[Résumé] Veille Cyberprotect avril 2016

Si un cryptolocker a bloqué votre ordinateur pendant 1 mois, Cyberprotect vous propose sa veille d’Avril !

Les sujets marquants

Cyber risque et Cyber assurance -> lire
La cybersécurité se vit et se construit au jour le jour -> lire
Investir en cybersécurité c’est aussi investir dans l’humain -> lire
IoT : attitude paradoxale -> lire
Cybercriminalité : un business comme les autres -> lire

Les chiffres

125% : c’est l’augmentation des vulnérabilités de type « zero-day » entre 2014 et 2015 -> Rapport Symantec
1 300 attaques informatiques ont été signalées contre des établissements de santé en 2015 -> lire
77% des français pensent n’avoir aucun rôle à jouer dans la cybersécurité de l’entreprise -> lire
Acheter les services d’un cybercriminel pour 129$ -> lire (ang)

Ce qui nous a fait rire 

Vis ma vie de RSSI : https://www.youtube.com/watch?v=sI9mxu8Y_Nk

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cyber assurance : pourquoi choisir Cyberprotect ?

Depuis quelques années, les malveillances et la cybercriminalité touchant les entreprises augmentent. Il y a encore quelques temps, les risques encourus par une société était une intrusion dans les locaux, le vol de matériel (ordinateurs, clés…), le vol de documents confidentiels etc. Aujourd’hui, les entreprises sont victimes de cyberattaques : vol de données, pénétration dans le réseau informatique, envoi de courriels infectés…. La cible des attaques est devenue immatérielle. Et cette cybercriminalité croissante coûte très chère aux entreprises. Surtout pour les PME qui risquent jusqu’à la faillite tellement l’impact financier d’une cyberattaque est important, comme cette PME à Pau.

C’est pourquoi les entreprises ont besoin d’être assurées contre tous ces risques : c’est là qu’interviennent les cyber-assurances. La question se pose alors : qu’est ce qui peut être couvert ? Sachant que la cybercriminalité évolue rapidement et de façon continue, identifier le risque encouru devient très difficile.

Premièrement, définissons ce qu’est un risque :

risque

Si la vulnérabilité est forte et que la menace est forte, alors la cause est forte. Mais si la conséquence (ou l’impact) est faible, alors finalement le risque est faible. Si, au contraire, l’impact est fort, alors le risque est fort. De même si la cause est faible (vulnérabilité faible et menace faible) et que la conséquence est forte, alors le risque sera tout de même faible ou modéré.

Le tableau ci-dessous résume le paragraphe précédent :

Poids de la vulnérabilitéPoids de la menacePoids de l’impactNiveau de risque
FORTEFORTEFAIBLEFAIBLE
FAIBLEFAIBLEFORTFAIBLE OU MODERE

 

Aujourd’hui les conséquences directes d’un cyber-risque sont connues et la principale est la perte totale ou partielle du système d’information (SI). Ce qui engendre l’impossibilité pour les employés de travailler, de facturer, de communiquer ou encore de produire car les machines industrielles peuvent également être paralysées par une malveillance.

Une deuxième conséquence directe est le vol, la perte, la destruction ou encore l’altération de données qui les rend inexploitables et qui paralyse l’activité de l’entreprise.

Les conséquences indirectes sont celles qui portent préjudice à l’image et à la réputation de l’entreprise, ce qui induit perte de confiance et perte de clients.

L’impact est souvent fort pour les entreprises victimes de cyberattaque (impossibilité d’agir directement sur les conséquences d’un cyber-risque).

C’est pourquoi cette partie est prise en charge par les assureurs à condition d’apporter la preuve que le sinistre provient bien d’une malveillance. C’est-à-dire prouver que les contre-mesures et les outils nécessaires étaient mis en place et étaient opérationnels pour réduire les causes du risque.

Comment réduire les causes du risque ?

Pour traiter les menaces, l’entreprise défini et applique un système de sécurité de l’information (SSI), apportant ainsi une contre mesure à la menace. En revanche, les menaces évoluant tous les jours, la sécurité doit également être revue tous les jours pour être adaptée et donc efficace.

Les vulnérabilités proviennent d’une mauvaise mise en application ou conception d’un protocole de communication et souvent d’un oubli (voulu ?) d’appliquer les bonnes pratiques d’un développement sécurisé. En d’autres termes, la vulnérabilité d’une application est souvent liée au facteur humain.

Mais mettre à jour pose parfois problème :

  • Il faut avoir du temps et penser à les faire (surtout penser à le faire)
  • Mise à jour impossible !

Le 1er cas peut être résolu par une mise à jour automatique mais peut engendrer des problématiques de compatibilité.

Le 2ème cas peut être illustré par cet exemple : pour mettre à jour une vulnérabilité détectée dans un logiciel de paie, il faudrait revoir tout le processus métier : refaire les test, recettage, validation… Ce qui implique un coût important.

Mais si la menace pouvant exploiter cette vulnérabilité est faible, alors le risque encouru par l’entreprise est faible et mettre à jour cette vulnérabilité n’est pas la priorité.

C’est cette analyse des risques qui permet à l’entreprise d’identifier le risque qu’elle encourt et qui lui permet alors de le gérer en mettant en place les outils et les actions nécessaires.

L’important est d’effectuer tous les jours ce contrôle et d’étudier la corrélation vulnérabilité/menace pour pouvoir adapter la sécurité au jour le jour et mettre en place les outils de correction des vulnérabilités pour réduire le risque.

C’est la mission de Cyberprotect, service 24H/24 et 7J/7 de veille, de prévention et de contrôle au jour le jour de la cybersécurité en entreprise.

Sa particularité est son mécanisme d’analyse comportementale qui utilise les compétences d’une intelligence artificielle complétées par les compétences humaines de ses équipes. Cette analyse permet à Cyberprotect d’apporter des recommandations personnalisées et adaptées au contexte du client et à son activité opérationnelle.

Grâce à ces recommandations, le risque est réduit et maintenu à un niveau modéré, acceptable. Il est donc transférable aux compagnies d’assurance. Ce risque est appelé risque résiduel : c’est ce qui subsiste après la réponse au risque ou après l’application de mesures d’atténuation du risque.

De plus, Cyberprotect dispose d’une CPBox, capteur non intrusif, qui remonte régulièrement les événements sur l’état des menaces et de vulnérabilités de la cybersécurité du client.

Ce module permet une traçabilité passive, c’est-à-dire que le traceur est indépendant des logs (événements) générés par les équipements de sécurité. En effet, en cas d’attaque, la première opération des cybercriminels est de désactiver les logs des équipements de sécurité. Or si les logs sont corrompus, comment faire la preuve de l’attaque ? D’où l’intérêt de ce traceur indépendant qui enregistre les incidents de la même manière que la boîte noire d’un avion et qui dresse ainsi un historique en cas de sinistre.

La traçabilité de cette CPBox et le service Cyberprotect étant reconnue contractuellement par les compagnies d’assurance, l’entreprise cliente n’a plus à faire la preuve. Tout est géré par Cyberprotect, par son laboratoire et son équipe CERT CYBERPROTECT. Ainsi, en cas de sinistre, le délai de prise en charge est fortement réduit car la preuve est fournie, le dédommagement est rapidement traité par l’assurance et le retour à l’activité pour l’entreprise est réduit.

Plus que la cybersécurité, vivez la cybersérénité.

La cybersécurité se vit et se construit au jour au le jour

Par définition, la sécurité informatique (sécurité du système d’information) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d’information (avec pour objectif la confidentialité, la disponibilité et l’intégrité du SSI). Pour établir cette sécurité, l’entreprise doit mener une analyse de risque, c’est-à-dire identifier ses vulnérabilités et les menaces de son environnement. Suite à cette analyse, les règles de sécurité sont créées en adéquation avec la politique de sécurité (PSSI) définie.

L’erreur serait de penser, à ce niveau, que la sécurité en place est toujours fonctionnelle et que les règles de sécurité sont acquises et vraies tout le temps.

La cybersécurité (dans laquelle s’inscrit la sécurité informatique) n’est pas un environnement statique. Il est au contraire dynamique et en perpétuelle évolution, se confrontant chaque jour à l’apparition de nouvelles menaces. Les attaques de ransomwares, par exemple, ont été multipliées par 2,6 entre 2014 et 2015. Les vulnérabilités de type « zero-day » ont, elles, augmenté de 125% sur ce même ratio de temps d’après le rapport annuel Symantec sur les cybermenaces.

Mesurer le risque en entreprise (analyse des menaces et des vulnérabilités) est une démarche importante qui doit être répétée pour pouvoir réduire la surface d’attaque, c’est-à-dire réduire le temps entre la détection d’une vulnérabilité et l’application de la mise à jour. De plus, les équipements de sécurité ont également besoin d’être mis à jour, et le personnel a besoin d’être formé.

Alors face à cet environnement en constant mouvement, l’entreprise doit elle aussi adopter un comportement dynamique et alerte. La question qui se pose c’est comment gérer la cybersécurité et qui sont les personnes responsables de cette gestion.

Toute entreprise devrait disposer d’une équipe dédiée à la cybersécurité.

Car ceux qui la vivent au jour le jour et qui se confrontent à ces évolutions, ce sont bien les équipes qui exploitent le système de sécurité. Comment sont composées ces équipes ? Idéalement, nous trouvons la direction des systèmes d’information qui définit la politique de sécurité et choisi les moyens de mise en oeuvre. Le responsable du système de sécurité de l’information (RSSI) applique les décisions de la DSI.  Le risk manager, lui, apporte des conseils sur la gestion des risques informatiques pouvant toucher l’entreprise. La cerise sur le gâteau serait en plus une équipe opérationnelle 24H/24 et 7J/7.

Malheureusement ce standard est rarement vérifié.

A la place on observe une fusion très fréquente des rôles RSSI/DSI, évoluant dans un ensemble de domaines variés dont la part consacrée à la cybersécurité est en général faible. Le risk manager reste un métier « nouveau » donc rare, et pas d’équipes opérationnelles 24/7.

Le problème c’est le coût (création et maintien d’une équipe dédiée à la cybersécurité, formation…). Le budget dédié à la cybersécurité est encore faible et insuffisant. Beaucoup d’entreprises n’ont pas de service dédié. Elles ont parfois une équipe qui assume plusieurs rôles et qui n’a pas assez de temps pour se consacrer plus à la cybersécurité. D’autres entreprises font le choix de passer par des prestataires pour réduire ces coûts. Mais comment garantir la sécurité au quotidien avec un prestataire qui vient, en général, une à deux fois par mois pour effectuer des maintenances si besoin, modifier des règles de sécurité si besoin ? Il n’y a pas, dans ce cas-là, d’anticipation possible et la détection de malveillances se fait malheureusement souvent trop tard.

Alors comment savoir si une (nouvelle) menace peut exploiter une vulnérabilité dans l’entreprise ?

La sécurité en place ne le permet pas puisqu’elle est statique et réagit seulement à des règles établies pour répondre à une situation donnée. Pour le savoir, l’entreprise a donc besoin d’effectuer une veille quotidienne et a besoin d’échanger tous les jours avec les différents CERT et laboratoires d’analyse et d’information des risques en cybersécurité. Mettre en place une réelle stratégie de veille permet aux équipes IT de :

  • être plus réactives ;
  • maintenir une écoute active et dynamique de leur environnement ;
  • avoir rapidement connaissance des nouveautés, des opportunités, des tendances ;
  • anticiper des malveillances et corriger les vulnérabilités avant qu’elle ne soient exploitées.

Mais la veille demande du temps et a également un coût. Et peu d’entreprises disposent de ce temps et de la disponibilité de leurs équipes (quand elles en ont). Il faut savoir qu’actuellement, la grande majorité des entreprises sont des TPE/PME et au vu du contexte économique, beaucoup recentrent leurs activités et leur budget sur leur cœur de métier. Les prestataires, quant à eux, n’interviennent que ponctuellement et ne permettent pas de gérer et d’anticiper les risques.

C’est pourquoi des services tels que Cyberprotect effectuent (entre autres missions) de la veille permanente, ce qui représente un véritable atout pour les équipes opérationnelles. Cyberprotect est un service managé qui, par la mutualisation des ressources, se constitue comme une véritable aide pour les entreprises.

Concrètement, Cyberprotect c’est :

  • Un service 24/7 de contrôle et de prévention en continu de la cybersécurité en entreprise
  • Un laboratoire de veille active et permanente qui recense les nouvelles sources de risques
  • Un centre opérationnel qui prévient, communique des informations et des bulletins d’alertes ciblés et personnalisés
  • Une équipe CERT CYBERPROTECT dédiée
  • Une capacité organisationnelle à réagir face à un incident et à le gérer
  • De la prévention par la rédaction de nouvelles règles de sécurité

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

L’humain au cœur de la stratégie cybersécurité

Du smartphone personnel jusqu’au centre hospitalier en passant par un centre de traitement des eaux, tous les acteurs et secteurs sont touchés par des actes de cybercriminalités. Pour autant, malgré le coût direct et indirect de tels comportements malveillants et leur augmentation ces dernières années, le budget consacré à la cybersécurité dans les entreprises reste souvent insuffisant. Une politique de l’autruche ou des moyens limités ?

autruche

Aujourd’hui les entreprises ont compris l’intérêt d’investir en cybersécurité au niveau technique (antivirus, parefeu, antispam…), même si ces budgets restent insuffisants. Mais quels investissements sont faits au niveau humain ? En effet le facteur humain se retrouve très (trop) souvent la cause de vulnérabilités informatiques.
Une étude menée par Solucom montre que :

  • la moitié des collaborateurs (46%) ne connaissent pas les comportements à adopter face à l’ingénierie sociale (manipulation par voie informatique des failles humaines et sociales de l’entreprise pour obtenir déloyalement des informations clés) ;
  • seuls 47% utilisent les bonnes pratiques concernant les mots de passe ;
  • un peu moins de 40% ne connaissent pas les règles de bases sur la protection des données.

Investir dans l’humain c’est le sensibiliser et le former au sujet de la cybersécurité.

Une première démarche est d’établir une politique de sécurité des systèmes d’information (PSSI), mais beaucoup d’entreprises n’en rédigent pas car elles n’ont pas de temps ni de budget à y consacrer.

Par ailleurs, le budget dédié à la sécurité informatique n’est pas extensible. Par exemple, les collaborateurs sont formés sur une version d’un logiciel (pris pour acquis). Mais face aux évolutions rapides des cybermenaces, ce logiciel doit évoluer également et l’entreprise n’a pas un budget flexible pour effectuer la maintenance/mise à jour et pour reformer les collaborateurs.

Pourtant la formation est un pilier essentiel en sécurité informatique. En effet, elle permet aux acteurs sensibilisés et formés une utilisation sûre des produits, des objets et des services qui sont mis à disposition dans et en dehors de l’entreprise. Que vous soyez une PME, une entreprise internationale, un hôpital, ou plus largement, que vous utilisiez Internet : vous êtes concernés.

Vous avez bloqué l’accès à certains sites web au sein de votre entreprise ? Mais quel contrôle exercez-vous sur l’utilisation des smartphones que chacun de vos employés exerce au sein de l’entreprise ? Vos employés connaissent-ils les dangers de sécurité liés à l’IoT ?

Le budget n’est donc pas le seul obstacle pour sensibiliser à la cybersécurité. La communication est toute aussi importante mais elle doit être portée.

Premièrement, par la direction. Tant au niveau de la prise de conscience, que de l’application et de la volonté de faire adhérer à sa politique de sécurité informatique. Pour cela, une bonne pratique est de documenter et d’échanger avec les collaborateurs sur les différents types de menaces, leur nature et surtout leur fonctionnement (découvrez les explications et recommandations de Cyberprotect sur les malwares). En connaissant les méthodes utilisées par ces malveillances pour se répandre, les collaborateurs sauront mieux éviter les pièges.

Deuxièmement, par le service informatique. Mais cette communication doit se faire en prenant en compte que le langage informatique est souvent perçu comme compliqué et réservé à une élite de spécialistes. Si les interlocuteurs ne comprennent pas le langage, ils ne comprendront pas les enjeux ni les impacts et appliqueront encore moins les recommandations. L’important est de communiquer de façon à ce que le discours soit accessible et compréhensible par tous.

La sécurité des informations doit être une responsabilité partagée par tous les acteurs de l’entreprise, que ce soit les collaborateurs, les partenaires, les dirigeants… Beaucoup de bonnes pratiques sont simples à communiquer et à adopter, que ce soit dans le cadre professionnel ou personnel. Cyberprotect vous en propose concernant les mots de passe et les réseaux sociaux.
Côté formation, les Guides ANSSI sont à disposition des entreprises pour aborder le sujet.

Les organismes CERT (Computer Emergency Repsonse Team) sont également présents pour accompagner dans ces démarches de partage de l’information et de sensibilisation aux risques informatiques. Le CERT CYBERPROTECT  vous propose en plus une veille continue et une communication adaptée à tous les profils de l’entreprise.

En conclusion, si les entreprises développent une réelle conscience en matière de cybersécurité, et investissent en moyens technique et en humain, elles ne doivent pas sous-estimer une communication abondante et l’implication de tous les collaborateurs pour responsabiliser les usages et pratiques au quotidien en matière de cybersécurité.

hands

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

 

[Résumé] Veille Cyberprotect mars 2016

Si vous êtes resté un mois enfermé dans une salle serveur, Cyberprotect vous fait le résumé de sa veille…

Les faits marquants

  • Les CTBLocker reviennent en force avec de nouvelles variantes -> lire
  • Etablir une politique de sécurité c’est bien mais contrôler son efficacité c’est mieux -> lire
  • Tendance métier : le data scientist -> lire
  • Intégrer le comportement humain dans les enjeux de la cybersécurité -> lire
  • Le cloud : entre engouement et réserve quant à son adoption -> lire
  • les bonnes pratiques pour se prémunir contre des cyberattaques (Guide ANSSI) -> lire

Les chiffres

  • big data : 90% des données existantes actuellement ont été créées ces deux dernières années -> lire
  • IoT : 80% des objets connectés présenteraient des failles de sécurité -> lire
  • cyberattaques : 9 semaines à une entreprise pour s’en remettre et un coût s’élevant à 772 942€ -> lire
  • 21 : c’est le nombre quotidien moyen de cybermenaces subi par les entreprises françaises -> lire

Ce qui nous a fait rire

 

Dan Piraro - Bizarro Comics : http://www.bizarrocomics.com/

Dan Piraro – Bizarro Comics : http://www.bizarrocomics.com/

 

 

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Venez échanger avec nous sur Twitter, LinkedIn, Facebook

 

En matière de cybersécurité, la PSSI n’est pas suffisante

Virus, rançongiciel, piratage, malveillance, failles du facteur humain… Les cybermenaces sont bien connues et l’impact financier que subissent les entreprises victimes est conséquent. On se rappelle, entre-autre, des rançons s’élevant à plusieurs milliers de dollars pour des hôpitaux victimes de rançongiciels et 773 000€ serait le coût moyen estimé d’une cyberattaque. Face à ces faits, nombreux sont les systèmes de sécurité déployés pour se protéger de ces attaques. Pourtant 100 % des sociétés ayant subi une malveillance étaient sécurisées et la voie d’entrée des cybercriminels tient encore souvent à un simple mot de passe laissé par l’utilisateur lui-même dans son bureau. Alors quels recours pour les entreprises ?

Un élément nécessaire est la construction d’une politique de sécurité des systèmes d’information (PSSI) : un plan d’actions défini pour maintenir un certain niveau de sécurité. L’entreprise y inscrit sa vision stratégique en matière de sécurité des systèmes d’information (SSI). Cette PSSI, qui constitue le principal document de référence, définit les objectifs à atteindre et les moyens accordés pour y parvenir grâce à une analyse des risques du SSI qui aura été préalablement menée.

Lorsque la PSSI est validée par tous les différents acteurs de la sécurité de l’entreprise, elle est ensuite diffusée à l’ensemble des acteurs du système d’information (utilisateurs, exploitants, sous-traitants, prestataires…).

Il faut savoir qu’aujourd’hui, établir une PSSI n’est pas obligatoire, seules existent des recommandations et des bonnes pratiques telles que celles communiquées par l’ANSSI. En réalité, les sociétés rédigeant une PSSI sont en général de grandes entreprises, organisées, structurées, qui ont des services dédiés, du temps et du budget pour élaborer cette politique.

Quid des plus petites sociétés et autres organismes ?

En l’absence de PSSI, c’est souvent le « bon sens », ou des directives orales qui dictent les règles de sécurité. De même, si un partenaire, un fournisseur, un client, ne suit pas la PSSI de l’entreprise avec qui il travaille, alors la sécurité et la protection des données et des documents qui leur sont transmises peuvent être questionnées.

De plus, communiquer la politique de sécurité au sein de l’entreprise ne suffit pas. Encore faut-il que le personnel soit formé pour répondre aux problématiques du SSI.

Chaque personne possède au sein de l’entreprise ses connaissances, son savoir-faire et ses expériences. La perte d’un membre du personnel, pour quelque raison que ce soit, constitue également la perte de ses connaissances, savoir-faire et expériences… Une politique de formation et de transfert des connaissances représente un véritable atout pour l’entreprise, surtout dans un contexte où la sécurité et les menaces informatiques évoluent constamment.

D’autre part, lorsqu’on parle d’évolution de la cybersécurité et surtout des diversifications et des multiplications des cybermenaces, qu’en est-il de la PSSI ?

Sachant qu’à peine la moitié des entreprises françaises évaluent l’ensemble de leurs risques tous les ans et que les PME se sentent encore peu préoccupées par la gestion des risques informatiques (faits communément admis sans toutefois être chiffrés), on peut supposer qu’établir ou revoir une PSSI n’est malheureusement pas une priorité.

Et même si pour ceux qui ont défini une PSSI il semble primordial de la mettre à jour, les contraintes restent fortes : il faut disposer d’une équipe pour réécrire le plan d’actions, le soumettre à validation puis le diffuser à nouveau avec les modifications, ce qui demande du temps. Dès lors, la préoccupation de l’entreprise doit être l’application de ces mises à jour. Comment ? Par un contrôle continu et permanent de l’efficacité de la cybersécurité, tel que le propose des services comme Cyberprotect.

Car effectivement, toute nouvelle mesure ou règle perd de sa pertinence et de sa raison d’être si son application et son efficacité ne sont pas contrôlées. La confiance direz-vous ? Plusieurs exemples récents de piratages et de déploiement de maliciels nous montre que la confiance n’empêche pas la pénétration des systèmes de sécurité par des cybercriminels, que ce soit à causes de failles humaines ou techniques (partage de mot de passe (ang) ou vente, usurpation d’identité).

Alors sans rentrer dans de la paranoïa effrénée, et même si Andy Grove, Président d’Intel, disait « Seuls les paranoïaques survivent« , gardons à l’esprit que la définition d’une PSSI c’est bien, mais contrôler son application et son efficacité, c’est mieux.

Cécile FIORE – CM & Marketing – Cyberprotect

Protéger, renforcer, anticiper : le big data au service de la cybersécurité

Grâce au big data (ensemble de technologies et de méthodes analytiques qui rendent possible l’analyse de très vastes ensembles de données hétérogènes), l’entreprise peut être mieux à l’écoute et mieux comprendre son environnement, ses clients, ses usagers. Le big data peut également contribuer à la réduction des coûts ou encore à l’anticipation des comportements à risque. Toutefois ce n’est pas un concept nouveau malgré l’intérêt croissant que l’on observe dernièrement. Il se trouve que nous possédons désormais les outils et les technologies performants et efficaces qui permettent de collecter et de traiter cet important volume de données. Beaucoup de secteurs d’activités comme le transport (UPS, SNCF), l’agriculture, la publicité ou encore la cybersécurité (ce qui nous intéresse ici) se tournent vers le big data.

Les objectifs pour la cybersécurité sont de pouvoir optimiser et renforcer la sécurité déjà présente dans les entreprises et de pouvoir dans un second temps anticiper des comportements à risque.

On estime que 90% des données existantes actuellement ont été créées ces deux dernières années. L’exemple de Cyberprotect, service de contrôle continu et de prévention de la cybersécurité, nous permet de rendre compte de ce volume d’informations croissant : aujourd’hui, pour 100 clients, Cyberprotect traite 80 millions d’événements par jour. Il y a 5 ans, pour 100 clients, Cyberprotect en traitait moins de 1 million par jour. Autant de données que le big data traite et analyse en temps réel, contribuant ainsi à la diminution des risques par une meilleure détection des menaces, la détection des fraudes et renforçant la gestion de la sécurité informatique.

Le big data offre également à l’entreprise de nouvelles possibilités et opportunités d’analyser son environnement et surtout de détecter et de prévenir des tendances, des menaces et des comportements à risque.

Parmi ces menaces on retrouve par exemple les APT, « menaces avancées persistantes » : attaques « low & slow » qui utilisent plusieurs outils, techniques et méthodes de ciblages, et qui s’inscrivent dans la durée. Ces attaques sont donc très complexes à détecter. Selon une étude du Ponemon Institute, il faut entre 98 et 197 jours, soit 3 à 6 mois (selon les secteurs) pour détecter une attaque avancée contre le système d’information. Dorénavant, grâce à la technologie big data d’analyse en temps réel, ce type d’attaques et autres comportements à risque peuvent être rapidement identifiés. Cyberprotect détectait déjà des comportements à risque en quatre heures il y a cinq ans et est désormais capable de les détecter en moins d’une heure.

Si les nouvelles technologies nous permettent une telle collecte et analyse de données, il n’en reste pas moins important et même nécessaire d’interpréter ces données, leur donner du sens et de la valeur, sans quoi elles seront inexploitables pour l’entreprise.

Le data scientist : l’expert des données

C’est ici qu’intervient la science des données, data science, qui consiste à l’extraction de connaissance de données. Le data scientist est chargé de produire des (nouvelles) méthodes/outils de tri et d’analyse des données massives qui vont lui permettre d’extraire les informations utiles et pertinentes en fonction des objectifs fixés par son entreprise. Pour cela il va s’appuyer sur des outils mathématiques, statistiques, informatiques mais également sur des outils de visualisation des données.

datascience

 

Source : https://en.wikibooks.org/wiki/Data_Science:_An_Introduction/A_Mash-up_of_Disciplines

En véritable stratège, il construit des algorithmes plus efficaces en termes de recherche et de ciblage, il modélise les données et dégage des indicateurs pertinents et intelligibles. Il est ensuite capable de prodiguer des recommandations grâce à sa compréhension aigüe des enjeux business de son entreprise. Le data scientist est de nos jours un profil très demandé pour ses multiples compétences…

multipass

 

Cécile FIORE – CM & Marketing – Cyberprotect

Les Objets connectés : futures cibles de la cybercriminalité

Plusieurs études s’accordent à dire que d’ici 2020, plus de 30 milliards d’objets seront branchés sur le réseau.  L’IDATE (Institut de l’audiovisuel et des télécommunications en Europe) estime qu’il y aurait à l’heure actuelle 15 milliards d’objets connectés à internet (IoT – Internet of Things) contre 4 milliards seulement en 2010. Pour autant, le concept semble rester « flou » pour beaucoup d’internautes. D’après une enquête réalisée par l’institut d’études Havas media, 81% des internautes (15/49 ans) aurait déjà entendu parler des objets connectés mais seulement 55% d’entre eux sont capables de les définir.

L’internet des objets connectés est un réseau de réseaux permettant la transmission de données entre objets physiques et virtuels par connexion directe (wifi par ex), par l’intermédiaire de smartphones (en bluetooth par exemple ou autres protocoles de communication).
Les objets connectés se définissent comme étant des objets dont la vocation première n’est pas d’être un périphérique informatique. Toutefois ces objets prennent une valeur supplémentaire en termes de fonctionnalité, d’information ou encore d’interaction dès qu’une connexion Internet leur est ajoutée. On retrouvera parmi ces objets les wearable technology à savoir les montres cardio, les lunettes connectées Google Glass… On notera également la lampe DAL, premier objet connecté de Violet, commercialisée en 2003.

Attention, les objets connectés sont à distinguer des interfaces d’accès au web. Celles-ci peuvent prendre la forme d’un objet connecté mais n’en sont pas. Exemple un smartphone, un PC (fixe ou portable), une tablette…

Plusieurs domaines ont profité de l’opportunité représentée par l’IoT comme la santé et la domotique. Pour la santé, l’impact financier est considérable : à titre d’exemple les balances connectées représentaient 8 millions d’euros en 2015, soit 13.3% des parts de marché du segment des objets connectés, ou encore les montres connectées qui en représentaient 46%, soit un volume de ventes de 28 millions d’euros.

La domotique connaît un essor important grâce aux objets connectés, notamment les objets de sécurité connectés, les objets intelligents de gestion d’énergie (société Nest récemment rachetée par Google) ou encore de gestion de l’éclairage (ampoule « Hue » de Phillips). Le marché des objets connectés pourrait représenter 15 milliards d’euros en 2020.

Les objets connectés sont donc accessibles à tous : particuliers, clients, entreprises, employés…

C’est pourquoi l’IoT a aujourd’hui pris tant d’ampleur. Et si bon nombre d’entreprises reconnaissent aujourd’hui construire des stratégies autour de l’IoT, beaucoup confient se sentir en insécurité face à la croissance importante des objets connectés en leur sein dont le manque de protections, de sécurité pourrait leur porter défaut.

Par exemple, un dispositif IoT branché à un ordinateur de bureau peut, s’il possède des failles de sécurité, donner un accès total au réseau de l’entreprise à un cybercriminel.

La menace réelle pour l’entreprise c’est l’objet au sein de l’environnement de l’IoT, plus que les informations contenues dans l’objet.

Le problème de la sécurité des objets connectés comprend plusieurs éléments :

  • le coût ;
  • les industriels et les jeunes entreprises qui se lancent dans les objets connectés mais qui n’ont pas forcément la culture de la sécurité informatique ;
  • l’accroissement rapide et la constante évolution des objets connectés (à terme ces objets devraient pouvoir interagir de manière autonome comme par exemple un réveil connecté à un smartphone programmé par l’agenda électronique de l’utilisateur).

Aujourd’hui, on estime à 80% le nombre d’objets connectés présentant des failles de sécurité, soit 4 milliards d’appareils… Ce ne sont plus seulement des objets design et innovants avec de nouvelles fonctionnalités attractives, ce sont également de nouvelles portes d’entrée pour les hackers qui mettent en péril la sécurité des entreprises. Et la surface d’attaque augmentera avec chaque nouvel objet connecté.

Encore une fois, l’usage qu’en fait le particulier, autrement dit, le comportement adopté par l’utilisateur (plus ou moins informé des mesures de sécurité s’appliquant à l’entreprise) impacte la sécurité de l’entreprise (confidentialité de ses données clients, disponibilité du SI…).

De plus, il n’y a pas encore de cadre juridique précis, seulement des recommandations de la CNIL.

La question se pose alors : que faire en cas de dommages, de préjudices liés aux objets connectés ?

En 2005, Cyberprotect a fait le pari de répondre aux enjeux des dommages et préjudices en matière de systèmes d’information des entreprises. De la même façon et d’un point de vue technique et assurantiel, les experts Cyberprotect travaillent déjà sur le sujet de l’IoT.

Cécile FIORE – CM & Marketing – Cyberprotect

Failles de(s) sécurité(s), failles humaines : et si on traitait les deux ?

Une nouvelle étude de NTT Com Security estime qu’il faudrait neuf semaines à une entreprise pour se remettre d’une attaque et que cela lui coûterait 907 053 dollars en moyenne (soit 772 942€)…

[Bulletin d’Alerte Cyberprotect] Campagne Rançongiciel, techniques préventives

Les campagnes de Rançongiciel, notamment Locky (https://www.cyberprotect.fr/nouvelles-vagues-de-rancongiciels-comportement-conseil-solution/), continuent petit à petit à faire des victimes.

Pour rappel, la technique est simple : un courriel parfaitement rédigé en Français, reprenant les logos et couleurs de sociétés existantes est envoyé en masse aux entreprises.

Le courriel contient une pièce jointe, souvent un fichier Javascript « .js » qui une fois ouvert va chiffrer les fichiers présents sur le poste de l’utilisateur ainsi que ceux accessibles via un partage réseau.

Inutile donc de préciser que les dégâts peuvent-être considérables.

Parfois difficile à bloquer via les outils Anti-SPAM, le CERT CYBERPROTECT a cherché une mesure simple pour limiter la portée de l’ouverture de ces pièces jointes.

La première mesure est évidemment de sensibiliser les utilisateurs au traitement de leur courriel : https://www.cyberprotect.fr/labo/conseils/courriel/

La seconde est plus technique mais permet de limiter l’impact si un utilisateur ouvre une pièce jointe : il suffit de changer sur les postes, le programme par défaut qui ouvre les fichiers .js ou .vbs (deux types de fichiers exécutants des scripts).

Il suffit de modifier certaines clés du registre Windows. Pour cela, modifier les entrées « Edit », « Open » et « Open2 » suivantes :

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command

Modifiez les entrées par défaut « C:\Windows\System32\CScript.exe %1 » et « C:\Windows\System32\WScript.exe %1 »

par « C:\Windows\System32\Notepad.exe %1 »

Ainsi, si un utilisateur ouvre un fichier .js , il ne sera pas exécuté mais simplement ouvert avec le Bloc Note.

Cette solution semble intéressante car elle peut être déployée sur l’ensemble d’un parc via GPO.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

“.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
“.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
“.scf”, “.lnk”, “.inf” , “.reg”, “.dll”
“.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
“.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu’on les ouvre :
“.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
“.htm”, “.html”
“.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.docx”, “.rtfx”, “.pptx”, “.xlsx” ,“.odt”

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

En cas de doute, n’hésitez pas à nous solliciter.