterminer, via un site de réservations, quand une famille part en vacances afin de pouvoir aller cambrioler sa maison au bon moment. Cela se fait beaucoup actuellement et ces informations s’achètent facilement auprès des pirates. En fait, en recoupant plusieurs sources, on peut facilement tout savoir sur n’importe qui.

De plus, si un utilisateur s’enregistre sur un site piraté via un compte de réseau social (Facebook, Twitter…), le pirate aura également accès au compte en question, sur lequel il pourra publier du contenu non approuvé.

Les pirates peuvent également usurper l’identité des personnes présentes sur la base de données. Ils peuvent par exemple envoyer des e-mails en leur nom, à leurs amis, afin de tenter d’infecter leurs machines et d’en prendre le contrôle. Il n’y a aucune limite à ce qu’un pirate en possession de ces informations peut faire.

Là encore, c’est l’image du site qui est très affectée, et au-delà l’entreprise. Selon les Echos, en France, une entreprise perd en moyenne 4,5% de ses clients lorsqu’il est découvert qu’un incident a touché l’intégralité de ces données.

  • Fraude au paiement

Quand un pirate contrôle une machine, il peut y déposer un programme qui regarde et enregistre tout ce qu’il se passe sur le site correspondant. Ce programme est invisible sans analyse poussée du code source ; il est donc tout à fait possible que l’un d’entre eux soit déjà présent sur votre site. Il a ainsi accès aux identifiants et codes de tous les clients se connectant (ce qui constitue également un vol de données).

Il peut aussi prendre une commission sur toutes les transactions, ou même rediriger certains paiements vers son compte plutôt que celui de l’e-commerçant ; c’est ici du vol pur et simple.

Il lui est également possible de faire du shoplifting : le pirate va utiliser une faille pour ne pas payer le prix demandé par le commerçant, mais un prix qu’il aura fixé lui-même. Il pourra donc payer 1 € un produit qui vaut en réalité 200€. La transaction ayant été complétée sans problème à cause de la faille, l’e-commerçant recevra une confirmation de paiement sans erreur et ne se rendra compte de l’arnaque que trop tard. Une faille de ce type concernant les paiements via Paypal sous la plateforme Magento a d’ailleurs été révélée en 2012. Cette faille a bien sûr été corrigée depuis.

Le but ici est très clair : l’argent. C’est le moyen le plus direct pour un pirate d’en gagner.

  • Intrusion

Il est possible d’aller encore plus loin et de ne pas se limiter aux actions touchant le site web. Un pirate peut facilement atteindre le serveur interne de votre entreprise via celui de votre site internet. C’est ce que l’on appelle les attaques par rebond.

En fait, le serveur interne (physique) est souvent relié au serveur hébergeant le site internet via un tunnel VPN. Il s’agit d’une connexion (physique ou virtuelle) transmettant des données chiffrées, permettant au site web d’accéder à des informations contenues dans le serveur interne (par exemple, la base de données clients). Les entreprises s’imaginent que le chiffrement de leurs données suffit à protéger leur Intranet, et que dans le pire des cas seul leur site internet sera piraté.

Mais par l’intermédiaire de nombreux rebonds, il est tout à fait possible d’arriver jusqu’au serveur interne.

Ce risque n’est absolument pas hypothétique. Par exemple, Target a subi en 2014 un vol de données, touchant environ 100 millions de clients via son fournisseur de climatisation. Ce prestataire avait en effet accès au serveur interne de Target pour pouvoir réguler la température des locaux ; il a été la porte d’entrée du pirate.

Il s’agit donc ici d’avoir accès à toutes les informations sur l’entreprise, ses clients, ses locaux, ses employés…

Cela peut même aller jusqu’à l’atteinte physique de l’entreprise : au-delà des données privées et sensibles contenues dans l’Intranet, un pirate peut, par exemple, obtenir le chiffrage des badges d’accès aux locaux et ainsi en créer d’autres, laisser les portes ouvertes, fermer l’accès à tous les badges déjà existants… Cela peut également se traduire par la prise de contrôle du réseau interne : mainmise sur le service téléphonique, accès à l’ensemble des dossiers de l’entreprise (données confidentielles, stratégiques, RH…)

Toutes ces attaques et, en général, le contrôle d’une machine correspondant à un site internet par un pirate peuvent causer la faillite d’une entreprise. C’est ce qui est arrivé à la société MtGox, plateforme d’échange de monnaie virtuelle Bitcoin, après qu’une attaque informatique a causé la disparition de 750 000 bitcoins de clients et 100 000 appartenant à la société. Elle a déposé le bilan en février 2014.

  1. Les solutions pour protéger votre entreprise

Nous espérons que cet article vous a fait comprendre que toutes les entreprises et tous les sites sont vulnérables aux attaques, et que la sécurité n’est plus un « bonus » à remettre à plus tard, mais bien une nécessité urgente.

Heureusement, il existe des solutions pour se prémunir efficacement contre ces attaques. Prenons l’exemple de CerberHost, une solution développée par NBS System. C’est un Cloud privé de très haute sécurité, composé de 8 couches de protection logicielles et humaines, dont le périmètre de sécurisation s’étend du site web au matériel physique, en passant par les bases de données, l’applicatif, le réseau… Il garantit la sécurité des sites à 99,9%, grâce à une amélioration continue permise par l’équipe R&D. En effet, ces solutions doivent toujours s’adapter pour intégrer les nouveaux types d’attaques, dans un contexte toujours en évolution.

L’objectif, avec ce type de solutions, est de protéger les sites contre tous les cas possibles via une sécurisation optimale et en rendant les attaques trop chère, pénibles ou complexes afin de décourager les pirates et les faire changer de cible. Il est important de mettre votre site entre les mains de personnes compétentes et surtout spécialisées en sécurité, pour le bien de votre entreprise comme celui de vos clients.

Partie I : La sécurité informatique : un enjeu méconnu et sous-estimé.

 

Les objets connectés : maison en danger

La société HP vient de sortir une étude sur le top 10 des produits de sécurité vendus pour sécuriser sa maison. Caméra de vidéosurveillance et autres détecteurs de mouvement sans fil loin d’être des fort Knox.

L’entreprise américaine explique que tous les produits testés contiennent des vulnérabilités. Dans le lot des problèmes : authentification faible et manque de chiffrement. Gros écueil, selon HP, la non utilisation de la double authentification alors que ces matériels permettent d’être administrés et consultés à distance, via Internet par exemple.

La seconde inquiétude, la collecte des données personnelles allant du nom, adresse, date de naissance du propriétaire du matériel, ou encore, dans certains cas, numéro de téléphone et données de carte bancaire. L’Internet of Things a encore du chemin à faire pour fusionner la sécurité informatique à la course effrénée du marketing et de l’expérience de l’utilisateur. Avoir la plus belle robe et le clic facile ne devraient pas être prioritaires à ce qui permet de protéger la robe et le doigt.

La sécurité informatique : un enjeu méconnu et sous-estimé

Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. (Par NBS System pour DataSecurityBreach.fr)

Elles ne savent pas, à proprement parler, ce qu’implique le terme de « piratage ». Beaucoup d’entre elles s’imaginent, à tort, être à l’abri car leur site n’est pas très connu, ou qu’il ne contient pas de données sensibles…

Mais ce qu’il faut bien comprendre, c’est que la sécurité concerne tout le monde et que les attaques n’arrivent pas qu’aux autres. Si certaines sont ciblées (par exemple celle de Sony en 2014), la majorité des pirates fonctionnent par pur opportunisme.

On peut faire l’analogie suivante : l’Internet est un gigantesque parking, où chaque site est une voiture. Les personnes mal intentionnées n’ont qu’à passer parmi elles et essayer d’ouvrir les portières pour en trouver une qui ne soit pas fermée afin de la voler. Peu d’entre eux vont utiliser des outils pour cibler une voiture en particulier ; ils n’ont pas besoin de connaissances techniques pour essayer d’ouvrir des portières. Ils voleront toutes les voitures ouvertes à leur disposition, quelle que soient leur marque ou leur prix.

Les pirates informatiques fonctionnent de la même manière. Ils vont passer en revue tous les sites web en espérant trouver une faille sur l’un d’eux pour investir le site.

  • Ils n’ont pas nécessairement besoin de compétences techniques.
  • Il existe de nombreux outils informatiques (légaux ou non) leur permettant de scanner la toile et de repérer très facilement des vulnérabilités.
  • Ils visent large pour être sûrs de toucher le plus de cibles possible.

C’est également pourquoi la taille ou la renommée du site importent peu ; s’il y a une faille sur votre site, il sera piraté un jour ou l’autre.

Il est important que les entreprises se rendent compte qu’on ne peut jamais garantir la sécurité de son site à 100% et encore moins la qualité de son code. En effet, même si le code est écrit par des professionnels très doués, ces derniers sont rarement experts en sécurité et restent, malgré tout, des humains : des êtres faillibles. Il faut donc rester humble ; il n’existe pas de code parfait et tous les développeurs sont voués à faire des erreurs. Par exemple, en 1996, la fusée Ariane a explosé en vol à cause d’une erreur de programmation, autrement dit une erreur de code. C’est la preuve que même l’ESA (Agence Spatiale Européenne), dont les membres sont très compétents et parmi les meilleurs mondiaux, n’est pas infaillible. Votre développeur peut-il se targuer d’avoir le même niveau de compétences ?

Aujourd’hui sur Internet il y a des millions, voire des milliards, de failles existantes et pas encore découvertes ; c’est une certitude ! L’une, voire plusieurs d’entre elles est peut-être sur votre site, ou bien sur l’un de ceux que vous consultez régulièrement… L’enjeu est donc de prendre conscience de cette situation, et de se protéger afin d’éviter les attaques qui, nous le rappelons, peuvent toucher tous les types de sites, et ont des répercussions importantes sur l’image de l’entreprise et ses bénéfices.

  1. Le piratage, comment ça marche ?

Il peut être très facile d’accéder aux données d’un site web via une faille. Or, accéder aux données, c’est accéder au serveur sur lequel est hébergé le site, c’est-à-dire la machine contenant toutes les informations et ressources utilisées pour le fonctionnement du site. Il existe de très nombreux moyens d’y arriver ; nous allons ici détailler l’un de ces moyens, très simple, appelé l’énumération d’identifiants.

Imaginons le site web « http://www.monsiteweb.com », site web d’une compagnie d’assurance. Pour pouvoir utiliser l’interface, le visiteur doit s’identifier et créer un compte, comprenant ses informations (telles que nom, prénom, adresse, etc…). La base de données lui administrera alors un identifiant : 12345678 par exemple.

Une fois identifié, si le visiteur souhaite modifier son adresse suite à un déménagement, il se rendra sur la page des paramètres de son compte. Dans de nombreux cas, peut-être le vôtre, le site affiche dans son URL l’identifiant du client :

Imaginons maintenant que le visiteur soit un pirate. Grâce à la présence de l’identifiant dans l’URL, il trouvera sur cette page uniquement les informations le concernant ; il comprend donc que pour les autres utilisateurs, le fonctionnement est identique. S’il modifie l’identifiant dans la barre d’adresse, en remplaçant le 8 à la fin par un 9 par exemple, et que le code source du site contient une faille et ne bloque pas sa requête, il aura accès aux informations correspondant au compte n°12345679.

Mais s’il a accès à ce compte, cela signifie qu’il a potentiellement accès à tous les autres comptes et donc à la base de données du site toute entière. Rien qu’avec la barre d’adresse, il est donc possible d’accéder à un serveur et de contourner sa sécurité. Cela peut être aussi simple que cela. Un adolescent aujourd’hui peut avoir les compétences suffisantes pour mettre en œuvre cette attaque ! De nombreux tutoriels existent même sur Youtube permettant à n’importe qui d’acquérir les connaissances de base pour mettre en place des attaques simples de ce genre.

Bien qu’il existe de nombreuses autres techniques plus complexes, celle décrite ci-dessus fait partie d’un grand nombre de méthodes triviales et à la portée de tous

Il est important de comprendre cela car une fois que le pirate a accès à la machine, il peut élever ses privilèges et obtenir autant de pouvoir que l’administrateur de celle-ci. C’est-à-dire qu’il pourra littéralement faire tout ce qu’il souhaite avec les informations et les ressources à sa disposition. Il existe plusieurs types d’attaques, chacune avec des objectifs et des impacts différents, mais aux conséquences toujours graves.

  1. Les différents types d’attaque
    • Défiguration d’un site web

C’est le type d’attaque le plus visible, même si c’est techniquement le moins dangereux. La défiguration ou défacement de site web (defacing en anglais) consiste à modifier une ou plusieurs pages d’un site, par exemple la page d’accueil, en la remplaçant par une image, du texte…

Ces attaques sont plutôt simples à réaliser et ne nécessitent pas de compétences techniques très développées. Les pirates utilisent simplement un outil scannant les sites un par un et repérant des vulnérabilités afin de les exploiter grossièrement.

En général, la page de remplacement affichée pendant l’attaque contient le nom du pirate et un message. En effet, par ces défigurations les pirates cherchent uniquement leur visibilité. Ils souhaitent faire passer un message en général politique, ou bien veulent de la reconnaissance. Plus de 20 000 sites, dans le cadre de l’opération OpFrance, se sont fait pirater de cette manière. L’opération a commencé le 18 janvier mais aujourd’hui encore, certains sites affectés sont toujours en maintenance. Si ces attaques ne sont pas dangereuses sur le long terme, elles ont un gros impact en termes d’image pour le site attaqué.
 

  • L’exploitation des ressources d’un site web

Les attaques que nous allons décrire dans ce point et les points suivants sont beaucoup plus dangereuses, notamment parce qu’elles ne sont pas facilement repérables par le site attaqué. Si vous subissez une attaque, dans 90% des cas vous en serez informé par un tiers (source : 2012 data breach investigations report, Verizon, 2012) ; ce sont soit les autorités, soit un client, partenaire ou prestataire qui aura été une victime indirecte de l’attaque subie. Cela cause en général une énorme chute de confiance en l’entreprise. C’est d’ailleurs une des raisons pour laquelle, comme montré sur la figure 1 le délai de découverte de plus de la moitié des attaques se compte en mois.

Dans le cas de l’exploitation des ressources d’un site web, tout est dans le titre. Le pirate, ayant gagné accès au serveur du site, va utiliser les ressources de la machine correspondante (processeur, mémoire, bande passante) pour son propre compte. Il pourra cependant rester dans l’anonymat et se prémunir des risques légaux, puisque c’est le site web piraté qui sera légalement responsable des actions effectuées avec ses ressources.

En l’occurrence, le pirate va souvent les revendre, pour plusieurs usages : l’envoi de SPAM, les DoS (attaque par déni de service, empêchant l’accès à un site), le déchiffrement de données et les boutiques fantôme.

  • L’envoi de SPAM

Il faut savoir que chaque machine possède une adresse IP qui lui est propre, et que l’on fait correspondre au(x) site(s) web hébergés dessus. Quand trop d’e-mails sont envoyés depuis une machine, celle-ci est « marquée » comme malveillante et les envois sont bloqués. En envoyant les courriers SPAM depuis l’adresse IP du/des sites piratés, l’envoi se fera sans blocage. Ainsi, utiliser l’IP d’une autre machine en achetant ses ressources est un moyen de contourner cela, jusqu’à ce que la/les machine(s) piratée(s) soit elle aussi considérée comme malveillante

Si cela vous arrive, vous ne pourrez plus envoyer aucun e-mail depuis votre nom de domaine ou votre adresse IP. Votre hébergeur aura également la possibilité de clôturer votre compte.

De plus, légalement, le spamming peut être puni de 5 ans d’emprisonnement et de 300 000 euros d’amende (Article 226-18-1 du Code Pénal).

  • Les DoS

Dans le cas des DoS, l’utilisation d’une machine infectée permet l’anonymat de la personne ayant commandé une attaque DoS vers une cible tierce, ou de multiplier la puissance de l’attaque en y ajoutant les ressources d’un ou plusieurs autres ordinateurs. Ici, le but est purement lucratif. Là encore, les sanctions légales sont importantes : selon l’article 323-2 du Code Pénal, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 75 000 euros d’amende ».

  • Le déchiffrement de données ou mots de passe

Il est également possible d’utiliser les ressources du serveur infecté comme puissance de calcul afin de deviner des mots de passe ou déchiffrer des données, via la méthode bruteforce. Il s’agit de faire tester à une machine toutes les combinaisons possibles jusqu’à tomber sur la bonne. Plus le nombre de machines utilisées augmente, plus les ressources sont importantes, et donc plus le temps de résolution sera court. Ici, le but est majoritairement la récupération de données, pour les utiliser ou les revendre (ce type d’attaque sera traité plus tard dans l’article).

Dans les trois cas cités, le but du pirate est de prendre le contrôle d’un maximum de machines pour monnayer ces ressources.

Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.

 

Cyber sécurité et protection des données personnelles : en avant marche !

Deux jambes qui se doivent d’être coordonnées. Telles sont, d’un côté, la « cyber sécurité », et de l’autre la « protection des données personnelles ». Car si la liste des entreprises victimes de cyberattaques continue de s’allonger – Ebay, Orange et Domino’s Pizza ne sont qu’un échantillon des cibles atteintes en 2014 – il est évident que les moyens de lutte à privilégier doivent être aussi efficaces que respectueux, dans leur mise en œuvre, des règles en matière de protection des informations privées. Délicat équilibre.

Les autorités européennes ont déjà fait d’importants progrès en matière de cybercriminalité. Une  directive relative aux attaques contre les systèmes d’information a ainsi été adoptée en 2013, alors que des textes sur la protection du secret d’affaire, ainsi que sur l’identification électronique et les services de confiance pour les transactions électroniques ont été proposés au Parlement européen. Dernier en date : la directive sur la protection des systèmes d’information (NIS) – que la loi de programmation militaire française avait largement anticipée – a été adoptée en mars 2014. Les « opérateurs d’importance vitale » (IOV) se voient notamment imposer quelques obligations en matière de prévention et de notification des « incidents ».

Les solutions qui permettent de répondre de la manière la plus efficace possible à ces nouvelles obligations existent aussi. Certaines permettent ainsi de valider en quelques heures seulement la véracité d’un incident, d’identifier son origine, le chemin emprunté, l’agresseur et d’évaluer son impact… sachant qu’aujourd’hui le délai moyen actuel de découverte et d’identification d’une attaque se compte plutôt en semaines ou en mois ! Enfin, Bruxelles avance aussi sur la question des données personnelles – les discussions sur la directive dédiée devraient ainsi aboutir en 2015.

Reste que la coordination entre les deux jambes pourrait être améliorée. Le fait par exemple qu’il faille encourager le chiffrage des données pour sécuriser les informations personnelles, comme le recommande l’Agence Européenne de Cybersécurité ENISA, est incontestable. Mais les flux chiffrés sont aussi des voies d’accès privilégiées… pour les pirates. Quelles sont alors les conditions que les entreprises et organisations doivent respecter pour utiliser des outils de déchiffrage tout en respectant les impératifs en matière de protection des données personnelles ? A ce jour, aucun texte public – loi, règlement ou simple communication des autorités – ne répond clairement à la question. Rien non plus sur les règles internes à mettre en place pour utiliser des solutions d’enregistrement des données – qui permettent de « rembobiner le film » en cas d’attaque et donc d’identifier rapidement l’agresseur- tout en respectant les impératifs de protection des informations des individus. Résultat : certaines entreprises et organisations hésitent à se protéger…

Clarifier les conditions de mise en œuvre des solutions efficaces en matière de cybersécurité. Telle pourrait être une des priorités des nouvelles instances européennes. Pour faire de plus grands pas.(Par Dominique Loiselet, Directeur Général France Blue Coat)