Articles

Le contrôle en continu : élément clé d’une cybersécurité assurée

La cybersécurité est devenue un élément incontournable et essentielle à prendre en compte dans la vie d’une entreprise. Aujourd’hui, il existe de nombreuses solutions de sécurité afin de protéger les infrastructures d’éventuelles attaques. Cependant, ces solutions n’empêcheront jamais qu’un incident, mineur ou majeur, intervienne au sein des sociétés. Actuellement, une intrusion par un virus, un malware, … est détectée environ deux à trois mois après sa première intrusion. Pendant ce laps de temps, un certain nombre de données peuvent être récupérées ou compromises (mot de passe, données confidentielles, etc), ce qui est nuisible au bon fonctionnement et à la réputation des entreprises. Afin de répondre à ce problème, il est devenu nécessaire de pouvoir contrôler en continu l’ensemble des flux réalisés au sein des systèmes d’informations.

Un rôle réactif mais également préventif

Prenons l’exemple de l’hameçonnage (ou phishing). Lorsqu’une personne renseigne ses coordonnées bancaires sur un site non légitime ayant pris l’apparence d’un site officiel, le temps de détection de la fraude est bien trop long pour empêcher toutes actions du pirate informatique. De manière générale, et malgré l’augmentation des sensibilisations, il est devenu compliqué de corriger techniquement la faille humaine sans impacter le travail du personnel. Avec le contrôle des flux en continu, le temps de détection est considérablement réduit et les actions permettant de contrer les menaces peuvent rapidement être effectuées. De plus, le contrôle en continu peut également avoir un rôle préventif. Dans ce cas, il permet de détecter les failles présentes sur le réseau et de remonter l’ensemble des informations pour effectuer les corrections nécessaires avant qu’une attaque soit réalisée.

Retour d’expérience du CERT Cyberprotect

Pour continuer dans l’exemple précédent, le CERT Cyberprotect est intervenu sur une tentative d’hameçonnage ayant abouti chez un de ses clients. Le 12 juillet 2016 à 11h58, une personne, qui pensait visiter le site de sa banque, a saisie l’ensemble de ses informations de connexion (identifiant + mot de passe) et l’ensemble de ses informations bancaires (numéro de carte bancaire, cryptogramme visuel, numéro de compte, …). L’alerte est rapidement remontée par l’équipement présent chez le client, puis analysée par le CERT Cyberprotect. L’information de l’hameçonnage réussi est alors transmise au client à 12h27 pour que ce dernier puisse prendre les dispositions nécessaires auprès de son établissement bancaire. Dans ce cas de figure, le faux site internet avait repris, à l’identique, les mêmes pages internet que le site web d’origine. Seul l’url aurait pu permettre à la personne concernée de suspecter une tentative d’hameçonnage bien que l’url contenait le nom de la banque. Le contrôle en continu a permis une détection et une intervention rapide pour bloquer les prélèvements sur le compte bancaire concerné. De plus, le faux site bancaire a été signalé à « Phishing initiative » par le CERT Cyberprotect pour éviter que d’autres personnes ne renseignent leurs données sur ce site.

Schéma Cyberprotect

Le contrôle en continu par Cyberprotect

La gestion du risque par Cyberprotect

Pour répondre à ce besoin de contrôle, Cyberprotect a mis en place un service de gestion du risque pour les entreprises, à travers la surveillance et l’optimisation en continue de leur cybersécurité. A la différence des SIEM (voir l’article https://www.cyberprotect.fr/siem-vs-cyberprotect/),  Cyberprotect contrôle en continu, et de manière indépendante, la cybersécurité de ses clients afin de  détecter si le système d’information est victime d’une cyberattaque. En cas de connexion suspecte, les équipes du CERT Cyberprotect procèdent alors à une levée de doute, et en cas de forte suspicion ou d’infection, fournissent les mesures nécessaires à l’éradication de la menace. A travers des solutions telles que Cyberprotect, qui utilise et exploite le contrôle des flux en continu, les entreprises bénéficient d’un niveau de service leur permettant d’assurer leur cybersécurité, et par conséquent, le bon fonctionnement de leur entreprise.

Yoann JOUVENT – Coordinateur au CERT Cyberprotect

 

Vulnérabilité dévoilée sur des appareils médicaux

Billy Rios et Terry McCorkle, chercheurs en sécurité chez Cylance, ont mis en lumière une vulnérabilité affectant environ 300 dispositifs médicaux répartis sur 40 vendeurs. Les mots de passe sont en effet codés en dur, ce qui pourrait être exploité pour éventuellement modifier les paramètres critiques et/ou modifier le firmware des appareils.

L’ICS-CERT (Industrial Control Systems-CERT) et la FDA (Food and Drug Administration) ont informé les fournisseurs concernés par ce rapport et demandé aux vendeurs de confirmer la vulnérabilité décrite. Ils demandent également d’apporter des réponses afin de réduire les risques d’attaques.

Dans la liste des appareils concernés on trouve : des appareils chirurgicaux et d’anesthésie, des ventilateurs, des pompes à perfusion de médicaments, des défibrillateurs, des moniteurs de surveillance, des équipements d’analyse…

L’ICS-CERT et la FDA précise qu’ils ne savent pas si un patient a déjà subi un quelconque traumatisme à la suite d’une exploitation de cette vulnérabilité par un attaquant.

Cette alerte permet de rappeler la criticité des appareils médicaux. Ces équipements peuvent être paramétrables à distance ou via des technologies sans fil, il ne faut pas négliger leur sécurité car il y a un enjeu vital direct. On cite souvent en exemple, le cas de la pompe à insuline pour laquelle on peut modifier le dosage pour le rendre fatal (cf http://labo.cyberprotect.fr/?p=202).

[Source]

La cybersécurité des institutions de l’UE a été renforcée suite au succès d’un projet pilote

Les institutions de l’Union européenne ont renforcé leur lutte contre les menaces informatiques en créant, sur une base permanente, l’équipe d’intervention en cas d’urgence informatique de l’UE, ou CERT-UE. Cette décision fait suite au succès d’un projet pilote mené pendant un an par l’équipe, qui a reçu des appréciations positives de la part des clients et des pairs.

M. Maroš Šefčovič, vice-président de la Commission, a déclaré à ce sujet: «Les institutions de l’UE, comme toute autre grande organisation, sont fréquemment l’objet d’incidents menaçant la sécurité de l’information. La CERT-UE nous aide à mieux nous protéger contre ces menaces. Il s’agit d’un très bon exemple de ce que les institutions de l’UE peuvent accomplir lorsqu’elles travaillent ensemble. Nous voulons que notre CERT se classe parmi les meilleures, en coopérant étroitement avec les autres équipes de la communauté CERT et en contribuant ainsi à la cybersécurité de tous.»

Mme Neelie Kroes, vice-présidente de la Commission, a déclaré: «La cybersécurité est une priorité pour la prospérité et la compétitivité de l’Europe. Les institutions de l’UE peuvent désormais compter sur une CERT permanente pour contrer des menaces informatiques plus en plus sophistiquées. Par cette décision, nous joignons l’acte à la parole.»

Ces dernières années, des CERT ont été créées tant dans le secteur public que dans le secteur privé, sous la forme de petites équipes de cyberexperts capables de répondre rapidement et efficacement aux incidents touchant à la sécurité de l’information et aux menaces informatiques. Elles se sont révélées un élément clé de la stratégie de défense contre ces menaces par la prévention, la détection et la correction des vulnérabilités et des failles. Elles avertissent leurs clients des points faibles ou des menaces et font des recommandations concernant les mesures à prendre pour atténuer les risques. Elles contribuent à déceler les systèmes défaillants et les attaques et à prendre des mesures appropriées pour y mettre un terme et/ou y remédier. Elles sont fortement interconnectées les unes avec les autres, créant ainsi une communauté d’experts luttant pour la cause commune de la cybersécurité.

Dans la stratégie numérique pour l’Europe, adoptée en mai 2010, la Commission s’est engagée à mettre en place une CERT pour les institutions de l’UE, dans le cadre d’un engagement général en faveur d’une politique renforcée et de haut niveau en matière de sécurité des réseaux et de l’information en Europe. La stratégie numérique invite aussi les États membres à créer leurs propres CERT en vue d’établir, d’ici à 2012, un réseau européen des équipes d’intervention des administrations publiques. Les CERT auront également une place centrale dans une prochaine communication sur la stratégie en matière de cybersécurité.

Contexte

Les ressources de la CERT-UE lui sont fournies par les grandes institutions (Commission européenne, Conseil, Parlement européen, Comité des régions et Comité économique et social) et agences de l’Union européenne, notamment l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). Ses travaux sont placés sous la direction d’un comité de pilotage interinstitutionnel.

La CERT-UE travaille en très étroite collaboration avec les services chargés de la sécurité informatique interne des institutions de l’UE et en liaison avec la communauté des CERT et les entreprises de sécurité informatique dans les États membres et ailleurs, tous échangeant des informations sur les menaces et la manière de les contrer.

[Source : Commission européenne]