Articles

La gestion des risques avec Cyberprotect

Pour tout comprendre du fonctionnement Cyberprotect en matière de gestion du risque informatique, lisez notre infographie !

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

Administrations publiques : les oubliées de la cybersécurité mais pas des pirates informatiques !

Cyber-risques, cyber-attaques, les menaces informatiques sont aujourd’hui bien présentes dans l’esprit des entrepreneurs français. D’autres victimes telles que les particuliers sont également de plus en plus concernées. Il y a toutefois d’autres cibles rarement évoquées et qui pourtant jouent un rôle primordial dans la vie des citoyens et dans leur sécurité, notamment informatique. Ce sont les administrations publiques.

Parmi leurs fonctions, la gestion directe des services publics tel que l’aide sociale, l’éducation nationale, ou encore la gestion du service de l’eau par exemple. Ces administrations connaissent, elles aussi, la numérisation de leur fonctionnement : les documents, les déclarations et autres démarches administratives sont désormais enregistrées informatiquement et stockées sur le réseau de l’administration. De plus en plus de services sont également accessibles en ligne pour récupérer des données, des informations ou des documents.

Si actuellement les entreprises se posent cette question majeure et essentielle de savoir qui gère la sécurité informatique en leur sein, qu’en est-il des administrations publiques ?

Qui gère la sécurité informatique et qui est responsable de la cybersécurité de l’organisme ?

S’il y a un responsable, il n’est malheureusement souvent pas connu. D’après le rapport Primofrance paru en Septembre 2015, 85% des collectivités ne savent pas si un agent est affecté à la problématique de la sécurité informatique et moins de 15% des collectivités ont pris connaissance du Référentiel Général de Sécurité édité par l’ANSSI (RGS).

Quel est le risque, l’impact si une administration publique est touchée par une cyber-attaque ?

Plusieurs conséquences :
– paralysie d’un ou plusieurs services pouvant empêcher le bon fonctionnement de l’éclairage public par exemple ou du service des eaux
– paralysie de la communication sur le territoire puisqu’en effet les administrations publiques ont un devoir d’information notamment en cas de risques (naturels, technologiques…).
– atteinte aux données sensibles : vol des données personnelles (identités, informations relatives aux impôts ou encore au domaine de la santé comme l’assurance maladie par exemple), divulgation ou revente des données, perte pure…

L’impact est donc fort car la population est également victime en cas de malveillances dirigées contre une administration publique.

Le retard dans cette prise de conscience et dans les actions mises en œuvre est malheureusement dû à un manque d’information et de formation (10% des sondés organisent des formations de sensibilisation) mais également dû à un budget qui n’est pas, ou trop peu, attribué à la sécurité informatique.

Quelle solution pour ces collectivités ?

Au-delà de la mise en pratique immédiate des bonnes pratiques, de la sensibilisation active des agents concernant la sécurité informatique, des services tels que Cyberprotect proposent des solutions packagées pour assurer la cybersécurité de l’organisme.

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les actes de cybercriminalités se comptent en nombre et de façon récurrente. Beaucoup d’entreprises, d’administrations ou de commerces sont victimes de cyberattaques. Parmi ces attaques nous trouvons des logiciels malveillants comme les rançongiciels. Pour citer l’ANSSI, « c’est une technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. »

Ces rançongiciel sont de plus en plus présents en ce moment et se renouvellent. Actuellement les alertes portent sur le rançongiciel Locky qui se propage via un e-mail de relance qui contient une facture sous le format Word. Ce serait ce même logiciel qui aurait attaqué il y a quelques jours un centre hospitalier américain, perturbant et endommageant considérablement ses activités.

http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php

http://www.lemonde.fr/pixels/article/2016/02/18/un-hopital-americain-paye-une-rancon-a-des-pirates-informatiques_4867296_4408996.html

Malheureusement ce type de logiciel malveillant n’est pas nouveau et s’inspire même de maliciels déjà connus comme le trojan bancaire Dridex. Plusieurs campagnes de prévention avaient été déployées suite à l’identification de ce maliciel par l’ANSSI notamment, mais également par Cyberprotect, service de contrôle et de prévention en continu de la cybersécurité en entreprise :

https://www.cyberprotect.fr/bulletin-dalerte-Cyberprotect-campagne-courriel-malveillant-trojan-bancaire-dridex/

La principale raison d’être et/ou motivation de ces cyberattaques est d’extorquer de l’argent à leur victime, comme ce fut le cas pour cet hôpital américain cité plus haut qui a dû s’acquitter de 17 000 dollars de rançon pour pouvoir rétablir son activité. Et ce n’est qu’une victime parmi d’autres. La propriété intellectuelle de l’entreprise est également visée par ce type d’attaque.

Se pose maintenant la question : comment se prémunir contre ces cyberattaques ?

Une première chose est de ne pas cliquer sur un lien ou d’ouvrir une pièce jointe dont on ne connait pas la provenance. Maintenir le système d’exploitation ainsi que les antivirus à jour est également une bonne pratique. Toutefois, avec le volume de données échangées, il est devenu plus difficile d’éviter ces attaques dont les techniques d’infection se font toujours plus subtiles et discrètes.

Des solutions existent pour contrôler l’efficacité de votre sécurité et les comportements sur votre réseau comme le propose le service Cyberprotect. Par l’analyse du comportement sur votre réseau, Cyberprotect est capable de détecter une malveillance (non connue par les antivirus). Lorsque ce comportement anormal est détecté, l’alerte est immédiatement envoyée au centre d’opération Cyberprotect qui interviendra alors sur cet événement. Par la suite, et en attendant que les éditeurs d’antivirus fournissent des signatures, de nouvelles règles de comportement sont créées et communiquées aux clients Cyberprotect pour être appliquées en prévention de l’attaque identifiée.

[MàJ 01/07/2015] – [Bulletin d’alerte Cyberprotect] Campagne courriel malveillant – Trojan Bancaire Dridex

MàJ 04/08/2015

La menace reste toujours d’actualité. Les envois envoi de courriels malveillants continue.

Les adresses IP varient régulièrement, cependant, on note une constante dans les URL.

Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/*.php  » (où * est une variable aléatoire) .

Dans le cas où le service « Pastebin..com » n’est pas utilisé il est recommandé de bloquer ce site sur les différents équipements de sécurité.

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.


 

MàJ 01/07/2015

La menace reste toujours élevée à ce jour. Une nouvelle vague d’envoi de courriel malveillant a eu lieu en ce début de semaine.

Les adresses IP varient régulièrement, cependant, on note une constante dans les URL.

Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/get*.php  » (où * est une variable aléatoire) .

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.

Lire la suite

[Bulletin d’alerte Cyberprotect] Faille critique Ghost sur systèmes GNU/Linux

Une faille critique touchant un grand nombre de systèmes GNU/Linux vient d’être rendue publique. Elle concerne l’exploitation d’une vulnérabilité dans Glibc (GNU C Library)

Glibc une bibliothèque standard permettant d’implémenter des opérations courantes programmées dans le langage C

Le fait que la majorité des systèmes utilise Glibc rend cette vulnérabilité particulièrement critique, notamment les serveurs Web et toutes autres machines exposées à l’Internet.

Cette faille de Glibc permet d’exécuter n’importe quelle commande sur les machines vulnérables avec pour conséquences la prise de contrôle de la machine, et ce, sans besoin d’authentification

Cette faille semble être facilement exploitable depuis l’extérieur puisqu’il semblerait que l’on puisse prendre la main sur un serveur de messagerie simplement en envoyant un courriel.

La vulnérabilité a pour référence :

CVE-2015-0235 –> https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235

Des correctifs de sécurité corrigeant la vulnérabilité sont disponibles auprès des éditeurs des différentes distributions GNU/Linux.

Nous vous invitons à mettre à jour vos systèmes en vous focalisant en priorité sur les machines accessibles depuis l’extérieur de votre réseau (serveur de messagerie, serveur Web,…)

N’hésitez pas à diffuser ce message à vos contacts.

L’ ENISA établit la liste des menaces cybernétiques les plus fréquentes dans son Rapport sur les menaces cybernétiques de cette année

L’Agence européenne de cybersécurité ENISA a publié son Rapport annuel sur les menaces cybernétiques 2013, où elle analyse plus de 200 rapports et articles accessibles au public. Les questions posées sont les suivantes : Quelles sont les menaces cybernétiques les plus fréquentes ? Qui sont les malfaiteurs ? Quelles sont les tendances lourdes des menaces cybernétiques dans l’environnement digital ? Parmi les conclusions principales du rapport, l’on peut souligner que les menaces cybernétiques sont devenues mobiles et que l’application de mesures de sécurité par les utilisateurs finals permettrait de réduire le nombre d’incidents cybernétiques de 50% à l’échelle de la planète. Cette étude est publiée en même temps que la réunion de haut niveau annuelle de l’Agence se tenant à Bruxelles le 11 décembre.

Le rapport sur les menaces cybernétiques de l’ENISA présente les menaces cybernétiques les plus fréquemment survenues en 2013 et identifie les tendances émergentes. En 2013, d’importantes nouveautés, des changements significatifs et des succès remarquables ont laissé leur emprunte dans le paysage des menaces cybernétiques. Des évolutions négatives mais aussi positives ont façonné ces tendances, notamment :

Les tendances négatives de 2013 :

  • Les responsables des menaces ont sophistiqué leurs attaques et leurs outils.
  • De toute évidence, les activités cybernétiques ne concernent pas seulement une poignée d’Etats-nations ; de nombreux Etats ont ainsi développé de très bonnes capacités pour infiltrer les cibles gouvernementales mais aussi privées.
  • Les menaces cybernétiques deviennent mobiles : les schémas d’attaques et les outils visant les PC développés il y a quelques années ont désormais évolué vers l’environnement mobile.
  • Deux nouvelles batailles digitales ont émergé : les big data et l’Internet des objets.

Les évolutions positives dans les tendances des menaces cybernétiques en 2013 comprennent :

  • D’importants succès en ce qui concerne l’application de la loi ; l’arrestation par la police de la bande criminelle responsable du virus « gendarmerie » (Police Virus) ; l’opérateur de la « Route de la soie » (Silky Road) ainsi que le développeur et l’opérateur du « Trou noir » (Blackhole), le kit d’outils d’exploitation le plus populaire, ont également été arrêtés.
  • La qualité mais aussi le nombre de rapports ainsi que les données concernant les menaces cybernétiques ont augmenté.
  • Les fournisseurs ont gagné en rapidité en corrigeant leurs produits grâce à des patchs pour répondre à ces nouvelles vulnérabilités.

Un tableau des menaces les plus fréquentes et de leurs tendances établit les trois menaces principales : 1. les téléchargements « Drive-by » (Drive-by downloads), 2. les vers/les Chevaux de Troie et 3. les injections de code.

Les questions prioritaires restant ouvertes sont :

  • Les utilisateurs finaux manquent de connaissances mais devraient toutefois être mieux impliqués. L’application de mesures de sécurité simples par les utilisateurs finals réduit le nombre d’incidents cybernétiques de 50% à l’échelle mondiale !
  • De nombreux acteurs travaillent à la résolution des mêmes problèmes de collecte de l’information concernant les menaces et de leur analyse. Une meilleure coordination de la collecte de l’information, de son analyse, de son évaluation et de sa validation au sein des organisations concernées est nécessaire.
  • L’importance d’accélérer la vitesse de la détection et de la dissémination des menaces en réduisant les cycles d’évaluation a été soulignée.

Le directeur exécutif de l’ENISA, le professeur Udo Helmbrecht, fait remarquer que : « L’analyse des menaces fournit une information indispensable pour la communauté de la cybersécurité concernant les menaces principales qui touchent le cyberespace, les tendances de ces menaces et la façon dont les malfaiteurs mettent leurs attaques au point en usant de ces menaces ».

 

Voir le rapport complet [ici]

Retrouvez ce communiqué de presse sur le site de l’ENISA [ici]

Cybersécurité : trop d’entreprises sont encore convaincues qu’elles sont à l’abri

Des recherches récentes du cabinet Deloitte ont mis en évidence que les entreprises du secteur des technologies, des médias et de la télécommunication sont convaincues qu’elles sont à l’abri des cyber-attaques et des violations de données.

L’étude révèle que 88% des entreprises interrogées ont indiqué qu’elles ne pensaient pas être vulnérables aux cyber-menaces externes. Malgré cette confiance, 74% ont exprimé une crainte vis-à-vis d’un manquement de sécurité d’un tiers, 70% estiment que les erreurs des employés sont une menace majeure car il y a un manque de sensibilisation à la sécurité.

Encore une fois, on met en évidence le fait que les principaux intéressés sont conscients des risques en matière de cybersécurité mais que cela n’arrive qu’aux autres. Les cyber-attaques ont des conséquences de plus en plus importantes, notamment lorsque les informations relatives à des données commerciales sont dérobées.

Les entreprises ont besoin d’être plus avant-gardiste, en prenant des mesures dès le départ qui permettront  non seulement d’assurer le respect des règles de conformité, mais aussi de garantir que les informations critiques de l’entreprise seront à l’abri des menaces internes et externes.

Il est temps pour le département informatique de s’éloigner de la routine quotidienne de lutte contre l’incendie, et de se concentrer au mieux pour protéger l’entreprise contre les menaces de demain.

[Source]

Nouveau rapport sur les tendances majeures du premier panorama des cyber menaces, développé par l’ENISA

L’agence de  Cybersécurité européenne – l’ENISA – a publié la première et la plus complète analyse du panorama des cyber-menaces de l’année 2012, résumant plus de 120 rapports de menaces. Le rapport identifie et énumère les principales menaces et leurs tendances, et conclut que les attaques de type « drive-by » sont devenues les principales menaces cybernétiques.

Le rapport de l’ENISA concernant le panorama des menaces résume 120 rapports récents de 2011 et 2012 provenant de l’industrie de la sécurité, des réseaux d’excellence, des organismes de normalisation et d’autres tierces parties indépendantes, faisant de ce rapport la plus complète synthèse disponible au monde actuellement. Le rapport propose un aperçu indépendant des menaces observées et des risques ainsi que les principales menaces actuelles, et les nouvelles tendances des cyber-menaces. En outre, le rapport analyse « le cyber ennemi » ; l’identification ainsi que le top 10 (sur un total de seize) des menaces dans le domaine des technologies émergentes. Les zones étudiées sont l’informatique mobile, les médias sociaux, les infrastructures essentielles, les infrastructures de fiducie, le Cloud et le Big Data.

Le top 10 des menaces identifiées est :

1. Les attaques « Drive-by » (code malveillant injecté afin d’exploiter les vulnérabilités du navigateur Web

2. Les virus Vers / Trojans

3. Les attaques d’injection de code

4. Les Kits d’exploitation (programme prêt à l’emploi afin d’automatiser le cyber-crime)

5. Les Botnets (ordinateurs hackés contrôlés à distance)

6. Les Attaques par déni de service (DDoS/DoS)

7. Le Phishing (fraude via courriels et sites internet)

8. La compromission des informations confidentielles (violation de données)

9. Rogue ou scareware

10. Les courriers indésirables

Enfin, l’Agence apporte un certain nombre de conclusions pour l’industrie et ses intervenants sur la façon de mieux lutter contre les cyber menaces pour les entreprises, les citoyens et l’économie numérique au sens large:

  • Utiliser une terminologie commune dans les rapports de menaces
  • Prendre en compte la perspective de l’utilisateur final
  • Simuler des cas d’utilisation pour les panoramas de menaces
  • Recueillir les renseignements des incidents de sécurité, y compris le point de départ et la cible d’une taque
  • Effectuer un changement dans les contrôles de sécurité pour tenir compte des tendances des menaces émergentes
  • Recueillir et élaborer de meilleures preuves concernant les vecteurs d’attaque (méthodes) afin de comprendre les flux de travail d’attaque
  • Recueillir et élaborer de meilleures preuves concernant l’impact atteint par les attaquants
  • Recueillir et conserver des informations plus qualitatives sur les agents de menace

Le directeur exécutif de l’ENISA, le Professeur Udo Helmbrecht a déclaré : « Je suis fier que l’Agence s’engage dans ce travail d’envergure afin de mieux comprendre la composition des cyber menaces actuelles. C’est la première et la plus complète analyse sur les menaces cybernétiques connues à ce jour et un point de référence pour les cyber décideurs en termes de politique de sécurité pour toutes les parties prenantes.»

Retrouvez le rapport complet [ici] et ce communiqué sur le site de l’ENISA [ici]

L’ANSSI publie un guide sur la Cybersécurité des systèmes industriels

Les systèmes de contrôle-commande industriels connaissent aujourd’hui deux évolutions majeures. Autrefois isolés et reposant sur des protocoles de communication spécifiques, ils adoptent aujourd’hui les technologies de l’Internet et sont de plus en plus connectés aux autres systèmes d’information de l’entreprise, parfois même directement à l’Internet. Dès lors, ils sont davantage exposés à la cybermenace. Or sur ces systèmes, qui régulent des infrastructures parfois vitales, les conséquences d’une attaque informatique sont potentiellement graves.

Face à ces risques, l’ANSSI a ouvert en 2011 une large concertation avec les ministères concernés et avec des industriels qui a notamment abouti à la rédaction d’un guide sur la cybersécurité des systèmes industriels.

Ce guide pragmatique propose aux acteurs concernés une méthodologie simple et adaptée pour sécuriser leurs systèmes industriels, illustrée par des situations réelles.

Il est librement téléchargeable sur le site de l’ANSSI [ici] avec un cas pratique disponible [ici]

[Source] : http://www.ssi.gouv.fr/fr/anssi/publications/communiques-de-presse/l-anssi-publie-un-guide-sur-la-cybersecurite-des-systemes-industriels.html

 

PDG / RSSI : un décalage dans la perception de la menace

Un sondage mené par Research Now pour la société Core Security a démontré un grand décalage entre PDG et RSSI lorsqu’il s’agit de sécurité de l’information.

L’enquête met en évidence un manque de communication dans les hautes sphères de la hiérarchie. Ce manque de communication se traduit par deux faits : l’irrégularité de l’information transmise et la manière de le faire. Attaché à parler technique,  le RSSI ne traduit pas les propos en termes d’affaires. C’est ainsi que 65% des chefs d’entreprises ne comprennent pas la répercussion de la menace sur l’entreprise et estiment ne pas voir les données nécessaires pour interpréter les conséquences d’une intrusion sur leurs affaires.

36% des PDG n’ont jamais reçu un quelconque rapport de leur RSSI sur l’état de la sécurité des systèmes d’information de l’entreprise, seulement 27% reçoivent régulièrement une mise à jour des informations.

Il y a un décalage de la perception des menaces entre les deux parties puisque 62% des RSSI sont inquiets quant au piratage de leur système informatique, tandis que seulement 15% des chefs d’entreprises se soucient d’une telle compromission.

[Source]