Le contrôle en continu : élément clé d’une cybersécurité assurée

La cybersécurité est devenue un élément incontournable et essentielle à prendre en compte dans la vie d’une entreprise. Aujourd’hui, il existe de nombreuses solutions de sécurité afin de protéger les infrastructures d’éventuelles attaques. Cependant, ces solutions n’empêcheront jamais qu’un incident, mineur ou majeur, intervienne au sein des sociétés. Actuellement, une intrusion par un virus, un malware, … est détectée environ deux à trois mois après sa première intrusion. Pendant ce laps de temps, un certain nombre de données peuvent être récupérées ou compromises (mot de passe, données confidentielles, etc), ce qui est nuisible au bon fonctionnement et à la réputation des entreprises. Afin de répondre à ce problème, il est devenu nécessaire de pouvoir contrôler en continu l’ensemble des flux réalisés au sein des systèmes d’informations.

Un rôle réactif mais également préventif

Prenons l’exemple de l’hameçonnage (ou phishing). Lorsqu’une personne renseigne ses coordonnées bancaires sur un site non légitime ayant pris l’apparence d’un site officiel, le temps de détection de la fraude est bien trop long pour empêcher toutes actions du pirate informatique. De manière générale, et malgré l’augmentation des sensibilisations, il est devenu compliqué de corriger techniquement la faille humaine sans impacter le travail du personnel. Avec le contrôle des flux en continu, le temps de détection est considérablement réduit et les actions permettant de contrer les menaces peuvent rapidement être effectuées. De plus, le contrôle en continu peut également avoir un rôle préventif. Dans ce cas, il permet de détecter les failles présentes sur le réseau et de remonter l’ensemble des informations pour effectuer les corrections nécessaires avant qu’une attaque soit réalisée.

Retour d’expérience du CERT Cyberprotect

Pour continuer dans l’exemple précédent, le CERT Cyberprotect est intervenu sur une tentative d’hameçonnage ayant abouti chez un de ses clients. Le 12 juillet 2016 à 11h58, une personne, qui pensait visiter le site de sa banque, a saisie l’ensemble de ses informations de connexion (identifiant + mot de passe) et l’ensemble de ses informations bancaires (numéro de carte bancaire, cryptogramme visuel, numéro de compte, …). L’alerte est rapidement remontée par l’équipement présent chez le client, puis analysée par le CERT Cyberprotect. L’information de l’hameçonnage réussi est alors transmise au client à 12h27 pour que ce dernier puisse prendre les dispositions nécessaires auprès de son établissement bancaire. Dans ce cas de figure, le faux site internet avait repris, à l’identique, les mêmes pages internet que le site web d’origine. Seul l’url aurait pu permettre à la personne concernée de suspecter une tentative d’hameçonnage bien que l’url contenait le nom de la banque. Le contrôle en continu a permis une détection et une intervention rapide pour bloquer les prélèvements sur le compte bancaire concerné. De plus, le faux site bancaire a été signalé à « Phishing initiative » par le CERT Cyberprotect pour éviter que d’autres personnes ne renseignent leurs données sur ce site.

Schéma Cyberprotect

Le contrôle en continu par Cyberprotect

La gestion du risque par Cyberprotect

Pour répondre à ce besoin de contrôle, Cyberprotect a mis en place un service de gestion du risque pour les entreprises, à travers la surveillance et l’optimisation en continue de leur cybersécurité. A la différence des SIEM (voir l’article https://www.cyberprotect.fr/siem-vs-cyberprotect/),  Cyberprotect contrôle en continu, et de manière indépendante, la cybersécurité de ses clients afin de  détecter si le système d’information est victime d’une cyberattaque. En cas de connexion suspecte, les équipes du CERT Cyberprotect procèdent alors à une levée de doute, et en cas de forte suspicion ou d’infection, fournissent les mesures nécessaires à l’éradication de la menace. A travers des solutions telles que Cyberprotect, qui utilise et exploite le contrôle des flux en continu, les entreprises bénéficient d’un niveau de service leur permettant d’assurer leur cybersécurité, et par conséquent, le bon fonctionnement de leur entreprise.

Yoann JOUVENT – Coordinateur au CERT Cyberprotect

 

Cybercriminalité : les entreprises ciblées et leurs points faibles

Avec la hausse du nombre de cyberattaques, leur diversification et leur évolution constante, la cybersécurité et la gestion du risque sont devenues des problématiques incontournables pour les entreprises aujourd’hui. En effet, dans le dernier rapport MIPS du CLUSIF, il est constaté, par exemple, une hausse de 31% de la mise en place de solutions de sécurité et 69% des entreprises ont formalisé une PSSI.

Pour autant, la classification des données sensibles et la réalisation d’analyses de risques représentent toujours un point faible. A cela s’ajoute un autre point faible qui n’est malheureusement pas nouveau : la cybersécurité dans les TPE/PME.

Il faut savoir qu’actuellement, près de 80% des cyberattaques ciblent les PME.

Pourquoi les TPE/PME sont-elles des cibles ?

Tout d’abord, parce qu’elles représentent plus des ¾ des entreprises en France. Aussi la probabilité qu’une PME souffre d’une cyberattaque est plus importante.

De plus, ces entreprises qui manquent souvent de budget et qui se concentre donc sur leur cœur d’activité pour réaliser de la croissance, ne sont pas protégées ou trop peu. Elles se rendent ainsi vulnérables à toute intrusion ou cyberattaque.

Le piratage des données 

Selon le rapport du CLUSIF, les infections par virus arrivent en tête à 44%, les fraudes informatiques et télécoms (11%), le chantage ou extorsion informatique (11%)… Les pirates s’attaquent ainsi aux données (vol, détention contre rançon, altération etc), aux finances de l’entreprise (fraude au président), réalisent de l’espionnage économique, ou encore sabote le réseau. Pour cela, ils exploitent non seulement les failles techniques (logiciels et systèmes) mais également les failles humaines (social engineering).

Le réseau d’entreprises

Enfin, ces petites et moyennes entreprises sont la cible privilégiée des cyberattaques car elles constituent une passerelle vers une autre entreprise, une autre potentielle victime : ses clients, ses fournisseurs, ses partenaires…

Plus les entreprises sont connectées entre elles et plus le risque de cyberattaque grandit. Une entreprise mal protégée représente un chemin vers d’autres entreprises qu’il est facile aux pirates de suivre. Ils n’ont plus qu’à se balader d’entreprise en entreprise et exercer leurs méfaits.

Finalement, les grandes entreprises ne sont pas plus ciblées que les PME. Ce qui compte pour un pirate informatique c’est bien 1) la valeur des données de l’entreprise et 2) son interconnexion avec d’autres.

Protégez son entreprise et son réseau contre les cyberattaques est aujourd’hui une priorité essentielle et vitale pour l’économie. En plus des bonnes pratiques à mettre en oeuvre en entreprise, des services tels que Cyberprotect garantissent l’efficacité de votre cybersécurité au quotidien.

 

 

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Cécile FIORE – CM & Marketing – Cyberprotect

SIEM VS Cyberprotect

Qu’est-ce qu’un SIEM ?

Security Information and Event Management : c’est une solution qui permet de gérer et corréler les logs.

Le principe d’un SIEM est donc de gérer les événements du système d’information.

« Une solution SIEM combine des fonctions de gestion des informations (SIM, Security Information Management) et des événements (SEM, Security Event Management) au sein d’un système unique de gestion de la sécurité. Un système SEM centralise le stockage et l’interprétation des logs, et permet une analyse en quasi-temps réel. Un système SIM collecte des données et les place dans un référentiel central à des fins d’analyse de tendances. La génération de rapports de conformité est automatisée et centralisée. »

Il est important cependant de rappeler qu’un SIEM n’est pas autonome.

Ce système a, en effet, besoin d’une équipe pour vivre : installation, écriture et mises à jour des règles de filtrage, maintenance, traitement des alertes et mise en place d’actions adaptées.

La force de Cyberprotect est justement de vous apporter un service indépendant de votre infrastructure et une équipe dédiée.

Découvrez les avantages Cyberprotect !

siem-vs-cyberprotect

 

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Cet article vous a plu ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

La gestion des risques avec Cyberprotect

Pour tout comprendre du fonctionnement Cyberprotect en matière de gestion du risque informatique, lisez notre infographie !

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

Cyber assurance : pourquoi choisir Cyberprotect ?

Depuis quelques années, les malveillances et la cybercriminalité touchant les entreprises augmentent. Il y a encore quelques temps, les risques encourus par une société était une intrusion dans les locaux, le vol de matériel (ordinateurs, clés…), le vol de documents confidentiels etc. Aujourd’hui, les entreprises sont victimes de cyberattaques : vol de données, pénétration dans le réseau informatique, envoi de courriels infectés…. La cible des attaques est devenue immatérielle. Et cette cybercriminalité croissante coûte très chère aux entreprises. Surtout pour les PME qui risquent jusqu’à la faillite tellement l’impact financier d’une cyberattaque est important, comme cette PME à Pau.

C’est pourquoi les entreprises ont besoin d’être assurées contre tous ces risques : c’est là qu’interviennent les cyber-assurances. La question se pose alors : qu’est ce qui peut être couvert ? Sachant que la cybercriminalité évolue rapidement et de façon continue, identifier le risque encouru devient très difficile.

Premièrement, définissons ce qu’est un risque :

risque

Si la vulnérabilité est forte et que la menace est forte, alors la cause est forte. Mais si la conséquence (ou l’impact) est faible, alors finalement le risque est faible. Si, au contraire, l’impact est fort, alors le risque est fort. De même si la cause est faible (vulnérabilité faible et menace faible) et que la conséquence est forte, alors le risque sera tout de même faible ou modéré.

Le tableau ci-dessous résume le paragraphe précédent :

Poids de la vulnérabilitéPoids de la menacePoids de l’impactNiveau de risque
FORTEFORTEFAIBLEFAIBLE
FAIBLEFAIBLEFORTFAIBLE OU MODERE

 

Aujourd’hui les conséquences directes d’un cyber-risque sont connues et la principale est la perte totale ou partielle du système d’information (SI). Ce qui engendre l’impossibilité pour les employés de travailler, de facturer, de communiquer ou encore de produire car les machines industrielles peuvent également être paralysées par une malveillance.

Une deuxième conséquence directe est le vol, la perte, la destruction ou encore l’altération de données qui les rend inexploitables et qui paralyse l’activité de l’entreprise.

Les conséquences indirectes sont celles qui portent préjudice à l’image et à la réputation de l’entreprise, ce qui induit perte de confiance et perte de clients.

L’impact est souvent fort pour les entreprises victimes de cyberattaque (impossibilité d’agir directement sur les conséquences d’un cyber-risque).

C’est pourquoi cette partie est prise en charge par les assureurs à condition d’apporter la preuve que le sinistre provient bien d’une malveillance. C’est-à-dire prouver que les contre-mesures et les outils nécessaires étaient mis en place et étaient opérationnels pour réduire les causes du risque.

Comment réduire les causes du risque ?

Pour traiter les menaces, l’entreprise défini et applique un système de sécurité de l’information (SSI), apportant ainsi une contre mesure à la menace. En revanche, les menaces évoluant tous les jours, la sécurité doit également être revue tous les jours pour être adaptée et donc efficace.

Les vulnérabilités proviennent d’une mauvaise mise en application ou conception d’un protocole de communication et souvent d’un oubli (voulu ?) d’appliquer les bonnes pratiques d’un développement sécurisé. En d’autres termes, la vulnérabilité d’une application est souvent liée au facteur humain.

Mais mettre à jour pose parfois problème :

  • Il faut avoir du temps et penser à les faire (surtout penser à le faire)
  • Mise à jour impossible !

Le 1er cas peut être résolu par une mise à jour automatique mais peut engendrer des problématiques de compatibilité.

Le 2ème cas peut être illustré par cet exemple : pour mettre à jour une vulnérabilité détectée dans un logiciel de paie, il faudrait revoir tout le processus métier : refaire les test, recettage, validation… Ce qui implique un coût important.

Mais si la menace pouvant exploiter cette vulnérabilité est faible, alors le risque encouru par l’entreprise est faible et mettre à jour cette vulnérabilité n’est pas la priorité.

C’est cette analyse des risques qui permet à l’entreprise d’identifier le risque qu’elle encourt et qui lui permet alors de le gérer en mettant en place les outils et les actions nécessaires.

L’important est d’effectuer tous les jours ce contrôle et d’étudier la corrélation vulnérabilité/menace pour pouvoir adapter la sécurité au jour le jour et mettre en place les outils de correction des vulnérabilités pour réduire le risque.

C’est la mission de Cyberprotect, service 24H/24 et 7J/7 de veille, de prévention et de contrôle au jour le jour de la cybersécurité en entreprise.

Sa particularité est son mécanisme d’analyse comportementale qui utilise les compétences d’une intelligence artificielle complétées par les compétences humaines de ses équipes. Cette analyse permet à Cyberprotect d’apporter des recommandations personnalisées et adaptées au contexte du client et à son activité opérationnelle.

Grâce à ces recommandations, le risque est réduit et maintenu à un niveau modéré, acceptable. Il est donc transférable aux compagnies d’assurance. Ce risque est appelé risque résiduel : c’est ce qui subsiste après la réponse au risque ou après l’application de mesures d’atténuation du risque.

De plus, Cyberprotect dispose d’une CPBox, capteur non intrusif, qui remonte régulièrement les événements sur l’état des menaces et de vulnérabilités de la cybersécurité du client.

Ce module permet une traçabilité passive, c’est-à-dire que le traceur est indépendant des logs (événements) générés par les équipements de sécurité. En effet, en cas d’attaque, la première opération des cybercriminels est de désactiver les logs des équipements de sécurité. Or si les logs sont corrompus, comment faire la preuve de l’attaque ? D’où l’intérêt de ce traceur indépendant qui enregistre les incidents de la même manière que la boîte noire d’un avion et qui dresse ainsi un historique en cas de sinistre.

La traçabilité de cette CPBox et le service Cyberprotect étant reconnue contractuellement par les compagnies d’assurance, l’entreprise cliente n’a plus à faire la preuve. Tout est géré par Cyberprotect, par son laboratoire et son équipe CERT CYBERPROTECT. Ainsi, en cas de sinistre, le délai de prise en charge est fortement réduit car la preuve est fournie, le dédommagement est rapidement traité par l’assurance et le retour à l’activité pour l’entreprise est réduit.

Plus que la cybersécurité, vivez la cybersérénité.

En matière de cybersécurité, la PSSI n’est pas suffisante

Virus, rançongiciel, piratage, malveillance, failles du facteur humain… Les cybermenaces sont bien connues et l’impact financier que subissent les entreprises victimes est conséquent. On se rappelle, entre-autre, des rançons s’élevant à plusieurs milliers de dollars pour des hôpitaux victimes de rançongiciels et 773 000€ serait le coût moyen estimé d’une cyberattaque. Face à ces faits, nombreux sont les systèmes de sécurité déployés pour se protéger de ces attaques. Pourtant 100 % des sociétés ayant subi une malveillance étaient sécurisées et la voie d’entrée des cybercriminels tient encore souvent à un simple mot de passe laissé par l’utilisateur lui-même dans son bureau. Alors quels recours pour les entreprises ?

Un élément nécessaire est la construction d’une politique de sécurité des systèmes d’information (PSSI) : un plan d’actions défini pour maintenir un certain niveau de sécurité. L’entreprise y inscrit sa vision stratégique en matière de sécurité des systèmes d’information (SSI). Cette PSSI, qui constitue le principal document de référence, définit les objectifs à atteindre et les moyens accordés pour y parvenir grâce à une analyse des risques du SSI qui aura été préalablement menée.

Lorsque la PSSI est validée par tous les différents acteurs de la sécurité de l’entreprise, elle est ensuite diffusée à l’ensemble des acteurs du système d’information (utilisateurs, exploitants, sous-traitants, prestataires…).

Il faut savoir qu’aujourd’hui, établir une PSSI n’est pas obligatoire, seules existent des recommandations et des bonnes pratiques telles que celles communiquées par l’ANSSI. En réalité, les sociétés rédigeant une PSSI sont en général de grandes entreprises, organisées, structurées, qui ont des services dédiés, du temps et du budget pour élaborer cette politique.

Quid des plus petites sociétés et autres organismes ?

En l’absence de PSSI, c’est souvent le « bon sens », ou des directives orales qui dictent les règles de sécurité. De même, si un partenaire, un fournisseur, un client, ne suit pas la PSSI de l’entreprise avec qui il travaille, alors la sécurité et la protection des données et des documents qui leur sont transmises peuvent être questionnées.

De plus, communiquer la politique de sécurité au sein de l’entreprise ne suffit pas. Encore faut-il que le personnel soit formé pour répondre aux problématiques du SSI.

Chaque personne possède au sein de l’entreprise ses connaissances, son savoir-faire et ses expériences. La perte d’un membre du personnel, pour quelque raison que ce soit, constitue également la perte de ses connaissances, savoir-faire et expériences… Une politique de formation et de transfert des connaissances représente un véritable atout pour l’entreprise, surtout dans un contexte où la sécurité et les menaces informatiques évoluent constamment.

D’autre part, lorsqu’on parle d’évolution de la cybersécurité et surtout des diversifications et des multiplications des cybermenaces, qu’en est-il de la PSSI ?

Sachant qu’à peine la moitié des entreprises françaises évaluent l’ensemble de leurs risques tous les ans et que les PME se sentent encore peu préoccupées par la gestion des risques informatiques (faits communément admis sans toutefois être chiffrés), on peut supposer qu’établir ou revoir une PSSI n’est malheureusement pas une priorité.

Et même si pour ceux qui ont défini une PSSI il semble primordial de la mettre à jour, les contraintes restent fortes : il faut disposer d’une équipe pour réécrire le plan d’actions, le soumettre à validation puis le diffuser à nouveau avec les modifications, ce qui demande du temps. Dès lors, la préoccupation de l’entreprise doit être l’application de ces mises à jour. Comment ? Par un contrôle continu et permanent de l’efficacité de la cybersécurité, tel que le propose des services comme Cyberprotect.

Car effectivement, toute nouvelle mesure ou règle perd de sa pertinence et de sa raison d’être si son application et son efficacité ne sont pas contrôlées. La confiance direz-vous ? Plusieurs exemples récents de piratages et de déploiement de maliciels nous montre que la confiance n’empêche pas la pénétration des systèmes de sécurité par des cybercriminels, que ce soit à causes de failles humaines ou techniques (partage de mot de passe (ang) ou vente, usurpation d’identité).

Alors sans rentrer dans de la paranoïa effrénée, et même si Andy Grove, Président d’Intel, disait « Seuls les paranoïaques survivent« , gardons à l’esprit que la définition d’une PSSI c’est bien, mais contrôler son application et son efficacité, c’est mieux.

Cécile FIORE – CM & Marketing – Cyberprotect

Protéger, renforcer, anticiper : le big data au service de la cybersécurité

Grâce au big data (ensemble de technologies et de méthodes analytiques qui rendent possible l’analyse de très vastes ensembles de données hétérogènes), l’entreprise peut être mieux à l’écoute et mieux comprendre son environnement, ses clients, ses usagers. Le big data peut également contribuer à la réduction des coûts ou encore à l’anticipation des comportements à risque. Toutefois ce n’est pas un concept nouveau malgré l’intérêt croissant que l’on observe dernièrement. Il se trouve que nous possédons désormais les outils et les technologies performants et efficaces qui permettent de collecter et de traiter cet important volume de données. Beaucoup de secteurs d’activités comme le transport (UPS, SNCF), l’agriculture, la publicité ou encore la cybersécurité (ce qui nous intéresse ici) se tournent vers le big data.

Les objectifs pour la cybersécurité sont de pouvoir optimiser et renforcer la sécurité déjà présente dans les entreprises et de pouvoir dans un second temps anticiper des comportements à risque.

On estime que 90% des données existantes actuellement ont été créées ces deux dernières années. L’exemple de Cyberprotect, service de contrôle continu et de prévention de la cybersécurité, nous permet de rendre compte de ce volume d’informations croissant : aujourd’hui, pour 100 clients, Cyberprotect traite 80 millions d’événements par jour. Il y a 5 ans, pour 100 clients, Cyberprotect en traitait moins de 1 million par jour. Autant de données que le big data traite et analyse en temps réel, contribuant ainsi à la diminution des risques par une meilleure détection des menaces, la détection des fraudes et renforçant la gestion de la sécurité informatique.

Le big data offre également à l’entreprise de nouvelles possibilités et opportunités d’analyser son environnement et surtout de détecter et de prévenir des tendances, des menaces et des comportements à risque.

Parmi ces menaces on retrouve par exemple les APT, « menaces avancées persistantes » : attaques « low & slow » qui utilisent plusieurs outils, techniques et méthodes de ciblages, et qui s’inscrivent dans la durée. Ces attaques sont donc très complexes à détecter. Selon une étude du Ponemon Institute, il faut entre 98 et 197 jours, soit 3 à 6 mois (selon les secteurs) pour détecter une attaque avancée contre le système d’information. Dorénavant, grâce à la technologie big data d’analyse en temps réel, ce type d’attaques et autres comportements à risque peuvent être rapidement identifiés. Cyberprotect détectait déjà des comportements à risque en quatre heures il y a cinq ans et est désormais capable de les détecter en moins d’une heure.

Si les nouvelles technologies nous permettent une telle collecte et analyse de données, il n’en reste pas moins important et même nécessaire d’interpréter ces données, leur donner du sens et de la valeur, sans quoi elles seront inexploitables pour l’entreprise.

Le data scientist : l’expert des données

C’est ici qu’intervient la science des données, data science, qui consiste à l’extraction de connaissance de données. Le data scientist est chargé de produire des (nouvelles) méthodes/outils de tri et d’analyse des données massives qui vont lui permettre d’extraire les informations utiles et pertinentes en fonction des objectifs fixés par son entreprise. Pour cela il va s’appuyer sur des outils mathématiques, statistiques, informatiques mais également sur des outils de visualisation des données.

datascience

 

Source : https://en.wikibooks.org/wiki/Data_Science:_An_Introduction/A_Mash-up_of_Disciplines

En véritable stratège, il construit des algorithmes plus efficaces en termes de recherche et de ciblage, il modélise les données et dégage des indicateurs pertinents et intelligibles. Il est ensuite capable de prodiguer des recommandations grâce à sa compréhension aigüe des enjeux business de son entreprise. Le data scientist est de nos jours un profil très demandé pour ses multiples compétences…

multipass

 

Cécile FIORE – CM & Marketing – Cyberprotect

Les Objets connectés : futures cibles de la cybercriminalité

Plusieurs études s’accordent à dire que d’ici 2020, plus de 30 milliards d’objets seront branchés sur le réseau.  L’IDATE (Institut de l’audiovisuel et des télécommunications en Europe) estime qu’il y aurait à l’heure actuelle 15 milliards d’objets connectés à internet (IoT – Internet of Things) contre 4 milliards seulement en 2010. Pour autant, le concept semble rester « flou » pour beaucoup d’internautes. D’après une enquête réalisée par l’institut d’études Havas media, 81% des internautes (15/49 ans) aurait déjà entendu parler des objets connectés mais seulement 55% d’entre eux sont capables de les définir.

L’internet des objets connectés est un réseau de réseaux permettant la transmission de données entre objets physiques et virtuels par connexion directe (wifi par ex), par l’intermédiaire de smartphones (en bluetooth par exemple ou autres protocoles de communication).
Les objets connectés se définissent comme étant des objets dont la vocation première n’est pas d’être un périphérique informatique. Toutefois ces objets prennent une valeur supplémentaire en termes de fonctionnalité, d’information ou encore d’interaction dès qu’une connexion Internet leur est ajoutée. On retrouvera parmi ces objets les wearable technology à savoir les montres cardio, les lunettes connectées Google Glass… On notera également la lampe DAL, premier objet connecté de Violet, commercialisée en 2003.

Attention, les objets connectés sont à distinguer des interfaces d’accès au web. Celles-ci peuvent prendre la forme d’un objet connecté mais n’en sont pas. Exemple un smartphone, un PC (fixe ou portable), une tablette…

Plusieurs domaines ont profité de l’opportunité représentée par l’IoT comme la santé et la domotique. Pour la santé, l’impact financier est considérable : à titre d’exemple les balances connectées représentaient 8 millions d’euros en 2015, soit 13.3% des parts de marché du segment des objets connectés, ou encore les montres connectées qui en représentaient 46%, soit un volume de ventes de 28 millions d’euros.

La domotique connaît un essor important grâce aux objets connectés, notamment les objets de sécurité connectés, les objets intelligents de gestion d’énergie (société Nest récemment rachetée par Google) ou encore de gestion de l’éclairage (ampoule « Hue » de Phillips). Le marché des objets connectés pourrait représenter 15 milliards d’euros en 2020.

Les objets connectés sont donc accessibles à tous : particuliers, clients, entreprises, employés…

C’est pourquoi l’IoT a aujourd’hui pris tant d’ampleur. Et si bon nombre d’entreprises reconnaissent aujourd’hui construire des stratégies autour de l’IoT, beaucoup confient se sentir en insécurité face à la croissance importante des objets connectés en leur sein dont le manque de protections, de sécurité pourrait leur porter défaut.

Par exemple, un dispositif IoT branché à un ordinateur de bureau peut, s’il possède des failles de sécurité, donner un accès total au réseau de l’entreprise à un cybercriminel.

La menace réelle pour l’entreprise c’est l’objet au sein de l’environnement de l’IoT, plus que les informations contenues dans l’objet.

Le problème de la sécurité des objets connectés comprend plusieurs éléments :

  • le coût ;
  • les industriels et les jeunes entreprises qui se lancent dans les objets connectés mais qui n’ont pas forcément la culture de la sécurité informatique ;
  • l’accroissement rapide et la constante évolution des objets connectés (à terme ces objets devraient pouvoir interagir de manière autonome comme par exemple un réveil connecté à un smartphone programmé par l’agenda électronique de l’utilisateur).

Aujourd’hui, on estime à 80% le nombre d’objets connectés présentant des failles de sécurité, soit 4 milliards d’appareils… Ce ne sont plus seulement des objets design et innovants avec de nouvelles fonctionnalités attractives, ce sont également de nouvelles portes d’entrée pour les hackers qui mettent en péril la sécurité des entreprises. Et la surface d’attaque augmentera avec chaque nouvel objet connecté.

Encore une fois, l’usage qu’en fait le particulier, autrement dit, le comportement adopté par l’utilisateur (plus ou moins informé des mesures de sécurité s’appliquant à l’entreprise) impacte la sécurité de l’entreprise (confidentialité de ses données clients, disponibilité du SI…).

De plus, il n’y a pas encore de cadre juridique précis, seulement des recommandations de la CNIL.

La question se pose alors : que faire en cas de dommages, de préjudices liés aux objets connectés ?

En 2005, Cyberprotect a fait le pari de répondre aux enjeux des dommages et préjudices en matière de systèmes d’information des entreprises. De la même façon et d’un point de vue technique et assurantiel, les experts Cyberprotect travaillent déjà sur le sujet de l’IoT.

Cécile FIORE – CM & Marketing – Cyberprotect

Failles de(s) sécurité(s), failles humaines : et si on traitait les deux ?

Une nouvelle étude de NTT Com Security estime qu’il faudrait neuf semaines à une entreprise pour se remettre d’une attaque et que cela lui coûterait 907 053 dollars en moyenne (soit 772 942€)…

[Bulletin d’Alerte Cyberprotect] Campagne Rançongiciel, techniques préventives

Les campagnes de Rançongiciel, notamment Locky (https://www.cyberprotect.fr/nouvelles-vagues-de-rancongiciels-comportement-conseil-solution/), continuent petit à petit à faire des victimes.

Pour rappel, la technique est simple : un courriel parfaitement rédigé en Français, reprenant les logos et couleurs de sociétés existantes est envoyé en masse aux entreprises.

Le courriel contient une pièce jointe, souvent un fichier Javascript « .js » qui une fois ouvert va chiffrer les fichiers présents sur le poste de l’utilisateur ainsi que ceux accessibles via un partage réseau.

Inutile donc de préciser que les dégâts peuvent-être considérables.

Parfois difficile à bloquer via les outils Anti-SPAM, le CERT CYBERPROTECT a cherché une mesure simple pour limiter la portée de l’ouverture de ces pièces jointes.

La première mesure est évidemment de sensibiliser les utilisateurs au traitement de leur courriel : https://www.cyberprotect.fr/labo/conseils/courriel/

La seconde est plus technique mais permet de limiter l’impact si un utilisateur ouvre une pièce jointe : il suffit de changer sur les postes, le programme par défaut qui ouvre les fichiers .js ou .vbs (deux types de fichiers exécutants des scripts).

Il suffit de modifier certaines clés du registre Windows. Pour cela, modifier les entrées « Edit », « Open » et « Open2 » suivantes :

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command

Modifiez les entrées par défaut « C:\Windows\System32\CScript.exe %1 » et « C:\Windows\System32\WScript.exe %1 »

par « C:\Windows\System32\Notepad.exe %1 »

Ainsi, si un utilisateur ouvre un fichier .js , il ne sera pas exécuté mais simplement ouvert avec le Bloc Note.

Cette solution semble intéressante car elle peut être déployée sur l’ensemble d’un parc via GPO.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

“.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
“.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
“.scf”, “.lnk”, “.inf” , “.reg”, “.dll”
“.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
“.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu’on les ouvre :
“.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
“.htm”, “.html”
“.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.docx”, “.rtfx”, “.pptx”, “.xlsx” ,“.odt”

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

En cas de doute, n’hésitez pas à nous solliciter.